File name: | wsecedit.dll.mui |
Size: | 442368 byte |
MD5: | 7a8b184cc89538fa3688fd27e1b13fde |
SHA1: | 82318ec7e79753a2d2111499c462c48b208ff408 |
SHA256: | 4ce7819b7ff27b0202e51b50be1a995860897983d729ed0179d7e18620565fda |
Operating systems: | Windows 10 |
Extension: | MUI |
If an error occurred or the following message in Czech language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.
id | Czech | English |
---|---|---|
1 | Třída rozšíření WSecEdit | WSecEdit Extension Class |
2 | Název | Name |
3 | Popis | Description |
4 | Zásady | Policy |
5 | Nastavení databáze | Database Setting |
6 | Nastavení počítače | Computer Setting |
7 | Šablona zabezpečení | Security Template |
8 | Šablony | Templates |
9 | Poslední konfigurace či analýza | Last Configuration/Analysis |
10 | Šablona zabezpečení definovaná pro konfiguraci nebo analýzu počítače. | Security templates defined to configure or analyze a computer. |
12 | Zásady zabezpečení | Security Policy |
13 | Přiřazení uživatelských práv | User Rights Assignment |
14 | Skupiny s omezeným členstvím | Restricted Groups |
15 | Systémové služby | System Services |
16 | Registr | Registry |
17 | Systém souborů | File System |
21 | Nastavení systémové služby | System service settings |
22 | Nastavení zabezpečení registru | Registry security settings |
23 | Nastavení zabezpečení systému souborů | File system security settings |
24 | Šablony zabezpečení | Security Templates |
25 | (neuloženo) | (not saved) |
26 | Nastavení zabezpečení | Security Settings |
27 | Třída konfigurace zabezpečení WSecEdit | WSecEdit Security Configuration Class |
28 | Třída správce zabezpečení WSecEdit | WSecEdit Security Manager Class |
29 | Opravdu chcete %s odstranit? | Are you sure you want to delete %s? |
30 | Chcete odstranit všechny vybrané položky? | Do you want to delete all selected items? |
31 | &Analyzovat počítač... Porovná aktuální nastavení počítače s nastavením zabezpečení uloženým v databázi. |
&Analyze Computer Now... Compares the current computer settings against the security settings in the database |
34 | E&xportovat šablonu... Exportuje základní šablonu aktuálního počítače. |
&Export Template... Exports the base template for the current computer |
35 | &Přidat soubory... Přidá do šablony nové soubory. |
Add Fi&les... Adds new files to this template |
36 | Nová &cesta hledání šablony... Přidá umístění šablony do cesty pro hledání zabezpečených šablon (.inf - formát INF). |
&New Template Search Path... Adds a template location to the Security Templates' search path (.inf - INF format) |
37 | Nová šab&lona... Vytvoří novou šablonu. |
&New Template... Creates a new template |
38 | &Odebrat cestu Odebere vybrané umístění z cesty pro hledání. |
&Remove Path Removes the selected location from the search path |
39 | &Aktualizovat Aktualizuje umístění tak, aby zobrazilo nejnověji přidané šablony. |
Re&fresh Updates this location to display recently added templates |
40 | Zkon&figurovat počítač... Zkonfiguruje počítač podle zvolené šablony. |
Con&figure Computer Now... Configures the computer according to the selected template |
42 | Systém Windows nemůže naimportovat šablonu z %s. | Windows cannot import the template from %s |
43 | Uložit ja&ko... Uloží šablonu pod novým názvem. |
Save &As... Saves the template with a new name |
44 | &Kopírovat Zkopíruje vybranou šablonu do schránky. |
&Copy Copies the selected template information to the Clipboard |
45 | V&ložit Vloží informace ze schránky do šablony. |
&Paste Pastes Clipboard information into the template |
46 | Zdrojový objekt zásad skupiny | Source GPO |
47 | &Aktualizovat Aktualizuje data. |
&Refresh Refreshes data |
48 | Přidání tohoto objektu vyžaduje nastavení zabezpečení | Security is required to add this object |
49 | Systém Windows nemůže naimportovat šablonu zabezpečení. | Windows cannot import the security template |
50 | Zásady hesla | Password Policy |
51 | Maximální stáří hesla dnů |
Maximum password age days |
52 | Minimální stáří hesla dnů |
Minimum password age days |
53 | Minimální délka hesla znaků |
Minimum password length characters |
54 | Vynutit použití historie hesel hesel zapamatováno |
Enforce password history passwords remembered |
55 | Heslo musí splňovat požadavky na složitost | Password must meet complexity requirements |
56 | Uživatel se musí přihlásit, aby změnil heslo | User must log on to change the password |
57 | Zásady uzamčení účtů | Account Lockout Policy |
58 | Prahová hodnota pro uzamčení účtu chybných pokusů o přihlášení |
Account lockout threshold invalid logon attempts |
59 | Vynulovat čítač pro uzamčení účtu po min. |
Reset account lockout counter after minutes |
60 | Doba uzamčení účtu min. |
Account lockout duration minutes |
61 | Chcete tuto šablonu odstranit? | Do you want to delete this template? |
62 | Databáze není načtena. | The database is not loaded. |
63 | Zabezpečení sítě: Vynutit odhlášení pokud vyprší časový limit pro přihlášení | Network security: Force logoff when logon hours expire |
65 | Účty: Přejmenovat účet správce | Accounts: Rename administrator account |
67 | Účty: Přejmenovat účet Guest | Accounts: Rename guest account |
68 | Znovu načíst Znovu načte místní a platné tabulky zásad z databáze zásad. |
Reload Reloads the local and effective policy tables from the policy database |
69 | Název skupiny | Group Name |
70 | Protokol událostí | Event Log |
71 | Maximální velikost systémového protokolu kB |
Maximum system log size kilobytes |
72 | Metoda uchování systémového protokolu | Retention method for system log |
73 | Doba uchování systémového protokolu dnů |
Retain system log days |
74 | Maximální velikost protokolu zabezpečení kB |
Maximum security log size kilobytes |
75 | Metoda uchování protokolu zabezpečení | Retention method for security log |
76 | Doba uchování protokolu zabezpečení dnů |
Retain security log days |
77 | Maximální velikost aplikačního protokolu kB |
Maximum application log size kilobytes |
78 | Metoda uchování aplikačního protokolu | Retention method for application log |
79 | Doba uchování aplikačního protokolu dnů |
Retain application log days |
80 | Ukončit činnost systému při zaplnění protokolu auditování zabezpečení | Shut down the computer when the security audit log is full |
81 | Zásady auditu | Audit Policy |
82 | Režim auditování událostí | Event Auditing Mode |
83 | Auditovat systémové události | Audit system events |
84 | Auditovat události přihlášení | Audit logon events |
85 | Auditovat přístup k objektům | Audit object access |
86 | Auditovat používání oprávnění | Audit privilege use |
87 | Auditovat změny zásad | Audit policy change |
88 | Auditovat správu účtů | Audit account management |
89 | Auditovat sledování procesů | Audit process tracking |
90 | Možnosti zabezpečení | Security Options |
92 | Nedefinováno | Not Defined |
95 | Nelze přidat členy. | Cannot add members |
96 | Nelze zobrazit informace o zabezpečení. | Cannot display security |
97 | Nelze přidat uživatele. | Cannot add users |
98 | Nelze přidat objekt adresáře. | Cannot add directory object |
99 | Nelze přidat složku. | Cannot add a folder |
100 | -- Členové | -- Members |
102 | Tento název souboru obsahuje některé znaky, které nebyly rozpoznány aktuálním systémovým jazykem. Zadejte nový název souboru. | This file name contains some characters that can not be recognized by current system language. Please rename it. |
103 | Oprávnění | Permission |
104 | Auditování | Audit |
106 | Nelze přidat soubor. | Windows cannot add a file. |
107 | Název šablony není platný. | The template name is not valid. |
108 | Při exportu uložené šablony došlo k chybě. | An error occurred while exporting the stored template. |
109 | Systém Windows nemůže přidat klíč registru. | Windows cannot add a registry key |
110 | Úplné řízení | Full Control |
111 | Změnit | Modify |
112 | Číst a spustit | Read and Execute |
113 | Zobrazovat obsah složky | List Folder Contents |
114 | Číst | Read |
115 | Zapisovat | Write |
116 | Procházet složkou / Spouštět soubory | Traverse Folder/Execute File |
117 | Odstranit | Delete |
120 | Žádné | None |
124 | Dotazovat se na hodnotu | Query Value |
125 | Nastavit hodnotu | Set Value |
126 | Vytvořit podklíč | Create Subkey |
127 | Vytvořit výčet podklíčů | Enumerate Subkeys |
128 | Oznámit | Notify |
129 | Vytvořit odkaz | Create Link |
130 | Spustit | Execute |
131 | Vlákno nelze vytvořit | Cannot create a thread |
132 | Následující účty nelze ověřit: %1 |
The following accounts could not be validated: %1 |
141 | Název souboru protokolu | Log File Name |
143 | Provést analýzu zabezpečení | Perform Security Analysis |
144 | Nastavení zásad zabezpečení | Security policy settings |
146 | Konfigurace a analýza zabezpečení v1.0 |
Security Configuration and Analysis v1.0 |
147 | Konfigurace a analýza zabezpečení je nástroj pro správu, který slouží k zabezpečení počítače a k analýze zabezpečení. Umožňuje vytvořit nebo upravit šablonu zabezpečení, použít šablonu zabezpečení, provádět analýzu podle šablony a zobrazit výsledky analýzy. | Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results. |
148 | Poslední analýza byla provedena |
Last analysis was performed on |
149 | Popis základní konfigurace zabezpečení: |
Base security configuration description: |
150 | Počítač byl zkonfigurován pomocí následující šablony. Analýza nebyla provedena. |
The computer was configured by the following template. Analysis was not performed. |
151 | Databáze nebyla zkonfigurována nebo analyzována pomocí modulu snap-in Konfigurace a analýza zabezpečení. | The database has not been configured or analyzed using Security Configuration and Analysis. |
152 | O programu Konfigurace a analýza zabezpečení | About Security Configuration and Analysis |
153 | O poslední analýze | About Last Analysis |
154 | Přidat umístění šablony do šablon zabezpečení | Add a Template Location to Security Templates |
165 | Název objektu | Object Name |
166 | Nekonzistentní hodnoty | Inconsistent Values |
168 | Otevřít šablonu | Open Template |
169 | Šablona zabezpečení (.inf)|*.inf|| | Security Template (.inf)|*.inf|| |
170 | inf | inf |
171 | Otevřít soubor protokolu chyb | Open Error Log File |
172 | log | log |
173 | Soubory protokolů (.log)|*.log|| | Log files (.log)|*.log|| |
193 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations |
194 | Nelze otevřít soubor šablony. | Windows cannot open template file. |
195 | Nelze číst informaci o šabloně. | Windows cannot read template information. |
196 | Ve vybrané databázi nejsou k dispozici žádné informace. Chcete-li začít používat tuto pomůcku, použijte položku Analyzovat v nabídce programu. | There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool. |
197 | 0 | 0 |
198 | Podle potřeby | As needed |
199 | Podle dnů | By days |
200 | Ručně | Manually |
201 | Povoleno | Enabled |
202 | Zakázáno | Disabled |
203 | Zapnuto | On |
204 | Vypnuto | Off |
210 | Členové | Members |
211 | Je členem | Member Of |
214 | CLASSES_ROOT | CLASSES_ROOT |
215 | MACHINE | MACHINE |
216 | USERS | USERS |
217 | Úspěšně | Succeeded |
229 | Neznámá chyba | Unknown error |
232 | \Security\Templates | \Security\Templates |
233 | Přistupovat k tomuto počítači přes síť | Access this computer from the network |
234 | Povolit místní přihlášení | Allow log on locally |
235 | Uložení se nezdařilo | Failed to save |
236 | &Uložit Uloží šablonu. |
&Save Save the template |
237 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit | Software\Microsoft\Windows NT\CurrentVersion\SecEdit |
238 | Přidat složku | Add Folder |
239 | &Přidat složku... Přidá do šablony novou složku. |
Add &Folder... Adds a new folder to this template |
240 | &Přidat klíč... Přidá do šablony nový klíč. |
Add &Key... Adds a new key to this template |
241 | &Přidat skupinu... Přidá do šablony novou skupinu. |
Add &Group... Adds a new group to this template |
248 | Název služby | Service Name |
249 | Po spuštění | Startup |
250 | Analyzován | Analyzed |
251 | Nakonfigurován | Configured |
252 | Automaticky | Automatic |
254 | OK | OK |
255 | Zjistit | Investigate |
256 | Databáze zabezpečení pro | Database Security for |
257 | Poslední analýza zabezpečení pro | Last Analyzed Security for |
258 | Zabezpečení pro | Security for |
262 | Členství ve skupinách | Group Membership |
263 | Členové této skupiny | Members of this group |
266 | Zásady účtů | Account Policies |
267 | Heslo a zásady zamknutí účtu | Password and account lockout policies |
268 | Místní zásady | Local Policies |
269 | Zásady auditování, uživatelských práv a zabezpečení | Auditing, user rights and security options policies |
271 | Nastavení protokolu událostí a prohlížeče událostí | Event Log settings and Event Viewer |
272 | Auditovat přístup k adresářové službě | Audit directory service access |
273 | Auditovat události přihlášení k účtu | Audit account logon events |
275 | Zabraňuje místní skupině Guests získat přístup k systémovému protokolu. | Prevent local guests group from accessing system log |
276 | Zabraňuje místní skupině Guests získat přístup k protokolu zabezpečení. | Prevent local guests group from accessing security log |
277 | Zabraňuje místní skupině Guests získat přístup k aplikačnímu protokolu. | Prevent local guests group from accessing application log |
278 | Vždy | Always |
281 | Ignorovat | Ignore |
284 | Nahradit | Replace |
286 | Přihlásit jako dávkovou úlohu | Log on as a batch job |
287 | Přihlásit jako službu | Log on as a service |
288 | Objekty služby Active Directory | Active Directory Objects |
289 | Správa zabezpečení objektů služby Active Directory | Security management of Active Directory objects |
290 | &Přidat objekt adresáře Přidá do šablony objekt služby Active Directory. |
Add Directory &Object Adds an Active Directory object to this template |
293 | Zobrazovat obsah složky / Číst data | List folder / Read data |
294 | Číst atributy | Read attributes |
295 | Číst rozšířené atributy | Read extended attributes |
296 | Vytvářet soubory/Zapisovat data | Create files / Write data |
297 | Vytvářet složky/Připojovat data | Create folders / Append data |
298 | Zapisovat atributy | Write attributes |
299 | Zapisovat rozšířené atributy | Write extended attributes |
300 | Odstraňovat podsložky a soubory | Delete subfolders and files |
301 | Odstraňovat | Delete |
302 | Číst oprávnění | Read permissions |
303 | Měnit oprávnění | Change permissions |
304 | Přebírat vlastnictví | Take ownership |
305 | Synchronizovat | Synchronize |
306 | Číst, zapisovat a spouštět | Read, Write and Execute |
307 | Zapisovat a spouštět | Write and Execute |
308 | Procházet / Spouštět | Traverse / Execute |
309 | Jen tato složka | This folder only |
310 | Tato složka, podsložky a soubory | This folder, subfolders and files |
311 | Tato složka a podsložky | This folder and subfolders |
312 | Tato složka a soubory | This folder and files |
313 | Jen podsložky a soubory | Subfolders and files only |
314 | Jen podsložky | Subfolders only |
315 | Jen soubory | Files only |
316 | Pouze tento klíč | This key only |
317 | Tento klíč a podklíče | This key and subkeys |
318 | Pouze podklíče | Subkeys only |
321 | Spustit, ukončit a pozastavit | Start, stop and pause |
322 | Dotaz na šablonu | Query template |
323 | Změnit šablonu | Change template |
324 | Zjistit status | Query status |
325 | Zjistit závislosti | Enumerate dependents |
327 | Zastavit | Stop |
328 | Pozastavit a pokračovat | Pause and continue |
329 | Dotázat se | Interrogate |
330 | Uživatelem definované řízení | User-defined control |
335 | Vytvářet podřízené objekty | Create children |
336 | Odstraňovat podřízené objekty | Delete children |
337 | Vypisovat obsah | List contents |
338 | Přidat nebo odebrat sebe sama | Add/remove self |
339 | Číst vlastnosti | Read properties |
340 | Zapsat vlastnosti | Write properties |
341 | Pouze tento kontejner | This container only |
342 | Tento kontejner a podřazené kontejnery | This container and subcontainers |
343 | Pouze podřazené kontejnery | Subcontainers only |
344 | [[Konfigurace zásad místního počítače ]] | [[Local Computer Policy Configuration ]] |
345 | Účet nebude uzamčen. | Account will not lock out. |
346 | Heslo lze změnit okamžitě. | Password can be changed immediately. |
347 | Není vyžadováno žádné heslo. | No password required. |
348 | Neuchovávat historii hesel. | Do not keep password history. |
349 | Platnost hesla vyprší za: | Password will expire in: |
350 | Heslo lze změnit po: | Password can be changed after: |
351 | Heslo musí být nejméně: | Password must be at least: |
352 | Zapamatování historie hesla: | Keep password history for: |
353 | Heslo bude uzamčeno po: | Account will lock out after: |
354 | Heslo bude uzamčeno po dobu: | Account is locked out for: |
355 | Přepsat události starší než: | Overwrite events older than: |
356 | Platnost hesla nevyprší. | Password will not expire. |
357 | Heslo bude uzamčeno, dokud jej správce neodemkne. | Account is locked out until administrator unlocks it. |
359 | Ukládat hesla pomocí reverzibilního šifrování | Store passwords using reversible encryption |
360 | Zásady modulu Kerberos | Kerberos Policy |
361 | Vynutit omezení přihlášení uživatele | Enforce user logon restrictions |
362 | Maximální tolerance synchronizace hodin počítače minut |
Maximum tolerance for computer clock synchronization minutes |
363 | Maximální doba života lístku služby minut |
Maximum lifetime for service ticket minutes |
364 | Maximální doba života lístku uživatele hodin |
Maximum lifetime for user ticket hours |
365 | Maximální doba života pro obnovení lístku uživatele dnů |
Maximum lifetime for user ticket renewal days |
366 | Přidat člena | Add Member |
368 | K zobrazení tohoto oddílu není dostatek paměti. | There is not enough memory to display this section |
369 | O poslední analýze nejsou k dispozici žádné informace. | No information is available about the last analysis |
370 | Systém Windows nemůže uložit změněné šablony. | Windows cannot save changed templates. |
372 | Konfigurace a analýza zabezpečení | Security Configuration and Analysis |
374 | &Importovat šablonu... Importuje do databáze šablonu. |
&Import Template... Import a template into this database |
376 | Systém Windows nemůže vytvořit nebo otevřít %s. | Windows cannot create or open %s |
377 | Zjistit umístění souboru protokolu chyb | Locate error log file |
378 | sdb | sdb |
379 | Soubory databáze zabezpečení (*.sdb)|*.sdb|Všechny soubory (*.*)|*.*|| | Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*|| |
380 | Použít šablonu pro počítač | Apply Template to Computer |
381 | Cesta k souboru protokolu chyb pro záznam průběhu konfigurace počítače | Error log file path to record the progress of configuring the computer |
382 | &Zabezpečení... | &Security... |
383 | Upravit zabezpečení této položky | Edit security for this item |
384 | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration | Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration |
385 | &Zabezpečení... Upraví zabezpečení této položky. |
&Security... Edit security for this item |
386 | EnvironmentVariables | EnvironmentVariables |
387 | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| | %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| |
388 | Otevřít &databázi... Otevře stávající nebo novou databázi. |
O&pen Database... Open an existing or new database |
389 | &Nová databáze... Vytvoří a otevře novou databázi. |
&New Database... Create and open a new database |
390 | Nastavit pop&is... Slouží k vytvoření popisu šablon v tomto adresáři. |
Set Descri&ption... Create a description for the templates in this directory |
392 | \help\sce.chm | \help\sce.chm |
395 | Všechny soubory (*.*)|*.*|| | All files (*.*)|*.*|| |
396 | Databáze: %s | Database: %s |
397 | Při pokusu otevřít databázi došlo k neznámé chybě. | An unknown error occurred when attempting to open the database. |
398 | Před použitím databáze musíte provést její analýzu. Spusťte analýzu z nabídky Databáze. | Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis. |
399 | Databáze, kterou se pokoušíte otevřít, neexistuje. Zvolte položku Importovat šablonu z nabídky Databáze. | The database you are attempting to open does not exist. On the Database menu, click Import Template. |
400 | Databáze je poškozena. Informace o možnosti databázi opravit naleznete v nápovědě. | The database is corrupt. For information about fixing the database, see online Help. |
401 | Pro zavedení databáze není dostatek paměti. Ukončete některé aplikace a opakujte akci. | There is not enough memory available to load the database. Close some programs and then try again. |
402 | Přístup k databázi byl odepřen. Nedojde-li ke změně oprávnění k přístupu k databázi, může k databázi přistupovat pouze uživatel s oprávněním správce. | Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it. |
403 | \Security\Database | \Security\Database |
404 | Chcete uložit změny do %s? | Do you want to save changes to %s? |
405 | Importovaná databáze není potvrzena. Chcete-li ji uložit, klikněte na tlačítko Zrušit a spusťte analýzu nebo upravte konfiguraci před importem další konfigurace. Chcete-li ignorovat předchozí importovanou konfiguraci, klikněte na tlačítko OK. |
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK. |
406 | Všechny vybrané soubory | All Selected Files |
407 | Odepřít místní přihlášení | Deny log on locally |
408 | Odepřít přístup k tomuto počítači ze sítě | Deny access to this computer from the network |
409 | Odepřít přihlášení se jako služba | Deny log on as a service |
410 | Odepřít přihlášení se jako dávková úloha | Deny log on as a batch job |
411 | Přidat skupinu | Add Group |
412 | &Skupina: | &Group: |
413 | Analýza nebyla provedena | Not Analyzed |
414 | Při analýze došlo k chybě. | Error Analyzing |
416 | Navrhované nastavení | Suggested Setting |
417 | Místní zástavy... Vytvoří soubor šablony z nastavení místních zásad. |
Local Policy ... Create template file from the local policy settings |
418 | Platné zásady... Vytvoří soubor šablony z nastavení platných zásad. |
Effective Policy ... Create template file from the effective policy settings |
419 | Konfigurace a analýza zabezpečení Chcete-li otevřít existující databázi, klikněte pravým tlačítkem myši na položku Konfigurace a analýza zabezpečení, klikněte na tlačítko Otevřít databázi, vyberte databázi a klikněte na tlačítko Otevřít. Chcete-li vytvořit novou databázi, klikněte pravým tlačítkem myši na položku Konfigurace a analýza zabezpečení, klikněte na tlačítko Otevřít databázi, zadejte název nové databáze a poté klikněte na tlačítko Otevřít. Vyberte šablonu zabezpečení pro import a klikněte na tlačítko Otevřít. | Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open |
420 | ||
422 | Databáze, kterou se pokoušíte otevřít, neexistuje. | The database you are attempting to open does not exist. |
423 | Chcete-li vytvořit novou databázi místních zásad, klikněte na příkaz Importovat zásady v nabídce Nastavení zabezpečení. | You can create a new local policy database by choosing Import Policy from the Security Settings menu commands. |
424 | Přístup k databázi byl odepřen. | Access to database has been denied. |
425 | Zob&razit soubor protokolu Přepne zobrazení souboru protokolu nebo stromu složek, pokud je vybrán uzel Konfigurace a analýza zabezpečení. |
View Lo&g File Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected |
426 | Nastavení zabezpečení v databázi slouží ke konfiguraci a analýze počítače. Konfigurace počítače:Klikněte pravým tlačítkem myši na položku Konfigurace a analýza zabezpečení,vyberte příkaz Konfigurovat počítač,zadejte název souboru protokolu a klikněte na tlačítko OK.POZNÁMKA: Po dokončení konfigurace proveďte analýzu a zobrazte informace v databázi.Analýza nastavení zabezpečení:Klikněte pravým tlačítkem myši na položku Konfigurace a analýza zabezpečení,vyberte příkaz Analyzovat počítač,zadejte cestu k souboru protokolu a klikněte na tlačítko OK. POZNÁMKA: Chcete-li zobrazit protokol vytvořený v průběhu konfigurace či analýzy, vyberte příkaz Zobrazit soubor protokolu v místní nabídce Konfigurace a analýza zabezpečení. | You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu. |
427 | Při čtení z umístění došlo k chybě | Error Reading Location |
429 | Nastavení zásady | Policy Setting |
430 | Průvodce &zabezpečením... Průvodce rolí zabezpečeného serveru |
Secure &Wizard... Secure Server Role Wizard |
431 | Systém Windows nemůže importovat neplatnou šablonu %s. | Windows cannot import invalid template %s |
432 | Účty: Stav účtu správce | Accounts: Administrator account status |
433 | Účty: Stav účtu hosta | Accounts: Guest account status |
434 | Vlastnosti | Properties |
435 | Uživatelské jméno není platné. Je prázdné nebo obsahuje některý z následujících znaků: %1 |
The username is not valid. It is empty or it may not contain any of the following characters: %1 |
436 | Bez minima | No minimum |
437 | Názvy uživatelů a skupin nesmí obsahovat žádný z následujících znaků: %1 |
User and group names may not contain any of the following characters: %1 |
438 | Systém nemůže nalézt určenou cestu: %1 |
The system can not find the path specified: %1 |
439 | Název souboru nesmí obsahovat žádný z následujících znaků: %1 |
File name may not contain any of the following characters: %1 |
440 | Je nutné vybrat režim spuštění. | A startup mode must be selected. |
441 | Objekt %1 nelze odstranit, protože je otevřeno okno s vlastnostmi tohoto objektu. Chcete-li tento objekt odstranit, zavřete okno s vlastnostmi a znovu vyberte možnost Odstranit. |
Object "%1" cannot be deleted because an open window is displaying its properties. To delete this object, close that window and select "Delete" again. |
442 | Konfigurovat členství pro %.17s... | Configure Membership for %.17s... |
443 | Vynulovat čítač pro zamknutí účtu po | Reset account lockout counter after |
444 | Na&stavit popis... Slouží k vytvoření popisu této šablony. |
Set Descri&ption... Create a description for this template |
445 | Popis nesmí obsahovat žádný z následujících znaků: %1 |
Description may not contain any of the following characters: %1 |
446 | Nastavení šablony | Template Setting |
449 | Přesvědčte se, zda máte pro tento objekt správná oprávnění. | Make sure that you have the right permissions to this object. |
450 | Přesvědčte se, zda tento objekt existuje. | Make sure that this object exists. |
451 | Složku %1 nelze použít. Zvolte jinou složku. | The folder %1 cannot be used. Choose another folder. |
452 | Tento počítač | My Computer |
453 | Název souboru je příliš dlouhý. | The file name is too long. |
552 | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm | spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm |
697 | Název souboru nesmí obsahovat pouze následující znaky: %1 |
File name may not only contain any of the following characters: %1 |
698 | %1 Tento název souboru je vyhrazeným názvem zařízení. Zvolte jiný název. |
%1 This file name is a reserved device name. Choose another name. |
699 | Typ souboru není správný. | The file type is not correct. |
700 | Chcete-li provést požadovanou operaci, je nutné abyste byli členy skupiny Administrators. | You must be a member of the Administrators group to perform the requested operation. |
701 | Název souboru %1 není platný. Zadejte název souboru znovu ve správném formátu, například c:\umístění\soubor.%2. |
The file name %1 is not valid. Reenter the file name in the correct format, such as c:\location\file.%2. |
702 | Nebylo provedeno mapování mezi názvy účtů a ID zabezpečení. | No mapping between account names and security IDs was done |
709 | Aby se změny projevily v účtech domény, je třeba toto nastavení určit ve výchozí zásadě domény. | To affect domain accounts, this setting must be defined in default domain policy. |
718 | Místní zásady zabezpečení | Local Security Policy |
740 | %1%2 | %1%2 |
741 | %1%2 %3 |
%1%2 %3 |
745 | Speciální | Special |
753 | Nastavení zabezpečení pro vzdálený přístup do databáze SAM | Security Settings for Remote Access to SAM |
754 | Vzdálený přístup | Remote Access |
762 | Zásady centrálního přístupu | Central Access Policy |
763 | Zásady centrálního přístupu použité u systému souborů | Central Access Policies applied to the file system |
764 | !!Neznámá zásada!!: | !!Unknown policy!!: |
765 | %1 %2 | %1 %2 |
1900 | Vynutit použití historie hesel
Toto nastavení zabezpečení určuje počet jedinečných nových hesel, která musí být přidružena k uživatelskému účtu, než lze znovu použít některé staré heslo. Hodnota musí být mezi 0 a 24 hesly. Tato zásada umožňuje správcům zvýšit zabezpečení tím, že zabraňuje opětovnému používání starých hesel. Výchozí nastavení: 24 u řadičů domény 0 u samostatných serverů Poznámka: Ve výchozím nastavení se členské počítače řídí nastavením příslušných řadičů domény. Chcete-li zachovat účinnost historie hesel, pomocí zásady zabezpečení Minimální stáří hesla znemožněte, aby bylo možné hesla měnit bezprostředně poté, co je vyžádána jejich změna. Informace o nastavení zásady zabezpečení týkající se minimálního stáří hesla naleznete v části Minimální stáří hesla. |
Enforce password history
This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords. This policy enables administrators to enhance security by ensuring that old passwords are not reused continually. Default: 24 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age. |
1901 | Maximální stáří hesla
Toto nastavení zabezpečení určuje dobu (ve dnech), po kterou může být heslo používáno, než systém požádá uživatele o jeho změnu. Zadáním hodnoty v rozsahu 1 až 999 určíte počet dnů, po jejichž uplynutí má vypršet platnost hesla, zadáním hodnoty 0 určíte trvalou platnost hesla. Pokud je maximální stáří hesla mezi 1 a 999 dny, musí být minimální stáří hesla menší než tato hodnota. Pokud je maximální stáří hesla nastaveno na hodnotu 0, lze minimální stáří hesla nastavit na libovolnou hodnotu mezi 0 a 998 dny. Poznámka: V závislosti na prostředí je doporučeno nechat platnost hesla vypršet za 30 až 90 dnů. Útočník má v takovém případě omezené množství času na prolomení hesla uživatele a získání přístupu k síťovým prostředkům. Výchozí hodnota: 42. |
Maximum password age
This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days. Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources. Default: 42. |
1902 | Minimální stáří hesla
Toto nastavení zabezpečení určuje dobu (ve dnech), po kterou musí být heslo používáno, než je uživatel může změnit. Můžete nastavit hodnotu mezi 1 a 998 dny, nastavením hodnoty 0 umožníte bezprostřední změnu hesla. Minimální stáří hesla musí být menší než maximální stáří hesla, pokud není maximální stáří hesla nastaveno na hodnotu 0, která značí trvalou platnost hesel. Pokud je maximální stáří hesla nastaveno na hodnotu 0, lze minimální stáří hesla nastavit na libovolnou hodnotu mezi 0 a 998. Chcete-li použít účinné vynucení historie hesel, nastavte minimální stáří hesla na hodnotu větší než 0. Bez nastavení minimálního stáří hesla mohou uživatelé procházet hesla, dokud nenaleznou své staré oblíbené heslo. Výchozí nastavení se tímto doporučením neřídí, takže správce může zadat heslo pro uživatele a pak uživatele požádat, aby při přihlášení toto správcem definované heslo změnil. Pokud je historie hesel nastavena na hodnotu 0, nemusí uživatel nové heslo zvolit. Z tohoto důvodu má nastavení Vynutit historii hesel výchozí hodnotu 1. Výchozí nastavení: 1 u řadičů domény 0 u samostatných serverů Poznámka: Ve výchozím nastavení se členské počítače řídí konfigurací příslušných řadičů domény. |
Minimum password age
This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998. Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default. Default: 1 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1903 | Minimální délka hesla
Toto nastavení zabezpečení určuje nejmenší počet znaků, které musí heslo uživatele obsahovat. Lze nastavit hodnotu mezi 1 a 14 znaky, případně nastavením hodnoty 0 určit, že není požadováno žádné heslo. Výchozí nastavení: 7 u řadičů domény 0 u samostatných serverů Poznámka: Ve výchozím nastavení se členské počítače řídí konfigurací příslušných řadičů domény. |
Minimum password length
This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0. Default: 7 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1904 | Heslo musí splňovat požadavky na složitost
Toto nastavení zabezpečení určuje, zda hesla musí splňovat požadavky na složitost. Je-li tato zásada povolena, musí hesla splňovat následující minimální požadavky: Nesmí obsahovat název účtu uživatele ani části celého jména uživatele přesahující dva sousední znaky. Musí obsahovat alespoň 6 znaků. Musí obsahovat znaky ze tří z následujících čtyř kategorií: Velká písmena anglické abecedy (A až Z) Malá písmena anglické abecedy (a až z) Základních 10 číslic (0 až 9) Jiné než alfanumerické znaky (například !, $, #, %) Požadavky na složitost jsou prosazovány při změně nebo vytvoření hesla. Výchozí nastavení: Povoleno u řadičů domény Zakázáno u samostatných serverů Poznámka: Ve výchozím nastavení se členské počítače řídí konfigurací příslušných řadičů domény. |
Password must meet complexity requirements
This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length Contain characters from three of the following four categories: English uppercase characters (A through Z) English lowercase characters (a through z) Base 10 digits (0 through 9) Non-alphabetic characters (for example, !, $, #, %) Complexity requirements are enforced when passwords are changed or created. Default: Enabled on domain controllers. Disabled on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. |
1905 | Ukládat hesla pomocí reverzibilního šifrování
Toto nastavení zabezpečení určuje, zda operační systém ukládá hesla pomocí reverzibilního šifrování. Tato zásada poskytuje podporu aplikací používajících protokoly, které vyžadují znalost hesla pro účely ověření. Ukládání hesel pomocí reverzibilního šifrování je v podstatě stejné jako uložení hesel ve formě prostého textu. Z tohoto důvodu by tato zásada neměla být nikdy povolena, pokud požadavky aplikace nepřevažují nad potřebou ochrany hesel. Tato zásada je vyžadována při použití ověřování pomocí protokolu CHAP (Challenge-Handshake Authentication Protocol) prostřednictvím vzdáleného přístupu nebo služeb IAS (Internet Authentication Services). Je také zapotřebí při ověřování algoritmem Digest u Internetové informační služby (IIS). Výchozí nastavení: Zakázáno. |
Store passwords using reversible encryption
