Local Security Policy
Local Security Policy kullanılarak local bilgisayar üzerinde güvenlik ayarları yapılabilir. Bunlar grup üyelikleri, kullanıcılara sistem ile ilgili hakların verilmesi, parola gereklilikleri, masaüstü ayarları gibi.
Workgroup olarak konfigure edilmiş ağlarda, bu ağlardaki bilgisayarlar da Local Security Policy kullanılarak ayarlar yapılır. Start -> Settings > Control Panel -> Administrative Tools -> Local Security Policy -> Security Settings altında -> Account Policies e ulaşılabilir.
Local Security Policy ayarları:Account policies
Kullanıcıların parolaları ile ilgili ayarların yapılması için kullanılır. Parola maksimum parola uzunluğu ve hesap kilitleme ilkesi gibi.
Password Policy
Enforce Password History: Bu ayar ile kullanıcının daha önce kullandığı ve sonra değiştirdiği parolalar kayıt edilir. Bu şekilde kullanıcınının daha öce kullandığı eski parolalarını yeniden kullanması engellenebilir. Bu ayar için değer 0 ve 24 arasında verilebilir. Eğer bu değer 3 olarak verilirse kullanıcının 1. parolası a, 2. parolası b, 3. parolası c olsun. Kullanıcının parolasını değiştirmesi gerektiğinde a,b ve c den başka bir parolayı yeni parolası olarak belirlemesi gerekir.
Maximum Password Age: Bu ayar ile kullanıcını aynı parolayı kaç gün değiştirmeden kullanabileceğini belirtir. Bu süre geçerli olarak 42 gündür ve enfazla 999 gün olarak belirlenebilir. 0 değeri ise parolanın gün sınırı olmadan herzaman kullanılması için kullanılır.
Minimum Password Age: Bu ayar kullanıcının parolasını değiştirmeden kullanabiliceği gün sayısıdır. Bu verilen süre içinde kullanıcı parolasını değiştiremez. Bu değer geçerli olarak 0 dır ve kullanıcı parolasını istediğinde değiştirebilir. Bu ayar için verilecek değer Maximum Password Age değerinden fazla olamaz. Eğer Enforce Password History ayarında 0 dan başka bir değer verilirse bu ayar için değer 0 olarak kalması önerilmez.
Minimum Password Length: Bu ayar ile parolanın en az kaç karakter olacağı belirlenir. 0 ile 14 değerlerini alabilir. 0 değeri parolanın gerekmediği yada kullanıcıların parola kullanmadan login olabilecekleri anlamına gelir.
Passwords Must Meet Complexity Requirements: Bu ayar geçerli olarak Disabled olarak belirlenmiştir. Eğer bu ayar aktifleştirilirse parolalar için verilen tüm kurallar uygulanır. Aynı zamanda kullanıcı adının ve parolasının aynı olması, parolanın basit olması (123456, abc) gibi durumlar kontrol edilir. Kullanıcı parolasını
belirlerken harf, rakam ve mutlaka “*()?=%&$” gibi karakterleride kullanılmalıdır.
Store Password Using Reversible Encryption For All Users In The Domain
Domain içinde Windows Xp yüklü bilgisayarlar için parolaların ters çevrilebilir şekilde şifrelenmesini sağlar.
Account Lockout Policy
Account Lockout Duration: Bu ayar kullanıcı hesabının ne kadar süre kitli kalacağını belirtir. 0 değeri hesabın, diğer ayarlar yapıldıktan sonra administrator tarafından açılabileceğini belirler. Bu değer 0 ile 99.999 dakika arasında verilebilir.
Account Lockout Threshold: Bu ayar kullanıcının parolasını kaç kere yanlış girebileceğini belirler. Burada verilen sayı kadar kullanıcı parolasını yanlış girerse Account Lockout Duration ayarı ile belirtilen süre kadar hesabı kilitlenir ve login olamaz. Bu değer 0 ile 999 arasında belirlenebilir.
Reset LockoutCounter After: Bu ayar ile Account Lockout Threshold ile belirlenen
sayı kadar yanlış parola girilmesi durumunda hesabın kitlendikten sonra, hesap için yanlış girilmiş parola değerinin/sayacının ne kadar süre sonra sıfırlanacağını dakika cinsinden belirler. Bu değer 1 ile 99.999 dakika rasında veilebilir.
