SeAuditPrivilege. Данный параметр разрешает службе или учетной записи указывать параметры аудита доступа к объектам для отдельных ресурсов (файлов, объектов Active Directory, разделов реестра). То есть создавать записи в стандартном журнале безопасности системы (eventvwr. msc) при помощи API-функции ReportEvent.
Еще данное право разрешает очищать журнал безопасности оснастки eventvwr. msc.
По умолчанию данное право предоставлено группе "Администраторы". Вы же можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и включить политику "Управлять аудитом и журналом безопасности".
SeCreatePermanentPrivilege. Данный параметр позволяет службе или учетной записи создавать постоянные объекты, которые будут не удаляемыми при отсутствии ссылок на них. Например, создавать объекты каталога с помощью диспетчера объектов.
По умолчанию данное право никому не предоставлено, но вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Создание постоянных общих объектов раздела".
SeCreateTokenPrivilege. Данный параметр разрешает службе или учетной записи создавать первичные маркеры. То бишь: учетная запись может создать маркер, содержащий любые SID и привилегии, и запустить с его помощью процесс.
По умолчанию данное право никому не предоставлено, но вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Создание маркерного объекта".
SeEnableDelegationPrivilege. Данный параметр используется в Active Directory для делегирования учетных записей и определяет, может ли данная учетная запись устанавливать параметр "Делегирование разрешено" для пользовательского или компьютерного объекта.
Этот параметр можно устанавливать только для тех учетных записей пользователей или компьютеров, для которых снят флажок "Учетная запись не может быть делегирована". По умолчанию в Windows 7 данное право никому не предоставлено. А на контроллере домена данное право по-умолчанию предоставлено группе "Администраторы".
Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и использовать политику "Разрешить доверия к учетным записям компьютеров и пользователей при делегировании".
SeLockMemoryPrivilege. Данное право разрешает службе или учетной записи выполнять блокировку физических страниц памяти.
Блокировка физических страниц памяти запрещает сброс блокированных страниц в файл подкачки на диск. То есть они всегда будут находиться в оперативной памяти.
В Windows 7 данное право по умолчанию никому не предоставлено.
Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и используйте политику "Блокировка страниц в памяти".
SeMachineAccountPrivilege. Данное право необходимо, чтобы диспетчер учетных данных безопасности SAM разрешил добавление компьютера к домену. Если пользователь обладает данным правом, он может добавить до десяти компьютеров в домен.
По умолчанию данное право предоставлено пользователям, прошедшим проверку подлинности на контроллере домена.
Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики" и используйте политику "Добавление рабочих станций к домен".
SeSyncAgentPrivilege. Данное право позволяет пользователям выполнять синхронизацию Active Directory. Оно позволяет читать объекты и свойства каталога Active Directory, даже если их атрибуты защиты это запрещают.
В Windows 7 данное право по умолчанию никому не предоставлено.
Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки "Редактор локальной групповой политики и используйте политику "Синхронизировать данные службы каталогов".