This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Default: Disabled. |
1906 | Doba uzamčení účtu
Toto nastavení zabezpečení určuje počet minut, po které zůstává uzamčený účet uzamčen, než je automaticky odemčen. Lze nastavit dobu v rozsahu 0 až 99 999 minut. Při nastavení hodnoty 0 bude účet uzamčen tak dlouho, dokud jej správce explicitně neodemkne. Pokud je definována prahová hodnota pro uzamčení účtu, musí být doba uzamčení účtu větší nebo stejná jako doba obnovení. Výchozí hodnota: Žádná, protože nastavení této zásady má smysl pouze při zadané prahové hodnotě pro uzamčení účtu. |
Account lockout duration
This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1907 | Prahová hodnota pro uzamčení účtu
Toto nastavení zabezpečení určuje počet neúspěšných pokusů o přihlášení, po kterém je uživatelský účet uzamčen. Uzamčený účet není možné použít, dokud ho správce neodemkne nebo dokud nevyprší doba trvání uzamčení účtu. Můžete nastavit hodnotu mezi 0 a 999 neúspěšnými pokusy o přihlášení. Pokud nastavíte hodnotu 0, účet nebude uzamčen nikdy. Jako neúspěšné pokusy o přihlášení se počítají i neúspěšné pokusy o zadání hesla na pracovních stanicích či členských serverech, které byly uzamčeny stisknutím kombinace kláves Ctrl+Alt+Delete nebo šetřičem obrazovky chráněným heslem. Výchozí hodnota: 0. |
Account lockout threshold
This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts. Default: 0. |
1908 | Vynulovat čítač uzamčení účtu po
Toto nastavení zabezpečení určuje počet minut, které musí po neúspěšném pokusu o přihlášení uplynout, než se čítač neúspěšných pokusů o přihlášení znovu nastaví na hodnotu 0. Možný rozsah je od 1 do 99 999 minut. Tato doba vynulování musí být menší nebo rovna prahové hodnotě pro uzamčení účtu, je-li definována. Výchozí hodnota: Žádná, protože nastavení této zásady má smysl pouze při zadané prahové hodnotě pro uzamčení účtu. |
Reset account lockout counter after
This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes. If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified. |
1909 | Vynutit omezení přihlášení uživatele
Toto nastavení zabezpečení určuje, zda služba KDC protokolu Kerberos V5 ověří platnost každého požadavku na lístek relace podle zásad uživatelských práv uživatelského účtu. Ověření platnosti každého požadavku na lístek relace je volitelné, protože tento mimořádný krok je časově náročný a může zpomalit síťový přístup ke službám. Výchozí hodnota: Povoleno. |
Enforce user logon restrictions
This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services. Default: Enabled. |
1910 | Maximální doba platnosti lístku služby
Toto nastavení zabezpečení určuje maximální dobu (v minutách), po kterou může být lístek udělený relaci použit pro přístup k určité službě. Hodnota tohoto nastavení musí být větší než 10 minut a menší nebo rovna hodnotě nastavení Maximální doba platnosti lístku uživatele. Pokud klient požaduje připojení k serveru na základě lístku relace, jehož platnost vypršela, vrátí server chybovou zprávu. Klient musí požádat službu KDC Kerberos V5 o nový lístek relace. Jakmile je však připojení ověřeno, nezáleží již na tom, zda je lístek stále platný. Lístky relací se používají pouze k ověření nových připojení k serverům. Pokud během připojení platnost lístku relace použitého k ověření dané relace vyprší, nejsou pobíhající operace přerušeny. Výchozí hodnota: 600 minut (10 hodin). |
Maximum lifetime for service ticket
This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket. If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection. Default: 600 minutes (10 hours). |
1911 | Maximální doba platnosti lístku uživatele
Toto nastavení zabezpečení určuje maximální dobu (v hodinách), po kterou lze použít lístek TGT uživatele. Výchozí hodnota: 10 hodin. |
Maximum lifetime for user ticket
This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used. Default: 10 hours. |
1912 | Maximální doba platnosti pro obnovení lístku uživatele
Toto nastavení zabezpečení určuje maximální dobu (ve dnech), po kterou lze lístek TGT uživatele obnovit. Výchozí hodnota: 7 dní. |
Maximum lifetime for user ticket renewal
This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed. Default: 7 days. |
1913 | Maximální tolerance synchronizace hodin počítače
Toto nastavení zabezpečení určuje maximální časový rozdíl (v minutách) mezi časem hodin klienta a časem řadiče domény se systémem Windows Server 2003 zajišťujícím ověření protokolem Kerberos, který protokol Kerberos V5 toleruje. Protokol Kerberos V5 používá časová razítka jako součást definice protokolu, aby zabránil útokům opakováním. Správné fungování časových razítek vyžaduje, aby byly hodiny klienta a řadiče domény co nejlépe synchronizovány. Jinak řečeno, v obou počítačích musí být nastaveno stejné datum a stejný čas. Vzhledem k tomu, že hodiny dvou počítačů nejsou často synchronizovány, může správce na základě této zásady nastavit maximální přijatelný rozdíl mezi hodinami klienta a řadiče domény pro protokol Kerberos V5. Pokud je rozdíl mezi hodinami klienta a řadiče domény menší než maximální časový rozdíl zadaný v této zásadě, každé časové razítko použité v relaci mezi těmito dvěma počítači je považováno za autentické. Důležité Na platformách předcházejících systému Vista není toto nastavení trvalé. Pokud toto nastavení nakonfigurujete a poté počítač restartujete, vrátí se toto nastavení zpět na výchozí hodnotu. Výchozí hodnota: 5 minut. |
Maximum tolerance for computer clock synchronization
This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication. To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic. Important This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value. Default: 5 minutes. |
1914 | Auditovat události přihlášení k účtu
Toto nastavení zabezpečení určuje, zda operační systém audituje každé ověření platnosti pověření účtu v počítači. Události přihlášení k účtu jsou generovány, kdykoli počítač ověřuje pověření účtu, pro který je autoritativní. Členové domény a počítače, které nejsou připojeny k doméně, jsou autoritativní pro své místní účty; ověření platnosti pověření může být potvrzením místního přihlášení nebo (v případě účtu domény služby Active Directory v řadiči domény) může potvrzovat přihlášení k jinému počítači. Ověření platnosti pověření je bezstavové, proto u událostí přihlášení k účtu neexistuje odpovídající událost odhlášení. Pokud je definováno toto nastavení zásad, může správce určit, zda se budou auditovat pouze úspěšné pokusy, pouze neúspěšné pokusy, úspěšné i neúspěšné pokusy, nebo zda se tyto události nebudou auditovat vůbec (tj. ani úspěšné, ani neúspěšné pokusy). Výchozí hodnoty v klientských edicích: Ověření pověření: Bez auditování Operace lístku služby Kerberos: Bez auditování Jiné události přihlášení účtu: Bez auditování Ověřovací služba protokolu Kerberos: Bez auditování Výchozí hodnoty v serverových edicích: Ověření pověření: Úspěšné pokusy Operace lístku služby Kerberos: Úspěšné pokusy Jiné události přihlášení účtu: Bez auditování Ověřovací služba protokolu Kerberos: Úspěšné pokusy Důležité: Pokud potřebujete větší kontrolu nad zásadami auditování, použijte nastavení v uzlu Upřesnit konfiguraci zásad auditování. Další informace o uzlu Upřesnit konfiguraci zásad auditování naleznete na webu https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account logon events
This security setting determines whether the OS audits each time this computer validates an account’s credentials. Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Credential Validation: No Auditing Kerberos Service Ticket Operations: No Auditing Other Account Logon Events: No Auditing Kerberos Authentication Service: No Auditing Default values on Server editions: Credential Validation: Success Kerberos Service Ticket Operations: Success Other Account Logon Events: No Auditing Kerberos Authentication Service: Success Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1915 | Auditovat správu účtů
Toto nastavení zabezpečení určuje, zda se bude auditovat každá událost správy účtů v počítači. Příklady událostí správy účtů zahrnují: Je vytvořen, změněn nebo odstraněn uživatelský účet nebo skupina. Uživatelský účet je přejmenován, zakázán nebo povolen. Je nastaveno nebo změněno heslo. Pokud definujete toto nastavení zásad, můžete určit, zda se budou auditovat úspěšné pokusy, neúspěšně pokusy, nebo zda se tento typ události nebude auditovat vůbec. Audity úspěšných pokusů generují položku auditu v případě, že je jakákoli událost správy účtů úspěšná. Audity neúspěšných pokusů generují položku auditu v případě, že je jakákoli událost správy účtů neúspěšná. Chcete-li tuto položku nastavit na hodnotu Bez auditování, zaškrtněte v dialogovém okně Vlastnosti tohoto nastavení políčko Definovat toto nastavení zásad a zrušte zaškrtnutí políček Úspěšné pokusy a Neúspěšné pokusy. Výchozí hodnoty v klientských edicích: Správa uživatelských účtů: Úspěšné pokusy Správa účtů počítače: Bez auditu Správa skupin zabezpečení: Úspěšné pokusy Správa distribučních skupin: Bez auditu Správa skupin aplikací: Bez auditu Jiné události správy účtů: Bez auditu Výchozí hodnoty v serverových edicích: Správa uživatelských účtů: Úspěšné pokusy Správa účtů počítače: Úspěšné pokusy Správa skupin zabezpečení: Úspěšné pokusy Správa distribučních skupin: Bez auditu Správa skupin aplikací: Bez auditu Jiné události správy účtů: Bez auditu Důležité: Pokud potřebujete větší kontrolu nad zásadami auditování, použijte nastavení v uzlu Upřesnit konfiguraci zásad auditování. Další informace o uzlu Upřesnit konfiguraci zásad auditování naleznete na webu https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit account management
This security setting determines whether to audit each event of account management on a computer. Examples of account management events include: A user account or group is created, changed, or deleted. A user account is renamed, disabled, or enabled. A password is set or changed. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default values on Client editions: User Account Management: Success Computer Account Management: No Auditing Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Default values on Server editions: User Account Management: Success Computer Account Management: Success Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1916 | Auditovat přístup k adresářové službě
Toto nastavení zabezpečení určuje, zda bude operační systém auditovat pokusy uživatele o přístup k objektům služby Active Directory. Audit je generován pouze u objektů, které mají zadány seznamy řízení auditování přístupu (SACL), a pouze v případě, že se požadovaný typ přístupu (zápis, čtení nebo změna) a účet provádějící žádost shodují s nastavením v seznamu SACL. Správce může určit, zda se budou auditovat pouze úspěšné pokusy, pouze neúspěšné pokusy, úspěšné i neúspěšné pokusy, nebo zda se tyto události nebudou auditovat vůbec (tj. ani úspěšné, ani neúspěšné pokusy). Pokud je povoleno auditování úspěšných pokusů, je generována položka auditování při úspěšném přístupu účtu k objektu adresáře, pro který je zadán odpovídající seznam SACL. Je-li povoleno auditování neúspěšných pokusů, je generována položka auditování při neúspěšném přístupu uživatele k objektu adresáře, pro který je zadán odpovídající seznam SACL. Výchozí hodnoty v klientských edicích: Přístup k adresářové službě: Bez auditování Změny adresářové služby: Bez auditování Replikace adresářové služby: Bez auditování Podrobná replikace adresářové služby: Bez auditování Výchozí hodnoty v serverových edicích: Přístup k adresářové službě: Úspěšné pokusy Změny adresářové služby: Bez auditování Replikace adresářové služby: Bez auditování Podrobná replikace adresářové služby: Bez auditování Důležité: Pokud potřebujete větší kontrolu nad zásadami auditování, použijte nastavení v uzlu Upřesnit konfiguraci zásad auditování. Další informace o uzlu Upřesnit konfiguraci zásad auditování naleznete na webu https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit directory service access
This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified. Default values on Client editions: Directory Service Access: No Auditing Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Default values on Server editions: Directory Service Access: Success Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1917 | Auditovat události přihlášení
Toto nastavení zabezpečení určuje, zda má operační systém auditovat jednotlivé instance pokusu uživatele o přihlášení k počítači nebo odhlášení od něj. Události odhlášení jsou generovány při ukončení relace přihlášeného uživatelského účtu. Pokud je definováno toto nastavení zásad, může správce určit, zda se budou auditovat pouze úspěšné pokusy, pouze neúspěšné pokusy, úspěšné i neúspěšné pokusy, nebo zda se tyto události nebudou auditovat vůbec (tj. ani úspěšné, ani neúspěšné pokusy). Výchozí hodnoty v klientských edicích: Přihlášení: Úspěšné pokusy Odhlášení: Úspěšné pokusy Uzamčení účtu: Úspěšné pokusy Hlavní režim protokolu IPsec: Bez auditování Rychlý režim protokolu IPsec: Bez auditování Rozšířený režim protokolu IPsec: Bez auditování Zvláštní přihlášení: Úspěšné pokusy Jiné události přihlášení nebo odhlášení: Bez auditování Server NPS (Network Policy Server): Úspěšné pokusy, Neúspěšné pokusy Výchozí hodnoty v serverových edicích: Přihlášení: Úspěšné pokusy, Neúspěšné pokusy Odhlášení: Úspěšné pokusy Uzamčení účtu: Úspěšné pokusy Hlavní režim protokolu IPsec: Bez auditování Rychlý režim protokolu IPsec: Bez auditování Rozšířený režim protokolu IPsec: Bez auditování Zvláštní přihlášení: Úspěšné pokusy Jiné události přihlášení nebo odhlášení: Bez auditování Server NPS (Network Policy Server): Úspěšné pokusy, Neúspěšné pokusy Důležité: Pokud potřebujete větší kontrolu nad zásadami auditování, použijte nastavení v uzlu Upřesnit konfiguraci zásad auditování. Další informace o uzlu Upřesnit konfiguraci zásad auditování naleznete na webu https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit logon events
This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer. Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Logon: Success Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Default values on Server editions: Logon: Success, Failure Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1918 | Auditovat přístup k objektům
Toto nastavení zabezpečení určuje, zda bude operační systém auditovat pokusy uživatelů o přístup k objektům mimo službu Active Directory. Audit je generován pouze u objektů, které mají zadány seznamy řízení auditování přístupu (SACL), a pouze v případě, že se požadovaný typ přístupu (zápis, čtení nebo změna) a účet provádějící žádost shodují s nastavením v seznamu SACL. Správce může určit, zda se budou auditovat pouze úspěšné pokusy, pouze neúspěšně pokusy, úspěšné i neúspěšné pokusy, nebo zda se tyto události nebudou auditovat vůbec (tj. ani úspěšné, ani neúspěšné pokusy). Pokud je povoleno auditování úspěšných pokusů, je generována položka auditu při úspěšném přístupu účtu k objektu mimo adresář, pro který je zadán příslušný seznam SACL. Je-li povoleno auditování neúspěšných pokusů, je generována položka auditu při neúspěšném přístupu uživatele k objektu mimo adresář, pro který je zadán příslušný seznam SACL. Seznam řízení auditování přístupu (SACL) pro objekt systému souborů můžete nastavit na kartě Zabezpečení v dialogovém okně Vlastnosti daného objektu. Výchozí nastavení: Bez auditování. Důležité: Pokud potřebujete větší kontrolu nad zásadami auditování, použijte nastavení v uzlu Upřesnit konfiguraci zásad auditování. Další informace o uzlu Upřesnit konfiguraci zásad auditování naleznete na webu https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit object access
This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified. Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box. Default: No auditing. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1919 | Auditovat změny zásad
Toto nastavení zabezpečení určuje, zda bude operační systém auditovat jednotlivé instance pokusů o změnu zásad přiřazení uživatelských práv, zásad auditu, zásad účtů nebo zásad důvěryhodnosti. Správce může určit, zda se budou auditovat pouze úspěšné pokusy, pouze neúspěšně pokusy, úspěšné i neúspěšné pokusy, nebo zda se tyto události nebudou auditovat vůbec (tj. ani úspěšné, ani neúspěšné pokusy). Pokud je povoleno auditování úspěšných pokusů, je generována položka auditu v případě, že je úspěšně provedena změna zásad přiřazení uživatelských práv, zásad auditu nebo zásad důvěryhodnosti. Je-li povoleno auditování neúspěšných pokusů, je generována položka auditu v případě, že se o změnu zásad přiřazení uživatelských práv, zásad auditu nebo zásad důvěryhodnosti pokusí účet, který není k provedení požadované změny zásad oprávněn. Výchozí nastavení: Změna zásad auditu: Úspěšné pokusy Změna zásad ověřování: Úspěšné pokusy Změna zásad autorizace: Bez auditování Změna zásad úrovně pravidla MPSSVC: Bez auditování Změna zásad platformy Filtering Platform: Bez auditování Jiné události změny zásad: Bez auditování Důležité: Pokud potřebujete větší kontrolu nad zásadami auditování, použijte nastavení v uzlu Upřesnit konfiguraci zásad auditování. Další informace o uzlu Upřesnit konfiguraci zásad auditování naleznete na webu https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit policy change
This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful. If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change. Default: Audit Policy Change: Success Authentication Policy Change: Success Authorization Policy Change: No Auditing MPSSVC Rule-Level Policy Change: No Auditing Filtering Platform Policy Change: No Auditing Other Policy Change Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1920 | Auditovat používání oprávnění
Toto nastavení zabezpečení určuje, zda se má auditovat každé použití uživatelských práv uživatelem. Pokud definujete toto nastavení zásad, můžete určit, zda se budou auditovat úspěšné pokusy, neúspěšně pokusy, nebo zda se tento typ události nebude auditovat vůbec. Audity úspěšných pokusů generují položku auditu v případě, že je použití uživatelských práv úspěšné. Audity neúspěšných pokusů generují položku auditu v případě, že se použití uživatelských práv nezdaří. Chcete-li tuto položku nastavit na hodnotu Bez auditování, zaškrtněte v dialogovém okně Vlastnosti tohoto nastavení políčko Definovat toto nastavení zásad a zrušte zaškrtnutí políček Úspěšné pokusy a Neúspěšné pokusy. Výchozí nastavení: Bez auditování. Při použití následujících uživatelských práv nejsou audity generovány ani v případě, že jsou v nastavení Auditovat používání oprávnění zadány audity úspěšných či neúspěšných pokusů. Povolení auditování těchto uživatelských práv směřuje ke generování velkého počtu událostí v protokolu zabezpečení, což může snižovat výkon počítače. Chcete-li auditovat následující uživatelská práva, povolte klíč registru FullPrivilegeAuditing. Nepoužívat kontrolu procházení Ladit programy Vytvořit objekt tokenu Nahradit token na úrovni procesu Generovat audity zabezpečení Zálohovat soubory a adresáře Obnovit soubory a adresáře Upozornění Nesprávná úprava registru může vážně poškodit systém. Před provedením změn registru byste měli zazálohovat všechna důležitá data v počítači. Důležité: Pokud potřebujete větší kontrolu nad zásadami auditování, použijte nastavení v uzlu Upřesnit konfiguraci zásad auditování. Další informace o uzlu Upřesnit konfiguraci zásad auditování naleznete na webu https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit privilege use
This security setting determines whether to audit each instance of a user exercising a user right. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default: No auditing. Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key. Bypass traverse checking Debug programs Create a token object Replace process level token Generate security audits Back up files and directories Restore files and directories Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1921 | Auditovat sledování procesů
Toto nastavení zabezpečení určuje, zda bude operační systém auditovat události související s procesy, jako jsou vytvoření procesu, ukončení procesu, duplikace popisovače a nepřímý přístup k objektu. Pokud je definováno toto nastavení zásad, může správce určit, zda se budou auditovat pouze úspěšné pokusy, pouze neúspěšné pokusy, úspěšné i neúspěšné pokusy, nebo zda se tyto události nebudou auditovat vůbec (tj. ani úspěšné, ani neúspěšné pokusy). Pokud je povoleno auditování úspěšných pokusů, je generována položka auditu v případě, že operační systém provede jednu z těchto aktivit spojených s procesy. Je-li povoleno auditování neúspěšných pokusů, je generována položka auditu v případě, že se provedení jedné z těchto aktivit v operačním systému nezdaří. Výchozí nastavení: Bez auditování Důležité: Pokud potřebujete větší kontrolu nad zásadami auditování, použijte nastavení v uzlu Upřesnit konfiguraci zásad auditování. Další informace o uzlu Upřesnit konfiguraci zásad auditování naleznete na webu https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit process tracking
This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities. If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities. Default: No auditing\r Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1922 | Auditovat systémové události
Toto nastavení zabezpečení určuje, zda bude operační systém auditovat některé z následujících událostí: • Pokus o změnu systémového času • Pokus o spuštění nebo vypnutí systému zabezpečení • Pokus o zavedení rozšiřitelných komponent ověřování • Ztráta auditovaných událostí z důvodu chyby systému auditování • Překročení konfigurovatelné prahové úrovně velikosti pro upozornění u protokolu zabezpečení. Pokud je definováno toto nastavení zásad, může správce určit, zda se budou auditovat pouze úspěšné pokusy, pouze neúspěšně pokusy, úspěšné i neúspěšné pokusy, nebo zda se tyto události nebudou auditovat vůbec (tj. ani úspěšné, ani neúspěšné pokusy). Pokud je povoleno auditování úspěšných pokusů, je generována položka auditu v případě, že operační systém provede jednu z těchto aktivit úspěšně. Je-li povoleno auditování neúspěšných pokusů, je generována položka auditu v případě, že se pokus operačního systému o provedení jedné z těchto aktivit nezdaří. Výchozí nastavení: Změna stavu zabezpečení: Úspěšné pokusy Rozšíření systému zabezpečení: Bez auditování Integrita systému Úspěšné pokusy, Neúspěšné pokusy Ovladač protokolu IPsec: Bez auditování Jiné systémové události: Úspěšné pokusy, Neúspěšné pokusy Důležité: Pokud potřebujete větší kontrolu nad zásadami auditování, použijte nastavení v uzlu Upřesnit konfiguraci zásad auditování. Další informace o uzlu Upřesnit konfiguraci zásad auditování naleznete na webu https://go.microsoft.com/fwlink/?LinkId=140969. |
Audit system events
This security setting determines whether the OS audits any of the following events: • Attempted system time change • Attempted security system startup or shutdown • Attempt to load extensible authentication components • Loss of audited events due to auditing system failure • Security log size exceeding a configurable warning threshold level. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully. If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities. Default: Security State Change Success Security System Extension No Auditing System Integrity Success, Failure IPsec Driver No Auditing Other System Events Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969. |
1923 | Přistupovat k tomuto počítači přes síť
Toto uživatelské právo určuje, kterým uživatelům a skupinám je povoleno připojit se k tomuto počítači přes síť. Terminálové služby nejsou tímto uživatelským právem ovlivněny. Poznámka: Vzdálená plocha se předchozích verzích systémů Windows Server nazývala Terminálová služba. Výchozí hodnota v pracovních stanicích a na serverech: Administrators Backup Operators Users Everyone Výchozí hodnota v řadičích domén: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access |
Access this computer from the network
This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default on workstations and servers: Administrators Backup Operators Users Everyone Default on domain controllers: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access |
1924 | Jednat jako součást operačního systému
Toto uživatelské právo umožňuje procesu zosobnit libovolného uživatele bez ověřování. Tento proces může tedy získat přístup ke stejným místním prostředkům jako daný uživatel. Procesy, které toto oprávnění vyžadují, by měly používat účet LocalSystem, který již toto oprávnění obsahuje, místo samostatného uživatelského účtu, k němuž je toto oprávnění mimořádně přiřazeno. Pokud vaše organizace používá pouze servery řady Windows Server 2003, není třeba toto oprávnění uživatelům přiřazovat. Pokud však organizace používá servery se systémem Windows 2000 nebo Windows NT 4.0, bude pravděpodobně nutné toto oprávnění přiřadit, aby bylo umožněno použití aplikací, které si předávají nešifrovaná hesla. Upozornění Přiřazení tohoto uživatelského práva může znamenat bezpečnostní riziko. Toto uživatelské právo přiřazujte pouze důvěryhodným uživatelům. Výchozí hodnota: Žádné. |
Act as part of the operating system
This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: None. |
1925 | Přidat pracovní stanice do domény
Toto nastavení zabezpečení určuje, které skupiny nebo uživatelé mohou do domény přidat pracovní stanice. Toto nastavení zabezpečení je platné pouze v řadičích domény. Ve výchozím nastavení má toto oprávnění každý ověřený uživatel a může v doméně vytvořit až 10 účtů počítačů. Přidání účtu počítače do domény umožní počítači stát se účastníkem sítě založené na službě Active Directory. Přidání pracovní stanice do domény umožní pracovní stanici rozpoznat účty a skupiny, které existují ve službě Active Directory. Výchozí nastavení: V řadičích domény – Authenticated Users Poznámka: Uživatelé, kteří mají oprávnění Vytvářet objekty počítačů v kontejneru počítačů služby Active Directory, mohou také vytvářet počítačové účty v doméně. Výhodou je, že uživatelé s oprávněními v kontejneru nejsou omezeni na vytvoření maximálně 10 počítačových účtů. Vlastníkem počítačových účtů vytvořených pomocí oprávnění Přidat pracovní stanice do domény je skupina Domain Administrators, zatímco vlastníkem počítačových účtů vytvořených pomocí oprávnění v kontejneru počítačů je jejich tvůrce. Pokud má uživatel oprávnění ke kontejneru a zároveň uživatelské právo Přidat pracovní stanice do domény, je počítač přidán na základě oprávnění kontejneru počítačů a ne na základě uživatelského práva. |
Add workstations to domain
This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right. |
1926 | Upravit kvóty paměti pro proces
Toto oprávnění určuje, kdo může změnit maximální množství paměti, které může jeden proces využít. Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů. Poznámka: Toto oprávnění je užitečné pro ladění systému, ale je možné ho zneužít například k útoku na dostupnost služby (DOS). Výchozí hodnota: Administrators Local Service Network Service. |
Adjust memory quotas for a process
This privilege determines who can change the maximum memory that can be consumed by a process. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack. Default: Administrators Local Service Network Service. |
1927 | Povolit místní přihlášení
Určuje, kteří uživatelé se mohou přihlásit k počítači. Důležité informace Změna tohoto nastavení může ovlivnit kompatibilitu s klienty, službami a aplikacemi. Informace o kompatibilitě v souvislosti s tímto nastavením získáte v článku týkajícím se povolení místního přihlášení (https://go.microsoft.com/fwlink/?LinkId=24268) na webu společnosti Microsoft. Výchozí hodnota: • V pracovních stanicích a na serverech: Administrators, Backup Operators, Power Users, Users a Guest. • V řadičích domén: Account Operators, Administrators, Backup Operators a Print Operators. |
Log on locally
Determines which users can log on to the computer. Important Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website. Default: • On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest. • On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators. |
1928 | Povolit přihlášení prostřednictvím Vzdálené plochy
Toto nastavení zabezpečení určuje, kteří uživatelé či skupiny mají oprávnění k přihlášení jako klient Vzdálené plochy. Výchozí nastavení: Na pracovní stanici a serverech: Administrators, Remote Desktop Users. V řadičích domén: Administrators. Důležité Toto nastavení nemá žádný vliv na počítače se systémem Windows 2000, do kterých nebyla nainstalována aktualizace Service Pack 2. |
Allow log on through Remote Desktop Services
This security setting determines which users or groups have permission to log on as a Remote Desktop Services client. Default: On workstation and servers: Administrators, Remote Desktop Users. On domain controllers: Administrators. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1929 | Zálohovat soubory a adresáře
Toto uživatelské právo určuje, kteří uživatelé mohou nepoužívat registr souborů a adresářů a další stálá oprávnění k objektům za účelem zálohování systému. Toto uživatelské právo se podobá udělení následujících oprávnění příslušnému uživateli či skupině uživatelů ke všem souborům a složkám v systému: Procházet složkou/Spouštět soubory Zobrazovat obsah složky/Číst data Číst atributy Číst rozšířené atributy Číst oprávnění Upozornění Přiřazení tohoto uživatelského práva může znamenat bezpečnostní riziko. Vzhledem k tomu, že není možno ověřit, zda uživatel data zálohuje, krade nebo kopíruje k dalšímu rozšíření, přiřaďte toto uživatelské právo pouze důvěryhodným uživatelům. Výchozí hodnota v pracovních stanicích a serverech: Administrators Backup Operators. Výchozí hodnota v řadičích domény:Administrators Backup Operators Server Operators |
Back up files and directories
This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Read Permissions Caution Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users. Default on workstations and servers: Administrators Backup Operators. Default on domain controllers:Administrators Backup Operators Server Operators |
1930 | Nepoužívat kontrolu procházení
Toto uživatelské právo určuje, kteří uživatelé mohou procházet adresářový strom i přesto, že k procházenému adresáři nemusejí mít oprávnění. Toto oprávnění nepovoluje uživateli zobrazit obsah adresáře, může pouze adresáře procházet. Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů. Výchozí hodnota v pracovních stanicích a na serverech: Administrators Backup Operators Users Everyone Local Service Network Service Výchozí hodnota v řadičích domén: Administrators Authenticated Users Everyone Local Service Network Service Přístup kompatibilní se staršími verzemi systému než Windows 2000 |
Bypass traverse checking
This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Backup Operators Users Everyone Local Service Network Service Default on domain controllers: Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access |
1931 | Změnit systémový čas
Toto uživatelské právo určuje, kteří uživatelé a skupiny mohou změnit čas a datum vnitřních hodin počítače. Uživatelé, kterým je toto právo uživatele přiřazeno, mohou ovlivnit vzhled protokolů událostí. Pokud je systémový čas změněn, budou události do protokolu zaznamenány s tímto novým časem, nikoli s časem, kdy se skutečně staly. Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů. Výchozí hodnota v pracovních stanicích a serverech: Administrators Local Service Výchozí hodnota v řadičích domény: Administrators Server Operators Local Service |
Change the system time
This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Local Service Default on domain controllers: Administrators Server Operators Local Service |
1932 | Vytvořit stránkovací soubor
Toto uživatelské právo určuje, kteří uživatelé a skupiny mohou volat vnitřní rozhraní API, aby vytvořili stránkovací soubor a změnili jeho velikost. Toto uživatelské právo je používáno vnitřně operačním systémem a obvykle ho není třeba žádným uživatelům přiřazovat. Informace o tom, jak zadat velikost stránkovacího souboru pro danou jednotku, naleznete v části Změnit velikost stránkovacího souboru virtuální paměti. Výchozí nastavení: Administrators. |
Create a pagefile
This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users. For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file. Default: Administrators. |
1933 | Vytvořit objekt tokenu
Toto nastavení zabezpečení určuje, které účty mohou procesy použít při vytváření tokenu. Pomocí tohoto tokenu lze potom získat přístup ke všem místní prostředkům, když proces vytváří přístupový token pomocí vnitřního rozhraní API. Toto uživatelské právo je používáno vnitřně operačním systémem. Pokud to není nutné, nepřiřazujte toto uživatelské právo jinému uživateli, jiné skupině ani jinému procesu než Místní systém. Upozornění Přiřazení tohoto uživatelského práva může znamenat bezpečnostní riziko. Nepřiřazujte toto uživatelské právo žádnému uživateli, skupině ani procesu, kterému nechcete povolit převzetí řízení systému. Výchozí hodnota: Žádné. |
Create a token object
This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token. This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default: None |
1934 | Vytvářet globální objekty
Toto uživatelské právo určuje, zda mohou uživatelé vytvářet globální objekty dostupné ve všech relacích. Pokud uživatelé toto právo nemají, mohou vytvářet objekty specifické pro jejich vlastní relace. Uživatelé, kteří mohou vytvářet globální objekty, mohou ovlivnit procesy spuštěné v relacích jiných uživatelů. Tato skutečnost může vést k chybě aplikace nebo poškození dat. Upozornění Přiřazení tohoto uživatelského práva může znamenat bezpečnostní riziko. Toto uživatelské právo přiřaďte pouze důvěryhodným uživatelům. Výchozí hodnota: Administrators Local Service Network Service Service |
Create global objects
This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption. Caution Assigning this user right can be a security risk. Assign this user right only to trusted users. Default: Administrators Local Service Network Service Service |
1935 | Vytvářet stálé sdílené objekty
Toto uživatelské právo určuje, pomocí kterých účtů mohou procesy vytvořit objekt adresáře ve správci objektů. Toto uživatelské právo je používáno interně operačním systémem a je užitečné pro součásti režimu jádra, které rozšiřují obor názvů objektů. Vzhledem k tomu, že součástem spuštěným v režimu jádra je již toto uživatelské právo přiřazeno, není třeba ho přiřazovat konkrétně. Výchozí hodnota: Žádné. |
Create permanent shared objects
This user right determines which accounts can be used by processes to create a directory object using the object manager. This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it. Default: None. |
1936 | Ladit programy
Toto uživatelské právo určuje, kteří uživatelé mohou k libovolnému procesu nebo k jádru připojit ladicí program. Vývojáři, kteří ladí svoje vlastní aplikace, toto uživatelské právo nepotřebují. Vývojáři, kteří ladí nové součásti systému, budou toto uživatelské právo potřebovat. Toto uživatelské právo poskytuje úplný přístup k citlivým a kritickým součástem operačního systému. Upozornění Přiřazení tohoto uživatelského práva může znamenat bezpečnostní riziko. Toto uživatelské právo přiřazujte pouze důvěryhodným uživatelům. Výchozí hodnota: Administrators |
Debug programs
This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators |
1937 | Odepřít přístup k tomuto počítači ze sítě
Toto nastavení zabezpečení určuje, kterým uživatelům je zabráněno v přístupu k počítači přes síť. Toto nastavení nahrazuje zásadu Přistupovat k tomuto počítači přes síť, pokud se na uživatele vztahují obě zásady. Výchozí nastavení: Guest |
Deny access to this computer from the network
This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies. Default: Guest |
1938 | Odepřít přihlášení se jako dávková úloha
Toto nastavení zabezpečení určuje, kterým účtům je zabráněno přihlásit se jako dávková úloha. Toto nastavení zásady nahrazuje zásadu Přihlásit jako dávková úloha, pokud se na uživatelský účet vztahují obě zásady. Výchozí nastavení: Žádné. |
Deny log on as a batch job
This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies. Default: None. |
1939 | Odepřít přihlášení se jako služba
Toto nastavení zabezpečení určuje, kterým účtům služeb je znemožněno registrovat proces jako službu. Toto nastavení zásady nahrazuje zásadu Přihlásit jako služba, pokud se na účet vztahují obě zásady. Poznámka: Toto nastavení zabezpečení se nevztahuje na účty System, Local Service ani Network Service. Výchozí hodnota: Žádné. |
Deny log on as a service
This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies. Note: This security setting does not apply to the System, Local Service, or Network Service accounts. Default: None. |
1940 | Odepřít místní přihlášení
Toto nastavení zabezpečení určuje, kterým uživatelům je zabráněno přihlásit se k počítači. Toto nastavení zásady nahrazuje zásadu Povolit místní přihlášení, pokud se na účet vztahují obě zásady. Důležité Pokud tuto zásadu zabezpečení aplikujete na skupinu Everyone, nebude se místně moci přihlásit nikdo. Výchozí hodnota: Žádné. |
Deny log on locally
This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies. Important If you apply this security policy to the Everyone group, no one will be able to log on locally. Default: None. |
1941 | Zakázat přihlášení prostřednictvím Vzdálené plochy
Toto nastavení zabezpečení určuje, kterým uživatelům či skupinám je zakázáno přihlásit se jako klient Vzdálené plochy. Výchozí nastavení: Žádné. Důležité Toto nastavení nemá žádný vliv na počítače se systémem Windows 2000, do kterých nebyla nainstalována aktualizace Service Pack 2. |
Deny log on through Remote Desktop Services
This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client. Default: None. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2. |
1942 | Povolit důvěryhodnost účtů počítačů a uživatelských účtů pro delegování
Toto nastavení zabezpečení určuje, kteří uživatelé mohou měnit nastavení Důvěryhodný k delegování pro objekty uživatelů nebo počítačů. Uživatel nebo objekt, kterému je toto oprávnění přiřazeno, musí mít právo pro zápis řídících příznaků účtu do objektu uživatele nebo počítače. Proces serveru spuštěný v počítači (nebo v uživatelském kontextu), který je důvěryhodný k delegování, může přistupovat k prostředkům jiného počítače pomocí delegovaných pověření klienta, s výjimkou případů, kdy má klientský účet nastaven řídící příznak účtu Účet nelze delegovat. Toto uživatelské právo je definováno v objektu zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů. Upozornění Nesprávné použití tohoto uživatelského práva nebo nastavení Důvěryhodný k delegování může síť vystavit sofistikovaným útokům pomocí trojských koní, které se vydávají za příchozí klienty a používají jejich přihlašovací údaje k získání přístupu k síťovým prostředkům. Výchozí hodnota: V řadičích domény: Administrators. |
Enable computer and user accounts to be trusted for delegation
This security setting determines which users can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Caution Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources. Default: Administrators on domain controllers. |
1943 | Vynutit vypnutí ze vzdáleného počítače
Toto nastavení zabezpečení určuje, kterým uživatelům je povoleno vypnout počítač ze vzdáleného umístění v síti. Nesprávné použití tohoto uživatelského práva může mít za následek nedostupnost služby. Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů. Výchozí nastavení: Na pracovních stanicích a serverech: Administrators. V řadičích domén: Administrators, Server Operators. |
Force shutdown from a remote system
This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default: On workstations and servers: Administrators. On domain controllers: Administrators, Server Operators. |
1944 | Generovat audity zabezpečení
Toto nastavení zabezpečení určuje, které účty mohou procesy použít při přidávání položek do protokolu zabezpečení. Protokol zabezpečení se používá ke sledování neoprávněných přístupů k systému. Nesprávné použití tohoto uživatelského práva může způsobit generování velkého počtu auditovaných událostí a potenciálně skrýt záznam o útoku nebo omezit dostupnost služby, pokud je povoleno nastavení zásad "Audit: Není-li možno protokolovat auditování zabezpečení, vypnout okamžitě systém". Další informace naleznete v části "Audit: Není-li možno protokolovat auditování zabezpečení, vypnout okamžitě systém". Výchozí hodnota: Local Service Network Service. |
Generate security audits
This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits Default: Local Service Network Service. |
1945 | Po ověření zosobnit klienta
Přiřazení tohoto oprávnění uživateli umožní programům spuštěným tímto uživatelem zosobnit klienta. Požadování tohoto uživatelského práva pro tento druh zosobnění brání neoprávněným uživatelům v možnosti přesvědčit klienta, aby se připojil (například vzdáleným voláním procedury (RPC) nebo pojmenovanými kanály) k jimi vytvořené službě a oni potom tohoto klienta zosobnili, což může zvýšit jejich uživatelská oprávnění na úroveň správy nebo systému. Upozornění Přiřazení tohoto uživatelského práva může znamenat bezpečnostní riziko. Toto uživatelské právo přiřazujte pouze důvěryhodným uživatelům. Výchozí hodnota: Administrators Local Service Network Service Service Poznámka: Služby spuštěné Správcem řízení služeb mají ve výchozím nastavení do svých přístupových tokenů přidanou vestavěnou skupinu Service. Servery modelu COM (Component Object Model) spuštěné pomocí infrastruktury modelu COM a nakonfigurované tak, aby se spouštěly pod určitým účtem, mají ke svým přístupovým tokenům také přidanou skupinu Service. V důsledku toho je těmto službám po spuštění přiřazeno toto uživatelské právo. Uživatel může navíc přístupový token zosobnit, pokud je splněna některá z následujících podmínek. Je zosobňován přístupový token pro tohoto uživatele. Uživatel v této relaci přihlášení vytvořil přístupový token přihlášením k síti s explicitním pověřením. Požadovaná úroveň je nižší než Zosobnit, například Anonymní nebo Rozpoznat. Vzhledem k těmto faktorům uživatelé toto uživatelské právo obvykle nepotřebují. Další informace získáte vyhledáním oprávnění SeImpersonatePrivilege v sadě Microsoft Platform SDK. Upozornění Pokud toto nastavení povolíte, programy, které dříve měly oprávnění Zosobnit, jej mohou ztratit a nemusí fungovat. |
Impersonate a client after authentication
Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators Local Service Network Service Service Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started. In addition, a user can also impersonate an access token if any of the following conditions exist. The access token that is being impersonated is for this user. The user, in this logon session, created the access token by logging on to the network with explicit credentials. The requested level is less than Impersonate, such as Anonymous or Identify. Because of these factors, users do not usually need this user right. For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK. Warning If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run. |
1946 | Zvýšit plánovací prioritu
Toto nastavení zabezpečení určuje, které účty mohou použít proces s přístupovým oprávněním Zapsat vlastnost na jiný proces, aby zvýšily prioritu provádění tohoto jiného procesu. Uživatel s tímto oprávněním může pomocí uživatelského rozhraní Správce úloh změnit plánovací prioritu procesu. Výchozí nastavení: Administrators. |
Increase scheduling priority
This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface. Default: Administrators. |
1947 | Načítat a uvolňovat ovladače zařízení
Toto uživatelské právo určuje, kteří uživatelé mohou dynamicky načítat a uvolňovat ovladače zařízení nebo jiný kód do režimu jádra. Toto uživatelské právo se nevztahuje na ovladače zařízení Plug and Play. Doporučujeme toto oprávnění ostatním uživatelům nepřiřazovat. Upozornění Přiřazení tohoto uživatelského práva může znamenat bezpečnostní riziko. Nepřiřazujte toto uživatelské právo žádnému uživateli, skupině ani procesu, kterému nechcete povolit převzetí řízení systému. Výchozí hodnota v pracovních stanicích a na serverech: Administrators. Výchozí hodnota v řadičích domény: Administrators Print Operators |
Load and unload device drivers
This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default on workstations and servers: Administrators. Default on domain controllers: Administrators Print Operators |
1948 | Uzamknout stránky v paměti
Toto nastavení zabezpečení určuje, které účty mohou pomocí procesu uchovat data ve fyzické paměti, což systému zabrání přestránkovat data do virtuální paměti na disku. Uplatnění tohoto oprávnění může výrazně snížit výkon systému snížením množství dostupné paměti RAM. Výchozí nastavení: Žádné. |
Lock pages in memory
This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM). Default: None. |
1949 | Přihlásit jako dávkovou úlohu
Toto nastavení zabezpečení uživateli umožňuje přihlásit se pomocí dávkové fronty a je k dispozici pouze za účelem zajištění kompatibility s předchozími verzemi systému Windows. Pokud například uživatel zadá úlohu pomocí plánovače úloh, plánovač úloh uživatele přihlásí jako dávkového uživatele a nikoli jako interaktivního uživatele. Výchozí hodnota: Administrators Backup Operators. |
Log on as a batch job
This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows. For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user. Default: Administrators Backup Operators. |
1950 | Přihlásit jako službu
Toto nastavení zabezpečení umožňuje přihlášení objektu zabezpečení jako služby. U služeb může být nakonfigurováno spouštění pod účtem Local System, Local Service nebo Network Service, které mají předdefinované právo přihlásit se jako služba. Toto právo je nutné přiřadit jakékoli službě, která je spuštěna pod samostatným uživatelských účtem. Výchozí nastavení: Žádné. |
Log on as a service
This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right. Default setting: None. |
1951 | Spravovat auditování a protokol zabezpečení
Toto nastavení zabezpečení určuje, kteří uživatelé mohou zadávat možnosti auditování přístupu k objektům pro jednotlivé prostředky, jako jsou soubory, objekty služby Active Directory a klíče registru. Toto nastavení zabezpečení obecně neumožňuje uživateli povolit auditování přístupu k souborům a objektům. Má-li být toto auditování povoleno, je třeba nakonfigurovat možnost Auditovat přístup k objektům ve složce Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Zásady auditování. Auditované události lze zobrazit v protokolu zabezpečení pomocí Prohlížeče událostí. Uživatel s takovým oprávněním může také protokol zabezpečení zobrazit nebo vymazat. Výchozí nastavení: Administrators. |
Manage auditing and security log
This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured. You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log. Default: Administrators. |
1952 | Upravit hodnoty prostředí firmwaru
Toto nastavení zabezpečení určuje, kdo může upravovat hodnoty prostředí firmwaru. Proměnné prostředí firmwaru jsou nastavení uložená v permanentní paměti RAM na jiné platformě než x86. Vliv těchto nastavení závisí na procesoru. Na platformě x86 lze přiřazením tohoto oprávnění uživateli upravit pouze jednu hodnotu prostředí firmwaru. Tato hodnota nastavuje poslední známou platnou konfiguraci a měla by být upravována pouze systémem. Na platformě Itanium jsou informace o spouštění uloženy v permanentní paměti RAM. Uživatelé, kteří chtějí spouštět program bootcfg.exe a měnit nastavení Výchozí operační systém v části Spuštění a zotavení systému v dialogovém okně Vlastnosti systému, musí mít přiřazeno toto uživatelské právo. Toto oprávnění je vyžadováno při instalaci nebo upgradu systému Windows v každém počítači. Poznámka: Toto nastavení zabezpečení neurčuje, kdo může upravovat systémové a uživatelské proměnné prostředí zobrazené na kartě Upřesnit v dialogovém okně Vlastnosti systému. Další informace o úpravě těchto proměnných naleznete v části Přidat nebo změnit hodnoty proměnných prostředí. Výchozí hodnota: Administrators. |
Modify firmware environment values
This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor. On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system. On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties. On all computers, this user right is required to install or upgrade Windows. Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables. Default: Administrators. |
1953 | Provést úlohy údržby svazku
Toto nastavení zabezpečení určuje, kteří uživatelé či skupiny mohou spouštět úlohy údržby svazku, například vzdálenou defragmentaci. Toto uživatelské právo přiřazujte opatrně. Uživatelé s tímto uživatelským právem mohou procházet disky a rozšiřovat soubory do paměti, která obsahuje další data. Jsou-li rozšířené soubory otevřeny, uživatel bude moci číst a upravovat získaná data. Výchozí hodnota: Administrators |
Perform volume maintenance tasks
This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation. Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data. Default: Administrators |
1954 | Profilovat jediný proces
Toto nastavení zabezpečení určuje, kteří uživatelé mohou pomocí nástrojů pro sledování výkonu sledovat výkon jiných procesů než systémových. Výchozí hodnota: Administrators, Power Users. |
Profile single process
This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes. Default: Administrators, Power users. |
1955 | Profilovat výkon systému
Toto nastavení zabezpečení určuje, kteří uživatelé mohou pomocí nástrojů pro sledování výkonu sledovat výkon systémových procesů. Výchozí hodnota: Administrators. |
Profile system performance
This security setting determines which users can use performance monitoring tools to monitor the performance of system processes. Default: Administrators. |
1956 | Vyjmout počítač z dokovací stanice
Toto nastavení zabezpečení určuje, zda může uživatel vyjmout přenosný počítač z dokovací stanice bez přihlášení. Je-li tato zásada povolena, uživatel se musí před vyjmutím přenosného počítače z dokovací stanice přihlásit. Je-li tato zásada zakázána, může uživatel vyjmout přenosný počítač z dokovací stanice bez přihlášení. Výchozí hodnota: Administrators, Power Users, Users |
Remove computer from docking station
This security setting determines whether a user can undock a portable computer from its docking station without logging on. If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on. Default: Administrators, Power Users, Users |
1957 | Nahradit token na úrovni procesu
Toto nastavení zabezpečení určuje, které uživatelské účty mohou volat rozhraní CreateProcessAsUser() pro programování aplikací (API) tak, aby jedna služba mohla spustit jinou službu. Příkladem procesu, který využívá toto uživatelské právo, je plánovač úloh. Informace o plánovači úloh naleznete v přehledu plánovače úloh. Výchozí hodnota: Network Service, Local Service. |
Replace a process level token
This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview. Default: Network Service, Local Service. |
1958 | Obnovit soubory a adresáře
Toto nastavení zabezpečení určuje, kteří uživatelé mohou obejít oprávnění souborů, adresářů, registru a dalších stálých objektů při obnovování zálohovaných souborů a adresářů, a určuje, kteří uživatelé mohou nastavit jako vlastníka objektu libovolný platný zaregistrovaný objekt zabezpečení. Toto uživatelské právo se podobá udělení následujících oprávnění příslušnému uživateli či skupině uživatelů ke všem souborům a složkám v systému: Procházet složkou / Spouštět soubory Zapisovat Upozornění Přiřazení tohoto uživatelského práva může znamenat bezpečnostní riziko. Uživatelé s tímto uživatelským právem mohou přepisovat nastavení registru, skrýt data a získat vlastnictví systémových objektů, proto jej přiřazujte pouze důvěryhodným uživatelům. Výchozí hodnota: Pracovní stanice a servery: Administrators, Backup Operators. Řadiče domény: Administrators, Backup Operators, Server Operators. |
Restore files and directories
This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File Write Caution Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users. Default: Workstations and servers: Administrators, Backup Operators. Domain controllers: Administrators, Backup Operators, Server Operators. |
1959 | Vypnout systém
Toto nastavení zabezpečení určuje, kteří uživatelé přihlášení k místnímu počítači mohou vypnout operační systém pomocí příkazu Vypnout. Nesprávné použití tohoto uživatelského práva může mít za následek nedostupnost služby. Výchozí hodnota v pracovních stanicích: Administrators, Backup Operators, Users. Výchozí hodnota na serverech: Administrators, Backup Operators. Výchozí hodnota v řadičích domén: Administrators, Backup Operators, Server Operators, Print Operators. |
Shut down the system
This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service. Default on Workstations: Administrators, Backup Operators, Users. Default on Servers: Administrators, Backup Operators. Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators. |
1960 | Synchronizovat data adresářové služby
Toto nastavení zabezpečení určuje, kteří uživatelé či skupiny mají oprávnění k synchronizaci všech dat adresářové služby. Toto oprávnění je také známo jako synchronizace služby Active Directory. Výchozí nastavení: Žádné. |
Synchronize directory service data
This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization. Defaults: None. |
1961 | Převzít vlastnictví souborů a dalších objektů
Toto nastavení zabezpečení určuje, kteří uživatelé mohou převzít vlastnictví libovolných zabezpečených objektů, včetně objektů služby Active Directory, souborů a složek, tiskáren, klíčů registru, procesů a vláken. Upozornění Přiřazení tohoto uživatelského práva může znamenat bezpečnostní riziko. Protože vlastníci objektů mají úplné řízení objektů, přiřazujte toto uživatelské právo pouze důvěryhodným uživatelům. Výchozí hodnota: Administrators. |
Take ownership of files or other objects
This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. Caution Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users. Default: Administrators. |
1962 | Účty: Stav účtu Administrator
Toto nastavení zabezpečení určuje, je-li povolen nebo zakázán místní účet správce. Poznámky Účet nelze povolit, pokoušíte-li se ho znovu povolit po zákazu a nesplňuje-li aktuální heslo správce požadavky na heslo. V tomto případě je třeba, aby heslo účtu správce obnovil jiný člen skupiny Administrators. Informace o obnovení hesla naleznete v části Obnovit heslo. Zákaz účtu správce může za určitých okolností vést k potížím s údržbou. Po spuštění v nouzovém režimu bude zakázaný účet správce povolen pouze v případě, že počítač není připojen k doméně a že neexistují žádné další aktivní účty správce. Pokud je počítač připojen k doméně, nebude zakázaný účet správce povolen. Výchozí nastavení: Zakázáno. |
Accounts: Administrator account status
This security setting determines whether the local Administrator account is enabled or disabled. Notes If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password. Disabling the Administrator account can become a maintenance issue under certain circumstances. Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled. Default: Disabled. |
1963 | Účty: Stav účtu Guest
Toto nastavení zabezpečení určuje, je-li povolen nebo zakázán účet Guest. Výchozí nastavení: Zakázáno. Poznámka: Je-li účet Guest zakázán a možnost zabezpečení Přístup k síti: Model sdílení a zabezpečení místních účtů je nastavena na hodnotu Pouze účet Guest, přihlášení k síti, například pomocí serveru Microsoft Network Server (služba SMB), se nezdaří. |
Accounts: Guest account status
This security setting determines if the Guest account is enabled or disabled. Default: Disabled. Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail. |
1964 | Účty: Omezit použití prázdného hesla místního účtu pouze pro přihlášení ke konzole
Toto nastavení zabezpečení určuje, zda bude možné místní účty nechráněné heslem použít k přihlášení z jiného umístění než z fyzické konzoly počítače. Je-li toto nastavení povoleno, bude možné se k místním účtům nechráněným heslem přihlásit pouze z klávesnice příslušného počítače. Výchozí hodnota: Povoleno. Upozornění Počítače, které nejsou ve fyzicky zabezpečeném umístění, by měly vždy vyžadovat zásady silných hesel pro všechny místní uživatelské účty. Jinak se může k počítači přihlásit kdokoli, kdo má k počítači fyzický přístup, pomocí uživatelského účtu, který nemá heslo. To je důležité zejména u přenosných počítačů. Pokud tuto zásadu zabezpečení aplikujete na skupinu Everyone, nikdo se nebude moci přihlásit pomocí Vzdálené plochy. Poznámky Toto nastavení neovlivňuje přihlášení pomocí účtů domény. Aplikace využívající interaktivní vzdálené přihlášení mohou toto nastavení obejít. Poznámka: Vzdálená plocha se předchozích verzích systémů Windows Server nazývala Terminálová služba. |
Accounts: Limit local account use of blank passwords to console logon only
This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard. Default: Enabled. Warning: Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services. Notes This setting does not affect logons that use domain accounts. It is possible for applications that use remote interactive logons to bypass this setting. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. |
1965 | Účty: Přejmenovat účet správce
Toto nastavení zabezpečení určuje, zda je k identifikátoru SID účtu správce přidružen jiný název účtu. Přejmenování známého účtu správce znesnadňuje neoprávněným osobám uhodnutí kombinace uživatelského jména a hesla privilegovaného uživatele. Výchozí hodnota: Administrator. |
Accounts: Rename administrator account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination. Default: Administrator. |
1966 | Účty: Přejmenovat účet Guest
Toto nastavení zabezpečení určuje, zda je k identifikátoru SID účtu Guest přidružen jiný název účtu. Přejmenování známého účtu Guest znesnadňuje neoprávněným osobám uhodnout kombinaci uživatelského jména a hesla tohoto uživatele. Výchozí hodnota: Guest. |
Accounts: Rename guest account
This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination. Default: Guest. |
1967 | Audit: Auditovat přístup globálních systémových objektů
Toto nastavení zabezpečení určuje, zda se bude auditovat přístup globálních systémových objektů. Je-li tato zásada povolena, systémové objekty, například objekty mutex, události, semafory a zařízení DOS budou vytvářeny se systémovým seznamem řízení přístupu (SACL). Seznam SACL je přidán pouze k pojmenovaným objektům; seznamy SACL nejsou přidány k objektům bez názvů. Je-li povolena také zásada Auditovat přístup k objektům, je přístup k těmto objektům auditován. Poznámka: Změny v konfiguraci tohoto nastavení zabezpečení budou účinné až po restartování systému Windows. Výchozí hodnota: Zakázáno. |
Audit: Audit the access of global system objects
This security setting determines whether to audit the access of global system objects. If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1968 | Audit: Auditovat oprávnění k zálohování a obnovení dat
Toto nastavení zabezpečení určuje, zda se má auditovat používání všech uživatelských práv, včetně oprávnění k zálohování a obnovení, je-li povolena zásada Auditovat používání oprávnění. Je-li povolena tato možnost a také zásada Auditovat používání oprávnění, je generována auditovaná událost pro každý zálohovaný nebo obnovovaný soubor. Zakážete-li tuto zásadu, použití oprávnění k zálohování a obnovení není auditováno, přestože je povolena zásada Auditování použití oprávnění. Poznámka: Změny v konfiguraci tohoto nastavení zabezpečení ve verzích systému Windows starších než Windows Vista budou účinné až po restartování systému Windows. Povolení tohoto nastavení může způsobit velké množství událostí (v některých případech několik stovek za sekundu) během operace zálohování. Výchozí hodnota: Zakázáno. |
Audit: Audit the use of Backup and Restore privilege
This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored. If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation. Default: Disabled. |
1969 | Audit: Není-li možno protokolovat auditování zabezpečení, vypnout okamžitě systém
Toto nastavení zabezpečení určuje, zda se má systém vypnout, nemůže-li protokolovat události zabezpečení. Je-li toto nastavení zabezpečení povoleno, způsobí zastavení systému, nelze-li z jakéhokoli důvodu protokolovat auditování zabezpečení. Nepodaří-li se protokolovat událost, je obvykle zaplněný protokol auditování zabezpečení a jako metoda uchování protokolu zabezpečení je vybrána možnost Nepřepisovat události nebo Přepisovat události podle data. Je-li protokol zabezpečení zaplněný, existující položky nemohou být přepsány a je povoleno toto nastavení zabezpečení, zobrazí se následující chyba STOP: STOP: C0000244 {Auditování se nezdařilo.} Pokus generovat auditování zabezpečení se nepodařil. Zotavení vyžaduje přihlášení správce, archivaci protokolu (volitelně), výmaz protokolu a opětovné nastavení této možnosti podle potřeby. Dokud není toto nastavení zabezpečení znovu nastaveno, žádní uživatelé, kteří nejsou členy skupiny Administrators, se nebudou moci přihlásit k systému, i když není zaplněný protokol zabezpečení. Poznámka: Změny v konfiguraci tohoto nastavení zabezpečení ve starších verzích systému Windows než Windows Vista budou účinné až po restartování systému Windows. Výchozí nastavení: Zakázáno. |
Audit: Shut down system immediately if unable to log security audits
This security setting determines whether the system shuts down if it is unable to log security events. If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days. If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
1970 | Zařízení: Povolit vyjmutí z dokovací stanice bez nutnosti přihlásit se
Toto nastavení zabezpečení určuje, zda je možné přenosný počítač vyjmout z dokovací stanice bez nutnosti přihlásit se. Je-li toto nastavení povoleno, přihlášení není vyžadováno a k vyjmutí počítače z dokovací stanice je možné použít externí tlačítko pro vyjmutí hardwaru. Je-li toto nastavení zakázáno, vyžaduje vyjmutí počítače z dokovací stanice přihlášení uživatele s oprávněním Vyjmout počítač z dokovací stanice. Výchozí nastavení: Povoleno. Upozornění Je-li tato zásada zakázána, mohou se uživatelé pokoušet fyzicky vyjmout přenosný počítač z dokovací stanice pomocí jiných metod, než je stisknutí externího tlačítka pro vyjmutí hardwaru. Protože toto nastavení může způsobit poškození hardwaru, mělo by být toto nastavení obecně zakázáno pouze v konfiguracích přenosných počítačů, které lze fyzicky zabezpečit. |
Devices: Allow undock without having to log on
This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer. Default: Enabled. Caution Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable. |
1971 | Zařízení: Povolit formátování a vysunutí vyměnitelných médií
Toto nastavení zabezpečení určuje, komu je povoleno formátovat a vysunovat vyměnitelná média NTFS. Tuto možnost lze přiřadit následujícím skupinám uživatelů: Administrators Administrators a Interactive Users Výchozí hodnota: Tato zásada není definována a tuto možnost mají pouze uživatelé s oprávněním Administrators. |
Devices: Allowed to format and eject removable media
This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to: Administrators Administrators and Interactive Users Default: This policy is not defined and only Administrators have this ability. |
1972 | Zařízení: Zabránit uživatelům instalovat ovladače tiskáren při připojení ke sdíleným tiskárnám
Aby bylo možné tisknout na sdílené tiskárně, je třeba do místního počítače nainstalovat ovladač této sdílené tiskárny. Toto nastavení zabezpečení určuje, komu je při připojování ke sdílené tiskárně povoleno instalovat její ovladače. Je-li toto nastavení povoleno, pouze skupiny uživatelů Administrators mohou instalovat ovladače tiskárny při připojování ke sdílené tiskárně. Je-li toto nastavení zakázáno, může ovladač tiskárny při připojování ke sdílené tiskárně instalovat libovolný uživatel. Výchozí hodnota na serverech: Povoleno. Výchozí hodnota v pracovních stanicích: Zakázáno. Poznámky Toto nastavení neovlivňuje možnost přidání místní tiskárny. Toto nastavení neovlivňuje skupiny uživatelů Administrators. |
Devices: Prevent users from installing printer drivers when connecting to shared printers
For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer. Default on servers: Enabled. Default on workstations: Disabled Notes This setting does not affect the ability to add a local printer. This setting does not affect Administrators. |
1973 | Zařízení: Omezit přístup k jednotce CD-ROM pouze na místně přihlášené uživatele
Toto nastavení zabezpečení určuje, zda bude jednotka CD-ROM přístupná současně pro místní i vzdálené uživatele. Je-li tato zásada povolena, mohou k vyměnitelným médiím CD-ROM přistupovat pouze interaktivně přihlášení uživatelé. Je-li tato zásada povolena a žádný uživatel není interaktivně přihlášen, jednotka CD-ROM je přístupná přes síť. Výchozí hodnota: Tato zásada není definována a přístup k jednotce CD-ROM není omezen na místně přihlášeného uživatele. |
Devices: Restrict CD-ROM access to locally logged-on user only
This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network. Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user. |
1974 | Zařízení: Omezit přístup k disketové jednotce pouze na místně přihlášené uživatele
Toto nastavení zabezpečení určuje, zda budou vyměnitelné diskety přístupné současně pro místní i vzdálené uživatele. Je-li tato zásada povolena, k vyměnitelným disketám mohou přistupovat pouze interaktivně přihlášení uživatelé. Je-li tato zásada povolena a žádný uživatel není interaktivně přihlášen, disketová jednotka je přístupná přes síť. Výchozí hodnota: Tato zásada není definována a přístup k disketové jednotce není omezen na místně přihlášeného uživatele. |
Devices: Restrict floppy access to locally logged-on user only
This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network. Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user. |
1975 | Zařízení: Chování při instalaci nepodepsaných ovladačů
Toto nastavení zabezpečení určuje, co se stane při pokusu o instalaci ovladačů zařízení (pomocí rozhraní Setup API), které nebyly testovány v laboratoři Windows Hardware Quality Lab (WHQL). Možnosti jsou následující: Povolit bez upozornění Zobrazit upozornění a povolit instalaci Nepovolit instalaci Výchozí nastavení: Zobrazit upozornění a povolit instalaci. |
Devices: Unsigned driver installation behavior
This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL). The options are: Silently succeed Warn but allow installation Do not allow installation Default: Warn but allow installation. |
1976 | Řadič domény: Umožnit členům skupiny Server Operators plánovat úlohy
Toto nastavení zabezpečení určuje, zda je členům skupiny Server Operators povoleno odesílat úlohy pomocí plánu časů přístupu. Poznámka: Toto nastavení zabezpečení ovlivňuje pouze plán časů přístupu; plánovač úloh není ovlivněn. Výchozí nastavení: Tato zásada není definována a systém ji tedy považuje za zakázanou. |
Domain controller: Allow server operators to schedule tasks
This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility. Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility. Default: This policy is not defined, which means that the system treats it as disabled. |
1977 | Řadič domény: Požadavky serveru LDAP na podpis
Toto nastavení zabezpečení určuje, zda server LDAP vyžaduje, aby bylo s klienty serveru LDAP vyjednáváno podepisování. Může nabývat těchto hodnot: Žádné: K připojení k serveru není vyžadováno podepisování dat. Požaduje-li klient podepisování dat, server jej podporuje. Požadovat podpis: Není-li použito zabezpečení TLS\SSL, je třeba vyjednat možnost podepisování dat LDAP. Výchozí Hodnota: Tato zásada není definována, což má stejný účinek jako možnost Žádné. Upozornění Pokud server nastavíte na možnost Požadovat podpis, je třeba také nastavit klienta. Pokud nenastavíte klienta, dojde ke ztrátě připojení k serveru. Poznámky Toto nastavení nemá žádný vliv na jednoduchou vazbu protokolu LDAP nebo jednoduchou vazbu protokolu LDAP pomocí protokolu SSL. Žádní klienti Microsoft LDAP dodávaní se systémem Windows XP Professional nepoužívají jednoduchou vazbu protokolu LDAP nebo jednoduchou vazbu protokolu LDAP pomocí protokolu SSL ke komunikaci s řadičem domény. Je-li vyžadováno podepisování, jsou požadavky jednoduché vazby protokolu LDAP nebo jednoduché vazby protokolu LDAP pomocí protokolu SSL odmítnuty. Žádní klienti Microsoft LDAP v systému Windows XP Professional nebo v systémech řady Windows Server 2003 nepoužívají jednoduchou vazbu protokolu LDAP nebo jednoduchou vazbu protokolu LDAP pomocí protokolu SSL k připojení k adresářové službě. |
Domain controller: LDAP server signing requirements
This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows: None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it. Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated. Default: This policy is not defined, which has the same effect as None. Caution If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server. Notes This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller. If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service. |
1978 | Řadič domény: Nepovolit změnu hesla účtu počítače
Toto nastavení zabezpečení určuje, zda budou řadiče domény odmítat požadavky členských počítačů na změny hesel svých účtů. Ve výchozím nastavení mění členské počítače heslo ke svému účtu každých 30 dnů. Je-ji toto nastavení povoleno, řadič domény bude odmítat požadavky na změny hesel k účtům počítačů. Je-li toto nastavení povoleno, nepovoluje řadiči domény přijímat žádné změny žádného hesla účtu počítače. Výchozí hodnota: Tato zásada není definována, což znamená, že systém používá nastavení Zakázáno. |
Domain controller: Refuse machine account password changes
This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests. If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password. Default: This policy is not defined, which means that the system treats it as Disabled. |
1979 | Člen domény: Digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy)
Toto nastavení zabezpečení určuje, zda musí být veškerý provoz zabezpečeného kanálu zahájený členem domény podepsán nebo zašifrován. Po připojení počítače k doméně se vytvoří účet počítače. Po startu systému se použije heslo účtu počítače k vytvoření zabezpečeného kanálu s řadičem domény pro jeho doménu. Tento zabezpečený kanál se používá k operacím, jako je například ověřování předávání pomocí protokolu NTLM, vyhledávání názvu SID pomocí protokolu LSA apod. Toto nastavení určuje, zda veškerý provoz zabezpečeného kanálu zahájený členem domény splňuje minimální požadavky na zabezpečení. Zvláště určuje, zda musí být veškerý provoz zabezpečeného kanálu spuštěný členem domény podepsán nebo zašifrován. Pokud je tato zásada povolena, nebude zabezpečený kanál vytvořen, pokud nebude vyjednáno podepsání nebo šifrování veškerého provozu zabezpečeného kanálu. Pokud je tato zásada zakázána, bude šifrování a podepsání veškerého zabezpečeného provozu vyjednáno se řadičem domény a v tomto případě bude úroveň podepsání a šifrování záviset na verzi řadiče domény a nastavení následujících dvou zásad: Člen domény: Je-li možno, digitálně zašifrovat data zabezpečeného kanálu Člen domény: Je-li možno, digitálně podepsat data zabezpečeného kanálu Výchozí hodnota: Povoleno. Poznámky Pokud je tato zásada povolena, je zásada Člen domény: Je-li možno, digitálně podepsat data zabezpečeného kanálu považována za povolenou bez ohledu na její aktuální nastavení. To zajistí, že se člen domény pokusí alespoň o vyjednání podepsání provozu zabezpečeného kanálu. Pokud je tato zásada povolena, je zásada Člen domény: Je-li možno, digitálně podepsat data zabezpečeného kanálu považována za povolenou bez ohledu na její aktuální nastavení. To zajistí, že se člen domény pokusí alespoň o vyjednání podepsání provozu zabezpečeného kanálu. Přihlašovací informace přenášené zabezpečeným kanálem jsou vždy zašifrované bez ohledu na to, zda je vyjednáno šifrování veškerého ostatního provozu zabezpečeného kanálu. |
Domain member: Digitally encrypt or sign secure channel data (always)
This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies: Domain member: Digitally encrypt secure channel data (when possible) Domain member: Digitally sign secure channel data (when possible) Default: Enabled. Notes: If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not. |
1980 | Člen domény: Je-li možno, digitálně zašifrovat data zabezpečeného kanálu
Toto nastavení zabezpečení určuje, zda se člen domény pokusí o vyjednání šifrování pro veškerý provoz zabezpečeného kanálu, který zahájí. Po připojení počítače k doméně se vytvoří účet počítače. Po startu systému se použije heslo účtu počítače k vytvoření zabezpečeného kanálu s řadičem domény pro jeho doménu. Tento zabezpečený kanál se používá k operacím, jako je například ověřování předávání pomocí protokolu NTLM, vyhledávání názvu SID pomocí protokolu LSA apod. Toto nastavení zabezpečení určuje, zda se člen domény pokusí o vyjednání šifrování pro veškerý provoz zabezpečeného kanálu, který zahájí. Pokud je toto nastavení povoleno, bude člen domény vyžadovat šifrování veškerého provozu zabezpečeného kanálu. Pokud řadič domény podporuje šifrování veškerého provozu zabezpečeného kanálu, bude veškerý provoz zabezpečeného kanálu šifrován. V opačném případě budou šifrovány pouze přihlašovací údaje přenášené zabezpečeným kanálem. Je-li toto nastavení zakázáno, člen domény se nepokusí vyjednat šifrování zabezpečeného kanálu. Výchozí hodnota: Povoleno Důležité Není znám žádný důvod pro zakázání tohoto nastavení. Vedle snížení potenciální úrovně důvěrnosti zabezpečeného kanálu může zakázání tohoto nastavení snížit propustnost zabezpečeného kanálu, protože souběžná volání rozhraní API, která používají zabezpečený kanál, jsou možná, pouze pokud je zabezpečený kanál podepsán nebo zašifrován. Poznámka: Řadiče domény jsou také členové domény a vytváří zabezpečené kanály s ostatními řadiči domény ve stejné doméně stejně jako s řadiči domény v důvěryhodných doménách. |
Domain member: Digitally encrypt secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption. Default: Enabled. Important There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted. Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1981 | Člen domény: Je-li možno, digitálně podepsat data zabezpečeného kanálu
Toto nastavení zabezpečení určuje, zda se člen domény pokusí o vyjednání podepisování pro veškerý provoz zabezpečeného kanálu, který zahájí. Po připojení počítače k doméně se vytvoří účet počítače. Po startu systému se použije heslo účtu počítače k vytvoření zabezpečeného kanálu s řadičem domény pro jeho doménu. Tento zabezpečený kanál se používá k operacím, jako je například ověřování předávání pomocí protokolu NTLM, vyhledávání názvu SID pomocí protokolu LSA apod. Toto nastavení zabezpečení určuje, zda se člen domény pokusí o vyjednání podepisování pro veškerý provoz zabezpečeného kanálu, který zahájí. Pokud je toto nastavení povoleno, bude člen domény vyžadovat podepisování veškerého provozu zabezpečeného kanálu. Pokud řadič domény podporuje podepisování veškerého provozu zabezpečeného kanálu, bude veškerý provoz zabezpečeného kanálu podepsán, což zajistí, že jej nebude možné falšovat během přenosu. Výchozí hodnota: Povoleno. Poznámky Je-li zásada Člen domény: Vždy digitálně zašifrovat nebo podepsat data zabezpečeného kanálu povolena, je tato zásada považována za povolenou bez ohledu na její aktuální nastavení. Řadiče domény jsou také členové domény a vytváří zabezpečené kanály s ostatními řadiči domény ve stejné doméně stejně jako s řadiči domény v důvěryhodných doménách. |
Domain member: Digitally sign secure channel data (when possible)
This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit. Default: Enabled. Notes: If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting. Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains. |
1982 | Člen domény: Maximální doba platnosti hesla účtu počítače
Toto nastavení zabezpečení určuje, jak často se bude člen domény pokoušet změnit své heslo účtu počítače. Výchozí hodnota: 30 dní. Důležité Toto nastavení platí pro počítače se systémem Windows 2000, avšak není dostupné pomocí nástrojů Správce konfigurace zabezpečení v těchto počítačích. |
Domain member: Maximum machine account password age
This security setting determines how often a domain member will attempt to change its computer account password. Default: 30 days. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1983 | Člen domény: Vyžadovat silný klíč relace (systém Windows 2000 nebo novější)
Toto nastavení zabezpečení určuje, zda bude vyžadována 128bitová síla klíče pro zašifrovaná data zabezpečeného kanálu. Po připojení počítače k doméně se vytvoří účet počítače. Po startu systému se použije heslo účtu počítače k vytvoření zabezpečeného kanálu s řadičem domény v rámci domény. Tento zabezpečený kanál se používá k operacím, jako je například ověřování předávání pomocí protokolu NTLM, vyhledávání názvu SID pomocí protokolu LSA apod. Závisí na tom, jaká verze systému Windows je spuštěna v řadiči domény, se kterým člen domény komunikuje, a na nastavení následujících parametrů: Člen domény: Vždy digitálně zašifrovat nebo podepsat data zabezpečeného kanálu Člen domény: Je-li možno, digitálně zašifrovat data zabezpečeného kanálu Některé nebo všechny informace přenášené zabezpečeným kanálem budou šifrovány. Toto nastavení zabezpečení určuje, zda bude vyžadována 128bitová síla klíče pro zašifrované informace o zabezpečeném kanálu. Je-li toto nastavení povoleno, zabezpečený kanál nebude vytvořen, pokud nebude možné provést 128bitové šifrování. Pokud je toto nastavení zakázáno, síla klíče bude vyjednána s řadičem domény. Výchozí hodnota: Povoleno Důležité Chcete-li využít této zásady v členských pracovních stanicích nebo na serverech, musí být všechny řadiče domény, které tvoří doménu člena, spuštěny v systému Windows 2000 nebo novějším. Chcete-li využít tuto zásadu v řadičích domény, musí být všechny řadiče domény ve stejné doméně, stejně jako všechny důvěryhodné domény, spuštěny v systému Windows 2000 nebo novějším. |
Domain member: Require strong (Windows 2000 or later) session key
This security setting determines whether 128-bit key strength is required for encrypted secure channel data. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on. Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters: Domain member: Digitally encrypt or sign secure channel data (always) Domain member: Digitally encrypt secure channel data (when possible) Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted. If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller. Default: Enabled. Important In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later. In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later. |
1984 | Člen domény: Nepovolit změnu hesla účtu počítače
Určuje, zda bude člen domény pravidelně měnit heslo ke svému účtu počítače. Pokud je toto nastavení povoleno, člen domény se nebude pokoušet změnit heslo ke svému účtu počítače. Pokud je toto nastavení zakázáno, člen domény se bude pokoušet změnit heslo ke svému účtu počítače podle nastavení pro člena domény: Maximální doba platnosti hesla účtu počítače, která je ve výchozím nastavení 30 dní. Výchozí hodnota: Zakázáno. Poznámky Toto nastavení zabezpečení by nemělo být povoleno. Hesla účtu počítače jsou použita k navázání komunikace zabezpečenými kanály mezi členy a řadiči domény a v rámci domény mezi řadiči domény samotnými. Jakmile je komunikace navázána, je zabezpečený kanál použit k přenosu citlivých informací, které jsou nezbytné pro rozhodování o ověřování a autorizaci. Toto nastavení by nemělo být použito při pokusech o podporu scénářů používání více operačních systémů, které používají stejný účet počítače. Chcete-li použít dvě instalace operačních systémů, které jsou připojeny ke stejné doméně, přiřaďte těmto dvěma instalacím jiné názvy počítače. |
Domain member: Disable machine account password changes
Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days. Default: Disabled. Notes This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions. This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names. |
1985 | Interaktivní přihlašování: Nezobrazovat poslední přihlášení
Toto nastavení zabezpečení určuje, zda se na přihlašovací obrazovce Windows zobrazí uživatelské jméno poslední osoby přihlášené na tomto počítači. Je-li tato zásada povolena, uživatelské jméno se nezobrazí. Je-li tato zásada zakázána, uživatelské jméno se zobrazí. Výchozí hodnota: Zakázáno. |
Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
1986 | Interaktivní přihlášení: Nevyžadovat stisknutí kláves CTRL+ALT+DEL
Toto nastavení zabezpečení určuje, jestli je před přihlášením uživatele nutné stisknout kombinaci kláves CTRL+ALT+DEL. Když je tato zásada v počítači povolená, nemusí uživatel před přihlášením stisknout kombinaci kláves CTRL+ALT+DEL. Pokud to uživatel nemusí udělat, znamená to pro něj větší nebezpečí útoků usilujících o zachycení hesla. Požadavek na stisknutí této kombinace kláves před přihlášením uživatele zajistí, že uživatelé budou při zadávání hesla postupovat zabezpečenou cestou. Když je tato zásada zakázaná, budou muset všichni uživatelé před přihlášením k Windows stisknout kombinaci kláves CTRL+ALT+DEL. Výchozí hodnota v počítačích připojených k doméně: Povoleno: Přinejmenším Windows 8/Zakázáno: Windows 7 a starší Výchozí hodnota v samostatných počítačích: Povoleno |
Interactive logon: Do not require CTRL+ALT+DEL
This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on. If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords. If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows. Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier. Default on stand-alone computers: Enabled. |
1987 | Interaktivní přihlašování: Text zprávy pro uživatele pokoušející se přihlásit
Toto nastavení zabezpečení určuje textovou zprávu, která se zobrazí při přihlášení. Tento text je často použit k právním účelům (například k upozornění uživatelů na následky zneužití informací o společnosti nebo k varování, že akce uživatelů mohou být kontrolovány). Výchozí hodnota: Žádná zpráva. |
Interactive logon: Message text for users attempting to log on
This security setting specifies a text message that is displayed to users when they log on. This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited. Default: No message. |
1988 | Interaktivní přihlašování: Nadpis zprávy pro uživatele pokoušející se přihlásit
Toto nastavení zabezpečení umožňuje určení nadpisu, který se zobrazí v záhlaví okna s obrazovkou interaktivního přihlašování: Text zprávy pro uživatele pokoušející se přihlásit. Výchozí hodnota: Žádná zpráva. |
Interactive logon: Message title for users attempting to log on
This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on. Default: No message. |
1989 | Interaktivní přihlašování: Počet předchozích přihlášení uložených v mezipaměti pro případ, že řadič domény není k dispozici
Informace o každém jedinečném přihlášení uživatele jsou ukládány do místní mezipaměti, aby se uživatelé mohli přihlásit v případě, že je řadič domény během následných pokusů o přihlášení nedostupný. Informace o přihlášení uložené v mezipaměti pocházejí z předchozí uživatelské relace. Pokud je řadič domény nedostupný a informace o přihlášení uživatele nejsou uloženy v mezipaměti, uživateli se zobrazí následující zpráva: Pro vyřízení žádosti o přihlášení nejsou nyní k dispozici žádné přihlašovací servery. V tomto nastavení zásad zakáže hodnota 0 ukládání údajů o přihlášení do mezipaměti. Libovolná hodnota větší než 50 ukládá do mezipaměti pouze padesát pokusů o přihlášení. Systém Windows podporuje maximálně 50 položek v mezipaměti, přičemž počet položek na uživatele závisí na přihlašovacích údajích. V systému Windows lze například uložit do mezipaměti maximálně 50 uživatelských účtů s jedinečným heslem, ale pouze 25 uživatelských účtů s čipovou kartou, neboť se ukládají informace o heslu a zároveň informace o čipové kartě. Přihlásí-li se opakovaně uživatel s uživatelskými údaji uloženými v mezipaměti, budou přepsány jeho individuální údaje v mezipaměti. Výchozí nastavení: Windows Server 2008: 25 Všechny další verze: 10 |
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message: There are currently no logon servers available to service the logon request. In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced. Default: Windows Server 2008: 25 All Other Versions: 10 |
1990 | Interaktivní přihlašování: Vyzvat uživatele ke změně hesla před jeho vypršením
Určuje, v jakém předstihu (ve dnech) jsou uživatelé upozorněni na vypršení platnosti jejich hesla. Díky tomuto upozornění má uživatel čas na vytvoření dostatečně silného hesla. Výchozí hodnota: 5 dní |
Interactive logon: Prompt user to change password before expiration
Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong. Default: 5 days. |
1991 | Interaktivní přihlašování: Požadovat ověření řadičem domény k odemknutí pracovní stanice
Přihlašovací údaje jsou vyžadovány k odemknutí uzamčeného počítače. Pro účty domény toto nastavení zabezpečení určuje, zda musí být za účelem odemknutí počítače řadič domény kontaktován. Je-li toto nastavení zakázáno, může uživatel odemknout počítač pomocí přihlašovacích údajů uložených v mezipaměti. Je-li toto nastavení povoleno, musí řadič domény ověřit účet domény, který je použit k odemknutí počítače. Výchozí hodnota: Zakázáno. Důležité Toto nastavení platí pro počítače se systémem Windows 2000, avšak není v těchto počítačích dostupné pomocí nástrojů Správce konfigurace zabezpečení . |
Interactive logon: Require Domain Controller authentication to unlock
Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer. Default: Disabled. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers. |
1992 | Interaktivní přihlašování: Požadovat Windows Hello pro firmy nebo čipovou kartu
Toto nastavení zabezpečení vyžaduje, aby se uživatelé přihlásili k počítači pomocí Windows Hello pro firmy nebo čipové karty. Možnosti: Povoleno: Uživatelé se můžou přihlásit k počítači jen pomocí Windows Hello pro firmy nebo čipové karty. Zakázáno nebo nenakonfigurováno: Uživatelé se můžou přihlásit k počítači libovolným způsobem. Důležité Toto nastavení se použije pro libovolný počítač s Windows 2000 na základě změn registru. Toto nastavení ale nebude možné zobrazit pomocí sady nástrojů Správce konfigurace zabezpečení. Požadavek na přihlášení pomocí Windows Hello pro firmy se nepodporuje ve Windows 10 verze 1607 nebo starších. |
Interactive logon: Require Windows Hello for Business or smart card
This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card. The options are: Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card. Disabled or not configured: Users can sign-in to the device using any method. Important This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set. Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier. |
1993 | Interaktivní přihlašování: Chování při odebrání čipové karty
Toto nastavení zabezpečení určuje, co se stane, pokud bude čipová karta přihlášeného uživatele odebrána z čtečky čipových karet. Možnosti jsou následující: Žádná akce Uzamknout pracovní stanici Vynutit odhlášení Odpojit v případě relace Vzdálené plochy Pokud klikněte v dialogovém okně Vlastnosti této zásady na možnost Uzamknout pracovní stanici, bude pracovní stanice při odebrání čipové karty uzamčena. Uživatelé budou moci odejít od počítače, vzít si s sebou čipovou kartu a jejich relace bude nadále chráněna. Pokud klikněte v dialogovém okně Vlastnosti této zásady na možnost Vynutit odhlášení, bude uživatel při odebrání čipové karty automaticky odhlášen. Pokud klikněte na možnost Odpojit v případě relace Vzdálené plochy, bude při odebrání čipové karty relace odpojena bez odhlášení uživatele. To znamená, že uživatel bude moci vložit čipovou kartu a pokračovat v relaci později nebo na jiném počítači vybaveném čtečkou čipových karet, aniž by bylo nutné se znovu přihlašovat. Jedná-li se o místní relaci, funguje tato zásada stejně jako možnost Uzamknout pracovní stanici. Poznámka: Vzdálená plocha se předchozích verzích systémů Windows Server nazývala Terminálová služba. Výchozí hodnota: Tato zásada není definována, což znamená, že systém použije nastavení Žádná akce. V systému Windows Vista a vyšších: Toto nastavení bude fungovat, pouze pokud je spuštěná služba Zásady odebrání čipové karty. |
Interactive logon: Smart card removal behavior
This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader. The options are: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed. If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default: This policy is not defined, which means that the system treats it as No action. On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started. |
1994 | Klient sítě Microsoft: Vždy digitálně podepsat komunikaci
Toto nastavení zabezpečení určuje, jestli podepisování paketů vyžaduje klientská součást protokolu SMB. Protokol SMB (Server Message Block) poskytuje základ ke sdílení souborů a tiskáren v síti Microsoft a k mnoho dalším síťovým operacím, jako je například Vzdálená správa systému Windows. Aby se předešlo útokům vedeným třetí osobou (man-in-the-middle), které mění pakety SMB na cestě, podporuje protokol SMB digitální podepisování paketů SMB. Toto nastavení zásad určuje, jestli bude nutné podepsání paketů SMB vyjednat před tím, než dojde k povolení následné komunikace se serverem SMB. Pokud je toto nastavení povolené, nebude klient sítě Microsoft komunikovat se serverem sítě Microsoft, pokud tento server nebude souhlasit s prováděním podepisování paketů SMB. Pokud je tato zásada zakázaná, vyjedná se podepisování paketů SMB mezi klientem a serverem. Výchozí nastavení: Zakázáno Důležité Pokud má být tato zásada účinná v počítačích se systémem Windows 2000, musí být podepisování paketů na straně klienta taky povolené. Pokud chcete povolit podepisování paketů SMB na straně klienta, nastavte klienta sítě Microsoft: Pokud server souhlasí, digitálně podepsat komunikaci. Poznámky Všechny operační systémy Windows podporují komponenty SMB na straně klienta i komponenty SMB na straně serveru. V operačních systémech počínaje Windows 2000 se povolení nebo vyžadování podepisování paketů pro komponenty SMB na straně klienta nebo serveru řídí nastavením následujících čtyř zásad: Klient sítě Microsoft: Vždy digitálně podepsat komunikaci – Určuje, zda komponenta SMB na straně klienta vyžaduje podepisování paketů. Klient sítě Microsoft: Pokud server souhlasí, digitálně podepsat komunikaci – Určuje, zda má komponenta SMB na straně klienta povolené podepisování paketů. Server sítě Microsoft: Vždy digitálně podepsat komunikaci – Určuje, zda komponenta SMB na straně serveru vyžaduje podepisování paketů. Server sítě Microsoft: Pokud klient souhlasí, digitálně podepsat komunikaci – Určuje, zda má komponenta SMB na straně klienta povolené podepisování paketů. Podepisování paketů SMB může výrazně snížit výkon transakcí souborových služeb, a to v závislosti na jazykové verzi, verzi OS, velikosti souborů, možnostem přesměrování procesorového zpracování a vstupně-výstupního chování aplikací. Další informace najdete na webu: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB client component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted. If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled. Important For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees). Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1995 | Klient sítě Microsoft: Pokud server souhlasí, digitálně podepsat komunikaci
Toto nastavení zabezpečení určuje, jestli se klient SMB pokusí o vyjednání podepisování paketů SMB. Protokol SMB (Server Message Block) poskytuje základ ke sdílení souborů a tiskáren v síti Microsoft a k mnoha dalším síťovým operacím, jako je například Vzdálená správa systému Windows. Aby se předešlo útokům vedeným třetí osobou (man-in-the-middle), které mění pakety SMB na cestě, podporuje protokol SMB digitální podepisování paketů SMB. Toto nastavení zásad určuje, jestli se klient SMB pokusí o vyjednání podepisování paketů SMB, jakmile se připojí k serveru SMB. Pokud je toto nastavení povolené, klient sítě Microsoft požádá server o provedení podepisování paketů SMB během zřizování relace. Pokud bylo podepisování paketů na serveru povolené, podepisování paketů se vyjedná. Pokud je tato zásada zakázaná, nebude klient SMB nikdy vyjednávat podepisování paketů SMB. Výchozí nastavení: Povoleno Poznámky Všechny operační systémy Windows podporují komponenty SMB na straně klienta i komponenty SMB na straně serveru. V systémech počínaje Windows 2000 se povolení nebo vyžadování podepisování paketů pro komponenty SMB na straně klienta nebo serveru řídí nastavením následujících čtyř zásad: Klient sítě Microsoft: Vždy digitálně podepsat komunikaci – Určuje, zda komponenta SMB na straně klienta vyžaduje podepisování paketů. Klient sítě Microsoft: Pokud server souhlasí, digitálně podepsat komunikaci – Určuje, zda má komponenta SMB na straně klienta povolené podepisování paketů. Server sítě Microsoft: Vždy digitálně podepsat komunikaci – Určuje, zda komponenta SMB na straně serveru vyžaduje podepisování paketů. Server sítě Microsoft: Pokud klient souhlasí, digitálně podepsat komunikaci – Určuje, zda má komponenta SMB na straně klienta povolené podepisování paketů. Pokud je podepisování paketů SMB povolené na straně klienta i serveru a klient ustaví připojení SMB 1.0 k serveru, dojde k pokusu o podepsání SMB. Podepisování paketů SMB může výrazně snížit výkon transakcí souborových služeb, a to v závislosti na jazykové verzi, verzi OS, velikosti souborů, možnostem přesměrování procesorového zpracování a vstupně-výstupního chování aplikací. Toto nastavení platí jenom pro připojení SMB 1.0. Další informace najdete na webu: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network client: Digitally sign communications (if server agrees)
This security setting determines whether the SMB client attempts to negotiate SMB packet signing. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server. If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1996 | Klient sítě Microsoft: Odesílat nešifrovaná hesla serverům SMB jiných poskytovatelů
Je-li toto nastavení zabezpečení povoleno, je přesměrovači protokolu SMB umožněno odesílání nešifrovaných hesel na jiné servery SMB než servery sítě Microsoft, které nepodporují šifrování hesla během ověřování. Odeslání nešifrovaných hesel představuje riziko zabezpečení. Výchozí nastavení: Zakázáno. |
Microsoft network client: Send unencrypted password to connect to third-party SMB servers
If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication. Sending unencrypted passwords is a security risk. Default: Disabled. |
1997 | Server sítě Microsoft: Doba nečinnosti před přechodem relace do režimu spánku
Toto nastavení zabezpečení určuje dobu souvislé nečinnosti, která musí uplynout v relaci SMB před tím, než relace přejde z důvodu nečinnosti do režimu spánku. Správci systému mohou tuto zásadu použít k řízení doby, po jejímž uplynutí počítač pozastaví neaktivní relaci SMB. Relace bude automaticky obnovena, jakmile bude klient pokračovat v činnosti. Hodnota 0 v nastavení této zásady znamená, že nečinná relace bude odpojena tak rychle, jak je to možné. Maximální hodnota je 99999 (208 dní). Tato hodnota ve skutečnosti zakáže tuto zásadu. Výchozí hodnota:Tato zásada není definována, což znamená, že systém použije hodnotu 15 minut pro servery a pro pracovní stanice není žádná hodnota definována. |
Microsoft network server: Amount of idle time required before suspending a session
This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity. Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished. For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy. Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations. |
1998 | Server sítě Microsoft: Vždy digitálně podepsat komunikaci
Toto nastavení zabezpečení určuje, jestli je podepisování paketů vyžadované součástí serveru SMB. Protokol SMB (Server Message Block) poskytuje základ ke sdílení souborů a tiskáren v síti Microsoft a k mnoha dalším síťovým operacím, jako je například Vzdálená správa systému Windows. Aby se předešlo útokům vedeným třetí osobou (man-in-the-middle), které mění pakety SMB na cestě, podporuje protokol SMB digitální podepisování paketů SMB. Toto nastavení zásad určuje, jestli bude nutné podepisování paketů SMB vyjednat před tím, než dojde k povolení následné komunikace s klientem SMB. Pokud je toto nastavení povolené, server sítě Microsoft nebude komunikovat s klientem sítě Microsoft, pokud nebude tento klient souhlasit s prováděním podepisování paketů SMB. Pokud je toto nastavení zakázané, podepisování paketů SMB se vyjedná mezi klientem a serverem. Výchozí nastavení: Zakázáno pro členské servery Povoleno pro řadiče domény Poznámky Všechny operační systémy Windows podporují komponenty SMB na straně klienta i komponenty SMB na straně serveru. V systémech počínaje Windows 2000 se povolení nebo vyžadování podepisování paketů pro komponenty SMB na straně klienta nebo serveru řídí nastavením následujících čtyř zásad: Klient sítě Microsoft: Vždy digitálně podepsat komunikaci – Určuje, zda komponenta SMB na straně klienta vyžaduje podepisování paketů. Klient sítě Microsoft: Pokud server souhlasí, digitálně podepsat komunikaci – Určuje, zda má komponenta SMB na straně klienta povolené podepisování paketů. Server sítě Microsoft: Vždy digitálně podepsat komunikaci – Určuje, zda komponenta SMB na straně serveru vyžaduje podepisování paketů. Server sítě Microsoft: Pokud klient souhlasí, digitálně podepsat komunikaci – Určuje, zda má komponenta SMB na straně klienta povolené podepisování paketů. Podobně platí, že pokud se vyžaduje podepisování paketů SMB na straně klienta, nebude klient moct vytvořit relaci se servery, na kterém není povolené podepisování paketů. Ve výchozím nastavení je podepisování paketů SMB na straně serveru povolené jenom na řadičích domény. Pokud je povolené podepisování paketů SMB na straně serveru, vyjedná se podepisování paketů s klienty, kteří mají podepisování paketů SMB na straně klienta povolené. Podepisování paketů SMB může výrazně snížit výkon transakcí souborových služeb, a to v závislosti na jazykové verzi, verzi OS, velikosti souborů, možnostem přesměrování procesorového zpracování a vstupně-výstupního chování aplikací. Důležité Pokud má být tato zásada účinná v počítačích se systémem Windows 2000, musí být podepisování paketů na straně serveru taky povolené. Pokud chcete povolit podepisování paketů SMB na straně serveru, nastavte následující zásadu: Klient sítě Microsoft: Pokud server souhlasí, digitálně podepsat komunikaci Pokud mají servery se systémem Windows 2000 vyjednat podepisování s klienty se systémem Windows NT 4.0, musí být následující hodnota registru na serveru se systémem Windows 2000 nastavená na hodnotu 1: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Další informace najdete na webu: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (always)
This security setting determines whether packet signing is required by the SMB server component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted. If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled for member servers. Enabled for domain controllers. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers. If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. Important For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
1999 | Server sítě Microsoft: Pokud klient souhlasí, digitálně podepsat komunikaci
Toto nastavení zabezpečení určuje, jestli server SMB vyjedná podepisování paketů SMB s klienty, kteří ho požadují. Protokol SMB (Server Message Block) poskytuje základ ke sdílení souborů a tiskáren v síti Microsoft a mnoha dalším síťovým operacím, jako je například Vzdálená správa systému Windows. Aby se předešlo útokům vedeným třetí osobou (man-in-the-middle), které mění pakety SMB na cestě, podporuje protokol SMB digitální podepisování paketů SMB. Toto nastavení zásady určuje, jestli server SMB vyjedná podepisování paketů SMB, pokud ho klient SMB požaduje. Pokud je toto nastavení povolené, vyjedná server sítě Microsoft podepisování paketů SMB tak, jak ho požaduje klient. Pokud bylo podepisování paketů v klientovi povolené, bude podepisování paketů vyjednané. Pokud je toto zakázáno, nebude klient SMB nikdy vyjednávat podepisování paketů SMB. Výchozí nastavení: Povoleno jenom v řadičích domény Důležité Pokud mají servery se systémem Windows 2000 vyjednat podepisování s klienty se systémem Windows NT 4.0, musí být následující hodnota registru na serveru se systémem Windows 2000 nastavena na hodnotu 1: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Poznámky Všechny operační systémy Windows podporují komponenty SMB na straně klienta i komponenty SMB na straně serveru. V systémech počínaje Windows 2000 se povolení nebo vyžadování podepisování paketů pro komponenty SMB na straně klienta nebo serveru řídí nastavením následujících čtyř zásad: Klient sítě Microsoft: Vždy digitálně podepsat komunikaci – Určuje, zda komponenta SMB na straně klienta vyžaduje podepisování paketů. Klient sítě Microsoft: Pokud server souhlasí, digitálně podepsat komunikaci – Určuje, zda má komponenta SMB na straně klienta povolené podepisování paketů. Server sítě Microsoft: Vždy digitálně podepsat komunikaci – Určuje, zda komponenta SMB na straně serveru vyžaduje podepisování paketů. Server sítě Microsoft: Pokud klient souhlasí, digitálně podepsat komunikaci – Určuje, zda má komponenta SMB na straně klienta povolené podepisování paketů. Pokud je podepisování paketů SMB povolené na straně klienta i serveru a klient ustaví připojení SMB 1.0 k serveru, dojde k pokusu o podepsání SMB. Podepisování paketů SMB může výrazně snížit výkon transakcí souborových služeb, a to v závislosti na jazykové verzi, verzi OS, velikosti souborů, možnostem přesměrování procesorového zpracování a vstupně-výstupního chování aplikací. Toto nastavení platí jenom pro připojení SMB 1.0. Další informace najdete na webu: https://go.microsoft.com/fwlink/?LinkID=787136. |
Microsoft network server: Digitally sign communications (if client agrees)
This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it. If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled on domain controllers only. Important For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136. |
2000 | Server sítě Microsoft: Po vypršení doby přihlášení odpojit klienty
Toto nastavení zabezpečení určuje, zda mají být uživatelé připojení k místnímu počítači mimo platné přihlašovací hodiny svého uživatelského účtu odpojeni. Toto nastavení ovlivní komponentu SMB (Server Message Block). Je-li tato zásada povolena, budou relace klientů se službou SMB vynuceně odpojeny po vypršení doby přihlášení. Je-li tato zásada zakázána, bude možné vytvořenou relaci klienta po vypršení doby přihlášení ponechat. Výchozí hodnota v systému Windows Vista nebo novějším: Povoleno Výchozí hodnota v systému Windows XP: Zakázáno |
Microsoft network server: Disconnect clients when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default on Windows Vista and above: Enabled. Default on Windows XP: Disabled |
2001 | Přístup k síti: Povolit anonymní překlad SID/názvu
Toto nastavení zásad určuje, zda může anonymní uživatel žádat atributy identifikátoru SID pro jiného uživatele. Je-li tato zásada povolena, anonymní uživatel může žádat atribut identifikátoru SID pro jiného uživatele. Anonymní uživatel se znalostí identifikátoru SID správce by mohl kontaktovat počítač, který má tuto zásadu povolenu, a použít identifikátor SID k získání jména správce. Toto nastavení má vliv na oba překlady: SID na jméno i jméno na SID. Pokud je toto nastavení zásad zakázáno, nemůže anonymní uživatel žádat atribut identifikátoru SID pro jiného uživatele. Výchozí hodnota v pracovních stanicích a na členských serverech: Zakázáno. Výchozí hodnota v řadičích domény se systémem Windows Server 2008 nebo novějším: Zakázáno. Výchozí hodnota v řadičích domény se systémem Windows Server 2003 R2 nebo starším: Povoleno. |
Network access: Allow anonymous SID/name translation
This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user. If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation. If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user. Default on workstations and member servers: Disabled. Default on domain controllers running Windows Server 2008 or later: Disabled. Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled. |
2002 | Přístup k síti: Neumožnit anonymní výčet účtů SAM
Toto nastavení zabezpečení určuje, jaká další oprávnění budou udělena anonymním připojením k počítači. Systém Windows dovoluje anonymním uživatelům provádět určité aktivity, jako je například výčet názvů doménových účtů a síťových sdílených položek. Je to například vhodné, pokud chce správce udělit přístup uživatelům v důvěryhodné doméně, která nezachovává vzájemnou důvěryhodnost. Tato možnost zabezpečení umožňuje přiřazení dodatečných omezení k anonymním připojením: Povoleno: Neumožnit výčet účtů SAM. Tato možnost nahrazuje možnost Everyone s ověřenými uživateli v oprávněních zabezpečení k prostředkům. Zakázáno: Žádná další omezení. Spoléhat na výchozí oprávnění. Výchozí hodnota v pracovních stanicích: Povoleno Výchozí hodnota na serveru: Povoleno Důležité Tato zásada neovlivňuje řadiče domény. |
Network access: Do not allow anonymous enumeration of SAM accounts
This security setting determines what additional permissions will be granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. This security option allows additional restrictions to be placed on anonymous connections as follows: Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources. Disabled: No additional restrictions. Rely on default permissions. Default on workstations: Enabled. Default on server:Enabled. Important This policy has no impact on domain controllers. |
2003 | Přístup k síti: Neumožnit anonymní výčet účtů SAM a sdílení
Toto nastavení zabezpečení určuje, zda je povolen anonymní výčet účtů SAM a sdílení. Systém Windows dovoluje anonymním uživatelům provádět určité aktivity, jako je například výčet názvů doménových účtů a síťových sdílených složek. Je to například vhodné, pokud chce správce udělit přístup uživatelům v důvěryhodné doméně, která nezachovává vzájemnou důvěryhodnost. Pokud nechcete povolit anonymní výčet účtů SAM a sdílení, povolte tuto zásadu. Výchozí nastavení: Zakázáno. |
Network access: Do not allow anonymous enumeration of SAM accounts and shares
This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy. Default: Disabled. |
2004 | Přístup k síti: Neumožnit ukládání hesel a pověření pro ověření v síti
Toto nastavení zabezpečení určuje, zda Správce pověření ukládá hesla a pověření pro pozdější použití, když jsou ověřena v doméně. Pokud toto nastavení povolíte, Správce pověření nebude ukládat hesla ani pověření v počítači. Pokud toto nastavení zakážete Správce pověření bude ukládat hesla a pověření v počítači pro pozdější použití při ověření v doméně. Poznámka: Změny v konfiguraci tohoto nastavení zabezpečení se projeví až po restartování Windows. Výchozí nastavení: Zakázáno. |
Network access: Do not allow storage of passwords and credentials for network authentication
This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication. If you enable this setting, Credential Manager does not store passwords and credentials on the computer. If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled. |
2005 | Přístup k síti: Použít oprávnění účtu Everyone pro anonymní uživatele
Toto nastavení zabezpečení určuje, jaká další oprávnění budou udělena anonymním připojením k počítači. Systém Windows dovoluje anonymním uživatelům provádět určité aktivity, jako je například výčet názvů doménových účtů a síťových sdílených složek. Toto je například vhodné, pokud chce správce udělit přístup uživatelům v důvěryhodné doméně, která nezachovává vzájemnou důvěryhodnost. Ve výchozím nastavení je identifikátor SID účtu Everyone odebrán z tokenu vytvořeného pro anonymní připojení. Proto se oprávnění udělená skupině Everyone nepoužijí pro anonymní uživatele. Je-li tato možnost nastavena, mohou anonymní uživatelé přistupovat pouze k těm prostředkům, pro které jim bylo výslovně dáno oprávnění. Je-li tato zásada povolena, je identifikátor SID účtu Everyone přidán do tokenu, který byl vytvořen pro anonymní připojení. V tomto případě mohou anonymní uživatelé přistupovat k libovolnému prostředku, ke kterému bylo skupině Everyone dáno oprávnění. Výchozí nastavení: Zakázáno. |
Network access: Let Everyone permissions apply to anonymous users
This security setting determines what additional permissions are granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission. If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions. Default: Disabled. |
2006 | Přístup k síti: Pojmenované kanály, ke kterým lze přistupovat anonymně
Toto nastavení zabezpečení určuje, které komunikační relace (kanály) budou mít atributy a oprávnění umožňující anonymní přístup. Výchozí nastavení: Žádné. |
Network access: Named pipes that can be accessed anonymously
This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access. Default: None. |
2007 | Přístup k síti: Vzdáleně přístupné cesty registru
Toto nastavení zabezpečení určuje, ke kterým klíčům registru je možné přistupovat po síti, bez ohledu na uživatele a skupiny uvedené v seznamu řízení přístupu (ACL) klíče registru winreg. Výchozí hodnota: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Upozornění Nesprávná úprava registru může těžce poškodit systém. Před provedením změn registru byste měli všechna důležitá data v počítači zálohovat. Poznámka: Toto nastavení zabezpečení není dostupné ve starších verzích systému Windows. Nastavení zabezpečení, které se zobrazí v počítači se systémem Windows XP, Přístup k síti: Vzdáleně přístupné cesty registru odpovídá možnosti zabezpečení Přístup k síti: Vzdáleně přístupné cesty registru a jejich podřízené větve v operačním systému řady Windows Server 2003. Více informací naleznete v kapitole Přístup k síti: Vzdáleně přístupné cesty registru a jejich podřízené větve. Výchozí nastavení: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
Network access: Remotely accessible registry paths
This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion |
2008 | Přístup k síti: Vzdáleně přístupné cesty registru a jejich podřízené větve
Toto nastavení zabezpečení určuje, ke kterým cestám registru a jejich podřízeným větvím je možné přistupovat po síti, bez ohledu na uživatele a skupiny uvedené v seznamu řízení přístupu (ACL) klíče registru winreg. Výchozí hodnota: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Upozornění Nesprávná úprava registru může těžce poškodit systém. Před provedením změn registru byste měli všechna důležitá data v počítači zálohovat. Poznámka: V systému Windows XP bylo toto nastavení zabezpečení nazváno Přístup k síti: Vzdáleně přístupné cesty registru. Pokud toto nastavení nakonfigurujete v operačním systému řady Windows Server 2003 připojeném k doméně, bude toto nastavení zděděno počítači se systémem Windows XP, ale zobrazí se jako možnost zabezpečení Přístup k síti: Vzdáleně přístupné cesty registru. Více informací naleznete v kapitole Přístup k síti: Vzdáleně přístupné cesty registru. |
Network access: Remotely accessible registry paths and subpaths
This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths. |
2009 | Přístup k síti: Omezit anonymní přístup k pojmenovaným kanálům a sdíleným složkám.
Pokud je toto nastavení zabezpečení povoleno, omezuje anonymní přístup ke sdíleným složkám a kanálům pro tato nastavení: Přístup k síti: Pojmenované kanály, ke kterým lze přistupovat anonymně Přístup k síti: Sdílené složky, ke kterým lze přistupovat anonymně Výchozí nastavení: Povoleno. |
Network access: Restrict anonymous access to Named Pipes and Shares
When enabled, this security setting restricts anonymous access to shares and pipes to the settings for: Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously Default: Enabled. |
2010 | Přístup k síti: Sdílené složky, ke kterým lze přistupovat anonymně
Toto nastavení zabezpečení určuje, ke kterým sdíleným složkám v síti mohou přistupovat anonymní uživatelé. Výchozí nastavení: Není určeno. |
Network access: Shares that can be accessed anonymously
This security setting determines which network shares can accessed by anonymous users. Default: None specified. |
2011 | Přístup k síti: Model sdílení a zabezpečení místních účtů
Toto nastavení zabezpečení určuje způsob, jakým jsou ověřována přihlášení k síti pomocí místních účtů. Pokud je vybráno nastavení Klasický, ověřují se přihlášení k síti používající přihlašovací údaje místního účtu pomocí těchto přihlašovacích údajů. Klasický model umožňuje přesné řízení přístupu k prostředkům. Pomocí klasického modelu můžete udělovat různé typy přístupu různým uživatelům stejného prostředku. Pokud je vybráno nastavení účtu Guest, jsou přihlášení k síti používající místní účty automaticky namapována na účet Guest. Pomocí modelu Pouze účet Guest můžete se všemi uživateli zacházet shodně. Všichni uživatelé jsou ověřeni jako uživatel Guest a získají stejnou úroveň přístupu k daným prostředkům, která může být Pouze ke čtení nebo Měnit. Výchozí hodnota v počítačích připojených do domény: Klasický. Výchozí hodnota v samostatných počítačích: Pouze účet Guest. Důležité V modelu Pouze účet Guest může ke sdíleným prostředkům přistupovat libovolný uživatel, který má přístup k počítačům v síti (včetně anonymních uživatelů v internetu). K ochraně počítače před neoprávněným přístupem je nutné použít bránu Windows Firewall nebo jiné podobné zařízení. V klasickém modelu musí být místní účty chráněny heslem, jinak by pomocí těchto účtů mohl ke sdíleným systémovým prostředkům přistupovat kdokoli. Poznámka: Toto nastavení nemá vliv na interaktivní přihlášení, která jsou prováděna vzdáleně pomocí takových služeb, jako je Telnet nebo Vzdálená plocha. Vzdálená plocha se v předchozích verzích systémů Windows Server nazývala Terminálová služba. Tato zásada nemá žádný vliv na počítače se systémem Windows 2000. Pokud není počítač připojen do domény, upravuje toto nastavení také kartu Sdílení a zabezpečení v Průzkumníku souborů, která bude odpovídat používanému modelu sdílení a zabezpečení. |
Network access: Sharing and security model for local accounts
This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource. If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify. Default on domain computers: Classic. Default on stand-alone computers: Guest only Important With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources. Note: This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services Remote Desktop Services was called Terminal Services in previous versions of Windows Server. This policy will have no impact on computers running Windows 2000. When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used. |
2012 | Zabezpečení sítě: Neukládat hodnotu hash programu LAN Manager při příští změně hesla
Toto nastavení zabezpečení určuje, zda bude při příští změně hesla uložena hodnota algoritmu hash programu LAN Manager pro nové heslo. Algoritmus hash programu LAN Manager je v porovnání s kryptograficky silnějším algoritmem hash systému Windows NT relativně slabý a vhodný jako cíl útoku. Protože jsou hodnoty algoritmu hash programu LAN Manager uloženy v místním počítači v zabezpečené databázi, mohou být hesla při útoku na tuto databázi ohrožena. Výchozí hodnota v systému Windows Vista nebo novějším: Povoleno Výchozí hodnota v systému Windows XP: Zakázáno Důležité Aktualizace Windows 2000 Service Pack 2 (SP2) a novější poskytují kompatibilitu s ověřováním předchozích verzí systému Windows, například systému Microsoft Windows NT 4.0. Toto nastavení má vliv na schopnost počítačů se systémy Windows 2000 Server, Windows 2000 Professional, Windows XP a systémy řady Windows Server 2003 komunikovat s počítači se systémy Windows 95 a Windows 98. |
Network security: Do not store LAN Manager hash value on next password change
This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked. Default on Windows Vista and above: Enabled Default on Windows XP: Disabled. Important Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0. This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98. |
2013 | Zabezpečení sítě: Vynutit odhlášení pokud vyprší časový limit pro přihlášení
Toto nastavení zabezpečení určuje, zda mají být uživatelé, kteří jsou připojeni k místnímu počítači mimo platné přihlašovací hodiny svého uživatelského účtu, odpojeni. Toto nastavení ovlivní komponentu protokolu SMB (Server Message Block). Pokud je tato zásada povolena, budou relace klientů se serverem SMB vynuceně odpojeny, až vyprší doba přihlášení. Pokud je tato zásada zakázána, je možné zachovat existující relaci klienta po vypršení doby přihlášení. Výchozí nastavení: Povoleno. Poznámka: Toto nastavení zabezpečení se chová jako zásada účtů. Účty domény mohou mít pouze jednu zásadu účtů. Tato zásada účtů musí být definována ve výchozích zásadách domény a jsou vynuceny řadiči domény, které tvoří doménu. Řadič domény vždy získává zásady účtů z objektu Zásad skupiny ve výchozích zásadách domény. Ve výchozím nastavení získávají pracovní stanice a servery připojené k doméně (například členské počítače) stejné zásady účtů pro své místní účty. Zásady místních účtů pro členské počítače se ale mohou lišit od zásad účtů tím, že definují zásady účtů pro organizační jednotku, která obsahuje členské počítače. Na členské počítače se nevztahuje nastavení protokolu Kerberos. |
Network security: Force logoff when logon hours expire
This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default: Enabled. Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers. |
2014 | Zabezpečení sítě: Úroveň ověřování pro systém LAN Manager
Toto nastavení zabezpečení určuje, který protokol ověřování výzvy nebo odpovědi se používá pro přihlášení k síti. Tato volba ovlivňuje úroveň protokolu ověřování používaného klienty, úroveň vyjednaného zabezpečení relace a úroveň ověřování přijatého servery následujícím způsobem: Odeslat odpovědi LM a NTLM: Klienti používají ověřování protokoly LM a NTLM a nikdy nepoužívají zabezpečení relace protokolem NTLM verze 2. Řadiče domény přijímají ověřování protokoly LM, NTLM a NTLM verze 2. Odeslat LM a NTLM - v případě vyjednání použít zabezpečení relace NTLM verze 2: Klienti používají ověřování protokoly LM a NTLM a pokud jej server podporuje, používají zabezpečení relace protokolem NTLM verze 2. Řadiče domény přijímají ověřování protokoly LM, NTLM a NTLM verze 2. Odesílat pouze odpovědi NTLM: Klienti používají pouze ověřování protokolem NTLM a pokud jej server podporuje, používají zabezpečení relace protokolem NTLM verze 2. Řadiče domény přijímají ověřování protokoly LM, NTLM a NTLM verze 2. Odesílat pouze odpovědi NTLM verze 2: Klienti používají pouze ověřování protokolem NTLM verze 2 a pokud jej server podporuje, používají zabezpečení relace protokolem NTLM verze 2. Řadiče domény přijímají ověřování protokoly LM, NTLM a NTLM verze 2. Odesílat pouze NTLM verze 2 a odmítat LM: Klienti používají pouze ověřování NTLM verze 2 a pokud jej server podporuje, používají zabezpečení relace NTLM verze 2. Řadiče domény odmítají ověřování LM (přijímají pouze ověřování NTLM a NTLM verze 2). Odesílat pouze NTLM verze 2 a odmítat LM a NTLM: Klienti používají pouze ověřování protokolem NTLM verze 2 a pokud jej server podporuje, používají zabezpečení relace protokolem NTLM verze 2. Řadiče domény odmítají ověřování protokoly LM a NTLM (přijímají pouze ověřování protokolem NTLM verze 2). Důležité Toto nastavení může ovlivnit schopnost počítačů se systémy Windows 2000 Server, Windows 2000 Professional, Windows XP Professional a systémem řady Windows Server 2003 komunikovat prostřednictvím sítě s počítači se systémy Windows NT verze 4.0 a starší. V době napsání tohoto textu nepodporovaly počítače se systémem Windows NT 4.0 SP4 a starší protokol NTLM verze 2. Počítače se systémem Windows 95 a Windows 98 nepodporovaly protokol NTLM. Výchozí nastavení: Windows 2000 a Windows XP: Odeslat odpovědi LM a NTLM Windows Server 2003: Odesílat pouze odpovědi NTLM Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2: Odesílat pouze odpovědi NTLM verze 2 |
Network security: LAN Manager authentication level
This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows: Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication). Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication). Important This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM. Default: Windows 2000 and windows XP: send LM & NTLM responses Windows Server 2003: Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only |
2015 | Zabezpečení sítě: Požadavky podepisování klienta LDAP
Toto nastavení zabezpečení určuje úroveň podepisování dat, která je požadována jménem klientů, kteří odesílají požadavky LDAP BIND následujícím způsobem: Žádné: Požadavek LDAP BIND je odeslán s možnostmi, které určí volající. Vyjednat podepisování: Pokud nebylo spuštěno zabezpečení protokoly TLS nebo SSL, je iniciován požadavek LDAP BIND, který má kromě možností určených volajícím nastavenou možnost podepisování dat LDAP. Pokud bylo zabezpečení protokolem TLS nebo SSL spuštěno, je požadavek LDAP BIND iniciován s možnostmi určenými volajícím. Požadovat podpis: Tato možnost je stejná jako Vyjednat podepisování. Pokud však střední odezva saslBindInProgress serveru LDAP neindikuje, že je požadováno podepisování provozu LDAP, obdrží volající informaci, že požadavek na příkaz LDAP BIND selhal. Upozornění Pokud nastavíte server na možnost Požadovat podpis, musíte také nastavit klienta. Nenastavíte-li klienta, dojde ke ztrátě připojení k serveru. Poznámka: Toto nastavení nemá žádný vliv na požadavky ldap_simple_bind a ldap_simple_bind_s. Žádní klienti Microsoft LDAP dodávaní se systémem Windows XP Professional nepoužívají požadavky ldap_simple_bind a ldap_simple_bind_s ke komunikaci s řadičem domény. Výchozí nastavení: Vyjednat podepisování. |
Network security: LDAP client signing requirements
This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows: None: The LDAP BIND request is issued with the options that are specified by the caller. Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller. Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed. Caution If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server. Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller. Default: Negotiate signing. |
2016 | Zabezpečení sítě: Minimální zabezpečení relací klientů na základě NTLM SSP včetně zabezpečeného volání RPC
Toto nastavení zabezpečení umožňuje klientovi požadovat vyjednávání 128bitového šifrování nebo zabezpečení relace protokolem NTLM verze 2. Tyto hodnoty závisí na hodnotě nastavení zabezpečení úrovně ověřování pro systém LAN Manager. K dispozici jsou následující možnosti:. Požadovat zabezpečení relací protokolem NTLM verze 2. Pokud není vyjednán protokol NTLM verze 2, připojení se nezdaří. Požadovat 128bitové šifrování. Pokud není vyjednáno silné šifrování (128bitů), připojení se nezdaří. Výchozí nastavení: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 a Windows Server 2008: Žádné požadavky. Windows 7 a Windows Server 2008 R2: Požadovat 128bitové šifrování |
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated. Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2017 | Zabezpečení sítě: Minimální zabezpečení relací serverů na základě NTLM SSP včetně zabezpečeného volání RPC
Toto nastavení zabezpečení umožňuje serveru požadovat vyjednávání 128bitového šifrování nebo zabezpečení relace protokolem NTLM verze 2. Tyto hodnoty závisí na hodnotě nastavení zabezpečení úrovně ověřování pro systém LAN Manager. K dispozici jsou následující možnosti: Požadovat zabezpečení relací protokolem NTLM verze 2. Pokud není vyjednána integrita zpráv, připojení se nezdaří. Požadovat 128bitové šifrování. Pokud není vyjednáno silné šifrování (128bitů), připojení se nezdaří. Výchozí nastavení: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 a Windows Server 2008: Žádné požadavky. Windows 7 a Windows Server 2008 R2: Požadovat 128bitové šifrování |
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if message integrity is not negotiated. Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption |
2018 | Konzola pro zotavení: Povolit automatické přihlášení správce
Toto nastavení zabezpečení určuje, zda musí být před udělením přístupu k systému zadáno heslo pro účet správce. Pokud je tato možnost povolena, konzola pro zotavení nebude vyžadovat zadání hesla a proběhne automatické přihlášení k systému. Výchozí nastavení: Tato zásada není definována a automatické přihlášení pro správu není povoleno. |
Recovery console: Allow automatic administrative logon
This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system. Default: This policy is not defined and automatic administrative logon is not allowed. |
2019 | Konzola pro zotavení: Umožnit kopírování diskety a přístup ke všem jednotkám a složkám
Povolením této možnosti zabezpečení lze zpřístupnit příkaz SET konzoly pro zotavení, který umožňuje nastavení následujících proměnných konzoly pro zotavení: AllowWildCards: Povolí podporu zástupných znaků v některých příkazech (například v příkazu DEL). AllowAllPaths: Povolí přístup ke všem souborům a složkám k počítači. AllowRemovableMedia: Umožní zkopírovat soubory na výměnná média, například na disketu. NoCopyPrompt: Nezobrazuje výzvu, když přepisuje existující soubor. Výchozí nastavení: Tato zásada není definována a příkaz SET pro obnovení konzoly není k dispozici. |
Recovery console: Allow floppy copy and access to all drives and all folders
Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables: AllowWildCards: Enable wildcard support for some commands (such as the DEL command). AllowAllPaths: Allow access to all files and folders on the computer. AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk. NoCopyPrompt: Do not prompt when overwriting an existing file. Default: This policy is not defined and the recover console SET command is not available. |
2020 | Vypnutí: Umožnit vypnutí systému bez přihlášení
Toto nastavení zabezpečení určuje, zda je možné počítač vypnout bez nutnosti přihlásit se k systému Windows. Pokud je tato zásada povolena, je na obrazovce přihlášení k systému Windows dostupný příkaz Vypnout. Pokud je tato zásada zakázána, možnost Vypnout se na obrazovce přihlášení k systému Windows nezobrazí. V tomto případě se uživatelé musejí před vypnutím systému úspěšně přihlásit k počítači a musejí mít uživatelské právo k vypnutí systému. Výchozí hodnota v pracovních stanicích: Povoleno. Výchozí hodnota na serverech: Zakázáno. |
Shutdown: Allow system to be shut down without having to log on
This security setting determines whether a computer can be shut down without having to log on to Windows. When this policy is enabled, the Shut Down command is available on the Windows logon screen. When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown. Default on workstations: Enabled. Default on servers: Disabled. |
2021 | Vypnutí: Vyčistit stránkovací soubor virtuální paměti
Toto nastavení zabezpečení určuje, zda je stránkovací soubor virtuální paměti při každém vypnutí systému vyčištěn. Podpora virtuální paměti používá k odkládání nepoužívaných stránek paměti na disk stránkovací soubor systému. Ve spuštěném systému je stránkovací soubor otevřen operačním systémem s výhradním přístupem a je dobře chráněn. Systémy, které jsou nakonfigurovány tak, aby umožňovaly spouštění jiných operačních systémů, by měly při vypnutí systému zkontrolovat, zda je stránkovací soubor úplné smazán. Tím je zajištěno, že citlivé informace z paměti procesů, které by se mohly dostat do stránkovacího souboru, nejsou dostupné neoprávněnému uživateli, který se pokusí o přímý přístup ke stránkovacímu souboru. Pokud je tato zásada povolena, je stránkovací soubor při čistém vypnutí systému vymazán. Pokud tuto možnost zabezpečení povolíte, bude vynulován také soubor režimu spánku (hiberfil.sys), pokud je režim spánku zakázán. Výchozí nastavení: Zakázáno. |
Shutdown: Clear virtual memory pagefile
This security setting determines whether the virtual memory pagefile is cleared when the system is shut down. Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile. When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled. Default: Disabled. |
2022 | Kryptografie systému: Vynutit silnou ochranu uživatelských klíčů uložených v počítači
Toto nastavení zabezpečení určuje, zda je k privátním klíčům uživatele vyžadováno heslo. Možnosti jsou následující: Při ukládání a používání nových klíčů není požadován vstup uživatele. Uživatel je vyzván k zadání hesla při prvním použití klíče. Uživatel musí zadat heslo při každém použití klíče. Další informace naleznete v infrastruktuře veřejných klíčů. Výchozí hodnota: Tato zásada není definována. |
System Cryptography: Force strong key protection for user keys stored on the computer
This security setting determines if users' private keys require a password to be used. The options are: User input is not required when new keys are stored and used User is prompted when the key is first used User must enter a password each time they use a key For more information, see Public key infrastructure. Default: This policy is not defined. |
2023 | Kryptografie systému: Používat kryptografické algoritmy vyhovující standardu FIPS 140, včetně algoritmů pro šifrování, výpočet hodnoty hash a podepisování
Pro zprostředkovatele služeb zabezpečení Schannel toto nastavení zabezpečení zakazuje slabší protokoly SSL (Secure Sockets Layer) a podporuje pouze protokoly TLS (Transport Layer Security) jako klienta a jako server (pokud lze použít). Pokud je toto nastavení povoleno, používá zprostředkovatel zabezpečení TLS/SSL (Transport Layer Security/Secure Sockets Layer) pouze schválené kryptografické algoritmy FIPS 140: 3DES a AES pro šifrování, kryptografii veřejného klíče RSA nebo ECC pro výměnu a ověřování klíčů protokolem TLS a pouze algoritmus SHA (SHA1, SHA256, SHA384 a SHA512) pro požadavky algoritmu hash TLS. Pro službu systému souborů EFS (Encrypting File System) podporuje šifrovací algoritmy Triple DES (Data Encryption Standard) a AES (Advanced Encryption Standard) pro šifrování dat souborů podporovaných systémem souborů NTFS. Ve výchozím nastavení používá služba systému souborů EFS pro šifrování dat souborů algoritmus AES s 256bitovým klíčem v systémech řady Windows Server 2003 a Windows Vista a algoritmus DESX v systému Windows XP. Informace o službě systému souborů EFS naleznete v části Systém souborů EFS. Pro Vzdálenou plochu podporuje pouze šifrovací algoritmus Triple DES pro šifrování síťové komunikace Vzdálené plochy. Poznámka: Vzdálená plocha se v předchozích verzích systémů Windows Server nazývala Terminálová služba. Pro nástroj BitLocker je nutné tuto zásadu povolit před generováním šifrovacího klíče. Hesla pro obnovení, která byla vytvořena v době, kdy byla tato zásada povolena, nejsou kompatibilní s nástrojem BitLocker v operačních systémech Windows 8, Windows Server 2012 a dřívějších. Pokud je tato zásada použita v počítačích s operačními systémy staršími než Windows 8.1 a Windows Server 2012 R2, zabrání nástroj BitLocker ve vytvoření nebo použití hesel pro obnovení; namísto nich je třeba v těchto počítačích použít obnovovací klíče. Výchozí nastavení: Zakázáno. Poznámka: Standard FIPS (Federal Information Processing Standard) 140 je implementace zabezpečení určená k certifikaci kryptografického softwaru. Software ověřený standardem FIPS 140 je požadován vládou Spojených států a jinými významnými institucemi. |
System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms
For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements. For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System. For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead. Default: Disabled. Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions. |
2024 | Systémové objekty: Výchozí vlastník objektů vytvořených členy skupiny Administrators
Popis Toto nastavení zabezpečení určuje, který objekt zabezpečení bude označen jako VLASTNÍK objektů, pokud je objekt vytvořen členem skupiny Administrators. Výchozí hodnota: Windows XP: SID uživatele Windows 2003: Skupina Administrators |
System objects: Default owner for objects created by members of the Administrators group
Description This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group. Default: Windows XP: User SID Windows 2003 : Administrators Group |
2025 | Systémové objekty: Pro podsystémy nezaložené na systému Windows požadovat nerozlišování malých a velkých písmen
Toto nastavení zabezpečení určuje, zda je ve všech podsystémech vynuceno nerozlišování malých a velkých písmen. Podsystém Win32 nerozlišuje malá a velká písmena. Jádro ale podporuje rozlišování malých a velkých písmen pro jiné podsystémy, například POSIX. Pokud je toto nastavení povoleno, je nerozlišování malých a velkých písmen vynuceno pro všechny objekty adresáře, symbolické odkazy a objekty V/V, včetně souborových objektů. Zákazem tohoto nastavení nelze rozlišování malých a velkých písmen v podsystému Win32 povolit. Výchozí nastavení: Povoleno. |
System objects: Require case insensitivity for non-Windows subsystems
This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX. If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive. Default: Enabled. |
2026 | Systémové objekty: Posílit výchozí oprávnění interních systémových objektů (např. symbolické odkazy)
Toto nastavení zabezpečení určuje sílu výchozího volitelného seznamu řízení přístupu (DACL) pro objekty. Služba Active Directory udržuje globální seznam sdílených prostředků, například názvů zařízení systému DOS, objektů mutex a semaforů. Tímto způsobem lze vyhledávat objekty a sdílet je mezi procesy. Každý typ objektu je vytvořen s výchozím seznamem DACL, který určuje, kdo může k objektům přistupovat a jaká oprávnění jsou udělena. Pokud je tato zásada povolena, je výchozí seznam DACL silnější, protože umožňuje uživatelům, kteří nejsou správci, číst sdílené objekty, ale nedovolí jim upravovat sdílené objekty, které sami nevytvořili. Výchozí nastavení: Povoleno. |
System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)
This security setting determines the strength of the default discretionary access control list (DACL) for objects. Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted. If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create. Default: Enabled. |
2027 | Nastavení systému: Volitelné podsystémy
Toto nastavení zabezpečení určuje, které podsystémy mohou být nepovinně spuštěny k podpoře aplikací. Tímto nastavením zabezpečení můžete určit právě tolik podsystémů pro podporu aplikací, kolik prostředí požaduje. Výchozí nastavení: POSIX. |
System settings: Optional subsystems
This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands. Default: POSIX. |
2028 | Nastavení systému: Nastavit zásady omezení softwaru pomocí pravidel certifikátů pro spustitelné soubory systému Windows
Toto nastavení zabezpečení určuje, zda jsou při pokusu uživatele nebo procesu o spuštění softwaru s příponou souboru EXE zpracovávány digitální certifikáty. Tato nastavení zabezpečení umožňuje povolit nebo zakázat pravidla certifikátů, typ pravidla zásad omezení softwaru. Zásady omezení softwaru umožňují vytvořit pravidlo certifikátů, které umožní nebo zabrání spuštění softwaru s podpisem Authenticode, na základě digitálního certifikátu přidruženého k softwaru. Pravidla certifikátů se projeví, je-li toto nastavení zabezpečení povoleno. Pokud jsou pravidla certifikátu povolena, zásady omezení softwaru zkontrolují seznam odvolaných certifikátů (CRL) a ověří platnost certifikátů a podpisů softwaru. Při spouštění podepsaných programů se tím může snížit výkon. Tuto funkci je možné zakázat. V okně Vlastnosti důvěryhodných vydavatelů zrušte zaškrtnutí políček Vydavatel a Časové razítko. Další informace získáte v části Nastavit možnosti důvěryhodných vydavatelů. Výchozí nastavení: Zakázáno. |
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting. When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options. Default: Disabled. |
2029 | Maximální velikost aplikačního protokolu
Toto nastavení zabezpečení určuje maximální velikost protokolu aplikačních událostí, jejíž teoretická nejvyšší hodnota je 4 GB. V praxi je limit nižší (~300MB). Poznámky Velikosti souboru protokolu musí být násobkem 64 kB. Pokud zadáte hodnotu, která není násobkem 64 kB, zaokrouhlí prohlížeč událostí velikost souboru protokolu nahoru na násobek 64 kB. Toto nastavení se nezobrazuje v objektu zásad místního počítače. Velikost protokolu událostí a obálka protokolu by měly být určeny tak, aby odpovídaly podnikovým požadavkům a požadavkům na zabezpečení, které jste určili v návrhu plánu zabezpečení podniku. Zvažte implementaci těchto nastavení protokolu událostí na úrovni serveru, domény nebo organizační jednotky, získáte tím výhody nastavení zásad skupiny. Výchozí nastavení: 16 MB pro systémy řady Windows Server 2003, 8 MB pro systém Windows XP Professional Service Pack 1, 512 kB pro systém Windows XP Professional. |
Maximum application log size
This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2030 | Maximální velikost protokolu zabezpečení