Local Policies
Auditing policies
Kullanıcıların ve bilgisayarın kaynaklarına eşimlerin izlenmesini ve kayıt altına alınmasını sağlar. Örnek olarak başarılı ve başarısız login işlemleri gibi. Bu kayıtlar Event event Viewer da Security loglarında tutulur. İzlenen dosya ve klasörlerin NTFS dosya sistemi üzerinde olması gerekir.
Audit account logon events
Bu güvenlik ayarı kullancıların hangi bilgisyarda login olurlarsa olsunlar, login ve logoff işlemlerini izler. Kullanıcı domain controller tarafından doğrulandığı zaman bu log tutulur. Bu bilgiler domain controller security loga yazılır. Local olarak logon olan kullanıcı için security log da ilgili log tutulur. Logoff olayları
izlenmez. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit account management
Kullanıcı oluşturma, silme, group oluşturma, silme, kullanıcı ve grup isimlerini değiştirme, hesabı açma, kapama, parola sıfırlama gibi olayların tutulmasını sağlar. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit directory service access
Bir kullanıcı bir active directory nesnesine kendi sahip olduğu system access control list ile (sacl) eriştiği zaman log tutulup tutulmayacağı belirlenir. Geçerli ayar izleme yapılmamasıdır. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit logon events
Bu ayar kullanıcını her login ve logoff olduğunda bu işlemlerle ilgili log tutulup tutulmayacağını belirler. Audit account logon events domain controller üzerinde domainde olan logon olayları için ve local bilgisayardaki logon işlemleri için log tutar. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit object access
Bu ayar ile dosyalara, yazıcılara, klasörlere yapılan başrılı ve başarısız işlemler loglanır. Kullanıcı dosyayı açtığında, içeriğini değitirdiğinde, sildiğinde, dosya oluşturduğunda bu işlemler loglanır.
Audit policy change
User rights assignment ayarlarında yapılan değişiklikler için log tutar. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit privilege use
Kullanıcılara verilen yetkileri kullanıcılar kullandıklarında bu işlemler ile ilgili log tutmayı sağlar. Bir kullanıcıya sistem saatini değiştirme yetkisinin verilmesi sonrasında, kullanıcı sistem saaatini değiştirdiğinde log tulur.
Audit process tracking
Bir program çalıştığında, kapandığında, dolaylı olarak nesnelere eriştiğinde ilgili loglar tutulur. Bu izleme daha çok programcılar için kullanılır.
Audit system events
Sistem olaylarını loglar. Örneğin bilgisayarın kapatılıp açılması gibi. Domain controller da bu ayar geçerli olarak Sucess dır.
User rights assignments
Kullanıcılara çeşitli sistemle ilgili hakların verilmesini sağlar.
Act As Part Of The Operating System
Bir işleme bir kullanıcı gibi doğrulanarak sistem kaynaklarına bir kullanıcı gibi erişmesini sağlamak için kullanılır. İhtiyaç duyulmadığı sürece ayarlama yapılmamalıdır. Bu ayar eski yada alt sistemde, geri planda çalışan servisler için gereklidir. Local System account a bu hak verilmiştir. Ve onun sayesinde, Local System hesabını kullanarak işlemler çalışır.
Add Workstations To Domain
Bir kullanıcıya Domaine bilgisyar eklemesi için yetki verilmesini sağlar. Bu ayar Default Domain Controller policy kullanılarak ayarlanır.
Back Up Files And Directories
Kullanıcıya dosya ve klasörlerin üzerinde izini olmadan sistemdeki bilgilerin yedeğini almasını sağlama için kullanılır. Geçerli olarak Administrtor ve Backup Operator grubu workstationlarda, üye sunucularda ve domain controller larda bu izine sahiptir. Domain controller ve üye sunucularda Server Operators grubu üyeleri bu hakka sahiptir ayarlanmıştır.
Bypass Traverse Checking
Kullanıcıya bir klasörden diğer klasöre izni olmadığı halde gidebilmesini sağlar. Bu hak kullanıcının klasör içindeki dosyaları görebilmesini sağlamaz. Kullanıcı klasörlerin içindeki dosyaları göremez.
Geçerli olarak Administrators, Backup Operators, Power Users, Users ve Everyone grubuna üye kullanıcılar workstation ve üye sunucular üzerinde bu hakka sahiptir.
Change The System Time
Kullanıcya sistem saatini değiştirme hakkını vermeyi sağlar. Geçerli olarak Administrators ve Power Users gruplarına üye kullanıcılar, Local System ve Network Service hesapları bu yetkiyi Domain Controller üzerinde kullanabilir.
Create A Pagefile
Pagefile dosyasını oluşturma ve olan pagefile dosyasının kapasitesini değiştirme hakkını verir. Geçerli olarak Administrators grubuna üye kullancılar workstations, member servers, and domain controllers üzerinde bu yetkiye sahiptir.
Debug Programs
Bu hak ile programların ayıklanması ve izlenmesi sağlanır. Bu şekilde sistem üzerinde oluşan hatalar veya sistem davranışları izlenebilir. Ama bu işlem önemli ve hassas sistem verilerine erişilmesi ve bu verilerin kullanılıp, görülebilmesini sağlar. Geçerli olarak Administrators workstations, member servers ve domain controllers üzerinde bu yetkiye sahiptir.
Force Shutdown From A Remote System
Ağdaki diğer bir bilgisayardan sistemi kapatma izni vermeyi sağlar. Geçerli olarak Administrators grubu workstation ve üye sunucular üzerinde, administrator ve Server Operator grubuna üye kullanıcılar domain kontroller üzerinde bu yetkiye sahiptir.
Load And Unload Device Drivers
Plud and Play donanımları yüklemek için bir ullanıcıya yetki vermeyi sağlar. Plug and play olmayan donanımlar bu yetki kullanılarak yüklenemezler. Geçerli olarak sadece administrator grubuna üye kullanılar workstation, üye sunucu ve domain controller üzerinde bu yetkiye sahiptir.
Manage Auditing And Security Log
Sistem üzerinde oluşan olayları izlemek için gerekli ayarlamayı yapması için bir kullanıcıya yetki vermeyi sağlar. Geçerli olarak Administrator bu yetkiye workstations, member servers, ve domain controllers üzerinde sahiptir. Bu yetki verilen kullanıcı Security logları temizleyebilir.
Modify Firmware Environment Values
Sistem Properties penceresinde Environment variables ayarlarını bir kullanıcın değiştirebilmesi için yetki vermeyi sağlar.
Perform Volume Maintenance Tasks
Bir kullanıcıya Disk Cleanup veya Disk Defragmenter araçlarını kullanması için yetki vermeyi sağlar. Geçerli olarak Administrator workstation, üye sunucular ve domain controller üzerinde bu yetkiye sahiptir.
Profile Single Process
Bir kullanıcıya Performance Monitörü sisteme ait olmayan işlemleri izlemesi için yetki verir. Geçerli olarak workstation, üye sunucular üzerinde administrator ve Power User bu yetkiye sahiptir. Domain controller üzerinde sadece administrator bu yetkiye sahiptir.
Profile System Performance
Bir kullanıcıya performans monitor aracını kullanarak sistem işlemlerini izleme yetkisini vermek için kullanılır. Geçerli olarak administrator grubu workstation, üye sunucu, ve domain controller üzerinde bu yetkiye sahiptir.
Remove Computer From Docking Station
Bir kullanıcıya taşınabilir bilgisyarını yuvadan çıkarması (undoked) için yetki verir. Geçerli olarak administrator, power users ve users grubu üyeleri workstation ve üye sunucular üzerinde bu yetkiye sahiptir.
Restore Files And Directories
Kullanıcılara daha önce alınan yedeklerin , ilgili dosya ve klasörlerin üzerlerinde yetkileri olmadan abu dosya ve klasörlerin üzerlerine yazmaları/açmalarını sağlar. Geçerli olarak administrator ve backup operator grubu üyeleri workstation, üye sunucular ve domain controller üzerinde bu yetkiye sahiptir. Domain controller ve üye sunucular üzerinde Server Operator grubu üyeleri bu hakka sahip olur.
Security options
Güvenlik ile ilgili ayarların yapılması için kullanılır.
Accounts: Administrator Account Status
Admnistrator hesabının kapalı/açık olama durumunu belirler. Güvenli modda administrator bu güvenlik ayarına bakılmaksızın açık hale gelir.
Accounts: Guest Account Status
Gueat hesabının açık/kapalı olma durumunu belirler.
Accounts: Limit Local Use Of Blank Passwords To Console Logon Only
Bu ayar ile kullanıcıların sadece lokal olarak boş parola ile yerel bilgisayara login olmaları sağlanır. Bu şekilde uzaktan boş parola ile Remote desktop, Telnet ve Ftp bağlantılarına boş parola ile bağlanılması engellenir.
Accounts: Rename Administrator Account
Administrator hesabının adının değiştirilip değiştirilemeyeceği belirlenir. Bu şekilde yetkilendirilmemiş logon denemelri engellenebilir.
Accounts: Rename Guest Account
Guest hesabının adını değiştirmek için kullanılır.
Audit: Audit The Use Of Backup And Restore Privilege
Kullanıcıların backup ve restore işlemlerini yaptıklarında bu işlemlerin loglanmasını sağlar. Her yedeklenen ve açılan dosya için log tutulur.
Devices: Prevent Users From Installing Printer Drivers
Enable bu yetkinin sadece Administrators ve Power Users grubu kullanıcılarının printer yüklemesini sağlar. Disable ayarı tüm kullanıcıların printer yüklemesini sağlar.
Devices: Restrict CD-Rom Access To Locally Logged On User Only
Aynı anda local ve remote kullanıcıların CD-ROM u kullanıp kullanamayacağını belirler. Enable ile sadece interactive logon olan kullanıcılar CD-ROM u kullanabilir.
Devices: Restrict Floppy Access To Locally Logged On User Only
Disket sürücünün aynı anda Lokal ve remote kullanıcıların kullanıp kullanamayacağını belirler.
Devices: Unsigned Driver Installation Behavior
İmzasız sürücülerin yüklendiğinde windows un nasıl işlem yapacağını belirler. Ignore ile imzasız sürücü belirlenir ama yükleme yapılmaya devam edilir. Warn imzasız sürücü belirlenir kullanıcı uyarılır kullanıcını isteğine göre sürücü yüklenir veya yüklenmez. Block imzasız sürücü yüklenmez.
Interactive Logon: Do Not Display Last User Name
Bilgisayar üzerinde son logon olan kullanıcı adının login ekranında görüntülenmesini sağlamak yada engellemek için kullanılır.
Interactive Logon: Do Not Require CTRL+ALT+DEL
Kullanıcıların Ctrl+Alt+Del tuşlarına basmasına gerek kalmadan login ekranını görmelerini sağlar.
Interactive Logon: Message Text For Users Attempting To Log On
Kullanıcıların log on olmadan önce ekranda bir mesaj görüntülemek için kullanılır.
Interactive Logon: Message Title For Users Attempting To Log On
Kullanıcıların log on olmadan önce ekranda görüntülenen mesaj penceresinin başlığının
belirlenmesini sağlar.
Interactive Logon: Prompt User To Change Password Before Expiration
Kullanıcıların parolalarının değiştirmeleri gereken zamana ne kadar süre ekranda kullanıcıya uyarı mesajı görüntüleneceğini belirler.
Network Access: Let Everyone Permissions Apply To Anonymous Users
Anonymous (isimsiz) olan bağlantılara Everyone grubuna verilen izinlerin uygulanmasını sağlar. Bu şekilde kendini tanıtamayan bağlantı isteklerine izin verilmiş olur.
Network Access: Shares That Can Be Accessed Anonymously
Ağ paylaşımlarına Anonymous (isimsiz) bağlantıların erişmesini sağlar. Burada anaim olarak erişilebilecek paylaşımların yolu yazılır.
Recovery Console: Allow Automatic Administrative Logon
Recovery Console ile bilgisyar açıldığında Administrator parolası sorulmadan login olmayı sağlar.
Shutdown: Allow System To Be Shut Down Without Having To Log On
Log on olmadan sistemin kapatılmasına izin vermeyi sağlar. Logon eranında Shutdown butonu görünür hale gelir.
Shutdown: Clear Virtual Memory Page File
Sistem kapandığı zaman virtual memory – sanal hafızanın temizlenmesini sağlar. Bu seçenek çoklu işletim sistemi kullanan bilgisyarlarda diğer işletim sisteminin açılmasını kolaylaştırmak ve sanal hafızaya yazılan bilgilerin yetkisiz kişilerin eline geçmesini engellemek için kullanılır.
Workgroup olarak konfigure edilmiş ağlarda, bu ağlardaki bilgisayarlar da Local Security Policy kullanılarak ayarlar yapılır. Start -> Settings > Control Panel -> Administrative Tools -> Local Security Policy -> Security Settings altında -> Account Policies e ulaşılabilir.
Local Security Policy ayarları:Account policies
Kullanıcıların parolaları ile ilgili ayarların yapılması için kullanılır. Parola maksimum parola uzunluğu ve hesap kilitleme ilkesi gibi.
Password Policy
Enforce Password History: Bu ayar ile kullanıcının daha önce kullandığı ve sonra değiştirdiği parolalar kayıt edilir. Bu şekilde kullanıcınının daha öce kullandığı eski parolalarını yeniden kullanması engellenebilir. Bu ayar için değer 0 ve 24 arasında verilebilir. Eğer bu değer 3 olarak verilirse kullanıcının 1. parolası a, 2. parolası b, 3. parolası c olsun. Kullanıcının parolasını değiştirmesi gerektiğinde a,b ve c den başka bir parolayı yeni parolası olarak belirlemesi gerekir.
Maximum Password Age: Bu ayar ile kullanıcını aynı parolayı kaç gün değiştirmeden kullanabileceğini belirtir. Bu süre geçerli olarak 42 gündür ve enfazla 999 gün olarak belirlenebilir. 0 değeri ise parolanın gün sınırı olmadan herzaman kullanılması için kullanılır.
Minimum Password Age: Bu ayar kullanıcının parolasını değiştirmeden kullanabiliceği gün sayısıdır. Bu verilen süre içinde kullanıcı parolasını değiştiremez. Bu değer geçerli olarak 0 dır ve kullanıcı parolasını istediğinde değiştirebilir. Bu ayar için verilecek değer Maximum Password Age değerinden fazla olamaz. Eğer Enforce Password History ayarında 0 dan başka bir değer verilirse bu ayar için değer 0 olarak kalması önerilmez.
Minimum Password Length: Bu ayar ile parolanın en az kaç karakter olacağı belirlenir. 0 ile 14 değerlerini alabilir. 0 değeri parolanın gerekmediği yada kullanıcıların parola kullanmadan login olabilecekleri anlamına gelir.
Passwords Must Meet Complexity Requirements: Bu ayar geçerli olarak Disabled olarak belirlenmiştir. Eğer bu ayar aktifleştirilirse parolalar için verilen tüm kurallar uygulanır. Aynı zamanda kullanıcı adının ve parolasının aynı olması, parolanın basit olması (123456, abc) gibi durumlar kontrol edilir. Kullanıcı parolasını
belirlerken harf, rakam ve mutlaka “*()?=%&$” gibi karakterleride kullanılmalıdır.
Store Password Using Reversible Encryption For All Users In The Domain
Domain içinde Windows Xp yüklü bilgisayarlar için parolaların ters çevrilebilir şekilde şifrelenmesini sağlar.
Account Lockout Policy
Account Lockout Duration: Bu ayar kullanıcı hesabının ne kadar süre kitli kalacağını belirtir. 0 değeri hesabın, diğer ayarlar yapıldıktan sonra administrator tarafından açılabileceğini belirler. Bu değer 0 ile 99.999 dakika arasında verilebilir.
Account Lockout Threshold: Bu ayar kullanıcının parolasını kaç kere yanlış girebileceğini belirler. Burada verilen sayı kadar kullanıcı parolasını yanlış girerse Account Lockout Duration ayarı ile belirtilen süre kadar hesabı kilitlenir ve login olamaz. Bu değer 0 ile 999 arasında belirlenebilir.
Reset LockoutCounter After: Bu ayar ile Account Lockout Threshold ile belirlenen
sayı kadar yanlış parola girilmesi durumunda hesabın kitlendikten sonra, hesap için yanlış girilmiş parola değerinin/sayacının ne kadar süre sonra sıfırlanacağını dakika cinsinden belirler. Bu değer 1 ile 99.999 dakika rasında veilebilir.
Local Policies
Auditing policies
Kullanıcıların ve bilgisayarın kaynaklarına eşimlerin izlenmesini ve kayıt altına alınmasını sağlar. Örnek olarak başarılı ve başarısız login işlemleri gibi. Bu kayıtlar Event event Viewer da Security loglarında tutulur. İzlenen dosya ve klasörlerin NTFS dosya sistemi üzerinde olması gerekir.
Audit account logon events
Bu güvenlik ayarı kullancıların hangi bilgisyarda login olurlarsa olsunlar, login ve logoff işlemlerini izler. Kullanıcı domain controller tarafından doğrulandığı zaman bu log tutulur. Bu bilgiler domain controller security loga yazılır. Local olarak logon olan kullanıcı için security log da ilgili log tutulur. Logoff olayları
izlenmez. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit account management
Kullanıcı oluşturma, silme, group oluşturma, silme, kullanıcı ve grup isimlerini değiştirme, hesabı açma, kapama, parola sıfırlama gibi olayların tutulmasını sağlar. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit directory service access
Bir kullanıcı bir active directory nesnesine kendi sahip olduğu system access control list ile (sacl) eriştiği zaman log tutulup tutulmayacağı belirlenir. Geçerli ayar izleme yapılmamasıdır. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit logon events
Bu ayar kullanıcını her login ve logoff olduğunda bu işlemlerle ilgili log tutulup tutulmayacağını belirler. Audit account logon events domain controller üzerinde domainde olan logon olayları için ve local bilgisayardaki logon işlemleri için log tutar. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit object access
Bu ayar ile dosyalara, yazıcılara, klasörlere yapılan başrılı ve başarısız işlemler loglanır. Kullanıcı dosyayı açtığında, içeriğini değitirdiğinde, sildiğinde, dosya oluşturduğunda bu işlemler loglanır.
Audit policy change
User rights assignment ayarlarında yapılan değişiklikler için log tutar. Domain controller da bu ayar geçerli olarak Sucess dır.
Audit privilege use
Kullanıcılara verilen yetkileri kullanıcılar kullandıklarında bu işlemler ile ilgili log tutmayı sağlar. Bir kullanıcıya sistem saatini değiştirme yetkisinin verilmesi sonrasında, kullanıcı sistem saaatini değiştirdiğinde log tulur.
Audit process tracking
Bir program çalıştığında, kapandığında, dolaylı olarak nesnelere eriştiğinde ilgili loglar tutulur. Bu izleme daha çok programcılar için kullanılır.
Audit system events
Sistem olaylarını loglar. Örneğin bilgisayarın kapatılıp açılması gibi. Domain controller da bu ayar geçerli olarak Sucess dır.
User rights assignments
Kullanıcılara çeşitli sistemle ilgili hakların verilmesini sağlar.
Act As Part Of The Operating System
Bir işleme bir kullanıcı gibi doğrulanarak sistem kaynaklarına bir kullanıcı gibi erişmesini sağlamak için kullanılır. İhtiyaç duyulmadığı sürece ayarlama yapılmamalıdır. Bu ayar eski yada alt sistemde, geri planda çalışan servisler için gereklidir. Local System account a bu hak verilmiştir. Ve onun sayesinde, Local System hesabını kullanarak işlemler çalışır.
Add Workstations To Domain
Bir kullanıcıya Domaine bilgisyar eklemesi için yetki verilmesini sağlar. Bu ayar Default Domain Controller policy kullanılarak ayarlanır.
Back Up Files And Directories
Kullanıcıya dosya ve klasörlerin üzerinde izini olmadan sistemdeki bilgilerin yedeğini almasını sağlama için kullanılır. Geçerli olarak Administrtor ve Backup Operator grubu workstationlarda, üye sunucularda ve domain controller larda bu izine sahiptir. Domain controller ve üye sunucularda Server Operators grubu üyeleri bu hakka sahiptir ayarlanmıştır.
Bypass Traverse Checking
Kullanıcıya bir klasörden diğer klasöre izni olmadığı halde gidebilmesini sağlar. Bu hak kullanıcının klasör içindeki dosyaları görebilmesini sağlamaz. Kullanıcı klasörlerin içindeki dosyaları göremez.
Geçerli olarak Administrators, Backup Operators, Power Users, Users ve Everyone grubuna üye kullanıcılar workstation ve üye sunucular üzerinde bu hakka sahiptir.
Change The System Time
Kullanıcya sistem saatini değiştirme hakkını vermeyi sağlar. Geçerli olarak Administrators ve Power Users gruplarına üye kullanıcılar, Local System ve Network Service hesapları bu yetkiyi Domain Controller üzerinde kullanabilir.
Create A Pagefile
Pagefile dosyasını oluşturma ve olan pagefile dosyasının kapasitesini değiştirme hakkını verir. Geçerli olarak Administrators grubuna üye kullancılar workstations, member servers, and domain controllers üzerinde bu yetkiye sahiptir.
Debug Programs
Bu hak ile programların ayıklanması ve izlenmesi sağlanır. Bu şekilde sistem üzerinde oluşan hatalar veya sistem davranışları izlenebilir. Ama bu işlem önemli ve hassas sistem verilerine erişilmesi ve bu verilerin kullanılıp, görülebilmesini sağlar. Geçerli olarak Administrators workstations, member servers ve domain controllers üzerinde bu yetkiye sahiptir.
Force Shutdown From A Remote System
Ağdaki diğer bir bilgisayardan sistemi kapatma izni vermeyi sağlar. Geçerli olarak Administrators grubu workstation ve üye sunucular üzerinde, administrator ve Server Operator grubuna üye kullanıcılar domain kontroller üzerinde bu yetkiye sahiptir.
Load And Unload Device Drivers
Plud and Play donanımları yüklemek için bir ullanıcıya yetki vermeyi sağlar. Plug and play olmayan donanımlar bu yetki kullanılarak yüklenemezler. Geçerli olarak sadece administrator grubuna üye kullanılar workstation, üye sunucu ve domain controller üzerinde bu yetkiye sahiptir.
Manage Auditing And Security Log
Sistem üzerinde oluşan olayları izlemek için gerekli ayarlamayı yapması için bir kullanıcıya yetki vermeyi sağlar. Geçerli olarak Administrator bu yetkiye workstations, member servers, ve domain controllers üzerinde sahiptir. Bu yetki verilen kullanıcı Security logları temizleyebilir.
Modify Firmware Environment Values
Sistem Properties penceresinde Environment variables ayarlarını bir kullanıcın değiştirebilmesi için yetki vermeyi sağlar.
Perform Volume Maintenance Tasks
Bir kullanıcıya Disk Cleanup veya Disk Defragmenter araçlarını kullanması için yetki vermeyi sağlar. Geçerli olarak Administrator workstation, üye sunucular ve domain controller üzerinde bu yetkiye sahiptir.
Profile Single Process
Bir kullanıcıya Performance Monitörü sisteme ait olmayan işlemleri izlemesi için yetki verir. Geçerli olarak workstation, üye sunucular üzerinde administrator ve Power User bu yetkiye sahiptir. Domain controller üzerinde sadece administrator bu yetkiye sahiptir.
Profile System Performance
Bir kullanıcıya performans monitor aracını kullanarak sistem işlemlerini izleme yetkisini vermek için kullanılır. Geçerli olarak administrator grubu workstation, üye sunucu, ve domain controller üzerinde bu yetkiye sahiptir.
Remove Computer From Docking Station
Bir kullanıcıya taşınabilir bilgisyarını yuvadan çıkarması (undoked) için yetki verir. Geçerli olarak administrator, power users ve users grubu üyeleri workstation ve üye sunucular üzerinde bu yetkiye sahiptir.
Restore Files And Directories
Kullanıcılara daha önce alınan yedeklerin , ilgili dosya ve klasörlerin üzerlerinde yetkileri olmadan abu dosya ve klasörlerin üzerlerine yazmaları/açmalarını sağlar. Geçerli olarak administrator ve backup operator grubu üyeleri workstation, üye sunucular ve domain controller üzerinde bu yetkiye sahiptir. Domain controller ve üye sunucular üzerinde Server Operator grubu üyeleri bu hakka sahip olur.
Security options
Güvenlik ile ilgili ayarların yapılması için kullanılır.
Accounts: Administrator Account Status
Admnistrator hesabının kapalı/açık olama durumunu belirler. Güvenli modda administrator bu güvenlik ayarına bakılmaksızın açık hale gelir.
Accounts: Guest Account Status
Gueat hesabının açık/kapalı olma durumunu belirler.
