Създаване на глобални обекти (Windows 10), Microsoft Docs

Обхват

Описание на препоръките, местоположението, стойностите, политиките и препоръките за сигурност за настройката на политиката за защитаГенериране на глобални обекти.

Справочник

Тази настройка на правилата определя кои потребители могат да създават глобални обекти, които са достъпни за всички сесии. Потребителите могат да създават обекти, които принадлежат към тяхната собствена сесия, ако нямат това потребителско право.

Глобалният обект е обект, който е създаден за използване с произволен брой процеси и нишки, дори и тези, които не се изпълняват по време на сесията на потребителя. Услугите за отдалечен работен плот използват глобални обекти в своите процеси, за да опростят свързването и достъпа.

Възможни стойности

  • Персонализиран списък с акаунти
  • Акаунтите по подразбиране, изброени по-долу

Препоръки

  • Не присвоявайте това право на всички потребителски акаунти.

Предназначение

Присвояване на компютри Configuration\Windows Settings\Security Settings\Local Policies\User rights

Стойности по подразбиране

По подразбиране членовете на групата администратори имат това като локална услуга и услуга за мрежови акаунти в поддържаните версии на Windows. Услугата е включена за обратна съвместимост с предишни версии на Windows.

Следващата таблица изброява действителните и ефективни политики по подразбиране. Страницата със свойства на правилата също изброява стойностите по подразбиране.

Тип сървър или групова политика Стойност по подразбиране - - Политика за домейн по подразбиране Недефинирана Политика за домейн контролер по подразбиране Администратори ЛокалниУслуга Мрежова услуга Услуга Самостоятелен сървър Настройки по подразбиране Администратори Локална услуга Мрежова услуга Услуга Ефективни настройки на домейн контролер Администратори Локална услуга Мрежова услуга Услуга Ефективни администратори на настройки по подразбиране на членския сървър Локална услуга Мрежова услуга Услуга Клиентски компютър Ефективни настройки Администратор s Локална услуга Мрежова услуга Услуга

Политически контрол

Рестартирането на устройството не е необходимо, за да влезе в сила тази настройка на правилата.

Всички промени в присвояването на потребителски права към даден акаунт влизат в сила следващия път, когато собственикът на акаунта влезе.

Групова политика

Настройките се прилагат в следния ред чрез правилата на GPO, които ще бъдат презаписани от настройките на локалния компютър при следващата актуализация на груповите правила:

  1. Настройки на местната политика
  2. Настройки на правилата на сайта
  3. Настройки на политиката на домейна
  4. Настройки на организационната политика

Ако локална настройка е сива, това означава, че GPO в момента контролира тази настройка.

Въпроси за сигурност

Този раздел описва как атакуващият може да използва компонент или неговата конфигурация, как да приложи контрамерки и също така обсъжда възможните негативни последици от тяхното прилагане.

Уязвимост

Създаване на глобални обекти Изисква се право за потребителски акаунт за създаване на глобални обекти в сесия на отдалечен работен плот. Потребителите могат да създават съдържащи се обектиидентификатор на сесия, без да им присвоява това потребителско право. Присвояването на това право може да представлява риск за сигурността.

По подразбиране правото наСъздаване на глобални обекти се предоставя на членовете на групата "Администратори ", системния акаунт и услугите, които се стартират чрез диспечера за контрол на услугите. Потребителите, които ще бъдат добавени към групатаПотребители на отдалечен работен плот също имат това право.

Опозиция

Ако не-администратори трябва да имат достъп до сървъра чрез отдалечен работен плот, добавете потребителиПотребители на отдалечен работен плот вместо да ги присъединявате към тази правилна група.

Възможно въздействие

Не. Конфигурацията на домейна на правилата по подразбиране не е дефинирана.