wsecedit.dll.mui Sikkerhetskonfigurasjons-UI-modul b62ce41ca7088035a5315650e2655d22

File info

File name: wsecedit.dll.mui
Size: 435200 byte
MD5: b62ce41ca7088035a5315650e2655d22
SHA1: 3193e54073a943a771878bb66d772e5c801911e1
SHA256: 78049dc494a0ed5410fa9df4d1a783f58952e646cebfba7105db99090ce330a0
Operating systems: Windows 10
Extension: MUI

Translations messages and strings

If an error occurred or the following message in Norwegian (Bokml) language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.

id Norwegian (Bokml) English
1Klasse for WSecEdit-utvidelse WSecEdit Extension Class
2Navn Name
3Beskrivelse Description
4Policy Policy
5Databaseinnstilling Database Setting
6Datamaskininnstilling Computer Setting
7Sikkerhetsmal Security Template
8Maler Templates
9Forrige konfigurasjon/analyse Last Configuration/Analysis
10Sikkerhetsmaler definert for å konfigurere eller analysere en datamaskin. Security templates defined to configure or analyze a computer.
12Sikkerhetspolicy Security Policy
13Tilordning av brukerrettigheter User Rights Assignment
14Begrensede grupper Restricted Groups
15Systemtjenester System Services
16Register Registry
17Filsystem File System
21Innstillinger for systemtjeneste System service settings
22Innstillinger for registersikkerhet Registry security settings
23Innstillinger for filsystemsikkerhet File system security settings
24Sikkerhetsmaler Security Templates
25(ikke lagret) (not saved)
26Sikkerhetsinnstillinger Security Settings
27Klasse for WSecEdit-sikkerhetskonfigurasjon WSecEdit Security Configuration Class
28Klasse for WSecEdit-sikkerhetsbehandling WSecEdit Security Manager Class
29Er du sikker på at du vil slette %s? Are you sure you want to delete %s?
30Vil du slette alle valgte elementer? Do you want to delete all selected items?
31&Analyser datamaskin nå...
Sammenligner gjeldende datamaskininnstillinger mot sikkerhetsinnstillingene i databasen
&Analyze Computer Now...
Compares the current computer settings against the security settings in the database
34Eksporter &mal...
Eksporterer hovedmalen for gjeldende datamaskin
&Export Template...
Exports the base template for the current computer
35&Legg til filer...
Legger til nye filer til i denne malen
Add Fi&les...
Adds new files to this template
36Ny søke&bane for mal...
Legger til en plassering for malsøkebanen for Sikkerhetsmaler (INI- eller INF-format)
&New Template Search Path...
Adds a template location to the Security Templates' search path (.inf - INF format)
37Ny &mal...
Oppretter en ny mal
&New Template...
Creates a new template
38&Fjern bane
Fjerner den valgte banen fra søkebanen
&Remove Path
Removes the selected location from the search path
39&Oppdater
Oppdaterer denne plasseringen for visning av nylig tillagte maler
Re&fresh
Updates this location to display recently added templates
40Konfig&urer datamaskin nå...
Konfigurerer datamaskinen i samsvar med den valgte malen
Con&figure Computer Now...
Configures the computer according to the selected template
42Kan ikke importere mal fra %s Windows cannot import the template from %s
43Lagr&e som...
Lagrer malen med et nytt navn
Save &As...
Saves the template with a new name
44&Kopier
Kopierer den valgte malinformasjonen til utklippstavlen
&Copy
Copies the selected template information to the Clipboard
45&Lim inn
Limer inn utklippstavleinformasjon i malen
&Paste
Pastes Clipboard information into the template
46Kilde-GPO Source GPO
47&Oppdater
Oppdaterer data
&Refresh
Refreshes data
48Det kreves sikkerhet for å legge til dette objektet Security is required to add this object
49Kan ikke importere sikkerhetsmalen Windows cannot import the security template
50Passordpolicy Password Policy
51Maksimal passordalder
dager
Maximum password age
days
52Minimal passordalder
dager
Minimum password age
days
53Minimal passordlengde
tegn
Minimum password length
characters
54Fremtving passordlogg
lagrede passord
Enforce password history
passwords remembered
55Passord må oppfylle kravene Password must meet complexity requirements
56Bruker må logge på for å endre passordet User must log on to change the password
57Policy for låsing av konto Account Lockout Policy
58Terskelverdi for låsing av konto
ugyldige påloggingsforsøk
Account lockout threshold
invalid logon attempts
59Tilbakestill teller for låsing av konto etter
minutter
Reset account lockout counter after
minutes
60Varighet for låsing av konto
minutter
Account lockout duration
minutes
61Vil du slette denne malen? Do you want to delete this template?
62Databasen er ikke lastet inn. The database is not loaded.
63Nettverkssikkerhet: Fremtving avlogging når påloggingstiden utløper Network security: Force logoff when logon hours expire
65Kontoer: Gi nytt navn til administratorkonto Accounts: Rename administrator account
67Kontoer: Gi nytt navn til gjestekonto Accounts: Rename guest account
68Last inn på nytt
Laster inn de lokale og gjeldende policytabellene fra policydatabasen
Reload
Reloads the local and effective policy tables from the policy database
69Gruppenavn Group Name
70Hendelseslogg Event Log
71Maksimal loggstørrelse for systemlogg
kB
Maximum system log size
kilobytes
72Oppbevaringsmetode for systemlogg Retention method for system log
73Oppbevar systemlogg i
dager
Retain system log
days
74Maksimal loggstørrelse for sikkerhetslogg
kB
Maximum security log size
kilobytes
75Oppbevaringsmetode for sikkerhetslogg Retention method for security log
76Oppbevar sikkerhetslogg i
dager
Retain security log
days
77Maksimal loggstørrelse for programlogg
kB
Maximum application log size
kilobytes
78Oppbevaringsmetode for programlogg Retention method for application log
79Oppbevar programlogg i
dager
Retain application log
days
80Slå av datamaskinen når sikkerhetsovervåkingsloggen er full Shut down the computer when the security audit log is full
81Overvåkingspolicy Audit Policy
82Hendelsesovervåkingsmodus Event Auditing Mode
83Overvåk systemhendelser Audit system events
84Overvåk påloggingshendelser Audit logon events
85Overvåk objekttilgang Audit object access
86Overvåk bruk av privilegier Audit privilege use
87Overvåk policyendringer Audit policy change
88Overvåk kontobehandling Audit account management
89Overvåk prosessporing Audit process tracking
90Sikkerhetsalternativer Security Options
92Ikke definert Not Defined
95Kan ikke legge til medlemmer Cannot add members
96Kan ikke vise sikkerhet Cannot display security
97Kan ikke legge til brukere Cannot add users
98Kan ikke legge til mappeobjekt Cannot add directory object
99Kan ikke legge til mappe Cannot add a folder
100-- Medlemmer -- Members
102Dette filnavnet inneholder noen tegn som ikke kjennes igjen av gjeldende systemspråk. Gi filen et nytt navn. This file name contains some characters that can not be recognized by current system language. Please rename it.
103Tillatelse Permission
104Overvåking Audit
106Kan ikke legge til fil. Windows cannot add a file.
107Ugyldig malnavn. The template name is not valid.
108Feil ved eksportering av lagret mal. An error occurred while exporting the stored template.
109Kan ikke legge til registernøkkel Windows cannot add a registry key
110Alle tillatelser Full Control
111Endre Modify
112Lese og kjøre Read and Execute
113Vise mappeinnhold List Folder Contents
114Lese Read
115Skrive Write
116Traversere mappe / kjøre fil Traverse Folder/Execute File
117Slette Delete
120Ingen None
124Spørre etter verdi Query Value
125Angi verdi Set Value
126Opprette undernøkkel Create Subkey
127Liste opp undernøkler Enumerate Subkeys
128Varsle Notify
129Opprette kobling Create Link
130Kjøre Execute
131Kan ikke opprette tråd Cannot create a thread
132Følgende kontoer kan ikke valideres: %1
The following accounts could not be validated: %1
141Loggfilnavn Log File Name
143Utfør sikkerhetsanalyse Perform Security Analysis
144Innstillinger for sikkerhetspolicy Security policy settings
146Konfigurasjon og analyse av sikkerhet
v1.0
Security Configuration and Analysis
v1.0
147Konfigurasjon og analyse av sikkerhet er et administrativt verktøy som brukes til å sikre en datamaskin og analysere sikkerhetsaspekter. Du kan opprette eller redigere en sikkerhetsmal, bruke sikkerhetsmalen, utføre malbaserte analyser og vise analyseresultater. Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results.
148Forrige analyse ble utført på
Last analysis was performed on
149Beskrivelse av hovedsikkerhetskonfigurasjon:
Base security configuration description:
150Datamaskinen ble konfigurert med følgende mal.
Ingen analyser har blitt utført.
The computer was configured by the following template.
Analysis was not performed.
151Databasen har ikke blitt konfigurert eller analysert med Konfigurasjon og analyse av sikkerhet. The database has not been configured or analyzed using Security Configuration and Analysis.
152Om Konfigurasjon og analyse av sikkerhet About Security Configuration and Analysis
153Om forrige analyse About Last Analysis
154Legg til plassering av mal til Sikkerhetsmaler Add a Template Location to Security Templates
165Objektnavn Object Name
166Inkonsekvente verdier Inconsistent Values
168Åpne mal Open Template
169Sikkerhetsmal (.inf)|*.inf|| Security Template (.inf)|*.inf||
170inf inf
171Feil ved åpning av loggfil Open Error Log File
172log log
173Loggfiler (.log)|*.log|| Log files (.log)|*.log||
193Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations
194Kan ikke åpne malfil. Windows cannot open template file.
195Kan ikke lese malinformasjon. Windows cannot read template information.
196Det finnes ingen analyseinformasjon i databasen som kan vises. Velg menyalternativet Analyser for å begynne å bruke dette verktøyet. There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool.
1970 0
198Ved behov As needed
199Etter dager By days
200Manuelt Manually
201Aktivert Enabled
202Deaktivert Disabled
203 On
204Av Off
210Medlemmer Members
211Medlem av Member Of
214CLASSES_ROOT CLASSES_ROOT
215MACHINE MACHINE
216USERS USERS
217Fullført Succeeded
229Ukjent feil Unknown error
232\Security\Templates \Security\Templates
233Koble til denne datamaskinen fra nettverket Access this computer from the network
234Tillat å logge på lokalt Allow log on locally
235Kan ikke lagre Failed to save
236&Lagre
Lagrer malen
&Save
Save the template
237Software\Microsoft\Windows NT\CurrentVersion\SecEdit Software\Microsoft\Windows NT\CurrentVersion\SecEdit
238Legg til mappe Add Folder
239Legg til &mappe...
Legger til en ny mappe til i denne malen
Add &Folder...
Adds a new folder to this template
240Legg til &nøkkel...
Legger til en ny nøkkel til i denne malen
Add &Key...
Adds a new key to this template
241Legg til gr&uppe...
Legger til en ny gruppe til i denne malen
Add &Group...
Adds a new group to this template
248Tjenestenavn Service Name
249Oppstart Startup
250Analysert Analyzed
251Konfigurert Configured
252Automatisk Automatic
254OK OK
255Undersøk Investigate
256Databasesikkerhet for Database Security for
257Forrige analyserte sikkerhet for Last Analyzed Security for
258Sikkerhet for Security for
262Gruppemedlemskap Group Membership
263Medlemmer av denne gruppen Members of this group
266Kontopolicyer Account Policies
267Policyer for passord og låsing av konto Password and account lockout policies
268Lokale policyer Local Policies
269Policyer for overvåking, brukerrettigheter og sikkerhetsalternativer Auditing, user rights and security options policies
271Hendelseslogginnstillinger og Hendelsesliste Event Log settings and Event Viewer
272Overvåk tilgang til katalogtjeneste Audit directory service access
273Overvåk hendelser for kontopålogging Audit account logon events
275Hindre lokale gjestegrupper fra å få tilgang til systemloggen Prevent local guests group from accessing system log
276Hindre lokale gjestegrupper fra å få tilgang til sikkerhetsloggen Prevent local guests group from accessing security log
277Hindre lokale gjestegrupper fra å få tilgang til programloggen Prevent local guests group from accessing application log
278Alltid Always
281Ignorer Ignore
284Erstatt Replace
286Logg på som en satsvis jobb Log on as a batch job
287Logg på som en tjeneste Log on as a service
288Active Directory-objekter Active Directory Objects
289Sikkerhetsbehandling av Active Directory-objekter Security management of Active Directory objects
290Legg til &Directory-objekt
Legger til et Active Directory-objekt til i denne malen
Add Directory &Object
Adds an Active Directory object to this template
293Vise mappe / lese data List folder / Read data
294Lese attributter Read attributes
295Lese utvidede attributter Read extended attributes
296Opprette filer / skrive data Create files / Write data
297Opprette mapper / tilføye data Create folders / Append data
298Skrive attributter Write attributes
299Skrive utvidede attributter Write extended attributes
300Slette undermapper og filer Delete subfolders and files
302Lese tillatelser Read permissions
303Endre tillatelser Change permissions
304Bli eier Take ownership
305Synkronisere Synchronize
306Lese, skrive og kjøre Read, Write and Execute
307Skrive og kjøre Write and Execute
308Traversere / Kjøre Traverse / Execute
309Bare denne mappen This folder only
310Denne mappen, undermapper og filer This folder, subfolders and files
311Denne mappen og undermapper This folder and subfolders
312Denne mappen og filer This folder and files
313Bare undermapper og filer Subfolders and files only
314Bare undermapper Subfolders only
315Bare filer Files only
316Bare denne nøkkelen This key only
317Denne nøkkelen og undernøkler This key and subkeys
318Bare undernøkler Subkeys only
321Start, stopp og stans midlertidig Start, stop and pause
322Spørringsmal Query template
323Endringsmal Change template
324Spørringsstatus Query status
325List opp avhengigheter Enumerate dependents
326Start Start
327Stopp Stop
328Stans midlertidig og fortsett Pause and continue
330Brukerdefinert kontroll User-defined control
335Opprette underordnet objekt Create children
336Slette underordnet objekt Delete children
337Vise innhold List contents
338Legge til / fjerne seg selv Add/remove self
339Lese egenskaper Read properties
340Skrive egenskaper Write properties
341Bare denne beholderen This container only
342Denne beholderen og underbeholdere This container and subcontainers
343Bare underbeholdere Subcontainers only
344[[Policykonfigurasjon for lokal datamaskin ]] [[Local Computer Policy Configuration ]]
345Kontoen vil ikke bli låst. Account will not lock out.
346Passord kan endres umiddelbart. Password can be changed immediately.
347Passord ikke nødvendig. No password required.
348Ikke behold passordlogg. Do not keep password history.
349Passord utløper om: Password will expire in:
350Passord kan endres etter: Password can be changed after:
351Passord må være minst: Password must be at least:
352Behold passordlogg i: Keep password history for:
353Konto vil bli låst etter: Account will lock out after:
354Konto er låst i: Account is locked out for:
355Skriv over hendelser eldre enn: Overwrite events older than:
356Passord vil ikke utløpe. Password will not expire.
357Konto er låst til Administrator låser den opp. Account is locked out until administrator unlocks it.
359Lagre passord med reverserbar kryptering Store passwords using reversible encryption
360Kerberos-policy Kerberos Policy
361Fremtving begrensninger for brukerpålogging Enforce user logon restrictions
362Maksimal toleranse for synkronisering av datamaskinklokker
minutter
Maximum tolerance for computer clock synchronization
minutes
363Maksimal levetid for tjenestebillett
minutter
Maximum lifetime for service ticket
minutes
364Maksimal levetid for brukerbillett
timer
Maximum lifetime for user ticket
hours
365Maksimal levetid en brukerbillett kan fornyes
dager
Maximum lifetime for user ticket renewal
days
366Legg til medlem Add Member
368Ikke nok minne til å vise denne delen There is not enough memory to display this section
369Ingen informasjon tilgjengelig om forrige analyse No information is available about the last analysis
370Kan ikke lagre endrede maler. Windows cannot save changed templates.
372Konfigurasjon og analyse av sikkerhet Security Configuration and Analysis
374&Importer mal...
Importerer en mal til denne databasen
&Import Template...
Import a template into this database
376Kan ikke opprette eller åpne %s Windows cannot create or open %s
377Finn loggfil for feil Locate error log file
378sdb sdb
379Sikkerhetsdatabasefiler (*.sdb)|*.sdb|Alle filer (*.*)|*.*|| Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*||
380Bruk mal på datamaskin Apply Template to Computer
381Bane til loggfil for feil for logging av fremdrift av datamaskinkonfigurasjon Error log file path to record the progress of configuring the computer
382Si&kkerhet... &Security...
383Redigerer sikkerhet for dette elementet Edit security for this item
384Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration
385Si&kkerhet...
Redigerer sikkerhet for dette elementet
&Security...
Edit security for this item
386EnvironmentVariables EnvironmentVariables
387%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%| %AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|
388Åpne data&base...
Åpner en eksisterende eller ny database
O&pen Database...
Open an existing or new database
389&Ny database...
Oppretter og åpner en ny database
&New Database...
Create and open a new database
390&Angi beskrivelse...
Oppretter en beskrivelse for malene i denne mappen
Set Descri&ption...
Create a description for the templates in this directory
392\help\sce.chm \help\sce.chm
395Alle filer (*.*)|*.*|| All files (*.*)|*.*||
396Database: %s Database: %s
397Det oppstod en ukjent feil under åpning av databasen. An unknown error occurred when attempting to open the database.
398Du må analysere databasen før du kan bruke den. Velg alternativet for å kjøre en analyse på Database-menyen. Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis.
399Databasen du prøver å åpne finnes ikke. Klikk Importer mal fra Database-menyen. The database you are attempting to open does not exist. On the Database menu, click Import Template.
400Databasen er skadet. Se elektronisk Hjelp for informasjon om hvordan databasen kan repareres. The database is corrupt. For information about fixing the database, see online Help.
401Ikke nok minne til å laste inn databasen. Lukk noen programmer og prøv på nytt. There is not enough memory available to load the database. Close some programs and then try again.
402Ingen tilgang til databasen. Du må være en administrator for å arbeide med databasen hvis ikke tillatelsene på databasen har blitt endret. Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it.
403\Security\Database \Security\Database
404Vil du lagre endringer i %s? Do you want to save changes to %s?
405Det finnes en importert mal som venter. For å lagre, klikk Avbryt og kjør en analyse eller konfigurasjon før du importerer en annen mal. Velg OK hvis du vil ignorere den tidligere importerte malen.
There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK.
406Alle valgte filer All Selected Files
407Nekt lokal pålogging Deny log on locally
408Nekt tilgang til denne datamaskinen fra nettverket Deny access to this computer from the network
409Nekt pålogging som en tjeneste Deny log on as a service
410Nekt pålogging som en satsvis jobb Deny log on as a batch job
411Legg til gruppe Add Group
412&Gruppe: &Group:
413Ikke analysert Not Analyzed
414Feil under analyse Error Analyzing
416Foreslått innstilling Suggested Setting
417Lokal policy...
Oppretter malfil fra de lokale policyinnstillingene
Local Policy ...
Create template file from the local policy settings
418Gjeldende policy...
Oppretter malfil fra gjeldende policyinnstillinger
Effective Policy ...
Create template file from the effective policy settings
419Konfigurasjon og analyse av sikkerhet Slik åpner du en eksisterende database Høyreklikk områdeelementet Konfigurasjon og analyse av sikkerhet Klikk Åpne database Merk en database, og klikk deretter Åpne Slik oppretter du en ny database Høyreklikk områdeelementet Konfigurasjon og analyse av sikkerhet Klikk Åpne database Skriv inn et nytt databasenavn, og klikk deretter Åpne Merk en sikkerhetsmal du vil importere, og klikk deretter Åpne Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open
420
422Databasen du forsøker å åpne finnes ikke. The database you are attempting to open does not exist.
423Du kan opprette en ny lokal policydatabase ved å velge Importer policy fra menykommandoene under Sikkerhetsinnstillinger. You can create a new local policy database by choosing Import Policy from the Security Settings menu commands.
424Ingen tilgang til databasen. Access to database has been denied.
425Vi&s loggfil
Bytter mellom visning av loggfil og mappetre når noden Konfigurasjon og analyse av sikkerhet er merket
View Lo&g File
Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected
426Du kan nå konfigurere eller analysere datamaskinen ved hjelp av sikkerhetsinnstillingene i denne databasen. Slik konfigurerer du datamaskinenHøyreklikk områdeelementet Konfigurasjon og analyse av sikkerhetVelg Konfigurer datamaskinen nåI dialogboksen skriver du inn navnet på loggfilen du vil vise, og deretter klikker du OKObs! Når konfigurasjon er fullført, må du utføre en analyse for å vise informasjonen i databasenSlik analyserer du datamaskinens sikkerhetsinnstillinger Høyreklikk områdeelementet Konfigurasjon og analyse av sikkerhetVelg Analyser datamaskinen nåI dialogboksen skriver du banen til loggfilen. Klikk deretter OKObs! For å vise loggfilen som ble opprettet under konfigurasjonen eller analysen velger du Vis loggfil på hurtigmenyen Konfigurasjon og analyse av sikkerhet. You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu.
427 Feil under lesing av plassering Error Reading Location
429Policyinnstilling Policy Setting
430Sikkerhets&veiviser...
Veiviser for sikker serverrolle
Secure &Wizard...
Secure Server Role Wizard
431Windows kan ikke importere ugyldig mal %s Windows cannot import invalid template %s
432Kontoer: Administrator-kontostatus Accounts: Administrator account status
433Kontoer: Gjestekontostatus Accounts: Guest account status
434Egenskaper Properties
435Brukernavnet er ugyldig. Det er tomt eller kan ikke inneholde følgende tegn:
%1
The username is not valid. It is empty or it may not contain any of the following characters:
%1
436Intet minimum No minimum
437Bruker- og gruppenavn kan ikke inneholde følgende tegn:
%1
User and group names may not contain any of the following characters:
%1
438Systemet finner ikke den angitte banen:
%1
The system can not find the path specified:
%1
439Filnavn kan ikke inneholde følgende tegn:
%1
File name may not contain any of the following characters:
%1
440Du må velge oppstartsmodus. A startup mode must be selected.
441Kan ikke slette objektet %1 fordi et åpent vindu viser egenskapene.
Lukk vinduet og klikk Slett på nytt for å slette objektet.
Object "%1" cannot be deleted because an open window is displaying its properties.
To delete this object, close that window and select "Delete" again.
442Konfigurerer medlemskap for %.17s... Configure Membership for %.17s...
443Tilbakestill teller for låsing av konto etter Reset account lockout counter after
444Angi &beskrivelse...
Oppretter en beskrivelse for malen
Set Descri&ption...
Create a description for this template
445Beskrivelsen kan ikke inneholde følgene tegn:
%1
Description may not contain any of the following characters:
%1
446Malinnstilling Template Setting
449Kontroller at du har riktige tillatelser for dette objektet. Make sure that you have the right permissions to this object.
450Kontroller at objektet finnes. Make sure that this object exists.
451Kan ikke bruke mappen %1. Velg en annen mappe. The folder %1 cannot be used. Choose another folder.
452Min datamaskin My Computer
453Filnavnet er for langt. The file name is too long.
552spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm
698%1
Filnavnet er et reservert enhetsnavn.
Angi et annet navn.
%1
This file name is a reserved device name.
Choose another name.
699Feil filtype. The file type is not correct.
700Du må være medlem av administratorgruppen for å utføre den forespurte operasjonen. You must be a member of the Administrators group to perform the requested operation.
701Filnavnet %1 er ugyldig.
Skriv inn filnavnet på nytt i riktig format, for eksempel: C:\plassering\fil.%2.
The file name %1 is not valid.
Reenter the file name in the correct format, such as c:\location\file.%2.
702Ingen tilordninger ble gjort mellom kontonavn og sikkerhets-IDer No mapping between account names and security IDs was done
709Denne innstillingen må være definert i standard domenepolicyen for å påvirke domenekontoer. To affect domain accounts, this setting must be defined in default domain policy.
718Lokal sikkerhetspolicy Local Security Policy
740%1%2 %1%2
741%1%2
%3
%1%2
%3
745Spesiell Special
753Sikkerhetsinnstillinger for ekstern tilgang til SAM Security Settings for Remote Access to SAM
754Ekstern tilgang Remote Access
762Policy for sentral tilgang Central Access Policy
763Policyer for sentral tilgang som er aktivert i filsystemet Central Access Policies applied to the file system
764!!Ukjent policy!!: !!Unknown policy!!:
765%1 %2 %1 %2
1900Fremtving passordlogg

Denne sikkerhetsinnstillingen angir antall entydige, nye passord som må være knyttet til en brukerkonto før et gammelt passord kan brukes på nytt. Verdien må være mellom 0 og 24 passord.

Med denne policyen kan administratorer øke sikkerheten ved å sørge for at gamle passord ikke brukes om igjen hele tiden.

Standard:

24 på domenekontrollere,
0 på frittstående servere

Obs! Som standard følger medlemsdatamaskiner konfigurasjonen til sine domenekontrollere.
For å opprettholde effektiviteten til passordloggen bør du ikke tillate at passord endres like etter at de nettopp er endret. Dette gjøres ved å aktivere policyinnstillingen Minimal passordalder. Du finner flere opplysninger om policyinnstillingen for minimal passordalder i Minimal passordalder.
Enforce password history

This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords.

This policy enables administrators to enhance security by ensuring that old passwords are not reused continually.

Default:

24 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age.
1901Maksimal passordalder

Denne sikkerhetsinnstillingen angir tidsperioden (i dager) et passord kan brukes før systemet krever at brukeren endrer det. Du kan angi at passord skal utløpe etter et antall dager mellom 1 og 999, eller du kan angi at passord aldri skal utløpe, ved å angi antall dager til 0. Hvis lengste passordalder er mellom 1 og 999 dager, må minimal passordalder være mindre enn maksimal passordalder. Hvis maksimal passordalder er satt til 0, kan minimal passordalder, i dager, settes til en verdi mellom 0 og 998.

Obs! Det er god sikkerhetspraksis å la passord utløpe hver 30. til 90. dag, avhengig av miljøet. Da vil en angriper ha begrenset tid til å knekke et passord og få tilgang til nettverksressursene.

Standard: 42
Maximum password age

This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days.

Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources.

Default: 42.
1902Minimal passordalder

Denne sikkerhetsinnstillingen angir tidsperioden (i dager) et passord må brukes før brukeren kan endre det. Du kan angi en verdi mellom 1 og 998 dager eller tillate endringer umiddelbart ved å sette antall dager til 0.

Minimal passordalder må være mindre enn maksimal passordalder hvis ikke maksimal passordalder er satt til 0, noe som betyr at passord aldri utløper. Hvis maksimal passordalder er satt til 0, kan minimal passordalder, i dager, settes til en verdi mellom 0 og 998.

Sett minimal passordalder til mer enn 0 hvis du vil tvinge passordloggen til å bli mer effektiv. Uten minimal passordalder kan brukere gjenta gamle passord til de finner en gammel favoritt. Standardinnstillingen følger ikke denne anbefalingen, slik at en administrator kan angi et passord for en bruker og kreve at brukeren endrer det administratordefinerte passordet ved pålogging. Hvis passordloggen settes til 0, trenger ikke brukeren å velge et nytt passord. Derfor er Fremtving passordlogg satt til 1 som standard.

Standard:

1 på domenekontrollere.
0 på frittstående servere.

Obs! Som standard følger medlemsdatamaskiner konfigurasjonen til sine domenekontrollere.
Minimum password age

This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0.

The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.

Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default.

Default:

1 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1903Minimal passordlengde

Denne sikkerhetsinnstillingen angir det minste antall tegn for passordet til en brukerkonto. Du kan angi en verdi på mellom 1 og 14 tegn eller angi at passord ikke er påkrevd ved å sette antall tegn til 0.

Standard:

7 på domenekontrollere.
0 på frittstående servere.

Obs! Som standard følger medlemsdatamaskiner konfigurasjonen til sine domenekontrollere.
Minimum password length

This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0.

Default:

7 on domain controllers.
0 on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1904Passord må oppfylle kravene

Denne sikkerhetsinnstillingen angir om passord må oppfylle kravene til kompleksitet.

Hvis denne policyen aktiveres, må passord oppfylle følgende minstekrav:

Ikke inneholde brukerens kontonavn eller mer enn to sammenhengende bokstaver som er lik noen sammenhengende i brukerens fulle navn
Bestå av minst seks tegn
Inneholde tegn fra tre av de følgende kategoriene:
Store bokstaver (A til Z)
Små bokstaver (a til z)
Tallene 0 til 9
Ikke-alfabetiske tegn (for eksempel !, $, #, %)
Kravene til kompleksitet håndheves når passord endres eller opprettes.



Standard:

Aktivert på domenekontrollere.
Deaktivert på frittstående servere.

Obs! Som standard følger medlemsdatamaskiner konfigurasjonen til sine domenekontrollere.
Password must meet complexity requirements

This security setting determines whether passwords must meet complexity requirements.

If this policy is enabled, passwords must meet the following minimum requirements:

Not contain the user's account name or parts of the user's full name that exceed two consecutive characters
Be at least six characters in length
Contain characters from three of the following four categories:
English uppercase characters (A through Z)
English lowercase characters (a through z)
Base 10 digits (0 through 9)
Non-alphabetic characters (for example, !, $, #, %)
Complexity requirements are enforced when passwords are changed or created.



Default:

Enabled on domain controllers.
Disabled on stand-alone servers.

Note: By default, member computers follow the configuration of their domain controllers.
1905Lagre passord med reverserbar kryptering

Denne sikkerhetsinnstillingen angir om operativsystemet skal lagre passord ved bruk av reverserbar kryptering.

Denne policyen gir støtte til programmer som bruker protokoller som krever kjennskap til brukerens passord for godkjenningsformål. Lagring av passord ved bruk av reverserbar kryptering, er i grunnen det samme som å lagre passord som rene tekststrenger. Derfor bør denne policyen aldri aktiveres hvis ikke programkrav veier tyngre enn passordbeskyttelse.

Denne policyen er nødvendig ved bruk av godkjenning som CHAP (Challenge-Handshake Authentication Protocol) via ekstern pålogging eller IAS (Internet Authentication Services). Den er også nødvendig ved bruk av sammendragsgodkjenning i IIS (Internet Information Services).

Standard: Deaktivert.
Store passwords using reversible encryption

This security setting determines whether the operating system stores passwords using reversible encryption.

This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.

This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS).

Default: Disabled.
1906Varighet for låsing av konto

Denne sikkerhetsinnstillingen angir antall minutter en låst konto forblir låst, før den automatisk blir låst opp. Mulig verdiområde er fra 0 minutter til 99 999 minutter. Hvis du setter kontoens varighet for låsing til 0, blir den låst til en administrator eksplisitt låser den opp.

Hvis en terskel er definert for låsing av konto, må varigheten for låsing av kontoen være større enn eller lik tilbakestillingstiden.

Standard: Ingen, fordi denne policyinnstillingen bare får betydning hvis en terskel for låsing av konto er spesifisert.
Account lockout duration

This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it.

If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1907Terskelverdi for låsing av konto

Denne sikkerhetsinnstillingen angir antall mislykkede påloggingsforsøk som forårsaker at en brukerkonto låses. En låst konto kan ikke brukes før den blir tilbakestilt av en administrator eller før varigheten for låsing er utløpt. Du kan angi en verdi på mellom 0 og 999 mislykte påloggingsforsøk. Hvis du setter verdien til 0, blir kontoen aldri låst.

Mislykte passordforsøk på arbeidsstasjoner eller medlemsservere som er låst ved bruk av enten CTRL+ALT+DELETE eller passordbeskyttede skjermsparere, teller som mislykte påloggingsforsøk.

Standard: 0.
Account lockout threshold

This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts.

Default: 0.
1908Tilbakestill teller for låsing av konto etter

Denne sikkerhetsinnstillingen angir antall minutter som må gå etter et mislykket påloggingsforsøk, før telleren for mislykte påloggingsforsøk tilbakestilles til 0 mislykte påloggingsforsøk. Mulig verdiområde er fra 1 minutt til 99 999 minutter.

Hvis en terskel er definert for låsing av konto, må denne tilbakestillingstiden være mindre enn eller lik varigheten for låsing av kontoen.

Standard: Ingen, fordi denne policyinnstillingen bare får betydning hvis en terskel for låsing av konto er spesifisert.
Reset account lockout counter after

This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes.

If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration.

Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1909Fremtving begrensninger for brukerpålogging

Denne sikkerhetsinnstillingen angir om nøkkeldistribusjonssenteret Kerberos V5 Key Distribution Center (KDC) skal kontrollere alle forespørsler om øktbillett mot brukerrettighetspolicyen til brukerkontoen. Validering av hver forespørsel om øktbillett er valgfri fordi det tar ekstra tid og kan redusere hastigheten på nettverkstilgang til tjenester.

Standard: Aktivert.
Enforce user logon restrictions

This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services.

Default: Enabled.
1910Maksimal levetid for tjenestebillett

Denne sikkerhetsinnstillingen angir maksimaltid (i minutter) for bruk av en tildelt øktbillett til å få tilgang til en bestemt tjeneste. Innstillingen må være større enn 10 minutter og mindre enn eller lik innstillingen for maksimal levetid for brukerbillett.

Hvis en klient bruker en utløpt øktbillett ved forespørsel om tilkobling til en server, returnerer serveren en feilmelding. Klienten må be om en ny øktbillett fra nøkkeldistribusjonssenteret Kerberos V5 Key Distribution Center (KDC). Straks en tilkobling er godkjent, spiller det ingen rolle om øktbilletten forblir gyldig. Øktbilletter brukes bare til å godkjenne nye tilkoblinger til servere. Pågående operasjoner påvirkes ikke, selv om øktbilletten som ble brukt til å godkjenne tilkoblingen, utløper.

Standard: 600 minutter (10 timer).
Maximum lifetime for service ticket

This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket.

If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection.

Default: 600 minutes (10 hours).
1911Maksimal levetid for brukerbillett

Denne sikkerhetsinnstillingen angir maksimaltid (i timer) som en brukers tilgangsbillett (TGT) kan brukes.

Standard: 10 timer.
Maximum lifetime for user ticket

This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used.

Default: 10 hours.
1912Maksimal levetid en brukerbillett kan fornyes

Denne sikkerhetsinnstillingen angir tidsperioden (i dager) for når en brukers tilgangsbillett (TGT) kan fornyes.

Standard: 7 dager.
Maximum lifetime for user ticket renewal

This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed.

Default: 7 days.
1913Maksimal toleranse for synkronisering av datamaskinklokker

Denne sikkerhetsinnstillingen angir maksimal tidsforskjell (i minutter) som Kerberos V5 tolererer mellom tiden på klientklokken og tiden på domenekontrolleren som kjører Windows Server 2003 med Kerberos-godkjenning.

For å hindre "avspillingsangrep", bruker Kerberos V5 tidsangivelser som en del av sin protokolldefinisjon. For at tidsangivelser skal fungere riktig må klokkene på klienten og domenekontrolleren være så godt synkronisert som mulig. Med andre ord: begge datamaskinene må ha samme klokkeslett og dato. Fordi klokkene til to datamaskiner ofte blir usynkrone, kan administratorer bruke denne policyen til å angi maksimal akseptabel forskjell mellom en klientklokke og domenekontrollerklokken for Kerberos V5. Hvis forskjellen mellom en klientklokke og domenekontrollerklokken er mindre enn maksimal tidsforskjell som er angitt i denne policyen, anses alle tidsangivelser som blir brukt i en økt mellom de to datamaskinene, som godkjente.

Viktig!

Denne innstillingen er ikke fast på plattformer før Vista. Hvis du konfigurerer denne innstillingen og deretter starer datamaskinen på nytt, tilbakestilles den til standardverdien.

Standard: 5 minutter.
Maximum tolerance for computer clock synchronization

This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication.

To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic.

Important

This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value.

Default: 5 minutes.
1914Overvåk hendelser for kontopålogging

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overvåker hver gang denne datamaskinen validerer legitimasjonen for en konto.

Hendelser for kontopålogging genereres når en datamaskin validerer legitimasjonen for en konto den er autoritativ for. Domenemedlemmer og sammenslåtte maskiner fra utenfor domenet er autoritative for de tilhørende lokale kontoene. Domenekontrollere er alle autoritative for kontoer i domenet. Validering av legitimasjon kan være som støtte for en lokal pålogging, eller som støtte for en pålogging til en annen datamaskin hvis det gjelder en Active Directory-domenekonto på en domenekontroller. Validering av legitimasjon er tilstandsløs, så det finnes ingen tilhørende avloggingshendelse for hendelser for kontopålogging.

Hvis denne policyinnstillingen er definert, kan administratoren angi om overvåkingen skal gjelde bare vellykkede forsøk, bare mislykkede forsøk eller begge deler, eller om disse hendelsene ikke skal overvåkes i det hele tatt (det vil si verken vellykkede eller mislykkede forsøk).

Standardverdier på Client-utgaver:

Legitimasjonsvalidering: Ingen overvåking
Billettoperasjoner for Kerberos-tjenesten: Ingen overvåking
Andre påloggingshendelser for konto: Ingen overvåking
Kerberos Authentication Service: Ingen overvåking

Standardverdier på Server-utgaver:

Legitimasjonsvalidering: Vellykket
Billettoperasjoner for Kerberos-tjenesten: Vellykket
Andre påloggingshendelser for konto: Ingen overvåking
Kerberos Authentication Service: Vellykket

Viktig! Hvis du vil ha mer kontroll over overvåkingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overvåkingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overvåkingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.
Audit account logon events

This security setting determines whether the OS audits each time this computer validates an account’s credentials.

Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Credential Validation: No Auditing
Kerberos Service Ticket Operations: No Auditing
Other Account Logon Events: No Auditing
Kerberos Authentication Service: No Auditing

Default values on Server editions:

Credential Validation: Success
Kerberos Service Ticket Operations: Success
Other Account Logon Events: No Auditing
Kerberos Authentication Service: Success

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1915Overvåk kontobehandling

Denne sikkerhetsinnstillingen angir om overvåking skal skje for hver kontobehandlingshendelse på en datamaskin. Eksempler på kontobehandlingshendelser:

En brukerkonto eller -gruppe opprettes, endres eller slettes.
En brukerkonto endrer navn, deaktiveres eller aktiveres.
Et passord angis eller endres.
Hvis du definerer denne policyinnstillingen, kan du angi om vellykkede hendelser skal overvåkes, feil skal overvåkes eller at ingen overvåking av hendelsestypen skal skje. Overvåking av vellykkede genererer en overvåkingsoppføring når en hvilken som helst kontobehandlingshendelse lykkes. Overvåking av feil genererer en overvåkingsoppføring når en hvilken som helst kontobehandlingshendelse mislykkes. Du kan sette denne verdien til Ingen overvåking ved å merke av i avmerkingsboksen Definer disse policyinnstillingene i dialogboksen Egenskaper for denne policyinnstillingen og fjerne merket i boksene Vellykket og Mislykket.

Standardverdier på Client-utgaver:

Behandling av brukerkonto: Vellykket
Behandling av datamaskinkonto: Ingen overvåking
Behandling av sikkerhetsgruppe: Vellykket
Behandling av distribusjonsgruppe: Ingen overvåking
Behandling av programgruppe: Ingen overvåking
Andre kontobehandlingshendelser: Ingen overvåking

Standardverdier på Server-utgaver:

Behandling av brukerkonto: Vellykket
Behandling av datamaskinkonto: Vellykket
Behandling av sikkerhetsgruppe: Vellykket
Behandling av distribusjonsgruppe: Ingen overvåking
Behandling av programgruppe: Ingen overvåking
Andre kontobehandlingshendelser: Ingen overvåking

Viktig! Hvis du vil ha mer kontroll over overvåkingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overvåkingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overvåkingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.
Audit account management

This security setting determines whether to audit each event of account management on a computer. Examples of account management events include:

A user account or group is created, changed, or deleted.
A user account is renamed, disabled, or enabled.
A password is set or changed.
If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default values on Client editions:

User Account Management: Success
Computer Account Management: No Auditing
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Default values on Server editions:

User Account Management: Success
Computer Account Management: Success
Security Group Management: Success
Distribution Group Management: No Auditing
Application Group Management: No Auditing
Other Account Management Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1916Overvåk tilgang til katalogtjeneste

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overvåker brukerforsøk på å få tilgang til Active Directory-objekter. Overvåking genereres bare for objekter som har kontrollister for systemtilgang (SACL) angitt, og bare hvis den forespurte tilgangstypen (for eksempel Skriv, Les eller Endre) og kontoen forespørselen kommer fra, samsvarer med innstillingene i SACL.

Administratoren kan angi om overvåkingen skal gjelde bare vellykkede forsøk, bare mislykkede forsøk eller begge deler, eller om disse hendelsene ikke skal overvåkes i det hele tatt (det vil si verken vellykkede eller mislykkede forsøk).

Hvis Vellykket-overvåking er aktivert, genereres det en overvåkingsoppføring hver gang en konto får tilgang til et katalogobjekt som har en samsvarende SACL angitt.

Hvis Mislykket-overvåking er aktivert, genereres det en overvåkingsoppføring hver gang en bruker mislykkes med å få tilgang til et katalogobjekt som har en samsvarende SACL angitt.

Standardverdier på Client-utgaver:

Katalogtjenestetilgang: Ingen overvåking
Katalogtjenesteendringer: Ingen overvåking
Katalogtjenestereplikering: Ingen overvåking
Detaljert katalogtjenestereplikering: Ingen overvåking

Standardverdier på Server-utgaver:

Katalogtjenestetilgang: Vellykket
Katalogtjenesteendringer: Ingen overvåking
Katalogtjenestereplikering: Ingen overvåking
Detaljert katalogtjenestereplikering: Ingen overvåking

Viktig! Hvis du vil ha mer kontroll over overvåkingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overvåkingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overvåkingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.
Audit directory service access

This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified.

Default values on Client editions:

Directory Service Access: No Auditing
Directory Service Changes: No Auditing
Directory Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Default values on Server editions:

Directory Service Access: Success
Directory Service Changes: No Auditing Directory
Service Replication: No Auditing
Detailed Directory Service Replication: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1917Overvåk påloggingshendelser

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overvåker hver enkelt forekomst når en bruker prøver å logge på eller av denne datamaskinen.

Avloggingshendelser genereres hver gang påloggingsøkten til en pålogget brukerkonto avsluttes. Hvis denne policyinnstillingen er definert, kan administratoren angi om overvåkingen skal gjelde bare vellykkede forsøk, bare mislykkede forsøk eller begge deler, eller om disse hendelsene ikke skal overvåkes i det hele tatt (det vil si verken vellykkede eller mislykkede forsøk).

Standardverdier på Client-utgaver:

Pålogging: Vellykket
Avlogging: Vellykket
Låsing av konto: Vellykket
Hovedmodus for IPsec: Ingen overvåking
Hurtigmodus for IPsec: Ingen overvåking
Utvidet modus for IPsec: Ingen overvåking
Spesialpålogging: Vellykket
Andre påloggings-/avloggingshendelser: Ingen overvåking
Nettverkspolicyserver: Vellykket, Mislykket

Standardverdier på Server-utgaver:
Pålogging: Vellykket, Mislykket
Avlogging: Vellykket
Låsing av konto: Vellykket
Hovedmodus for IPsec: Ingen overvåking
Hurtigmodus for IPsec: Ingen overvåking
Utvidet modus for IPsec: Ingen overvåking
Spesialpålogging: Vellykket
Andre påloggings-/avloggingshendelser: Ingen overvåking
Nettverkspolicyserver: Vellykket, Mislykket

Viktig! Hvis du vil ha mer kontroll over overvåkingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overvåkingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overvåkingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.
Audit logon events

This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer.

Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

Default values on Client editions:

Logon: Success
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Default values on Server editions:
Logon: Success, Failure
Logoff: Success
Account Lockout: Success
IPsec Main Mode: No Auditing
IPsec Quick Mode: No Auditing
IPsec Extended Mode: No Auditing
Special Logon: Success
Other Logon/Logoff Events: No Auditing
Network Policy Server: Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1918Overvåk objekttilgang

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overvåker brukerforsøk på å få tilgang til objekter utenfor Active Directory. Overvåking genereres bare for objekter som har kontrollister for systemtilgang (SACL) angitt, og bare hvis den forespurte tilgangstypen (for eksempel Skriv, Les eller Endre) og kontoen forespørselen kommer fra, samsvarer med innstillingene i SACL.

Administratoren kan angi om overvåkingen skal gjelde bare vellykkede forsøk, bare mislykkede forsøk eller begge deler, eller om disse hendelsene ikke skal overvåkes i det hele tatt (det vil si verken vellykkede eller mislykkede forsøk).

Hvis Vellykket-overvåking er aktivert, genereres det en overvåkingsoppføring hver gang en konto får tilgang til et objekt utenfor Active Directory som har en samsvarende SACL angitt.

Hvis Mislykket-overvåking er aktivert, genereres det en overvåkingsoppføring hver gang en bruker mislykkes med å få tilgang til et objekt utenfor Active Directory som har en samsvarende SACL angitt.

Vær oppmerksom på at du kan angi en SACL for et filsystemobjekt ved hjelp av kategorien Sikkerhet i dialogboksen Egenskaper for det aktuelle objektet.

Standard: Ingen overvåking.

Viktig! Hvis du vil ha mer kontroll over overvåkingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overvåkingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overvåkingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.
Audit object access

This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified.

If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified.

Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box.

Default: No auditing.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1919Overvåk policyendringer

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overvåker hver enkelt forekomst av forsøk på å endre policyen for tilordning av brukerrettigheter, overvåkingspolicyen, kontopolicyen eller klareringspolicyen.

Administratoren kan angi om overvåkingen skal gjelde bare vellykkede forsøk, bare mislykkede forsøk eller begge deler, eller om disse hendelsene ikke skal overvåkes i det hele tatt (det vil si verken vellykkede eller mislykkede forsøk).

Hvis Vellykket-overvåking er aktivert, genereres det en overvåkingsoppføring når et forsøk på å endre policyen for tilordning av brukerrettigheter, overvåkingspolicyen, kontopolicyen eller klareringspolicyen er vellykket.

Hvis Mislykket-overvåking er aktivert, genereres det en overvåkingsoppføring hver gang en konto som ikke er autorisert for den forespurte policyendringen, forsøker å endre policyen for tilordning av brukerrettigheter, overvåkingspolicyen, kontopolicyen eller klareringspolicyen.

Standard:

Overvåkingspolicyendring: Vellykket
Godkjenningspolicyendring: Vellykket
Autorisasjonspolicyendring: Ingen overvåking
Policyendring av regelnivå for MPSSVC: Ingen overvåking
Policyendring for filtreringsplattform: Ingen overvåking
Andre policyendringshendelser: Ingen overvåking

Viktig! Hvis du vil ha mer kontroll over overvåkingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overvåkingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overvåkingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.
Audit policy change

This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy.

The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful.

If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change.

Default:

Audit Policy Change: Success
Authentication Policy Change: Success
Authorization Policy Change: No Auditing
MPSSVC Rule-Level Policy Change: No Auditing
Filtering Platform Policy Change: No Auditing
Other Policy Change Events: No Auditing

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1920Overvåk bruk av privilegier

Denne sikkerhetsinnstillingen angir om overvåking skal skje for hver forekomst av en brukers bruk av brukerrettigheter.

Hvis du definerer denne policyinnstillingen, kan du angi om vellykkede hendelser skal overvåkes, feil skal overvåkes eller at ingen overvåking av hendelsestypen skal skje. Overvåking av vellykkede genererer en overvåkingsoppføring når bruk av en brukerrettighet er vellykket. Overvåking av feil genererer en overvåkingsoppføring når bruk av en brukerrettighet mislykkes.

Du kan sette denne verdien til Ingen overvåking ved å merke av i avmerkingsboksen Definer disse policyinnstillingene i dialogboksen Egenskaper for denne policyinnstillingen og fjerne merket i boksene Vellykket og Mislykket.

Standard: Ingen overvåking.

Overvåkingsoppføringer genereres ikke ved bruk av følgende brukerrettigheter, selv om vellykkede overvåkinger eller mislykkede overvåkinger er angitt for overvåking av bruk av privilegier. Aktivering av overvåking av disse brukerrettighetene genererer lett mange hendelser i sikkerhetsloggen, som kan redusere datamaskinens ytelse. For å aktivere følgende brukerrettigheter aktiverer du registernøkkelen FullPrivilegeAuditing.

Hopp over kontroll av traversering
Feilsøke programmer
Opprette tokenobjekt
Erstatte prosessnivåtoken
Generere sikkerhetskontroller
Sikkerhetskopiere filer og kataloger
Gjenopprette filer og kataloger

Forsiktig!

Feil ved redigering av registret kan skade systemet alvorlig. Før du foretar endringer i registret, bør du sikkerhetskopiere alle verdifulle data på datamaskinen.

Viktig! Hvis du vil ha mer kontroll over overvåkingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overvåkingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overvåkingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.
Audit privilege use

This security setting determines whether to audit each instance of a user exercising a user right.

If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails.

To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default: No auditing.

Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key.

Bypass traverse checking
Debug programs
Create a token object
Replace process level token
Generate security audits
Back up files and directories
Restore files and directories

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1921Overvåk prosessporing

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overvåker prosessrelaterte hendelser som prosessoppretting, prosessavslutning, referansekopiering og indirekte objekttilgang.

Hvis denne policyinnstillingen er definert, kan administratoren angi om overvåkingen skal gjelde bare vellykkede forsøk, bare mislykkede forsøk eller begge deler, eller om disse hendelsene ikke skal overvåkes i det hele tatt (det vil si verken vellykkede eller mislykkede forsøk).

Hvis Vellykket-overvåking er aktivert, genereres det en overvåkingsoppføring hver gang operativsystemet utfører en av disse prosessrelaterte aktivitetene.

Hvis Mislykket-overvåking er aktivert, genereres det en overvåkingsoppføring hver gang operativsystemet mislykkes med å utføre en av disse aktivitetene

Standard: Ingen overvåking

Viktig! Hvis du vil ha mer kontroll over overvåkingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overvåkingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overvåkingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.
Audit process tracking

This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities.

If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities.

Default: No auditing\r

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1922Overvåk systemhendelser

Denne sikkerhetsinnstillingen fastsetter om operativsystemet overvåker noen av følgende hendelser:

• Forsøk på endring av systemtid
• Forsøk på oppstart eller avslutning av sikkerhetssystem
• Forsøk på å laste inn utvidbare godkjenningskomponenter
• Tap av overvåkede hendelser på grunn av feil i overvåkingssystemet
• Størrelse på sikkerhetslogg overskrider et konfigurerbart terskelnivå for advarsel.

Hvis denne policyinnstillingen er definert, kan administratoren angi om overvåkingen skal gjelde bare vellykkede forsøk, bare mislykkede forsøk eller begge deler, eller om disse hendelsene ikke skal overvåkes i det hele tatt (det vil si verken vellykkede eller mislykkede forsøk).

Hvis Vellykket-overvåking er aktivert, genereres det en overvåkingsoppføring hver gang operativsystemet utfører en av disse aktivitetene.

Hvis Mislykket-overvåking er aktivert, genereres det en overvåkingsoppføring hver gang operativsystemet mislykkes med å utføre en av disse aktivitetene.

Standard:
Endring i sikkerhetsinnstillinger: Vellykket
Utvidelse av sikkerhetssystem: Ingen overvåking
Systemintegritet: Vellykket, Mislykket
IPsec-driver: Ingen overvåking
Andre systemhendelser: Vellykket, Mislykket

Viktig! Hvis du vil ha mer kontroll over overvåkingspolicyer, bruker du innstillingene i noden Konfigurasjon av avansert overvåkingspolicy. Hvis du vil ha mer informasjon om Konfigurasjon av avansert overvåkingspolicy, se https://go.microsoft.com/fwlink/?LinkId=140969.
Audit system events

This security setting determines whether the OS audits any of the following events:

• Attempted system time change
• Attempted security system startup or shutdown
• Attempt to load extensible authentication components
• Loss of audited events due to auditing system failure
• Security log size exceeding a configurable warning threshold level.

If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures).

If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully.

If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities.

Default:
Security State Change Success
Security System Extension No Auditing
System Integrity Success, Failure
IPsec Driver No Auditing
Other System Events Success, Failure

Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1923Koble til denne datamaskinen fra nettverket

Denne brukerrettigheten angir hvilke brukere og grupper som skal få tillatelse til å koble til datamaskinen via nettverket. Eksterne skrivebordstjenester påvirkes ikke av denne brukerrettigheten.

Obs! Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.

Standard på arbeidsstasjoner og servere:
Administratorer
Sikkerhetskopioperatører
Brukere
Alle

Standard på domenekontrollere:
Administratorer
Godkjente brukere
Domenekontrollere i organisasjonen
Alle
Pre-Windows 2000-kompatibel tilgang
Access this computer from the network

This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone

Default on domain controllers:
Administrators
Authenticated Users
Enterprise Domain Controllers
Everyone
Pre-Windows 2000 Compatible Access
1924Opptre som en del av operativsystemet

Med denne brukerrettigheten kan prosesser representere hvilken som helst bruker, uten brukergodkjenning. Prosessen kan derfor få tilgang til de samme lokale ressursene som brukeren.

Prosesser som krever denne tilgangen, bør bruke den lokale systemkontoen som allerede har denne tilgangen, i stedet for å bruke en separat brukerkonto som har fått tildelt tilgangen spesielt. Hvis organisasjonen din bare bruker servere som er medlemmer av Windows Server 2003-serien, trenger du ikke å tildele denne tilgangen til brukerne. Men hvis organisasjonen bruker servere som kjører Windows 2000 eller Windows NT 4.0, må du kanskje tildele denne tilgangen for å kunne bruke programmer som utveksler passord i rent tekstformat.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgjøre en sikkerhetsrisiko. Tilordne den bare til klarerte brukere.

Standard: Ingen
Act as part of the operating system

This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user.

Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: None.
1925Legg til arbeidsstasjoner i domene

Denne sikkerhetsinnstillingen angir hvilke grupper eller brukere som kan legge til arbeidsstasjoner til et domene.

Denne sikkerhetsinnstillingen gjelder bare for domenekontrollere. Som standard har alle godkjente brukere denne rettigheten og kan opprette opptil 10 datamaskinkontoer i domenet.

Ved å legge til en datamaskinkonto til domenet, får datamaskinen delta i Active Directory-baserte nettverk. Legges for eksempel en arbeidsstasjon til et domene, kan arbeidsstasjonen gjenkjenne kontoer og grupper som finnes i Active Directory.

Standard: Godkjente brukere på domenekontrollere.

Obs! Brukere som har tillatelse til å opprette datamaskinobjekter i Active Directory-datamaskiners beholder, kan også opprette datamaskinkontoer i domenet. Forskjellen er at brukere med tillatelse for beholderen ikke er begrenset til opprettelse av bare ti datamaskinkontoer. I tillegg har datamaskinkontoer som er opprettet med Legge til arbeidsstasjoner i domenet, domeneadministratorer som eier av datamaskinkontoen, mens datamaskinkontoer som er opprettet med tillatelser på datamaskinens beholder også har oppretter som eier av datamaskinkontoen. Hvis en bruker har tillatelse for beholderen og også har brukerrettigheten Legge til arbeidsstasjoner i domene, legges datamaskinen til basert på datamaskinbeholderens tillatelser i stedet for brukerrettigheten.

Add workstations to domain

This security setting determines which groups or users can add workstations to a domain.

This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain.

Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory.

Default: Authenticated Users on domain controllers.

Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right.

1926Juster minnekvoter for en prosess

Denne tilgangen bestemmer hvem som kan endre maksimalt minne som kan brukes av en prosess.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Obs! Denne tilgangen er nyttig ved systeminnstilling, men den kan bli misbrukt ved for eksempel et tjenestenektangrep.

Standard: Administratorer
Lokal tjeneste
Nettverkstjeneste

Adjust memory quotas for a process

This privilege determines who can change the maximum memory that can be consumed by a process.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack.

Default: Administrators
Local Service
Network Service.

1927Lokal pålogging

Fastsetter hvilke brukere som kan logge på datamaskinen.

Viktig!

Hvis du endrer denne innstillingen, kan det ha innvirkning på kompatibilitet med klienter, tjenester og programmer. Hvis du vil ha kompatibilitetsinformasjon om denne innstillingen, se Tillat lokal pålogging (https://go.microsoft.com/fwlink/?LinkId=24268 ) på Microsofts webområde.

Standard:

• På arbeidsstasjoner og servere: Administratorer, Sikkerhetskopioperatører, Privilegerte brukere, Brukere og Gjest.
• På domenekontrollere: Kontooperatører, Administratorer, Sikkerhetskopioperatorer og Skriveroperatører.
Log on locally

Determines which users can log on to the computer.

Important

Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website.

Default:

• On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest.
• On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators.
1928Tillat pålogging gjennom Eksterne skrivebordstjenester

Denne sikkerhetsinnstillingen angir hvilke brukere eller grupper som har tillatelse til å logge på som Eksterne skrivebordstjenester-klient.

Standard:

På arbeidsstasjon og servere: Administratorer, brukere av eksternt skrivebord.
På domenekontrollere: Administratorer.

Viktig!

Denne innstillingen har ingen effekt på Windows 2000-maskiner som ikke er oppdatert med Service Pack 2.

Allow log on through Remote Desktop Services

This security setting determines which users or groups have permission to log on as a Remote Desktop Services client.

Default:

On workstation and servers: Administrators, Remote Desktop Users.
On domain controllers: Administrators.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.

1929Sikkerhetskopier filer og kataloger

Denne brukerrettigheten angir hvilke brukere som kan forbigå rettigheter for filer og kataloger, registret og andre faste objekttillatelser, i den hensikt å sikkerhetskopiere systemet.

Spesifikt er denne brukerrettigheten det samme som å gi følgende tillatelser til den aktuelle brukeren eller gruppen for alle filer og mapper i systemet:

Traverser mappe / kjør fil
Vis mappe / les data
Les attributter
Les utvidede attributter
Les tillatelser

Forsiktig!

Tilordning av denne brukerrettigheten kan utgjøre en sikkerhetsrisiko. Fordi det ikke er mulig å avgjøre om en bruker sikkerhetskopierer data, stjeler data eller kopierer data for distribusjon, bør den bare tildeles klarerte brukere.

Standard på arbeidsstasjoner og servere: Administratorer
Sikkerhetskopioperatører.

Standard på domenekontrollere: Administratorer
Sikkerhetskopioperatører
Serveroperatører

Back up files and directories

This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
List Folder/Read Data
Read Attributes
Read Extended Attributes
Read Permissions

Caution

Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users.

Default on workstations and servers: Administrators
Backup Operators.

Default on domain controllers:Administrators
Backup Operators
Server Operators

1930Hopp over kontroll av traversering

Denne brukerrettigheten angir hvilke brukere som kan traversere katalogtrær selv om brukeren ikke har tillatelser for den traverserte katalogen. Tillatelsen gir ikke brukeren tillatelse til å vise innholdet i en katalog, bare til å traversere kataloger.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Standard på arbeidsstasjoner og servere:
Administratorer
Sikkerhetskopioperatører
Brukere
Alle
Lokal tjeneste
Nettverkstjeneste

Standard på domenekontrollere:
Administratorer
Godkjente brukere
Alle
Lokal tjeneste
Nettverkstjeneste
Pre-Windows 2000-kompatibel tilgang

Bypass traverse checking

This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Backup Operators
Users
Everyone
Local Service
Network Service

Default on domain controllers:
Administrators
Authenticated Users
Everyone
Local Service
Network Service
Pre-Windows 2000 Compatible Access

1931Still systemklokken

Denne brukerrettigheten angir hvilke brukere og grupper som kan stille klokkeslett og dato på den interne klokken i datamaskinen. Brukere som har fått tildelt rettigheten, kan påvirke utseendet på hendelseslogger. Hvis systemklokken endres, viser loggede hendelser denne nye tidsinnstillingen og ikke den faktiske tiden da hendelsen skjedde.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Standard på arbeidsstasjoner og servere:
Administratorer
Lokal tjeneste

Standard på domenekontrollere:
Administratorer
Serveroperatører
Lokal tjeneste

Change the system time

This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default on workstations and servers:
Administrators
Local Service

Default on domain controllers:
Administrators
Server Operators
Local Service

1932Opprett en sidevekslingsfil

Denne brukerrettigheten angir hvilke brukere og grupper som kan kalle et internt Application Programming Interface (API) for å opprette og endre størrelsen på en sidevekslingsfil. Denne brukerrettigheten brukes internt av operativsystemet og trenger vanligvis ikke å tildeles noen bruker.

Du finner opplysninger om å endre størrelse på sidevekslingsfilen for en gitt stasjon under Endre størrelse på den virtuelle sidevekslingsfilen for minnet.

Standard: Administratorer.

Create a pagefile

This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users.

For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file.

Default: Administrators.

1933Opprett tokenobjekt

Denne sikkerhetsinnstillingen angir hvilke kontoer som kan brukes til å opprette et token som kan brukes til å få tilgang til alle lokale ressurser når prosessen bruker et internt grensesnitt for programmering (API) til å opprette et tilgangstoken.

Denne brukerrettigheten brukes internt av operativsystemet. Ikke tildel rettigheten til en bruker, en gruppe eller en prosess som ikke er lokalt system, hvis det ikke er nødvendig.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgjøre en sikkerhetsrisiko. Ikke tilordne den til en bruker, gruppe eller prosess som du ikke vil skal ta over systemet.
Standard: Ingen

Create a token object

This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token.

This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.
Default: None

1934Opprett globale objekter

Denne sikkerhetsinnstillingen fastsetter om brukere kan opprette globale objekter som er tilgjengelige i alle økter. Brukere som ikke har denne brukerrettigheten, kan fortsatt opprette objekter som er spesifikke for egen økt. Brukere som kan opprette globale objekter, kan ha innvirkning på prosesser som kjører i andre brukeres økter, noe som kan føre til programfeil eller ødelagte data.

Forsiktig!

Tilordning av denne brukerrettigheten kan være en sikkerhetsrisiko. Tilordne denne brukerrettigheten bare til klarerte brukere.

Standard:

Administratorer
Lokal tjeneste
Nettverkstjeneste
Tjeneste
Create global objects

This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption.

Caution

Assigning this user right can be a security risk. Assign this user right only to trusted users.

Default:

Administrators
Local Service
Network Service
Service
1935Opprett permanente, delte objekter

Denne brukerrettigheten angir hvilke kontoer som kan brukes av prosesser til å opprette et katalogobjekt med objektbehandling.

Denne brukerrettigheten brukes internt av operativsystemet og er nyttig for kjernemoduskomponenter som utvider objektnavneområdet. Fordi komponenter som kjører i kjernemodus, allerede har fått tildelt denne rettigheten, er det ikke nødvendig å tildele den spesielt.

Standard: Ingen
Create permanent shared objects

This user right determines which accounts can be used by processes to create a directory object using the object manager.

This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it.

Default: None.
1936Feilsøk programmer

Denne brukerrettigheten angir hvilke brukere som kan knytte et feilsøkingsprogram til en prosess eller til kjernen. Utviklere som feilsøker sine egne programmer, trenger ikke å få tilordnet rettigheten. Utviklere som feilsøker nye systemkomponenter, trenger den. Brukerrettigheten gir full tilgang til sensitive og kritiske operativsystemkomponenter.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgjøre en sikkerhetsrisiko. Tilordne den bare til klarerte brukere.

Standard: Administratorer
Debug programs

This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default: Administrators
1937Nekt tilgang til denne datamaskinen fra nettverket

Denne sikkerhetsinnstillingen angir hvilke brukere som nektes tilgang til en datamaskin via nettverket. Denne policyinnstillingen overstyrer policyinnstillingen Koble til denne datamaskinen fra nettverket hvis begge policyene gjelder for en brukerkonto.

Standard: Gjest
Deny access to this computer from the network

This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies.

Default: Guest
1938Nekt pålogging som en satsvis jobb

Denne sikkerhetsinnstillingen angir hvilke kontoer som skal nektes pålogging som en satsvis jobb. Denne policyinnstillingen overstyrer policyinnstillingen Logg på som en satsvis jobb hvis begge policyene gjelder for en brukerkonto.

Standard: Ingen.

Deny log on as a batch job

This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies.

Default: None.

1939Nekt pålogging som en tjeneste

Denne sikkerhetsinnstillingen angir hvilke tjenestekontoer som skal nektes å registrere en prosess som en tjeneste. Policyinnstillingen overstyrer policyinnstillingen for Logg på som en tjeneste hvis begge policyene gjelder for en brukerkonto.

Obs! Denne sikkerhetsinnstillingen gjelder ikke for systemkontoer, lokale tjenestekontoer eller nettverkstjenestekontoer.

Standard: Ingen.
Deny log on as a service

This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies.

Note: This security setting does not apply to the System, Local Service, or Network Service accounts.

Default: None.
1940Nekt lokal pålogging

Denne sikkerhetsinnstillingen angir hvilke brukere som nektes å logge på datamaskinen. Policyinnstillingen overstyrer policyinnstillingen Tillat å logge på lokalt hvis begge policyene gjelder for en konto.

Viktig!

Hvis du bruker denne sikkerhetspolicyen på Alle-gruppen, vil ingen kunne logge på lokalt.

Standard: Ingen.
Deny log on locally

This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies.

Important

If you apply this security policy to the Everyone group, no one will be able to log on locally.

Default: None.
1941Nekt pålogging gjennom Eksterne skrivebordstjenester

Denne sikkerhetsinnstillingen angir hvilke brukere og grupper som nektes å logge på som en Eksterne skrivebordstjenester-klient.

Standard: Ingen.

Viktig!

Denne innstillingen har ingen effekt på Windows 2000-maskiner som ikke er oppdatert med Service Pack 2.
Deny log on through Remote Desktop Services

This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client.

Default: None.

Important

This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.
1942Gjør det mulig for datamaskin og brukerkontoer å bli klarert for delegering

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan angi innstillingen Klarert for delegering for en bruker eller et datamaskinobjekt.

Brukeren eller objektet som tildeles denne tilgangen, må ha skrivetilgang til kontokontrollflagget for brukeren eller datamaskinobjektet. En serverprosess som kjører på en datamaskin (eller under en brukerkontekst) som er klarert for delegering, får tilgang til ressurser på en annen datamaskin som bruker delegerte legitimasjoner for en klient så lenge klientkontoen ikke har kontokontrollflagget Kontoen kan ikke delegeres angitt.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Forsiktig!

Feil bruk av denne brukerrettigheten eller av innstillingen Klarert for delegering kan gjøre nettverket sårbart for avanserte angrep med programmer med trojanske hester som representerer innkommende klienter og bruker deres legitimasjoner til å få tilgang til nettverksressurser.

Standard: Administratorer på domenekontrollere.
Enable computer and user accounts to be trusted for delegation

This security setting determines which users can set the Trusted for Delegation setting on a user or computer object.

The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Caution

Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources.

Default: Administrators on domain controllers.
1943Fremtving avslutning fra et eksternt system

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som skal ha tillatelse til å slå av en datamaskin fra et eksternt sted på nettverket. Feil bruk av denne brukerrettigheten kan føre til en tjenestenekt.

Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere.

Standard:

På arbeidsstasjoner og servere: Administratorer.
På domenekontrollere: Administratorer, Serveroperatører.
Force shutdown from a remote system

This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers.