Accounts: Limit Local Use Of Blank Passwords To Console Logon Only
Bu ayar ile kullanıcıların sadece lokal olarak boş parola ile yerel bilgisayara login olmaları sağlanır. Bu şekilde uzaktan boş parola ile Remote desktop, Telnet ve Ftp bağlantılarına boş parola ile bağlanılması engellenir.
Accounts: Rename Administrator Account
Administrator hesabının adının değiştirilip değiştirilemeyeceği belirlenir. Bu şekilde yetkilendirilmemiş logon denemelri engellenebilir.
Accounts: Rename Guest Account
Guest hesabının adını değiştirmek için kullanılır.
Audit: Audit The Use Of Backup And Restore Privilege
Kullanıcıların backup ve restore işlemlerini yaptıklarında bu işlemlerin loglanmasını sağlar. Her yedeklenen ve açılan dosya için log tutulur.
Devices: Prevent Users From Installing Printer Drivers
Enable bu yetkinin sadece Administrators ve Power Users grubu kullanıcılarının printer yüklemesini sağlar. Disable ayarı tüm kullanıcıların printer yüklemesini sağlar.
Devices: Restrict CD-Rom Access To Locally Logged On User Only
Aynı anda local ve remote kullanıcıların CD-ROM u kullanıp kullanamayacağını belirler. Enable ile sadece interactive logon olan kullanıcılar CD-ROM u kullanabilir.
Devices: Restrict Floppy Access To Locally Logged On User Only
Disket sürücünün aynı anda Lokal ve remote kullanıcıların kullanıp kullanamayacağını belirler.
Devices: Unsigned Driver Installation Behavior
İmzasız sürücülerin yüklendiğinde windows un nasıl işlem yapacağını belirler. Ignore ile imzasız sürücü belirlenir ama yükleme yapılmaya devam edilir. Warn imzasız sürücü belirlenir kullanıcı uyarılır kullanıcını isteğine göre sürücü yüklenir veya yüklenmez. Block imzasız sürücü yüklenmez.
Interactive Logon: Do Not Display Last User Name
Bilgisayar üzerinde son logon olan kullanıcı adının login ekranında görüntülenmesini sağlamak yada engellemek için kullanılır.
Interactive Logon: Do Not Require CTRL+ALT+DEL
Kullanıcıların Ctrl+Alt+Del tuşlarına basmasına gerek kalmadan login ekranını görmelerini sağlar.
Interactive Logon: Message Text For Users Attempting To Log On
Kullanıcıların log on olmadan önce ekranda bir mesaj görüntülemek için kullanılır.
Interactive Logon: Message Title For Users Attempting To Log On
Kullanıcıların log on olmadan önce ekranda görüntülenen mesaj penceresinin başlığının
belirlenmesini sağlar.
Interactive Logon: Prompt User To Change Password Before Expiration
Kullanıcıların parolalarının değiştirmeleri gereken zamana ne kadar süre ekranda kullanıcıya uyarı mesajı görüntüleneceğini belirler.
Network Access: Let Everyone Permissions Apply To Anonymous Users
Anonymous (isimsiz) olan bağlantılara Everyone grubuna verilen izinlerin uygulanmasını sağlar. Bu şekilde kendini tanıtamayan bağlantı isteklerine izin verilmiş olur.
Network Access: Shares That Can Be Accessed Anonymously
Ağ paylaşımlarına Anonymous (isimsiz) bağlantıların erişmesini sağlar. Burada anaim olarak erişilebilecek paylaşımların yolu yazılır.
Recovery Console: Allow Automatic Administrative Logon
Recovery Console ile bilgisyar açıldığında Administrator parolası sorulmadan login olmayı sağlar.
Shutdown: Allow System To Be Shut Down Without Having To Log On
Log on olmadan sistemin kapatılmasına izin vermeyi sağlar. Logon eranında Shutdown butonu görünür hale gelir.
Shutdown: Clear Virtual Memory Page File
Sistem kapandığı zaman virtual memory – sanal hafızanın temizlenmesini sağlar. Bu seçenek çoklu işletim sistemi kullanan bilgisyarlarda diğer işletim sisteminin açılmasını kolaylaştırmak ve sanal hafızaya yazılan bilgilerin yetkisiz kişilerin eline geçmesini engellemek için kullanılır.
Yorumlar