Выполнение задач обслуживания томов

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Выполнение задач обслуживания томов.

Справочные материалы

Этот параметр политики определяет, какие пользователи могут выполнять задачи управления томами или дисками, например дефрагментацию существующего тома, создание или удаление томов, запуск средства очистки диска.

При назначении этого права пользователя следует проявлять осторожность. Пользователи с этим правом могут просматривать содержимое дисков и расширять файлы в памяти, где содержатся другие данные. После открытия расширенных файлов пользователь может читать и изменять полученные данные.

Константа: SeManageVolumePrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  • Право пользователя Выполнение задач обслуживания томов должно быть назначено только локальной группе «Администраторы».

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

Значение по умолчанию для этого параметра на контроллерах домена и автономных серверах — «Администраторы».

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Параметры автономного сервера по умолчанию

Администраторы

Действующие параметры контроллера домена по умолчанию

Администраторы

Действующие параметры рядового сервера по умолчанию

Администраторы

Действующие параметры по умолчанию для клиентского компьютера

Администраторы

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию и как следует применять меры противодействия. Также приводятся сведения о возможных отрицательных последствиях реализации этих мер.

Уязвимость

Пользователь с правом Выполнение задач обслуживания томов может удалять тома, что, в свою очередь, может привести к потере данных или состоянию «отказ в обслуживании». Кроме того, задачи обслуживания диска можно использовать для изменения данных на диске, например для назначения прав пользователя, которые позволят повысить уровень полномочий.

Меры противодействия

Право пользователя Выполнение задач обслуживания томов должно быть назначено только локальной группе «Администраторы».

Возможные последствия

Нет. Ограничение, позволяющее назначить право Выполнение задач обслуживания томов только локальной группе «Администраторы», активировано по умолчанию.

Связанные разделы

Назначение прав пользователя

 

 

Показ: