wsecedit.dll.mui Suojausmäärityksen käyttöliittymämoduuli 5d6aa3f5fd2efc0625b704d3f7202f90

File info

File name: wsecedit.dll.mui
Size: 445952 byte
MD5: 5d6aa3f5fd2efc0625b704d3f7202f90
SHA1: a863c42bff38a473b2c59b063dcea84563ebcf14
SHA256: 8f4a669253c4cc1280d0a100684a1c04cdfa33d4c19844fc83d8c5195a19c7f8
Operating systems: Windows 10
Extension: MUI

Translations messages and strings

If an error occurred or the following message in Finnish language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.

id Finnish English
1WSecEdit-laajennusluokka WSecEdit Extension Class
2Nimi Name
3Kuvaus Description
4Käytäntö Policy
5Tietokannan asetus Database Setting
6Tietokoneasetus Computer Setting
7Suojausmalli Security Template
8Mallit Templates
9Viimeisin kokoonpano/analyysi Last Configuration/Analysis
10Tietokoneen määrittämiseen tai analysointiin käytettävät suojausmallit. Security templates defined to configure or analyze a computer.
12Suojauskäytäntö Security Policy
13Järjestelmäoikeuksien osoitus User Rights Assignment
14Rajoitetut ryhmät Restricted Groups
15Järjestelmäpalvelut System Services
16Rekisteri Registry
17Tiedostojärjestelmä File System
19Järjestelmäoikeuksien osoitukset User rights assignments
21Järjestelmäpalvelun asetukset System service settings
22Rekisterin suojausasetukset Registry security settings
23Tiedostojärjestelmän suojausasetukset File system security settings
24Suojausmallit Security Templates
25(ei tallennettu) (not saved)
26Suojausasetukset Security Settings
27WSecEdit-suojausmääritysluokka WSecEdit Security Configuration Class
28WSecEdit-suojausasetusten hallinnan luokka WSecEdit Security Manager Class
29Haluatko varmasti poistaa kohteen %s? Are you sure you want to delete %s?
30Haluatko poistaa kaikki valitut kohteet? Do you want to delete all selected items?
31Anal&ysoi tietokone nyt...
Vertaa nykyisiä tietokoneen asetuksia tietokannassa oleviin suojausasetuksiin.
&Analyze Computer Now...
Compares the current computer settings against the security settings in the database
34Vie ma&lli...
Vie nykyisen tietokoneen perusmallin
&Export Template...
Exports the base template for the current computer
35&Lisää tiedostot...
Lisää uudet tiedostot tähän malliin
Add Fi&les...
Adds new files to this template
36&Uuden mallin etsintäpolku...
Lisää mallin sijainnin suojausmallien hakupolkuun. (.inf-muodossa)
&New Template Search Path...
Adds a template location to the Security Templates' search path (.inf - INF format)
37&Uusi malli...
Luo uuden mallin
&New Template...
Creates a new template
38P&oista polku
Poistaa valitun sijainnin hakupolusta
&Remove Path
Removes the selected location from the search path
39P&äivitä
Päivittää tämän sijainnin äskettäin lisätyillä malleilla
Re&fresh
Updates this location to display recently added templates
40&Määritä tietokone nyt...
Määrittää tietokoneen käyttäen valittua mallia
Con&figure Computer Now...
Configures the computer according to the selected template
42Windows ei voi tuoda mallia kohteesta %s Windows cannot import the template from %s
43T&allenna nimellä...
Tallentaa mallin uudella nimellä
Save &As...
Saves the template with a new name
44&Kopioi
Kopioi valitut mallitiedot leikepöydälle
&Copy
Copies the selected template information to the Clipboard
45&Liitä
Liittää leikepöydän tiedot malliin
&Paste
Pastes Clipboard information into the template
46Ryhmäkäytäntöobjektin lähde Source GPO
47&Päivitä
Päivittää tiedot
&Refresh
Refreshes data
48Tämän objektin lisäämiseen vaaditaan suojaus Security is required to add this object
49Windows ei voi tuoda suojausmallia Windows cannot import the security template
50Salasanakäytäntö Password Policy
51Salasanan enimmäisikä
päivää
Maximum password age
days
52Salasanan vähimmäisikä
päivää
Minimum password age
days
53Salasanan vähimmäispituus
merkkiä
Minimum password length
characters
54Valvo vanhoja salasanoja
säilytettävää salasanaa
Enforce password history
passwords remembered
55Salasanan täytyy vastata monimutkaisuusvaatimuksia Password must meet complexity requirements
56Käyttäjän täytyy kirjautua sisään salasanan muuttamiseksi User must log on to change the password
57Tilin lukituskäytäntö Account Lockout Policy
58Tilin lukituskynnys
epäonnistunutta kirjautumisyritystä
Account lockout threshold
invalid logon attempts
59Nollaa laskuri
minuutin jälkeen
Reset account lockout counter after
minutes
60Tili lukittuna
minuuttia
Account lockout duration
minutes
61Haluatko poistaa tämän mallin? Do you want to delete this template?
62Tietokantaa ei ole ladattu. The database is not loaded.
63Verkon suojaus: kirjaa käyttäjät ulos automaattisesti kirjautumisen määräajan umpeutuessa Network security: Force logoff when logon hours expire
65Tilit: nimeä Järjestelmänvalvoja-tili uudelleen Accounts: Rename administrator account
67Tilit: nimeä Vieras-tili uudelleen Accounts: Rename guest account
68Lataa uudelleen
Lataa uudelleen paikalliset ja voimassa olevat käytäntötaulukot käytäntötietokannasta.
Reload
Reloads the local and effective policy tables from the policy database
69Ryhmän nimi Group Name
70Tapahtumaloki Event Log
71Järjestelmälokin enimmäiskoko
kilotavua
Maximum system log size
kilobytes
72Järjestelmälokin säilytysmenetelmä Retention method for system log
73Säilytä järjestelmäloki
(päivää)
Retain system log
days
74Suojauslokin enimmäiskoko
kilotavua
Maximum security log size
kilobytes
75Suojauslokin säilytysmenetelmä Retention method for security log
76Säilytä suojausloki
päivää
Retain security log
days
77Sovelluslokin enimmäiskoko
kilotavua
Maximum application log size
kilobytes
78Sovelluslokin säilytysmenetelmä Retention method for application log
79Säilytä sovellusloki
päivää
Retain application log
days
80Sammuta järjestelmä, kun suojauksen valvonnan loki on täynnä Shut down the computer when the security audit log is full
81Valvontakäytäntö Audit Policy
82Tapahtumien valvontatapa Event Auditing Mode
83Valvo järjestelmätapahtumia Audit system events
84Valvo kirjautumistapahtumia Audit logon events
85Valvo objektin käyttöä Audit object access
86Valvo oikeuksien käyttöä Audit privilege use
87Valvo käytäntöjen muutoksia Audit policy change
88Valvo tilienhallintaa Audit account management
89Valvo prosessiseurantaa Audit process tracking
92Määrittämätön Not Defined
95Jäseniä ei voi lisätä Cannot add members
96Ei voi näyttää suojaustietoja Cannot display security
97Käyttäjiä ei voi lisätä Cannot add users
98Ei voi lisätä hakemisto-objektia Cannot add directory object
99Kansiota ei voi lisätä Cannot add a folder
100-- Jäsenet -- Members
102Tässä nimessä on merkkejä, joita nykyinen järjestelmän kieli ei tunnista. Anna uusi nimi. This file name contains some characters that can not be recognized by current system language. Please rename it.
103Oikeus Permission
104Valvonta Audit
106Windows ei voi lisätä tiedostoa. Windows cannot add a file.
107Mallin nimi ei kelpaa. The template name is not valid.
108Virhe vietäessä tallennettua mallia. An error occurred while exporting the stored template.
109Windows ei voi lisätä rekisteriavainta Windows cannot add a registry key
110Täydet oikeudet Full Control
111Muokkaa Modify
112Luku ja suoritus Read and Execute
113Kansion sisällön näyttäminen List Folder Contents
114Lukuoikeudet Read
115Kirjoitusoikeudet Write
116Kansion läpikulku tai tiedoston suoritus Traverse Folder/Execute File
117Poista Delete
120Ei mitään None
124Arvon kysely Query Value
125Arvon asetus Set Value
126Aliavaimen luominen Create Subkey
127Aliavainten luetteleminen Enumerate Subkeys
128Ilmoitus Notify
129Linkin luominen Create Link
130Execute-komento Execute
131Säiettä ei voi luoda Cannot create a thread
132Seuraavien tilien vahvistaminen epäonnistui: %1
The following accounts could not be validated: %1
141Lokitiedoston nimi Log File Name
143Suorita suojausanalyysi Perform Security Analysis
144Suojauskäytäntöasetukset Security policy settings
146Suojauksen määritys ja analysointi
v1.0
Security Configuration and Analysis
v1.0
147Suojauksen määritys ja analysointi on valvontatyökalu tietokoneen suojaamista ja suojaustietojen analysointia varten. Voit luoda tai muokata suojausmalleja, ottaa käyttöön suojausmalleja, suorittaa analyysejä mallien pohjalta ja näyttää analyysien tulokset. Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results.
148Viimeisin analyysi on suoritettu
Last analysis was performed on
149Perussuojausmääritysten kuvaus:
Base security configuration description:
150Tietokone määritettiin käyttäen seuraavaa mallia.
Analyysiä ei suoritettu.
The computer was configured by the following template.
Analysis was not performed.
151Tietokantaa ei ole määritetty tai analysoitu käyttäen Suojauksen määritys ja analysointi -ohjelmaa. The database has not been configured or analyzed using Security Configuration and Analysis.
152Tietoja Suojauksen määritys ja analysointi -ohjelmasta About Security Configuration and Analysis
153Tietoja viimeisimmästä analyysistä About Last Analysis
154Lisää mallin sijainti Suojausmalleihin Add a Template Location to Security Templates
165Objektin nimi Object Name
166Epäyhtenäiset arvot Inconsistent Values
168Avaa malli Open Template
169Suojausmalli (.inf)|*.inf|| Security Template (.inf)|*.inf||
170inf inf
171Avaa virhelokitiedosto Open Error Log File
172log log
173Lokitiedostot (.log)|*.log|| Log files (.log)|*.log||
193Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations
194Windows ei voi avata mallitiedostoa. Windows cannot open template file.
195Windows ei voi lukea mallitietoja. Windows cannot read template information.
196Valitussa tietokannassa ei ole näytettäviä analyysitietoja. Käynnistä tämä työkaluohjelma valitsemalla valikosta Analysoi. There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool.
1970 0
198Tarvittaessa As needed
199Päivittäin By days
200Manuaalisesti Manually
201Käytössä Enabled
202Ei käytössä Disabled
210Jäsenet Members
211Jäsenyys Member Of
214CLASSES_ROOT CLASSES_ROOT
215MACHINE MACHINE
216USERS USERS
217Onnistui Succeeded
229Tuntematon virhe Unknown error
232\Security\Templates \Security\Templates
233Tietokoneen käyttö verkosta Access this computer from the network
234Salli kirjautuminen paikallisesti Allow log on locally
235Tallennus epäonnistui Failed to save
236&Tallenna
Tallentaa mallin.
&Save
Save the template
237Software\Microsoft\Windows NT\CurrentVersion\SecEdit Software\Microsoft\Windows NT\CurrentVersion\SecEdit
238Lisää kansio Add Folder
239&Lisää kansio...
Lisää uuden kansion tähän malliin
Add &Folder...
Adds a new folder to this template
240Lisää &avain...
Lisää uuden avaimen tähän malliin
Add &Key...
Adds a new key to this template
241Lisää &ryhmä...
Lisää uuden ryhmän tähän malliin
Add &Group...
Adds a new group to this template
248Palvelun nimi Service Name
249Käynnistys Startup
250Analysoitu Analyzed
251Määritetty Configured
252Automaattinen Automatic
253Manuaalinen Manual
254OK OK
255Tutki Investigate
256Tietokannan suojaus kohteelle: Database Security for
257Viimeisin analysoitu suojaus kohteelle Last Analyzed Security for
258Suojaus kohteelle Security for
262Ryhmän jäsenyys Group Membership
263Tämän ryhmän jäsenet Members of this group
266Tilikäytännöt Account Policies
267Salasana- ja tilin lukitsemiskäytännöt Password and account lockout policies
268Paikalliset käytännöt Local Policies
269Valvonta- , järjestelmäoikeus- ja suojauskäytännöt Auditing, user rights and security options policies
271Tapahtumalokin asetukset ja Tapahtumienvalvonta Event Log settings and Event Viewer
272Valvo hakemistopalveluiden käyttöä Audit directory service access
273Valvo tilien kirjautumistapahtumia Audit account logon events
275Estä paikallista Vieraat-ryhmää käyttämästä järjestelmälokia Prevent local guests group from accessing system log
276Estä paikallista Vieraat-ryhmää käyttämästä suojauslokia Prevent local guests group from accessing security log
277Estä paikallista Vieraat-ryhmää käyttämästä sovelluslokia Prevent local guests group from accessing application log
278Aina Always
281Ohita Ignore
284Korvaa Replace
286Kirjautuminen komentojonotyönä Log on as a batch job
287Kirjautuminen palveluna Log on as a service
288Active Directory -objektit Active Directory Objects
289Active Directory -objektien suojauksen hallinta Security management of Active Directory objects
290Lis&ää hakemisto-objekti
Lisää Active Directory -objektin tähän malliin
Add Directory &Object
Adds an Active Directory object to this template
293Luetteloi kansion sisältö / lue tiedot List folder / Read data
294Lue määritteet Read attributes
295Lue lisämääritteet Read extended attributes
296Luo tiedostot / kirjoita tiedot Create files / Write data
297Luo kansiot / liitä tiedot Create folders / Append data
298Kirjoita määritteet Write attributes
299Kirjoita lisämääritteet Write extended attributes
300Poista alikansiot ja tiedostot Delete subfolders and files
303Oikeuksien muutos Change permissions
304Omistukseen otto Take ownership
305Synkronoi Synchronize
306Luku, kirjoitus ja suoritus Read, Write and Execute
307Kirjoitus ja suoritus Write and Execute
308Läpikulku tai suoritus Traverse / Execute
309Vain tämä kansio This folder only
310Tämä kansio, alikansiot ja tiedostot This folder, subfolders and files
311Tämä kansio ja alikansiot This folder and subfolders
312Tämä kansio ja tiedostot This folder and files
313Vain alikansiot ja tiedostot Subfolders and files only
314Vain alikansiot Subfolders only
315Vain tiedostot Files only
316Vain tämä avain This key only
317Tämä avain ja aliavaimet This key and subkeys
318Vain aliavaimet Subkeys only
321Aloitus, pysäytys ja tauko Start, stop and pause
322Kysele mallitiedot Query template
323Vaihda mallia Change template
324Kysele tila Query status
325Luettele riippuvuudet Enumerate dependents
326Käynnistä Start
327Pysäytä Stop
328Keskeytys ja tauko Pause and continue
329Kysele Interrogate
330Käyttäjän määrittämä ohjaus User-defined control
335Luo aliluokkia Create children
336Poista aliluokkia Delete children
337Luetteloi sisällys List contents
338Poista tai lisää itse Add/remove self
339Lue ominaisuudet Read properties
340Kirjoita ominaisuudet Write properties
341Vain tämä säilö This container only
342Tämä säilö ja alisäilöt This container and subcontainers
343Vain alisäilöt Subcontainers only
344[[Paikallisen tietokoneen käytäntömääritykset ]] [[Local Computer Policy Configuration ]]
345Tiliä ei lukita. Account will not lock out.
346Salasana voidaan vaihtaa välittömästi. Password can be changed immediately.
347Salasanaa ei tarvita. No password required.
348Älä säilytä vanhoja salasanoja. Do not keep password history.
349Salasana vanhenee seuraavan ajan kuluttua: Password will expire in:
350Salasanan vaihtoväli: Password can be changed after:
351Salasanan on oltava vähintään: Password must be at least:
352Muista vanhat salasanat: Keep password history for:
353Tili lukkiutuu, kun on kulunut: Account will lock out after:
354Tili on lukittu: Account is locked out for:
355Korvaa tapahtumat, jotka ovat vanhempia kuin: Overwrite events older than:
356Salasana ei vanhene. Password will not expire.
357Tili on lukittu, kunnes järjestelmänvalvoja poistaa lukituksen. Account is locked out until administrator unlocks it.
359Tallenna salasanat kaksisuuntaisella salauksella Store passwords using reversible encryption
360Kerberos-käytäntö Kerberos Policy
361Pakota käyttäjän kirjausrajoitukset Enforce user logon restrictions
362Tietokoneen kellon synkronoinnin enimmäistoleranssi
minuuttia
Maximum tolerance for computer clock synchronization
minutes
363Palvelulipun enimmäisikä
minuuttia
Maximum lifetime for service ticket
minutes
364Käyttäjän lippujen enimmäisikä
tuntia
Maximum lifetime for user ticket
hours
365Lippujen uusimisen enimmäisikä
päivää
Maximum lifetime for user ticket renewal
days
366Lisää jäsen Add Member
368Muisti ei riitä tämän kappaleen näyttämiseen There is not enough memory to display this section
369Viimeisimmän analyysin tietoja ei ole saatavilla No information is available about the last analysis
370Windows ei voi tallentaa muuttuneita malleja. Windows cannot save changed templates.
372Suojauksen määritys ja analysointi Security Configuration and Analysis
374T&uo malli...
Tuo malli tähän tietokantaan
&Import Template...
Import a template into this database
376Windows ei voi luoda tai avata kohdetta %s Windows cannot create or open %s
377Paikanna virheloki Locate error log file
378sdb sdb
379Suojaustietokannat (*.sdb)|*.sdb|Kaikki tiedostot (*.*)|*.*|| Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*||
380Ota malli käyttöön tietokoneessa Apply Template to Computer
381Polku virhelokiin, johon tallennetaan tiedot tietokoneen määrittämisen edistymisestä Error log file path to record the progress of configuring the computer
382S&uojaus... &Security...
383Muokkaa tämän objektin suojausta Edit security for this item
384Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration
385&Suojaus...
Muokkaa tämän objektin suojausta
&Security...
Edit security for this item
386EnvironmentVariables EnvironmentVariables
387%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|
388Avaa t&ietokanta...
Avaa aiemmin luodun tai uuden tietokannan.
O&pen Database...
Open an existing or new database
389&Uusi tietokanta...
Luo tai avaa uuden tietokannan.
&New Database...
Create and open a new database
390&Määritä kuvaus...
Luo tämän hakemiston mallien kuvaus
Set Descri&ption...
Create a description for the templates in this directory
392\help\sce.chm \help\sce.chm
395Kaikki tiedostot (*.*)|*.*|| All files (*.*)|*.*||
396Tietokanta: %s Database: %s
397Tuntematon virhe yritettäessä avata tietokantaa. An unknown error occurred when attempting to open the database.
398Ennen kuin voit käyttää tietokantaa, se on analysoitava. Valitse analyysin suorittaminen Tietokanta-valikosta. Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis.
399Tietokantaa, jota olet avaamassa, ei ole luotu. Valitse Tuo malli Tietokanta-valikosta. The database you are attempting to open does not exist. On the Database menu, click Import Template.
400Tietokanta on vioittunut. Saat apua tietokannan korjaukseen online-ohjeesta. The database is corrupt. For information about fixing the database, see online Help.
401Muisti ei riitä tietokannan lataamiseen. Sulje joitakin ohjelmia ja yritä sitten uudelleen. There is not enough memory available to load the database. Close some programs and then try again.
402Tietokannan käyttö on estetty. Mikäli tietokannan käyttöoikeuksia ei ole muutettu, sinun on oltava järjestelmänvalvoja käyttääksesi tietokantaa. Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it.
403\Security\Database \Security\Database
404Haluatko tallentaa kohteen %s muutokset? Do you want to save changes to %s?
405Tuotu malli odottaa jatkamista. Tallenna valitsemalla Peruuta, ja suorita sitten analyysi tai määritä tiedot ennen uuden mallin tuomista. Jätä aikaisemmin tuotu malli huomiotta valitsemalla OK.
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK.
406Kaikki valitut tiedostot All Selected Files
407Estä kirjautuminen paikallisesti Deny log on locally
408Estä tämän tietokoneen käyttö verkosta Deny access to this computer from the network
409Estä kirjautuminen palveluna Deny log on as a service
410Estä kirjautuminen komentojonotyönä Deny log on as a batch job
411Lisää ryhmä Add Group
412&Ryhmä: &Group:
413Ei analysoitu Not Analyzed
414Virhe analysoitaessa Error Analyzing
416Ehdotettu asetus Suggested Setting
417Paikallinen käytäntö...
Luo mallitiedosto paikallisen käytännön asetuksista
Local Policy ...
Create template file from the local policy settings
418Voimassa oleva käytäntö...
Luo mallitiedosto voimassa olevan käytännön asetuksista
Effective Policy ...
Create template file from the effective policy settings
419Suojausmääritykset ja -analyysi Aiemmin määritetyn tietokannan avaaminen Napsauta hiiren kakkospainikkeella vaihtoehtoa Suojauksen määritys ja analysointi. Napsauta vaihtoehtoa Avaa tietokanta. Valitse tietokanta ja napsauta sitten vaihtoehtoa Avaa. Uuden tietokannan luominen Napsauta hiiren kakkospainikkeella vaihtoehtoa Suojauksen määritys ja analysointi. Napsauta vaihtoehtoa Avaa tietokanta. Kirjoita uuden tietokannan nimi ja napsauta sitten vaihtoehtoa Avaa. Valitse tuotava suojausmalli ja napsauta sen jälkeen vaihtoehtoa Avaa. Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open
420
422Avattavaa tietokantaa ei ole. The database you are attempting to open does not exist.
423Voit luoda uuden paikallisten käytäntöjen tietokannan valitsemalla Suojausasetukset-valikosta Tuo käytäntö. You can create a new local policy database by choosing Import Policy from the Security Settings menu commands.
424Tietokannan käyttöoikeus on poistettu. Access to database has been denied.
425Näytä lo&kitiedosto
Näytä tai piilota lokitiedosto tai kansiopolku, kun Suojauksen määritys ja analysointi -solmu on valittuna
View Lo&g File
Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected
426Voit nyt tehdä tietokoneen määritys- ja analysointitoimet tämän tietokannan suojausasetusten avulla. Tietokoneen määrittäminenNapsauta hiiren kakkospainikkeella vaihtoehtoa Suojauksen määritys ja analysointi. Valitse Määritä tietokone nyt. Kirjoita valintaikkunaan katsottavan lokitiedoston nimi ja valitse OK. HUOMAUTUS: Kun tietokone on määritetty, tietokannan sisältö on tarkistettava analyysin avulla.Tietokoneen suojausasetusten analysointi Napsauta hiiren kakkospainikkeella vaihtoehtoa Suojauksen määritys ja analysointi.Valitse Määritä tietokone nyt. Kirjoita valintaikkunaan lokitiedoston polku ja valitse OK. HUOMAUTUS: Voit katsoa kokoonpanon määrityksessä tai analysoinnissa luotua lokitiedostoa valitsemalla Suojauksen määritys ja analysointi -pikavalikosta vaihtoehto Näytä lokitiedosto. You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu.
427 Virhe luettaessa sijaintitietoja Error Reading Location
428Tietokoneen asetus Computer Setting
429Käytäntöasetus Policy Setting
430Ohjattu suojaus&toiminto...
Ohjattu suojauspalvelin-rooli -toiminto
Secure &Wizard...
Secure Server Role Wizard
431Windows ei voi tuoda virheellistä mallia %s Windows cannot import invalid template %s
432Tilit: Järjestelmänvalvoja-tilin tila Accounts: Administrator account status
433Tilit: Vieras-tilin tila Accounts: Guest account status
434Ominaisuudet Properties
435Käyttäjänimi ei kelpaa. Nimi ei saa olla tyhjä eikä sisältää mitään seuraavista merkeistä:
%1
The username is not valid. It is empty or it may not contain any of the following characters:
%1
436Ei vähimmäismäärää No minimum
437Käyttäjä- ja ryhmänimessä ei saa olla seuraavia merkkejä:
%1
User and group names may not contain any of the following characters:
%1
438Järjestelmä ei löydä määritettyä polkua:
%1
The system can not find the path specified:
%1
439Tiedostonimi ei saa sisältää mitään seuraavista merkeistä:
%1
File name may not contain any of the following characters:
%1
440Käynnistystila on valittava. A startup mode must be selected.
441Kohdetta %1 ei voi poistaa, koska avoinna oleva ikkuna näyttää sen ominaisuudet.
Jos haluat poistaa tämän kohteen, sulje ominaisuusikkuna ja valitse sitten uudelleen Poista.
Object "%1" cannot be deleted because an open window is displaying its properties.
To delete this object, close that window and select "Delete" again.
442Määritä jäsenyys kohteelle %.17s... Configure Membership for %.17s...
443Palauta tilin lukituslaskuri, kun on kulunut Reset account lockout counter after
444&Aseta kuvaus...
Luo tämän mallin kuvaus
Set Descri&ption...
Create a description for this template
445Kuvaus ei saa sisältää mitään seuraavista merkeistä:
%1
Description may not contain any of the following characters:
%1
446Malliasetus Template Setting
449Varmista, että tähän kohteeseen on tarvittavat käyttöoikeudet. Make sure that you have the right permissions to this object.
450Varmista, että kohde on olemassa. Make sure that this object exists.
451Kansiota %1 ei voi käyttää. Valitse toinen kansio. The folder %1 cannot be used. Choose another folder.
452Oma tietokone My Computer
453Tiedostonimi on liian pitkä. The file name is too long.
552spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm
698%1
Tiedostonimi on varattu laitenimi.
Valitse toinen nimi.
%1
This file name is a reserved device name.
Choose another name.
699Tiedostotyyppi ei kelpaa. The file type is not correct.
700Sinun on oltava Järjestelmänvalvojat-ryhmän jäsen voidaksesi suorittaa pyydetyn toiminnon. You must be a member of the Administrators group to perform the requested operation.
701Tiedostonimi %1 ei kelpaa.
Kirjoita tiedostonimi uudelleen oikeassa muodossa. Esimerkki: C:\sijainti\tiedosto.%2.
The file name %1 is not valid.
Reenter the file name in the correct format, such as c:\location\file.%2.
702Tilinimiä ei yhdistetty suojaustunnuksiin No mapping between account names and security IDs was done
709Jotta asetus vaikuttaisi toimialuetileihin, asetus on määritettävä toimialueen oletuskäytännössä. To affect domain accounts, this setting must be defined in default domain policy.
718Paikallinen suojauskäytäntö Local Security Policy
740%1%2 %1%2
741%1%2
%3
%1%2
%3
745Mukautettu Special
753SAM-etäkäytön suojausasetukset Security Settings for Remote Access to SAM
754Etäkäyttö Remote Access
762Keskitetty käyttöoikeuskäytäntö Central Access Policy
763Keskitettyjä käyttöoikeuskäytäntöjä käytetään tiedostojärjestelmään Central Access Policies applied to the file system
764Tuntematon käytäntö: !!Unknown policy!!:
765%1 %2 %1 %2
1900Valvo vanhoja salasanoja

Tämä suojausasetus määrittää, kuinka monta uutta yksilöllistä salasanaa käyttäjätiliin täytyy liittyä, ennen kuin vanhaa salasanaa voidaan käyttää uudelleen. Salasanojen määrä voi olla 0 - 24.

Tämän käytännön ansiosta järjestelmänvalvojat voivat parantaa suojausta varmistamalla, että vanhoja salasanoja ei käytetä jatkuvasti uudelleen.

Oletusarvo:

24, jos kyseessä on toimialueen ohjauskone.
0, jos kyseessä on erillinen palvelin.

Huomautus: Jäsentietokoneet ovat oletusarvoisesti toimialueiden ohjauskoneidensa määritysten mukaisia.
Jotta vanhojen salasanojen valvonnasta olisi todella hyötyä, ota myös käyttöön Salasanan vähimmäisikä -käytäntöasetus, jotta salasanoja ei voi muuttaa heti edellisen muutoksen jälkeen. Lisätietoja Salasanan vähimmäisikä -käytäntöasetuksesta on kohdassa Salasanan vähimmäisikä.
Enforce password history

This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords.

This policy enables administrators to enhance security by ensuring that old passwords are not reused continually.

Default:

24 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age.
1901Salasanan enimmäisikä

Tämä suojausasetus määrittää, kuinka monta päivää salasanaa on käytettävä, ennen kuin järjestelmä edellyttää, että käyttäjä muuttaa sen. Voit asettaa salasanat vanhenemaan tietyn ajanjakson jälkeen (1 - 999 päivää) tai voit määrittää, että salasanat eivät vanhene koskaan, asettamalla päivien määräksi 0. Jos salasanan enimmäisikä on 1 - 999 päivää, vähimmäisiän on oltava pienempi kuin enimmäisikä. Jos salasanan enimmäisikä on 0, vähimmäisikä voi olla 0 - 998 päivää.

Huomautus: Parhaaseen suojauksen tasoon päästään asettamalla salasanat vanhenemaan 30 - 90 päivän kuluttua käyttöympäristön mukaan. Tällöin hyökkäysyrityksen tekijällä on käytettävissään vain rajallinen aika, jolloin hän voi murtaa käyttäjän salasanan ja päästä käsiksi verkkoresursseihin.

Oletusarvo: 42.
Maximum password age

This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days.

Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources.

Default: 42.
1902Salasanan vähimmäisikä

Tämä suojausasetus määrittää, kuinka monta päivää salasanaa on käytettävä, ennen kuin käyttäjä voi muuttaa sen. Voit asettaa arvoksi 1 - 998 päivää tai voit sallia muutokset heti asettamalla päivien määräksi 0.

Salasanan vähimmäisiän on oltava pienempi kuin salasanan enimmäisiän, ellei enimmäisiäksi aseteta 0, joka ilmaisee, että salasanat eivät vanhene koskaan. Jos salasanan enimmäisikä on 0, vähimmäisikä voi olla 0 - 998.

Määritä salasanan vähimmäisiäksi suurempi arvo kuin 0, jos haluat, että Valvo vanhoja salasanoja -asetuksesta on hyötyä. Jos salasanalla ei ole vähimmäisikää, käyttäjät voivat siirtyä toistuvasti salasanasta toiseen, kunnes he löytävät vanhan suosikkinsa. Oletusasetus ei ole tämän suosituksen mukainen, joten järjestelmänvalvoja voi määrittää käytettävän salasanan ja vaatia, että käyttäjä vaihtaa tämän salasanan kirjautuessaan sisään. Jos vanhojen salasanojen määräksi asetetaan 0, käyttäjän ei tarvitse valita uutta salasanaa. Tämän vuoksi Valvo vanhoja salasanoja -asetuksen oletusarvo on 1.

Oletusarvo:

1, jos kyseessä on toimialueen ohjauskone.
0, jos kyseessä on erillinen palvelin.

Huomautus: Jäsentietokoneet ovat oletusarvoisesti toimialueiden ohjauskoneidensa määritysten mukaisia.
Minimum password age

This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0.

The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.

Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default.

Default:

1 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1903Salasanan vähimmäispituus

Tämä suojausasetus määrittää, kuinka monta merkkiä käyttäjätilin salasanassa on vähintään oltava. Voit asettaa merkkien määräksi 1 - 14 tai voit määrittää, että mitään salasanaa ei tarvita asettamalla merkkien määräksi 0.

Oletusarvo:

7, jos kyseessä on toimialueen ohjauskone.
0, jos kyseessä on erillinen palvelin.

Huomautus: Jäsentietokoneet ovat oletusarvoisesti toimialueiden ohjauskoneidensa määritysten mukaisia.
Minimum password length

This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0.

Default:

7 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1904Salasanan täytyy vastata monimutkaisuusvaatimuksia

Tämä suojausasetus määrittää, onko salasanojen oltava monimutkaisuusvaatimusten mukaisia.

Jos tämä käytäntö otetaan käyttöön, salasanojen on oltava seuraavien vähimmäisvaatimusten mukaisia:

Salasanassa ei saa olla käyttäjätilin nimeä tai käyttäjän täydellisen nimen osia (kahta peräkkäistä merkkiä lukuun ottamatta)
Salasanassa on oltava vähintään kuusi merkkiä
Salasanassa on oltava merkkejä kolmesta seuraavista neljästä luokasta:
englannin kielen isot kirjaimet (A - Z)
englannin kielen pienet kirjaimet (a - z)
numerot 0 - 9
erikoismerkit (esim. !, $, #, %)
Monimutkaisuusvaatimuksia valvotaan, kun salasanoja muutetaan tai luodaan.



Oletusarvo:

Käytössä toimialueen ohjauskoneissa.
Ei käytössä erillisissä palvelimissa.

Huomautus: Jäsentietokoneet ovat oletusarvoisesti toimialueiden ohjauskoneidensa määritysten mukaisia.
Password must meet complexity requirements

This security setting determines whether passwords must meet complexity requirements.

If this policy is enabled, passwords must meet the following minimum requirements:

Not contain the user's account name or parts of the user's full name that exceed two consecutive characters
Be at least six characters in length
Contain characters from three of the following four categories:
English uppercase characters (A through Z)
English lowercase characters (a through z)
Base 10 digits (0 through 9)
Non-alphabetic characters (for example, !, $, #, %)
Complexity requirements are enforced when passwords are changed or created.



Default:

Enabled on domain controllers.
Disabled on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1905Tallenna salasanat käyttäen kaksisuuntaista salausta

Tämä suojausasetus määrittää, tallentaako käyttöjärjestelmä salasanat käyttämällä kaksisuuntaista salausta.

Tämä käytäntö tukee sovelluksia, jotka käyttävät käyttäjän salasanaa edellyttäviä protokollia todennuksessa. Salasanojen tallentaminen käyttämällä kaksisuuntaista salausta on periaatteessa sama asia kuin salasanojen tekstimuotoisen version tallentaminen. Tämän vuoksi tätä käytäntöä ei pitäisi koskaan ottaa käyttöön, elleivät sovelluksen vaatimukset ole tärkeämpiä kuin salasanatietojen suojaaminen.

Tätä käytäntöä tarvitaan käytettäessä CHAP (Challenge-Handshake Authentication Protocol) -todennusta etäkäyttöyhteyden tai IAS (Internet Authentication Services) -palveluiden avulla. Sitä tarvitaan myös käytettäessä IIS-palveluiden (Internet Information Services) Digest-todennusta.

Oletusarvo: Ei käytössä.
Store passwords using reversible encryption

This security setting determines whether the operating system stores passwords using reversible encryption.

This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.

This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS).

Default: Disabled.
1906Tili lukittuna

Tämä suojausasetus määrittää, kuinka monta minuuttia lukittu tili pysyy lukittuna, ennen kuin sen lukitus poistetaan automaattisesti. Mahdolliset arvot ovat 0 - 99 999 minuuttia. Jos tilin lukituksen kesto on 0, tili pysyy lukittuna, kunnes järjestelmänvalvoja nimenomaan poistaa lukituksen.

Jos tilin lukituskynnys määritetään, tilin lukituksen keston on oltava suurempi tai yhtä suuri kuin palautusaika.

Oletusarvo: Ei ole, koska tällä käytäntöasetuksella on merkitystä vain, jos tilin lukituskynnys määritetään.
Account lockout duration

This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it.

If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1907Tilin lukituskynnys

Tämä suojausasetus määrittää, kuinka monta kirjautumisyritystä sallitaan, ennen kuin käyttäjätili lukitaan. Lukittua tiliä ei voi käyttää, ennen kuin järjestelmänvalvoja palauttaa sen käyttöön tai määritetty lukituksen kestoaika täyttyy. Epäonnistuneita kirjautumisyrityksiä voi olla 0 - 999. Jos arvo on 0, tiliä ei koskaan lukita.

Epäonnistuneet salasanan kirjoitusyritykset työasemissa tai jäsenpalvelimissa, jotka on lukittu painamalla CTRL+ALT+DELETE tai käyttämällä salasanalla suojattuja näytönsäästäjiä, lasketaan epäonnistuneiksi kirjautumisyrityksiksi.

Oletusarvo: 0.
Account lockout threshold

This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts.

Default: 0.
1908Nollaa laskuri X minuutin jälkeen

Tämä suojausasetus määrittää, kuinka monen minuutin kuluttua epäonnistuneiden kirjautumisyritysten laskuri nollataan epäonnistuneen kirjautumisyrityksen jälkeen. Mahdolliset arvot ovat 1 - 99 999 minuuttia.

Jos tilin lukituskynnys määritetään, tämän palautusajan on oltava pienempi tai yhtä suuri kuin Tili lukittuna -ajan.

Oletusarvo: Ei ole, koska tällä käytäntöasetuksella on merkitystä vain, jos tilin lukituskynnys määritetään.
Reset account lockout counter after

This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes.

If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1909Pakota käyttäjän kirjausrajoitukset

Tämä suojausasetus määrittää, tarkistaako Kerberos V5 -avaintenjakelukeskus kaikki istuntolippupyynnöt käyttäjätilin käyttöoikeuskäytäntöä vasten. Jokaisen istuntolippupyynnön tarkistus on valinnainen, koska lisävaihe vie aikaa ja voi hidastaa verkon käyttöä.

Oletusarvo: Käytössä.
Enforce user logon restrictions

This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services.

Default: Enabled.
1910Palvelulipun enimmäisikä

Tämä suojausasetus määrittää, kuinka monta minuuttia myönnettyä istuntolippua voi käyttää tietyssä palvelussa. Asetuksen arvon on oltava suurempi kuin 10 minuuttia ja pienempi tai yhtä suuri kuin Käyttäjän lippujen enimmäisikä -arvon.

Jos asiakas antaa vanhentuneen istuntolipun pyytäessään yhteyttä palvelimeen, palvelin palauttaa virhesanoman. Asiakkaan täytyy pyytää uutta istuntolippua Kerberos V5 -avaintenjakelukeskuksesta. Kun yhteys on todennettu, sillä ei kuitenkaan ole merkitystä, onko istuntolippu kelvollinen. Istuntolippuja käytetään vain uusien palvelinyhteyksien todentamiseen. Keskeneräisiä toimintoja ei keskeytetä, jos yhteyden todentamiseen käytettävä istuntolippu vanhenee yhteyden aikana.

Oletusarvo: 600 minuuttia (10 tuntia).
Maximum lifetime for service ticket

This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket.

If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection.

Default: 600 minutes (10 hours).
1911Käyttäjän lippujen enimmäisikä

Tämä suojausasetus määrittää, miten monta tuntia käyttäjän lipun myöntävää lippua voidaan käyttää.

Oletusarvo: 10 tuntia.
Maximum lifetime for user ticket

This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used.

Default: 10 hours.
1912Lippujen uusimisen enimmäisikä

Tämä suojausasetus määrittää ajanjakson (päiviä), jolloin käyttäjän lipun myöntävä lippu on uusittava.

Oletusarvo: 7 päivää.
Maximum lifetime for user ticket renewal

This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed.

Default: 7 days.
1913Tietokoneen kellon synkronoinnin enimmäistoleranssi

Tämä suojausasetus määrittää, kuinka suuren aikaeron (minuutteina) Kerberos V5 sallii asiakkaan kellonajan ja Kerberos-todennuksesta huolehtivan toimialueen ohjauskoneen (Windows Server 2003:n) kellonajan välillä.

Uusintatunnistushyökkäysten estämiseksi Kerberos V5 käyttää aikaleimoja protokollamäärityksessään. Jotta aikaleimat toimivat oikein, asiakkaan ja toimialueen ohjauskoneen kello on synkronoitava. Tämä tarkoittaa sitä, että kummankin tietokoneen kellonajan ja päivämäärän on oltava sama. Koska kummankin tietokoneen kellot eivät ole aina synkronoituina, järjestelmänvalvojat voivat tämän käytännön avulla määrittää Kerberos V5:lle suurimman sallitun eron asiakkaan ja toimialueen ohjauskoneen kellon välillä. Jos asiakkaan ja toimialueen ohjauskoneen kellon ero on pienempi kuin tässä käytännössä määritetty suurin aikaero, kaikkia näiden tietokoneiden välisten istuntojen aikaleimoja pidetään aitoina.

Tärkeää

Tämä asetus ei ole pysyvä Vistaa aiemmissa ympäristöissä. Jos määrität tämän asetuksen ja käynnistät sitten tietokoneen uudelleen, tämä asetus palautuu oletusarvoksi.

Oletusarvo: 5 minuuttia.
Maximum tolerance for computer clock synchronization

This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication.

To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic.

Important

This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value.

Default: 5 minutes.
1914Valvo tilien kirjautumistapahtumia

Tämä suojausasetus määrittää, valvooko käyttöjärjestelmä tässä tietokoneessa tilin tunnistetietojen todentamista.

Tilin kirjautumistapahtuma luodaan aina, kun tietokone todentaa valvomansa tilin tunnistetiedot. Toimialueen jäsenet ja sellaiset tietokoneet, joita ei ole liitetty toimialueeseen, valvovat paikallisia tilejä, ja toimialueiden ohjauskoneet valvovat toimialueen tilejä. Tunnistetietojen todennusta voidaan suosia paikallisella tasolla tai, kuten toimialueen ohjauskoneen Active Directory -toimialueen tileissä, toiseen tietokoneeseen kirjauduttaessa. Tunnistetietojen todentamisessa ei käytetä tiloja, joten tilien sisäänkirjautumistapahtumia vastaavia uloskirjautumistapahtumia ei ole.

Jos tämä käytäntöasetus määritetään, järjestelmänvalvoja voi määrittää, valvotaanko vain onnistuneita kirjautumisia, vain epäonnistuneita kirjautumisia, molempia näistä vai ei mitään kirjautumistapahtumia (ei onnistuneita eikä epäonnistuneita).

Oletusarvot asiakasversioissa:

Tunnistetietojen todentaminen: ei valvontaa.
Kerberos-palvelulipputoiminnot: ei valvontaa.
Muut tilien kirjautumistapahtumat: ei valvontaa.
Kerberos-todentamispalvelu: ei valvontaa.

Oletusarvot palvelinversioissa:

Tunnistetietojen todentaminen: onnistuneet.
Kerberos-palvelulipputoiminnot: onnistuneet.
Muut tilien kirjautumistapahtumat: ei valvontaa.
Kerberos-todentamispalvelu: onnistuneet.

Tärkeää: jos haluat hallita valvontakäytäntöjä tarkemmin, käytä valvontakäytännön lisämäärityssolmun asetuksia. Saat lisätietoja valvontakäytännön lisämäärityksistä osoitteesta https://go.microsoft.com/fwlink/?LinkId=140969.
Audit account logon events

This security setting determines whether the OS audits each time this computer validates an account’s credentials.

Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Credential Validation: No Auditing
Kerberos Service Ticket Operations: No Auditing
Other Account Logon Events: No Auditing
Kerberos Authentication Service: No Auditing

Default values on Server editions:

Credential Validation: Success
Kerberos Service Ticket Operations: Success
Other Account Logon Events: No Auditing
Kerberos Authentication Service: Success

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1915Valvo tilienhallintaa

Tämä suojausasetus määrittää, valvotaanko jokaista tilienhallinnan tapahtumaa. Tilienhallinnan tapahtumia ovat esimerkiksi seuraavat:

käyttäjätilin tai -ryhmän luominen, muuttaminen tai poistaminen
käyttäjätilin uudelleennimeäminen, käytöstä poistaminen tai käyttöön ottaminen
salasanan määrittäminen tai muuttaminen.
Jos määrität tämän käytäntöasetuksen, voit määrittää, valvotaanko tapahtumatyypin onnistumisia, epäonnistumisia vai ei kumpiakaan. Onnistumisten valvonnassa luodaan valvontamerkintä, kun jokin tilienhallinnan tapahtuma onnistuu. Epäonnistumisten valvonnassa luodaan valvontamerkintä, kun jokin tilienhallinnan tapahtuma epäonnistuu. Jos haluat asettaa arvoksi Ei valvontaa, valitse tämän käytäntöasetuksen Ominaisuudet-valintaikkunasta Määritä nämä käytäntöasetukset -valintaruutu ja poista Onnistunut- ja Epäonnistunut-valintaruutujen valinnat.

Oletusarvot asiakasversioissa:

Käyttäjätilien hallinta: onnistuneet.
Tietokonetilien hallinta: ei valvontaa.
Käyttöoikeusryhmien hallinta: onnistuneet.
Jakeluryhmien hallinta: ei valvontaa.
Sovellusryhmien hallinta: ei valvontaa.
Muut tilienhallinnan tapahtumat: ei valvontaa.

Oletusarvot palvelinversioissa:

Käyttäjätilien hallinta: onnistuneet.
Tietokonetilien hallinta: onnistuneet.
Käyttöoikeusryhmien hallinta: onnistuneet.
Jakeluryhmien hallinta: ei valvontaa.
Sovellusryhmien hallinta: ei valvontaa.
Muut tilienhallinnan tapahtumat: ei valvontaa.

Tärkeää: jos haluat hallita valvontakäytäntöjä tarkemmin, käytä valvontakäytännön lisämäärityssolmun asetuksia. Saat lisätietoja valvontakäytännön lisämäärityksistä osoitteesta https://go.microsoft.com/fwlink/?LinkId=140969.
Audit account management

This security setting determines whether to audit each event of account management on a computer. Examples of account management events include:

A user account or group is created, changed, or deleted.
A user account is renamed, disabled, or enabled.
A password is set or changed.
If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default values on Client editions:

User Account Management: Success
Computer Account Management: No Auditing
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Default values on Server editions:

User Account Management: Success
Computer Account Management: Success
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1916Valvo hakemistopalveluiden käyttöä

Tämä suojausasetus määrittää, valvooko käyttöjärjestelmä käyttäjien yrityksiä käyttää Active Directory -objekteja. Valvontamerkintä luodaan vain sellaisia objekteja varten, joille on määritetty järjestelmän käyttöoikeusluetteloita (SACL), ja vain, jos pyydetty käyttöoikeustyyppi (esimerkiksi kirjoitus-, luku- tai muokkausoikeus) ja pyynnön tehnyt tili vastaavat järjestelmän käyttöoikeusluettelon asetuksia.

Järjestelmänvalvoja voi määrittää, valvotaanko vain onnistumisia, vain epäonnistumisia vai molempia vai ei näitä tapahtumia lainkaan (ei onnistumisia eikä epäonnistumisia).

Jos onnistuneiden valvonta on käytössä, valvontamerkintä luodaan aina, kun mikä tahansa tili käyttää onnistuneesti Active Directory -objektia, jolle on määritetty vastaava merkintä järjestelmän käyttöoikeusluettelossa.

Jos epäonnistuneiden valvonta on käytössä, valvontamerkintä luodaan aina, kun kuka tahansa käyttäjä yrittää käyttää (siinä onnistumatta) Active Directory -objektia, jolle on määritetty vastaava merkintä järjestelmän käyttöoikeusluettelossa.

Oletusarvot asiakasversioissa:

Hakemistopalvelun käyttö: ei valvontaa.
Hakemistopalvelun muutokset: ei valvontaa.
Hakemistopalvelun replikointi: ei valvontaa.
Tarkka hakemistopalvelun replikointi: ei valvontaa.

Oletusarvot palvelinversioissa:

Hakemistopalvelun käyttö: onnistuneet.
Hakemistopalvelun muutokset: ei valvontaa.
Hakemistopalvelun replikointi: ei valvontaa.
Tarkka hakemistopalvelun replikointi: ei valvontaa.

Tärkeää: jos haluat hallita valvontakäytäntöjä tarkemmin, käytä valvontakäytännön lisämäärityssolmun asetuksia. Saat lisätietoja valvontakäytännön lisämäärityksistä osoitteesta https://go.microsoft.com/fwlink/?LinkId=140969.
Audit directory service access

This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified.

Default values on Client editions:

Directory Service Access: No Auditing
Directory Service Changes: No Auditing
Directory Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Default values on Server editions:

Directory Service Access: Success
Directory Service Changes: No Auditing Directory
Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1917Valvo kirjautumistapahtumia

Tämä suojausasetus määrittää, valvooko käyttöjärjestelmä kaikkia käyttäjien yrityksiä kirjautua tietokoneeseen tai kirjautua ulos tietokoneesta.

Uloskirjautumistapahtuma luodaan, kun kirjautuneena olevan käyttäjätilin kirjautumisistunto päättyy. Jos tämä käytäntöasetus määritetään, järjestelmänvalvoja voi määrittää, valvotaanko vain onnistumisia, vain epäonnistumisia, molempia vai ei tällaisia tapahtumia lainkaan (ei onnistumisia eikä epäonnistumisia).

Oletusarvot asiakasversioissa:

Kirjautuminen: onnistuneet.
Uloskirjautuminen: onnistuneet.
Tilin lukitus: onnistuneet.
IPsec-päätila: ei valvontaa.
IPsec-pikatila: ei valvontaa.
Laajennettu IPsec-tila: ei valvontaa.
Erityiskirjautuminen: onnistuneet.
Muut kirjautumis-/uloskirjautumistapahtumat: ei valvontaa.
Verkkokäytäntöpalvelin: onnistuneet ja epäonnistuneet.

Oletusarvot palvelinversioissa:
Kirjautuminen: onnistuneet ja epäonnistuneet.
Uloskirjautuminen: onnistuneet.
Tilin lukitus: onnistuneet.
IPsec-päätila: ei valvontaa.
IPsec-pikatila: ei valvontaa.
Laajennettu IPsec-tila: ei valvontaa
Erityiskirjautuminen: onnistuneet
Muut kirjautumis-/uloskirjautumistapahtumat: ei valvontaa.
Verkkokäytäntöpalvelin: onnistuneet ja epäonnistuneet.

Tärkeää: jos haluat hallita valvontakäytäntöjä tarkemmin, käytä valvontakäytännön lisämäärityssolmun asetuksia. Saat lisätietoja valvontakäytännön lisämäärityksistä osoitteesta https://go.microsoft.com/fwlink/?LinkId=140969.
Audit logon events

This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer.

Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Logon: Success
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Default values on Server editions:
Logon: Success, Failure
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1918Valvo objektin käyttöä

Tämä suojausasetus määrittää, valvooko käyttöjärjestelmä käyttäjien yrityksiä käyttää muita kuin Active Directory -objekteja. Valvontamerkintä luodaan vain objekteille, joille on määritetty järjestelmän käyttöoikeusluetteloita (SACL), ja vain, jos pyydetty käyttöoikeustyyppi (esimerkiksi kirjoitus-, luku- tai muokkausoikeus) ja pyynnön tehnyt tili vastaavat järjestelmän käyttöoikeusluettelon asetuksia.

Järjestelmänvalvoja voi määrittää, valvotaanko vain onnistumisia, vain epäonnistumisia vai molempia vai ei näitä tapahtumia lainkaan (ei onnistumisia eikä epäonnistumisia).

Jos onnistuneiden valvonta on käytössä, valvontamerkintä luodaan aina, kun mikä tahansa tili käyttää onnistuneesti muuta kuin Active Directory -objektia, jolle on määritetty vastaava järjestelmän käyttöoikeusluettelo.

Jos epäonnistuneiden valvonta on käytössä, valvontamerkintä luodaan aina, kun kuka tahansa käyttäjä yrittää käyttää (siinä onnistumatta) muuta kuin Active Directory -objektia, jolle on määritetty vastaava järjestelmän käyttöoikeusluettelo.

Huomaa, että voit määrittää tiedostojärjestelmäobjektille järjestelmän käyttöoikeusluettelon kyseisen objektin Ominaisuudet-valintaikkunan Suojaus-välilehdessä.

Oletusarvo: ei valvontaa.

Tärkeää: jos haluat hallita valvontakäytäntöjä tarkemmin, käytä valvontakäytännön lisämäärityssolmun asetuksia. Saat lisätietoja valvontakäytännön lisämäärityksistä osoitteesta https://go.microsoft.com/fwlink/?LinkId=140969.
Audit object access

This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified.

Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box.

Default: No auditing.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1919Valvo käytäntöjen muutoksia

Tämä suojausasetus määrittää, valvooko käyttöjärjestelmä yrityksiä muuttaa järjestelmäoikeuksien osoituskäytäntöä, valvontakäytäntöä, tilikäytäntöä tai luottamuskäytäntöä.

Järjestelmänvalvoja voi määrittää, valvotaanko vain onnistumisia, vain epäonnistumisia vai molempia vai ei näitä tapahtumia lainkaan (ei onnistumisia eikä epäonnistumisia).

Jos onnistuneiden valvonta on käytössä, valvontamerkintä luodaan, kun järjestelmäoikeuksien osoituskäytäntöä, valvontakäytäntöä tai luottamuskäytäntöä muutetaan.

Jos epäonnistuneiden valvonta on käytössä, valvontamerkintä luodaan, kun tili, jolla ei ole tarvittavia oikeuksia, yrittää muuttaa järjestelmäoikeuksien osoituskäytäntöä, valvontakäytäntöä tai luottamuskäytäntöä.

Oletusarvo:

Valvontakäytännön muutokset: onnistuneet.
Todentamiskäytännön muutokset: onnistuneet.
Valtuutuskäytännön muutokset: ei valvontaa.
MPSSVC-sääntötason käytännön muutokset: ei valvontaa.
Suodatusympäristön käytännön muutokset: ei valvontaa.
Muut käytäntömuutokset: ei valvontaa.

Tärkeää: jos haluat hallita valvontakäytäntöjä tarkemmin, käytä valvontakäytännön lisämäärityssolmun asetuksia. Saat lisätietoja valvontakäytännön lisämäärityksistä osoitteesta https://go.microsoft.com/fwlink/?LinkId=140969.
Audit policy change

This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful.

If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change.

Default:

Audit Policy Change: Success
Authentication Policy Change: Success
Authorization Policy Change: No Auditing
MPSSVC Rule-Level Policy Change: No Auditing
Filtering Platform Policy Change: No Auditing
Other Policy Change Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1920Valvo oikeuksien käyttöä

Tämä suojausasetus määrittää, valvotaanko kaikkia tapahtumia, jolloin käyttäjä käyttää käyttöoikeuksiaan.

Jos määrität tämän käytäntöasetuksen, voit määrittää, valvotaanko tämän tapahtumatyypin onnistumisia, epäonnistumisia vai ei kumpiakaan. Onnistumisten valvonnassa luodaan valvontamerkintä, kun käyttöoikeuden käyttäminen onnistuu. Epäonnistumisten valvonnassa luodaan valvontamerkintä, kun käyttöoikeuden käyttäminen epäonnistuu.

Jos haluat määrittää asetukseksi Ei valvontaa, valitse tämän käytäntöasetuksen Ominaisuudet-valintaikkunasta Määritä nämä käytäntöasetukset -valintaruutu ja poista Onnistunut- ja Epäonnistunut-valintaruutujen valinnat.

Oletusarvo: ei valvontaa.

Valvontamerkintää ei luoda seuraavien käyttöoikeuksien käytöstä, vaikka Valvo oikeuksien käyttöä -asetukseen on määritetty onnistumisten tai epäonnistumisten valvonta. Näiden käyttöoikeuksien valvonnan käyttöönotto luo yleensä suojauslokiin monia tapahtumia, jotka voivat heikentää tietokoneen suorituskykyä. Voit valvoa seuraavia käyttöoikeuksia ottamalla käyttöön FullPrivilegeAuditing-rekisteriavaimen.

Läpikulun tarkistuksen ohitus
Ohjelmien virheenkorjaus
Tunnusobjektin luominen
Prosessitason tunnuksen korvaaminen
Suojauksen valvontatapahtumien luominen
Tiedostojen ja kansioiden varmuuskopioiminen
Tiedostojen ja kansioiden palauttaminen

Varoitus

Rekisterin virheellinen muokkaus voi aiheuttaa vakavia vahinkoja järjestelmälle. Ennen kuin teet muutoksia rekisteriin, tee varmuuskopio tietokoneessa olevista tärkeistä tiedoista.

Tärkeää: jos haluat hallita valvontakäytäntöjä tarkemmin, käytä valvontakäytännön lisämäärityssolmun asetuksia. Saat lisätietoja valvontakäytännön lisämäärityksistä osoitteesta https://go.microsoft.com/fwlink/?LinkId=140969.
Audit privilege use

This security setting determines whether to audit each instance of a user exercising a user right.

If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails.

To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default: No auditing.

Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key.

Bypass traverse checking
Debug programs
Create a token object
Replace process level token
Generate security audits
Back up files and directories
Restore files and directories

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1921Valvo prosessiseurantaa

Tämä suojausasetus määrittää, valvooko käyttöjärjestelmä prosesseihin liittyviä tapahtumia, kuten prosessien luontia, prosessien lopettamista, kahvojen kopiointia tai epäsuoraa objektien käyttöä.

Jos tämä käytäntöasetus määritetään, järjestelmänvalvoja voi määrittää, valvotaanko vain onnistumisia, vain epäonnistumisia vai molempia vai ei näitä tapahtumia lainkaan (ei onnistumisia eikä epäonnistumisia).

Jos onnistuneiden valvonta on käytössä, valvontamerkintä luodaan aina, kun käyttöjärjestelmä suorittaa jonkin näistä prosesseihin liittyvistä toiminnoista.

Jos epäonnistuneiden valvonta on käytössä, valvontamerkintä luodaan aina, kun käyttöjärjestelmä yrittää suorittaa jonkin näistä toiminnoista, mutta ei onnistu yrityksessään.

Oletusarvo: ei valvontaa.

Tärkeää: jos haluat hallita valvontakäytäntöjä tarkemmin, käytä valvontakäytännön lisämäärityssolmun asetuksia. Saat lisätietoja valvontakäytännön lisämäärityksistä osoitteesta https://go.microsoft.com/fwlink/?LinkId=140969.
Audit process tracking

This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities.

If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities.

Default: No auditing\r

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1922Valvo järjestelmätapahtumia

Tämä suojausasetus määrittää, valvooko käyttöjärjestelmä jotakin seuraavista tapahtumista:

• järjestelmän kellonajan muutosyritykset
• suojausjärjestelmän käynnistys- ja sulkemisyritykset
• laajennettavien todennusosien latausyritykset
• valvottujen tapahtumien tietojen menetykset valvontajärjestelmän vian vuoksi
• määritetyn varoitustason ylittävät suojauslokin kokomuutokset.

Jos tämä käytäntöasetus määritetään, järjestelmänvalvoja voi määrittää, valvotaanko vain onnistumisia, vain epäonnistumisia vai molempia vai ei tällaisia tapahtumia lainkaan (ei onnistumisia eikä epäonnistumisia).

Jos onnistuneiden valvonta on käytössä, valvontamerkintä luodaan aina, kun käyttöjärjestelmä suorittaa jonkin näistä toiminnoista.

Jos epäonnistuneiden valvonta on käytössä, valvontamerkintä luodaan aina, kun käyttöjärjestelmä yrittää suorittaa jonkin näistä toiminnoista, mutta epäonnistuu yrityksessään.

Oletusarvo:
Suojaustilan muutos: onnistuneet.
Suojausjärjestelmän laajennus: ei valvontaa.
Järjestelmän eheys: onnistuneet ja epäonnistuneet.
IPsec-ohjain: ei valvontaa.
Muut järjestelmätapahtumat: onnistuneet ja epäonnistuneet.

Tärkeää: jos haluat hallita valvontakäytäntöjä tarkemmin, käytä valvontakäytännön lisämäärityssolmun asetuksia. Saat lisätietoja valvontakäytännön lisämäärityksistä osoitteesta https://go.microsoft.com/fwlink/?LinkId=140969.
Audit system events

This security setting determines whether the OS audits any of the following events:

• Attempted system time change
• Attempted security system startup or shutdown
• Attempt to load extensible authentication components
• Loss of audited events due to auditing system failure
• Security log size exceeding a configurable warning threshold level.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully.

If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities.

Default:
Security State Change Success
Security System Extension No Auditing
System Integrity Success, Failure
IPsec Driver No Auditing
Other System Events Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1923Tietokoneen käyttö verkosta

Tämä käyttöoikeus määrittää, ketkä käyttäjät ja mitkä ryhmät voivat muodostaa yhteyden tietokoneeseen verkosta. Tämä käyttäjän oikeus ei vaikuta etätyöpöytäpalveluihin.

Huomautus: aiemmissa Windows Server -versioissa etätyöpöytäpalvelut tunnettiin nimellä päätepalvelut.

Oletus työasemissa ja palvelimissa:
järjestelmänvalvojat
varmuuskopiointioperaattorit
käyttäjät
kaikki.

Oletus toimialueen ohjauskoneissa:
järjestelmänvalvojat
todennetut käyttäjät
yritystoimialueiden ohjauskoneet
kaikki
Windows 2000:ta aiempien kanssa yhteensopivat.
Access this computer from the network

This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone

Default on domain controllers:
Administrators
Authenticated Users
Enterprise Domain Controllers
Everyone
Pre-Windows 2000 Compatible Access
1924Käyttöjärjestelmän osana toimiminen

Tämä käyttäjän oikeus antaa prosessille oikeuden tekeytyä miksi tahansa käyttäjäksi ilman todennusta. Prosessi voi siksi käyttää samoja paikallisia resursseja kuin kyseinen käyttäjäkin.

Prosessien, jotka edellyttävät tätä oikeutta, pitäisi käyttää LocalSystem-tiliä, jossa on jo tämä oikeus, eikä erillistä käyttäjätiliä, jolle on erityisesti määritetty tämä oikeus. Jos organisaatiossasi käytetään vain palvelimia, jotka ovat Windows Server 2003 -tuoteperheen jäseniä, tätä oikeutta ei tarvitse määrittää käyttäjille. Jos taas organisaatio käyttää Windows 2000- tai Windows NT 4.0 -palvelimia, tämä oikeus pitää tarvitsee ehkä määrittää, jotta voidaan käyttää sovelluksia, jotka vaihtavat salasanoja tekstimuodossa.

Varoitus

Tämän käyttäjän oikeuden myöntäminen voi olla suojausriski. Määritä tämä käyttäjän oikeus vain luotetuille käyttäjille.

Oletusarvo: Ei mitään.
Act as part of the operating system

This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user.

Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: None.
1925Lisää työasemia toimialueeseen

Tämä suojausasetus määrittää, mitkä ryhmät tai käyttäjät voivat lisätä työasemia toimialueeseen.

Tätä suojausasetusta voi käyttää vain toimialueen ohjauskoneissa. Kaikilla todennetuilla käyttäjillä on oletusarvoisesti tämä oikeus. Käyttäjä voi luoda enintään 10 tietokonetiliä toimialueeseen.

Jos tietokonetili lisätään toimialueeseen, tietokone voi olla osallisena Active Directory -pohjaisissa verkkoyhteyksissä. Jos esimerkiksi toimialueeseen lisätään työasema, kyseinen työasema voi tunnistaa Active Directoryssa olevat tilit ja ryhmät.

Oletusarvo: toimialueen ohjauskoneiden todennetut käyttäjät.

Huomautus: Käyttäjät, joilla on tietokoneobjektien luontioikeus Active Directory -tietokonesäilössä, voivat myös luoda tietokonetilejä toimialueeseen. Erona on se, että käyttäjät, joilla on säilön käyttöoikeus, voivat luoda enemmän kuin 10 tietokonetiliä. Lisäksi tietokonetileillä, jotka on luotu Lisää työasemia toimialueeseen -toiminnolla, on omistajana toimialueen järjestelmänvalvojat, kun taas tietokonetileillä, jotka on luotu tietokonesäilön oikeuksilla, on omistajana tilin luoja. Jos käyttäjällä on oikeuksia säilöön ja lisäksi Lisää työasemia toimialueeseen -oikeus, tietokone lisätään tietokonesäilön oikeuksien eikä käyttäjän oikeuden perusteella.

Add workstations to domain

This security setting determines which groups or users can add workstations to a domain.

This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain.

Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory.

Default: Authenticated Users on domain controllers.

Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right.

1926Prosessin muistikiintiöiden muuttaminen

Tämä oikeus määrittää, kuka voi muuttaa prosessin kuluttamaa enimmäismuistia.

Tämä käyttäjän oikeus määritetään toimialueen ohjauskoneen oletusryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä.

Huomautus: Tästä oikeudesta on hyötyä järjestelmän säädössä, mutta sitä voi käyttää väärin esimerkiksi palvelunestohyökkäyksessä.

Oletusarvo: Järjestelmänvalvojat.
Paikallinen palvelu
Verkkopalvelu.

Adjust memory quotas for a process

This privilege determines who can change the maximum memory that can be consumed by a process.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack.

Default: Administrators
Local Service
Network Service.

1927Kirjautuminen paikallisesti

Määrittää käyttäjät, joilla on oikeus kirjautua tietokoneeseen paikallisesti.

Tärkeää

Tämän asetuksen muokkaaminen voi vaikuttaa yhteensopivuuteen asiakkaiden, palvelujen ja sovellusten kanssa. Tähän asetukseen liittyviä yhteensopivuustietoja on Microsoftin sivustossa ohjeessa Salli kirjautuminen paikallisesti (https://go.microsoft.com/fwlink/?LinkId=24268 ).

Oletusarvo:

• Työasemat ja palvelimet: Järjestelmänvalvojat, Varmuuskopiointioperaattorit, Tehokäyttäjät, Käyttäjät ja Vieraat.
• Toimialueen ohjauskoneet: Tilioperaattorit, Järjestelmänvalvojat, Varmuuskopiointioperaattorit ja Tulostusoperaattorit.
Log on locally

Determines which users can log on to the computer.

Important

Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website.

Default:

• On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest.
• On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators.
1928Salli kirjautuminen etätyöpöytäpalveluiden kautta

Tämä suojausasetus määrittää, ketkä käyttäjät tai mitkä ryhmät voivat kirjautua etätyöpöytäpalveluasiakkaana.

Oletus:

Työasemissa ja palvelimissa: järjestelmänvalvojat, etätyöpöydän käyttäjät.
Toimialueen ohjauskoneissa: järjestelmänvalvojat.

Tärkeää

Tällä asetuksella ei ole vaikutusta Windows 2000 -tietokoneissa, joita ei ole päivitetty Service Pack 2 -versioon.

Allow log on through Remote Desktop Services

This security setting determines which users or groups have permission to log on as a Remote Desktop Services client.

Default:

On workstation and servers: Administrators, Remote Desktop Users.
On domain controllers: Administrators.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.

1929Varmuuskopioi tiedostot ja kansiot

Tämä käyttöoikeus määrittää, ketkä käyttäjät voivat ohittaa tiedostojen ja kansioiden, rekisterin ja muiden pysyvien objektien oikeudet järjestelmän varmuuskopioimiseksi.

Tämä käyttöoikeus vastaa sitä, että seuraavat oikeudet myönnettäisiin käyttäjälle tai ryhmälle kaikkiin järjestelmän tiedostoihin ja kansioihin:

Käy kansio läpi / suorita tiedosto.
Luetteloi kansion sisältö / lue tiedot.
Lue määritteet.
Lue lisämääritteet.
Lue oikeudet.

Varoitus

Tämän käyttöoikeuden myöntäminen voi olla suojausriski. Koska ei voida olla varmoja siitä varmuuskopioiko käyttäjä tietoja vai varastaako tai kopioiko hän niitä muille jaettavaksi, myönnä tämä käyttöoikeus vain luotetuille käyttäjille.

Oletusarvo työasemissa ja palvelimissa: järjestelmänvalvojat
varmuuskopiointioperaattorit.

Oletusarvo toimialueen ohjauskoneissa: järjestelmänvalvojat
varmuuskopiointioperaattorit
palvelinoperaattorit.

Back up files and directories

This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
List Folder/Read Data
Read Attributes
Read Extended Attributes
Read Permissions

Caution

Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users.

Default on workstations and servers: Administrators
Backup Operators.

Default on domain controllers:Administrators
Backup Operators
Server Operators

1930Ohita läpikulun tarkistus

Tämä käyttöoikeus määrittää, ketkä käyttäjät voivat kulkea kansiopuiden läpi, vaikka heillä ei ole oikeuksia kansioon, jonka läpi he kulkevat. Tämä oikeus ei anna käyttäjälle oikeuksia tarkastella kansion sisältöä. Hän voi ainoastaan kulkea sen läpi.

Tämä käyttöoikeus määritetään toimialueen ohjauskoneen oletusryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä.

Oletusarvo työasemissa ja palvelimissa:
järjestelmänvalvojat
varmuuskopiointioperaattorit
käyttäjät
kaikki
paikallinen palvelu
verkkopalvelu.

Oletusarvo toimialueen ohjauskoneissa:
järjestelmänvalvojat
todennetut käyttäjät
kaikki
paikallinen palvelu
verkkopalvelu
Windows 2000:ta vanhempien versioiden yhteensopivuustuki.

Bypass traverse checking

This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone
Local Service
Network Service

Default on domain controllers:
Administrators
Authenticated Users
Everyone
Local Service
Network Service
Pre-Windows 2000 Compatible Access

1931Järjestelmäajan muuttaminen

Tämä käyttäjän oikeus määrittää, ketkä käyttäjät ja mitkä ryhmät voivat muuttaa tietokoneen sisäisen kellon aikaa ja päivämäärää. Käyttäjät, joilla on tämä käyttäjän oikeus, voivat vaikuttaa tapahtumalokien ulkoasuun. Jos järjestelmäaikaa muutetaan, kirjatuissa tapahtumissa näkyy tämä uusi aika eikä todellinen aika, jolloin tapahtuma ilmeni.

Tämä käyttäjän oikeus määritetään toimialueen ohjauskoneen oletusryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä.

Oletusarvo työasemissa ja palvelimissa:
Järjestelmänvalvojat
Paikallinen palvelu

Oletusarvo toimialueen ohjauskoneissa:
Järjestelmänvalvojat
Palvelinoperaattorit
Paikallinen palvelu

Change the system time

This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Local Service

Default on domain controllers:
Administrators
Server Operators
Local Service

1932Sivutustiedoston luominen

Tämä käyttäjän oikeus määrittää, ketkä käyttäjät ja mitkä ryhmät voivat kutsua sisäistä sovellusohjelmointiliittymää (API) ja luoda sivutustiedoston sekä muuttaa sen koon. Käyttöjärjestelmä käyttää tätä käyttäjän oikeutta sisäisesti, joten tätä oikeutta ei tarvitse yleensä osoittaa käyttäjille.

Lisätietoja sivutustiedoston koon määrittämisestä tietyssä asemassa on kohdassa Näennäismuistin sivutustiedoston koon muuttaminen.

Oletusarvo: Järjestelmänvalvojat.

Create a pagefile

This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users.

For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file.

Default: Administrators.

1933Käyttöoikeustietueobjektin luominen

Tämä suojausasetus määrittää, mitä tilejä prosessit voivat käyttää sellaisen tietueen luomiseen, jolla saadaan käyttöön paikalliset resurssit, kun prosessi luo käyttöoikeustietueen käyttämällä sisäistä sovellusohjelmointiliittymää (API).

Käyttöjärjestelmä käyttää tätä käyttäjän oikeutta sisäisesti. Älä määritä tätä käyttäjän oikeutta käyttäjälle, ryhmälle tai prosessille muualla kuin paikallisessa järjestelmässä, ellei se ole aivan välttämätöntä.

Varoitus

Tämän käyttäjän oikeuden myöntäminen voi olla suojausriski. Älä määritä tätä käyttäjän oikeutta kenellekään käyttäjälle tai millekään ryhmälle tai prosessille, jonka et halua ottavan järjestelmää valvontaansa.
Oletusarvo: Ei mitään.

Create a token object

This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token.

This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.
Default: None

1934Yleisten objektien luominen

Tämä suojausasetus määrittää, voivatko käyttäjät luoda yleisiä objekteja, jotka ovat käytettävissä kaikissa istunnoissa. Käyttäjät voivat silti luoda objekteja, jotka ovat käytettävissä heidän omissa istunnoissaan, vaikka heillä ei olisikaan tätä käyttäjäoikeutta. Käyttäjät, joilla on oikeus luoda yleisiä objekteja, voivat vaikuttaa käyttäjäistuntojen taustalla suoritettaviin prosesseihin, mistä voi aiheutua sovellusvirheiden tai tietojen vioittumisen vaara.

Varoitus

Tämän käyttäjän oikeuden myöntäminen voi olla suojausriski. Anna tämä käyttäjän oikeus vain luotetuille käyttäjille.

Oletusarvo:

Järjestelmänvalvojat
Paikallinen palvelu
Verkkopalvelu
Palvelu
Create global objects

This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption.

Caution

Assigning this user right can be a security risk. Assign this user right only to trusted users.

Default:

Administrators
Local Service
Network Service
Service
1935Luo pysyviä jaettuja objekteja

Tämä käyttöoikeus määrittää, mitkä tilit voivat käyttää prosesseja hakemisto-objektin luomiseen objektien hallinnassa.

Käyttöjärjestelmä käyttää tätä käyttöoikeutta sisäisesti. Oikeudesta on hyötyä ydintilan osille, jotka laajentavat objektien nimitilaa. Koska ydintilassa suoritettaville osille on jo määritetty tämä käyttöoikeus, sitä ei tarvitse nimenomaisesti määrittää.

Oletus: ei mitään.
Create permanent shared objects

This user right determines which accounts can be used by processes to create a directory object using the object manager.

This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it.

Default: None.
1936Ohjelmien virheenkorjaus

Tämä käyttäjän oikeus määrittää, ketkä käyttäjät voivat liittää virheenkorjausohjelman mihin tahansa prosessiin tai ytimeen. Sovelluskehittäjille, jotka testaavat omia sovelluksiaan, ei tarvitse määrittää tätä käyttäjän oikeutta. Sovelluskehittäjät, jotka testaavat uusia järjestelmäkomponentteja, tarvitsevat tämän käyttäjän oikeuden testausta varten. Tämä käyttäjän oikeus antaa käyttöön kriittisiä käyttöjärjestelmän osia.

Varoitus

Tämän käyttäjän oikeuden myöntäminen voi olla suojausriski. Määritä tämä käyttäjän oikeus vain luotetuille käyttäjille.

Oletusarvo: Järjestelmänvalvojat
Debug programs

This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: Administrators
1937Estä tämän tietokoneen käyttö verkosta

Tämä suojausasetus määrittää, keiltä käyttäjiltä estetään tietokoneen käyttö verkossa. Tämä käytäntöasetus ohittaa Tietokoneen käyttö verkosta -käytäntöasetuksen, jos kumpikin käytäntö liittyy käyttäjätiliin.

Oletusarvo: Vieras
Deny access to this computer from the network

This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies.

Default: Guest
1938Estä kirjautuminen komentojonotyönä

Tämä suojausasetus määrittää, miltä tileiltä estetään kirjautuminen komentojonotyönä. Tämä käytäntöasetus ohittaa Kirjautuminen komentojonotyönä -käytäntöasetuksen, jos kumpikin käytäntö liittyy käyttäjätiliin.

Oletusarvo: Ei mitään.

Deny log on as a batch job

This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies.

Default: None.

1939Estä kirjautuminen palveluna

Tämä suojausasetus määrittää, miltä palvelutileiltä estetään prosessin rekisteröiminen palveluna. Tämä käytäntöasetus ohittaa Kirjautuminen palveluna -käytäntöasetuksen, jos kumpikin käytäntö liittyy tiliin.

Huomautus: Tämä suojausasetus ei koske Järjestelmä-, Paikallinen palvelu- tai Verkkopalvelu-tilejä.

Oletusarvo: Ei mitään.
Deny log on as a service

This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies.

Note: This security setting does not apply to the System, Local Service, or Network Service accounts.

Default: None.
1940Estä kirjautuminen paikallisesti

Tämä suojausasetus määrittää, keiltä käyttäjiltä estetään kirjautuminen tietokoneeseen. Tämä käytäntöasetus ohittaa Salli kirjautuminen paikallisesti -käytäntöasetuksen, jos kumpikin käytäntö liittyy tiliin.

Tärkeää

Jos käytät tätä suojauskäytäntöä Kaikki-ryhmään, kukaan ei voi kirjautua paikallisesti.

Oletusarvo: Ei mitään.
Deny log on locally

This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies.

Important

If you apply this security policy to the Everyone group, no one will be able to log on locally.

Default: None.
1941Estä kirjautuminen etätyöpöytäpalveluiden kautta

Tämä suojausasetus määrittää, keiltä käyttäjiltä ja miltä ryhmiltä estetään kirjautuminen etätyöpöytäpalveluasiakkaana.

Oletusarvo: ei mitään.

Tärkeää

Tällä asetuksella ei ole vaikutusta Windows 2000 -tietokoneissa, joita ei ole päivitetty Service Pack 2 -versioon.
Deny log on through Remote Desktop Services

This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client.

Default: None.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.
1942Tietokone- ja käyttäjätilien delegoinnin luottamisen ottaminen käyttöön

Tämä suojausasetus määrittää, ketkä käyttäjät voivat määrittää Luotettu valtuutusta varten -asetuksen käyttäjä- tai tietokoneobjektille.

Käyttäjällä tai objektilla, jolle annetaan tämä oikeus, täytyy olla kirjoitusoikeus käyttäjätilin valvontamerkintöihin käyttäjä- tai tietokoneobjektissa. Palvelinprosessi, joka on käytössä delegoinnin kannalta luotettavassa tietokoneessa (tai käyttäjäkontekstissa), voi käyttää toisen tietokoneen resursseja asiakkaan delegoiduilla tunnistetiedoilla, kunhan asiakastilille ei ole määritetty delegoinnin kieltävää käyttäjätilin valvontamerkintää.

Tämä käyttöoikeus määritetään toimialueen ohjauskoneen oletusryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä.

Varoitus

Tämän käyttäjän oikeuden tai Luotettu valtuutusta varten -asetuksen väärinkäyttö voi altistaa verkon troijalaisille viruksille, jotka tekeytyvät saapuviksi asiakkaiksi ja käyttävät näiden tunnistetietoja päästäkseen käyttämään verkon resursseja.

Oletusarvo: toimialueen ohjauskoneiden järjestelmänvalvojat.
Enable computer and user accounts to be trusted for delegation

This security setting determines which users can set the Trusted for Delegation setting on a user or computer object.

The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Caution

Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources.

Default: Administrators on domain controllers.
1943Pakota sammutus etäjärjestelmästä

Tämä suojausasetus määrittää, keillä käyttäjillä on oikeus sammuttaa tietokone verkon etäyhteyden kautta. Tämän käyttäjän oikeuden väärinkäyttö voi johtaa palvelun estoon.

Tämä käyttäjän oikeus määritetään toimialueen ohjauskoneen oletusryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä.

Oletusarvo:

Työasemissa ja palvelimissa: järjestelmänvalvojat.
Toimialueen ohjauskoneissa: järjestelmänvalvojat, palvelinoperaattorit.
Force shutdown from a remote system

This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default:

On workstations and servers: Administrators.
On domain controllers: Administrators, Server Operators.
1944Luo suojausvalvontapahtumat

Tämä suojausasetus määrittää, mitä tilejä prosessi voi käyttää lisättäessä merkintöjä suojauslokiin. Suojauslokilla seurataan luvatonta järjestelmän käyttöä. Tämän käyttäjän oikeuden väärinkäyttö voi johtaa monien valvontatapahtumien luomiseen, mikä saattaa piilottaa todisteita hyökkäyksestä tai aiheuttaa palvelun eston, jos Seuranta: sammuta järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -suojauskäytäntöasetus on käytössä. Lisätietoja on kohdassa Seuranta: sammuta järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu

Oletusarvo: paikallinen palvelu
verkkopalvelu.
Generate security audits

This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits

Default: Local Service
Network Service.
1945Asiakkaaksi tekeytyminen todennuksen jälkeen

Jos tämän oikeus annetaan käyttäjälle, hänen puolestaan suoritettavat ohjelmat voivat tekeytyä asiakkaaksi. Jos tämä käyttäjän oikeus tarvitaan tämänkaltaista tekeytymistä varten, luvaton käyttäjä ei saa asiakasta muodostamaan yhteyttä (esimerkiksi etäproseduurikutsun tai nimettyjen putkien avulla) luomaansa palveluun ja sitten tekeytymään asiakkaaksi, joka voi puolestaan ylentää luvattoman käyttäjän oikeudet järjestelmänvalvojan tai järjestelmän tasolle.

Varoitus

Tämän käyttäjän oikeuden myöntäminen voi olla suojausriski. Määritä tämä käyttäjän oikeus vain luotetuille käyttäjille.

Oletusarvo:

Järjestelmänvalvojat
Paikallinen palvelu
Verkkopalvelu
Palvelu

Huomautus: Palvelujen hallinnan käynnistämien palvelujen käyttöoikeustietueisiin lisätään oletusarvoisesti sisäinen palveluryhmä. Myös palveluryhmä lisätään sellaisten COM-infrastruktuurin käynnistämien COM (Component Object Model) -palvelimien käyttöoikeustietueisiin, jotka on määritetty suoritettaviksi tietyn tilin alaisuudessa. Tämän ansiosta palvelut saavat käynnistettäessä tämän käyttäjän oikeuden.

Käyttäjä voi myös tekeytyä käyttöoikeustietueeksi seuraavissa tilanteissa.

Tekeytymisen kohteena oleva käyttöoikeustietue on tarkoitettu tälle käyttäjälle.
Käyttäjä loi käyttöoikeustietueen tässä sisäänkirjautumisistunnossa kirjautumalla verkkoon eksplisiittisillä tunnistetiedoilla.
Pyydetty taso on Tekeydy-tasoa alhaisempi, kuten Anonyymi tai Tunnista.
Näiden syiden vuoksi käyttäjä ei yleensä tarvitse tätä käyttäjän oikeutta.

Lisätietoja on Microsoft Platform SDK:n SeImpersonatePrivilege-kohdassa.

Varoitus

Jos otat tämän asetuksen käyttöön, ohjelmat voivat menettää Tekeydy-oikeutensa ja niiden suoritus voi epäonnistua.
Impersonate a client after authentication

Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default:

Administrators
Local Service
Network Service
Service

Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started.

In addition, a user can also impersonate an access token if any of the following conditions exist.

The access token that is being impersonated is for this user.
The user, in this logon session, created the access token by logging on to the network with explicit credentials.
The requested level is less than Impersonate, such as Anonymous or Identify.
Because of these factors, users do not usually need this user right.

For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK.

Warning

If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run.
1946Ajoitusprioriteetin lisääminen

Tämän suojausasetus määrittää, mitkä tilit voivat käyttää prosessia, jolla on Kirjoita ominaisuus -oikeus toiseen prosessiin, toisen prosessin suoritusprioriteetin nostamiseen. Käyttäjä, jolla on tämä oikeus, voi muuttaa prosessin ajoitusprioriteettia Tehtävienhallinta-käyttöliittymästä.

Oletusarvo: Järjestelmänvalvojat.
Increase scheduling priority

This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface.

Default: Administrators.
1947Laiteohjaimen lataaminen ja poistaminen

Tämä käyttäjän oikeus määrittää, ketkä käyttäjät voivat dynaamisesti ladata ja poistaa laiteohjaimia tai muuta koodia ydintilassa. Tämä käyttäjän oikeus ei koske Plug and Play -laiteohjaimia. Tätä oikeutta ei suositella annettavaksi muille käyttäjille.

Varoitus

Tämän käyttäjän oikeuden myöntäminen voi olla suojausriski. Älä määritä tätä käyttäjän oikeutta kenellekään käyttäjälle tai millekään ryhmälle tai prosessille, jonka et halua ottavan järjestelmää valvontaansa.

Oletusarvo työasemissa ja palvelimissa: Järjestelmänvalvojat.

Oletusarvo toimialueen ohjauskoneissa:
Järjestelmänvalvojat
Tulostusoperaattorit
Load and unload device drivers

This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.

Default on workstations and servers: Administrators.

Default on domain controllers:
Administrators
Print Operators
1948Muistissa olevien sivujen lukitseminen

Tämä suojausasetus määrittää, mitkä tilit voivat käyttää prosessia tietojen säilyttämiseksi fyysisessä muistissa (tämä estää järjestelmää siirtämästä tietoja näennäismuistiin levylle). Tämän oikeuden käytöllä voi olla merkittävä vaikutus järjestelmän suorituskykyyn, sillä se pienentää käytettävissä olevan RAM-muistin määrää.

Oletusarvo: Ei mitään.
Lock pages in memory

This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM).

Default: None.
1949Kirjautuminen komentojonotyönä

Tämä suojausasetus antaa käyttäjälle oikeuden kirjautua sisään komentojonotyönä ja se on sisällytetty yhteensopivuussyistä Windowsin aikaisempien versioiden kanssa.

Kun käyttäjä esimerkiksi lähettää työn Tehtävien ajoitus -toiminnon avulla, tämä palvelu kirjaa käyttäjän komentojonokäyttäjänä
eikä vuorovaikutteisena käyttäjänä.

Oletusarvo: Järjestelmänvalvojat
Varmuuskopiointioperaattorit.
Log on as a batch job

This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows.

For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user.


Default: Administrators
Backup Operators.
1950Kirjautuminen palveluna

Tämä suojausasetus sallii suojauspääobjektin kirjautua palveluna. Palvelut voidaan määrittää suoritettaviksi Paikallinen järjestelmä-, Paikallinen palvelu- tai Verkkopalvelu-tileillä, joilla on sisäinen oikeus kirjautua palveluna. Palveluille, joita suoritetaan jollakin muulla tilillä, on määritettävä oikeus erikseen.

Oletusarvo: Ei mitään.
Log on as a service

This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right.

Default setting: None.
1951Hallitse valvonta- ja suojauslokia

Tämä suojausasetus määrittää, ketkä käyttäjät voivat määrittää objektin käytönvalvonta-asetuksia yksittäisille resursseille, kuten tiedostoille, Active Directory -objekteille ja rekisteriavaimille.

Tämä suojausasetus ei anna käyttäjälle oikeutta ottaa käyttöön tiedostojen ja objektien käytönvalvontaa yleisellä tasolla. Jotta tällainen valvonta olisi mahdollista,Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Paikalliset käytännöt\Valvontakäytäntö-kansiossa on oltava määritettynä Valvo objektin käyttöä -asetus.

Voit tarkastella Tapahtumienvalvonnan suojauslokissa olevia valvottuja tapahtumia. Käyttäjä, jolla on tämä oikeus, voi myös tarkastella suojauslokia tai tyhjentää sen.

Oletusarvo: järjestelmänvalvojat.
Manage auditing and security log

This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys.

This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured.

You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log.

Default: Administrators.
1952Laitteisto-ohjelmiston ympäristöarvojen muokkaaminen

Tämä suojausasetus määrittää, kuka voi muokata laitteisto-ohjelmiston ympäristöarvoja. Laitteisto-ohjelmiston ympäristömuuttujat ovat asetuksia, jotka on tallennettu muiden kuin x86-pohjaisten tietokoneiden säilyvään RAM-muistiin. Asetuksen vaikutus riippuu suorittimesta.

Ainoa laitteisto-ohjelmiston ympäristöarvo, jota voi muokata x86-pohjaisissa tietokoneissa määrittämällä tämä oikeus, on Viimeisin toiminut kokoonpano -asetus. Muiden kuin järjestelmän ei pitäisi muokata tätä asetusta.
Itanium-pohjaisissa tietokoneissa käynnistystiedot tallennetaan säilyvään RAM-muistiin. Käyttäjille on annettava tämä käyttäjän oikeus, jotta he voivat suorittaa bootcfg.exe-ohjelman ja muuttaa Ominaisuudet: Järjestelmä -valintaikkunan Käynnistys ja palautuminen -osion Oletuskäyttöjärjestelmä-asetusta.
Tämä käyttäjän oikeus vaaditaan kaikissa tietokoneissa Windowsin asentamiseen tai päivittämiseen.

Huomautus: Tämä suojausasetus ei vaikuta siihen, kuka voi muokata Ominaisuudet: Järjestelmä -valintaikkunan Lisäasetukset-välilehdessä näkyviä järjestelmän ja käyttäjän ympäristömuuttujia. Lisätietoja näiden muuttujien muokkaamisesta on ympäristömuuttujien arvojen lisäämistä tai muuttamista käsittelevässä kohdassa.

Oletusarvo: Järjestelmänvalvojat.
Modify firmware environment values

This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor.

On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system.
On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties.
On all computers, this user right is required to install or upgrade Windows.

Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables.

Default: Administrators.
1953Aseman ylläpitotehtävien suorittaminen

Tämä suojausasetus määrittää, ketkä käyttäjät ja mitkä ryhmät voivat suorittaa aseman ylläpitotehtäviä, kuten etäeheytystä.

Ole varovainen tämän käyttäjän oikeuden myöntämisessä. Jos käyttäjällä on tämä oikeus, hän voi tarkastella levyjen sisältöä ja laajentaa tiedostoja muistiin, jossa on muita tietoja. Kun laajennettu tiedosto avataan, käyttäjä voi ehkä pystyä lukemaan ja muokkaamaan saatuja tietoja.

Oletusarvo: Järjestelmänvalvojat.
Perform volume maintenance tasks

This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation.

Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data.

Default: Administrators
1954Yksittäisen prosessin profiloiminen

Tämä suojausasetus määrittää, ketkä käyttäjät voivat valvoa muiden kuin järjestelmäprosessien suorituskykyä käyttämällä suorituskyvyn seurantatyökaluja.

Oletus: järjestelmänvalvojat, tehokäyttäjät.
Profile single process

This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes.

Default: Administrators, Power users.
1955Järjestelmän suorituskyvyn profiloiminen

Tämä suojausasetus määrittää, ketkä käyttäjät voivat valvoa järjestelmäprosessien suorituskykyä käyttämällä suorituskyvyn seurantatyökaluja.

Oletusarvo: Järjestelmänvalvojat.

Profile system performance

This security setting determines which users can use performance monitoring tools to monitor the performance of system processes.

Default: Administrators.

1956Tietokoneen poistaminen telakointiasemasta

Tämä suojausasetus määrittää, voiko käyttäjä poistaa kannettavan tietokoneen telakointiasemasta kirjautumatta siihen.

Jos tämä käytäntö otetaan käyttöön, käyttäjän täytyy kirjautua sisään, ennen kuin hän voi poistaa kannettavan tietokoneen telakointiasemasta. Jos tämä käytäntö poistetaan käytöstä, käyttäjä voi poistaa kannettavan tietokoneen telakointiasemasta kirjautumatta sisään.

Oletusarvo: Järjestelmänvalvojat, Tehokäyttäjät, Käyttäjät.
Remove computer from docking station

This security setting determines whether a user can undock a portable computer from its docking station without logging on.

If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on.

Default: Administrators, Power Users, Users
1957Prosessitason tunnuksen korvaaminen

Tämä suojausasetus määrittää, mitkä käyttäjätilit voivat kutsua CreateProcessAsUser()-API-liittymää niin, että jokin palvelu voi käynnistää toisen palvelun. Tehtävien ajoitus -toiminto on esimerkki prosessista, joka käyttää tätä käyttäjän oikeutta. Lisätietoja Tehtävien ajoitus -toiminnosta on Tehtävien ajoituksen yleiskatsauksessa.

Oletusarvo: Verkkopalvelu, Paikallinen palvelu.
Replace a process level token

This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview.

Default: Network Service, Local Service.
1958Palauta tiedostot ja hakemistot

Tämä suojausasetus määrittää, ketkä käyttäjät voivat ohittaa tiedostojen, kansioiden, rekisterin ja muiden pysyvien objektien oikeudet palautettaessa varmuuskopioituja tiedostoja ja hakemistoja, ja ketkä käyttäjät voivat määrittää kelvollisen suojauspääobjektin objektin omistajaksi.

Tämä käyttöoikeus vastaa sitä, että seuraavat oikeudet myönnettäisiin käyttäjälle tai ryhmälle kaikkiin järjestelmän tiedostoihin ja kansioihin:

Käy kansio läpi / suorita tiedosto.
Kirjoita.

Varoitus

Tämän käyttöoikeuden myöntäminen voi olla suojausriski. Koska käyttäjät, joilla on tämä oikeus, voivat korvata rekisteriasetuksia, piilottaa tietoja ja saada omistukseensa järjestelmäobjekteja, myönnä tämä käyttöoikeus vain luotetuille käyttäjille.

Oletusarvo:

Työasemat ja palvelimet: järjestelmänvalvojat ja varmuuskopiointioperaattorit.
Toimialueen ohjauskoneet: järjestelmänvalvojat, varmuuskopiointioperaattorit ja palvelinoperaattorit.
Restore files and directories

This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
Write

Caution

Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users.

Default:

Workstations and servers: Administrators, Backup Operators.
Domain controllers: Administrators, Backup Operators, Server Operators.
1959Järjestelmän sammuttaminen

Tämä suojausasetus määrittää, ketkä käyttöjärjestelmään paikallisesti kirjautuneet käyttäjät voivat sammuttaa käyttöjärjestelmän Sammuta-komennolla. Tämän käyttäjän oikeuden väärinkäyttö voi johtaa palvelun estoon.

Oletusarvo:

Työasemat: Järjestelmänvalvojat, Varmuuskopiointioperaattorit, Käyttäjät.

Palvelimet: Järjestelmänvalvojat, Varmuuskopiointioperaattorit.

Toimialueen ohjauskoneet: Järjestelmänvalvojat, Varmuuskopiointioperaattorit, Palvelinoperaattorit, Tulostusoperaattorit.
Shut down the system

This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service.

Default on Workstations: Administrators, Backup Operators, Users.

Default on Servers: Administrators, Backup Operators.

Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators.
1960Hakemistopalvelun tietojen synkronoiminen

Tämä suojausasetus määrittää, ketkä käyttäjät ja mitkä ryhmät saavat synkronoida kaikki hakemistopalvelun tiedot. Tätä kutsutaan myös Active Directory -synkronoinniksi.

Oletusarvot: Ei mitään.
Synchronize directory service data

This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization.

Defaults: None.
1961Ota tiedostot tai muut objektit omistukseen

Tämä suojausasetus määrittää, ketkä käyttäjät voivat ottaa omistukseensa suojattavissa olevan objektin järjestelmässä. Tällaisia objekteja ovat esimerkiksi Active Directory -objektit, tiedostot ja kansiot, tulostimet, rekisteriavaimet, prosessit ja säikeet.

Varoitus

Tämän käyttöoikeuden myöntäminen voi olla suojausriski. Koska objektien omistajilla on täydet oikeudet objekteihin, myönnä tämä oikeus vain luotetuille käyttäjille.

Oletusarvo: järjestelmänvalvojat.
Take ownership of files or other objects

This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads.

Caution

Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users.

Default: Administrators.
1962Tilit: Järjestelmänvalvoja-tilin tila

Tämä suojausasetus määrittää, otetaanko paikallinen Järjestelmänvalvoja-tili vai poistetaanko se käytöstä.

Huomautuksia

Jos yrität ottaa Järjestelmänvalvoja-tilin uudelleen käyttöön sen jälkeen, kun se on poistettu käytöstä, ja jos nykyinen järjestelmänvalvojan salasana ei ole salasanavaatimusten mukainen, et voi ottaa tiliä uudelleen käyttöön. Tällöin jonkun muun Järjestelmänvalvojat-ryhmän jäsenen on vaihdettava Järjestelmänvalvoja-tilin salasana. Lisätietoja on salasanan vaihtamista käsittelevässä kohdassa.
Järjestelmänvalvoja-tilin poistaminen käytöstä voi aiheuttaa ylläpito-ongelman joissakin tilanteissa.

Vikasietokäynnistyksessä käytöstä poistettu Järjestelmänvalvoja-tili otetaan käyttöön vain, jos tietokonetta ei ole liitetty toimialueeseen eikä muita paikallisia Järjestelmänvalvoja-tilejä ole aktiivisena. Jos tietokone on liitetty toimialueeseen, käytöstä poistettua Järjestelmänvalvoja-tiliä ei oteta käyttöön.

Oletusarvo: Ei käytössä.
Accounts: Administrator account status

This security setting determines whether the local Administrator account is enabled or disabled.

Notes

If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password.
Disabling the Administrator account can become a maintenance issue under certain circumstances.

Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled.

Default: Disabled.
1963Tilit: Vieras-tilin tila

Tämä suojausasetus määrittää, onko Vieras-tili käytössä vai ei.

Oletusarvo: Ei käytössä.

Huomautus: Jos Vieras-tili on poistettu käytöstä ja Verkkokäyttö: Paikallisten tilien jakamis- ja suojausmalli -suojausasetuksen arvo on Vain Vieras-tili, verkkokirjautumiset, joita tekee esimerkiksi Microsoft-verkkopalvelin (SMB-palvelu), epäonnistuvat.
Accounts: Guest account status

This security setting determines if the Guest account is enabled or disabled.

Default: Disabled.

Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail.
1964Tilit: salli tyhjien salasanojen käyttäminen paikallisessa tilissä ainoastaan konsoliin kirjauduttaessa

Tämä suojausasetus määrittää, voiko paikallisilla tileillä, joita ei ole suojattu salasanalla, kirjautua muualta kuin fyysisestä tietokonekonsolista. Jos asetus otetaan käyttöön, paikalliset tilit, joita ei ole suojattu salasanalla, voivat kirjautua sisään vain tietokoneen näppäimistöltä.

Oletusarvo: käytössä.


Varoitus

Tietokoneiden, jotka eivät ole fyysisesti suojatussa paikassa, kaikissa paikallisissa käyttäjätileissä tulisi aina olla käytössä vahvat salasanakäytännöt. Muuten kuka tahansa, joka pääsee fyysisesti käsiksi tietokoneeseen, voi kirjautua sisään käyttäjätilillä, jolla ei ole salasanaa. Tämä on erityisen tärkeää kannettavissa tietokoneissa.
Jos käytät tätä suojauskäytäntöä Kaikki-ryhmässä, kukaan ei voi kirjautua sisään etätyöpöytäpalveluiden kautta.

Huomautuksia

Tämä asetus ei vaikuta kirjautumisiin, joissa käytetään toimialuetilejä.
Sovellukset, jotka kirjautuvat sisään vuorovaikutteisesti etäyhteyden kautta, voivat ohittaa tämän asetuksen.

Huomautus: aiemmissa Windows Server -versioissa etätyöpöytäpalvelut tunnettiin nimellä päätepalvelut.
Accounts: Limit local account use of blank passwords to console logon only

This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard.

Default: Enabled.


Warning:

Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers.
If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services.

Notes

This setting does not affect logons that use domain accounts.
It is possible for applications that use remote interactive logons to bypass this setting.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.
1965Tilit: Nimeä Järjestelmänvalvoja-tili uudelleen

Tämä suojausasetus määrittää, liittyykö Järjestelmänvalvoja-tilin suojaustunnukseen (SID) toinen tilinimi. Yleisesti käytetyn Järjestelmänvalvoja-tilin nimen vaihtaminen vaikeuttaa sitä, että luvaton käyttäjä arvaa käyttäjänimen ja salasanan yhdistelmän.

Oletusarvo: Järjestelmänvalvoja.
Accounts: Rename administrator account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination.

Default: Administrator.
1966Tilit: Nimeä Vieras-tili uudelleen

Tämä suojausasetus määrittää, liittyykö Vieras-tilin suojaustunnukseen (SID) toinen tilinimi. Yleisesti käytetyn Vieras-tilin nimen vaihtaminen vaikeuttaa sitä, että luvaton käyttäjä arvaa käyttäjänimen ja salasanan yhdistelmän.

Oletusarvo: Vieras.

Accounts: Rename guest account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination.

Default: Guest.

1967Valvonta: valvo yleisten järjestelmäobjektien käyttöä

Tämä suojausasetus määrittää, valvotaanko yleisten järjestelmäobjektien käyttöä.

Jos tämä käytäntö otetaan käyttöön, järjestelmäobjekteille, kuten mutekseille, tapahtumille, semaforeille ja DOS-laitteille, luodaan järjestelmän oletuskäyttöoikeusluettelo. Vain nimetyille objekteille luodaan järjestelmän käyttöoikeusluettelo; niitä ei luoda objekteille, joilla ei ole nimeä. Jos myös Valvo objektin käyttöä -valvontakäytäntö otetaan käyttöön, näiden järjestelmäobjektien käyttöä valvotaan.

Huomautus: jos määrität tämän suojausasetuksen, muutokset eivät tule voimaan, ennen kuin käynnistät Windowsin uudelleen.

Oletusarvo: ei käytössä.
Audit: Audit the access of global system objects

This security setting determines whether to audit the access of global system objects.

If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.
1968Valvonta: valvo varmuuskopiointi- ja palautusoikeuksien käyttöä

Tämä suojausasetus määrittää, valvotaanko kaikkien käyttäjän oikeuksien käyttöä (varmuuskopiointi ja palautus mukaan lukien), kun Valvo oikeuksien käyttöä -käytäntö on voimassa. Jos otat tämän asetuksen käyttöön, kun Valvo oikeuksien käyttöä -käytäntö on myös käytössä, jokaisesta varmuuskopioidusta tai palautetusta tiedostosta luodaan valvontatapahtuma.

Jos poistat tämän käytännön käytöstä, Varmuuskopiointi tai palautus -oikeuden käyttöä ei valvota, vaikka Valvo oikeuksien käyttöä -asetus on käytössä.

Huomautus: Jos määrität tämän suojausasetuksen, muutokset eivät tule voimaan Windows Vistaa aiemmissa Windows-versioissa, ennen kuin käynnistät Windowsin uudelleen. Tämän asetuksen ottaminen käyttöön voi aiheuttaa varmuuskopiointitoiminnon aikana runsaasti tapahtumia, jopa satoja sekunnissa.

Oletusarvo: ei käytössä.

Audit: Audit the use of Backup and Restore privilege

This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored.

If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation.

Default: Disabled.

1969Valvonta: sammuta järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu

Tämä suojausasetus määrittää, sammuttaako järjestelmä itsensä, jos suojaustapahtumia ei voida kirjata.

Jos tämä suojausasetus otetaan käyttöön, järjestelmä sammuttaa itsensä, jos suojaustapahtumaa ei voida kirjata jostain syystä. Yleensä tapahtuman kirjaaminen estyy, kun suojauksen valvonnan loki täyttyy ja suojauslokille määritetty säilytysmenetelmä on joko Älä korvaa tapahtumia tai Korvaa tapahtumia päivien mukaan.

Jos suojausloki on täynnä, olemassa olevaa merkintää ei voi korvata ja tämä suojausasetus on käytössä, esiin tulee seuraava pysäytysvirhe:

STOP: C0000244 {Valvonta epäonnistui}
Suojauksen valvontatapahtuman lisääminen epäonnistui.
Virhetilanteesta palautuminen edellyttää, että järjestelmänvalvoja kirjautuu sisään, arkistoi lokin (valinnainen), tyhjentää lokin ja nollaa tämän asetuksen tarvittaessa. Kukaan käyttäjän Järjestelmänvalvojat-ryhmän jäseniä lukuun ottamatta ei voi kirjautua sisään järjestelmään, ennen kuin tämä suojausasetus nollataan, vaikka suojausloki ei olisikaan täynnä.

Huomautus: jos määrität tämän suojausasetuksen Windows Vistaa aiemmissa Windows-versioissa, muutokset eivät tule voimaan, ennen kuin käynnistät Windowsin uudelleen.

Oletusarvo: ei käytössä.

Audit: Shut down system immediately if unable to log security audits

This security setting determines whether the system shuts down if it is unable to log security events.

If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days.

If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears:

STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.
To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

1970Laitteet: Salli telakointiasemasta poistaminen ilman kirjautumista

Tämä suojausasetus määrittää, voidaanko kannettava tietokone poistaa telakointiasemasta ilman kirjautumista. Jos tämä käytäntö otetaan käyttöön, kirjautumista ei tarvita ja tietokoneen voi poistaa painamalla laitteiston poistopainiketta. Jos käytäntö poistetaan käytöstä, käyttäjän täytyy kirjautua sisään ja hänellä on oltava Tietokoneen poistaminen telakointiasemasta -oikeus, jotta hän voi poistaa tietokoneen.

Oletusarvo: Käytössä.

Varoitus

Tämän käytännön poistaminen käytöstä voi houkutella käyttäjiä poistamaan kannettavan tietokoneen telakointiasemasta fyysisesti muulla tavoin kuin painamalla laitteiston poistopainiketta. Koska tämä voi vahingoittaa laitteistoa, tätä asetusta ei pitäisi yleensä poistaa käytöstä kannettavissa tietokoneissa, jotka voi suojata fyysisesti.

Devices: Allow undock without having to log on

This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer.

Default: Enabled.

Caution

Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable.

1971Laitteet: Siirrettävien tietovälineiden poistaminen ja alustaminen sallittu

Tämä suojausasetus määrittää, kuka voi poistaa ja alustaa siirrettävän NTFS-tietovälineen. Tämä oikeus voidaan myöntää seuraaville:

Järjestelmänvalvojat
Järjestelmänvalvojat ja vuorovaikutteiset käyttäjät

Oletusarvo: Tätä käytäntöä ei ole määritetty ja tämä oikeus on vain Järjestelmänvalvojat-ryhmällä.

Devices: Allowed to format and eject removable media

This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to:

Administrators
Administrators and Interactive Users

Default: This policy is not defined and only Administrators have this ability.

1972Laitteet: Estä käyttäjiä asentamasta tulostinohjaimia muodostettaessa yhteyttä jaettuihin tulostimiin

Jotta tietokone voi tulostaa jaettuun tulostimeen, kyseisen jaetun tulostimen ohjaimen täytyy olla asennettuna paikallisessa tietokoneessa. Tämä suojausasetus määrittää, kuka voi asentaa tulostinohjaimen muodostettaessa yhteyttä jaettuun tulostimeen. Jos tämä asetus otetaan käyttöön, vain järjestelmänvalvojat voivat asentaa tulostinohjaimen muodostettaessa yhteyttä jaettuun tulostimeen. Jos tämä asetus poistetaan käytöstä, kaikki käyttäjät voivat asentaa tulostinohjaimen muodostettaessa yhteyttä jaettuun tulostimeen.

Oletusarvo palvelimissa: Käytössä.
Oletusarvo työasemissa: Ei käytössä


Huomautuksia

Tämä asetus ei estä lisäämästä paikallista tulostinta.
Tämä asetus ei koske tehokäyttäjiä tai järjestelmänvalvojia.
Devices: Prevent users from installing printer drivers when connecting to shared printers

For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer.

Default on servers: Enabled.
Default on workstations: Disabled


Notes

This setting does not affect the ability to add a local printer.
This setting does not affect Administrators.
1973Laitteet: Rajoita CD-asemien käyttöoikeus vain paikallisille käyttäjille

Tämä suojausasetus määrittää, voivatko sekä paikalliset että etäkäyttäjät käyttää CD-asemaa samanaikaisesti.

Jos tämä käytäntö otetaan käyttöön, vain vuorovaikutteisesti kirjautunut käyttäjä voi käyttää siirrettävää CD-tietovälinettä. Jos tämä käytäntö otetaan käyttöön eikä kukaan ole kirjautuneena vuorovaikutteisesti, CD-levyä voi käyttää verkon kautta.

Oletusarvo: Tätä käytäntöä ei ole määritetty ja paikallisesti kirjautuneen käyttäjän käyttöä CD-ROM-asemaan ei ole rajoitettu.

Devices: Restrict CD-ROM access to locally logged-on user only

This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network.

Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user.

1974Laitteet: Rajoita levykeasemien käyttöoikeus vain paikallisille käyttäjille

Tämä suojausasetus määrittää, voivatko sekä paikalliset että etäkäyttäjät käyttää levykeasemaa samanaikaisesti.

Jos tämä käytäntö otetaan käyttöön, vain vuorovaikutteisesti kirjautunut käyttäjä voi käyttää levykeasemaa. Jos tämä käytäntö otetaan käyttöön eikä kukaan ole kirjautuneena vuorovaikutteisesti, levykeasemaa voi käyttää verkon kautta.

Oletusarvo: Tätä käytäntöä ei ole määritetty ja paikallisesti kirjautuneen käyttäjän käyttöä levykeasemaan ei ole rajoitettu.

Devices: Restrict floppy access to locally logged-on user only

This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network.

Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user.

1975Laitteet: Allekirjoittamattoman ohjaimen asennustapa

Tämä suojausasetus määrittää, mitä tapahtuu, kun yritetään asentaa (asennus-API-liittymän avulla) laiteohjainta, jota Windows Hardware Quality Lab (WHQL) ei ole testannut.

Vaihtoehdot:

Älä ilmoita onnistumisesta
Varoita, mutta salli asennus
Älä salli asennusta
Oletusarvo: Varoita, mutta salli asennus.

Devices: Unsigned driver installation behavior

This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL).

The options are:

Silently succeed
Warn but allow installation
Do not allow installation
Default: Warn but allow installation.

1976Toimialueen ohjauskone: Salli palvelinoperaattoreiden ajoittaa tehtäviä

Tämä suojausasetus määrittää, voivatko palvelinoperaattorit lähettää töitä AT-ajoitustoiminnon avulla.

Huomautus: Tämä suojausasetus vaikuttaa vain AT-ajoitustoimintoon. Se ei vaikuta Tehtävien ajoitus -toimintoon.
Oletusarvo: Tätä käytäntöä ei määritetä, joten järjestelmä pitää sitä käytöstä poistettuna.

Domain controller: Allow server operators to schedule tasks

This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility.

Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility.
Default: This policy is not defined, which means that the system treats it as disabled.

1977Toimialueen ohjauskone: LDAP-palvelimen allekirjoitusvaatimukset

Tämä suojausasetus määrittää, edellyttääkö LDAP-palvelin, että kirjautumisesta neuvotellaan LDAP-asiakkaiden kanssa:

Ei mitään: Tietojen allekirjoitusta ei tarvita, jotta sidos palvelimeen voidaan muodostaa. Jos asiakas vaatii tietojen allekirjoitusta, palvelin tukee sitä.
Vaadi allekirjoitus: Jos TLS\SSL ei ole käytössä, LDAP:n tietojen allekirjoitusvalinnasta täytyy neuvotella.

Oletusarvo: Tätä käytäntöä ei ole määritetty. Tällä on sama vaikutus kuin asetuksella Ei mitään.

Varoitus

Jos palvelimen asetus on Vaadi allekirjoitus, myös asiakkaalla on oltava tämä asetus. Jos asiakkaalla ei ole tätä asetusta, palvelinyhteys katkeaa.

Huomautuksia

Tällä asetuksella ei ole mitään vaikutusta funktioon LDAP simple bind tai LDAP simple bind through SSL. Mitkään Windows XP Professionalin mukana toimitettavat Microsoftin LDAP-asiakkaat eivät käytä toimintoa LDAP simple bind tai LDAP simple bind through SSL keskusteluun toimialueen ohjauskoneen kanssa.
Jos allekirjoitusta edellytetään, LDAP simple bind - ja LDAP simple bind through SSL -pyynnöt torjutaan. Mitkään Windows XP Professionalin tai Windows Server 2003 -tuoteperheen Microsoftin LDAP-asiakkaat eivät käytä LDAP simple bind - tai LDAP simple bind through SSL -funktiota muodostamaan yhteyttä hakemistopalveluun.

Domain controller: LDAP server signing requirements

This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows:

None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it.
Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated.

Default: This policy is not defined, which has the same effect as None.

Caution

If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server.

Notes

This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller.
If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service.

1978Toimialueen ohjauskone: Estä tietokonetilin salasanan muuttaminen

Tämä suojausasetus määrittää, torjuvatko toimialueen ohjauskoneet jäsentietokoneiden pyynnöt muuttaa tietokonetilin salasanan. Jäsentietokoneet muuttavat tietokonetiliensä salasanat oletusarvoisesti 30 päivän välein. Jos tämä asetus otetaan käyttöön, toimialueen ohjauskone torjuu tietokonetilin salasanan muutospyynnöt.

Jos asetus on käytössä, toimialueen ohjauskone ei voi hyväksyä mitään muutoksia tietokonetilin salasanaan.

Oletusarvo: Tätä käytäntöä ei ole määritetty, minkä johdosta järjestelmä käsittelee sitä kuin sen arvon ollessa Ei käytössä.

Domain controller: Refuse machine account password changes

This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests.

If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password.

Default: This policy is not defined, which means that the system treats it as Disabled.

1979Toimialueen jäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina)

Tämä suojausasetus määrittää, onko kaikki toimialueen jäsenen käynnistämä suojatun kanavan liikenne allekirjoitettava tai salattava.

Kun tietokone liittyy toimialueeseen, tietokonetili luodaan. Kun tietokone käynnistetään tämän jälkeen, se luo toimialueeseen suojatun kanavan käyttämällä tietokonetilin salasanaa ja toimimalla yhdessä toimialueen ohjauskoneen kanssa. Tätä suojattua kanavaa käytetään sellaisiin toimintoihin kuin NTLM-läpikulun todennus, LSA:n SIDin tai nimen etsiminen jne.

Tämä asetus määrittää, vastaako kaikki toimialueen jäsenen käynnistämä suojatun kanavan liikenne suojauksen vähimmäisvaatimuksia. Se määrittää erityisesti, onko kaikki toimialueen jäsenen käynnistämä suojatun kanavan liikenne allekirjoitettava tai salattava. Jos tämä käytäntö otetaan käyttöön, suojattua kanavaa ei muodosteta, ellei kaiken suojatun kanavan liikenteen allekirjoituksesta tai salauksesta neuvotella. Jos tämä käytäntö poistetaan käytöstä, kaiken suojatun kanavan liikenteen salauksesta ja allekirjoituksesta neuvotellaan toimialueen ohjauskoneen kanssa. Tällöin allekirjoituksen ja salauksen taso riippuu toimialueen ohjauskoneen versiosta ja seuraavien kahden käytännön asetuksista:

Toimialueen jäsen: Salaa suojatun kanavan tiedot digitaalisesti (kun mahdollista)
Toimialueen jäsen: Allekirjoita suojatun kanavan tiedot digitaalisesti (kun mahdollista)

Oletusarvo: Käytössä.

Huomautuksia

Jos tämä käytäntö otetaan käyttöön, järjestelmä olettaa, että Toimialueen jäsen: Allekirjoita suojatun kanavan tiedot digitaalisesti (kun mahdollista) -käytäntö on käytössä riippumatta käytännön nykyisestä asetuksesta. Näin varmistetaan, että toimialueen jäsen yrittää neuvotella ainakin suojatun kanavan liikenteen allekirjoittamisesta.
Jos tämä käytäntö otetaan käyttöön, järjestelmä olettaa, että Toimialueen jäsen: Allekirjoita suojatun kanavan tiedot digitaalisesti (kun mahdollista) -käytäntö on käytössä riippumatta käytännön nykyisestä asetuksesta. Näin varmistetaan, että toimialueen jäsen yrittää neuvotella ainakin suojatun kanavan liikenteen allekirjoittamisesta.
Suojatun kanavan kautta lähetetyt sisäänkirjaustiedot salataan aina riippumatta siitä, neuvotellaanko KAIKESTA muusta suojatun kanavan liikenteestä vai ei.

Domain member: Digitally encrypt or sign secure channel data (always)

This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies:

Domain member: Digitally encrypt secure channel data (when possible)
Domain member: Digitally sign secure channel data (when possible)

Default: Enabled.

Notes:

If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not.

1980Toimialueen jäsen: Salaa suojatun kanavan tiedot digitaalisesti (kun mahdollista)

Tämä suojausasetus määrittää, yrittääkö toimialueen jäsen neuvotella salauksen kaikelle aloittamalleen suojatun kanavan liikenteelle.

Kun tietokone liittyy toimialueeseen, tietokonetili luodaan. Kun järjestelmä käynnistetään tämän jälkeen, se luo tietokonetilin salasanan avulla suojatun kanavan toimialueensa toimialueen ohjauskoneen kanssa. Tätä suojattua kanavaa käytetään toimintoihin, kuten NTLM-läpikulun todennukseen ja paikallisen suojaustoiminnon SID-tunnuksen/nimen hakuun.

Tämä asetus määrittää, yrittääkö toimialueen jäsen neuvotella salauksen kaikelle aloittamalleen suojatun kanavan liikenteelle. Jos asetus otetaan käyttöön, toimialueen jäsen pyytää salausta kaikelle suojatun kanavan liikenteelle. Jos toimialueen ohjauskone tukee kaiken suojatun kanavan liikenteen salausta, kaikki suojatun kanavan liikenne salataan. Muussa tapauksessa salataan vain suojatun kanavan kautta lähetetyt kirjautumistiedot. Jos tämä asetus on poistettu käytöstä, toimialueen jäsen ei yritä neuvotella suojatun kanavan salausta.

Oletus: käytössä.

Tärkeää

Tämän asetuksen käytöstä poistamiselle ei ole mitään tunnettua syytä. Sen lisäksi, että tämän asetuksen käytöstä poistaminen pienentää suojatun kanavan mahdollista luottamuksellisuustasoa tarpeettomasti, asetuksen käytöstä poistaminen voi myös tarpeettomasti heikentää suojatun kanavan kaistanleveyttä, koska suojattua kanavaa käyttävät samanaikaiset ohjelmointirajapintakutsut ovat mahdollisia vain, kun suojattu kanava on allekirjoitettu tai salattu.

Huomautus: toimialueen ohjauskoneet ovat myös toimialueen jäseniä, ja ne muodostavat suojattuja kanavia muiden samassa toimialueessa olevien toimialueen ohjauskoneiden kanssa sekä luotettujen toimialueiden ohjauskoneiden kanssa.

Domain member: Digitally encrypt secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption.

Default: Enabled.

Important

There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted.

Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1981Toimialueen jäsen: Allekirjoita suojatun kanavan tiedot digitaalisesti (kun mahdollista)

Tämä suojausasetus määrittää, yrittääkö toimialueen jäsen neuvotella kaiken käynnistämänsä suojatun kanavan liikenteen allekirjoittamisesta.

Kun tietokone liittyy toimialueeseen, tietokonetili luodaan. Kun tietokone käynnistetään tämän jälkeen, se luo toimialueeseen suojatun kanavan käyttämällä tietokonetilin salasanaa ja toimimalla yhdessä toimialueen ohjauskoneen kanssa. Tätä suojattua kanavaa käytetään sellaisiin toimintoihin kuin NTLM-läpikulun todennus, LSA:n SIDin tai nimen etsiminen jne.

Tämä asetus määrittää, yrittääkö toimialueen jäsen neuvotella kaiken käynnistämänsä suojatun kanavan liikenteen allekirjoittamisesta. Jos asetus otetaan käyttöön, toimialueen jäsen pyytää kaiken suojatun kanavan liikenteen allekirjoittamista. Jos toimialueen ohjauskone tukee kaiken suojatun kanavan liikenteen allekirjoittamista, kaikki suojatun kanavan liikenne allekirjoitetaan, mikä varmistaa, että luvattomat henkilöt eivät pääse käsiksi tietoihin niitä siirrettäessä.

Oletusarvo: Käytössä.

Huomautuksia

Jos Toimialueen jäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina) -käytäntö otetaan käyttöön, tämän käytännön oletetaan olevan käytössä riippumatta sen nykyisestä asetuksesta.
Toimialueen ohjauskoneet ovat myös toimialueen jäseniä, jotka muodostavat suojattuja kanavia muiden saman toimialueen ohjauskoneiden kanssa sekä luotettujen toimialueiden ohjauskoneiden kanssa.

Domain member: Digitally sign secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit.

Default: Enabled.

Notes:

If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting.
Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1982Toimialueen jäsen: Tietokonetilin salasanan enimmäisikä

Tämä suojausasetus määrittää, miten usein toimialueen jäsen yrittää vaihtaa tietokonetilin salasanan.

Oletusarvo: 30 päivää.

Tärkeää

Tämä asetus koskee Windows 2000 -tietokoneita, mutta se ei ole käytettävissä näiden tietokoneiden Suojausmäärityksen hallinnan työkaluissa.

Domain member: Maximum machine account password age

This security setting determines how often a domain member will attempt to change its computer account password.

Default: 30 days.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1983Toimialueen jäsen: vaadi vahvaa (Windows 2000:n tai uudemman) istuntoavainta

Tämä suojausasetus määrittää, vaaditaanko salatun suojatun kanavan tiedoille 128-bittistä avainta.

Kun tietokone liittyy toimialueeseen, tietokonetili luodaan. Kun järjestelmä käynnistetään tämän jälkeen, se luo tietokonetilin salasanan avulla suojatun kanavan toimialueensa toimialueen ohjauskoneen kanssa. Tätä suojattua kanavaa käytetään toimintoihin, kuten NTLM-läpikulun todennukseen ja paikallisen suojaustoiminnon SID-tunnuksen/nimen hakuun.

Seuraavat asetukset määritetään sen mukaan, mikä Windows-versio on käytössä siinä toimialueen ohjauskoneessa, johon toimialueen jäsen on yhteydessä, ja mitä asetuksia parametreille on määritetty:
Toimialueen jäsen: salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina)
Toimialueen jäsen: salaa suojatun kanavan tiedot digitaalisesti (kun mahdollista).

Jotkin tai kaikki suojatun kanavan kautta siirretyt tiedot salataan. Tämä käytäntöasetus määrittää, vaaditaanko salatuille suojatun kanavan tiedoille 128-bittinen avain.

Jos tämä asetus on käytössä, suojattua kanavaa ei muodosteta, jos 128-bittistä salausta ei voi suorittaa. Jos tämä asetus on poistettu käytöstä, avaimen vahvuus neuvotellaan toimialueen ohjauskoneen kanssa.

Oletus: käytössä.

Tärkeää

Jotta tätä käytäntöä voi käyttää jäsentyöasemissa ja -palvelimissa, kaikissa toimialueen ohjauskoneissa, jotka muodostavat jäsenen toimialueen, täytyy olla Windows 2000 tai uudempi versio.
Jotta tätä käytäntöä voi käyttää toimialueen ohjauskoneissa, kaikissa saman toimialueen ohjauskoneissa sekä kaikissa luotetuissa toimialueissa täytyy olla Windows 2000 tai uudempi versio.

Domain member: Require strong (Windows 2000 or later) session key

This security setting determines whether 128-bit key strength is required for encrypted secure channel data.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on.

Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters:

Domain member: Digitally encrypt or sign secure channel data (always)
Domain member: Digitally encrypt secure channel data (when possible)
Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted.

If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller.

Default: Enabled.

Important

In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later.
In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later.

1984Toimialueen jäsen: Poista säännölliset muuttamiset käytöstä

Tämä määrittää, muuttaako toimialueen jäsen säännöllisin väliajoin tietokonetilinsä salasanan. Jos tämä asetus otetaan käyttöön, toimialueen jäsen ei yritä vaihtaa tietokonetilin salasanaansa. Jos tämä asetus poistetaan käytöstä, toimialueen jäsen yrittää vaihtaa tietokonetilinsä salasanan Toimialueen jäsen: Tietokonetilin salasanan enimmäisikä -asetuksen mukaisesti. Asetuksen oletusarvo on 30 päivää.

Oletusarvo: Ei käytössä.

Huomautuksia

Tätä suojausasetusta ei pitäisi ottaa käyttöön. Tietokonetilien salasanojen avulla voi muodostaa suojatun tietoliikennekanavan tietyn toimialueen ohjauskoneiden ja jäsenten välille sekä kahden ohjauskoneen välille. Kun yhteys on muodostettu, kanavan kautta voi siirtää luottamuksellisia tietoja, joita tarvitaan todennus- ja valtuutuspäätösten tekemiseen.
Tätä asetusta ei pitäisi käyttää kaksoiskäynnistysratkaisuihin, joissa käytetään samaa tietokonetiliä. Jos haluat käynnistää kaksi asennusympäristöä, jotka on liitetty samaan toimialueeseen, anna näille ympäristöille eri tietokonenimet.
Domain member: Disable machine account password changes

Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days.

Default: Disabled.

Notes

This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions.
This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names.
1985Vuorovaikutteinen kirjautuminen: Älä näytä viimeksi sisäänkirjautunutta
Tämä suojausasetus määrittää, näkyykö Windowsin kirjautusmisnäytössä tietokoneeseen viimeksi kirjautuneen henkilön käyttäjänimi.
Jos tämä käytäntö on käytössä, käyttäjänimeä ei näytetä.

Jos tämä käytäntö ei ole käytössä, käyttäjänimi näytetään.

Oletusarvo: ei käytössä.


Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


1986Vuorovaikutteinen kirjautuminen: älä vaadi CTRL+ALT+DEL-näppäinyhdistelmän painamista

Tämä suojausasetus määrittää, onko käyttäjän painettava CTRL+ALT+DEL-näppäinyhdistelmää, ennen kuin hän voi kirjautua sisään.

Jos tämä käytäntö on käytössä tietokoneessa, käyttäjän ei tarvitse painaa CTRL+ALT+DEL-näppäinyhdistelmää, jotta hän voi kirjautua sisään. Jos CTRL+ALT+DEL-näppäinyhdistelmää ei tarvitse painaa, käyttäjät ovat alttiina hyökkäyksille, jotka yrittävät siepata heidän salasanansa. Jos käyttäjän on painettava CTRL+ALT+DEL-näppäinyhdistelmää, ennen kuin hän voi kirjautua sisään, voidaan olla varmoja siitä, että käyttäjä on yhteydessä luotetun polun kautta, kun hän antaa salasanansa.

Jos tämä käytäntö poistetaan käytöstä, kaikkien käyttäjien on painettava CTRL+ALT+DEL-näppäinyhdistelmää, ennen kuin he voivat kirjautua Windowsiin.

Oletusarvo toimialuetietokoneissa: käytössä (vähintään Windows 8), poistettu käytöstä (Windows 7 tai sitä vanhemmat).
Oletusarvo erillisissä tietokoneissa: käytössä.

Interactive logon: Do not require CTRL+ALT+DEL

This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on.

If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords.

If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows.

Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier.
Default on stand-alone computers: Enabled.

1987Vuorovaikutteinen kirjautuminen: kirjautumista yrittäville käyttäjille esitettävän viestin otsikko

Tämä suojausasetus määrittää tekstin, joka näytetään sisään kirjautuville käyttäjille.

Tätä tekstiä käytetään usein juridisista syistä – esimerkiksi varoittamaan käyttäjiä yrityksen tietojen väärinkäytön seurauksista tai siitä, että käyttäjän toimia voidaan valvoa.

Oletusarvo: ei viestiä.

Interactive logon: Message text for users attempting to log on

This security setting specifies a text message that is displayed to users when they log on.

This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited.

Default: No message.

1988Vuorovaikutteinen kirjautuminen: Sisäänkirjautumista yrittäville käyttäjille esitettävän sanoman teksti

Tämän suojausasetuksen avulla voidaan määrittää otsikko, joka näkyy Vuorovaikutteinen kirjautuminen: Sisäänkirjautumista yrittäville käyttäjille esitettävän sanoman teksti -ikkunan otsikkorivillä.

Oletusarvo: Ei sanomaa.

Interactive logon: Message title for users attempting to log on

This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on.

Default: No message.

1989Vuorovaikutteinen kirjautuminen: välimuistiin tallennettavien aiempien kirjautumisten määrä (siltä varalta, että toimialueen ohjauskone ei ole käytettävissä)

Kunkin yksilöivän käyttäjän kirjautumistiedot on tallennettu välimuistiin paikallisesti, jotta he pystyvät kirjautumaan myös silloin, jos toimialueen ohjauskone ei ole käytettävissä seuraavien kirjautumisyritysten aikana. Välimuistiin tallennetut kirjautumistiedot on tallennettu edellisestä kirjautumisistunnosta. Jos toimialueen ohjauskone ei ole käytettävissä ja käyttäjän kirjautumistiedot eivät ole välimuistissa, käyttäjä saa seuraavan sanoman:

Kirjauspalvelimia ei ole käytettävissä hyväksymään kirjauspyyntöä.

Tässä käytäntöasetuksessa arvo 0 poistaa käytöstä kirjautumistietojen tallentamisen välimuistiin. Jos arvo on suurempi kuin 50, kirjautumisyrityksiä tallennetaan välimuistiin 50. Windowsin tukemien välimuistimerkintöjen enimmäismäärä on 50, ja käyttäjää kohden käytettävien merkintöjen määrä määräytyy tunnistetiedon mukaan. Windows-järjestelmän välimuistiin voi tallentaa esimerkiksi enintään 50 yksilöivää salasanakäyttäjätiliä mutta ainoastaan 25 älykorttikäyttäjätiliä, koska sekä salasanatiedot että älykorttitiedot tallennetaan. Kun käyttäjä, jonka kirjautumistiedot on tallennettu välimuistiin, kirjautuu uudelleen, hänen yksilöivät välimuistiin tallennetut tietonsa korvataan.

Oletus:

Windows Server 2008: 25

Kaikki muut versiot: 10

Interactive logon: Number of previous logons to cache (in case domain controller is not available)

Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message:

There are currently no logon servers available to service the logon request.

In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced.

Default:

Windows Server 2008: 25

All Other Versions: 10

1990Vuorovaikutteinen kirjautuminen: Kehota käyttäjää vaihtamaan salasana ennen vanhentumista

Määrittää, miten kauan etukäteen (päivinä) käyttäjää varotetaan salasanan vanhentumisesta. Kun käyttäjä saa varoituksen etukäteen, hänellä on aikaa laatia salasana, joka on riittävän vahva.

Oletus: 5 päivää.

Interactive logon: Prompt user to change password before expiration

Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong.

Default: 5 days.

1991Vuorovaikutteinen kirjautuminen: Työaseman lukituksen poistaminen edellyttää toimialueen ohjauskoneen todennusta

Sisäänkirjaustiedot täytyy antaa, jotta tietokoneen lukituksen voi poistaa. Jos kyseessä on toimialuetili, tämä suojausasetus määrittää, onko toimialueen ohjauskoneeseen muodostettava yhteys tietokoneen lukituksen poistamiseksi. Jos tämä asetus poistetaan käytöstä, käyttäjä voi poistaa tietokoneen lukituksen käyttämällä välimuistissa olevia tunnistetietoja. Jos tämä asetus otetaan käyttöön, toimialueen ohjauskoneen täytyy todentaa toimialuetili, jolla tietokoneen lukitus poistetaan.

Oletusarvo: Ei käytössä.

Tärkeää

Tämä asetus koskee Windows 2000 -tietokoneita, mutta se ei ole käytettävissä näiden tietokoneiden Suojausmäärityksen hallinnan työkaluissa.

Interactive logon: Require Domain Controller authentication to unlock

Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer.

Default: Disabled.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1992Interaktiivinen kirjautuminen: edellyttää Windows Hello yrityksille -ominaisuutta tai älykorttia

Tämä suojausasetus edellyttää, että käyttäjät kirjautuvat laitteeseen käyttämällä Windows Hello yrityksille -ominaisuutta tai älykorttia.

Seuraavat asetukset ovat käytettävissä:

Käytössä: Käyttäjät voivat kirjautua laitteeseen vain käyttämällä Windows Hello yrityksille -ominaisuutta tai älykorttia.
Ei käytössä tai asetusta ei ole määritetty: Käyttäjät voivat kirjautua laitteeseen minkä tahansa menetelmän avulla.

Tärkeää

Tämä asetus koskee kaikkia tietokoneita, joissa on otettu käyttöön Windows 2000 rekisterimuutosten avulla, mutta suojausasetusta ei voi tarkastella suojausmääritysten hallinnan työkaluissa.

Windows 10:n versio v1607 ja sitä vanhemmat versiot eivät tue vaatimusta käyttää Windows Hello yrityksille -ominaisuutta kirjautumiseen.

Interactive logon: Require Windows Hello for Business or smart card

This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card.

The options are:

Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card.
Disabled or not configured: Users can sign-in to the device using any method.

Important

This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set.

Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier.

1993Vuorovaikutteinen kirjautuminen: älykortin poistaminen

Tämä suojausasetus määrittää, mitä tapahtuu, kun kirjautuneen käyttäjän älykortti poistetaan älykorttien lukulaitteesta.

Asetukset:

Ei toimintoa
Lukitse työasema
Pakota uloskirjautuminen
Katkaise yhteys, jos istunto on etätyöpöytäpalveluiden etäistunto.

Jos valitset Ominaisuudet-valintaikkunasta Lukitse työasema -asetuksen tälle käytännölle, työasema lukitaan, kun älykortti poistetaan, jolloin käyttäjät voivat ottaa älykorttinsa mukaansa ja poistua paikalta säilyttäen silti suojatun istunnon.

Jos valitset Ominaisuudet-valintaikkunassa Pakota uloskirjautuminen -asetuksen tälle käytännölle, käyttäjä kirjataan automaattisesti ulos, kun älykortti poistetaan.

Jos valitset Katkaise yhteys, jos istunto on etätyöpöytäpalveluiden istunto -asetuksen, älykortin poistaminen katkaisee yhteyden istuntoon kirjaamatta käyttäjää ulos. Tällöin käyttäjä voi asettaa älykortin älykorttien lukulaitteeseen ja jatkaa istuntoa myöhemmin tai asettaa älykortin toiseen lukulaitteella varustettuun päätteeseen, jolloin hänen ei tarvitse kirjautua uudelleen. Jos istunto on paikallinen, tämä käytäntö toimii samalla tavoin kuin Lukitse työasema -toiminto.

Huomautus: aiemmissa Windows Server -versioissa etätyöpöytäpalvelut tunnettiin nimellä päätepalvelut.

Oletusarvo: tätä käytäntöä ei ole määritetty, joten järjestelmä käsittelee sitä siten kuin se asetus olisi Ei toimintoa.

Windows Vista -järjestelmässä ja uudemmissa järjestelmissä: jotta asetus toimisi, Älykortin poistokäytäntö -palvelu on käynnistettävä.

Interactive logon: Smart card removal behavior

This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader.

The options are:

No Action
Lock Workstation
Force Logoff
Disconnect if a Remote Desktop Services session

If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session.

If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed.

If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default: This policy is not defined, which means that the system treats it as No action.

On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started.

1994Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (aina)

Tämä suojausasetus määrittää, edellyttääkö SMB-asiakaskomponentti pakettien allekirjoitusta.

SMB (Server Message Block) -protokolla muodostaa Microsoftin tiedostojen ja tulostimien jakamisen sekä monien muiden verkkotoimintojen, kuten Windowsin etähallinnan, perustan. Jotta siirrettäviä SMB-paketteja muuttavat man-in-the-middle-hyökkäykset voitaisiin estää, SMB-protokolla tukee SMB-pakettien digitaalista allekirjoitusta. Tämä käytäntöasetus määrittää, onko SMB-pakettiallekirjoituksesta neuvoteltava, ennen kuin jatkoyhteydet SMB-palvelimen kanssa sallitaan.

Jos tämä asetus otetaan käyttöön, Microsoft-verkon asiakas ei ole yhteydessä Microsoft-verkon palvelimeen, ellei palvelin suostu tekemään SMB-pakettiallekirjoitusta. Jos tämä käytäntö poistetaan käytöstä, SMB-pakettiallekirjoituksesta neuvotellaan asiakkaan ja palvelimen välillä.

Oletusarvo: Ei käytössä.

Tärkeää

Jotta tätä käytäntöä voi käyttää Windows 2000 -tietokoneissa, asiakaspuolen pakettiallekirjoitus täytyy myös ottaa käyttöön. Voit ottaa asiakaspuolen SMB-pakettiallekirjoituksen käyttöön valitsemalla Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (jos palvelin sallii).

Huomautuksia

Kaikki Windows-käyttöjärjestelmät tukevat sekä asiakaspuolen SMB-komponenttia että palvelinpuolen SMB-komponenttia. Windows 2000:ssa ja uudemmissa käyttöjärjestelmissä asiakas- ja palvelinpuolen SMB-komponenttien pakettiallekirjoituksen käyttöönottoa tai vaatimusta valvotaan seuraavilla neljällä käytäntöasetuksella:
Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (aina) – tällä määritetään, edellyttääkö asiakaspuolen SMB-komponentti pakettiallekirjoitusta.
Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (jos palvelin sallii) – tällä määritetään, onko asiakaspuolen SMB-komponentissa käytössä pakettiallekirjoitus.
Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) – tällä määritetään, edellyttääkö palvelinpuolen SMB-komponentti pakettiallekirjoitusta.
Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (jos asiakas sallii) – tällä määritetään, onko palvelinpuolen SMB-komponentissa käytössä pakettiallekirjoitus.
SMB-paketin allekirjoitus voi heikentää merkittävästi SMB-suorituskykyä. Tähän vaikuttavat kieliopin versio, käyttöjärjestelmän versio, tiedostokoot, suorittimen siirto-ominaisuudet sekä sovelluksen siirräntätoiminta.
Lisätietoja on osoitteessa https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network client: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB client component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted.

If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server.

Default: Disabled.

Important

For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees).

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1995Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (jos palvelin sallii)

Tämä suojausasetus määrittää, yrittääkö SMB-asiakas neuvotella SMB-pakettien allekirjoituksesta.

SMB (Server Message Block) -protokolla muodostaa Microsoftin tiedostojen ja tulostimien jakamisen sekä monien muiden verkkotoimintojen, kuten Windowsin etähallinnan, perustan. Jotta siirrettäviä SMB-paketteja muuttavat man-in-the-middle-hyökkäykset voitaisiin estää, SMB-protokolla tukee SMB-pakettien digitaalista allekirjoitusta. Tämä käytäntöasetus määrittää, yrittääkö SMB-asiakaskomponentti neuvotella SMB-pakettien allekirjoituksesta, kun se muodostaa yhteyden SMB-palvelimeen.

Jos tämä asetus otetaan käyttöön, Microsoft-verkon asiakas pyytää palvelinta tekemään SMB-pakettiallekirjoituksen istuntoa määritettäessä. Jos pakettiallekirjoitus on otettu käyttöön palvelimessa, pakettiallekirjoituksesta neuvotellaan. Jos tämä käytäntö poistetaan käytöstä, SMB-asiakas ei koskaan neuvottele SMB-pakettiallekirjoituksesta.

Oletusarvo: Käytössä.

Huomautuksia

Kaikki Windows-käyttöjärjestelmät tukevat sekä asiakaspuolen SMB-komponenttia että palvelinpuolen SMB-komponenttia. Windows 2000:ssa ja uudemmissa käyttöjärjestelmissä asiakas- ja palvelinpuolen SMB-komponenttien pakettiallekirjoituksen käyttöönottoa tai vaatimusta valvotaan seuraavilla neljällä käytäntöasetuksella:
Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (aina) – tällä määritetään, edellyttääkö asiakaspuolen SMB-komponentti pakettiallekirjoitusta.
Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (jos palvelin sallii) – tällä määritetään, onko asiakaspuolen SMB-komponentissa käytössä pakettiallekirjoitus.
Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) – tällä määritetään, edellyttääkö palvelinpuolen SMB-komponentti pakettiallekirjoitusta.
Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (jos asiakas sallii) – tällä määritetään, onko palvelinpuolen SMB-komponentissa käytössä pakettiallekirjoitus.
Jos sekä asiakas- että palvelinpuolella on SMB-allekirjoitukset käytössä ja asiakas muodostaa SMB 1.0 -yhteyden palvelimeen, SMB-allekirjoitusta yritetään.
SMB-paketin allekirjoitus voi heikentää merkittävästi SMB-suorituskykyä. Tähän vaikuttavat kieliopin versio, käyttöjärjestelmän versio, tiedostokoot, suorittimen siirto-ominaisuudet sekä sovelluksen siirräntätoiminta. Tämä asetus koskee vain SMB 1.0 -yhteyksiä.
Lisätietoja on osoitteessa https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network client: Digitally sign communications (if server agrees)

This security setting determines whether the SMB client attempts to negotiate SMB packet signing.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server.

If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1996Microsoft-verkon asiakas: Muodosta yhteys lähettämällä salaamaton salasana kolmannen osapuolen SMB-palvelimiin

Jos tämä suojausasetus otetaan käyttöön, SMB (Server Message Block) -uudelleenohjaus voi lähettää tekstimuotoisia salasanoja muihin kuin Microsoftin SMB-palvelimiin, jotka eivät tue salasanan salausta todennuksen aikana.

Salaamattomien salasanojen lähettäminen voi vaarantaa tietoturvan.

Oletusarvo: Ei käytössä.
Microsoft network client: Send unencrypted password to connect to third-party SMB servers

If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication.

Sending unencrypted passwords is a security risk.

Default: Disabled.
1997Microsoft-verkkopalvelin: Käyttämättömänäoloaika ennen istunnon katkaisemista

Tämä suojausasetus määrittää, kuinka pitkään SMB-istunnon on oltava käyttämättömänä, ennen kuin se asetetaan odotustilaan.

Järjestelmänvalvojat voivat tämän käytännön avulla valvoa, milloin tietokone asettaa käyttämättömän SMB-istunnon odotustilaan. Jos asiakas jatkaa käyttöä, istunto muodostetaan automaattisesti uudelleen.

Tässä käytäntöasetuksessa 0-arvo tarkoittaa, että käyttämätön istunto katkaistaan mahdollisimman nopeasti. Enimmäisarvo on 99999 eli 208 päivää. Käytännössä tämä arvo poistaa käytännön käytöstä.

Oletusarvo:Tätä käytäntöä ei ole määritetty, minkä johdosta järjestelmä käsittelee sitä kuin sen arvo olisi 15 minuuttia, jos kyseessä on palvelin tai Ei määritetty, jos kyseessä on työasema.

Microsoft network server: Amount of idle time required before suspending a session

This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity.

Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished.

For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy.

Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations.

1998Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina)

Tämä suojausasetus määrittää, edellyttääkö SMB-palvelinkomponentti pakettien allekirjoitusta.

SMB (Server Message Block) -protokolla muodostaa Microsoftin tiedostojen ja tulostimien jakamisen sekä monien muiden verkkotoimintojen, kuten Windowsin etähallinnan, perustan. Jotta siirrettäviä SMB-paketteja muuttavat man-in-the-middle-hyökkäykset voitaisiin estää, SMB-protokolla tukee SMB-pakettien digitaalista allekirjoitusta. Tämä käytäntöasetus määrittää, onko SMB-pakettiallekirjoituksesta neuvoteltava, ennen kuin jatkoyhteydet SMB-palvelimen kanssa sallitaan.

Jos tämä asetus otetaan käyttöön, Microsoft-verkkopalvelin ei ole yhteydessä Microsoft-verkon asiakkaaseen, ellei asiakas suostu tekemään SMB-pakettiallekirjoitusta. Jos tämä asetus poistetaan käytöstä, SMB-pakettiallekirjoituksesta neuvotellaan asiakkaan ja palvelimen välillä.

Oletusarvo:

Ei käytössä, jos kyseessä on jäsenpalvelin.
Käytössä, jos kyseessä on toimialueen ohjauskone.

Huomautuksia

Kaikki Windows-käyttöjärjestelmät tukevat sekä asiakaspuolen SMB-komponenttia että palvelinpuolen SMB-komponenttia. Windows 2000:ssa ja uudemmissa käyttöjärjestelmissä asiakas- ja palvelinpuolen SMB-komponenttien pakettiallekirjoituksen käyttöönottoa tai vaatimusta valvotaan seuraavilla neljällä käytäntöasetuksella:
Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (aina) – tällä määritetään, edellyttääkö asiakaspuolen SMB-komponentti pakettiallekirjoitusta.
Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (jos palvelin sallii) – tällä määritetään, onko asiakaspuolen SMB-komponentissa käytössä pakettiallekirjoitus.
Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) – tällä määritetään, edellyttääkö palvelinpuolen SMB-komponentti pakettiallekirjoitusta.
Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (jos asiakas sallii) – tällä määritetään, onko palvelinpuolen SMB-komponentissa käytössä pakettiallekirjoitus.
Vastaavasti, jos asiakaspuolen SMB-allekirjoitusta vaaditaan, kyseinen asiakas ei voi muodostaa istuntoa sellaisten palvelimien kanssa, joissa ei ole otettu käyttöön pakettiallekirjoitusta. Oletusarvon mukaan palvelinpuolen SMB-allekirjoitus on otettu käyttöön vain toimialueen ohjauskoneissa.
Jos palvelinpuolen SMB-allekirjoitus on käytössä, SMB-pakettiallekirjoituksesta neuvotellaan sellaisten asiakkaiden kanssa, joissa on otettu käyttöön asiakaspuolen SMB-allekirjoitus.
SMB-paketin allekirjoitus voi heikentää merkittävästi SMB-suorituskykyä. Tähän vaikuttavat kieliopin versio, käyttöjärjestelmän versio, tiedostokoot, suorittimen siirto-ominaisuudet sekä sovelluksen siirräntätoiminta.

Tärkeää

Jotta tätä käytäntöä voi käyttää Windows 2000 -tietokoneissa, palvelinpuolen pakettiallekirjoitus täytyy myös ottaa käyttöön. Voit ottaa käyttöön palvelinpuolen SMB-pakettiallekirjoituksen määrittämällä seuraavan käytännön:
Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (jos palvelin sallii)

Jotta Windows 2000 -palvelimet voivat neuvotella allekirjoituksesta Windows NT 4.0 -asiakkaiden kanssa, seuraava rekisteriarvo täytyy asettaa arvoksi 1 Windows 2000 -palvelimessa:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
Lisätietoja on osoitteessa https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network server: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB server component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted.

If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server.

Default:

Disabled for member servers.
Enabled for domain controllers.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers.
If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.

Important

For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy:
Microsoft network server: Digitally sign communications (if server agrees)

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1999Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (jos asiakas sallii)

Tämä suojausasetus määrittää, neuvotteleeko SMB-palvelin pakettiallekirjoituksesta sitä pyytävien asiakkaiden kanssa.

SMB (Server Message Block) -protokolla muodostaa Microsoftin tiedostojen ja tulostimien jakamisen sekä monien muiden verkkotoimintojen, kuten Windowsin etähallinnan, perustan. Jotta siirrettäviä SMB-paketteja muuttavat man-in-the-middle-hyökkäykset voitaisiin estää, SMB-protokolla tukee SMB-pakettien digitaalista allekirjoitusta. Tämä käytäntöasetus määrittää, neuvotteleeko SMB-palvelin SMB-pakettiallekirjoituksesta, kun SMB-asiakas pyytää sitä.

Jos tämä asetus otetaan käyttöön, Microsoft-verkkopalvelin neuvottelee SMB-pakettiallekirjoituksesta asiakkaan pyytämällä tavalla. Jos siis pakettiallekirjoitus on otettu käyttöön palvelimessa, pakettiallekirjoituksesta neuvotellaan. Jos tämä käytäntö poistetaan käytöstä, SMB-asiakas ei koskaan neuvottele SMB-pakettiallekirjoituksesta.

Oletusarvo: Käytössä vain toimialueen ohjauskoneissa.

Tärkeää

Jotta Windows 2000 -palvelin voi neuvotella allekirjoituksesta Windows NT 4.0 -asiakkaiden kanssa, seuraavalla rekisteriarvolla on oltava arvo 1 Windows 2000 -palvelimessa: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Huomautuksia

Kaikki Windows-käyttöjärjestelmät tukevat sekä asiakaspuolen SMB-komponenttia että palvelinpuolen SMB-komponenttia. Windows 2000:ssa ja uudemmissa käyttöjärjestelmissä asiakas- ja palvelinpuolen SMB-komponenttien pakettiallekirjoituksen käyttöönottoa tai vaatimusta valvotaan seuraavilla neljällä käytäntöasetuksella:
Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (aina) – tällä määritetään, edellyttääkö asiakaspuolen SMB-komponentti pakettiallekirjoitusta.
Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (jos palvelin sallii) – tällä määritetään, onko asiakaspuolen SMB-komponentissa käytössä pakettiallekirjoitus.
Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) – tällä määritetään, edellyttääkö palvelinpuolen SMB-komponentti pakettiallekirjoitusta.
Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (jos asiakas sallii) – tällä määritetään, onko palvelinpuolen SMB-komponentissa käytössä pakettiallekirjoitus.
Jos sekä asiakas- että palvelinpuolella on SMB-allekirjoitukset käytössä ja asiakas muodostaa SMB 1.0 -yhteyden palvelimeen, SMB-allekirjoitusta yritetään.
SMB-paketin allekirjoitus voi heikentää merkittävästi SMB-suorituskykyä. Tähän vaikuttavat kieliopin versio, käyttöjärjestelmän versio, tiedostokoot, suorittimen siirto-ominaisuudet sekä sovelluksen siirräntätoiminta. Tämä asetus koskee vain SMB 1.0 -yhteyksiä.
Lisätietoja on osoitteessa https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network server: Digitally sign communications (if client agrees)

This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it.

If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled on domain controllers only.

Important

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

2000Microsoft-verkkopalvelin: katkaise käyttäjien yhteydet kirjautumisajan umpeuduttua

Tämä suojausasetus määrittää, katkaistaanko sellaisten käyttäjien yhteys, jotka ovat yhteydessä paikalliseen tietokoneeseen käyttäjätilin kelvollisen kirjautumisajan ulkopuolella. Tämä asetus vaikuttaa SMB-osaan.

Kun tämä käytäntö on käytössä, SMB-palvelun kanssa muodostetut asiakasistunnot katkaistaan, kun asiakkaan kirjautumisaika umpeutuu.

Jos tämä käytäntö ei ole käytössä, muodostettua asiakasistuntoa voidaan jatkaa sen jälkeen, kun asiakkaan kirjautumisaika on umpeutunut.

Oletusarvo Windows Vistassa ja sitä uudemmissa käyttöjärjestelmissä: käytössä.
Oletusarvo Windows XP:ssä: ei käytössä.

Microsoft network server: Disconnect clients when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default on Windows Vista and above: Enabled.
Default on Windows XP: Disabled

2001Verkkokäyttö: salli nimetön suojaustunnus/nimi-käännös

Tämä käytäntöasetus määrittää, voiko nimetön käyttäjä pyytää toisen käyttäjän suojaustunnusmääritteitä.

Jos tämä käytäntö on käytössä, nimetön käyttäjä voi pyytää toisen käyttäjän suojaustunnusta. Järjestelmänvalvojan suojaustunnuksen tietävä nimetön käyttäjä voi muodostaa yhteyden tietokoneeseen, jossa tämä käytäntö on käytössä, ja selvittää järjestelmänvalvojan nimen suojaustunnuksella. Tämä asetus vaikuttaa sekä suojaustunnus/nimi-käännökseen että nimi/suojaustunnus-käännökseen.

Jos tämä käytäntöasetus ei ole käytössä, nimetön käyttäjä ei voi pyytää muiden käyttäjien suojaustunnuksia.

Oletus työasemissa ja jäsenpalvelimissa: ei käytössä.
Oletus toimialueen ohjauskoneissa, joissa on Windows Server 2008 tai sitä uudempi: ei käytössä.
Oletus toimialueen ohjauskoneissa, joissa on käytössä Windows Server 2003 R2 tai sitä vanhempi: käytössä.
Network access: Allow anonymous SID/name translation

This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user.

If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation.

If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user.

Default on workstations and member servers: Disabled.
Default on domain controllers running Windows Server 2008 or later: Disabled.
Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled.
2002Verkkokäyttö: Älä salli SAM-tilien anonyymiä luettelemista

Tämä suojausasetus määrittää, mitä lisäoikeuksia myönnetään tietokoneeseen muodostetuille anonyymeille yhteyksille.

Windows sallii sen, että anonyymit käyttäjät voivat suorittaa tiettyjä toimintoja, kuten luetteloida toimialuetilien nimiä ja jaettuja verkkoresursseja. Tästä on hyötyä esimerkiksi silloin, kun järjestelmänvalvoja haluaa myöntää käyttäjille oikeuden käyttää luotettua toimialuetta, joka ei ylläpidä molemminpuolista luottamussuhdetta.

Tämä suojausasetus mahdollistaa seuraavien lisärajoitusten asettamisen anonyymeille yhteyksille:

Käytössä: SAM-tilien luettelointia ei sallita. Tämä asetus korvaa resurssien suojausoikeuksien Kaikki-määrityksen Todennetut käyttäjät -määrityksellä.
Ei käytössä: ei lisärajoituksia. Oletusoikeuksia käytetään.

Oletus työasemille: käytössä.
Oletus palvelimille: käytössä.

Tärkeää

Tällä käytännöllä ei ole vaikutusta toimialueen ohjauskoneille.

Network access: Do not allow anonymous enumeration of SAM accounts

This security setting determines what additional permissions will be granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust.

This security option allows additional restrictions to be placed on anonymous connections as follows:

Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources.
Disabled: No additional restrictions. Rely on default permissions.

Default on workstations: Enabled.
Default on server:Enabled.

Important

This policy has no impact on domain controllers.

2003Verkkokäyttö: Älä salli anonyymiä SAM-tilien ja jaettujen resurssien luettelointia

Tämä suojausasetus määrittää, sallitaanko SAM-tilien ja jaettujen resurssien anonyymi luettelointi.

Windows sallii sen, että anonyymit käyttäjät voivat suorittaa tiettyjä toimintoja, kuten luetteloida toimialuetilien nimiä ja jaettuja verkkoresursseja. Tästä on hyötyä esimerkiksi silloin, kun järjestelmänvalvoja haluaa myöntää käyttäjille oikeuden käyttää luotettua toimialuetta, joka ei ylläpidä molemminpuolista luottamussuhdetta. Jos et halua sallia SAM-tilien ja jaettujen resurssien anonyymiä luettelointia, ota tämä käytäntö käyttöön.

Oletusarvo: Ei käytössä.

Network access: Do not allow anonymous enumeration of SAM accounts and shares

This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy.

Default: Disabled.

2004Verkkokäyttö: älä salli käyttöoikeuksien ja tunnistetietojen tallentamista verkkotodentamiseen

Tämä suojausasetus määrittää, tallentaako Tunnistetietojenhallinta salasanat ja tunnistetiedot, jotta niitä voidaan käyttää myöhemmin toimialuetodentamiseen.

Jos asetus otetaan käyttöön, Tunnistetietojenhallinta ei tallenna salasanoja ja tunnistetietoja tietokoneeseen.
Jos poistat tämän käytäntöasetuksen käytöstä tai et määritä sitä, Tunnistetietojenhallinta tallentaa salasanat ja tunnistetiedot tietokoneeseen, jotta niitä voidaan käyttää myöhemmin toimialuetodentamisessa.

Huomautus: kun määrität tämän suojausasetuksen, muutokset eivät tule voimaan, ennen kuin käynnistät Windowsin uudelleen.

Oletus: ei käytössä.

Network access: Do not allow storage of passwords and credentials for network authentication

This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication.

If you enable this setting, Credential Manager does not store passwords and credentials on the computer.
If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

2005Verkkokäyttö: salli Kaikki-ryhmän oikeuksien koskea anonyymejä käyttäjiä

Tämä suojausasetus määrittää, mitä lisäoikeuksia myönnetään tietokoneeseen muodostetuille anonyymeille yhteyksille.

Windows sallii sen, että anonyymit käyttäjät voivat suorittaa tiettyjä toimintoja, kuten luetteloida toimialuetilien nimiä ja jaettuja verkkoresursseja. Tästä on hyötyä esimerkiksi silloin, kun järjestelmänvalvoja haluaa myöntää käyttäjille oikeuden käyttää luotettua toimialuetta, joka ei ylläpidä molemminpuolista luottamussuhdetta. Kaikki-suojaustunnus (SID) poistetaan oletusarvoisesti anonyymeille yhteyksille luodusta tunnuksesta. Siksi Kaikki-ryhmälle myönnetyt oikeudet eivät koske anonyymejä käyttäjiä. Jos tämä asetus valitaan, anonyymit käyttäjät voivat käyttää ainoastaan resursseja, joihin heille on erikseen annettu oikeus.

Jos tämä käytäntö otetaan käyttöön, Kaikki-SID-tunnus lisätään anonyymeille yhteyksille luotuun tunnukseen. Tällöin anonyymit käyttäjät voivat käyttää mitä tahansa resursseja, joihin Kaikki-ryhmälle on annettu käyttöoikeus.

Oletusarvo: Ei käytössä.

Network access: Let Everyone permissions apply to anonymous users

This security setting determines what additional permissions are granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission.

If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions.

Default: Disabled.

2006Verkkokäyttö: Nimetyt putket, joita voidaan käyttää anonyymisti

Tämä suojausasetus määrittää, millä yhteysistunnoilla (putkilla) on anonyymin käytön sallivia määritteitä ja oikeuksia.

Oletusarvo: Ei mitään.

Network access: Named pipes that can be accessed anonymously

This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access.

Default: None.

2007Verkkokäyttö: Rekisteripolut, joita voidaan käyttää etäyhteyden välityksellä

Tämä suojausasetus määrittää, mitä rekisteriavaimia voi käyttää verkon kautta siitä huolimatta, mitä käyttäjiä tai ryhmiä on winreg-rekisteriavaimen käyttöoikeusluettelossa.

Oletusarvo:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Varoitus

Rekisterin virheellinen muokkaus voi vahingoittaa vakavasti järjestelmää. Ennen kuin teet muutoksia rekisteriin, tee varmuuskopio tietokoneessa olevista tärkeistä tiedoista.
Huomautus: Tämä suojausasetus ei ole käytettävissä aiemmissa Windows-versioissa. Windows XP -tietokoneiden suojausasetus Verkkokäyttö: Rekisteripolut, joita voidaan käyttää etäyhteyden välityksellä vastaa Verkkokäyttö: Etäkohteesta käytettävät rekisteripolut ja alipolut -suojausasetusta Windows Server 2003 -tuoteperheen järjestelmissä. Lisätietoja on kohdassa Verkkokäyttö: Etäkohteesta käytettävät rekisteripolut ja alipolut.
Oletusarvo:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
Network access: Remotely accessible registry paths

This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.
Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths.
Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
2008Verkkokäyttö: Etäkohteesta käytettävät rekisteripolut ja alipolut

Tämä suojausasetus määrittää, mitä rekisteripolkuja ja alipolkuja voi käyttää verkon kautta siitä huolimatta, mitä käyttäjiä tai ryhmiä on winreg-rekisteriavaimen käyttöoikeusluettelossa.

Oletusarvo:

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

Varoitus

Rekisterin virheellinen muokkaus voi vahingoittaa vakavasti järjestelmää. Ennen kuin teet muutoksia rekisteriin, tee varmuuskopio tietokoneessa olevista tärkeistä tiedoista.

Huomautus: Windows XP:ssä tätä suojausasetusta kutsuttiin nimellä Verkkokäyttö: Rekisteripolut, joita voidaan käyttää etäyhteyden välityksellä. Jos määrität tämän asetuksen Windows Server 2003 -tuoteperheen jäseneen, joka liitetään toimialueeseen, Windows XP -tietokoneet perivät tämän asetuksen nimellä Verkkokäyttö: Rekisteripolut, joita voidaan käyttää etäyhteyden välityksellä. Lisätietoja on kohdassa Verkkokäyttö: Rekisteripolut, joita voidaan käyttää etäyhteyden välityksellä.
Network access: Remotely accessible registry paths and subpaths

This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths.
2009Verkkokäyttö: Rajoita anonyymi käyttö nimettyihin putkiin ja kansioihin

Kun tämä suojausasetus otetaan käyttöön, anonyymi käyttö rajoitetaan nimettyihin kansioihin ja putkiin seuraavien asetusten mukaisesti:

Verkkokäyttö: Nimetyt putket, joita voidaan käyttää anonyymisti
Verkkokäyttö: Jaetut resurssit, joita voidaan käyttää anonyymisti
Oletusarvo: Käytössä.

Network access: Restrict anonymous access to Named Pipes and Shares

When enabled, this security setting restricts anonymous access to shares and pipes to the settings for:

Network access: Named pipes that can be accessed anonymously
Network access: Shares that can be accessed anonymously
Default: Enabled.

2010Verkkokäyttö: Jaetut resurssit, joita voidaan käyttää anonyymisti

Tämä suojausasetus määrittää, mitä jaettuja verkkoresursseja anonyymit käyttäjät voivat käyttää.

Oletusarvo: Ei määritetty.

Network access: Shares that can be accessed anonymously

This security setting determines which network shares can accessed by anonymous users.

Default: None specified.

2011Verkkokäyttö: paikallisten tilien jakamis- ja suojausmalli

Tämä suojausasetus määrittää, miten paikallisia tilejä käyttävät verkkokirjautumiset todennetaan. Jos tämä asetus on määritetty Perinteinen-asetukseen, verkkokirjautumiset paikallisten tilien tunnistetiedoilla todennetaan näillä tunnistetiedoilla. Perinteinen-malli sallii resurssien käytön hienosäädön. Perinteinen-mallilla voit myöntää samaan resurssiin eri käyttöoikeuksia eri käyttäjille.
Jos asetukseksi määritetään Vain vieras -asetus, verkkokirjautumiset paikallisilla tileillä liitetään automaattiset Vieras-tiliin. Vieras-mallilla kaikkia käyttäjiä kohdellaan samalla tavalla. Kaikki käyttäjät todennetaan vieraina ja he saavat kaikki saman käyttöoikeuden tiettyyn resurssiin (käyttöoikeus on joko Vain luku- tai Muokkaa-oikeus).

Oletus toimialueen tietokoneissa: Perinteinen.
Oletus muissa tietokoneissa: Vain vieras.

Tärkeää

Jos käytössä on Vain vieras -malli, kaikki käyttäjät, jotka voivat käyttää tietokonettasi verkon kautta (anonyymit Internet-käyttäjät mukaan lukien), voivat käyttää myös jaettuja resurssejasi. Tietokone on suojattava luvattomalta käytöltä Windowsin palomuurilla tai muilla vastaavilla sovelluksilla. Jos taas käytössä on Perinteinen-malli, paikalliset tilit täytyy suojata salasanalla. Muuten kuka tahansa voi käyttää järjestelmän jaettuja resursseja kyseisillä käyttäjätileillä.

Huomautus:

Tämä asetus ei vaikuta etätyöpöytäpalveluiden tai Telnetin kautta tehtäviin vuorovaikutteisiin kirjautumisiin.

Aiemmissa Windows Server -versioissa etätyöpöytäpalvelut tunnettiin nimellä päätepalvelut.

Tällä käytännöllä ei ole vaikutusta Windows 2000 -tietokoneisiin.
Kun tietokone ei kuulu toimialueeseen, tämä asetus muokkaa myös Windowsin resurssienhallinnan Jakaminen- ja Suojaus-välilehtiä käytettävän jako- ja suojausmallin mukaisesti.

Network access: Sharing and security model for local accounts

This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource.
If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify.

Default on domain computers: Classic.
Default on stand-alone computers: Guest only

Important

With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources.

Note:

This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services

Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

This policy will have no impact on computers running Windows 2000.
When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used.

2012Verkon suojaus: älä tallenna LAN Managerin hajautusarvoa seuraavan salasanan muuttamisen yhteydessä

Tämä suojausasetus määrittää, tallennetaanko uuden salasanan LAN Managerin hajautusarvo seuraavan salasanan muuttamisen yhteydessä. LAN Managerin hajautusarvo on suhteellisen heikko ja altis hyökkäyksille (verrattuna paremmin salattuun Windows NT:n hajautusarvoon). Koska LAN Managerin hajautusarvo on tallennettu paikallisen tietokoneen suojaustietokantaan, salasanat voivat joutua vaaraan, jos suojaustietokantaan hyökätään.


Oletusarvo Windows Vistassa ja sitä uudemmissa käyttöjärjestelmissä: käytössä.
Oletusarvo Windows XP:ssä: ei käytössä.

Tärkeää

Windows 2000 Service Pack 2 (SP2) ja uudemmat käyttöjärjestelmä ovat todennuksen osalta yhteensopivia aiempien Windows-versioiden, kuten Microsoft Windows NT 4.0:n, kanssa.
Tämä asetus voi vaikuttaa siihen, miten tietokoneet, joissa on käytössä Windows 2000 Server-, Windows 2000 Professional-, Windows XP- tai Windows Server 2003 -käyttöjärjestelmä, voivat olla yhteydessä Windows 95- ja Windows 98 -tietokoneisiin.

Network security: Do not store LAN Manager hash value on next password change

This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked.


Default on Windows Vista and above: Enabled
Default on Windows XP: Disabled.

Important

Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0.
This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98.

2013Verkon suojaus: Kirjaa käyttäjät ulos automaattisesti kirjautumisen määräajan umpeutuessa

Tämä suojausasetus määrittää, katkaistaanko sellaisten käyttäjien yhteys, jotka on liitetty paikalliseen tietokoneeseen käyttäjätilin kelvollisen kirjautumisajan ulkopuolella. Tämä asetus vaikuttaa SMB-komponenttiin.

Kun tämä käytäntö otetaan käyttöön, SMB-palvelimen kanssa muodostetut asiakasistunnot katkaistaan, kun asiakkaan kirjautumisaika umpeutuu.

Jos tämä käytäntö poistetaan käytöstä, muodostettua asiakasistuntoa jatketaan sen jälkeen, kun asiakkaan kirjautumisaika on umpeutunut.

Oletusarvo: Käytössä.

Huomautus: Tämä suojausasetus toimii tilikäytäntönä. Toimialuetileillä voi olla vain yksi tilikäytäntö. Tilikäytäntö täytyy määrittää Oletustoimialuekäytäntöön. Toimialueen muodostavat ohjauskoneet pakottavat sen käyttöön. Toimialueen ohjauskone ottaa tilikäytännön aina oletustoimialuekäytännön ryhmäkäytäntöobjektista, vaikka toimialueen ohjauskoneen sisältävään organisaatioyksikköön sovellettaisiin eri tilikäytäntöä. Toimialueeseen liitetyt työasemat ja palvelimet (esimerkiksi jäsentietokoneet) saavat myös oletusarvoisesti saman tilikäytännön paikallisille tileilleen. Jäsentietokoneiden paikalliset tilikäytännöt voivat kuitenkin erota toimialuetilin käytännöstä määrittämällä organisaatioyksilölle tilikäytännön, joka sisältää jäsentietokoneet. Kerberos-asetuksia ei käytetä jäsentietokoneissa.

Network security: Force logoff when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default: Enabled.

Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers.

2014Verkon suojaus: LAN Managerin todennustaso

Tämä suojausasetus määrittää, mitä haaste/vastaus-todennusprotokollaa verkkokirjautumisessa käytetään. Tämä valinta vaikuttaa asiakkaiden käyttämän todennusprotokollan tasoon, neuvotellun istuntosuojauksen tasoon ja palvelimien hyväksymän todennuksen tasoon seuraavasti:

Lähetä LM & NTLM -vastaukset: Asiakkaat käyttävät LM- ja NTLM-todennusta, eivät koskaan NTLMv2-istunnonsuojausta. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.

Lähetä LM ja NTLM – käyttää NTLMv2-istunnonsuojausta pyydettäessä: Asiakkaat käyttävät LM- ja NTLM-todennusta sekä NTLMv2-istunnonsuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.

Lähetä vain NTLM-vastaus: Asiakkaat käyttävät NTLM-todennusta sekä NTLMv2-istunnonsuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.

Lähetä vain NTLMv2-vastaus: Asiakkaat käyttävät NTLMv2-todennusta sekä NTLMv2-istunnonsuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hyväksyvät LM-, NTLM- ja NTLMv2-todennuksen.

Lähetä vain NTLMv2-vastaus / hylkää LM: Asiakkaat käyttävät NTLMv2-todennusta sekä NTLMv2-istunnonsuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hylkäävät LM:n (hyväksyvät vain NTLM- ja NTLMv2-todennuksen).

Lähetä vain NTLMv2-vastaus / hylkää LM ja NTLM: Asiakkaat käyttävät NTLMv2-todennusta sekä NTLMv2-istunnonsuojausta, jos palvelin tukee sitä. Toimialueen ohjauskoneet hylkäävät LM:n ja NTLM:n (hyväksyvät vain NTLMv2-todennuksen).

Tärkeää

Tämä asetus voi vaikuttaa siihen, miten tietokoneet, joissa on käytössä Windows 2000 Server, Windows 2000 Professional, Windows XP Professional tai Windows Server 2003 -tuoteperheen järjestelmä, voivat olla verkon kautta yhteydessä tietokoneisiin, joissa on Windows NT 4.0 tai aiempi versio. Esimerkiksi kirjoitushetkellä tietokoneet, joissa oli Windows NT 4.0 SP4 tai aiempi versio, eivät tukeneet NTLMv2:ta. Windows 95- ja Windows 98 -tietokoneet eivät tukeneet NTLM:ää.

Oletusarvot:

Windows 2000 ja Windows XP: lähetä LM- ja NTLM -vastaukset.

Windows Server 2003: lähetä vain NTLM-vastaukset.

Windows Vista, Windows Server 2008, Windows 7 ja Windows Server 2008 R2: lähetä vain NTLMv2-vastaukset.

Network security: LAN Manager authentication level

This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows:

Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication).

Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication).

Important

This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM.

Default:

Windows 2000 and windows XP: send LM & NTLM responses

Windows Server 2003: Send NTLM response only

Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only

2015Verkon suojaus: LDAP-asiakkaan allekirjoitusvaatimukset

Tämä suojausasetus määrittää tietojen allekirjoitustason, jota pyydetään LDAP BIND -pyyntöjä tekevien asiakkaiden puolesta:

Ei mitään: LDAP BIND -pyyntö tehdään kutsujan määrittämillä valinnoilla.
Neuvottele allekirjoitus: Jos TLS (Transport Layer Security) / SSL (Secure Sockets Layer) ei ole käynnistetty, LDAP BIND -pyyntö aloitetaan siten, että kutsujan määrittämien asetusten lisäksi käytössä on LDAP:n tietojen allekirjoitusasetus. Jos TLS\SSL on käynnistetty, LDAP BIND -pyyntö käynnistetään käyttämällä kutsujan määrittämiä asetuksia.
Vaadi allekirjoitus: Tämä on sama kuin Neuvottele allekirjoitus. Jos kuitenkin LDAP-palvelimen väliaikainen saslBindInProgress-vastaus ei osoita, että LDAP-liikenne on allekirjoitettava, kutsujalle ilmoitetaan, että LDAP BIND -komentopyyntö epäonnistui.

Varoitus

Jos palvelimen asetus on Vaadi allekirjoitus, myös asiakkaalla on oltava tämä asetus. Jos asiakkaalla ei ole tätä asetusta, palvelinyhteys katkeaa.

Huomautus: Tällä asetuksella ei ole mitään vaikutusta funktioon ldap_simple_bind tai ldap_simple_bind_s. Mitkään Windows XP Professionalin mukana toimitettavat Microsoftin LDAP-asiakkaat eivät käytä funktiota ldap_simple_bind tai ldap_simple_bind_s keskusteluun toimialueen ohjauskoneen kanssa.

Oletusarvo: neuvottele allekirjoitus.

Network security: LDAP client signing requirements

This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows:

None: The LDAP BIND request is issued with the options that are specified by the caller.
Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller.
Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed.

Caution

If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server.

Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller.

Default: Negotiate signing.

2016Verkon suojaus: pienin istunnon suojaus NTLM SSP -pohjaisille asiakkaille (mukaan lukien suojatut RPC -asiakkaat)

Tällä suojausasetuksella asiakas voi pyytää neuvottelua 128-bittisestä salauksesta ja NTLMv2-istuntosuojauksesta. Nämä arvot riippuvat LAN Managerin todennustaso -suojausasetuksesta. Nämä asetukset ovat seuraavat:

Vaadi NTLMv2-istunnonsuojaus. neuvottelu epäonnistuu, jos NTLMv2-protokollasta ei neuvotella.
Vaadi 128-bittinen salaus. yhteyden muodostus epäonnistuu, jos vahvaa (128-bittistä) salausta ei neuvotella.

Oletusarvot:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 ja Windows Server 2008: ei vaatimuksia.

Windows 7 ja Windows Server 2008 R2: vaadi 128-bittinen salaus.

Network security: Minimum session security for NTLM SSP based (including secure RPC) clients

This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated.
Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2017Verkon suojaus: pienin istunnon suojaus NTLM SSP -pohjaisille palvelimille (mukaan lukien suojatut RPC -palvelimet)

Tällä suojausasetuksella palvelin voi pyytää neuvottelua 128-bittisestä salauksesta ja NTLMv2-istuntosuojauksesta. Nämä arvot riippuvat LAN Managerin todennustaso -suojausasetuksesta. Asetukset ovat seuraavat:

Vaadi NTLMv2-istunnonsuojaus: neuvottelu epäonnistuu, jos sanomien yhdenmukaisuudesta ei neuvotella.
Vaadi 128-bittinen salaus: yhteyden muodostus epäonnistuu, jos vahvaa (128-bittistä) salausta ei neuvotella.

Oletusarvot:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 ja Windows Server 2008: ei vaatimuksia.

Windows 7 ja Windows Server 2008 R2: vaadi 128-bittinen salaus.

Network security: Minimum session security for NTLM SSP based (including secure RPC) servers

This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if message integrity is not negotiated.
Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2018Palautuskonsoli: Salli automaattinen kirjautuminen järjestelmänvalvojana

Tämä suojausasetus määrittää, täytyykö Järjestelmänvalvoja-tilin salasana antaa, ennen kuin järjestelmän käyttö sallitaan. Jos tämä asetus otetaan käyttöön, palautuskonsoli ei edellytä salasanan antamista ja kirjaa käyttäjän automaattisesti sisään järjestelmään.

Oletusarvo: Tätä käytäntöä ei ole määritetty ja automaattinen kirjautuminen järjestelmänvalvojana ei ole sallittu.

Recovery console: Allow automatic administrative logon

This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system.

Default: This policy is not defined and automatic administrative logon is not allowed.

2019Palautuskonsoli: Salli levykekopiointi sekä kaikkien asemien ja kansioiden käyttö

Tämä suojausasetuksen käyttöönotto antaa käyttöön palautuskonsolin SET-komennon, jolla voi asettaa seuraavat palautuskonsolin ympäristömuuttujat:

AllowWildCards: Yleismerkkituki joissakin komennoissa (kuten DEL-komennossa).
AllowAllPaths: Kaikkien tietokoneen tiedostojen ja kansioiden käyttö.
AllowRemovableMedia: Tiedostojen kopioiminen siirrettävistä tietovälineistä, kuten levykkeistä.
NoCopyPrompt: Olemassa olevan tiedoston korvauksesta ei tule kehotetta.

Oletusarvo: Tätä käytäntöä ei ole määritetty ja palautuskonsolin SET-komento ei ole käytettävissä.

Recovery console: Allow floppy copy and access to all drives and all folders

Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables:

AllowWildCards: Enable wildcard support for some commands (such as the DEL command).
AllowAllPaths: Allow access to all files and folders on the computer.
AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk.
NoCopyPrompt: Do not prompt when overwriting an existing file.

Default: This policy is not defined and the recover console SET command is not available.

2020Sammuttaminen: Salli järjestelmän sammuttaminen ilman kirjautumista

Tämä suojausasetus määrittää, voiko tietokoneen sammuttaa tarvitsematta kirjautua Windowsiin.

Kun tämä käytäntö otetaan käyttöön, Windowsin sisäänkirjausnäytössä on käytettävissä Sammuta-komento.

Kun tämä käytäntö poistetaan käytöstä, Windowsin sisäänkirjausnäytössä ei näy Sammuta-komentoa. Tällöin käyttäjien on voitava kirjautua tietokoneeseen ja heillä on oltava Järjestelmän sammuttaminen -oikeus, jotta he voivat sammuttaa järjestelmän.

Oletusarvo:

Käytössä, jos kyseessä on työasema.
Ei käytössä, jos kyseessä on palvelin.

Shutdown: Allow system to be shut down without having to log on

This security setting determines whether a computer can be shut down without having to log on to Windows.

When this policy is enabled, the Shut Down command is available on the Windows logon screen.

When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown.

Default on workstations: Enabled.
Default on servers: Disabled.

2021Sammuttaminen: Tyhjennä sivutustiedosto

Tämä suojausasetus määrittää, tyhjennetäänkö sivutustiedosto, kun järjestelmä sammutetaan.

Näennäismuistin tuki siirtää muistisivuja levylle käyttämällä järjestelmän sivutustiedostoa, kun muistisivuja ei tarvita. Kun järjestelmä on käytössä, käyttöjärjestelmä avaa tämän sivutustiedoston yksinomaiseen käyttöönsä. Sivutustiedosto on suojattu hyvin. Järjestelmien, jotka on määritetty sallimaan muiden käyttöjärjestelmien käynnistys, täytyy ehkä varmistaa, että järjestelmän sivutustiedosto on puhdistettu, kun tämä järjestelmä sammutetaan. Tämä varmistaa, että prosessimuistin arkaluonteiset tiedot, jotka saatetaan siirtää sivutustiedostoon, eivät joudu luvattomien käyttäjien ulottuville, jos he pääsevät avaamaan sivutustiedoston.

Kun tämä käytäntö otetaan käyttöön, järjestelmän sivutustiedosto tyhjennetään normaalin sammutuksen yhteydessä. Jos otat käyttöön tämän suojausasetuksen, horrostilatiedosto (hiberfil.sys) tyhjennetään myös, kun horrostila poistetaan käytöstä.

Oletusarvo: Ei käytössä.

Shutdown: Clear virtual memory pagefile

This security setting determines whether the virtual memory pagefile is cleared when the system is shut down.

Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile.

When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled.

Default: Disabled.

2022Järjestelmän salaustekniikka: Pakota vahva avainten suojaus tietokoneeseen tallennetuille käyttäjäavaimille

Tämä suojausasetus määrittää, tarvitsevatko käyttäjien yksityiset avaimet salasanaa, jotta niitä voitaisiin käyttää.

Vaihtoehdot:

Käyttäjältä ei tarvita tietoja, kun uusia avaimia tallennetaan ja käytetään
Käyttäjälle näytetään kehote, kun avainta käytetään ensimmäisen kerran
Käyttäjän on annettava salasana aina, kun hän käyttää avainta
Lisätietoja on julkisen avaimen infrastruktuurin kohdalla.

Oletusarvo: Tätä käytäntöä ei ole määritetty.

System Cryptography: Force strong key protection for user keys stored on the computer

This security setting determines if users' private keys require a password to be used.

The options are:

User input is not required when new keys are stored and used
User is prompted when the key is first used
User must enter a password each time they use a key
For more information, see Public key infrastructure.

Default: This policy is not defined.

2023Järjestelmän salaustekniikka: käytä FIPS 140 -yhteensopivia salausalgoritmeja, esimerkiksi salaus-, hajautus- ja allekirjoitusalgoritmeja

SSP (Schannel Security Service Provider) -palvelussa tämä suojausasetus poistaa käytöstä heikommat SSL (Secure Sockets Layer) -protokollat ja tukee vain TLS (Transport Layer Security) -protokollia asiakkaana ja palvelimena (jos käytettävissä). Jos tämä asetus on käytössä, TLS/SSL (Transport Layer Security/Secure Sockets Layer) -salauspalvelu käyttää vain FIPS 140 -yhteensopivia salausalgoritmeja: 3DES- ja AES-algoritmeja salaukseen, julkiseen avaimeen perustuvaa RSA- tai ECC-salaustekniikkaa TLS-avaimen vaihtoon ja todennukseen sekä vain SHA-algoritmeja (SHA1, SHA256, SHA384 ja SHA512) TLS-hajautusvaatimuksiin.

Jos kyseessä on EFS-salaus, Triple Data Encryption Standard (3DES) -salausalgoritmia ja Advanced Encryption Standard (AES) -salausalgoritmia käytetään NTFS-tiedostojärjestelmän tukemien tietojen salaamiseen. EFS-salaus käyttää oletusarvoisesti tiedostojen tietojen salaamiseen 256-bittisellä avaimella varustettua AES (Advanced Encryption Standard) -algoritmia Windows Server 2003- ja Windows Vista -järjestelmissä ja DESX-algoritmia Windows XP:ssä. EFS-salauksesta on tietoja EFS-salausta käsittelevässä kohdassa.

Etätyöpöytäpalveluiden verkkoliikenteen salaamisessa tuetaan vain 3DES-salausalgoritmia.

Huomautus: aiemmissa Windows Server -versioissa etätyöpöytäpalvelut tunnettiin nimellä päätepalvelut.

BitLocker-salauksessa tämä käytäntö on otettava käyttöön, ennen kuin salausavain luodaan. Tämän käytännön ollessa käytössä luodut palautussalasanat eivät ole yhteensopivia BitLockerin kansa Windows 8:ssa, Windows Server 2012:ssa ja aiemmissa käyttöjärjestelmissä. Jos tämä käytäntö otetaan käyttöön tietokoneissa, joiden käyttöjärjestelmä on aiempi kuin Windows 8.1 ja Windows Server 2012 R2, BitLocker estää palautussalasanojen luonnin tai käyttämisen; niiden sijaan kyseisissä tietokoneissa tulee käyttää palautusavaimia.

Oletus: ei käytössä.

Huomautus: FIPS (Federal Information Processing Standard) 140 -standardi on tarkoitettu salausohjelmistojen sertifiointiin. Yhdysvaltojen valtionhallinto ja useat merkittävät organisaatiot edellyttävät FIPS 140 -standardin mukaisia ohjelmistoja.

System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms

For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements.

For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System.

For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead.

Default: Disabled.

Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions.

2024Järjestelmäobjektit: Järjestelmänvalvojat-ryhmän jäsenten luomien objektien oletusomistaja
Kuvaus
Tämä suojausasetus määrittää, mikä suojauspääobjekti (SID) määritetään objektien omistajalle (OWNER), kun objektin on luonut Järjestelmänvalvojat-ryhmän jäsen.
Oletusarvo:
Windows XP: Käyttäjän SID
Windows 2003 : Järjestelmänvalvojat-ryhmä
System objects: Default owner for objects created by members of the Administrators group
Description
This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group.
Default:
Windows XP: User SID
Windows 2003 : Administrators Group
2025Järjestelmäobjektit: edellytä kirjainkoon merkityksellisyyttä muilta kuin Windows-alijärjestelmiltä

Tämä suojausasetus määrittää, onko kirjainkoolla merkitystä alijärjestelmissä. Win32-alijärjestelmässä kirjainkoolla ei ole merkitystä. Käyttöjärjestelmän ydin tukee kuitenkin kirjainkoon merkityksellisyyttä muissa alijärjestelmissä, kuten POSIX-alijärjestelmässä.

Jos tämä asetus otetaan käyttöön, kirjainkoolla ei ole merkitystä missään hakemisto-objekteissa, symbolisissa linkeissä ja IO-objekteissa, kuten tiedosto-objekteissa. Vaikka tämä asetus poistetaan käytöstä, Win32-alijärjestelmässä kirjainkoolla ei ole merkitystä.

Oletusarvo: käytössä.

System objects: Require case insensitivity for non-Windows subsystems

This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX.

If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive.

Default: Enabled.

2026Järjestelmäobjektit: Vahvista sisäisten järjestelmäobjektien (kuten symbolisten linkkien) oletusarvoisia oikeuksia

Tämä suojausasetus määrittää objektien DACL-luettelon vahvuuden.

Active Directory ylläpitää yleistä jaettujen järjestelmäresurssien luetteloa, jossa on DOS-laitenimiä, mutekseja ja semaforeja. Näin objektit voidaan paikantaa ja jakaa prosessien kesken. Kullekin objektityypille luodaan oletus-DACL-luettelo, joka määrittää, kuka voi käyttää objekteja ja mitä oikeuksia myönnetään.

Jos tämä käytäntö otetaan käyttöön, oletus-DACL-luettelo tulee voimakkaammaksi, jolloin käyttäjät, jotka eivät ole järjestelmänvalvojia, voivat lukea jaettuja objekteja mutta he eivät voi muokata sellaisia jaettuja objekteja, joita he eivät ole luoneet.

Oletusarvo: Käytössä.

System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)

This security setting determines the strength of the default discretionary access control list (DACL) for objects.

Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted.

If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create.

Default: Enabled.

2027Järjestelmäasetukset: Valinnaiset alijärjestelmät

Tämä suojausasetus määrittää, mitä alijärjestelmiä voidaan valinnaisesti käyttää sovellusten tukemiseen. Kun tämä suojausasetus on käytössä, voit määrittää niin monta sovelluksiasi tukevaa alijärjestelmää kuin järjestelmäympäristö edellyttää.

Oletusarvo: POSIX.

System settings: Optional subsystems

This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands.

Default: POSIX.

2028Järjestelmäasetukset: käytä varmennesääntöjä Windowsin suoritettavien tiedostojen ohjelmistojen rajoituskäytännöissä

Tämä suojausasetus määrittää, käsitelläänkö digitaaliset varmenteet, kun käyttäjä tai prosessi yrittää suorittaa ohjelmiston, jonka tiedostonimessä on .exe-tunniste. Tällä suojausasetuksella voit ottaa käyttöön tai poistaa käytöstä varmennesääntöjä. Se on siis eräänlainen ohjelmistojen rajoituskäytännön sääntö. Ohjelmistojen rajoituskäytännöillä voit luoda varmennesäännön, joka sallii tai estää Authenticode-allekirjoitetun ohjelmiston suorituksen siihen liittyvän digitaalisen varmenteen perusteella. Jotta varmennesäännöt olisivat voimassa, tämä suojausasetus täytyy ottaa käyttöön.

Kun varmennesäännöt otetaan käyttöön, ohjelmistojen rajoituskäytännöt tarkistavat kumottujen varmenteiden luettelosta, onko ohjelmiston varmenne ja allekirjoitus kelvollinen. Tämä voi heikentää allekirjoitettujen ohjelmien käynnistyksen suorituskykyä. Voit poistaa tämän ominaisuuden käytöstä. Tyhjennä Ominaisuudet: luotetut julkaisijat -valintaikkunassa Julkaisija- ja Aikaleima-valintaruudut. Lisätietoja on luotetun julkaisijan asetuksia käsittelevässä kohdassa.

Oletusarvo: ei käytössä.

System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies

This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting.

When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options.

Default: Disabled.

2029Sovelluslokin enimmäiskoko

Tämä suojausasetus määrittää sovelluksen tapahtumalokin enimmäiskoon, jonka teoreettinen enimmäisarvo on neljä gigatavua. Käytännössä enimmäiskoko on pienempi (~300 Mt).

Huomautuksia

Lokitiedoston koon täytyy olla 64 kilotavun kerrannainen. Jos kirjoitat arvon, joka ei ole 64 kilotavun kerrannainen, Tapahtumienvalvonta pyöristää lokitiedoston koon enintään 64 kilotavun kerrannaiseksi.
Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.
Tapahtumalokin koko ja määritykset on asetettava yrityksen tietoturvasuunnitelmaa luotaessa määritettyjen liiketaloudellisten vaatimusten ja suojausvaatimusten mukaisesti. Nämä tapahtumalokiasetukset voi määrittää sivuston, toimialueen tai organisaatioyksikön tasolla, jolloin voidaan hyödyntää ryhmäkäytäntöasetuksia.
Oletusarvo: Windows Server 2003 -tuoteperhe – 16 megatavua, Windows XP Professional Service Pack 1–8 megatavua, Windows XP Professional – 512 kilotavua.

Maximum application log size

This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2030Suojauslokin enimmäiskoko

Tämä suojausasetus määrittää suojaustapahtumalokin enimmäiskoon, jonka teoreettinen enimmäisarvo on neljä gigatavua. Käytännössä enimmäiskoko on pienempi (~300 Mt).

Huomautuksia

Lokitiedoston koon täytyy olla 64 kilotavun kerrannainen. Jos kirjoitat arvon, joka ei ole 64 kilotavun kerrannainen, Tapahtumienvalvonta pyöristää lokitiedoston koon enintään 64 kilotavun kerrannaiseksi.
Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.
Tapahtumalokin koko ja määritykset on asetettava yrityksen tietoturvasuunnitelmaa luotaessa määritettyjen liiketaloudellisten vaatimusten ja suojausvaatimusten mukaisesti. Nämä tapahtumalokiasetukset voi määrittää sivuston, toimialueen tai organisaatioyksikön tasolla, jolloin voidaan hyödyntää ryhmäkäytäntöasetuksia.
Oletusarvo: Windows Server 2003 -tuoteperhe – 16 megatavua, Windows XP Professional Service Pack 1–8 megatavua, Windows XP Professional – 512 kilotavua.

Maximum security log size

This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2031Järjestelmälokin enimmäiskoko

Tämä suojausasetus määrittää järjestelmätapahtumalokin enimmäiskoon, jonka teoreettinen enimmäisarvo on neljä gigatavua. Käytännössä enimmäiskoko on pienempi (~300 Mt).

Huomautuksia

Lokitiedoston koon täytyy olla 64 kilotavun kerrannainen. Jos kirjoitat arvon, joka ei ole 64 kilotavun kerrannainen, Tapahtumienvalvonta pyöristää lokitiedoston koon enintään 64 kilotavun kerrannaiseksi.
Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.
Tapahtumalokin koko ja määritykset on asetettava yrityksen tietoturvasuunnitelmaa luotaessa määritettyjen liiketaloudellisten vaatimusten ja suojausvaatimusten mukaisesti. Nämä tapahtumalokiasetukset voi määrittää sivuston, toimialueen tai organisaatioyksikön tasolla, jolloin voidaan hyödyntää ryhmäkäytäntöasetuksia.
Oletusarvo: Windows Server 2003 -tuoteperhe – 16 megatavua, Windows XP Professional Service Pack 1–8 megatavua, Windows XP Professional – 512 kilotavua.

Maximum system log size

This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2032Estä paikallista Vieraat-ryhmää ja anonyymia kirjautumista käyttäviä käyttäjiä käyttämästä sovelluslokia

Tämä suojausasetus määrittää, estetäänkö vieraita käyttämästä sovellustapahtumalokia.

Huomautuksia

Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.

Tämä suojausasetus koskee vain Windows 2000- ja Windows XP -tietokoneita.

Oletusarvo: Käytössä (Windows XP), Ei käytössä (Windows 2000)
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2033Estä paikallista Vieraat-ryhmää ja anonyymia kirjautumista käyttäviä käyttäjiä käyttämästä suojauslokia

Tämä suojausasetus määrittää, estetäänkö vieraita käyttämästä sovellustapahtumalokia.

Huomautuksia

Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.

Tämä suojausasetus koskee vain Windows 2000- ja Windows XP -tietokoneita.

Oletusarvo: Käytössä (Windows XP), Ei käytössä (Windows 2000)
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2034Estä paikallista Vieraat-ryhmää ja anonyymia kirjautumista käyttäviä käyttäjiä käyttämästä järjestelmälokia

Tämä suojausasetus määrittää, estetäänkö vieraita käyttämästä järjestelmän tapahtumalokia.

Huomautuksia

Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.

Tämä suojausasetus koskee vain Windows 2000- ja Windows XP -tietokoneita.

Oletusarvo: Käytössä (Windows XP), Ei käytössä (Windows 2000)
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2035Säilytä sovellusloki

Tämä suojausasetus määrittää, kuinka monen päivän tapahtumat säilytetään sovelluslokissa, jos sovelluslokin säilytysmenetelmä on Päivittäin.

Määritä tämä arvo vain, jos arkistoit lokin säännöllisin välein ja varmistat, että Sovelluslokin enimmäiskoko -asetus on riittävän suuri arkistointivälin tiedoille.

Huomautus: Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.
Oletusarvo: Ei mitään.

Retain application log

This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2036Säilytä suojausloki

Tämä suojausasetus määrittää, kuinka monen päivän tapahtumat säilytetään suojauslokissa, jos suojauslokin säilytysmenetelmä on Päivittäin.

Määritä tämä arvo vain, jos arkistoit lokin säännöllisin välein ja varmistat, että suojauslokin enimmäiskoko on riittävän suuri arkistointivälin tiedoille.

Huomautuksia:
Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.
Suojauslokin käyttäminen edellyttää valvonnanhallinnan ja suojauslokin käyttöoikeuksia.
Oletusarvo: ei mitään.

Retain security log

This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval.

Notes
This setting does not appear in the Local Computer Policy object.
A user must possess the Manage auditing and security log user right to access the security log.
Default: None.

2037Säilytä järjestelmäloki

Tämä suojausasetus määrittää, kuinka monen päivän tapahtumat säilytetään järjestelmälokissa, jos järjestelmälokin säilytysmenetelmä on Päivittäin.

Määritä tämä arvo vain, jos arkistoit lokin säännöllisin välein ja varmistat, että järjestelmälokin enimmäiskoko on riittävän suuri arkistointivälin tiedoille.

Huomautus: Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.
Oletusarvo: Ei mitään.

Retain system log

This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2038Sovelluslokin säilytysmenetelmä

Tämä suojausasetus määrittää, miten sovellusloki säilytetään.

Jos et arkistoi sovelluslokia, valitse tämän käytännön Ominaisuudet-valintaikkunasta Määritä tämä käytäntöasetus -valintaruutu ja valitse sitten Korvaa tapahtumia tarpeen mukaan.

Jos arkistoit lokin määritetyin väliajoin, valitse tämän käytännön Ominaisuudet-valintaikkunasta Määritä tämä käytäntöasetus -valintaruutu, valitse sitten Korvaa tapahtumia päivien mukaan ja määritä Säilytä sovellusloki -asetukseen päivien määrä. Varmista, että Sovelluslokin enimmäiskoko -asetus on riittävän suuri arkistointivälin tiedoille.

Jos kaikki lokin tapahtumat on säilytettävä, valitse tämän käytännön Ominaisuudet-valintaikkunasta Määritä tämä käytäntöasetus -valintaruutu ja valitse sitten Älä korvaa tapahtumia (tyhjennä loki manuaalisesti). Tämä asetus edellyttää, että loki tyhjennetään manuaalisesti. Kun enimmäislokikoko saavutetaan, uudet tapahtumat hylätään.

Huomautus: Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.

Oletusarvo: Ei mitään.

Retention method for application log

This security setting determines the "wrapping" method for the application log.

If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Note: This setting does not appear in the Local Computer Policy object.

Default: None.

2039Suojauslokin säilytysmenetelmä

Tämä suojausasetus määrittää, miten suojausloki säilytetään.

Jos et arkistoi suojauslokia, valitse tämän käytännön Ominaisuudet-valintaikkunasta Määritä tämä käytäntöasetus -valintaruutu ja valitse sitten Korvaa tapahtumia tarpeen mukaan.

Jos arkistoit lokin määritetyin väliajoin, valitse tämän käytännön Ominaisuudet-valintaikkunasta Määritä tämä käytäntöasetus -valintaruutu, valitse sitten Korvaa tapahtumia päivien mukaan ja määritä Säilytä sovellusloki -asetukseen päivien määrä. Varmista, että Suojauslokin enimmäiskoko -asetus on riittävän suuri arkistointivälin tiedoille.

Jos kaikki lokin tapahtumat on säilytettävä, valitse tämän käytännön Ominaisuudet-valintaikkunasta Määritä tämä käytäntöasetus -valintaruutu ja valitse sitten Älä korvaa tapahtumia (tyhjennä loki manuaalisesti). Tämä asetus edellyttää, että loki tyhjennetään manuaalisesti. Kun enimmäislokikoko saavutetaan, uudet tapahtumat hylätään.

Huomautuksia

Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.

Suojauslokin käyttäminen edellyttää valvonnanhallinnan ja suojauslokin käyttöoikeuksia.

Oletusarvo: Ei mitään.
Retention method for security log

This security setting determines the "wrapping" method for the security log.

If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Notes

This setting does not appear in the Local Computer Policy object.

A user must possess the Manage auditing and security log user right to access the security log.

Default: None.
2040Järjestelmälokin säilytysmenetelmä

Tämä suojausasetus määrittää, miten järjestelmäloki säilytetään.

Jos et arkistoi järjestelmälokia, valitse tämän käytännön Ominaisuudet-valintaikkunasta Määritä tämä käytäntöasetus -valintaruutu ja valitse sitten Korvaa tapahtumia tarpeen mukaan.

Jos arkistoit lokin määritetyin väliajoin, valitse tämän käytännön Ominaisuudet-valintaikkunasta Määritä tämä käytäntöasetus -valintaruutu, valitse sitten Korvaa tapahtumia päivien mukaan ja määritä Säilytä sovellusloki -asetukseen päivien määrä. Varmista, että Järjestelmälokin enimmäiskoko -asetus on riittävän suuri arkistointivälin tiedoille.

Jos kaikki lokin tapahtumat on säilytettävä, valitse tämän käytännön Ominaisuudet-valintaikkunasta Määritä tämä käytäntöasetus -valintaruutu ja valitse sitten Älä korvaa tapahtumia (tyhjennä loki manuaalisesti). Tämä asetus edellyttää, että loki tyhjennetään manuaalisesti. Kun enimmäislokikoko saavutetaan, uudet tapahtumat hylätään.

Huomautus: Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.

Oletusarvo: Ei mitään.
Retention method for system log

This security setting determines the "wrapping" method for the system log.

If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval

.If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded

Note: This setting does not appear in the Local Computer Policy object.

Default: None.
2041Rajoitetut ryhmät

Tämä suojausasetus määrittää, että järjestelmänvalvoja voi määrittää kaksi ominaisuutta erityisesti suojattaville ryhmille ("rajoitetuille" ryhmille).

Nämä kaksi ominaisuutta ovat Jäsenet ja Jäsenyys. Jäsenet-luettelo määrittää, ketkä kuuluvat ja ketkä eivät kuulu rajoitettuun ryhmään. Jäsenyys-luettelo määrittää, mihin muihin ryhmiin rajoitettu ryhmä kuuluu.

Kun Rajoitetut ryhmät -käytäntö otetaan käyttöön, Jäsenet-luetteloon kuulumattomat rajoitetun ryhmän jäsenet poistetaan. Jäsenet-luetteloon kuuluvat käyttäjät, jotka eivät ole rajoitetun ryhmän jäseniä, lisätään siihen.

Rajoitetut ryhmät -käytännön avulla voit hallita ryhmän jäsenyyttä. Tämän käytännön avulla voit määrittää, ketkä jäsenet kuuluvat ryhmään. Jäsenet, joita ei määritetä käytännössä, poistetaan määrityksen tai päivityksen aikana. Lisäksi käänteisen jäsenyyden määritys varmistaa, että jokainen rajoitettu ryhmä on ainoastaan niiden ryhmien jäsen, jotka on määritetty Jäsenyys-sarakkeessa.

Voit esimerkiksi luoda Rajoitetut ryhmät -käytännön, jolla sallitaan vain tietyt käyttäjät (esimerkiksi Merja ja Juha) Järjestelmänvalvojat-ryhmän jäseniksi. Kun käytäntö päivitetään, vain Merja ja Juha jäävät Järjestelmänvalvojat-ryhmän jäseniksi.

Rajoitetut ryhmät -käytäntöä voi käyttää kahdella tavalla:

Määritä käytäntö suojausmalliin, jota käytetään määritysvaiheessa paikallisessa tietokoneessa.
Määritä asetus suoraan ryhmäkäytäntöobjektiin, jolloin käytäntö tulee voimaan aina, kun käytäntö päivitetään. Suojausasetukset päivitetään 90 minuutin välein työasemassa tai palvelimessa ja viiden minuutin välein toimialueen ohjauskoneessa. Asetukset päivitetään myös 16 tunnin välein riippumatta siitä, onko mitään muutoksia.
Oletusarvo: Ei määritetty.

Varoitus

Jos Rajoitetut ryhmät -käytäntö ja ryhmäkäytäntö päivitetään, kaikki jäsenet, joita ei ole Rajoitetut ryhmät -käytännön jäsenluettelossa, poistetaan. Näihin voivat kuulua oletusjäsenet, kuten järjestelmänvalvojat.

Huomautuksia

Rajoitettuja ryhmiä pitäisi ensisijaisesti käyttää työasemien tai jäsenpalvelimien paikallisten ryhmien jäsenyyksien määrittämiseen.
Tyhjä Jäsenet-luettelo tarkoittaa, että rajoitetussa ryhmässä ei ole jäseniä. Tyhjä Jäsenyys-luettelo tarkoittaa, että ryhmiä, joihin rajoitettu ryhmä kuuluu, ei ole määritetty.

Restricted Groups

This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups).

The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to.

When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added.

You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column.

For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group.

There are two ways to apply Restricted Groups policy:

Define the policy in a security template, which will be applied during configuration on your local computer.
Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes.
Default: None specified.

Caution

If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators.

Notes

Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers.
An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified.

2042Järjestelmäpalvelujen suojausasetukset

Sallii järjestelmänvalvojan määrittää käynnistystilan (manuaalinen, automaattinen tai ei käytössä) sekä käyttöoikeudet (Käynnistä, Pysäytä tai Keskeytä) kaikille järjestelmäpalveluille.

Oletusarvo: Määrittämätön.

Huomautuksia

Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.
Jos asetat järjestelmäpalvelujen käynnistystavan automaattiseksi, varmistaudu siitä, että palvelut voivat käynnistyä ilman käyttäjän toimia.
Voit optimoida suorituskyvyn asettamalla tarpeettomat tai käyttämättömät palvelut manuaaliseen tilaan.

System Services security settings

Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services.

Default: Undefined.

Notes

This setting does not appear in the Local Computer Policy object.
If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention.
For performance optimization, set unnecessary or unused services to Manual.

2043Rekisterin suojausasetukset

Sallii järjestelmänvalvojan määrittää rekisteriavaimien käyttöoikeudet (DACL-luetteloihin) ja valvonta-asetukset (SACL-luetteloihin) käyttämällä Suojausmääritysten hallintaa.

Oletusarvo: Määrittämätön.

Huomautus: Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.

Registry security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.

2044Tiedostojärjestelmän suojausasetukset

Sallii järjestelmänvalvojan määrittää tiedostojärjestelmäobjektien käyttöoikeudet (DACL-luetteloihin) ja valvonta-asetukset (SACL-luetteloihin) käyttämällä Suojausmääritysten hallintaa.

Oletusarvo: Määrittämätön.

Huomautus: Tämä asetus ei näy Paikallisen tietokoneen käytäntö -objektissa.
File System security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.
2045Valvonta: pakota valvontakäytännön aliluokan asetukset (Windows Vistassa tai uudemmassa Windows-versiossa) valvontakäytännön luokan asetuksien sijaan.

Windows Vistassa ja sitä uudemmissa Windowsin versioissa valvontakäytäntöjä voi hallita tarkasti valvontakäytäntöjen aliluokkien avulla. Jos valvontakäytäntö määritetään luokkatasolla, uusi aliluokan valvontakäytäntöominaisuus ohitetaan. Ryhmäkäytäntö mahdollistaa valvontakäytännön määrittämisen vain luokkatasolla, ja aiemmin määritetty ryhmäkäytäntö voi ohittaa uusien tietokoneiden aliluokkien asetukset, kun uusia tietokoneita liitetään toimialueeseen tai päivitetään Windows Vistaksi tai sitä uudemmiksi versioiksi. Jotta valvontakäytäntöjä voidaan hallita aliluokkien avulla muuttamatta ryhmäkäytäntöjä, Windows Vistassa ja sitä uudemmissa versioissa on uusi rekisteriarvo SCENoApplyLegacyAuditPolicy, joka estää luokkatason valvontakäytännön käyttämisen ryhmäkäytännöstä ja paikallisesta suojauskäytännön hallintatyökalusta.

Jos tässä määritetty luokkatason valvontakäytäntö ei vastaa tällä hetkellä luotavia tapahtumia, syynä voi olla se, että tämä rekisteriavain on määritetty.

Oletusarvo: käytössä.
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool.

If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set.

Default: Enabled
2046Käyttäjätilien valvonta: käytä järjestelmään kuuluvassa järjestelmänvalvojatilissä järjestelmänvalvojan hyväksyntätilaa

Tämä käytäntöasetus määrittää järjestelmään kuuluvan järjestelmänvalvojatilin järjestelmänvalvojan hyväksyntätilan asetukset.

Mahdolliset asetukset ovat seuraavat:

• Käytössä: Järjestelmään kuuluva järjestelmänvalvojatili käyttää järjestelmänvalvojan hyväksyntätilaa. Kaikkiin toimintoihin, jotka edellyttävät käyttöoikeuksien korottamista, pyydetään oletusarvoisesti lupa käyttäjältä.

• Ei käytössä: järjestelmään kuuluva järjestelmänvalvojatili suorittaa kaikki sovellukset täysillä järjestelmänvalvojan oikeuksilla.
User Account Control: Use Admin Approval Mode for the built-in Administrator account

This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account.

The options are:

• Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation.

• Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege.
2047DCOM: koneiden käyttörajoitukset SDDL (Security Descriptor Definition Language) -kielen syntaksissa

Tämä käytäntöasetus määrittää käyttäjät ja ryhmät, jotka voivat käsitellä DCOM-sovellusta paikallisesti tai etäyhteyden kautta. Tätä asetusta käytetään DCOM-sovelluksissa tietokoneen käyttömahdollisuuksien hallitsemiseen.

Tämän käytäntöasetuksen avulla voit määrittää kaikkien tietokoneiden käyttöoikeudet yrityksen DCOM-sovellusten tietyille käyttäjille. Kun määrität käyttäjät tai ryhmät, joille myönnetään käyttöoikeus, suojauskuvaimen kenttään lisätään kyseisten ryhmien ja käyttöoikeuksien SDDL (Security Descriptor Definition) -kielinen muoto. Jos suojauskuvain jätetään tyhjäksi, käytäntöasetus määritetään mallissa, mutta sen noudattamista ei pakoteta. Käyttäjille ja ryhmille voidaan myöntää paikallista käyttöä ja etäkäyttöä varten erityiset Salli- tai Estä-oikeudet.

Rekisteriasetukset, jotka luodaan DCOM-käyttöönoton seurauksena: koneiden käyttörajoitukset SDDL (Security Descriptor Definition Language) -kielen syntaksin käytäntöasetuksissa kumoavat (ovat prioriteetiltaan korkeampia kuin) tämän alueen aiemmat rekisteriasetukset. Etäproseduurikutsujen palvelut (RpcSs) tarkistavat tietokoneen rajoitukset Käytännöt-osan uusista rekisteriavaimista, ja nämä rekisterimerkinnät kumoavat aiemmat OLE-rekisteriavaimet. Tämä tarkoittaa sitä, että aiemmin määritetyt rekisteriasetukset eivät ole enää voimassa, ja jos nykyisiin asetuksiin tehdään muutoksia, käyttäjien tietokoneen käyttöoikeuksia ei muuteta. Määritä käyttäjien ja ryhmien luettelot huolellisesti.

Tämän käytäntöasetuksen mahdollisia arvoja ovat seuraavat:

Tyhjä: tämä ilmaisee paikallisen suojauskäytännön pakotusavaimen poistamistavan. Tämä arvo poistaa käytännön ja määrittää sen sitten Ei määritetty -tilaan. Voit määrittää Tyhjä-arvon käyttämällä käyttöoikeusluettelon editoria, tyhjentämällä luettelon ja valitsemalla sitten OK.

SDDL: tämä on käytännön käyttöönoton yhteydessä määritettyjen ryhmien ja käyttöoikeuksien SDDL (Security Descriptor Definition Language) -kielinen esitys.

Ei määritetty: tämä on oletusarvo.

Huomautus
Jos järjestelmänvalvojan DCOM-sovellusten käsittelyn käyttöoikeudet on torjuttu Windowsissa tehtyjen DCOM-muutosten johdosta, järjestelmänvalvoja voi käyttää DCOM: koneiden käyttörajoituksia SDDL (Security Descriptor Definition Language) -kielen syntaksissa -käytäntöasetusta tietokoneen DCOM-käytön hallitsemiseen. Järjestelmänvalvoja voi määrittää tämän asetuksen avulla käyttäjät ja ryhmät, jotka voivat käyttää DCOM-sovellusta tietokoneessa paikallisesti ja etäyhteyden avulla. Näin on mahdollista palauttaa DCOM-sovelluksen hallinta järjestelmänvalvojalle ja käyttäjille. Voit tehdä tämän toimen avaamalla DCOM: koneiden käyttörajoitukset SDDL (Security Descriptor Definition Language) -kielen syntaksissa -asetuksen ja valitsemalla Muokkaa suojaustietoja. Määritä sisällytettävät ryhmät sekä kyseisten ryhmien tietokoneiden käyttöoikeudet. Tämän tekeminen määrittää asetuksen ja asettaa oikean SDDL-arvon.



DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access.

The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups.

The possible values for this policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value.



2048DCOM: koneiden käynnistysrajoituksia SDDL (Security Descriptor Definition Language) -kielen syntaksissa

Tämä käytäntöasetus määrittää, mitkä käyttäjät tai ryhmät voivat käynnistää tai aktivoida DCOM-sovelluksia paikallisesti tai etäyhteyden kautta. Tätä asetusta käytetään DCOM-sovelluksissa tietokoneen käyttömahdollisuuksien hallitsemiseen.

Voit käyttää tätä asetusta kaikkien tietokoneiden käyttöoikeuden myöntämiseen DCOM-sovellusten käyttäjille. Kun määrität tämän asetuksen ja määrität käyttäjät tai ryhmät, joille käyttöoikeudet myönnetään, suojauskuvaimen kenttään lisätään kyseisten ryhmien ja käyttöoikeuksien SDDL (Security Descriptor Definition Language) -kieliset esitykset. Jos suojauskuvain jätetään tyhjäksi, käytäntöasetus määritetään mallissa, mutta sen noudattamista ei pakoteta. Käyttäjille ja ryhmille voidaan myöntää erilliset Salli- tai Estä-käyttöoikeudet paikallista käynnistämistä, etäkäynnistämistä, paikallista aktivoimista tai etäaktivoimista varten.

Tämän käytännön seurauksena luotavat rekisteriasetukset kumoavat aiemmat tämän alueen rekisteriasetukset. Etäproseduurikutsujen palvelut (RpcSs) tarkistavat tietokoneen rajoitukset Käytännöt-osan rekisteriavaimista, ja nämä rekisterimerkinnät kumoavat aiemmat OLE-rekisteriavaimet.

Tämän ryhmäkäytäntöasetuksen mahdollisia arvoja ovat seuraavat:

Tyhjä: tämä ilmaisee paikallisen suojauskäytännön käytännön pakotusavaimen poistamistavan. Tämä arvo poistaa käytännön ja määrittää sen sitten Ei määritetty -tilaan. Voit määrittää Tyhjä-arvon käyttämällä käyttöoikeusluettelon editoria, tyhjentämällä luettelon ja valitsemalla sitten OK.

SDDL: tämä on käytännön käyttöönoton yhteydessä määritettyjen ryhmien ja käyttöoikeuksien SDDL (Security Descriptor Definition Language) -kielinen esitys.

Ei määritetty: tämä on oletusarvo.

Huomautus
Jos järjestelmänvalvojan DCOM-sovellusten aktivoimisen ja käynnistämisen käyttöoikeudet on estetty Windowsin tässä versiossa DCOM-asetuksiin tehtyjen muutosten johdosta, tätä käytäntöasetusta voi käyttää tietokoneen DCOM-aktivoinnin ja -käynnistämisen hallintaan. Järjestelmänvalvoja voi määrittää DCOM: koneiden käynnistysrajoituksia SDDL (Security Descriptor Definition Language) -kielen syntaksissa -asetuksen avulla käyttäjät ja ryhmät, jotka voivat aktivoida ja käynnistää DCOM-sovelluksia tietokoneessa paikallisesti ja etäyhteyden avulla. Näin on mahdollista palauttaa DCOM-sovelluksen hallinta järjestelmänvalvojalle ja määritetyille käyttäjille. Voit tehdä tämän toimen avaamalla DCOM: koneiden käynnistysrajoituksia SDDL (Security Descriptor Definition Language) -kielen syntaksissa -asetuksen ja valitsemalla Muokkaa suojaustietoja. Määritä sisällytettävät ryhmät sekä kyseisten ryhmien tietokoneiden käynnistysoikeudet. Tämän tekeminen määrittää asetuksen ja asettaa oikean SDDL-arvon.


DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation.

The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE.

The possible values for this Group Policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value.


2049Käyttäjätilien valvonta: järjestelmänvalvojien korotuskehotteen toiminta järjestelmänvalvojan hyväksyntätilassa

Tämä käytäntöasetus määrittää järjestelmänvalvojien korotuskehotteen toiminnan

Mahdollisia asetuksia ovat seuraavat:

• Korota ilman kehotetta: sallii tilien, joilla on tarvittavat oikeudet, suorittaa korotusta vaativia toimintoja ilman hyväksyntää tai tunnistetietoja. Huomautus: käytä tätä asetusta vain hyvin rajatuissa ympäristöissä.

• Pyydä tunnistetietoja suojatussa työpöydässä: Kun toiminto vaatii oikeuksien korottamista, käyttäjää pyydetään antamaan suojatussa työpöydässä sellaisen tilin käyttäjänimi ja salasana, jolla on tarvittavat oikeudet. Jos käyttäjä antaa kelvolliset tunnistetiedot, toiminto jatkuu käyttäjän laajimmilla mahdollisilla oikeuksilla.

• Pyydä hyväksyntää suojatussa työpöydässä: Kun toiminto vaatii oikeuksien korottamista, käyttäjää pyydetään valitsemaan suojatussa työpöydässä Salli tai Estä. Jos käyttäjä valitsee Salli, toiminto jatkuu käyttäjän laajimmilla mahdollisilla oikeuksilla.

• Pyydä tunnistetietoja: Kun toiminto vaatii oikeuksien korottamista, käyttäjää pyydetään antamaan suojatussa työpöydässä järjestelmänvalvojatilin käyttäjänimi ja salasana. Jos käyttäjä antaa kelvolliset tunnistetiedot, toiminto jatkuu soveltuvilla oikeuksilla.

• Pyydä hyväksyntää: Kun toiminto vaatii oikeuksien korottamista, käyttäjää pyydetään valitsemaan Salli tai Estä. Jos käyttäjä valitsee Salli, toiminto jatkuu käyttäjän laajimmilla mahdollisilla oikeuksilla.

• Pyydä hyväksyntää binaareissa, jotka eivät ole Windows-binaareja: (oletus) Kun jonkin muun kuin Microsoftin valmistamana sovelluksen toiminto vaatii oikeuksien korottamista, käyttäjää pyydetään valitsemaan suojatussa työpöydässä Salli tai Estä. Jos käyttäjä valitsee Salli, toiminto jatkuu käyttäjän laajimmilla mahdollisilla oikeuksilla.

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

This policy setting controls the behavior of the elevation prompt for administrators.

The options are:

• Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege.

• Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

2050Käyttäjätilien valvonta: tavallisten käyttäjien korotuskehotteen toiminta
Tämä käytäntöasetus määrittää tavallisten käyttäjien korotuskehotteen toiminnan.

Mahdollisia asetuksia ovat seuraavat:

• Pyydä tunnistetietoja (oletus): kun toiminto edellyttää oikeuksien korottamista, käyttäjää pyydetään antamaan järjestelmänvalvojan käyttäjänimi ja salasana. Jos käyttäjä antaa kelvolliset tunnistetiedot, toiminto jatkuu soveltuvilla oikeuksilla.

• Torju korotuspyynnöt automaattisesti: kun toiminto edellyttää oikeuksien korottamista, käyttäjälle näytetään määritettävissä oleva käytön estämisen virheilmoitus. Yritykset, jonka työasemien käyttäjät käyttävät tavallisia käyttäjätilejä, voivat valita tämän asetuksen, jotta mikrotukipyyntöjen määrä pienenee.

• Pyydä tunnistetietoja suojatussa työpöydässä: kun toiminto edellyttää oikeuksien korottamista, käyttäjää pyydetään antamaan järjestelmänvalvojan käyttäjänimi ja salasana suojatussa työasemassa. Jos käyttäjä antaa kelvolliset tunnistetiedot, toiminto jatkuu soveltuvilla oikeuksilla.

User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users.

The options are:

• Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

2051Käyttäjätilien valvonta: havaitse sovellusten asennukset ja pyydä oikeuksien korotusta

Tämä käytäntöasetus määrittää koko tietokoneen sovellusten asennuksen havaitsemisen toiminnan.

Mahdollisia asetuksia ovat seuraavat:

• Käytössä: (oletus) kun oikeuksien korottamista vaativa asennuspaketti havaitaan, käyttäjää kehotetaan antamaan järjestelmänvalvojan käyttäjänimi ja salasana. Jos käyttäjä antaa kelvolliset tunnistetiedot, toiminto jatkuu soveltuvilla oikeuksilla.

• Ei käytössä: sovellusten asennuspaketteja ei havaita, eikä oikeuksien korotusta kehoteta. Yritysten, joissa käytetään tavallisten käyttäjien työasemia ja delegoituja asennustekniikoita, kuten ryhmäkäytäntöohjelmistoasennuksia tai Systems Management Serveriä (SMS), tulee poistaa tämä käytäntöasetus käytöstä. Tässä tapauksessa asennusohjelman havaitsemista ei tarvita.

User Account Control: Detect application installations and prompt for elevation

This policy setting controls the behavior of application installation detection for the computer.

The options are:

• Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary.

2052Käyttäjätilien valvonta: korota vain allekirjoitetut ja vahvistetut suoritettavat tiedostot

Tämä käytäntöasetus ottaa julkisen avaimen infrastruktuurin allekirjoitustarkistukset kaikissa vuorovaikutteisissa sovelluksissa, jotka pyytävät käyttöoikeuksien korotusta. Yrityksen järjestelmänvalvojat voivat hallita sallittavia sovelluksia lisäämällä varmenteita paikallisten tietokoneiden Luotetut julkaisijat -säilöön.

Mahdollisia asetuksia ovat seuraavat:

• Käytössä: ottaa käyttöön suoritettavan tiedoston julkisen avaimen infrastruktuurin varmenneketjun vahvistamisen, ennen kuin sen suoritus sallitaan.

• Poissa käytöstä: (oletus) ei ota käyttöön julkisen avaimen infrastruktuurin varmenneketjun vahvistusta ennen suoritettavan tiedoston suorittamisen sallimista.

User Account Control: Only elevate executable files that are signed and validated

This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers.

The options are:

• Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run.

• Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run.

2053Käyttäjätilien valvonta: korota vain suojattuihin sijainteihin asennetut UIAccess-sovellukset

Tämä käytäntöasetus määrittää, onko UIAccess-luottamustasolla suoritusta pyytävien sovellusten sijaittava tiedostojärjestelmän suojatussa sijainnissa. Suojattuja sijainteja ovat vain seuraavat hakemistot:

- …\Program Files\ ja sen alihakemistot
- …\Windows\system32
- …\Program Files (x86)\ ja tämän hakemiston alihakemistot 64-bittisissä Windows-versioissa

Huomautus: Windows ottaa käyttöön julkisen avaimen infrastruktuurin allekirjoitustarkistuksen kaikissa vuorovaikutteisissa sovelluksissa, jotka pyytävät suoritusta UIAccess-luottamustasolla (huolimatta tämän suojausasetuksen määrityksestä).

Mahdollisia asetuksia ovat seuraavat:

• Käytössä: (oletus) jos sovellus sijaitsee tiedostojärjestelmän suojatussa sijainnissa, se suoritetaan vain UIAccess-luottamustasolla.

• Poissa käytöstä: sovellus suoritetaan UIAccess-luottamustasolla, vaikka se ei sijaitsisi tiedostojärjestelmän suojatussa sijainnissa.

User Account Control: Only elevate UIAccess applications that are installed in secure locations

This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following:

- …\Program Files\, including subfolders
- …\Windows\system32\
- …\Program Files (x86)\, including subfolders for 64-bit versions of Windows

Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting.

The options are:

• Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity.

• Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system.

2054Käyttäjätilien valvonta: ota järjestelmänvalvojan hyväksyntätila käyttöön

Tämä käytäntöasetus määrittää tietokoneen käyttäjätilien valvonnan käytäntöasetukset. Jos muokkaat tätä käytäntöasetusta, sinun on käynnistettävä tietokone uudelleen.

Mahdollisia asetuksia ovat seuraavat:

• Käytössä: (oletus) Järjestelmänvalvojan hyväksyntätila on käytössä. Tämän käytäntöasetuksen on oltava käytössä ja siihen liittyvien käyttäjätilien valvonnan käytäntöasetusten on oltava määritetty siten, että järjestelmän oletusjärjestelmänvalvojatili ja muut järjestelmänvalvojaryhmän käyttäjätilit käyttävät järjestelmänvalvojan hyväksyntätilaa.

• Ei käytössä: Järjestelmänvalvojan hyväksyntätila ja siihen liittyvät käyttäjätilien valvonnan käytäntöasetukset eivät ole käytössä. Huomautus: jos tämä käytäntöasetus ei ole käytössä, Tietoturvakeskus ilmoittaa, että järjestelmän suojaustasoa on pienennetty.

User Account Control: Turn on Admin Approval Mode

This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer.

The options are:

• Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode.

• Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced.

2055Käyttäjätilien valvonta: siirry suojattuun työpöytään, kun oikeuksien korotusta pyydetään

Tämä käytäntöasetus määrittää, näytetäänkö korotuspyyntö vuorovaikutteisessa käyttäjien työpöydässä vai suojatussa työpöydässä.

Mahdollisia asetuksia ovat seuraavat:

• Käytössä: (oletus) kaikki korotuspyynnöt siirretään suojattuun työpöytään järjestelmänvalvojien ja tavallisten käyttäjien korotuskehotteiden asetuksista riippumatta.

• Poissa käytöstä: kaikki korotuspyynnöt siirretään vuorovaikutteiseen käyttäjien työpöytään. Tällöin korotuspyynnöissä käytetään järjestelmänvalvojien ja tavallisten käyttäjien korotuskehotteiden asetuksia.

User Account Control: Switch to the secure desktop when prompting for elevation

This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop.

The options are:

• Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users.

• Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used.

2056Käyttäjätilien valvonta: näennäistä tiedostojen ja rekisterin kirjoitusvirheiden käyttäjäkohtaisiin sijainteihin

Tämä käytäntöasetus määrittää, uudelleenohjataanko sovellusten kirjoitusvirheet määritettyihin rekisteri- ja tiedostojärjestelmäsijainteihin. Tämä käytäntöasetus auttaa sovelluksia, jotka suoritetaan järjestelmänvalvojana ja jotka kirjoittavat suorituksenaikaiset sovellustiedot hakemistoon %ProgramFiles%, %Windir%, %Windir%\system32 tai rekisterisijaintiin HKLM\Software.

Mahdollisia asetuksia ovat seuraavat:

• Käytössä: (oletus) sovellusten suorituksenaikaiset kirjoitusvirheet uudelleenohjataan sekä tiedostojärjestelmän että rekisterin määritettyihin käyttäjäsijainteihin.

• Poissa käytöstä: suojattuihin sijainteihin kirjoittavien sovellusten suoritus epäonnistuu.

User Account Control: Virtualize file and registry write failures to per-user locations

This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software.

The options are:

• Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry.

• Disabled: Applications that write data to protected locations fail.

2057Luo symbolisia linkkejä

Tämä käyttöoikeus määrittää, voiko käyttäjä luoda symbolisen linkin tietokoneesta, johon hän on kirjautuneena.

Oletus: järjestelmänvalvoja

VAROITUS: tämä käyttöoikeus tulee myöntää vain luotetuille käyttäjille. Symboliset linkit voivat aiheuttaa tietoturva-aukkoja sovelluksissa, joita ei ole suunniteltu niiden käyttämistä varten.

Huomautus
Tätä asetusta voi käyttää yhdessä symbolisten linkkien tiedostojärjestelmäasetuksen kanssa, joka tukee tietokoneessa sallittujen symbolisten linkkien määrittämistä komentoriviapuohjelman avulla. Kirjoita komentoriville fsutil behavior set symlinkevaluation /?, jos haluat lisätietoja fsutil-apuohjelmasta ja symbolisista linkeistä.
Create Symbolic Links

This privilege determines if the user can create a symbolic link from the computer he is logged on to.

Default: Administrator

WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them.

Note
This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links.
2058Muokkaa objektin nimeä

Tämä käyttöoikeus määrittää, mitkä käyttäjätilit voivat muokata objektien eheyden tietoja, kuten tiedostoja, rekisteriavaimia tai muiden käyttäjien omistamia prosesseja. Käyttäjätilin alaisuudessa käytettävät prosessit voivat muokata kyseisen käyttäjän objektin nimeä alhaisemmalle tasolle ilman tätä käyttöoikeutta.

Oletusarvo: ei mitään.
Modify an object label

This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege.

Default: None
2059Käyttäjätilien valvonta: salli UIAccess-sovellusten pyytää korotusta käyttämättä suojattua työasemaa.

Tämä käytäntöasetus määrittää, voivatko UIAccess-ohjelmat automaattisesti poistaa käytöstä tavallisten käyttäjien oikeuksien korotuspyyntöjen suojatun työpöydän.

• Käytössä: UIAccess-ohjelmat, mukaan lukien Windowsin etätuki, poistavat automaattisesti käytöstä korotuspyyntöjen suojatun työpöydän. Jos et poista Käyttäjätilien valvonta: siirry suojattuun työpöytään, kun oikeuksien korotusta pyydetään -käytäntöä käytöstä, kehotteet näytetään käyttäjien vuorovaikutteisessa työpöydässä suojatun työpöydän sijaan.

• Ei käytössä: (oletus) Vain vuorovaikutteisen työpöydän käyttäjä voi poistaa suojatun työpöydän käytöstä. Suojattu työpöytä voidaan poistaa käytöstä myös poistamalla Käyttäjätilien valvonta: siirry suojattuun työpöytään, kun oikeuksien korotusta pyydetään -käytäntöasetus käytöstä.

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.

This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user.

• Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop.

• Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting.

2060Tunnistetietojen hallinta käyttää tätä asetusta varmuuskopiointi- ja palautustoimintojen aikana. Tämä on vain Winlogon-käyttöoikeus, eikä tileillä tule olla tätä käyttöoikeutta. Jos tämä käyttöoikeus myönnetään muille yksiköille, käyttäjien tallentamiin tunnistetietoihin saattaa kohdistua turvallisuusriski. This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities.
2061Aikavyöhykkeen muuttaminen

Tämä käyttöoikeus määrittää käyttäjät ja ryhmät, joilla on oikeus muuttaa tietokoneen paikallisena aikana käyttämää aikavyöhykettä. Paikallinen aika on tietokoneen kellonaika, josta vähennetään tai johon lisätään aikavyöhykesiirtymä. Järjestelmän aika on absoluuttinen, eikä siihen vaikuta aikavyöhykkeeseen tehty muutos.

Tämä käyttöoikeus määritetään toimialueen ohjauskoneen oletusryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä.

Oletusarvo: järjestelmänvalvojat, käyttäjät
Change the Time Zone

This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers.

Default: Administrators, Users
2062Prosessin työsarjan suurentaminen

Tämä käyttöoikeus määrittää käyttäjätilit, jotka voivat suurentaa tai pienentää prosessin työsarjan kokoa.

Oletusarvo: käyttäjät

Prosessin työsarja on niiden fyysisen RAM-muistin sisältämien muistisivujen määrä, jotka näkyvät prosessille. Nämä sivut ovat sisäisiä ja sovelluksen käytettävissä, eivätkä ne aiheuta sivuvirheitä. Työsarjan vähimmäis- ja enimmäiskoot vaikuttavat prosessin näennäismuistin sivutustoimintaan.

Varoitus: prosessin työsarjan koon suurentaminen vähentää järjestelmän muiden osien käytettävissä olevan fyysisen muistin määrää.
Increase a process working set

This privilege determines which user accounts can increase or decrease the size of a process’s working set.

Default: Users

The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process.

Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system.
2063Verkon suojaus: rajoita NTLM:ää: etäpalvelimiin lähtevä NTLM-liikenne

Tällä käytäntöasetuksella voit estää tai valvoa tästä Windows 7- tai Windows Server 2008 R2 -tietokoneesta mihin tahansa Windows-etäpalvelimeen lähtevää NTLM-liikennettä.

Jos valitset Salli kaikki tai jos et määritä tätä käytäntöasetusta, asiakastietokone todentaa henkilöllisyydet etäpalvelimesta NTLM-todennuksella.

Jos valitset Valvo kaikkia, asiakastietokone kirjaa tapahtuman aina, kun etäpalvelimeen lähetetään NTLM-todennuspyyntö. Tällä asetuksella voit tunnistaa palvelimet, jotka vastaanottavat NTLM-todentamispyyntöjä asiakastietokoneesta.

Jos valitse Estä kaikki, asiakastietokone ei voi todentaa henkilöllisyyksiä etäpalvelimesta NTLM-todennuksella. Verkon suojaus: rajoita NTLM:ää: lisää NTLM-todentamisen etäpalvelinpoikkeukset -käytäntöasetuksella voit määrittää ne etäpalvelimet, joissa asiakkaat saavat käyttää NTLM-todennusta.

Tätä käytäntöä tuetaan ainakin Windows 7:ssä ja Windows Server 2008 R2:ssa.

Huomautus: valvonta- ja estotapahtumat tallennetaan tapahtumalokiin (nimeltään Operational tai Toiminnassa), joka sijaitsee seuraavassa sijainnissa: Sovellus- ja palvelulokit/Microsoft/Windows/NTLM.

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server.

If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication.

If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer.

If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2064Verkon suojaus: rajoita NTLM:ää: saapuva NTLM-liikenne

Tällä käytäntöasetuksella voit estää tai sallia saapuvan NTLM-liikenteen.

Jos valitset Salli kaikki tai jos et määritä tätä käytäntöasetusta, palvelin sallii kaikki NTLM-todennuspyynnöt.

Jos valitset Estä kaikki toimialuetilit, palvelin estää NTLM-todennuspyynnöt toimialuekirjautumisessa ja näyttää NTLM:n estämisen virheilmoituksen, mutta palvelin sallii silti paikallisten tilien kirjautumiset.

Jos valitse Estä kaikki tilit, palvelin estää saapuvan liikenteen NTLM-todentamispyynnöt ja näyttää NTLM:n estämisen virheilmoituksen.

Tätä käytäntöä tuetaan ainakin Windows 7:ssä ja Windows Server 2008 R2:ssa.

Huomautus: estotapahtumat tallennetaan tapahtumalokiin (nimeltään Operational tai Toiminnassa), joka sijaitsee seuraavassa sijainnissa: Sovellus- ja palvelulokit/Microsoft/Windows/NTLM.

Network security: Restrict NTLM: Incoming NTLM traffic

This policy setting allows you to deny or allow incoming NTLM traffic.

If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests.

If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon.

If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2065Verkon suojaus: rajoita NTLM:ää: NTLM-todentaminen tässä toimialueessa

Tällä käytäntöasetuksella voit estää tai sallia NTLM-todentamisen tämän toimialueen ohjauskoneen toimialueessa. Tämä käytäntö ei vaikuta toimialueen ohjauskoneen vuorovaikutteiseen kirjautumiseen.

Jos valitset Ei käytössä tai jos et määritä tätä käytäntöasetusta, toimialueen ohjauskone sallii kaikki toimialueensa NTLM-läpivientitodentamispyynnöt

Jos valitset Estä toimialueen palvelimien toimialuetilit, toimialueen ohjauskone estää kaikkien toimialueensa palvelimien toimialuetilien NTLM-todentamisen kirjautumispyynnöt ja näyttää NTLM:n estämisen virheilmoituksen, jos palvelimen nimeä ei ole määritetty Verkkosuojaus: rajoita NTML:ää: lisää NTLM-todentamisen palvelinpoikkeukset -käytäntöasetuksessa.

Jos valitset Estä toimialuetilit, toimialueen ohjauskone estää kaikki toimialueensa tileistä tulevat NTLM-todentamisen kirjautumisyritykset ja näyttää NTLM:n estämisen virheilmoituksen, jos palvelimen nimeä ei ole määritetty Verkkosuojaus: rajoita NTML:ää: lisää NTLM-todentamisen palvelinpoikkeukset -käytäntöasetuksessa.

Jos valitset Estä toimialuepalvelimet, toimialueen ohjauskone estää kaikkien toimialuepalvelimien NTLM-todentamispyynnöt ja näyttää NTLM:n estämisen virheilmoituksen, jos palvelimen nimeä ei ole määritetty Verkkosuojaus: rajoita NTML:ää: lisää NTLM-todentamisen palvelinpoikkeukset -käytäntöasetuksessa.

Jos valitset Estä kaikki, toimialueen ohjauskone estää kaikkien toimialueensa palvelinten ja tilien NTLM-läpivientitodentamispyynnöt ja näyttää NTLM:n estämisen virheilmoituksen, jos palvelimen nimeä ei ole määritetty Verkon suojaus: rajoita NTLM:ää: lisää NTLM-todentamisen palvelinpoikkeukset -käytäntöasetuksessa.

Tätä käytäntöä tuetaan ainakin Windows Server 2008 R2:ssa.

Huomautus: estotapahtumat tallennetaan tapahtumalokiin (nimeltään Operational tai Toiminnassa), joka sijaitsee seuraavassa sijainnissa: Sovellus- ja palvelulokit/Microsoft/Windows/NTLM.

Network security: Restrict NTLM: NTLM authentication in this domain

This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller.

If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain.

If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2066Verkon suojaus: rajoita NTLM:ää: lisää NTLM-todentamisen etäpalvelinpoikkeukset

Tällä käytäntöasetuksella voit luoda poikkeusluettelon, joka sisältää etäpalvelimet, joissa asiakastietokoneet voivat käyttää NTLM-todentamista, jos Verkon suojaus: rajoita NTLM:ää: etäpalvelimiin lähtevä NTLM-liikenne -käytäntöasetus on määritetty.

Jos määrität tämän käytäntöasetuksen, voit luoda poikkeusluettelon, joka sisältää etäpalvelimet, joissa asiakastietokoneet voivat käyttää NTLM-todentamista.

Jos et määritä tätä käytäntöasetusta, mitään poikkeuksia ei käytetä.

Tässä luettelossa on käytettävä palvelimien täydellisiä toimialuenimiä (FQDN) tai sovelluksen käyttämää NetBIOS-palvelinnimeä (yksi per rivi). Jotta voit varmistaa poikkeuksien toimivuuden, kaikkien sovellusten käyttämän nimen on sisällyttävä luetteloon. Jotta voit varmistaa poikkeusten tarkkuuden, palvelimen nimi on lueteltava molemmissa muodoissa. Voit käyttää tähtimerkkiä (*) yleismerkkinä merkkijonoissa.

Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication

This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured.

If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character.

2067Verkon suojaus: rajoita NTLM:ää: lisää toimialueen palvelinpoikkeukset

Tällä käytäntöasetuksella voit luoda poikkeusluettelon, joka sisältää toimialueen palvelimet, joissa asiakastietokoneet voivat käyttää NTLM-läpivientitodentamista, jos Verkkosuojaus: rajoita NTLM:ää: estä NTLM-todentaminen tässä toimialueessa -käytäntöasetus on määritetty.

Jos määrität tämän käytäntöasetuksen, voit luoda poikkeusluettelon, joka sisältää toimialueen palvelimet, joissa asiakastietokoneet voivat käyttää NTLM-todentamista.

Jos et määritä tätä käytäntöasetusta, mitään poikkeuksia ei käytetä.

Tässä luettelossa on käytettävä palvelimien täydellisiä toimialuenimiä (FQDN) tai kutsuvan sovelluksen käyttämää NetBIOS-palvelinnimeä (yksi per rivi). Merkkijonon alussa tai lopussa voidaan käyttää yhtä tähtimerkkiä (*) yleismerkkinä.

Network security: Restrict NTLM: Add server exceptions in this domain

This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set.

If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character.

2068Verkon suojaus: salli paikallisen järjestelmän palata tyhjään istuntoon

Salli NTLM:n palata tyhjään istuntoon paikallisen järjestelmän kanssa käytettäessä.

Windows Vistassa tämä on oletusarvoisesti käytössä ja Windows 7:ssä tämä on oletusarvoisesti poissa käytöstä.

Network security: Allow LocalSystem NULL session fallback

Allow NTLM to fall back to NULL session when used with LocalSystem.

The default is TRUE up to Windows Vista and FALSE in Windows 7.

2069Verkon suojaus: määritä Kerberoksen sallitut salaustyypit

Tällä käytäntöasetuksella voit määrittää, mitkä ovat Kerberoksen sallitut salaustyypit.

Jos tätä ei valita, mitään salaustyyppiä ei sallita. Tämä asetus saattaa vaikuttaa asiakastietokoneiden, palveluiden tai sovellusten yhteensopivuuteen. Voit valita useita salaustyyppejä.

Tätä käytäntöä tuetaan ainakin Windows 7:ssä ja Windows Server 2008 R2:ssa.

Network security: Configure encryption types allowed for Kerberos

This policy setting allows you to set the encryption types that Kerberos is allowed to use.

If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

2071Verkon suojaus: salli PKU2U-todentamispyynnöt tähän tietokoneeseen verkkohenkilöllisyyksien käyttämistä varten.

Tämä käytäntö on oletusarvon mukaan poissa käytöstä toimialueeseen liitetyissä tietokoneissa. Tämä estää verkkohenkilöllisyyksien todentamisen toimialueeseen liitettyyn tietokoneeseen.

Network security: Allow PKU2U authentication requests to this computer to use online identities.

This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine.

2072Verkon suojaus: rajoita NTLM:ää: valvo saapuvaa NTLM-liikennettä

Tällä käytäntöasetuksella voit valvoa saapuvaa NTLM-liikennettä.

Jos valitse ei käytössä tai jos et määritä tätä käytäntöasetusta, palvelin ei kirjaa tapahtumia saapuvasta NTLM-liikenteestä.

Jos valitset Ota valvonta käyttöön toimialuetileissä, palvelin kirjaa tapahtuman NTLM-läpivientitapahtumista, jotka estetään, jos Verkon suojaus: rajoita NTLM:ää: saapuva NTLM-liikenne -käytäntöasetuksen asetuksena on Estä kaikki toimialuetilit.

Jos valitset Ota valvonta käyttöön kaikissa tileissä, palvelin kirjaa tapahtuman NTLM-todentamispyynnöistä, jotka estetään, jos Verkon suojaus: rajoita NTLM:ää: saapuva NTLM-liikenne -käytäntöasetuksen asetuksena on Estä kaikki tilit.

Tätä käytäntöä tuetaan ainakin Windows 7:ssä ja Windows Server 2008 R2:ssa.

Huomautus: valvontatapahtumat tallennetaan tapahtumalokiin (nimeltään Operational tai Toiminnassa), joka sijaitsee seuraavassa sijainnissa: Sovellus- ja palvelulokit/Microsoft/Windows/NTLM.

Network security: Restrict NTLM: Audit Incoming NTLM Traffic

This policy setting allows you to audit incoming NTLM traffic.

If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic.

If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option.

If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2073Verkon suojaus: rajoita NTLM:ää: valvo NTLM-todentamista tässä toimialueessa

Tällä käytäntöasetuksella voit valvoa NTLM-todentamista toimialueen ohjauskoneen toimialueessa.

Jos valitse Poista käytöstä tai jos et määritä tätä käytäntöasetusta, toimialueen ohjauskone ei kirjaa tapahtumia tämän toimialueen NTLM-todentamisesta.

Jos valitset Ota käyttöön toimialuepalvelimien toimialuetileissä, toimialueen ohjauskone kirjaa tapahtuman toimialuepalvelimien toimialuetilien NTLM-todentamisen kirjautumisyrityksistä, kun NTLM-todentaminen estetään siksi, että Verkon suojaus: rajoita NTLM:ää: tämän toimialueen NTLM-todentaminen -käytäntöasetuksen asetuksena on Estä toimialuepalvelimien toimialuetilit.

Jos valitset Ota käyttöön toimialuetileissä, toimialueen ohjauskone kirjaa tapahtuman toimialuetilien NTLM-todentamisen kirjautumisyrityksistä, kun NTLM-todentaminen estetään siksi, että Verkon suojaus: rajoita NTLM:ää: tämän toimialueen NTLM-todentaminen -käytäntöasetuksen asetuksena on Estä toimialuetilit.

Jos valitset Ota käyttöön toimialuepalvelimissa, toimialueen ohjauskone kirjaa tapahtuman toimialuepalvelimien NTLM-todentamispyynnöistä, kun NTLM-todentaminen estetään siksi, että Verkon suojaus: rajoita NTLM:ää: tämän toimialueen NTLM-todentaminen -käytäntöasetuksen asetuksena on Estä toimialuepalvelimet.

Jos valitset Ota kaikki käyttöön, toimialueen ohjauskone kirjaa tapahtuman toimialueen kaikkien palvelimien ja tilien NTLM-todentamispyynnöistä, kun todentaminen estetään siksi, että Verkon suojaus: rajoita NTLM:ää: tämän toimialueen NTLM-todentaminen -käytäntöasetuksen asetuksena on Estä kaikki.

Tätä käytäntöä tuetaan ainakin ja Windows Server 2008 R2:ssa.

Huomautus: valvontatapahtumat tallennetaan tapahtumalokiin (nimeltään Operational tai Toiminnassa), joka sijaitsee seuraavassa sijainnissa: Sovellus- ja palvelulokit/Microsoft/Windows/NTLM.

Network security: Restrict NTLM: Audit NTLM authentication in this domain

This policy setting allows you to audit NTLM authentication in a domain from this domain controller.

If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain.

If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2074Verkon suojaus: salli paikallisen järjestelmän käyttää tietokoneen tunnistetietoja NTLM:ssä

Tämä käytäntöasetus sallii niiden paikallisen järjestelmän palveluiden, jotka käyttävät Negotiate-menetelmää NTLM-todentamisessa, käyttää tietokoneen tunnistetietoja.

Jos otat tämän käytäntöasetuksen käyttöön, ne paikallisena järjestelmänä suoritettavat palvelut, jotka käyttävät Negotiate-menetelmää, käyttävät tietokoneen tunnistetietoja. Tämä saattaa aiheuttaa joidenkin Windows-käyttöjärjestelmien välisten todentamispyyntöjen epäonnistumisen ja virheen kirjaamisen niistä.

Jos poistat tämän käytäntöasetuksen käytöstä, ne paikallisena järjestelmänä suoritettavat palvelut, jotka käyttävät Negotiate-menetelmää palattaessa NTLM-todentamiseen, todennetaan nimettömästi.

Tämä käytäntö on oletusarvon mukaan käytössä Windows 7:ssä ja uudemmissa versioissa.

Tämä käytäntö on oletusarvon mukaan poistettu käytöstä Windows Vistassa.

Tätä käytäntöä tuetaan ainakin Windows Vistassa ja Windows Server 2008:ssa.

Huomautus: Windows Vista tai Windows Server 2008 eivät näytä tätä asetusta ryhmäkäytännössä.

Network security: Allow Local System to use computer identity for NTLM

This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication.

If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error.

If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously.

By default, this policy is enabled on Windows 7 and above.

By default, this policy is disabled on Windows Vista.

This policy is supported on at least Windows Vista or Windows Server 2008.

Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy.

2075Microsoft-verkkopalvelin: palvelimen palvelun päänimen vahvistustaso

Tällä käytäntöasetuksella määritetään vahvistuksen taso, jota jaettuja kansioita tai tulostimia omaava tietokone (palvelin) käyttää asiakastietokoneelta saamansa palvelun päänimen tarkistamiseen, kun asiakastietokone on muodostamassa istuntoyhteyttä SMB (Server Message Protocol) -protokollan avulla.

SMB-protokolla muodostaa Microsoftin tiedostojen ja tulostimien jakamisen sekä monien muiden verkkotoimintojen, kuten Windowsin etähallinnan, perustan. SMB-protokolla tukee SMB-palvelimen palvelun päänimen vahvistamista SMB-asiakkaan antaman todennus-blobin sisällä, jotta hyökkäykset SMB-palvelimia vastaan (SMB-välityshyökkäykset) voidaan estää. Tämä asetus vaikuttaa sekä SMB1:een että SMB2:een.

Tämä suojausasetus määrittää sen vahvistuksen tason, jonka SMB-palvelin tekee SMB-asiakkaan antamalle palvelun päänimelle, kun SMB-asiakas yrittää muodostaa istunnon SMB-palvelimeen.

Asetukset ovat seuraavat:

Ei käytössä - palvelun päänimeä ei tarvita, eikä SMB-palvelin vahvista sitä SMB-asiakkaalta.

Hyväksy, jos asiakas antaa sen - SMB-palvelin hyväksyy ja vahvistaa SMB-asiakkaan antaman palvelun päänimen ja sallii istunnon muodostamisen, jos päänimi vastaa SMB-palvelimen palvelun päänimien omasta luettelostaan löytyvää nimeä. Jos palvelun päänimet EIVÄT täsmää, SMB-asiakkaan istuntopyyntö estetään.

Vaaditaan asiakkaalta - SMB-asiakkaan TÄYTYY lähettää palvelun päänimi istunnon määrittämisessä, ja annetun palvelun päänimen TÄYTYY vastata SMB-palvelinta, jota pyydetään yhteyden muodostamista varten. Jos asiakas ei anna palvelun päänimeä tai annettu päänimi ei täsmää, istunto estetään.

Oletusasetus: Ei käytössä

Kaikki Windows-käyttöjärjestelmät tukevat sekä asiakaspuolen SMB-komponenttia että palvelinpuolen SMB-komponenttia. Tämä asetus vaikuttaa palvelimen SMB-toimintaan, ja sen toteutus tulee arvioida ja testata huolellisesti, jotta tiedostojen ja tulostinten palvelemistoiminnot eivät keskeydy. Lisätietoja toiminnon toteuttamisesta ja käyttämisestä SMB-palvelinten suojaamiseen on Microsoftin sivustossa (https://go.microsoft.com/fwlink/?LinkId=144505).
Microsoft network server: Server SPN target name validation level

This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol.

The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2.

This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server.

The options are:

Off – the SPN is not required or validated by the SMB server from a SMB client.

Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied.

Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied.

Default: Off

All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505).
2076Microsoftin verkkopalvelin: yritä hankkia väitetiedot S4U2Selfin avulla

Tämän suojausasetuksen tarkoituksena on tukea muita kuin Windows 8 -asiakkaita, jotka yrittävät käyttää käyttäjäväitteitä edellyttävää jaettua tiedostoresurssia. Tämä asetus määrittää, yrittääkö paikallinen tiedostopalvelin käyttää Kerberoksen S4U2Self (Service-For-User-To-Self) -toimintoa hankkiessaan verkkoasiakasobjektin väitteet asiakkaan tilitoimialueelta. Tämä asetus tulee ottaa käyttöön vain, jos tiedostopalvelin käyttää käyttäjäväitteitä tiedostojen käytön hallintaan ja jos tiedostopalvelin tukee asiakasobjekteja, joiden tilit saattavat olla toimialueessa, jonka asiakastietokoneissa ja toimialueen ohjauskoneissa on käytössä Windows 8:aa vanhempi Windows-versio.

Tämä asetus tulee määrittää automaattiseksi (oletus), jotta tiedostopalvelin voi automaattisesti selvittää, tarvitaanko käyttäjälle väitteitä. Järjestelmänvalvojan tulee määrittää täksi asetukseksi eksplisiittisesti Käytössä vain, jos paikalliset tiedostojen käytön käytännöt sisältävät käyttäjäväitteitä.

Kun tämä suojausasetus on käytössä, Windows-tiedostopalvelin tutkii todennetun verkkoasiakasobjektin käyttöoikeustietueen ja selvittää, onko siinä väitetietoja. Jos väitteitä ei ole, tiedostopalvelin käyttää Kerberoksen S4U2Self-ominaisuutta ja yrittää muodostaa yhteyden toimialueen Windows Server 2012 -ohjauskoneeseen asiakkaan tilitoimialueessa sekä hankkia väitteitä käyttävän käyttöoikeustietueen asiakasobjektille. Väitteitä käyttävää tunnusta saatetaan tarvita, jotta voidaan käyttää tiedostoja tai kansioita, joilla on käytössä väitepohjainen käytönvalvontakäytäntö.

Jos tämä asetus on poistettu käytöstä, Windows-tiedostopalvelin ei yritä hankkia väitteitä käyttävää käyttöoikeustietuetta asiakasobjektille.

Oletus: automaattinen.
Microsoft network server: Attempt S4U2Self to obtain claim information

This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8.

This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims.

When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied.

If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal.

Default: Automatic.
2077Tilit: estä Microsoft-tilit

Tämä käytäntöasetus estää käyttäjiä lisäämästä uusia Microsoft-tilejä tähän tietokoneeseen.

Jos valitset Käyttäjät eivät voi lisätä Microsoft-vaihtoehdon, käyttäjät eivät pysty luomaan uusia Microsoft-tilejä tähän tietokoneeseen, vaihtaa paikallista tiliä Microsoft-tiliin tai yhdistää toimialuetiliä Microsoft-tiliin. Tämä on suositeltu asetus, jos sinun täytyy rajoittaa Microsoft-tilien käyttöä yrityksessäsi.

Jos valitset Käyttäjät eivät voi lisätä Microsoft-tilejä tai kirjautua niillä -vaihtoehdon, nykyiset Microsoft-tilien käyttäjät eivät pysty kirjautumaan Windowsiin. Jos tämä vaihtoehto valitaan, tämän tietokoneen nykyinen järjestelmänvalvoja ei välttämättä pysty kirjautumaan järjestelmään ja hallitsemaan sitä.

Jos poistat tämän käytännön käytöstä tai et määritä sitä (suositus), käyttäjät pystyvät käyttämään Microsoft-tilejä Windowsin kanssa.
Accounts: Block Microsoft accounts

This policy setting prevents users from adding new Microsoft accounts on this computer.

If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise.

If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system.

If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows.
2078Vuorovaikutteinen kirjautuminen: tietokonetilin kynnys.

Koneen lukituskäytäntö pakotetaan käyttöön vain niissä koneissa, joissa Bitlocker-suojaus on otettu käyttöön käyttöjärjestelmän asemille. Varmista, että oikeat palautussalasanan varmuuskopiointikäytännöt on otettu käyttöön.

Tämä suojausasetus määrittää virheellisten kirjautumisyritysten määrän, jonka jälkeen tietokone lukitaan. Lukittu tietokone voidaan palauttaa vain antamalla palautusavain konsolissa. Virheellisten kirjautumisyritysten arvo voidaan määrittää välillä 1–999. Jos arvona on 0, tietokonetta ei lukita koskaan. Arvot välillä 1–3 tulkitaan arvoksi 4.

Virheelliset salasanan kirjoitusyritykset työasemissa tai jäsenpalvelimissa, jotka on lukittu joko CTRL+ALT+DELETE-näppäinyhdistelmällä tai salasanasuojatuilla näytönsäästäjillä, lasketaan virheellisiksi kirjautumisyrityksiksi.

Tietokoneen lukituskäytäntö pakotetaan käyttöön vain niissä tietokoneissa, joissa Bitlocker-suojaus on otettu käyttöön käyttöjärjestelmän asemille. Varmista, että oikeat palautussalasanan varmuuskopiointikäytännöt on otettu käyttöön.

Oletus: 0.
Interactive logon: Machine account threshold.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled.

This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled.

Default: 0.
2079Vuorovaikutteinen kirjautuminen: koneen käyttämättömyysraja.

Windows havaitsee kirjautumisistunnon käyttämättömyyden, ja jos käyttämättömyysaika ylittää käyttämättömyysrajan, näytönsäästäjä suoritetaan ja lukitsee istunnon.

Oletus: ei pakotettu.
Interactive logon: Machine inactivity limit.

Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session.

Default: not enforced.
2080Hanki toisen samassa istunnossa olevan käyttäjän tekeytymistunnus.

Jos määrität tämän oikeuden käyttäjälle, hänen puolestaan toimivat ohjelmat voivat hankkia samaan istuntoon vuorovaikutteisesti kirjautuneiden muiden käyttäjien tekeytymistunnuksen, jos kutsujalla on istunnon käyttäjän tekeytymistunnus. Tämä ei koske Windows-työpöytäasiakasta tai -palvelinta, jossa jokainen käyttäjä saa oman istuntonsa.
Obtain an impersonation token for another user in the same session.

Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session.
2081Verkkokäyttö: rajoita asiakkaita, jotka saavat tehdä etäkutsuja SAMiin

Tämän käytäntöasetuksen avulla voit rajoittaa etäproseduurikutsuyhteyksiä SAMiin.

Jos tätä asetusta ei valita, käytetään oletussuojauskuvainta.

Tätä käytäntöä tuetaan ainakin Windows Server 2016:ssa.

Network access: Restrict clients allowed to make remote calls to SAM

This policy setting allows you to restrict remote rpc connections to SAM.

If not selected, the default security descriptor will be used.

This policy is supported on at least Windows Server 2016.

2082Vuorovaikutteinen kirjautuminen: Älä näytä käyttäjänimeä kirjautumisen yhteydessä
Tämä suojausasetus määrittää, näytetäänkö tietokoneeseen sisäänkirjautuvan henkilön nimi kirjauduttaessa Windowsiin tunnistetietojen antamisen jälkeen ja ennen tietokoneen työpöydän näyttämistä.
Jos tämä käytäntö on käytössä, käyttäjänimeä ei näytetä.

Jos tämä käytäntö ei ole käytössä, käyttäjänimi näytetään.

Oletusarvo: ei käytössä.


Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


57343Olet muuttamassa tämän palvelun suojausasetuksia. Palvelun oletussuojauksen muuttaminen voi aiheuttaa ongelmia, jotka aiheutuvat epäyhtenäisistä määrityksistä tämän palvelun ja muiden siitä riippuvaisten palveluiden välillä.

Haluatko jatkaa?
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it.

Do you want to continue?
57345Olet tuomassa uusia mallitietoja tämän tietokoneen paikalliseen tietokonekäytäntöön. Tämä muuttaa tietokoneesi suojausasetuksia. Haluatko jatkaa? You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue?
57346Määritetään tietokoneen suojausta Configuring Computer Security
57350Nykyinen suojausmääritystietokanta: Paikallinen käytäntö-tietokanta %s Current Security Configuration Database: Local Policy Database %s
57351Nykyinen suojausmääritystietokanta: Yksityinen tietokanta %s Current Security Configuration Database: Private Database %s
57352Luodaan analyysitiedot Generating analysis information
57353Tuonti epäonnistui Import Failed
57354Aliluokat on määritetty Subitems defined
57355Ei käytettävissä Not Available
57356Uusi palvelu New Service
57357Määritykset: Configuring:
57358Lisää &tiedosto...
Lisää uuden tiedoston tai kansion tähän malliin
Add &File...
Adds a new file or folder to this template
57359Lisää tämä tiedosto tai kansio seuraavaan malliin: Add this file or folder to the template:
57360Lisää tiedosto tai kansio Add a file or folder
57361Microsoft Corporation Microsoft Corporation
5736210.0 10.0
57363Suojausmallit on MMC-laajennus, joka sisältää toimintoja suojausmallitiedostojen muokkaamiseen. Security Templates is an MMC snap-in that provides editing capabilities for security template files.
57364Suojauksen määritys ja analysointi on MMC-laajennus, jonka avulla voit muokata suojausmalleja ja suorittaa analyyseja suojausmallitiedostoja käyttäville Windows-tietokoneille. Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files.
57365Suojausasetukset-laajennus on Ryhmäkäytäntö-laajennuksen laajennusosa. Sen avulla voit määrittää suojauskäytäntöjä toimialueesi tietokoneille. The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain.
57366&Tuo käytäntö...
Tuo mallitiedoston tähän käytäntöobjektiin.
&Import Policy...
Import a template file into this policy object.
57367&Vie käytäntö...
Vie mallitiedot tästä käytännöstä tiedostoon.
E&xport policy...
Export template from this policy to a file.
57368Tiedosto %s on luotu aiemmin.
Haluatko korvata sen?
File %s already exists.
Do you want to overwrite it?
57369Onnistuneet Success
57370Epäonnistunut Failure
57371Ei valvontaa No auditing
57372Windows ei voi päivittää käytäntöjä. Windows cannot update the policies.
57373Windows ei voi kopioida kappaletta Windows cannot copy the section
57374Valitse lisättävä tiedosto Select File to Add
57375Avaa tietokanta Open database
57376Luo tietokanta Create Database
57377Vie käytäntö kohteeseen Export Policy To
57378Tuo käytäntö kohteesta Import Policy From
57380Tuo malli Import Template
57381Vie malli kohteeseen Export Template To
57382Suojausasetus Security Setting
57384Windows pysty avaamaan paikallista käytäntötietokantaa. Windows cannot open the local policy database.
57385Paikallinen käytäntötietokanta Local Policy Database
57386Paikallista suojausasetusten tietokantaa ei voi muokata Suojauksen määritys ja analysointi -laajennuksen avulla. Muokkauksessa on käytettävä Ryhmäkäytäntö-laajennusta. The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings.
57387\help\75393cf0-f17a-453d-98a9-592b009289c2.chm \help\75393cf0-f17a-453d-98a9-592b009289c2.chm
57388\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm
57389\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm
57390\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm
57391\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm
57392\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm
57394Tietokoneessa on uusia käytäntöasetuksia. Haluatko päivittää voimassa olevan käytännön näkymän? There are new policy settings on your computer. Do you want to update your view of the effective policy?
57395Tietokoneen asetukset kohteessa %s Computer setting on %s
57396Tämän tietokannan luominen ei onnistunut, koska mallitiedostoa ei ole valittu.
Aiemmin luodun tietokannan avaaminenNapsauta hiiren kakkospainikkeella vaihtoehtoa Suojauksen määritys ja analysointi. Valitse Avaa tietokanta. Valitse tietokanta ja sen jälkeen vaihtoehto Avaa. Uuden tietokannan luominen Napsauta hiiren kakkospainikkeella vaihtoehtoa Suojauksen määritys ja analysointi. Valitse Avaa tietokanta. Kirjoita uusi tietokannan nimi ja valitse Avaa. Valitse tuotava suojauksen määritystiedosto ja valitse Avaa.
This database couldn't be created because no template file was selected.
To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN.
57397&Korvaa kaikkien aliavainten käyttöoikeudet periytyvillä käyttöoikeuksilla &Replace existing permissions on all subkeys with inheritable permissions
57398&Välitä periytyvät käyttöoikeudet kaikille aliavaimille &Propagate inheritable permissions to all subkeys
57399&Estä tämän avaimen käyttöoikeuksien korvaaminen &Do not allow permissions on this key to be replaced
57400Määritä jäsenyys ryhmälle %s Configure Membership for %s
57401Lippu vanhentuu: Ticket expires in:
57402Lippu ei vanhene. Ticket doesn't expire.
57403Lipun uusiminen vanhentuu: Ticket renewal expires in:
57404Lipun uusiminen ei ole käytössä. Ticket renewal is disabled.
57405Enimmäistoleranssi: Maximum tolerance:
57410Käyttäjien ja ryhmien nimet User and group names
57411Lisää käyttäjä tai ryhmä Add User or Group
57412Älä katkaise näiden asiakkaiden yhteyttä: Do not disconnect clients:
57413Katkaise yhteys, kun se on ollut käyttämättä pidempään kuin: Disconnect when idle time exceeds:
57414Älä tallenna kirjautumisia välimuistiin: Do not cache logons:
57415Välimuisti: Cache:
57416Muistuta salasanan voimassaolon päättymisen lähestymisestä näin monta päivää etukäteen: Begin prompting this many days before password expires:
57418&Määritä tämä avain, ja sen jälkeen &Configure this key then
57419Yleisen sijaintikuvauksen tallentaminen ei onnistunut Could not save global location description
57420Sijaintikuvauksen tallentaminen ei onnistunut Could not save location description
57421Lataa uudelleen
Lataa suojauskäytäntö uudelleen
Reload
Reload the security policy
57422Tallennetaanko muutokset ennen kuin %1 ladataan uudelleen? Save changes to %1 before reloading it?
57423Paikalliset suojausasetukset Local Security Settings
57424WSecEdit-suojausasetusluokka WSecEdit Security Settings Class
57425Paikallinen WSecEdit-suojausasetusluokka WSecEdit Local Security Settings Class
57428Paikalliset suojausasetukset -laajennuksen avulla voit määrittää paikallisen järjestelmän suojauksen. The Local Security Settings snap-in helps you define security on the local system.
57430WSecEdit-RSOP-suojausasetusluokka WSecEdit RSOP Security Settings Class
57431RSOP-suojausasetukset-laajennus täydentää RSOP-laajennusta ja helpottaa toimialueen tietokoneiden suojauskäytäntöjen tarkastelua. The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain.
57435K&äytä &Apply
57436Tätä tietokonetta koskevien ryhmäkäytännön suojausasetusten selvittäminen ei onnistunut.
Noudettaessa asetuksia paikallisesta suojauskäytäntötietokannasta (%%windir%%\security\database\secedit.sdb) tapahtui seuraava virhe: %s
Kaikki paikalliset suojausasetukset tulevat näyttöön, mutta tiedoista ei selviä, onko ryhmäkäytäntö määrittänyt suojausasetukset.
Tämän käyttöliittymän kautta paikallisiin suojausasetuksiin tehdyt muutokset voidaan myöhemmin korvata toimialuetason käytännöillä.
The Group Policy security settings that apply to this machine could not be determined.
The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies.
57437Tätä tietokonetta koskevien ryhmäkäytännön suojausasetusten selvittäminen ei onnistunut.
Noudettaessa asetuksia paikallisesta käytäntötietokannasta (%%windir%%\security\database\secedit.sdb) tapahtui seuraava virhe: %s
Kaikki paikalliset suojausasetukset tulevat näyttöön, mutta tiedoista ei selviä, onko ryhmäkäytäntö määrittänyt suojausasetukset.
The Group Policy security settings that apply to this machine could not be determined.
The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
57438Lokitiedosto: Log file:
57439Käytännön nimi Policy Name
57440Asetus Setting
57441Käytäntö %1 sovellettiin oikein. The policy %1 was correctly applied.
57442Virhe määritettäessä tämän objektin aliobjektia. (Vaihtoehtoisesti käytäntömoduuli yritti määrittää tietyn käytäntöasetuksen aliobjektia, mutta epäonnistui siinä.) Lisätietoja on tiedostossa %windir%\security\logs\winlogon.log There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log
57443Käytäntö %1 palautti virheen %2. Lisätietoja on kohdetietokoneen tiedostossa %windir%\security\logs\winlogon.log. The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57444Käytäntö %1 palautti virheellisen tilan, joka kirjattiin lokiin. Lisätietoja on kohdetietokoneen tiedostossa %%windir%%\security\logs\winlogon.log. The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information.
57445Käytäntömoduuli ei yrittänyt määrittää asetusta. Lisätietoja on kohdetietokoneen tiedostossa %windir%\security\logs\winlogon.log. The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57446&Näytä suojaustiedot... &View Security...
57447Mallin vieminen kohteeseen %1 ei onnistunut.
Virhe on: %2
Couldn't export template to %1.
The error returned was: %2
57448Haluatko tallentaa muutokset suojaustietokantaan? Save changes to Security Database?
57449Estä kirjautuminen etätyöpöytäpalveluiden kautta Deny log on through Remote Desktop Services
57450Salli kirjautuminen etätyöpöytäpalveluiden kautta Allow log on through Remote Desktop Services
57451Mallin hakupolun lisääminen ei onnistu Couldn't add template search path
57453\Security\Logs \Security\Logs
57454Tämän ryhmäkäytännön suojausosaa voidaan muokata vain PDC-emulointikoneessa. The security portion of this group policy may only be edited on the PDC Emulator.
57455Tämä asetus ei ole yhteensopiva tietokoneille, joitten käyttöjärjestelmä on Windows 2000 SP1 tai aikaisempi. Käytä tämän asetuksen sisältäviä ryhmäkäytäntöjä vain uudempaa käyttöjärjestelmää käyttäviin koneisiin. This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system.
57456Sulje kaikki ominaisuussivut ennen kuin poistat kohteen %1. Close all property pages before deleting %1
57457Arvon on oltava väliltä %d - %d Value must be between %d and %d
57458Verkkoyhteys: Salli nimetön SID/Nimi -käännös Network access: Allow anonymous SID/Name translation
57459Järjestelmänvalvojilla on oltava oikeus kirjautua järjestelmään paikallisesti. Administrators must be granted the logon local right.
57460Et voi estää kaikkia käyttäjiä tai järjestelmävalvojia kirjautumasta järjestelmään paikallisesti. You cannot deny all users or administrator(s) from logging on locally.
57461Joitakin tilejä ei voi muuntaa. Some accounts cannot be translated.
57462Jos haluat saattaa muutokset voimaan tai sulkea tämän ominaisuusikkunan, sulje kaikki toissijaiset ikkunat. To apply your changes or close this property sheet, close all secondary windows.
57463Ikkunaa ei voi avata. Windows ei voi luoda UI-säiettä ominaisuusikkunaa varten. The window cannot be opened. Windows cannot create a UI thread for the property sheet.
57464\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm
57465Lisätietoja What's this?
57466sct sct
57467\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm
57468Arvon on oltava välillä %d - %d tai nolla. Value must be between %d and %d or 0
57469Tämä asetus koskee vain järjestelmiä, joiden käyttöjärjestelmä on aiempi kuin Windows Server 2003. This setting affects only operating systems earlier than Windows Server 2003.
57470Asetuksen muokkaaminen saattaa vaikuttaa yhteensopivuuteen asiakkaiden, palveluiden ja sovellusten kanssa.
%1
Modifying this setting may affect compatibility with clients, services, and applications.
%1
57471Lisätietoja on kohteessa %1. (Q%2!lu!) For more information, see %1. (Q%2!lu!)
57472Olet muuttamassa asetukselle arvon, joka saattaa vaikuttaa yhteensopivuuteen asiakkaiden, palveluiden ja sovellusten kanssa.

%1

Haluatko jatkaa muuttamista?
You are about to change this setting to a value that may affect compatibility with clients, services, and applications.

%1

Do you want to continue with the change?
57473Järjestelmänvalvojille ja PALVELULLE on myönnettävä oikeus tekeytyä asiakkaaksi todennuksen jälkeen Administrators and SERVICE must be granted the impersonate client after authentication privilege
57474Tätä asetusta ei ehkä käytetä, jos toinen käytäntö on määritetty ohittamaan luokkatason valvontakäytäntö.
%1
This setting might not be enforced if other policy is configured to override category level audit policy.
%1
57475Saat lisätietoja %1 suojauskäytännön teknisistä ohjeista. For more information, see %1 in the Security Policy Technical Reference.
58000Ei selitetekstiä tälle toiminnolle No explain text for this action
58003Tietokone lukitaan, kun on kulunut Machine will be locked after
58100Keskitettyjen käyttöoikeuskäytäntöjen hallinta...
Lisää tähän malliin keskitettyjä käyttöoikeuskäytäntöjä tai poista niitä siitä
Manage Central Access Policies...
Add/Remove Central Access Policies to this template
58107Tämä käyttöoikeuskäytäntö sisältää seuraavat käytäntösäännöt: This Access Policy includes the following Policy rules:
58108Tila Status
58109Ladataan keskitettyjä käyttöoikeuskäytäntöjä Active Directorysta... Downloading central access policies from active directory...
58110Virhe: keskitettyjä käyttöoikeuskäytäntöjä ei voitu ladata Error: Central access policies could not be downloaded
58111Valmis... Ready...
58113Tätä keskitettyä käyttöoikeuskäytäntöä ei ole. Se on saatettu poistaa Active Directorysta tai sen määritykset voivat olla virheellisiä. Palauta käytäntö Active Directory Administrative Centeriin (AD AC) tai poista se määrityksistä. This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration.
59001Tilit: Salli tyhjien salasanojen käyttäminen paikallisessa tilissä ainoastaan konsoliin kirjauduttaessa Accounts: Limit local account use of blank passwords to console logon only
59002Valvonta: valvo yleisten järjestelmäobjektien käyttöä Audit: Audit the access of global system objects
59003Valvonta: valvo varmuuskopiointi- ja palautusoikeuksien käyttöä Audit: Audit the use of Backup and Restore privilege
59004Valvonta: sammuta järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu Audit: Shut down system immediately if unable to log security audits
59005Laitteet: Estä käyttäjiä asentamasta tulostinohjaimia Devices: Prevent users from installing printer drivers
59010Laitteet: Salli telakointiasemasta poistaminen ilman kirjautumista Devices: Allow undock without having to log on
59011Toimialueen ohjauskoneet: Salli palvelinoperaattoreiden ajoittaa tehtäviä Domain controller: Allow server operators to schedule tasks
59012Toimialueen ohjauskone: Estä tietokonetilin salasanan muuttaminen Domain controller: Refuse machine account password changes
59013Toimialueen ohjauskone: LDAP-palvelimen allekirjoitusvaatimukset Domain controller: LDAP server signing requirements
59015Vaadi allekirjoitus Require signing
59016Toimialuejäsen: Poista säännölliset muuttamiset käytöstä Domain member: Disable machine account password changes
59017Toimialueen jäsen: Tietokonetilin salasanan enimmäisikä Domain member: Maximum machine account password age
59018Toimialuejäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (aina) Domain member: Digitally encrypt or sign secure channel data (always)
59019Toimialuejäsen: Salaa tai allekirjoita suojatun kanavan tiedot digitaalisesti (kun mahdollista) Domain member: Digitally encrypt secure channel data (when possible)
59020Toimialuejäsen: Allekirjoita suojatun kanavan tiedot digitaalisesti (kun mahdollista) Domain member: Digitally sign secure channel data (when possible)
59021Toimialuejäsen: Vaadi vahvaa (Windows 2000:n tai uudemman) istuntoavainta Domain member: Require strong (Windows 2000 or later) session key
59022Vuorovaikutteinen kirjautuminen: Älä vaadi CTRL + ALT + DEL -näppäinyhdistelmän painamista Interactive logon: Do not require CTRL+ALT+DEL
59023Vuorovaikutteinen kirjautuminen: Älä näytä viimeksi sisäänkirjautunutta Interactive logon: Don't display last signed-in
59024Vuorovaikutteinen kirjautuminen: Tuo käyttäjätiedot näkyviin, kun istunto on lukittu Interactive logon: Display user information when the session is locked
59025Käyttäjän näyttönimi, toimialueen nimi ja käyttäjänimi User display name, domain and user names
59026Vain käyttäjän näyttönimi User display name only
59027Älä tuo käyttäjätietoja näkyviin Do not display user information
59028Vuorovaikutteinen kirjautuminen: Sisäänkirjautumista yrittäville käyttäjille esitettävän sanoman teksti Interactive logon: Message text for users attempting to log on
59029Vuorovaikutteinen kirjautuminen: Sisäänkirjautumista yrittäville käyttäjille esitettävän sanoman otsikko Interactive logon: Message title for users attempting to log on
59030Vuorovaikutteinen kirjautuminen: Välimuistiin tallennettavien aiempien kirjautumisten määrä (siltä varalta, että toimialueen ohjauskone ei ole käytettävissä) Interactive logon: Number of previous logons to cache (in case domain controller is not available)
59031Vuorovaikutteinen kirjautuminen: Kehota käyttäjää vaihtamaan salasana ennen vanhentumista Interactive logon: Prompt user to change password before expiration
59032Vuorovaikutteinen kirjautuminen: Työaseman lukituksen poistaminen edellyttää toimialueen ohjauskoneen todennusta Interactive logon: Require Domain Controller authentication to unlock workstation
59033Interaktiivinen kirjautuminen: edellyttää Windows Hello yrityksille -ominaisuutta tai älykorttia Interactive logon: Require Windows Hello for Business or smart card
59034Vuorovaikutteinen kirjautuminen: Älykortin poiston seuraamus Interactive logon: Smart card removal behavior
59035Ei toimintaa No Action
59036Lukitse työasema Lock Workstation
59037Pakota uloskirjautuminen Force Logoff
59038Katkaise yhteys, jos istunto on etätyöpöytäpalveluiden etäistunto Disconnect if a remote Remote Desktop Services session
59039Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (aina) Microsoft network client: Digitally sign communications (always)
59040Microsoft-verkon asiakas: Allekirjoita tietoliikenne digitaalisesti (Jos palvelin sallii) Microsoft network client: Digitally sign communications (if server agrees)
59041Microsoft-verkon asiakas: Lähetä salaamaton salasana kolmannen osapuolen SMB-palvelimiin Microsoft network client: Send unencrypted password to third-party SMB servers
59042Microsoft-verkkopalvelin: Käyttämättömänäoloaika ennen istunnon katkaisemista Microsoft network server: Amount of idle time required before suspending session
59043Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (aina) Microsoft network server: Digitally sign communications (always)
59044Microsoft-verkkopalvelin: Allekirjoita tietoliikenne digitaalisesti (jos asiakas sallii) Microsoft network server: Digitally sign communications (if client agrees)
59045Microsoft-verkkopalvelin: Kirjaa käyttäjä automaattisesti ulos kirjautumisajan umpeuduttua Microsoft network server: Disconnect clients when logon hours expire
59046Verkkokäyttö: älä salli salasanojen ja tunnistetietojen tallentamista verkkotodentamiseen Network access: Do not allow storage of passwords and credentials for network authentication
59047Verkkokäyttö: Älä salli SAM-tilien anonyymiä luettelemista Network access: Do not allow anonymous enumeration of SAM accounts
59048Verkkokäyttö: Älä salli anonyymeja SAM-tilien ja jaettujen resurssien luettelointia Network access: Do not allow anonymous enumeration of SAM accounts and shares
59049Verkkokäyttö: salli Kaikki-ryhmän oikeuksien koskea anonyymejä käyttäjiä Network access: Let Everyone permissions apply to anonymous users
59050Verkkokäyttö: Rajoita anonyymi käyttö nimettyihin kanaviin ja kansioihin Network access: Restrict anonymous access to Named Pipes and Shares
59051Verkkokäyttö: Nimetyt putket, joita voidaan käyttää anonyymisti Network access: Named Pipes that can be accessed anonymously
59052Verkkokäyttö: Jaetut resurssit, joita voidaan käyttää anonyymisti Network access: Shares that can be accessed anonymously
59053Verkkokäyttö: Etäkohteesta käytettävät rekisteripolut ja alipolut Network access: Remotely accessible registry paths and sub-paths
59054Verkkokäyttö: Rekisteripolut, joita voidaan käyttää etäyhteyden välityksellä Network access: Remotely accessible registry paths
59055Verkkokäyttö: Paikallisten tilien jakamis- ja suojausmalli Network access: Sharing and security model for local accounts
59056Perinteinen – paikalliset käyttäjät todennetaan itsenään Classic - local users authenticate as themselves
59057Vain Vieras-tili - paikalliset käyttäjät luokitellaan vieraiksi. Guest only - local users authenticate as Guest
59058Verkon suojaus: älä tallenna LAN Managerin hajautusarvoa seuraavan salasanan muuttamisen yhteydessä Network security: Do not store LAN Manager hash value on next password change
59059Verkon suojaus: LAN Managerin todennustaso Network security: LAN Manager authentication level
59060Lähetä LM- ja NTLM-vastaukset Send LM & NTLM responses
59061Lähetä LM ja NTLM - käytä NTLMv2-istunnon suojausta, jos mahdollista Send LM & NTLM - use NTLMv2 session security if negotiated
59062Lähetä vain NTLM-vastaus Send NTLM response only
59063Lähetä vain NTLMv2-vastaus Send NTLMv2 response only
59064Lähetä vain NTLMv2-vastaus. Hylkää LM Send NTLMv2 response only. Refuse LM
59065Lähetä vain NTLM2-vastaus. Hylkää LM ja NTLM Send NTLMv2 response only. Refuse LM & NTLM
59066Verkon suojaus: Pienin istunnon suojaus NTLM SSP -pohjaisille asiakkaille (mukaan lukien suojattu RPC -asiakkaat) Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
59067Verkon suojaus: Pienin istunnon suojaus NTLM SSP -pohjaisille palvelimille (mukaan lukien suojattu RCP -palvelimet) Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
59070Vaadi NTLMv2-istunnonsuojaus Require NTLMv2 session security
59071Vaadi 128-bittinen salaus Require 128-bit encryption
59072Verkon suojaus: LDAP-asiakkaan allekirjoitusvaatimukset Network security: LDAP client signing requirements
59074Neuvottele allekirjoitus Negotiate signing
59076Palautuskonsoli: Salli automaattinen kirjautuminen järjestelmänvalvojana Recovery console: Allow automatic administrative logon
59077Palautuskonsoli: Salli levykekopiointi sekä kaikkien asemien ja kansioiden käyttö Recovery console: Allow floppy copy and access to all drives and all folders
59078Sammuttaminen: Salli järjestelmän sammuttaminen ilman kirjautumista Shutdown: Allow system to be shut down without having to log on
59079Sammuttaminen: Tyhjennä sivutustiedosto Shutdown: Clear virtual memory pagefile
59080Järjestelmäobjektit: Vahvista sisäisten järjestelmäobjektien (kuten symbolisten linkkien) oletusarvoisia oikeuksia System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
59081Järjestelmäobjektit: Järjestelmänvalvojat-ryhmän jäsenten luomien objektien oletusomistaja System objects: Default owner for objects created by members of the Administrators group
59082Järjestelmänvalvojat-ryhmä Administrators group
59083Kohteen luoja Object creator
59084Järjestelmäobjektit: Edellytä kirjainkoon merkityksellisyyttä muilta kuin Windows-alijärjestelmiltä System objects: Require case insensitivity for non-Windows subsystems
59085Järjestelmän salakirjoitus: käytä FIPS-yhteensopivia algoritmeja salauksessa, hajautuksessa ja allekirjoituksessa System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
59086Järjestelmän salaustekniikka: Pakota vahva avainten suojaus tietokoneeseen tallennetuille käyttäjäavaimille System cryptography: Force strong key protection for user keys stored on the computer
59087Käyttäjältä ei tarvita tietoja, kun uusia avaimia tallennetaan ja käytetään User input is not required when new keys are stored and used
59088Käyttäjälle näytetään kehote, kun avainta käytetään ensimmäisen kerran User is prompted when the key is first used
59089Käyttäjän on annettava salasana aina, kun hän käyttää avainta User must enter a password each time they use a key
59090Järjestelmäasetukset: käytä varmennesääntöjä Windowsin suoritettavien tiedostojen ohjelmistojen rajoituskäytännöissä System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
59091Järjestelmäasetukset: Valinnaiset alijärjestelmät System settings: Optional subsystems
59092sisäänkirjautumista logons
59093päivää days
59094minuutin kuluttua minutes
59095sekunnin kuluttua. seconds
59096DCOM: koneiden käynnistysrajoituksia SDDL (Security Descriptor Definition Language) -kielen syntaksissa DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
59097DCOM: Koneiden käyttörajoituksia SDDL (Security Descriptor Definition Language) -kielen syntaksissa DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
59098Laitteet: Rajoita CD-asemien käyttöoikeus vain paikallisille käyttäjille Devices: Restrict CD-ROM access to locally logged-on user only
59099Laitteet: Siirrettävien tietovälineiden poistaminen ja alustaminen sallittu Devices: Allowed to format and eject removable media
59100Järjestelmänvalvojat Administrators
59101Järjestelmänvalvojat ja tehokäyttäjät Administrators and Power Users
59102Järjestelmänvalvojat ja interaktiiviset käyttäjät Administrators and Interactive Users
59103Laitteet: Rajoita levykeasemien käyttöoikeus vain paikallisille käyttäjille Devices: Restrict floppy access to locally logged-on user only
59104Valvonta: pakota valvontakäytännön aliluokan asetukset (Windows Vista tai myöhempi) korvaamaan valvontakäytännön luokan asetukset Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
59105Verkon suojaus: rajoita NTLM:ää: etäpalvelimiin lähtevä NTLM-liikenne Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
59106Salli kaikki Allow all
59107Estä kaikki Deny all
59108Verkon suojaus: rajoita NTLM:ää: saapuva NTLM-liikenne Network security: Restrict NTLM: Incoming NTLM traffic
59110Estä kaikki toimialuetilit Deny all domain accounts
59111Estä kaikki tilit Deny all accounts
59112Verkon suojaus: rajoita NTLM:ää: NTLM-todentaminen tässä toimialueessa Network security: Restrict NTLM: NTLM authentication in this domain
59113Poista käytöstä Disable
59114Estä toimialuepalvelimien toimialuetilit Deny for domain accounts to domain servers
59115Estä toimialuetilit Deny for domain accounts
59116Estä toimialuepalvelimet Deny for domain servers
59118Verkon suojaus: rajoita NTLM:ää: lisää NTLM-todentamisen etäpalvelinpoikkeukset Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
59119Verkon suojaus: rajoita NTLM:ää: lisää toimialueen palvelinpoikkeukset Network security: Restrict NTLM: Add server exceptions in this domain
59120Verkon suojaus: salli paikallisen järjestelmän palata tyhjään istuntoon Network security: Allow LocalSystem NULL session fallback
59121Verkon suojaus: määritä Kerberoksen sallitut salaustyypit Network security: Configure encryption types allowed for Kerberos
59122DES_CBC_CRC DES_CBC_CRC
59123DES_CBC_MD5 DES_CBC_MD5
59124RC4_HMAC_MD5 RC4_HMAC_MD5
59125AES128_HMAC_SHA1 AES128_HMAC_SHA1
59126AES256_HMAC_SHA1 AES256_HMAC_SHA1
59127Tulevat salaustyypit Future encryption types
59129Verkon suojaus: salli PKU2U-todentamispyynnöt tähän tietokoneeseen verkkohenkilöllisyyksien käyttämistä varten.

Network security: Allow PKU2U authentication requests to this computer to use online identities.

59130Valvo kaikkia Audit all
59131Verkon suojaus: rajoita NTLM:ää: valvo saapuvaa NTLM-liikennettä Network security: Restrict NTLM: Audit Incoming NTLM Traffic
59132Verkon suojaus: rajoita NTLM:ää: valvo NTLM-todentamista tässä toimialueessa Network security: Restrict NTLM: Audit NTLM authentication in this domain
59133Verkon suojaus: salli paikallisen järjestelmän käyttää tietokoneen tunnistetietoja NTLM:ssä Network security: Allow Local System to use computer identity for NTLM
59135Ota valvonta käyttöön toimialuetileissä Enable auditing for domain accounts
59136Ota valvonta käyttöön kaikissa tileissä Enable auditing for all accounts
59138Ota käyttöön toimialuepalvelimien toimialuetileissä Enable for domain accounts to domain servers
59139Ota käyttöön toimialuetileissä Enable for domain accounts
59140Ota käyttöön toimialuepalvelimessa Enable for domain servers
59141Ota kaikki käyttöön Enable all
59142Microsoft-verkkopalvelin: palvelimen palvelun päänimen vahvistustaso Microsoft network server: Server SPN target name validation level
59144Hyväksy, jos asiakas antaa sen Accept if provided by client
59145Vaaditaan asiakkaalta Required from client
59146Microsoftin verkkopalvelin: yritä hankkia väitetiedot S4U2Selfin avulla Microsoft network server: Attempt S4U2Self to obtain claim information
59147Oletus Default
59150Tilit: estä Microsoft-tilit Accounts: Block Microsoft accounts
59151Tämä käytäntö on poistettu käytöstä This policy is disabled
59152Käyttäjät eivät voi lisätä Microsoft-tilejä Users can't add Microsoft accounts
59153Käyttäjät eivät voi lisätä Microsoft-tilejä tai kirjautua niillä Users can't add or log on with Microsoft accounts
59154Vuorovaikutteinen kirjautuminen: tietokonetilin lukituskynnys Interactive logon: Machine account lockout threshold
59155Vuorovaikutteinen kirjautuminen: koneen käyttämättömyysraja Interactive logon: Machine inactivity limit
59156virheelliset kirjautumisyritykset invalid logon attempts
59157Verkkokäyttö: rajoita asiakkaita, jotka saavat tehdä etäkutsuja SAMiin Network access: Restrict clients allowed to make remote calls to SAM
59158Vuorovaikutteinen kirjautuminen: Älä näytä käyttäjänimeä kirjautumisen yhteydessä Interactive logon: Don't display username at sign-in

EXIF

File Name:wsecedit.dll.mui
Directory:%WINDIR%\WinSxS\amd64_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_fi-fi_d51f2f0cef20d138\
File Size:436 kB
File Permissions:rw-rw-rw-
File Type:Win32 DLL
File Type Extension:dll
MIME Type:application/octet-stream
Machine Type:Intel 386 or later, and compatibles
Time Stamp:0000:00:00 00:00:00
PE Type:PE32
Linker Version:14.10
Code Size:0
Initialized Data Size:445440
Uninitialized Data Size:0
Entry Point:0x0000
OS Version:10.0
Image Version:10.0
Subsystem Version:6.0
Subsystem:Windows GUI
File Version Number:10.0.15063.0
Product Version Number:10.0.15063.0
File Flags Mask:0x003f
File Flags:(none)
File OS:Windows NT 32-bit
Object File Type:Dynamic link library
File Subtype:0
Language Code:Finnish
Character Set:Unicode
Company Name:Microsoft Corporation
File Description:Suojausmäärityksen käyttöliittymämoduuli
File Version:10.0.15063.0 (WinBuild.160101.0800)
Internal Name:WSECEDIT
Legal Copyright:© Microsoft Corporation. Kaikki oikeudet pidätetään.
Original File Name:WSecEdit.dll.mui
Product Name:Microsoft® Windows® -käyttöjärjestelmä
Product Version:10.0.15063.0
Directory:%WINDIR%\WinSxS\x86_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_fi-fi_7900938936c36002\

What is wsecedit.dll.mui?

wsecedit.dll.mui is Multilingual User Interface resource file that contain Finnish language for file wsecedit.dll (Suojausmäärityksen käyttöliittymämoduuli).

File version info

File Description:Suojausmäärityksen käyttöliittymämoduuli
File Version:10.0.15063.0 (WinBuild.160101.0800)
Company Name:Microsoft Corporation
Internal Name:WSECEDIT
Legal Copyright:© Microsoft Corporation. Kaikki oikeudet pidätetään.
Original Filename:WSecEdit.dll.mui
Product Name:Microsoft® Windows® -käyttöjärjestelmä
Product Version:10.0.15063.0
Translation:0x40B, 1200