Default:

On workstations and servers: Administrators.
On domain controllers: Administrators, Server Operators.
1944Generer sikkerhetskontroller

Denne sikkerhetsinnstillingen bestemmer hvilke kontoer som kan brukes av en prosess til å legge til oppføringer i sikkerhetsloggen. Sikkerhetsloggen brukes til å spore uautorisert systemtilgang. Feil bruk av denne brukerrettigheten kan føre til generering av mange overvåkingshendelser og eventuelt skjule bevis på et angrep eller forårsake tjenestenekt hvis sikkerhetspolicyinnstillingen Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes aktiveres. Se Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes, for mer informasjon.

Standard: Lokal tjeneste
Nettverkstjeneste
Generate security audits

This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits

Default: Local Service
Network Service.
1945Representer klient etter godkjenning

Hvis denne tilgangen tilordnes en bruker, kan programmer kjøre på vegne av denne brukeren for å representere en klient. Ved å kreve denne brukerrettigheten for denne type representasjon, hindres en uautorisert bruker i å få en klient til å koble til (for eksempel med et eksternt prosedyrekall (RPC) eller navngitte datakanaler) en tjeneste de har opprettet, og deretter representere denne klienten, noe som kan utvide den uautoriserte brukerens tillatelser til administrative nivåer eller systemnivåer.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgjøre en sikkerhetsrisiko. Tilordne denne brukerrettigheten bare til klarerte brukere.

Standard:

Administratorer
Lokal tjeneste
Nettverkstjeneste
Tjeneste

Obs! Som standard vil tjenester som startes av tjenestekontrollbehandlingen, få lagt til den innebygde tjenestegruppen i sine tilgangstokener. COM-servere (Component Object Model-servere) som startes av COM-infrastrukturen og som er konfigurert til å kjøre under en bestemt konto, får også lagt til tjenestegruppen i sine tilgangstokener. Resultatet er at disse tjenestene får denne brukerrettigheten når de startes.

I tillegg kan en bruker representere et tilgangstoken hvis noen av betingelsene nedenfor finnes.

Tilgangstokenet som presenteres, er for denne brukeren.
Brukeren i denne påloggingsøkten opprettet tilgangstokenet ved å logge på nettverket med eksplisitte legitimasjoner.
Nivået det bes om, er lavere enn Representere, for eksempel Anonym eller Identifisere.
På grunn av disse faktorene trenger brukere vanligvis ikke denne brukerrettigheten.

Se SeImpersonatePrivilege i Microsoft Platform SDK for mer informasjon.

Advarsel!

Hvis du aktiverer denne innstillingen, kan programmer som tidligere hadde tillatelsen Representere, miste denne, og de vil kanskje ikke kjøre.
Impersonate a client after authentication

Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels.

Caution

Assigning this user right can be a security risk. Only assign this user right to trusted users.

Default:

Administrators
Local Service
Network Service
Service

Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started.

In addition, a user can also impersonate an access token if any of the following conditions exist.

The access token that is being impersonated is for this user.
The user, in this logon session, created the access token by logging on to the network with explicit credentials.
The requested level is less than Impersonate, such as Anonymous or Identify.
Because of these factors, users do not usually need this user right.

For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK.

Warning

If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run.
1946Øk planleggingsprioritet

Denne sikkerhetsinnstillingen bestemmer hvilke konti som kan bruke en prosess med tilgangen Skrive egenskap til en annen prosess for å øke kjøreprioriteten som er tilordnet den andre prosessen. En bruker med denne tilgangen kan endre planleggingsprioriteten for en prosess gjennom brukergrensesnittet Oppgavebehandling.

Standard: Administratorer.
Increase scheduling priority

This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface.

Default: Administrators.
1947Last inn og ut enhetsdrivere

Denne brukerettigheten bestemmer hvilke brukere som dynamisk kan laste inn eller ut enhetsdrivere eller annen kode til/fra kjernemodus. Denne brukerrettigheten gjelder ikke for Plug and Play-enhetsdrivere. Det anbefales at du ikke tilordner denne tilgangen til andre brukere.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgjøre en sikkerhetsrisiko. Ikke tilordne denne brukerrettigheten til en bruker, gruppe eller prosess som du ikke vil skal ta over systemet.

Standard på arbeidsstasjoner og servere: Administratorer

Standard på domenekontrollere:
Administratorer
Skriveroperatører
Load and unload device drivers

This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users.

Caution

Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system.

Default on workstations and servers: Administrators.

Default on domain controllers:
Administrators
Print Operators
1948Lås sider i minnet

Denne sikkerhetsinnstillingen bestemmer hvilke kontoer som kan bruke en prosess til å beholde data i det fysiske minnet, noe som hindrer systemet i å lagre sidevekslingsdata til det virtuelle minnet på disken. Bruk av denne tilgangen påvirker systemytelsen betydelig ved å redusere størrelsen på det tilgjengelige RAM-minnet.

Standard: Ingen.
Lock pages in memory

This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM).

Default: None.
1949Logg på som en satsvis jobb

Denne sikkerhetsinnstillingen tillater at en bruker logges på med køfunksjonen for satsvis jobb og er tatt med for å gi kompatibilitet med eldre versjoner av Windows.

Hvis en bruker for eksempel sender en jobb ved hjelp av Oppgaveplanlegging, vil denne brukeren bli logget som en satsvis jobb i stedet for som en interaktiv bruker.


Standard: Administratorer
Sikkerhetskopioperatører
Log on as a batch job

This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows.

For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user.


Default: Administrators
Backup Operators.
1950Logg på som en tjeneste

Denne sikkerhetsinnstillingen tillater at en sikkerhetskontohaver logger på som en tjeneste. Tjenester kan konfigureres til å kjøre under kontoer av typen Lokalt system, Lokal tjeneste eller Nettverkstjeneste, som har en innebygd rettighet til å logge på som en tjeneste. Tjenester som kjøres under en separat brukerkonto, må tilordnes rettigheten.

Standardinnstilling: Ingen.
Log on as a service

This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right.

Default setting: None.
1951Behandle overvåking og sikkerhetslogg

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan angi alternativer for overvåking av objekttilgang for individuelle ressurser, for eksempel filer, Active Directory-objekter og registernøkler.

Denne sikkerhetsinnstillingen tillater ikke at en bruker aktiverer overvåking av fil- og objekttilgang generelt. Hvis slik overvåking skal aktiveres, må innstillingen Overvåk objekttilgang i Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Lokale policyer\Overvåkingspolicyer konfigureres.

Du kan vise overvåkte hendelser i sikkerhetsloggen i Hendelsesliste. En bruker med denne tilgangen kan også vise og tømme sikkerhetsloggen.

Standard: Administratorer.
Manage auditing and security log

This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys.

This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured.

You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log.

Default: Administrators.
1952Endre miljøverdier for fastvare

Denne sikkerhetsinnstillingen bestemmer hvem som kan endre miljøverdier for fastvare. Miljøverdier for fastvare er innstillinger som er lagret i det permanente RAM-minnet på ikke-x86-baserte datamaskiner. Effekten av innstillingen avhenger av prosessoren.

På x86-baserte datamaskiner er innstillingen Siste fungerende konfigurasjon den eneste miljøverdien for fastvare som kan endres ved tilordning av denne brukerrettigheten, som bare bør endres av systemet.
På Itanium-baserte datamaskiner lagres oppstartsinformasjonen i det permanente RAM-minnet. Brukere må være tilordnet denne brukerrettigheten for å kjøre Bootcfg.exe og for å endre innstillingen Standard operativsystem i Oppstart og Gjenoppretting i Systemegenskaper.
På alle datamaskiner kreves denne brukerrettigheten for å installere eller oppgradere Windows.

Obs! Denne sikkerhetsinnstillingen påvirker ikke hvem som kan endre systemmiljøvariablene og brukermiljøvariablene som vises i kategorien Avansert i Systemegenskaper. Informasjon om hvordan du endrer disse variablene finner du under Slik legger du til eller endrer verdiene for miljøvariabler.

Standard: Administratorer
Modify firmware environment values

This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor.

On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system.
On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties.
On all computers, this user right is required to install or upgrade Windows.

Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables.

Default: Administrators.
1953Utfør vedlikeholdsoppgaver på volum

Denne sikkerhetsinnstillingen bestemmer hvilke brukere og grupper som kan kjøre vedlikeholdsoppgaver på et volum, for eksempel ekstern defragmentering.

Vær oppmerksom når du tilordner denne brukerrettigheten. Brukere med denne brukerrettigheten kan utforske disker og utvide filer i minne som inneholder andre data. Når de utvidede filene åpnes, kan det hende brukeren kan lese og endre dataene som er hentet.

Standard: Administratorer
Perform volume maintenance tasks

This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation.

Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data.

Default: Administrators
1954Profiler enkel prosess

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan bruke verktøy for ytelsesovervåking til å overvåke ytelsen til prosesser som ikke er systemprosesser.

Standard: Administratorer, Privilegerte brukere.
Profile single process

This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes.

Default: Administrators, Power users.
1955Profiler systemytelse

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan bruke verktøy for ytelsesovervåking til å overvåke ytelsen til systemprosesser.

Standard: Administratorer

Profile system performance

This security setting determines which users can use performance monitoring tools to monitor the performance of system processes.

Default: Administrators.

1956Fjern datamaskin fra dokkingstasjon

Denne sikkerhetsinnstillingen bestemmer om en bruker kan koble fra en bærbar datamaskin fra dokkingstasjonen uten å logge på.

Hvis denne policyen aktiveres, må brukeren logge seg på før den bærbare datamaskinen fjernes fra dokkingstasjonen. Hvis policyen deaktiveres, kan brukeren fjerne den bærbare datamaskinen fra dokkingstasjonen uten å logge på.

Standard: Administratorer, Privilegerte brukere, Brukere
Remove computer from docking station

This security setting determines whether a user can undock a portable computer from its docking station without logging on.

If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on.

Default: Administrators, Power Users, Users
1957Erstatt prosessnivåtoken

Denne sikkerhetsinnstillingen bestemmer hvilke brukerkontoer som kan kalle opp programgrensesnittet (API) CreateProcessAsUser(), slik at én tjeneste kan starte en annen. Oppgaveplanlegging er et eksempel på en prosess som bruker denne brukerrettigheten. Se Oversikt over Oppgaveplanlegging for mer informasjon om oppgaveplanlegging.

Standard: Nettverkstjeneste, Lokal tjeneste
Replace a process level token

This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview.

Default: Network Service, Local Service.
1958Gjenopprett filer og kataloger

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan forbigå tillatelser for filer, kataloger, register og andre faste objekter ved gjenoppretting av sikkerhetskopierte filer og kataloger, og bestemmer hvilke brukere som kan angi en gyldig sikkerhetskontohaver som eier av et objekt.

Spesifikt er denne brukerrettigheten det samme som å gi følgende tillatelser til den aktuelle brukeren eller gruppen for alle filer og mapper i systemet:

Traverser mappe / kjør fil
Skrive

Forsiktig!

Tilordning av denne brukerrettigheten kan utgjøre en sikkerhetsrisiko. I og med at brukere med denne brukerrettigheten kan overskrive registerinnstillinger, skjule data og ta eierskap over systemobjekter, må brukerrettigheten tilordnes bare klarerte brukere.

Standard:

Arbeidsstasjoner og servere: Administratorer, Sikkerhetskopioperatører
Domenekontrollere: Administratorer, Sikkerhetskopioperatører, Serveroperatører
Restore files and directories

This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object.

Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system:

Traverse Folder/Execute File
Write

Caution

Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users.

Default:

Workstations and servers: Administrators, Backup Operators.
Domain controllers: Administrators, Backup Operators, Server Operators.
1959Slå av systemet

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som er logget på lokalt på datamaskinen, som kan slå av operativsystemet med kommandoen Slå av. Feil bruk av denne brukerrettigheten kan føre til tjenestenekt.

Standard på arbeidsstasjoner: Administratorer, Sikkerhetskopioperatører, Brukere

Standard på servere: Administratorer, Sikkerhetskopioperatører

Standard på domenekontrollere: Administratorer, Sikkerhetskopioperatører, Serveroperatører, Skriveroperatører
Shut down the system

This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service.

Default on Workstations: Administrators, Backup Operators, Users.

Default on Servers: Administrators, Backup Operators.

Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators.
1960Synkroniser data fra katalogtjenesten

Denne sikkerhetsinnstillingen bestemmer hvilke brukere og grupper som har myndighet til å synkronisere alle katalogtjenestedata. Dette kalles også Active Directory-synkronisering.

Standard: Ingen.
Synchronize directory service data

This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization.

Defaults: None.
1961Ta eierskap over filer eller andre objekter

Denne sikkerhetsinnstillingen bestemmer hvilke brukere som kan ta eierskap over objekter som kan sikres i systemet, inkludert Active Directory-objekter, filer og mapper, skrivere, registernøkler, prosesser og tråder.

Forsiktig!

Tilordning av denne brukerrettigheten kan utgjøre en sikkerhetsrisiko. I og med at eiere av objekter har full kontroll over dem, bør du tilordene denne brukerrettigheten bare til klarerte brukere.

Standard: Administratorer
Take ownership of files or other objects

This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads.

Caution

Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users.

Default: Administrators.
1962Kontoer: Administrator-kontostatus

Denne sikkerhetsinnstillingen bestemmer om den lokale administratorkontoen skal aktiveres eller deaktiveres.

Obs!

Hvis du prøver å aktivere administratorkontoen igjen etter at den er deaktivert, og hvis det gjeldende administratorpassordet ikke tilfredsstiller kravene til passord, kan du ikke aktivere kontoen igjen. I dette tilfellet må et annet medlem i administratorgruppen tilbakestille passordet for administratorkontoen. Se under Slik tilbakestiller du passord hvis du vil ha informasjon om hvordan du tilbakestiller et passord.
Deaktivering av administratorkontoen kan bli en vedlikeholdsoppgave under bestemte forhold.

Under oppstart i sikkermodus vil den deaktiverte administratorkontoen bare bli aktivert hvis maskinen ikke er slått sammen med domenet, og hvis det ikke finnes andre aktive lokale administratorkontoer. Hvis datamaskinen er slått sammen med domenet, aktiveres ikke den deaktiverte administratoren.

Standard: Deaktivert.
Accounts: Administrator account status

This security setting determines whether the local Administrator account is enabled or disabled.

Notes

If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password.
Disabling the Administrator account can become a maintenance issue under certain circumstances.

Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled.

Default: Disabled.
1963Kontoer: Gjestekontostatus

Denne sikkerhetsinnstillingen bestemmer om den gjestekontoen skal aktiveres eller deaktiveres.

Standard: Deaktivert.

Obs! Hvis gjestekontoen deaktiveres og sikkerhetsalternativet Nettverkstilgang: Delings- og sikkerhetsmodell for lokale kontoer angis til Bare gjest, vil nettverkspålogginger, for eksempel de som utføres av Microsoft Network Server (SMB Service), mislykkes.
Accounts: Guest account status

This security setting determines if the Guest account is enabled or disabled.

Default: Disabled.

Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail.
1964Kontoer: Begrens bruk av tomme passord for lokal konto til konsollpålogging

Denne sikkerhetsinnstillingen bestemmer om lokale kontoer som ikke er passordbeskyttede, kan brukes til pålogging fra andre steder enn den fysiske datamaskinkonsollen. Hvis innstillingen aktiveres, vil lokale kontoer som ikke er passordbeskyttede, bare være i stand til å logge på fra datamaskinenes tastatur.

Standard: Aktivert


Advarsel!

Datamaskiner som ikke er på fysisk sikre steder, bør alltid bruke policyer for sterke passord for alle lokale brukerkontoer. Hvis ikke kan noen med fysisk tilgang til datamaskinen logge på med en brukerkonto som ikke har passord. Dette er spesielt viktig for bærbare datamaskiner.
Hvis du bruker denne policyen på Alle-gruppen, vil ingen være i stand til å logge på via Eksterne skrivebordstjenester.

Obs!

Denne innstillingen har ingen innvirkning på pålogginger som bruker domenekontoer.
Programmer som bruker eksterne, interaktive pålogginger, kan forbigå denne innstillingen.

Obs! Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.
Accounts: Limit local account use of blank passwords to console logon only

This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard.

Default: Enabled.


Warning:

Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers.
If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services.

Notes

This setting does not affect logons that use domain accounts.
It is possible for applications that use remote interactive logons to bypass this setting.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.
1965Kontoer: Gi nytt navn til administratorkonto

Denne sikkerhetsinnstillingen bestemmer om et annet kontonavn tilordnes sikkerhetsidentifikatoren (SID) for Administrator-kontoen. Det vil være litt vanskeligere for uautoriserte personer å gjette denne kombinasjonen av privilegert brukernavn og passord når den godt kjente Administrator-kontoen gis nytt navn.

Standard: Administrator
Accounts: Rename administrator account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination.

Default: Administrator.
1966Kontoer: Gi nytt navn til gjestekonto

Denne sikkerhetsinnstillingen bestemmer om et annet kontonavn tilordnes sikkerhetsidentifikatoren (SID) for gjestekontoen. Det vil være litt vanskeligere for uautoriserte personer å gjette denne kombinasjonen av brukernavn og passord når den godt kjente gjestekontoen gis nytt navn.

Standard: Gjest

Accounts: Rename guest account

This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination.

Default: Guest.

1967Overvåk: Overvåk tilgangen til globale systemobjekter

Denne sikkerhetsinnstillingen bestemmer om tilgangen til globale systemobjekter skal overvåkes.

Hvis denne policyen aktiveres, vil det føre til at systemobjekter, for eksempel mutexer, hendelser, semaforer og DOS-enheter, opprettes med en standard kontrolliste for systemtilgang (SACL). Bare navngitte objekter får tildelt en SACL. SACL tildeles ikke objekter uten navn. Hvis overvåkingspolicyen Overvåk objekttilgang også aktiveres, overvåkes tilgang til disse systemobjektene.

Obs! Hvis du konfigurerer denne sikkerhetsinnstillingen, vil endringer ikke tre i kraft før Windows startes på nytt.

Standard: Deaktivert
Audit: Audit the access of global system objects

This security setting determines whether to audit the access of global system objects.

If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.
1968Overvåk: Overvåk bruk av sikkerhetskopierings- og gjenopprettingstillatelser

Denne sikkerhetsinnstillingen bestemmer om overvåking skal brukes av alle brukertilganger, inkludert sikkerhetskopiering og gjenoppretting, når policyen Overvåk bruk av privilegier er aktivert. Hvis alternativet aktiveres når policyen Overvåk bruk av privilegier også er aktivert, genereres det en hendelse for hver fil som sikkerhetskopieres eller gjenopprettes.

Hvis du deaktiverer denne policyen, overvåkes ikke bruk av sikkerhetskopierings- eller gjenopprettingstilgang selv om Overvåk bruk av privilegier er aktivert.

Obs! Hvis du konfigurerer denne sikkerhetsinnstillingen i tidligere Windows-versjoner enn Windows Vista, trer ikke endringene i kraft før Windows startes på nytt. Aktivering av denne innstillingen kan føre til MANGE hendelser, noen ganger hundrevis per sekund, under en sikkerhetskopiering.

Standard: Deaktivert

Audit: Audit the use of Backup and Restore privilege

This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored.

If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation.

Default: Disabled.

1969Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes

Denne sikkerhetsinnstillingen bestemmer om systemet skal slås av hvis sikkerhetshendelser ikke kan logges.

Hvis denne sikkerhetsinnstillingen aktiveres, får den systemet til å stoppe hvis en sikkerhetsovervåking av en eller annen grunn ikke kan logges. En typisk situasjon er at en hendelse ikke blir logget når sikkerhetsovervåkingsloggen er full og oppbevaringsmetoden som er angitt for sikkerhetsloggen er Ikke skriv over hendelser eller Skriv over hendelser etter dager.

Hvis sikkerhetsloggen er full, en eksisterende oppføring ikke kan skrives over og dette sikkerhetsalternativet aktiveres, vises følgende stoppfeil:

STOPP: C0000244 {Overvåking mislyktes}
Kan ikke utføre en sikkerhetskontroll.
For å gjenopprette må en administrator logge på, arkivere loggen (valgfritt), tømme loggen og tilbakestille dette alternativet som ønsket. Frem til denne sikkerhetsinnstillingen tilbakestilles kan ingen andre brukere enn medlemmer av administratorgruppen logge på systemet, selv om sikkerhetsloggen ikke er full.

Obs! Hvis du konfigurerer denne sikkerhetsinnstillingen i tidligere Windows-versjoner enn Windows Vista, vil endringer ikke tre i kraft før Windows startes på nytt.

Standard: Deaktivert.

Audit: Shut down system immediately if unable to log security audits

This security setting determines whether the system shuts down if it is unable to log security events.

If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days.

If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears:

STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.
To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full.

Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

1970Enheter: Tillat frakobling uten å måtte logge på

Denne sikkerhetsinnstillingen bestemmer om en bærbar datamaskin kan kobles fra uten å måtte logge på. Hvis denne policyen aktiveres, kreves ikke pålogging, og en utløsningsknapp på en ekstern maskinvare kan brukes til å koble fra datamaskinen. Hvis den deaktiveres, må en bruker logge på og ha tilgangen Fjern datamaskinen fra dokkingstasjon for å kunne koble fra datamaskinen.

Standard: Aktivert.

Forsiktig!

Deaktivering av denne policyen kan friste brukere til å prøve å fjerne den bærbare datamaskinen fysisk fra sin dokking|stasjon med andre metoder enn utløsningsknappen på den eksterne maskinvaren. I og med at dette kan skade maskinvaren, bør denne innstillingen generelt bare deaktiveres på konfigurasjoner for bærbare datamaskiner som er fysisk sikre.

Devices: Allow undock without having to log on

This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer.

Default: Enabled.

Caution

Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable.

1971Enheter: Tillatt å formatere og løse ut flyttbare medier

Denne sikkerhetsinnstillingen bestemmer hvem som skal ha tillatelse til å formatere og løse ut flyttbare NTFS-medier. Denne egenskapen kan gis til:

Administratorer
Administratorer og Interaktive brukere

Standard: Denne policyen er ikke definert, og bare administratorer har denne muligheten.

Devices: Allowed to format and eject removable media

This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to:

Administrators
Administrators and Interactive Users

Default: This policy is not defined and only Administrators have this ability.

1972Enheter: Forhindre at brukere installerer skriverdrivere ved tilkobling til delte skrivere

Hvis det skal skrives ut fra en datamaskin til en delt skriver, må driveren for den delte skriveren være installert på den lokale datamaskinen. Denne sikkerhetsinnstillingen bestemmer hvem som skal ha tillatelse til å installere en skriverdriver som en del av tilkoblingen til en delt skriver. Hvis denne innstillingen er aktivert, kan bare administratorer installere en skriverdriver som en del av tilkoblingen til en delt skriver. Hvis denne innstillingen er deaktivert, kan alle brukere installere en skriverdriver som en del av tilkoblingen til en delt skriver.

Standard på servere: Aktivert
Standard på arbeidsstasjoner: Deaktivert


Obs!

Denne innstillingen har ingen innvirkning på muligheten til å legge til en lokal skriver.
Denne innstillingen har ingen innvirkning for administratorer.
Devices: Prevent users from installing printer drivers when connecting to shared printers

For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer.

Default on servers: Enabled.
Default on workstations: Disabled


Notes

This setting does not affect the ability to add a local printer.
This setting does not affect Administrators.
1973Enheter: Begrens CD-ROM-tilgang til brukeren som er logget på lokalt

Denne sikkerhetsinnstillingen bestemmer om en CD-ROM skal være tilgjengelig for både lokale og eksterne brukere samtidig.

Hvis denne policyen aktiveres, tillater den bare at interaktivt påloggede brukere får tilgang til flyttbare CD-ROM-medier. Hvis denne policyen aktiveres og ingen er logget på interaktivt, er det tilgang til CD-ROMen over nettverket.

Standard: Denne policyen er ikke definert, og CD-ROM-tilgang er ikke begrenset til den lokalt påloggede brukeren.

Devices: Restrict CD-ROM access to locally logged-on user only

This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network.

Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user.

1974Enheter: Begrens diskettilgang til brukeren som er logget på lokalt

Denne sikkerhetsinnstillingen bestemmer om en flyttbar diskett skal være tilgjengelig for både lokale og eksterne brukere samtidig.

Hvis denne policyen aktiveres, tillater den bare at interaktivt påloggede brukere får tilgang til flyttbare diskettmedier. Hvis policyen aktiveres og ingen er logget på interaktivt, er det tilgang til disketten over nettverket.

Standard: Denne policyen er ikke definert, og tilgang til diskettstasjon er ikke begrenset til den lokalt påloggede brukeren.

Devices: Restrict floppy access to locally logged-on user only

This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously.

If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network.

Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user.

1975Enheter: Oppførsel ved installasjon av usignert driver

Denne sikkerhetsinnstillingen bestemmer hva som skal skje når det blir forsøkt å installere en enhetsdriver (ved hjelp av Installasjons-API) som ikke har blitt testet av Windows Hardware Quality Lab (WHQL).

Følgende alternativer finnes:

Stille vellykket
Varsle, men tillat installasjon
Ikke tillat installasjon
Standard: Varsle, men tillat installasjon.

Devices: Unsigned driver installation behavior

This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL).

The options are:

Silently succeed
Warn but allow installation
Do not allow installation
Default: Warn but allow installation.

1976Domenekontroller: La serveroperatører planlegge oppgaver

Denne sikkerhetsinnstillingen bestemmer om serveroperatører skal ha tillatelse til å sende jobber med funksjonen AT-planlegging.

Obs! Denne sikkerhetsinnstillingen påvirker bare funksjonen AT-planlegging. Den har ingen innvirkning på funksjonen Oppgaveplanlegging.
Standard: Denne policyen er ikke definert, noe som betyr at systemet behandler den som deaktivert.

Domain controller: Allow server operators to schedule tasks

This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility.

Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility.
Default: This policy is not defined, which means that the system treats it as disabled.

1977Domenekontroller: Krav for signering på LDAP-server

Denne sikkerhetsinnstillingen bestemmer om LDAP-serveren skal kreve at signering skal forhandles frem med LDAP-klienter, på følgende måte:

Ingen: Datasignering kreves ikke for å kunne binde til serveren. Hvis klienten ber om datasignering, støtter serveren dette.
Krev signatur: Med mindre TLS\SSL blir brukt, må alternativet for LDAP-datasignering forhandles frem.

Standard: Denne policyen er ikke definert, noe som har samme effekt som Ingen.

Forsiktig!

Hvis du angir serveren til Krev signatur, må du også angi klienten. Hvis du ikke angir klienten, vil tilkoblingen til serveren brytes.

Obs!

Denne innstillingen har ikke noen innvirkning på enkel LDAP-binding eller enkel LDAP-binding via SSL. Ingen Microsoft LDAP-klienter som leveres med Windows XP Professional bruker enkel LDAP-binding eller enkel LDAP-binding via SSL til å snakke med en domenekontroller.
Hvis signering kreves, avvises forespørsler om enkel LDAP-binding eller enkel LDAP-binding via SSL. Ingen Microsoft LDAP-klienter som kjører serien Windows XP Professional eller Windows Server 2003, bruker enkel LDAP-binding eller enkel LDAP-binding via SSL til å binde til katalogtjeneste.