Toto nastavení zabezpečení určuje maximální velikost protokolu událostí zabezpečení, jejíž teoretická nejvyšší hodnota je 4 GB. V praxi je limit nižší (~300MB). Poznámky Velikosti souboru protokolu musí být násobkem 64 kB. Pokud zadáte hodnotu, která není násobkem 64 kB, zaokrouhlí prohlížeč událostí velikost souboru protokolu nahoru na násobek 64 kB. Toto nastavení se nezobrazuje v objektu zásad místního počítače. Velikost protokolu událostí a obálka protokolu by měly být určeny tak, aby odpovídaly podnikovým požadavkům a požadavkům na zabezpečení, které jste určili v návrhu plánu zabezpečení podniku. Zvažte implementaci těchto nastavení protokolu událostí na úrovni serveru, domény nebo organizační jednotky, získáte tím výhody nastavení zásad skupiny. Výchozí nastavení: 16 MB pro systémy řady Windows Server 2003, 8 MB pro systém Windows XP Professional Service Pack 1, 512 kB pro systém Windows XP Professional. |
Maximum security log size
This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2031 | Maximální velikost systémového protokolu
Toto nastavení zabezpečení určuje maximální velikost protokolu systémových událostí, jejíž teoretická nejvyšší hodnota je 4 GB. V praxi je limit nižší (~300MB). Poznámky Velikosti souboru protokolu musí být násobkem 64 kB. Pokud zadáte hodnotu, která není násobkem 64 kB, zaokrouhlí prohlížeč událostí velikost souboru protokolu nahoru na násobek 64 kB. Toto nastavení se nezobrazuje v objektu zásad místního počítače. Velikost protokolu událostí a obálka protokolu by měly být určeny tak, aby odpovídaly podnikovým požadavkům a požadavkům na zabezpečení, které jste určili v návrhu plánu zabezpečení podniku. Zvažte implementaci těchto nastavení protokolu událostí na úrovni serveru, domény nebo organizační jednotky, získáte tím výhody nastavení zásad skupiny. Výchozí nastavení: 16 MB pro systémy řady Windows Server 2003, 8 MB pro systém Windows XP Professional Service Pack 1, 512 kB pro systém Windows XP Professional. |
Maximum system log size
This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB. |
2032 | Zabránit místní skupině Guests a uživatelům s účtem ANONYMOUS LOGON získat přístup k aplikačnímu protokolu
Toto nastavení zabezpečení určuje, zda je hostům zabráněno v přístupu k protokolu aplikačních událostí. Poznámky Toto nastavení se nezobrazuje v objektu zásad místního počítače. Toto nastavení zabezpečení má vliv pouze na počítače se systémem Windows 2000 a Windows XP. Výchozí hodnota: Povoleno v systému Windows XP, Zakázáno v systému Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2033 | Zabránit místní skupině Guests a uživatelům s účtem ANONYMOUS LOGON získat přístup k protokolu zabezpečení
Toto nastavení zabezpečení určuje, zda je hostům zabráněno v přístupu k protokolu aplikačních událostí. Poznámky Toto nastavení se nezobrazuje v objektu zásad místního počítače. Toto nastavení zabezpečení má vliv pouze na počítače se systémem Windows 2000 a Windows XP. Výchozí hodnota: Povoleno v systému Windows XP, Zakázáno v systému Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2034 | Zabránit místní skupině Guests a uživatelům s účtem ANONYMOUS LOGON získat přístup k systémovému protokolu
Toto nastavení zabezpečení určuje, zda je hostům zabráněno v přístupu k protokolu aplikačních událostí. Poznámky Toto nastavení se nezobrazuje v objektu zásad místního počítače. Toto nastavení zabezpečení má vliv pouze na počítače se systémem Windows 2000 a Windows XP. Výchozí hodnota: Povoleno v systému Windows XP, Zakázáno v systému Windows 2000 |
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log
This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000 |
2035 | Doba uchování aplikačního protokolu
Toto nastavení zabezpečení určuje počet dnů, po které má být událost ponechána v aplikačním protokolu, pokud je v aplikačním protokolu jako metoda uchování vybrána možnost Podle dnů. Tuto hodnotu nastavte, pouze pokud protokol archivujete v plánovaných intervalech a jste si jisti, že je maximální velikost aplikačního protokolu dostatečně velká k pokrytí tohoto intervalu. Poznámka: Toto nastavení se nezobrazuje v objektu zásad místního počítače. Výchozí nastavení: Žádné. |
Retain application log
This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2036 | Doba uchování protokolu zabezpečení
Toto nastavení zabezpečení určuje počet dnů, po které má být událost ponechána v aplikačním protokolu, pokud je v aplikačním protokolu jako metoda uchování vybrána možnost Podle dnů. Tuto hodnotu nastavte, pouze pokud protokol archivujete v plánovaných intervalech a jste si jisti, že je maximální velikost aplikačního protokolu dostatečně velká k pokrytí tohoto intervalu. Poznámky Toto nastavení se nezobrazuje v objektu zásad místního počítače. Přístup k protokolu zabezpečení vyžaduje, aby měl uživatel uživatelské právo Spravovat auditování a protokol zabezpečení. Výchozí nastavení: Žádné. |
Retain security log
This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2037 | Doba uchování systémového protokolu
Toto nastavení zabezpečení určuje počet dnů, po které má být událost ponechána v systémovém protokolu, pokud je v systémovém protokolu jako metoda uchování vybrána možnost Podle dnů. Tuto hodnotu nastavte, pouze pokud protokol archivujete v plánovaných intervalech a jste si jisti, že je maximální velikost systémového protokolu dostatečně velká k pokrytí tohoto intervalu. Poznámka: Toto nastavení se nezobrazuje v objektu zásad místního počítače. Výchozí nastavení: Žádné. |
Retain system log
This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2038 | Metoda uchování aplikačního protokolu
Toto nastavení zabezpečení určuje metodu "obálky" aplikačního protokolu. Pokud nearchivujete aplikační protokol, zaškrtněte políčko Definovat toto nastavení zásad v dialogovém okně Vlastnosti pro tuto zásadu a potom v klikněte na tlačítko Přepisovat události podle potřeby. Pokud archivujete protokol v plánovaných intervalech, zaškrtněte políčko Definovat toto nastavení zásad v dialogovém okně Vlastnosti pro tuto zásadu, potom klikněte na tlačítko Přepisovat události podle data a v nastavení Doba uchování aplikačního protokolu zadejte odpovídající počet dnů. Zajistěte, aby byla maximální velikost aplikačního protokolu dostatečně velká k pokrytí tohoto intervalu. Pokud musíte ponechávat všechny události v protokolu, zaškrtněte políčko Definovat toto nastavení zásad v dialogovém okně Vlastnosti pro tuto zásadu a potom klikněte na tlačítko Nepřepisovat události (protokol vymazávat ručně). Tato možnost požaduje ruční mazání protokolu. Pokud je v tomto případě dosažena maximální velikost protokolu, jsou nové události zahazovány. Poznámka: Toto nastavení se nezobrazuje v objektu zásad místního počítače. Výchozí nastavení: Žádné. |
Retention method for application log
This security setting determines the "wrapping" method for the application log. If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2039 | Metoda uchování protokolu zabezpečení
Toto nastavení zabezpečení určuje metodu "obálky" protokolu zabezpečení. Pokud nearchivujete protokol zabezpečení, zaškrtněte políčko Definovat toto nastavení zásad v dialogovém okně Vlastnosti pro tuto zásadu a potom klikněte na tlačítko Přepisovat události podle potřeby. Pokud archivujete protokol v plánovaných intervalech, zaškrtněte políčko Definovat toto nastavení zásad v dialogovém okně Vlastnosti pro tuto zásadu, potom klikněte na tlačítko Přepisovat události podle data a v nastavení Doba uchování aplikačního protokolu zadejte odpovídající počet dnů. Zajistěte, aby byla maximální velikost protokolu zabezpečení dostatečně velká k pokrytí tohoto intervalu. Pokud musíte ponechávat všechny události v protokolu, zaškrtněte políčko Definovat toto nastavení zásad v dialogovém okně Vlastnosti pro tuto zásadu a potom klikněte na tlačítko Nepřepisovat události (protokol vymazávat ručně). Tato možnost požaduje ruční mazání protokolu. Pokud je v tomto případě dosažena maximální velikost protokolu, jsou nové události zahazovány. Poznámky Toto nastavení se nezobrazuje v objektu zásad místního počítače. Přístup k protokolu zabezpečení vyžaduje, aby měl uživatel uživatelské právo Spravovat auditování a protokol zabezpečení Výchozí nastavení: Žádné. |
Retention method for security log
This security setting determines the "wrapping" method for the security log. If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None. |
2040 | Metoda uchování systémového protokolu
Toto nastavení zabezpečení určuje metodu "obálky" systémového protokolu. Pokud nearchivujete systémový protokol, zaškrtněte políčko Definovat toto nastavení zásad v dialogovém okně Vlastnosti pro tuto zásadu a potom v klikněte na tlačítko Přepisovat události podle potřeby. Pokud archivujete protokol v plánovaných intervalech, zaškrtněte políčko Definovat toto nastavení zásad v dialogovém okně Vlastnosti pro tuto zásadu, potom klikněte na tlačítko Přepisovat události podle data a v nastavení Doba uchování systémového protokolu zadejte odpovídající počet dnů. Zajistěte, aby byla maximální velikost systémového protokolu dostatečně velká k pokrytí tohoto intervalu. Pokud musíte ponechávat všechny události v protokolu, zaškrtněte políčko Definovat toto nastavení zásad v dialogovém okně Vlastnosti pro tuto zásadu a potom klikněte na tlačítko Nepřepisovat události (protokol vymazávat ručně). Tato možnost požaduje ruční mazání protokolu. Pokud je v tomto případě dosažena maximální velikost protokolu, jsou nové události zahazovány. Poznámka: Toto nastavení se nezobrazuje v objektu zásad místního počítače. Výchozí nastavení: Žádné. |
Retention method for system log
This security setting determines the "wrapping" method for the system log. If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval .If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded Note: This setting does not appear in the Local Computer Policy object. Default: None. |
2041 | Skupiny s omezeným členstvím
Toto nastavení zabezpečení umožňuje správci definovat dvě vlastnosti pro skupiny citlivé na zabezpečení (skupiny s omezeným členstvím). Jedná se o vlastnosti Členové a Je členem. Seznam Členové určuje, kdo patří a kdo nepatří do skupiny s omezeným členstvím. Seznam Je členem určuje další skupiny, do kterých skupina s omezeným členstvím patří. Pokud je vynucena zásada skupin s omezeným členstvím, je odstraněn každý aktuální člen skupiny s omezeným členstvím, který není v seznamu Členové. Je přidán každý uživatel v seznamu Členové, který aktuálně není členem skupiny s omezeným členstvím. Zásadu skupin s omezeným členstvím můžete použít k řízení členství ve skupinách. Pomocí zásad můžete určit, zda jsou členové částí skupiny. Všichni členové, kteří nejsou v zásadě určeni jsou při konfiguraci nebo aktualizaci odebráni. Možnost konfigurace zpětného členství zajišťuje, že každá skupina s omezeným členstvím je členem pouze těch skupin, které jsou zadány ve sloupci Je členem. Můžete například vytvořit zásadu skupin s omezeným členstvím, která umožní členství ve skupině Administrators pouze zadaným uživatelům (například Alice a Jan). Pokud je zásada aktualizována, budou ponecháni ve skupině Administrators pouze uživatelé Alice a Jan. Jsou k dispozici dva způsoby použití zásad skupiny s omezeným členstvím: Definovat zásady v šabloně zabezpečení, která bude použita při konfiguraci místního počítače. Definovat přímo nastavení objektu zásad skupiny (GPO), což znamená, že se zásady uplatní při každé aktualizaci zásad. Nastavení zabezpečení jsou na pracovní stanici aktualizována každých 90 minut a na řadiči domény každých 5 minut. Nastavení je také aktualizováno každých 16 hodin bez ohledu na to, zda došlo ke změně. Výchozí nastavení: Není určeno. Upozornění Pokud je definována zásada skupin s omezeným členstvím a skupina s omezeným členstvím je aktualizována, je odstraněn každý člen, který není v seznamu členů zásady skupiny s omezeným členstvím. K těm mohou patřit výchozí členové, například správci. Poznámky Skupiny s omezeným členstvím jsou užívány zejména ke konfiguraci členství místních skupin na pracovních stanicích nebo členských serverech. Prázdný seznam Členové znamená, že skupina s omezeným členstvím nemá žádné členy. Prázdný seznam Je členem znamená, že nejsou určeny žádné skupiny, do kterých skupina s omezeným členstvím patří. |
Restricted Groups
This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups). The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to. When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added. You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column. For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group. There are two ways to apply Restricted Groups policy: Define the policy in a security template, which will be applied during configuration on your local computer. Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes. Default: None specified. Caution If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators. Notes Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers. An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified. |
2042 | Nastavení zabezpečení systémových služeb
Umožňuje správci definovat režim spouštění (ručně, automaticky nebo zakázáno) a přístupová oprávnění (Spustit, Zastavit nebo Pozastavit) pro všechny systémové služby. Výchozí nastavení: Není definováno. Poznámky Toto nastavení se nezobrazuje v objektu zásad místního počítače. Pokud nastavíte spuštění systémové služby na možnost Automaticky, odpovídajícím způsobem vyzkoušejte, zda se mohou služby spustit bez zásahu uživatele. Z důvodu optimalizace nastavte nepotřebné nebo nepoužívané služby na možnost Ručně. |
System Services security settings
Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services. Default: Undefined. Notes This setting does not appear in the Local Computer Policy object. If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention. For performance optimization, set unnecessary or unused services to Manual. |
2043 | Nastavení zabezpečení registru
Umožňuje správci definovat přístupová oprávnění (ve volitelném seznamu řízení přístupu - DACL) a nastavení auditování (v systémovém seznamu řízení přístupu - SACL) pro klíče registru pomocí správce konfigurace zabezpečení. Výchozí nastavení: Není definováno. Poznámka: Toto nastavení se nezobrazuje v objektu zásad místního počítače. |
Registry security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2044 | Nastavení zabezpečení systému souborů
Umožňuje správci definovat přístupová oprávnění (ve volitelném seznamu řízení přístupu - DACL) a nastavení auditování (v systémovém seznamu řízení přístupu - SACL) pro objekty systému souborů pomocí správce konfigurace zabezpečení. Výchozí nastavení: Není definováno. Poznámka: Toto nastavení se nezobrazuje v objektu zásad místního počítače. |
File System security settings
Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object. |
2045 | Audit: Vynutit přednost nastavení podkategorie zásad auditování (Windows Vista nebo novější) před nastavením kategorie zásad auditování
Windows Vista a novější verze systému Windows umožňují přesnější správu zásad auditování pomocí podkategorií zásad auditování. Nastavení zásady auditování na úrovni kategorie má přednost před novou funkcí zásady auditování podkategorie. Zásady skupiny umožňují nastavení zásad auditování pouze na úrovni kategorie a existující zásady skupiny mohou přepsat nastavení podkategorie u nových počítačů, pokud jsou připojeny k doméně nebo upgradovány na systém Windows Vista či novější verze. Aby bylo možné povolit správu zásad auditování pomocí podkategorií bez nutnosti změny zásad skupiny, byla do systému Windows Vista a novějších verzí přidána nová hodnota registru, SCENoApplyLegacyAuditPolicy, která zabraňuje použití zásad auditování na úrovni kategorie ze zásad skupiny a z nástroje správy Místní zásady zabezpečení. Pokud zde nastavené zásady auditování na úrovni kategorie nejsou konzistentní s aktuálně generovanými událostmi, může být příčinou nastavení tohoto klíče registru. Výchozí hodnota: Povoleno |
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool. If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set. Default: Enabled |
2046 | Řízení uživatelských účtů: Použít Režim schválení správcem pro předdefinovaný účet správce
Toto nastavení zásad určuje chování Režimu schválení správcem pro předdefinovaný účet správce. Možnosti: • Povoleno: Předdefinovaný účet správce použije Režim schválení správcem. Ve výchozím nastavení zobrazí každá operace vyžadující zvýšení oprávnění výzvu uživateli ke schválení operace. • Zakázáno: (Výchozí) Předdefinovaný účet správce spustí všechny aplikace s úplnými oprávněními správce. |
User Account Control: Use Admin Approval Mode for the built-in Administrator account
This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account. The options are: • Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation. • Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege. |
2047 | DCOM: Omezení přístupu pro počítač v syntaxi jazyka SDDL (Security Descriptor Definition Language)
Toto nastavení zásad určuje, kteří uživatelé nebo skupiny mohou získat vzdálený nebo místní přístup k aplikaci DCOM. Toto nastavení slouží k řízení prostoru pro útok na počítač pro aplikace DCOM. Pomocí těchto zásad můžete určit oprávnění k přístupu ke všem počítačům konkrétním uživatelům aplikací DCOM v rozlehlé síti. Pokud zadáte uživatele a skupiny, kterým má být poskytnuto oprávnění, bude do pole popisovače zabezpečení načtena hodnota v jazyce SDDL přestavující tyto skupiny a oprávnění. Jestliže je popisovač zabezpečení ponechán prázdný, bude nastavení zásady definováno v šabloně, nebude však vynuceno. Uživatelům a skupinám lze přiřadit explicitní oprávnění Povolit nebo Zakázat pro místní i vzdálený přístup. Nastavení registru vytvořená jako výsledek povolení zásady DCOM: Omezení přístupu pro počítač v syntaxi jazyka SDDL (Security Descriptor Definition Language) mají přednost (mají vyšší prioritu) před předchozím nastavením registru v této oblasti. Služba Vzdálené volání procedur (RpcSs) zkontroluje, zda nové klíče registru v části Policies obsahují omezení pro počítač a tyto položky registru mají přednost před existujícími klíči registru v části OLE. To znamená, že dříve existující nastavení registru již nejsou platná a pokud tato existující nastavení registru změníte, oprávnění přístupu k počítači pro uživatele se nezmění. Při konfiguraci jejich seznamu uživatelů a skupin postupujte opatrně. Možné hodnoty pro nastavení této zásady jsou: Prázdné: Tato hodnota představuje způsob odstranění vynucovacího klíče zásady místními zásadami zabezpečení. Tato hodnota zásadu odstraní a pak ji převede do stavu Nedefinováno. Hodnotu Prázdná lze nastavit pomocí editoru ACL a vymazáním seznamu a stisknutím tlačítka OK. SDDL: Toto je hodnota v jazyce SDDL představující skupiny a oprávnění, které zadáte při povolení této zásady. Nedefinováno: Toto je výchozí hodnota. Poznámka: Pokud správce zamítl oprávnění k přístupu aplikacím DCOM z důvodu změn provedeným v modelu DCOM v systému Windows, může pomocí nastavení zásady DCOM: Omezení přístupu pro počítač v syntaxi jazyka SDDL (Security Descriptor Definition Language) spravovat přístup modelu DCOM k počítači. Pomocí tohoto nastavení může správce určit, kteří uživatelé a skupiny mohou získat místní nebo vzdálený přístup k aplikaci DCOM. Tímto způsobem je možné obnovit řízení aplikace DCOM správcem a uživateli. Postup: Otevřete nastavení zásady DCOM: Omezení přístupu pro počítač v syntaxi jazyka SDDL (Security Descriptor Definition Language) a klikněte na možnost Upravit zabezpečení. Zadejte skupiny, které chcete zahrnout, a oprávnění k přístupu k těmto skupinám pro počítač. Tím definujete nastavení a nastavíte správnou hodnotu SDDL. |
DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access. The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups. The possible values for this policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2048 | DCOM: Omezení spouštění pro počítač v syntaxi jazyka SDDL (Security Descriptor Definition Language)
Nastavení této zásady určuje, kteří uživatelé nebo skupiny mohou místně či vzdáleně spouštět nebo aktivovat aplikace DCOM. Toto nastavení slouží k řízení prostoru pro útok na počítač pro aplikace DCOM. Toto nastavení lze použít k udělení přístupu ke všem počítačům pro uživatele aplikací DCOM. Pokud definujete toto nastavení a zadáte uživatele nebo skupiny, kterým má být uděleno oprávnění, bude do pole popisovače zabezpečení načtena hodnota v jazyce SDDL přestavující tyto skupiny a oprávnění. Pokud bude popisovač zabezpečení ponechán prázdný, bude nastavení zásady definováno v šabloně, ale nebude vynuceno. Uživatelům a skupinám lze udělit explicitní oprávnění Povolit nebo Zakázat pro místní spuštění, vzdálené spuštění, místní aktivaci a vzdálenou aktivaci. Nastavení registru vytvořená jako výsledek mají přednost před předchozími nastaveními registru v této oblasti. Služba Vzdálené volání procedur (RpcSs) zkontroluje, zda nové klíče registru v části Policies obsahují omezení pro počítač. Tyto položky registru mají přednost před existujícími klíči registru v části OLE. Možné hodnoty nastavení těchto zásad skupiny jsou: Prázdné: Tato hodnota představuje způsob odstranění prosazovacího klíče zásady místními zásadami zabezpečení. Tato hodnota zásadu odstraní a pak ji převede do stavu Nedefinováno. Hodnotu Prázdné lze nastavit pomocí editoru ACL a vymazáním seznamu a stisknutím tlačítka OK. SDDL: Toto je hodnota v jazyce SDDL představující skupiny a oprávnění, které zadáte při povolení této zásady. Nedefinováno: Toto je výchozí hodnota. Poznámka Pokud správce zamítl oprávnění k aktivaci a spouštění aplikací DCOM z důvodu změn provedených v modelu DCOM v systému Windows, může pomocí nastavení těchto zásad spravovat řízení spouštění a aktivace modelu DCOM pro počítač. Správce může určit, kteří uživatelé a skupiny mohou místně i vzdáleně spouštět a aktivovat aplikace DCOM v počítači, pomocí nastavení zásady DCOM: Omezení spouštění pro počítač v syntaxi jazyka SDDL (Security Descriptor Definition Language). Tímto způsobem je možné obnovit řízení aplikace DCOM správcem a uživateli. Postup: Otevřete nastavení zásady DCOM: Omezení spouštění pro počítač v syntaxi jazyka SDDL a klikněte na možnost Upravit zabezpečení. Zadejte skupiny, které chcete zahrnout, a oprávnění ke spouštění počítače pro tyto skupiny. Tím definujete nastavení a nastavíte správnou hodnotu SDDL. |
DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE. The possible values for this Group Policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value. |
2049 | Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro správce v Režimu schválení správcem
Toto nastavení zásad řídí chování výzvy ke zvýšení oprávnění pro správce. Možnosti: • Zvýšit bez zobrazení výzvy: Umožňuje privilegovaným účtům provést operaci vyžadující zvýšení oprávnění bez zadání souhlasu nebo pověření. Poznámka: Tuto možnost použijte pouze ve velmi omezených prostředích. • Vyzvat k zadání pověření na zabezpečené ploše: Pokud operace vyžaduje zvýšení oprávnění, zobrazí na zabezpečené ploše výzvu pro uživatele k zadání jména a hesla privilegovaného uživatele. Zadá-li uživatel platná pověření, bude operace pokračovat s nejvyššími oprávněními uživatele. • Vyzvat k zadání souhlasu na zabezpečené ploše: Pokud operace vyžaduje zvýšení oprávnění, zobrazí na zabezpečené ploše výzvu pro uživatele k výběru možnosti Povolit nebo Zakázat. Vybere-li uživatel možnost Povolit, bude operace pokračovat s nejvyššími možnými oprávněními daného uživatele. • Vyzvat k zadání pověření: Pokud operace vyžaduje zvýšení oprávnění, zobrazí výzvu pro uživatele k zadání uživatelského jména a hesla pro správu. Zadá-li uživatel platná pověření, bude operace pokračovat s příslušnými oprávněními. • Vyzvat k zadání souhlasu: Pokud operace vyžaduje zvýšení oprávnění, zobrazí výzvu pro uživatele k výběru možnosti Povolit nebo Zakázat. Vybere-li uživatel možnost Povolit, bude operace pokračovat s nejvyššími možnými oprávněními daného uživatele. • Vyzvat k zadání souhlasu pro binární soubory nepocházející z Windows: (Výchozí) Pokud operace jiné aplikace než společnosti Microsoft vyžaduje zvýšení oprávnění, zobrazí na zabezpečené ploše výzvu pro uživatele k výběru možnosti Povolit nebo Zakázat. Vybere-li uživatel možnost Povolit, bude operace pokračovat s nejvyššími možnými oprávněními daného uživatele. |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
This policy setting controls the behavior of the elevation prompt for administrators. The options are: • Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege. • Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. |
2050 | Řízení uživatelských účtů: Chování výzvy ke zvýšení oprávnění pro standardní uživatele
Toto nastavení zásad řídí chování výzvy ke zvýšení oprávnění pro standardní uživatele. Možnosti: • Vyzvat k zadání přihlašovacích údajů: (výchozí) Pokud operace vyžaduje zvýšení oprávnění, zobrazí výzvu pro uživatele k zadání uživatelského jména a hesla pro správu. Pokud uživatel zadá platné přihlašovací údaje, bude operace pokračovat s příslušnými oprávněními. • Automaticky zamítnout žádosti o zvýšení oprávnění: Pokud operace vyžaduje zvýšení oprávnění, zobrazí se konfigurovatelná zpráva o zamítnutí přístupu. Podnik provozující počítače jako standardní uživatele může zvolit toto nastavení, aby snížil počet volání helpdesku. • Vyzvat k zadání přihlašovacích údajů na zabezpečené ploše: Pokud operace vyžaduje zvýšení oprávnění, zobrazí na zabezpečené ploše výzvu pro uživatele k zadání odlišného uživatelského jména a hesla. Zadá-li uživatel platné přihlašovací údaje, bude operace pokračovat s příslušnými oprávněními. |
User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users. The options are: • Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. |
2051 | Řízení uživatelských účtů: Zjistit instalace aplikací a zobrazit výzvu ke zvýšení oprávnění
Toto nastavení zásad řídí, jak probíhá zjišťování instalací aplikací v počítači. Možnosti: • Povoleno (výchozí): Pokud je zjištěn instalační balíček aplikace vyžadující zvýšení oprávnění, zobrazí se uživateli výzva k zadání uživatelského jména a hesla pro správu. Zadá-li uživatel platné přihlašovací údaje, bude operace pokračovat s příslušnými oprávněními. • Zakázáno: Instalační balíčky aplikací nejsou zjišťovány a nezobrazuje se výzva ke zvýšení oprávnění. Podniky používající standardní uživatelské počítače, které využívají delegované instalační technologie, například instalační program pro zásady skupin GPSI (Group Policy Software Install) nebo server SMS, by měly tuto funkci zakázat. V takovém případě není zjišťování instalační služby nutné. |
User Account Control: Detect application installations and prompt for elevation
This policy setting controls the behavior of application installation detection for the computer. The options are: • Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary. |
2052 | Řízení uživatelských účtů: Zvýšit oprávnění pouze u podepsaných a ověřených spustitelných souborů
Toto nastavení zásad vynutí kontrolu podpisu infrastruktury veřejných klíčů (PKI) u všech interaktivních aplikací vyžadujících zvýšení oprávnění. Podnikoví správci mohou řídit aplikace, jejichž spouštění je povoleno, prostřednictvím přidání certifikátů do Úložiště důvěryhodných vydavatelů v místních počítačích. Možnosti: • Povoleno: Vynutí ověření řetězce certifikátů PKI daného spustitelného souboru před udělením povolení ke spuštění. • Zakázáno: (Výchozí) Nevynutí ověření řetězce certifikátů PKI daného spustitelného souboru před udělením povolení ke spuštění. |
User Account Control: Only elevate executable files that are signed and validated
This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers. The options are: • Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run. • Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run. |
2053 | Řízení uživatelských účtů: Zvýšit oprávnění pouze u aplikací UIAccess, které jsou nainstalovány v zabezpečených umístěních
Toto nastavení zásad řídí, zda aplikace vyžadující spuštění s úrovní integrity UIAccess (User Interface Accessibility) musí být v systému souborů uloženy v zabezpečeném umístění. Zabezpečená umístění jsou omezena na následující adresáře: - …\Program Files\, včetně podsložek - …\Windows\system32 - …\Program Files (x86)\, včetně podsložek pro 64bitové verze systému Windows Poznámka: Systém Windows vynutí kontrolu podpisu infrastruktury veřejných klíčů (PKI) u každé interaktivní aplikace vyžadující spuštění s úrovní integrity UIAccess bez ohledu na stav tohoto nastavení zabezpečení. Možnosti: • Povoleno: (Výchozí) Aplikace bude spuštěna s integritou UIAccess pouze v případě, že je uložena v zabezpečeném umístění v systému souborů. • Zakázáno: Aplikace bude spuštěna s integritou UIAccess i v případě, že není uložena v zabezpečeném umístění v systému souborů. |
User Account Control: Only elevate UIAccess applications that are installed in secure locations
This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following: - …\Program Files\, including subfolders - …\Windows\system32\ - …\Program Files (x86)\, including subfolders for 64-bit versions of Windows Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting. The options are: • Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity. • Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system. |
2054 | Řízení uživatelských účtů: Zapnout Režim schválení správcem
Toto nastavení zásad řídí chování všech zásad nástroje Řízení uživatelských účtů pro počítač. Pokud toto nastavení zásad změníte, je nutné restartovat počítač. Možnosti: • Povoleno: (Výchozí) Režim schválení správcem je povolen. Tato zásada musí být povolena a také související zásady nástroje Řízení uživatelských účtů musí být nastaveny odpovídajícím způsobem, aby bylo umožněno spuštění předdefinovaného účtu správce a všech ostatních uživatelů, kteří jsou členy skupiny Administrators, v Režimu schválení správcem. • Zakázáno: Režim schválení správcem a všechny související zásady nástroje Řízení uživatelských účtů jsou zakázány. Poznámka: Pokud je toto nastavení zásad zakázáno, zobrazí Centrum zabezpečení upozornění, že celkové zabezpečení operačního systému bylo sníženo. |
User Account Control: Turn on Admin Approval Mode
This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer. The options are: • Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode. • Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced. |
2055 | Řízení uživatelských účtů: Při zobrazení výzvy ke zvýšení oprávnění přepnout na zabezpečenou plochu
Toto nastavení zásad řídí, zda se žádost o zvýšení oprávnění zobrazí na interaktivní ploše uživatele nebo na zabezpečené ploše. Možnosti: • Povoleno: (Výchozí) Všechny žádosti o zvýšení oprávnění budou zobrazeny na zabezpečené ploše bez ohledu na nastavení zásad chování výzvy pro správce a standardní uživatele. • Zakázáno: Všechny žádosti o zvýšení oprávnění budou zobrazeny na interaktivní ploše uživatele. Bude použito nastavení zásad chování výzvy pro správce a standardní uživatele. |
User Account Control: Switch to the secure desktop when prompting for elevation
This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop. The options are: • Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users. • Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used. |
2056 | Řízení uživatelských účtů: Virtualizovat chyby zápisu do souboru a registru do umístění jednotlivých uživatelů
Toto nastavení zásad řídí přesměrování chyb zápisu aplikací do definovaných umístění v registru i v systému souborů. Toto nastavení zásad zabraňuje spuštění aplikací, které jsou spuštěny v režimu správce a zapisují data aplikace za běhu do adresářů %ProgramFiles%, %Windir%, %Windir%\system32 nebo HKLM\Software. Možnosti: • Povoleno: (Výchozí) Chyby zápisu aplikací jsou za běhu přesměrovány do definovaných uživatelských umístění pro systém souborů i registr. • Zakázáno: Aplikace zapisující data do chráněných umístění skončí s chybou. |
User Account Control: Virtualize file and registry write failures to per-user locations
This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software. The options are: • Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry. • Disabled: Applications that write data to protected locations fail. |
2057 | Vytvořit symbolické odkazy
Tato oprávnění určují, zda uživatel může vytvořit symbolický odkaz z počítače, ke kterému je přihlášen. Výchozí hodnota: Správce UPOZORNĚNÍ: Tato oprávnění by měla být udělena pouze důvěryhodným uživatelům. Symbolické odkazy mohou způsobit ohrožení zabezpečení v aplikacích, které nejsou určeny k jejich zpracování. Poznámka Toto nastavení lze použít v kombinaci s nastavením symlink filesystem ovládaným pomocí nástroje příkazového řádku k řízení typů symbolických odkazů, které jsou v počítači povoleny. Zadáním příkazu fsutil behavior set symlinkevaluation /? na příkazovém řádku zobrazíte další informace o nástroji fsutil a symbolických odkazech. |
Create Symbolic Links
This privilege determines if the user can create a symbolic link from the computer he is logged on to. Default: Administrator WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them. Note This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links. |
2058 | Změnit označení objektu
Toto oprávnění určuje, které uživatelské účty mohou změnit označení integrity objektů, například souborů, klíčů registru nebo procesů vlastněných ostatními uživateli. Procesy spuštěné pod uživatelským účtem mohou bez tohoto oprávnění nastavit označení objektu vlastněného daným uživatelem na nižší úroveň. Výchozí hodnota: Žádné |
Modify an object label
This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege. Default: None |
2059 | Řízení uživatelských účtů: Povolit aplikacím UIAccess zobrazení výzvy ke zvýšení oprávnění bez použití zabezpečené plochy
Toto nastavení zásad řídí, zda mohou aplikace UIAccess (User Interface Accessibility neboli UIA) automaticky vypnout při zobrazení výzvy ke zvýšení oprávnění standardnímu uživateli zabezpečenou plochu. • Povoleno: Aplikace UIA, včetně Vzdálené pomoci systému Windows, mohou automaticky zakázat výzvy ke zvýšení oprávnění na zabezpečené ploše. Pokud zároveň nezakážete nastavení zásad Řízení uživatelských účtů: Při zobrazení výzvy ke zvýšení oprávnění přepnout na zabezpečenou plochu, budou se namísto zabezpečené plochy zobrazovat na interaktivní ploše uživatele. • Zakázáno: (Výchozí) Zabezpečenou plochu může zakázat pouze uživatel interaktivní plochy nebo toho lze dosáhnout pomocí zakázání nastavení zásad Řízení uživatelských účtů: Při zobrazení výzvy ke zvýšení oprávnění přepnout na zabezpečenou plochu. |
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.
This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user. • Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. • Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting. |
2060 | Toto nastavení používá Správce pověření během zálohování a obnovení. Tato oprávnění by neměl mít žádný účet, protože jsou přiřazena pouze přihlašování do systému Windows. Pokud jsou tato oprávnění udělena jiným entitám, může dojít k ohrožení uložených pověření uživatelů. | This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities. |
2061 | Změnit časové pásmo
Toto uživatelské právo určuje, kteří uživatelé a skupiny mohou změnit časové pásmo, jež počítač používá k zobrazení místního času, což je systémový čas počítače s přičteným posunem časového pásma. Samotný systémový čas je absolutní a není změnou časového pásma ovlivněn. Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů. Výchozí hodnota: Administrators, Users |
Change the Time Zone
This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers. Default: Administrators, Users |
2062 | Zvýšit pracovní sadu procesu
Toto oprávnění určuje, které uživatelské účty mohou zvýšit nebo snížit velikost pracovní sady procesu. Výchozí hodnota: Users Pracovní sada procesu je sada stránek paměti, které jsou procesu aktuálně dostupné ve fyzické paměti RAM. Tyto stránky jsou rezidentní a aplikace je může použít bez aktivace chyby stránky. Minimální a maximální velikost pracovní sady ovlivňuje stránkování virtuální paměti procesu. Upozornění: Při zvýšení velikosti pracovní sady procesu dojde ke zmenšení množství fyzické paměti dostupné zbytku systému. |
Increase a process working set
This privilege determines which user accounts can increase or decrease the size of a process’s working set. Default: Users The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process. Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system. |
2063 | Zabezpečení sítě: Omezit protokol NTLM: Odchozí přenosy protokolu NTLM do vzdálených serverů
Toto nastavení zásad umožňuje odepřít nebo auditovat odchozí přenosy protokolu NTLM z tohoto počítače se systémem Windows 7 nebo Windows Server 2008 R2 na libovolný vzdálený server se systémem Windows. Jestliže vyberete možnost Povolit vše nebo toto nastavení zásad nenakonfigurujete, může klientský počítač ověřovat identity na vzdáleném serveru pomocí ověřování protokolem NTLM. Pokud vyberete možnost Auditovat vše, bude klientských počítač protokolovat událost pro každou žádost o ověření protokolem NTLM na vzdáleném serveru. Tato funkce umožňuje identifikovat servery přijímající žádosti o ověření protokolem NTLM z klientského počítače. Vyberete-li možnost Odepřít vše, nebude klientský počítač moci ověřovat identity na vzdáleném serveru pomocí ověřování protokolem NTLM. Pomocí nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro vzdálené servery pro ověřování protokolem NTLM můžete definovat seznam vzdálených serverů, u kterých klienti mohou používat ověřování protokolem NTLM. Tyto zásady jsou podporovány, je-li používán alespoň systém Windows 7 nebo Windows Server 2008 R2. Poznámka: Události auditování a blokování v tomto počítači jsou zaznamenány v operačním protokolu v adresáři Protokol aplikací a služeb/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server. If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication. If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer. If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2064 | Zabezpečení sítě: Omezit protokol NTLM: Příchozí přenosy protokolu NTLM
Toto nastavení zásad umožňuje odepřít nebo povolit příchozí přenosy protokolu NTLM. Při výběru možnosti Povolit vše nebo pokud nenakonfigurujete toto nastavení zásad, povolí server všechny žádosti o ověřování protokolem NTLM. Při výběru možnosti Odepřít všechny účty domény odmítne server žádosti o ověřování protokolem NTLM pro přihlášení do domény a zobrazí chybu o blokovaném protokolu NTLM, avšak povolí přihlášení místního účtu. Při výběru možnosti Odepřít všechny účty odmítne server žádosti o ověřování protokolem NTLM z příchozích přenosů a zobrazí chybu o blokovaném protokolu NTLM. Tyto zásady jsou podporovány, je-li používán alespoň systém Windows 7 nebo Windows Server 2008 R2. Poznámka: Události blokování jsou v tomto počítači zaznamenány v operačním protokolu v adresáři Protokol aplikací a služeb/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Incoming NTLM traffic
This policy setting allows you to deny or allow incoming NTLM traffic. If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests. If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon. If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2065 | Zabezpečení sítě: Omezit protokol NTLM: Ověřování protokolem NTLM v této doméně
Toto nastavení zásad umožňuje odepřít nebo povolit ověřování protokolem NTLM v rámci domény z tohoto řadiče domény. Tato zásada neovlivňuje interaktivní přihlášení k řadiči této domény. Při výběru možnosti Zakázáno nebo pokud toto nastavení zásad nenakonfigurujete, povolí řadič domény všechny průchozí žádosti o ověření protokolem NTLM v rámci domény. Při výběru možnosti Odepřít pro účty domény u serverů domény odepře řadič domény všechny pokusy o přihlášení s ověřováním protokolem NTLM u všech serverů v doméně používajících účty domény a vrátí chybu blokovaného protokolu NTLM, pokud se název serveru nenachází v seznamu výjimek nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro servery pro ověřování protokolem NTLM v této doméně. Při výběru možnosti Odepřít pro účet domény odepře řadič domény všechny pokusy o přihlášení s ověřováním protokolem NTLM od účtů domény a vrátí chybu blokovaného protokolu NTLM, pokud se název serveru nenachází v seznamu výjimek nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro servery pro ověřování protokolem NTLM v této doméně. Při výběru možnosti Odepřít pro servery domény odepře řadič domény všechny žádosti o ověření protokolem NTLM na všechny servery v doméně a vrátí chybu blokovaného protokolu NTLM, pokud se název serveru nenachází v seznamu výjimek nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro servery pro ověřování protokolem NTLM v této doméně. Při výběru možnosti Odepřít vše odepře řadič domény všechny průchozí žádosti o ověření protokolem NTLM ze svých serverů a pro své účty a vrátí chybu blokovaného protokolu NTLM, pokud se název serveru nenachází v seznamu výjimek nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro servery pro ověřování protokolem NTLM v této doméně. Tyto zásady jsou podporovány, je-li používán alespoň systém Windows Server 2008 R2. Poznámka: Události blokování jsou v tomto počítači zaznamenány v operačním protokolu umístěném v adresáři Protokol aplikací a služeb/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: NTLM authentication in this domain
This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller. If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain. If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2066 | Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro vzdálené servery pro ověřování protokolem NTLM
Toto nastavení zásad umožňuje vytvořit seznam výjimek pro vzdálené servery, u kterých mohou klienti používat ověřování protokolem NTLM, pokud je nakonfigurováno nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Odchozí přenosy protokolu NTLM do vzdálených serverů. Při konfiguraci tohoto nastavení zásad můžete definovat seznam vzdálených serverů, u kterých mohou klienti používat ověřování protokolem NTLM. Pokud toto nastavení zásad nenakonfigurujete, nebudou použity žádné výjimky. Formát pro pojmenování serverů v tomto seznamu výjimek představuje plně kvalifikovaný název domény (FQDN) nebo název serveru pro rozhraní NetBIOS použitý aplikací, přičemž každý server je uveden na jednom řádku. Pro účely zajištění výjimek musí být v seznamu uveden název používaný všemi aplikacemi a pro zajištění přesnosti výjimky je třeba název serveru uvést v obou formátech pojmenování. Jako zástupný znak lze na libovolném místě řetězce použít jednu hvězdičku (*). |
Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured. If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character. |
2067 | Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro servery v této doméně
Toto nastavení zásad umožňuje vytvořit seznam výjimek pro servery v této doméně, u kterých klienti mohou použít průchozí ověřování protokolem NTLM, pokud se používá nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Odepřít ověřování protokolem NTLM v této doméně. Při konfiguraci tohoto nastavení zásad můžete definovat seznam serverů v této doméně, u kterých mohou klienti používat ověřování protokolem NTLM. Pokud toto nastavení zásad není nakonfigurováno, nebudou uplatněny žádné výjimky. Jako formát pro pojmenování serverů v tomto seznamu výjimek se používá plně kvalifikovaný název domény (FQDN) nebo název serveru pro rozhraní NetBIOS použitý volající aplikací, přičemž každý server je uveden na jednom řádku. Jako zástupný znak lze na začátku nebo konci řetězce použít jednu hvězdičku (*). |
Network security: Restrict NTLM: Add server exceptions in this domain
This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set. If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character. |
2068 | Zabezpečení sítě: Povolit návrat k prázdné relaci místního systému
Umožňuje protokolu NTLM návrat k prázdné relaci, pokud se používá s místním systémem. U systémů do verze Windows Vista se používá výchozí hodnota TRUE, u systému Windows 7 se používá výchozí hodnota FALSE. |
Network security: Allow LocalSystem NULL session fallback
Allow NTLM to fall back to NULL session when used with LocalSystem. The default is TRUE up to Windows Vista and FALSE in Windows 7. |
2069 | Zabezpečení sítě: Konfigurovat typy šifrování povolené pro protokol Kerberos
Toto nastavení zásad umožňuje nastavit typy šifrování, které může používat protokol Kerberos. Nevybraný typ šifrování nebude povolen. Toto nastavení může ovlivnit kompatibilitu s klientskými počítači nebo službami a aplikacemi. Je povolen vícenásobný výběr. Tyto zásady jsou podporovány, je-li používán alespoň systém Windows 7 nebo Windows Server 2008 R2. |
Network security: Configure encryption types allowed for Kerberos
This policy setting allows you to set the encryption types that Kerberos is allowed to use. If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted. This policy is supported on at least Windows 7 or Windows Server 2008 R2. |
2071 | Zabezpečení sítě: Povolit žádostem o ověřování PKU2U odeslaným do tohoto počítače používat online identity.
Tyto zásady budou v počítačích připojených do domény ve výchozím nastavení vypnuty. To by zabránilo online identitám v ověřování na úrovni počítače připojeného do domény. |
Network security: Allow PKU2U authentication requests to this computer to use online identities.
This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine. |
2072 | Zabezpečení sítě: Omezit protokol NTLM: Auditovat příchozí přenosy protokolu NTLM
Toto nastavení zásad umožňuje auditovat příchozí přenosy protokolu NTLM. Pokud vyberete možnost Zakázat nebo pokud toto nastavení zásad není nakonfigurováno, nebude server protokolovat události pro příchozí přenosy protokolu NTLM. Při výběru možnosti Povolit auditování pro účty domény bude server protokolovat události pro průchozí žádosti o ověření protokolem NTLM, které by byly blokovány, pokud je u nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Příchozí přenosy protokolu NTLM použita možnost Odepřít všechny účty v doméně. Při výběru možnosti Povolit auditování pro všechny účty bude server protokolovat události pro všechny žádosti o ověření protokolem NTLM, které by byly blokovány, pokud je u nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Příchozí přenosy protokolu NTLM použita možnost Odepřít všechny účty. Tyto zásady jsou podporovány, je-li používán alespoň systém Windows 7 nebo Windows Server 2008 R2. Poznámka: Události protokolování jsou v tomto počítači zaznamenány v operačním protokolu umístěném v adresáři Protokol aplikací a služeb/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit Incoming NTLM Traffic
This policy setting allows you to audit incoming NTLM traffic. If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic. If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option. If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2073 | Zabezpečení sítě: Omezit protokol NTLM: Auditovat ověřování protokolem NTLM v této doméně
Toto nastavení zásad umožňuje auditovat ověřování protokolem NTLM v této doméně z tohoto řadiče domény. Pokud vyberete možnost Zakázat nebo pokud toto nastavení zásad není nakonfigurováno, nebude řadič domény protokolovat události pro ověřování protokolem NTLM v této doméně. Při výběru možnosti Povolit pro účty domény u serverů domény bude řadič domény protokolovat události pro pokusy o přihlášení s ověřováním protokolem NTLM pro účty domény u serverů domény, pokud by ověřování protokolem NTLM bylo odepřeno výběrem možnosti Odepřít pro účty domény u serverů domény v nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Ověřování protokolem NTLM v této doméně. Při výběru možnosti Povolit pro účty domény bude řadič domény protokolovat události pro pokusy o přihlášení s ověřováním protokolem NTLM pomocí účtů domény, pokud by ověřování protokolem NTLM bylo odepřeno výběrem možnosti Odepřít pro účty domény v nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Ověřování protokolem NTLM v této doméně. Při výběru možnosti Povolit pro servery domény bude řadič domény protokolovat události pro žádosti o ověřování protokolem NTLM u všech serverů v doméně, pokud by ověřování protokolem NTLM bylo odepřeno výběrem možnosti Odepřít pro servery domény v nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Ověřování protokolem NTLM v této doméně. Při výběru možnosti Povolit vše bude řadič domény protokolovat události pro průchozí požadavky na ověřování protokolem NTLM od svých serverů a pro své účty, které by byly odepřeny výběrem možnosti Odepřít vše v nastavení zásad Zabezpečení sítě: Omezit protokol NTLM: Ověřování protokolem NTLM v této doméně. Tyto zásady jsou podporovány, je-li používán alespoň systém Windows Server 2008 R2. Poznámka: Události protokolování jsou v tomto počítači zaznamenány v operačním protokolu umístěném v adresáři Protokol aplikací a služeb/Microsoft/Windows/NTLM. |
Network security: Restrict NTLM: Audit NTLM authentication in this domain
This policy setting allows you to audit NTLM authentication in a domain from this domain controller. If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain. If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM. |
2074 | Zabezpečení sítě: Povolit místnímu systému používat identitu počítače pro protokol NTLM
Toto nastavení zásad umožňuje, aby služby místního systému využívající vyjednávání používaly při návratu k ověřování protokolem NTLM identitu počítače. Pokud toto nastavení zásad povolíte, budou služby spuštěné v místním systému používající možnost Negotiate používat identitu počítače. To může způsobit, že se některé žádosti o ověření mezi operačními systémy Windows nezdaří a bude protokolována chyba. Pokud toto nastavení zásad zakážete, použijí služby spuštěné v místním systému používající možnost Negotiate k návratu k ověřování protokolem NTLM anonymní ověřování. V systému Windows 7 a vyšších verzích jsou tyto zásady ve výchozím nastavení povoleny. V systému Windows Vista jsou ve výchozím nastavení tyto zásady zakázány. Tyto zásady jsou podporovány, je-li používán alespoň systém Windows 7 nebo Windows Server R2. Poznámka: V systému Windows Vista ani Windows Server 2008 není toto nastavení v zásadách skupiny zveřejněno. |
Network security: Allow Local System to use computer identity for NTLM
This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication. If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error. If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously. By default, this policy is enabled on Windows 7 and above. By default, this policy is disabled on Windows Vista. This policy is supported on at least Windows Vista or Windows Server 2008. Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy. |
2075 | Server sítě Microsoft: Úroveň ověřování cílového názvu SPN
Toto nastavení zásad určuje úroveň ověřování, jaké počítač se sdílenými složkami nebo tiskárnami (server) uplatňuje u hlavního názvu služby (SPN), který je poskytován klientským počítačem při zřizování relace pomocí protokolu SMB (Server Message Block). Protokol SMB poskytuje základ ke sdílení souborů a tisku a k dalším síťovým operacím, jako je vzdálená správa systému Windows. Protokol SMB podporuje ověřování hlavního názvu služby serveru SMB v rámci ověřovacího binárního rozsáhlého objektu, který poskytuje klient SMB, aby zabránil útokům na servery SMB, které jsou označovány jako útoky na předávání protokolu SMB. Toto nastavení ovlivní protokoly SMB1 i SMB2. Toto nastavení zabezpečení určuje úroveň ověřování, jakou server SMB provádí u hlavního názvu služby (SPN), který poskytuje klient SMB, když se pokouší zřídit relaci se serverem SMB. Možnosti jsou následující: Vypnuto – hlavní název služby (SPN) od klienta SMB není požadován ani ověřován serverem SMB. Akceptovat, pokud pochází od klienta – server SMB akceptuje a ověří hlavní název služby poskytnutý klientem SMB a povolí zřízení relace, pokud se shoduje se seznamem hlavních názvů služby serveru SMB. Jestliže se hlavní název služby NESHODUJE, bude žádost o relaci pro tohoto klienta SMB odepřena. Požadováno od klienta – klient SMB MUSÍ odeslat hlavní název služby při zřizování relace a poskytnutý hlavní název služby se MUSÍ shodovat se serverem SMB, který je žádán o zřízení připojení. Pokud klient neposkytne hlavní název služby, nebo se poskytnutý hlavní název služby neshoduje, je relace odepřena. Výchozí: Vypnuto Všechny operační systémy Windows podporují jak součást SMB na straně klienta, tak na straně serveru. Toto nastavení ovlivňuje chování serveru SMB a jeho implementace by měla být pečlivě vyhodnocena a vyzkoušena, aby nedocházelo k narušení funkcí sdílení souborů a tisku. Další informace o implementaci a použití tohoto nastavení k zabezpečení serverů SMB naleznete na webu společnosti Microsoft (https://go.microsoft.com/fwlink/?LinkId=144505). |
Microsoft network server: Server SPN target name validation level
This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol. The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2. This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server. The options are: Off – the SPN is not required or validated by the SMB server from a SMB client. Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied. Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied. Default: Off All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505). |
2076 | Server sítě Microsoft: Pokusit se získat informace o deklaraci identity pomocí funkce S4U2Self
Toto nastavení zabezpečení slouží k podpoře klientských počítačů, ve kterých se používá některá z předchozích verzí systému Windows (dřívější než Windows 8) a kteří se snaží získat přístup ke sdílené složce vyžadující deklarace identity uživatelů. Toto nastavení určuje, zda se má místní souborový server pokusit o získání deklarace identity objektu zabezpečení síťového klienta z domény účtu klienta pomocí funkce S4U2Self (Service-For-User-To-Self) protokolu Kerberos. Toto nastavení by mělo být nastaveno na hodnotu Povoleno pouze v případě, že souborový server používá deklarace identity uživatelů k řízení přístupu k souborům a že místní server bude podporovat objekty zabezpečení klientů, jejichž účty mohou být v doméně obsahující klientské počítače a řadiče domény se starší verzí systému Windows než Windows 8. Toto nastavení je vhodné nastavit na hodnotu Automaticky (výchozí), aby mohl souborový server automaticky vyhodnocovat, zda jsou pro uživatele potřebné deklarace identity. Správce může toto nastavení chtít nastavit na hodnotu Povoleno v případě, že existují místní zásady přístupu k souborům zahrnující deklarace identity uživatelů. Pokud je toto nastavení zabezpečení povoleno, způsobí, že souborový server se systémem Windows bude zkoumat přístupový token objektu zabezpečení ověřeného síťového klienta a určovat, zda jsou přítomny informace o deklaraci identity. Pokud deklarace identity není k dispozici, použije server funkci S4U2Self protokolu Kerberos a pokusí se kontaktovat řadič domény se systémem Windows Server 2012 v doméně účtu klienta a získat pro objekt zabezpečení klienta přístupový token podporující deklaraci identity. Token podporující deklaraci identity může být potřebný pro přístup k souborům nebo složkám, které mají zásady řízení přístupu založené na deklaracích identity. Pokud je toto nastavení zakázáno, nebude se souborový server pokoušet o získání přístupového tokenu podporujícího deklaraci identity pro objekt zabezpečení klienta. Výchozí nastavení: Automaticky |
Microsoft network server: Attempt S4U2Self to obtain claim information
This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8. This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims. When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied. If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal. Default: Automatic. |
2077 | Účty: Blokovat účty Microsoft
Toto nastavení zásad zabrání uživatelům v přidávání nových účtů Microsoft do tohoto počítače. Pokud vyberete možnost Uživatelé nemohou přidávat účty Microsoft, nebudou uživatelé moci vytvářet nové účty Microsoft v tomto počítači, přepnout místní účet na účet Microsoft ani připojit doménový účet k účtu Microsoft. Tato možnost je preferovaná, pokud potřebujete omezit používání účtů Microsoft v podnikové síti. Pokud vyberete možnost Uživatelé nemohou přidávat účty Microsoft ani se jejich pomocí přihlašovat, nebudou se moci existující uživatelé s účtem Microsoft přihlásit k systému Windows. Výběr této možnosti by mohl zabránit v přihlášení a správě systému dokonce i stávajícímu správci tohoto počítače. Pokud tuto zásadu zakážete nebo nenakonfigurujete (doporučeno), budou uživatelé moci používat účty Microsoft v systému Windows. |
Accounts: Block Microsoft accounts
This policy setting prevents users from adding new Microsoft accounts on this computer. If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise. If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system. If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows. |
2078 | Interaktivní přihlášení: Prahová hodnota pro účet počítače
Zásady uzamčení počítače jsou vynuceny pouze v počítačích, ve kterých jsou svazky operačního systému chráněny pomocí nástroje Bitlocker. Ujistěte se, zda jsou povoleny příslušné zásady zálohování hesla pro obnovení. Toto nastavení zabezpečení určuje počet neúspěšných pokusů o přihlášení, po jehož dosažení dojde k uzamčení počítače. Uzamčený počítač lze obnovit pouze zadáním obnovovacího klíče pomocí konzoly. Počet neúspěšných pokusů o přihlášení můžete nastavit na hodnotu 1 až 999. Pokud nastavíte hodnotu 0, nebude počítač nikdy uzamčen. Hodnoty od 1 do 3 budou interpretovány jako hodnota 4. Neúspěšné pokusy o zadání hesla v případě, že jsou pracovní stanice nebo členské servery uzamčeny pomocí kombinace kláves CTRL+ALT+DELETE nebo prostřednictvím šetřičů obrazovky chráněných heslem, jsou považovány za neúspěšné pokusy o přihlášení. Zásady uzamčení počítače jsou vynuceny pouze v počítačích, ve kterých jsou svazky operačního systému chráněny pomocí nástroje Bitlocker. Ujistěte se, zda jsou povoleny příslušné zásady zálohování hesla pro obnovení. Výchozí hodnota: 0 |
Interactive logon: Machine account threshold.
The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled. This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled. Default: 0. |
2079 | Interaktivní přihlášení: Limit pro nečinnost počítače
Systém Windows zjistil nečinnost v přihlašovací relaci. Překročí-li doba nečinnosti limit pro nečinnost, spustí se šetřič obrazovky a relace bude uzamčena. Výchozí nastavení: nevynuceno |
Interactive logon: Machine inactivity limit.
Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session. Default: not enforced. |
2080 | Umožňuje získat token zosobnění pro jiného uživatele ve stejné relaci.
Přiřazení tohoto oprávnění uživateli umožňuje programům běžícím jménem tohoto uživatele získat token zosobnění ostatních uživatelů, kteří jsou interaktivně přihlášení v rámci stejné relace, za předpokladu, že volající má token zosobnění uživatele relace. Není aplikovatelné v rámci desktopového klienta/serveru Windows, kde každý uživatel získá samostatnou relaci. |
Obtain an impersonation token for another user in the same session.
Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session. |
2081 | Síťový přístup: Omezit klienty s povolením vzdáleně volat do databáze SAM
Tato zásada umožňuje omezit připojení RPC k databázi SAM. Pokud není vybraná, použije se výchozí popisovač zabezpečení. Tato zásada je podporovaná přinejmenším ve Windows Serveru 2016. |
Network access: Restrict clients allowed to make remote calls to SAM
This policy setting allows you to restrict remote rpc connections to SAM. If not selected, the default security descriptor will be used. This policy is supported on at least Windows Server 2016. |
2082 | Interaktivní přihlašování: Nezobrazovat uživatelské jméno při přihlášení
Toto nastavení zabezpečení určuje, zda se při přihlášení do Windows, po zadání přihlašovacích údajů a před zobrazením plochy počítače, zobrazí uživatelské jméno přihlašující se osoby. Je-li tato zásada povolena, uživatelské jméno se nezobrazí. Je-li tato zásada zakázána, uživatelské jméno se zobrazí. Výchozí hodnota: Zakázáno. |
Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled. |
57343 | Chystáte se změnit nastavení zabezpečení pro tuto službu. Změna výchozího zabezpečení služby by mohla způsobit problémy kvůli nekonzistentní konfiguraci této služby a dalších služeb, které jsou na ní závislé. Chcete pokračovat? |
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it. Do you want to continue? |
57345 | Chcete importovat novou konfiguraci do zásad místního počítače. Změníte tím nastavení zabezpečení počítače. Chcete pokračovat? | You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue? |
57346 | Konfigurace zabezpečení systému | Configuring Computer Security |
57350 | Aktuální databáze konfigurace zabezpečení: Databáze místních zásad %s | Current Security Configuration Database: Local Policy Database %s |
57351 | Aktuální databáze konfigurace zabezpečení: Soukromá databáze %s | Current Security Configuration Database: Private Database %s |
57352 | Vytváření informací o analýze | Generating analysis information |
57353 | Import se nezdařil. | Import Failed |
57354 | Podřízené položky byly definovány | Subitems defined |
57355 | Není k dispozici | Not Available |
57356 | Nová služba | New Service |
57357 | Konfigurování: | Configuring: |
57358 | &Přidat soubor... Přidá do šablony nový soubor nebo složku. |
Add &File... Adds a new file or folder to this template |
57359 | Přidat tento soubor nebo složku do šablony: | Add this file or folder to the template: |
57360 | Přidat soubor nebo složku | Add a file or folder |
57361 | Microsoft Corporation | Microsoft Corporation |
57362 | 10.0 | 10.0 |
57363 | Šablony zabezpečení je modul snap-in programu MMC, který umožňuje upravovat soubory šablon zabezpečení. | Security Templates is an MMC snap-in that provides editing capabilities for security template files. |
57364 | Konfigurace a analýza zabezpečení je modul snap-in programu MMC, který umožňuje provádět konfiguraci a analýzu zabezpečení počítačů se systémem Windows pomocí souborů šablon zabezpečení. | Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files. |
57365 | Rozšiřující modul snap-in Nastavení zabezpečení rozšiřuje modul snap-in Zásady skupin a umožňuje definovat zásady zabezpečení počítačů v doméně. | The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain. |
57366 | &Importovat zásady... Importuje soubor šablony do tohoto objektu zásad. |
&Import Policy... Import a template file into this policy object. |
57367 | E&xportovat zásady... Exportuje šablonu z tohoto objektu zásad do souboru. |
E&xport policy... Export template from this policy to a file. |
57368 | Soubor %s již existuje. Chcete jej přepsat? |
File %s already exists. Do you want to overwrite it? |
57369 | Úspěšné pokusy | Success |
57370 | Neúspěšné pokusy | Failure |
57371 | Bez auditování | No auditing |
57372 | Systém Windows nemůže aktualizovat zásady. | Windows cannot update the policies. |
57373 | Systém Windows nemůže zkopírovat oddíl. | Windows cannot copy the section |
57374 | Vybrat soubor | Select File to Add |
57375 | Otevřít databázi | Open database |
57376 | Vytvořit databázi | Create Database |
57377 | Exportovat zásady do | Export Policy To |
57378 | Importovat zásady z | Import Policy From |
57380 | Importovat šablonu | Import Template |
57381 | Exportovat šablonu do | Export Template To |
57384 | Systém Windows nemůže otevřít databázi místních zásad. | Windows cannot open the local policy database. |
57385 | Databáze místních zásad | Local Policy Database |
57386 | Databázi nastavení místního zabezpečení nelze upravovat pomocí modul snap-in Konfigurace a analýza zabezpečení. Použijte modul snap-in Zásady skupiny. | The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings. |
57387 | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm | \help\75393cf0-f17a-453d-98a9-592b009289c2.chm |
57388 | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm | \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm |
57389 | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm | \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm |
57390 | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm | \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm |
57391 | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm | \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm |
57392 | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm | \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm |
57394 | Pro počítač platí nové nastavení zásad. Chcete aktualizovat zobrazení platných zásad? | There are new policy settings on your computer. Do you want to update your view of the effective policy? |
57395 | Nastavení počítače na %s | Computer setting on %s |
57396 | Tuto databázi nelze vytvořit, protože není vybrán žádný soubor šablony. Chcete-li otevřít existující databázi,klikněte pravým tlačítkem myši na položku Konfigurace a analýza zabezpečení,zvolte příkaz Otevřít databázi, vyberte databázi a klikněte na tlačítko OTEVŘÍT. Chcete-li vytvořit novou databázi, klikněte pravým tlačítkem myši na položku Konfigurace a analýza zabezpečení,zvolte příkaz Otevřít databázi, zadejte název nové databáze a klikněte na tlačítko OTEVŘÍT. Vyberte šablonu zabezpečení pro import a klikněte na tlačítko OTEVŘÍT. |
This database couldn't be created because no template file was selected. To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN. |
57397 | Na&hradit existující oprávnění ke všem podklíčům dědičnými oprávněními | &Replace existing permissions on all subkeys with inheritable permissions |
57398 | Šířit dědičná op&rávnění na všechny podklíče | &Propagate inheritable permissions to all subkeys |
57399 | Za&kázat nahrazení oprávnění k tomuto klíči | &Do not allow permissions on this key to be replaced |
57400 | Konfigurovat členství pro %s | Configure Membership for %s |
57401 | Platnost lístku vyprší za: | Ticket expires in: |
57402 | Platnost lístku nevyprší. | Ticket doesn't expire. |
57403 | Platnost obnovení lístku vyprší za: | Ticket renewal expires in: |
57404 | Obnovení lístku je zakázáno. | Ticket renewal is disabled. |
57405 | Maximální tolerance: | Maximum tolerance: |
57407 | Nelze použít | Not Applicable |
57410 | Jména uživatelů a názvy skupin | User and group names |
57411 | Přidat uživatele nebo skupinu | Add User or Group |
57412 | Neodpojovat klienty: | Do not disconnect clients: |
57413 | Odpojit, překročí-li doba nečinnosti: | Disconnect when idle time exceeds: |
57414 | Neukládat do mezipaměti přihlášení: | Do not cache logons: |
57415 | Mezipaměť: | Cache: |
57416 | Začátek výzev před vypršením platnosti hesla (dny): | Begin prompting this many days before password expires: |
57418 | &Zkonfigurovat tento klíč a provést následující akci: | &Configure this key then |
57419 | Nepodařilo se uložit globální popis umístění. | Could not save global location description |
57420 | Nepodařilo se uložit popis umístění. | Could not save location description |
57421 | Načíst znovu Načte znovu zásady zabezpečení. |
Reload Reload the security policy |
57422 | Chcete změny zásad uložit do %1 před jejich novým načtením? | Save changes to %1 before reloading it? |
57423 | Místní nastavení zabezpečení | Local Security Settings |
57424 | Třída nastavení zabezpečení WSecEdit | WSecEdit Security Settings Class |
57425 | Třída nastavení místního zabezpečení WSecEdit | WSecEdit Local Security Settings Class |
57428 | Modul snap-in Místní nastavení zabezpečení usnadňuje definování zabezpečení v místním systému. | The Local Security Settings snap-in helps you define security on the local system. |
57430 | Třída nastavení zabezpečení WSecEdit RSOP | WSecEdit RSOP Security Settings Class |
57431 | Modul Nastavení zabezpečení RSOP rozšiřuje modul snap-in RSOP a usnadňuje zobrazení výsledných zásad zabezpečení pro počítače v doméně. | The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain. |
57435 | &Použít | &Apply |
57436 | Nelze určit nastavení zabezpečení zásad skupiny platné pro tento počítač. Při pokusu o načtení tohoto nastavení z databáze místních zásad zabezpečení (%%windir%%\security\database\secedit.sdb) byla vrácena tato chyba: %s Budou zobrazena všechna místní nastavení zabezpečení, nebude však k dispozici žádný údaj označující, zda je dané nastavení zabezpečení definované zásadami skupiny či nikoli. Libovolné místní nastavení zabezpečení upravené prostřednictvím tohoto uživatelského rozhraní může být následně přepsáno zásadami na úrovni domény. |
The Group Policy security settings that apply to this machine could not be determined. The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies. |
57437 | Nelze určit nastavení zabezpečení zásad skupiny platné pro tento počítač. Při pokusu o načtení tohoto nastavení z databáze místních zásad (%%windir%%\security\database\secedit.sdb) byla vrácena tato chyba: %s Budou zobrazena všechna místní nastavení zabezpečení, nebude však k dispozici žádný údaj označující, zda je dané nastavení zabezpečení definované zásadami skupiny či nikoli. |
The Group Policy security settings that apply to this machine could not be determined. The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. |
57438 | Soubor protokolu: | Log file: |
57439 | Název zásad | Policy Name |
57440 | Nastavení | Setting |
57441 | Zásada %1 nebyla správně použita. | The policy %1 was correctly applied. |
57442 | Při konfiguraci objektu podřízeného tomuto objektu došlo k chybě. (Modul zásad se neúspěšně pokusil konfigurovat podřízené nastavení určitého nastavení zásad.) Další informace získáte v protokolu %windir%\security\logs\winlogon.log. | There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log |
57443 | Zásada %1 měla za následek chybu %2. Další informace získáte v protokolu %windir%\security\logs\winlogon.log, který naleznete v cílovém počítači. | The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57444 | Zásada %1 měla za následek neplatný stav a byla zapsána do protokolu. Další informace získáte v protokolu %%windir%%\security\logs\winlogon.log, který naleznete v cílovém počítači. | The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information. |
57445 | Modul zásad se nepokusil konfigurovat nastavení. Další informace získáte v protokolu %windir%\security\logs\winlogon.log, který naleznete v cílovém počítači. | The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine. |
57446 | Zo&brazit zabezpečení... | &View Security... |
57447 | Nelze exportovat šablonu do %1. Byla vrácena následující chyba: %2 |
Couldn't export template to %1. The error returned was: %2 |
57448 | Chcete uložit změny do databáze zabezpečení? | Save changes to Security Database? |
57449 | Zakázat přihlášení prostřednictvím Vzdálené plochy | Deny log on through Remote Desktop Services |
57450 | Povolit přihlášení prostřednictvím Vzdálené plochy | Allow log on through Remote Desktop Services |
57451 | Nelze přidat šablonu hledání cesty | Couldn't add template search path |
57453 | \Security\Logs | \Security\Logs |
57454 | Zabezpečení těchto zásad skupiny lze upravit pouze v emulaci PDC. | The security portion of this group policy may only be edited on the PDC Emulator. |
57455 | Toto nastavení není kompatibilní s počítači se systémem Windows 2000 s aktualizací Service Pack 1 nebo nižší verzí. Použijte objekty zásad skupiny obsahující toto nastavení pouze v počítačích s vyšší verzí operačního systému. | This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system. |
57456 | Před odstraněním %1 uzavřete všechny stránky vlastností. | Close all property pages before deleting %1 |
57457 | Hodnota musí být v rozsahu od %d do %d | Value must be between %d and %d |
57458 | Přístup do sítě: Povolit anonymní překlad SID/názvu | Network access: Allow anonymous SID/Name translation |
57459 | Správcům musí být udělena místní přihlašovací práva. | Administrators must be granted the logon local right. |
57460 | Nemůžete všem uživatelům nebo správcům zakázat přihlášení k místnímu počítači. | You cannot deny all users or administrator(s) from logging on locally. |
57461 | Některé účty nemohou být přeloženy. | Some accounts cannot be translated. |
57462 | Chcete-li použít změny nebo zavřít toto okno vlastností, zavřete všechna sekundární okna. | To apply your changes or close this property sheet, close all secondary windows. |
57463 | Okno nelze otevřít. Systém Windows nemůže vytvořit uživatelské rozhraní pro toto okno vlastností. | The window cannot be opened. Windows cannot create a UI thread for the property sheet. |
57464 | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm | \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm |
57465 | Co je to? | What's this? |
57466 | sct | sct |
57467 | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm | \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm |
57468 | Hodnota musí být v rozsahu od %d do %d nebo 0 | Value must be between %d and %d or 0 |
57469 | Toto nastavení má vliv pouze na operační systémy předcházející systému Windows Server 2003. | This setting affects only operating systems earlier than Windows Server 2003. |
57470 | Změna tohoto nastavení může ovlivnit kompatibilitu s klienty, službami a aplikacemi. %1 |
Modifying this setting may affect compatibility with clients, services, and applications. %1 |
57471 | Další informace naleznete zde: %1. (Q%2!lu!) | For more information, see %1. (Q%2!lu!) |
57472 | Rozhodli jste se změnit toto nastavení na hodnotu, která může ovlivnit kompatibilitu s klienty, službami a aplikacemi. %1 Chcete změnu provést? |
You are about to change this setting to a value that may affect compatibility with clients, services, and applications. %1 Do you want to continue with the change? |
57473 | Po ověřovacím pověření musí být zosobnění klienta udělena práva Administrators a SERVICE. | Administrators and SERVICE must be granted the impersonate client after authentication privilege |
57474 | Toto nastavení pravděpodobně nebude možné vynutit, pokud jsou jiné zásady konfigurovány na přepsání zásady auditování na úrovni kategorie. %1 |
This setting might not be enforced if other policy is configured to override category level audit policy. %1 |
57475 | Další informace uvádí %1 v technických informacích o zásadách zabezpečení. | For more information, see %1 in the Security Policy Technical Reference. |
58000 | K této akci neexistuje vysvětlující text. | No explain text for this action |
58003 | Počítač bude následně uzamčen. | Machine will be locked after |
58100 | Spravovat zásady centrálního přístupu... Přidat nebo odebrat zásady centrálního přístupu v této šabloně |
Manage Central Access Policies... Add/Remove Central Access Policies to this template |
58107 | Tyto zásady přístupu zahrnují následující pravidla zásad: | This Access Policy includes the following Policy rules: |
58108 | Stav | Status |
58109 | Stahování centrálních zásad přístupu ze služby Active Directory... | Downloading central access policies from active directory... |
58110 | Chyba: Centrální zásady přístupu nelze stáhnout. | Error: Central access policies could not be downloaded |
58111 | Připraven... | Ready... |
58113 | Tato zásada centrálního přístupu nebyla nalezena. Pravděpodobně byla odstraněna z adresářové služby Active Directory nebo je její nastavení neplatné. Obnovte tuto zásadu v Centru správy služby Active Directory nebo ji odeberte z konfigurace. | This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration. |
59001 | Účty: Omezit použití prázdného hesla místního účtu pouze pro přihlášení ke konzole | Accounts: Limit local account use of blank passwords to console logon only |
59002 | Audit: Auditovat přístup globálních systémových objektů | Audit: Audit the access of global system objects |
59003 | Audit: Auditovat oprávnění k zálohování a obnovení dat | Audit: Audit the use of Backup and Restore privilege |
59004 | Audit: Není-li možno protokolovat audity zabezpečení, vypnout okamžitě systém | Audit: Shut down system immediately if unable to log security audits |
59005 | Zařízení: Zabránit uživatelům instalovat ovladače tiskáren | Devices: Prevent users from installing printer drivers |
59010 | Zařízení: Povolit vyjmutí z dokovací stanice bez nutnosti přihlásit se | Devices: Allow undock without having to log on |
59011 | Řadič domény: Umožnit členům skupiny Server Operators plánovat úlohy | Domain controller: Allow server operators to schedule tasks |
59012 | Řadič domény: Nepovolit změnu hesla účtu počítače | Domain controller: Refuse machine account password changes |
59013 | Řadič domény: Požadavky serveru LDAP na podpis | Domain controller: LDAP server signing requirements |
59014 | Žádná | None |
59015 | Vyžadovat podepisování | Require signing |
59016 | Člen domény: Nepovolit změnu hesla účtu počítače | Domain member: Disable machine account password changes |
59017 | Člen domény: Maximální doba platnosti hesla účtu počítače | Domain member: Maximum machine account password age |
59018 | Člen domény: Vždy digitálně zašifrovat nebo podepsat data zabezpečeného kanálu | Domain member: Digitally encrypt or sign secure channel data (always) |
59019 | Člen domény: Je-li možno, digitálně zašifrovat data zabezpečeného kanálu | Domain member: Digitally encrypt secure channel data (when possible) |
59020 | Člen domény: Je-li možno, digitálně podepsat data zabezpečeného kanálu | Domain member: Digitally sign secure channel data (when possible) |
59021 | Člen domény: Vyžadovat silný klíč relace (Windows 2000 nebo vyšší) | Domain member: Require strong (Windows 2000 or later) session key |
59022 | Interaktivní přihlašování: Nevyžadovat stisknutí kláves Ctrl+Alt+Del | Interactive logon: Do not require CTRL+ALT+DEL |
59023 | Interaktivní přihlašování: Nezobrazovat poslední přihlášení | Interactive logon: Don't display last signed-in |
59024 | Interaktivní přihlašování: Zobrazit informace o uživateli, pokud je relace uzamčena | Interactive logon: Display user information when the session is locked |
59025 | Zobrazované jméno uživatele, název domény a uživatelská jména | User display name, domain and user names |
59026 | Pouze zobrazované jméno uživatele | User display name only |
59027 | Nezobrazovat informace o uživateli | Do not display user information |
59028 | Interaktivní přihlašování: Text zprávy pro uživatele pokoušející se přihlásit | Interactive logon: Message text for users attempting to log on |
59029 | Interaktivní přihlašování: Nadpis zprávy pro uživatele pokoušející se přihlásit | Interactive logon: Message title for users attempting to log on |
59030 | Interaktivní přihlašování: Počet předchozích přihlášení uložených v mezipaměti pro případ, že řadič domény není k dispozici | Interactive logon: Number of previous logons to cache (in case domain controller is not available) |
59031 | Interaktivní přihlašování: Vyzvat uživatele ke změně hesla před jeho vypršením | Interactive logon: Prompt user to change password before expiration |
59032 | Interaktivní přihlašování: Požadovat ověření řadičem domény k odemknutí pracovní stanice | Interactive logon: Require Domain Controller authentication to unlock workstation |
59033 | Interaktivní přihlašování: Požadovat Windows Hello pro firmy nebo čipovou kartu | Interactive logon: Require Windows Hello for Business or smart card |
59034 | Interaktivní přihlašování: Chování při odebrání čipové karty | Interactive logon: Smart card removal behavior |
59035 | Žádná akce | No Action |
59036 | Uzamknout pracovní stanici | Lock Workstation |
59037 | Vynutit odhlášení | Force Logoff |
59038 | Odpojit v případě relace Vzdálené plochy | Disconnect if a remote Remote Desktop Services session |
59039 | Klient sítě Microsoft: Vždy digitálně podepsat komunikaci | Microsoft network client: Digitally sign communications (always) |
59040 | Klient sítě Microsoft: Digitálně podepsat komunikaci (pokud server souhlasí) | Microsoft network client: Digitally sign communications (if server agrees) |
59041 | Klient sítě Microsoft: Serverům SMB třetích stran odesílat nezašifrované heslo | Microsoft network client: Send unencrypted password to third-party SMB servers |
59042 | Server sítě Microsoft: Doba nečinnosti před přechodem relace do režimu spánku | Microsoft network server: Amount of idle time required before suspending session |
59043 | Server sítě Microsoft: Vždy digitálně podepsat komunikaci | Microsoft network server: Digitally sign communications (always) |
59044 | Server sítě Microsoft: Digitálně podepsat komunikaci (pokud klient souhlasí) | Microsoft network server: Digitally sign communications (if client agrees) |
59045 | Server sítě Microsoft: Po vypršení doby přihlášení odpojit klienty | Microsoft network server: Disconnect clients when logon hours expire |
59046 | Přístup k síti: Neumožnit ukládání hesel a pověření pro ověření v síti | Network access: Do not allow storage of passwords and credentials for network authentication |
59047 | Přístup k síti: Neumožnit anonymní výčet účtů SAM | Network access: Do not allow anonymous enumeration of SAM accounts |
59048 | Přístup k síti: Neumožnit anonymní výčet účtů SAM a sdílení | Network access: Do not allow anonymous enumeration of SAM accounts and shares |
59049 | Přístup k síti: Použít oprávnění účtu Everyone pro anonymní uživatele | Network access: Let Everyone permissions apply to anonymous users |
59050 | Přístup k síti: Omezit anonymní přístup k pojmenovaným kanálům a sdíleným složkám | Network access: Restrict anonymous access to Named Pipes and Shares |
59051 | Přístup k síti: Povolit anonymní přístup k pojmenovaným kanálům | Network access: Named Pipes that can be accessed anonymously |
59052 | Přístup k síti: Sdílené složky, ke kterým lze přistupovat anonymně | Network access: Shares that can be accessed anonymously |
59053 | Přístup k síti: Vzdáleně přístupné cesty registru a jejich podřízené větve | Network access: Remotely accessible registry paths and sub-paths |
59054 | Přístup k síti: Vzdáleně přístupné cesty registru | Network access: Remotely accessible registry paths |
59055 | Přístup k síti: Model sdílení a zabezpečení místních účtů | Network access: Sharing and security model for local accounts |
59056 | Klasický - místní uživatelé jsou ověřováni pomocí svých účtů | Classic - local users authenticate as themselves |
59057 | Pouze účet Guest - místní uživatelé jsou ověřováni pomocí účtu Guest | Guest only - local users authenticate as Guest |
59058 | Zabezpečení sítě: Neukládat hodnotu hash programu LAN Manager při příští změně hesla | Network security: Do not store LAN Manager hash value on next password change |
59059 | Zabezpečení sítě: Úroveň ověřování pro systém LAN Manager | Network security: LAN Manager authentication level |
59060 | Odesílat odpovědi LM a NTLM | Send LM & NTLM responses |
59061 | Odesílat pouze LM a NTLM, v případě možnosti použít zabezpečení relace NTLMv2 | Send LM & NTLM - use NTLMv2 session security if negotiated |
59062 | Odesílat pouze odpovědi NTLM | Send NTLM response only |
59063 | Odesílat pouze odpovědi NTLMv2 | Send NTLMv2 response only |
59064 | Odesílat pouze odpovědi NTLMv2, odmítat LM | Send NTLMv2 response only. Refuse LM |
59065 | Odesílat pouze odpovědi NTLMv2, odmítat LM a NTLM | Send NTLMv2 response only. Refuse LM & NTLM |
59066 | Zabezpečení sítě: Minimální zabezpečení relace pro klienty založené na NTLM SSP (včetně zabezpečeného vzdáleného volání procedur) | Network security: Minimum session security for NTLM SSP based (including secure RPC) clients |
59067 | Zabezpečení sítě: Minimální zabezpečení relace pro servery založené na NTLM SSP (včetně zabezpečeného vzdáleného volání procedur) | Network security: Minimum session security for NTLM SSP based (including secure RPC) servers |
59070 | Požadovat zabezpečení relací NTLMv2 | Require NTLMv2 session security |
59071 | Požadovat 128bitové šifrování | Require 128-bit encryption |
59072 | Zabezpečení sítě: Požadavky na podepisování klienta LDAP | Network security: LDAP client signing requirements |
59074 | Vyjednat podepisování | Negotiate signing |
59076 | Konzola pro zotavení: Povolit automatické přihlášení správce | Recovery console: Allow automatic administrative logon |
59077 | Konzola pro zotavení: Povolit kopírování na disketu a přístup ke všem jednotkám a složkám | Recovery console: Allow floppy copy and access to all drives and all folders |
59078 | Vypnutí: Povolit vypnutí systému bez nutnosti přihlášení | Shutdown: Allow system to be shut down without having to log on |
59079 | Vypnutí: Vymazat stránkovací soubor virtuální paměti | Shutdown: Clear virtual memory pagefile |
59080 | Systémové objekty: Posílit výchozí oprávnění vnitřních systémových objektů (například symbolických odkazů) | System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) |
59081 | Systémové objekty: Výchozí vlastník objektů vytvořených členy skupiny Administrators | System objects: Default owner for objects created by members of the Administrators group |
59082 | Skupina Administrators | Administrators group |
59083 | Autor objektu | Object creator |
59084 | Systémové objekty: Nevyžadovat rozlišování malých a velkých písmen pro podsystémy nepatřící pod systém Windows | System objects: Require case insensitivity for non-Windows subsystems |
59085 | Kryptografický modul systému: Pro šifrování, algoritmus hash a podepisování používat algoritmus kompatibilní s FIPS | System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing |
59086 | Kryptografický modul systému: Pro klíče uložené v počítači vynutit silnou ochranu klíčů | System cryptography: Force strong key protection for user keys stored on the computer |
59087 | Při ukládání a používání nových klíčů není požadován vstup uživatele | User input is not required when new keys are stored and used |
59088 | Uživatel je vyzván při prvním použití klíče | User is prompted when the key is first used |
59089 | Uživatel musí zadat heslo při každém použití klíče | User must enter a password each time they use a key |
59090 | Nastavení systému: Použít pravidla certifikátu u spustitelných souborů systému Windows pro zásady omezení softwaru | System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies |
59091 | Nastavení systému: Volitelné podsystémy | System settings: Optional subsystems |
59092 | přihlášení | logons |
59093 | dnů | days |
59094 | min. | minutes |
59095 | s | seconds |
59096 | Modul DCOM: Omezení spuštění počítače v syntaxi jazyka SDDL (Security Descriptor Definition Language) | DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59097 | Modul DCOM: Omezení přístupu k počítači v syntaxi jazyka SDDL (Security Descriptor Definition Language) | DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax |
59098 | Zařízení: Omezit přístup k jednotce CD-ROM pouze na místně přihlášené uživatele | Devices: Restrict CD-ROM access to locally logged-on user only |
59099 | Zařízení: Povoleno formátování a vysunutí vyměnitelných médií | Devices: Allowed to format and eject removable media |
59100 | Administrators | Administrators |
59101 | Členové skupiny Administrators a Power Users | Administrators and Power Users |
59102 | Členové skupiny Administrators a Interactive Users | Administrators and Interactive Users |
59103 | Zařízení: Omezit přístup k disketové jednotce pouze na místně přihlášené uživatele | Devices: Restrict floppy access to locally logged-on user only |
59104 | Audit: Vynutit přednost nastavení podkategorie zásad auditování (Windows Vista nebo novější) před nastavením kategorie zásad auditování | Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings |
59105 | Zabezpečení sítě: Omezit protokol NTLM: Odchozí přenosy protokolu NTLM do vzdálených serverů | Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers |
59106 | Povolit vše | Allow all |
59107 | Odepřít vše | Deny all |
59108 | Zabezpečení sítě: Omezit protokol NTLM: Příchozí přenosy protokolu NTLM | Network security: Restrict NTLM: Incoming NTLM traffic |
59110 | Odepřít všechny účty domény | Deny all domain accounts |
59111 | Odepřít všechny účty | Deny all accounts |
59112 | Zabezpečení sítě: Omezit protokol NTLM: Ověřování protokolem NTLM v této doméně | Network security: Restrict NTLM: NTLM authentication in this domain |
59113 | Zakázat | Disable |
59114 | Odepřít pro účty domény u serverů domény | Deny for domain accounts to domain servers |
59115 | Odepřít pro účty domény | Deny for domain accounts |
59116 | Odepřít pro servery domény | Deny for domain servers |
59118 | Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro vzdálené servery pro ověřování protokolem NTLM | Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication |
59119 | Zabezpečení sítě: Omezit protokol NTLM: Přidat výjimky pro servery v této doméně | Network security: Restrict NTLM: Add server exceptions in this domain |
59120 | Zabezpečení sítě: Povolit návrat k prázdné relaci místního systému | Network security: Allow LocalSystem NULL session fallback |
59121 | Zabezpečení sítě: Konfigurovat typy šifrování povolené pro protokol Kerberos | Network security: Configure encryption types allowed for Kerberos |
59122 | DES_CBC_CRC | DES_CBC_CRC |
59123 | DES_CBC_MD5 | DES_CBC_MD5 |
59124 | RC4_HMAC_MD5 | RC4_HMAC_MD5 |
59125 | AES128_HMAC_SHA1 | AES128_HMAC_SHA1 |
59126 | AES256_HMAC_SHA1 | AES256_HMAC_SHA1 |
59127 | Budoucí typy šifrování | Future encryption types |
59129 | Zabezpečení sítě: Povolit žádostem o ověřování PKU2U odeslaným do tohoto počítače používat online identity.
|
Network security: Allow PKU2U authentication requests to this computer to use online identities.
|
59130 | Auditovat vše | Audit all |
59131 | Zabezpečení sítě: Omezit protokol NTLM: Auditovat příchozí přenosy protokolu NTLM | Network security: Restrict NTLM: Audit Incoming NTLM Traffic |
59132 | Zabezpečení sítě: Omezit protokol NTLM: Auditovat ověřování protokolem NTLM v této doméně | Network security: Restrict NTLM: Audit NTLM authentication in this domain |
59133 | Zabezpečení sítě: Povolit místnímu systému používat identitu počítače pro protokol NTLM | Network security: Allow Local System to use computer identity for NTLM |
59135 | Povolit auditování pro účty domény | Enable auditing for domain accounts |
59136 | Povolit auditování pro všechny účty | Enable auditing for all accounts |
59138 | Povolit pro účty domény u serverů domény | Enable for domain accounts to domain servers |
59139 | Povolit pro účty domény | Enable for domain accounts |
59140 | Povolit pro servery domény | Enable for domain servers |
59142 | Server sítě Microsoft: Úroveň ověření cílového názvu hlavního názvu služby (SPN) serveru | Microsoft network server: Server SPN target name validation level |
59144 | Akceptovat, pokud pochází od klienta | Accept if provided by client |
59145 | Požadováno od klienta | Required from client |
59146 | Server sítě Microsoft: Pokusit se získat informace o deklaraci identity pomocí funkce S4U2Self | Microsoft network server: Attempt S4U2Self to obtain claim information |
59147 | Výchozí | Default |
59150 | Účty: Blokovat účty Microsoft | Accounts: Block Microsoft accounts |
59151 | Tato zásada je zakázána. | This policy is disabled |
59152 | Uživatelé nemohou přidávat účty Microsoft. | Users can't add Microsoft accounts |
59153 | Uživatelé nemohou přidávat účty Microsoft ani se jejich pomocí přihlašovat. | Users can't add or log on with Microsoft accounts |
59154 | Interaktivní přihlášení: Prahová hodnota pro uzamčení účtu počítače | Interactive logon: Machine account lockout threshold |
59155 | Interaktivní přihlášení: Limit pro nečinnost počítače | Interactive logon: Machine inactivity limit |
59156 | neplatných pokusů o přihlášení | invalid logon attempts |
59157 | Síťový přístup: Omezit klienty s povolení vzdáleně volat do databáze SAM | Network access: Restrict clients allowed to make remote calls to SAM |
59158 | Interaktivní přihlašování: Nezobrazovat uživatelské jméno při přihlášení | Interactive logon: Don't display username at sign-in |
File Description: | Security Configuration UI Module |
File Version: | 10.0.15063.0 (WinBuild.160101.0800) |
Company Name: | Microsoft Corporation |
Internal Name: | WSECEDIT |
Legal Copyright: | © Microsoft Corporation. Všechna práva vyhrazena. |
Original Filename: | WSecEdit.dll.mui |
Product Name: | Operační systém Microsoft® Windows® |
Product Version: | 10.0.15063.0 |
Translation: | 0x405, 1200 |