本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

创建全局对象

 

适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

介绍本安全策略参考主题面向 IT 专业人员的最佳实践、 位置、 值、 策略管理和有关此策略设置的安全注意事项。

此策略设置确定哪些用户可以创建可供所有会话的全局对象。 用户仍可以创建如果它们不具有此用户权限特定于其自己的会话的对象。

全局对象是创建要使用由任意数量的进程或线程,甚至那些未在用户的会话中启动的对象。 远程桌面服务在其进程中使用全局对象以简化连接和访问权限。

此策略设置中指定的 Windows 的版本上支持应用于本主题开头的列表。

常量:SeCreateGlobalPrivilege

  • 用户定义的帐户的列表

  • 下面列出的默认帐户

  1. 请勿分配任何用户帐户此权限。

G p o\Computer Configuration\Windows 设置 \ 安全设置 SettingsLocal 策略 \ 用户权限分配

默认情况下,Administrators 组的成员具有此权限,支持的 Windows 版本上的本地服务和网络服务帐户一样。 服务包括是为了向后与早期版本的 Windows 的兼容性。

下表列出最新的受支持版本的 Windows 的实际和有效的默认策略值。 默认值还会列出该策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

Administrators

本地服务

Network Service (网络服务)

服务

独立服务器默认设置

Administrators

本地服务

Network Service (网络服务)

服务

域控制器有效默认设置

Administrators

本地服务

Network Service (网络服务)

服务

成员服务器有效默认设置

Administrators

本地服务

Network Service (网络服务)

服务

客户端计算机有效默认设置

Administrators

本地服务

Network Service (网络服务)

服务

在 Windows Server 2008 和 Windows Vista 之前, 此安全策略设置的默认值包括管理员、 服务和本地系统。 在此策略设置中指定的 Windows 的受支持版本之间的工作的方式没有差别应用于本主题开头的列表。

重新启动计算机不需要为此策略设置才会生效。

该帐户的所有者在下次登录的时,帐户用户权限分配到的任何更改才会生效。

按以下顺序通过组策略对象 (GPO),这将覆盖在下一步的组策略更新本地计算机上的设置应用设置:

  1. 本地策略设置

  2. 网站策略设置

  3. 域策略设置

  4. OU 策略设置

当本地设置灰显时,它表示一个 GPO 当前控制该设置。

本部分将介绍攻击如何利用一项功能或其配置中,如何实现对策一样,以及可能的对策实现的负面后果。

System_CAPS_caution小心

被授权者提供此用户权限的用户帐户具有完全控制系统,并且这可能会导致系统遭受危害。 我们强烈建议您没有分配此权限的任何用户帐户。

操作系统将检查用户的访问令牌来确定用户的权限级别。 当用户登录到本地计算机上或通过网络连接到远程计算机时将生成访问令牌。 当吊销权限时,请立即记录更改,但更改不会反映在用户的访问令牌直到下次用户登录或连接。 借助用户创建或修改令牌可以更改任何当前已登录帐户的访问级别。 它们无法提升他们的权限或创建拒绝服务 (DoS) 情况。

请不要分配创建令牌对象从右到任何用户的用户。 需要此用户权限的进程应使用本地系统帐户,已包括它,而不是与此用户权限分配单独的用户帐户。

无。 未定义是默认域策略配置。

显示: