2012/02/10

忘備録: Windows におけるユーザーの権利と特権 (User Rights and Privileges) の?

Windows には、「ユーザーの権利 (User Rights) 」と「特権(Privileges) 」があります。どちらも、セキュリティ ポリシーの「ユーザー権利の割り当て」(コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て)で設定できるのですが、「ユーザーの権利」と「特権」の区別があやふやに感じませんか?

私の場合、以下のドキュメントを参考にしています(いました)。

Threats and Countermeasures Guide: User Rights (Windows Server 2008 R2 and Windows 7)
[URL] http://technet.microsoft.com/en-us/library/hh125917(WS.10).aspx
Threats and Countermeasures Guide: User Rights (Windows Server 2008 and Windows Vista)
[URL] http://technet.microsoft.com/en-us/library/dd349804(WS.10).aspx
Appendix F: Logon Rights and Privileges (Windows XP Professional and Windows Server 2003)
[URL] http://technet.microsoft.com/ja-jp/library/cc755971(WS.10).aspx
Windows 2000 セキュリティ強化ガイド: 付録 B ‐ ユーザーの権利と特権
[URL] http://technet.microsoft.com/ja-jp/library/dd277311.aspx


上のドキュメントで、「Se~Right」が「ユーザーの権利」、「Se~Privilege」が「特権」と判断してきました。

ですが...

ドキュメントをよく読むと、Windows 2000では「ユーザーの権利」と「特権」でしたが、XP と 2003 では「ログオンの権利 (Logon Rights)」と「特権」に、Windows Vista 以降は「ユーザーの権利」に「ログオンの権利」と「特権」が含まれ、ログオンの権利とは...特権とは...(User rights include logon rights and privileges. Logon rights control who is authorized to log on to a computer and how they can log on. Privileges control access to computer and domain resources and can override permissions that have been set on specific objects.)という表現に変わっています。

確かに、「Right」が付くものは、すべて「Se~LogonRight」になっています。Windows 2000 の時代からそうなっています。いままで知らなかった(気が付かなかった)。XP 以降は「ユーザーの権利」=「ログオンの権利」+「特権」が正しい理解のようです。つまり、「特権」を「ユーザーの権利」と表現しても間違いではないと。

1 件のコメント:

山市 良 さんのコメント...

Windows 8.1以降のドキュメント:
User Rights Assignment(Applies To: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8)
https://technet.microsoft.com/en-us/library/dn221963(v=ws.11).aspx
User Rights Assignment (Applies To: Windows 10)
https://docs.microsoft.com/en-us/windows/device-security/security-policy-settings/user-rights-assignment