#author("2019-12-03T09:56:24+09:00","","")
[[Level 1 Enterprise Basic Security configuration]]
|信頼できる呼び出し元として資格情報マネージャーにアクセスする|誰もいない(空白)|この設定は、バックアップ/復元中にCredential Managerによって使用されます。このアカウントはWinlogonにのみ割り当てられているため、アカウントにはこの特権を与えないでください。この特権が他のエンティティに与えられると、ユーザーが保存した資格情報が危険にさらされる可能性があります。|
|ネットワークからこのコンピューターにアクセスする|管理者; リモートデスクトップユーザー|このユーザー権利は、ネットワークを介してコンピューターに接続できるユーザーとグループを決定します。リモートデスクトップサービスは、このユーザー権利の影響を受けません。|
|オペレーティングシステムの一部として機能する|誰もいない(空白)|このユーザー権利により、プロセスは認証なしで任意のユーザーになりすますことができます。したがって、プロセスはそのユーザーと同じローカルリソースにアクセスできます。|
|ローカルログオンを許可する|管理者; ユーザー|どのユーザーがコンピューターにログオンできるかを決定します|
|ファイルとディレクトリをバックアップする|管理者|システムをバックアップする目的で、ファイルとディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定します|
|ページファイルを作成する|管理者|どのユーザーとグループが内部アプリケーションプログラミングインターフェイス(API)を呼び出してページファイルのサイズを作成および変更できるかを決定します|
|トークンオブジェクトを作成する|誰もいない(空白)|プロセスが内部アプリケーションプログラミングインターフェイス(API)を使用してアクセストークンを作成するときに、ローカルアカウントへのアクセスに使用できるトークンを作成するために、プロセスが使用できるアカウントを決定します。|
|グローバルオブジェクトを作成する|管理者; ローカルサービス; ネットワークサービス; サービス|このセキュリティ設定は、ユーザーがすべてのセッションで使用可能なグローバルオブジェクトを作成できるかどうかを決定します。|
|永続的な共有オブジェクトを作成する|誰もいない(空白)|オブジェクトマネージャを使用してディレクトリオブジェクトを作成するためにプロセスが使用できるアカウントを決定します|
|デバッグプログラム|管理者|デバッガーをプロセスまたはカーネルにアタッチできるユーザーを決定します。独自のアプリケーションをデバッグしている開発者には、このユーザー権利を割り当てる必要はありません。新しいシステムコンポーネントをデバッグする開発者は、そのためにこのユーザー権利を必要とします。このユーザー権利は、重要で重要なオペレーティングシステムコンポーネントへの完全なアクセスを提供します。|
|コンピューターとユーザーアカウントを委任に対して信頼できるようにする|誰もいない(空白)|このセキュリティ設定は、ユーザーまたはコンピューターオブジェクトに委任に対して信頼された設定を設定できるユーザーを決定します。|
|リモートシステムからの強制シャットダウン|管理者|ネットワーク上のリモートの場所からコンピューターをシャットダウンできるユーザーを決定します。このユーザー権利を悪用すると、サービス拒否が発生する可能性があります。|
|認証後にクライアントになりすます|管理者、サービス、ローカルサービス、ネットワークサービス|この特権をユーザーに割り当てると、そのユーザーに代わって実行されるプログラムがクライアントになりすますことができます。この種のなりすましに対してこのユーザー権利を要求することにより、権限のないユーザーが、作成したサービスに(たとえば、リモートプロシージャコール(RPC)または名前付きパイプによって)クライアントを接続させ、そのクライアントになりすますことができなくなります。管理レベルまたはシステムレベルに対する権限のないユーザーの権限。|
|デバイスドライバーのロードとアンロード|管理者|デバイスドライバーまたは他のコードをカーネルモードに動的にロードおよびアンロードできるユーザーを決定します。このユーザー権利は、プラグアンドプレイデバイスドライバーには適用されません。|
|メモリ内のページをロックする|誰もいない(空白)|どのアカウントがプロセスを使用してデータを物理メモリに保持できるかを決定します。これにより、システムがディスク上の仮想メモリにデータをページングできなくなります。この特権を行使すると、使用可能なランダムアクセスメモリ(RAM)の量が減少するため、システムのパフォーマンスに大きく影響する可能性があります。|
|監査とセキュリティログを管理する|管理者|ファイル、Active Directoryオブジェクト、レジストリキーなどの個々のリソースのオブジェクトアクセス監査オプションを指定できるユーザーを決定します。|
|ファームウェア環境変数を変更する|管理者|ファームウェア環境値を変更できるユーザーを決定します。ファームウェア環境変数は、非x86ベースのコンピューターの不揮発性RAMに保存される設定です。設定の効果はプロセッサによって異なります。|
|ボリュームメンテナンスタスクを実行する|管理者|このセキュリティ設定は、リモートデフラグなどのボリュームでメンテナンスタスクを実行できるユーザーとグループを決定します。|
|単一プロセスのプロファイル|管理者|このセキュリティ設定は、パフォーマンス監視ツールを使用して非システムプロセスのパフォーマンスを監視できるユーザーを決定します。|
|ファイルとディレクトリを復元する|管理者|バックアップしたファイルとディレクトリを復元するときに、ファイル、ディレクトリ、レジストリ、およびその他の永続オブジェクトのアクセス許可をバイパスできるユーザーを決定し、有効なセキュリティプリンシパルをオブジェクトの所有者として設定できるユーザーを決定します|
|ファイルまたは他のオブジェクトの所有権を取得します|管理者|Active Directoryオブジェクト、ファイルとフォルダー、プリンター、レジストリキー、プロセス、スレッドなど、システム内のセキュリティ保護可能なオブジェクトの所有権を取得できるユーザーを決定します。|