Domain controller: LDAP server signing requirements

This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows:

None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it.
Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated.

Default: This policy is not defined, which has the same effect as None.

Caution

If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server.

Notes

This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller.
If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service.

1978Domenekontroller: Avslå endringer i passord for maskinkonto

Denne sikkerhetsinnstillingen bestemmer om domenekontrollere skal avslå forespørsler fra medlemsdatamaskiner om å endre passord for datamaskinkontoer. Som standard endres passordene for medlemsdatamaskinenes datamaskinkonto hver 30. dag. Hvis innstillingen aktiveres, vil domenekontrolleren avslå forespørsler om endring av passord for datamaskinkontoer.

Når innstillingen aktiveres, tillater den ikke at en domenekontroller godtar eventuelle endringer i passordet for en datamaskinkonto.

Standard: Denne policyen er ikke definert, noe som betyr at systemet behandler den som deaktivert.

Domain controller: Refuse machine account password changes

This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests.

If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password.

Default: This policy is not defined, which means that the system treats it as Disabled.

1979Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid)

Denne sikkerhetsinnstillingen bestemmer om all sikker kanaltrafikk startet av domenekontrolleren må signeres eller krypteres.

Når en datamaskin føyes til et domene, opprettes det en datamaskinkonto. Deretter brukes passordet for datamaskinkontoen til å opprette en sikker kanal med en domenekontroller for domenet etter at systemet har startet. Denne sikre kanalen brukes til å utføre operasjoner som for eksempel godkjenning av NTLM-viderekobling, SID/navneoppslag fra LSA og så videre.

Denne innstillingen bestemmer om all sikker kanaltrafikk som er startet av domenemedlemmet, tilfredsstiller minimumskravene for sikkerhet. Spesielt bestemmer den om all sikker kanaltrafikk startet av domenekontrolleren må signeres eller krypteres. Hvis policyen aktiveres, vil ikke den sikre kanalen bli opprettet med mindre signering eller kryptering av all sikker kanaltrafikk forhandles frem. Hvis denne deaktiveres, vil kryptering og signering for all sikker kanaltrafikk bli forhandlet frem med domenekontrolleren, og da avhenger signerings- og krypteringsnivået av domenekontrollerversjonen og innstillingene av følgende to policyer:

Domenemedlem: Krypter sikre kanaldata digitalt (når mulig)
Domenemedlem: Signer sikre kanaldata digitalt (når mulig)

Standard: Aktivert

Obs!

Hvis denne policyen aktiveres, antas det at policyen Domenemedlem: Signer sikre kanaldata digitalt (når mulig) aktiveres uavhengig av gjeldende innstilling. Det sikrer at domenemedlemmet forsøker å forhandle frem minst signering av den sikre kanaltrafikken.
Hvis denne policyen aktiveres, antas det at policyen Domenemedlem: Signer sikre kanaldata digitalt (når mulig) aktiveres uavhengig av gjeldende innstilling. Det sikrer at domenemedlemmet forsøker å forhandle frem minst signering av den sikre kanaltrafikken.
Påloggingsinformasjon som overføres over den sikre kanalen, krypteres alltid uavhengig av om kryptering av ALL annen sikker kanaltrafikk er forhandlet frem eller ikke.

Domain member: Digitally encrypt or sign secure channel data (always)

This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies:

Domain member: Digitally encrypt secure channel data (when possible)
Domain member: Digitally sign secure channel data (when possible)

Default: Enabled.

Notes:

If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic.
Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not.

1980Domenemedlem: Krypter sikre kanaldata digitalt (når mulig)

Denne sikkerhetsinnstillingen bestemmer om et domenemedlem skal forsøke å forhandle frem kryptering av all sikker kanaltrafikk som det starter.

Når en datamaskin føyes til et domene, opprettes det en datamaskinkonto. Deretter brukes passordet for datamaskinkontoen til å opprette en sikker kanal med en domenekontroller for domenet etter at systemet har startet. Denne sikre kanalen brukes til å utføre operasjoner som for eksempel godkjenning av NTLM-viderekobling, SID/navneoppslag fra LSA og så videre.

Denne innstillingen bestemmer om et domenemedlem skal forsøke å forhandle frem kryptering av all sikker kanaltrafikk som det starter. Hvis den aktiveres, vil domenemedlemmet be om kryptering av all sikker kanaltrafikk. Hvis domenekontrolleren støtter kryptering av all sikker kanaltrafikk, vil all sikker kanaltrafikk bli kryptert. Hvis ikke krypteres bare påloggingsinformasjon som overføres over den sikre kanalen. Hvis innstillingen deaktiveres, vil ikke domenekontrolleren forsøke å forhandle frem kryptering av sikre kanaler.

Standard: Aktivert

Viktig!

Det er ingen åpenbar grunn til å deaktivere denne innstillingen. I tillegg til unødvendig reduksjon av det potensielle konfidensialitetsnivået for den sikre kanalen kan denne innstillingen unødig redusere gjennomstrømmingen i den sikre kanalen fordi samtidige API-kall som bruker den sikre kanalen, bare er mulig når den sikre kanalen signeres eller krypteres.

Obs! Domenekontrollere er også domenemedlemmer og oppretter sikre kanaler med andre domenekontrollere i samme domene og i klarerte domener.

Domain member: Digitally encrypt secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption.

Default: Enabled.

Important

There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted.

Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1981Domenemedlem: Signer sikre kanaldata digitalt (når mulig)

Denne sikkerhetsinnstillingen bestemmer om et domenemedlem skal forsøke å forhandle frem signering av all sikker kanaltrafikk som det starter.

Når en datamaskin føyes til et domene, opprettes det en datamaskinkonto. Deretter brukes passordet for datamaskinkontoen til å opprette en sikker kanal med en domenekontroller for domenet etter at systemet har startet. Denne sikre kanalen brukes til å utføre operasjoner som for eksempel godkjenning av NTLM-viderekobling, SID/navneoppslag fra LSA og så videre.

Denne innstillingen bestemmer om et domenemedlem skal forsøke å forhandle frem signering av all sikker kanaltrafikk som den starter. Hvis den aktiveres, vil domenemedlemmet be om signering av all sikker kanaltrafikk. Hvis domenekontrolleren støtter signering av all sikker kanaltrafikk, vil all sikker kanaltrafikk bli signert, noe som fører til at den ikke kan tukles med ved overføring.

Standard: Aktivert

Obs!

Hvis policyen Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid) aktiveres, antas denne policyen å være aktivert uavhengig av gjeldende innstilling.
Domenekontrollere er også domenemedlemmer og oppretter sikre kanaler med andre domenekontrollere i samme domene og i klarerte domener.

Domain member: Digitally sign secure channel data (when possible)

This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc.

This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit.

Default: Enabled.

Notes:

If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting.
Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.

1982Domenemedlem: Maksimal passordalder for maskinkonto

Denne sikkerhetsinnstillingen bestemmer hvor ofte et domenemedlem skal forsøke å endre passordet for datamaskinkontoen.

Standard: 30 dager.

Viktig!

Denne innstillingen gjelder for Windows 2000-datamaskiner, men er ikke tilgjengelig via verktøyene i sikkerhetskonfigurasjonsbehandling.

Domain member: Maximum machine account password age

This security setting determines how often a domain member will attempt to change its computer account password.

Default: 30 days.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1983Domenemedlem: Krev sterk øktnøkkel (Windows 2000 eller senere)

Denne sikkerhetsinnstillingen bestemmer om 128-biters nøkkelstyrke skal kreves for krypterte data over sikre kanaler.

Når en datamaskin føyes til et domene, opprettes det en datamaskinkonto. Deretter brukes passordet for datamaskinkontoen til å opprette en sikker kanal med en domenekontroller innen domenet etter at systemet har startet. Denne sikre kanalen brukes til å utføre operasjoner som for eksempel godkjenning av NTLM-viderekobling, SID/navneoppslag fra LSA og så videre.

Innstillingen er avhengig av hvilken versjon av Windows som kjører på domenekontrolleren som domenemedlemmet kommuniserer med, og innstillingene for disse parameterne:

Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid)
Domenemedlem: Krypter sikre kanaldata digitalt (når mulig)
En del av eller all informasjon som overføres over den sikre kanalen, vil bli kryptert. Denne policyinnstillingen bestemmer om 128-biters nøkkelstyrke skal kreves for kryptert informasjon over sikre kanaler.

Hvis denne innstillingen aktiveres, vil ikke den sikre kanalen bli opprettet med mindre 128-biters kryptering kan utføres. Hvis innstillingen deaktiveres, blir nøkkelstyrken forhandlet frem med domenekontrolleren.

Standard: Aktivert

Viktig!

For å kunne dra nytte av denne policyen på arbeidsstasjoner og servere som er medlemmer, må alle domenekontrollere som utgjør medlemmenes domene, kjøre Windows 2000 eller senere.
For å kunne dra nytte av denne policyen på domenekontrollere, må alle domenekontrollere i samme domene, og i tillegg alle klarerte domener, kjøre Windows 2000 eller senere.

Domain member: Require strong (Windows 2000 or later) session key

This security setting determines whether 128-bit key strength is required for encrypted secure channel data.

When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on.

Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters:

Domain member: Digitally encrypt or sign secure channel data (always)
Domain member: Digitally encrypt secure channel data (when possible)
Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted.

If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller.

Default: Enabled.

Important

In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later.
In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later.

1984Domenemedlem: Deaktiver endring av passord for datamaskinkonto

Bestemmer om det regelmessig skal endres passord for datamaskinkontoen til et domenemedlem. Hvis denne innstillingen aktiveres, forsøker ikke domenemedlemmet å endre passordet for datamaskinkontoen. Hvis denne innstillingen deaktiveres, forsøker domenemedlemmet å endre passordet for datamaskinkontoen, slik det er angitt i innstillingen for Domenemedlem: Maksimal passordalder for maskinkonto, som er 30 dager som standard.

Standard: Deaktivert.

Obs!

Denne sikkerhetsinnstillingen bør ikke være aktivert. Passord for datamaskinkontoer brukes til å opprette kommunikasjon over sikre kanaler mellom medlemmer og domenekontrollere og, innen domenet, mellom domenekontrollerne selv. Når den sikre kanalen er opprettet, brukes den til å overføre sensitive opplysninger som er nødvendig for å ta avgjørelser i forbindelse med godkjenning og autorisasjon.
Denne innstillingen bør ikke brukes i et forsøk på å støtte dobbeltoppstart som bruker samme datamaskinkonto. Hvis du vil bruke dobbeltoppstart for to installasjoner som er føyd sammen til samme domene, gir du de to installasjonene forskjellige datamaskinnavn.
Domain member: Disable machine account password changes

Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days.

Default: Disabled.

Notes

This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions.
This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names.
1985Interaktiv pålogging: Ikke vis sist pålogget
Denne sikkerhetsinnstillingen bestemmer om Windows-påloggingsskjermbildet viser brukernavnet til den siste personen som logget på PC-en.
Hvis denne policyen er aktivert, vises ikke brukernavnet.

Hvis denne policyen er deaktivert, vises brukernavnet.

Standard: Deaktivert.


Interactive logon: Don't display last signed-in
This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


1986Interaktiv pålogging: Ikke krev Ctrl+Alt+DEL

Denne sikkerhetsinnstillingen angir om brukere må trykke Ctrl+Alt+DEL før de kan logge på.

Hvis denne policyen er aktivert på en datamaskin, trenger ikke brukere å trykke Ctrl+Alt+DEL for å logge på. Hvis det ikke er nødvendig å trykke Ctrl+Alt+DEL, vil brukere være mottakelige for angrep som forsøker å snappe opp passord. Krav om at brukere skal trykke Ctrl+Alt+DEL før de logger på, sikrer at de kommuniserer ved hjelp av klarerte baner når de skriver inn passord.

Hvis denne policyen deaktiveres, må alle brukere trykke Ctrl+Alt+DEL før de logger på Windows.

Standard på domenedatamaskiner: Aktivert: Minst Windows 8. Deaktivert: Windows 7 eller tidligere.
Standard på frittstående datamaskiner: Aktivert.

Interactive logon: Do not require CTRL+ALT+DEL

This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on.

If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords.

If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows.

Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier.
Default on stand-alone computers: Enabled.

1987Interaktiv pålogging: Meldingstekst for brukere som forsøker å logge på

Denne sikkerhetsinnstillingen angir en tekstmelding som vises til brukere når de logger på.

Teksten brukes ofte av rettslige grunner, for eksempel for å varsle en bruker om betydningen av å misbruke opplysninger om selskapet eller advare om at handlinger som utføres, blir overvåket.

Standard: Ingen melding

Interactive logon: Message text for users attempting to log on

This security setting specifies a text message that is displayed to users when they log on.

This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited.

Default: No message.

1988Interaktiv pålogging: Meldingstittel for brukere som forsøker å logge på

Denne sikkerhetsinnstillingen gjør det mulig å angi en tittel som skal vises i tittellinjen til vinduet som inneholder Interaktiv pålogging: Meldingstittel for brukere som forsøker å logge på.

Standard: Ingen melding.

Interactive logon: Message title for users attempting to log on

This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on.

Default: No message.

1989Interaktiv pålogging: Antall tidligere pålogginger som skal bufres (i tilfelle domenekontroller ikke er tilgjengelig)

Alle unike brukeres påloggingsinformasjon bufres lokalt slik at brukerne kan logge på selv om en domenekontroller ikke er tilgjengelig ved senere påloggingsforsøk. Den bufrede påloggingsinformasjonen blir lagret fra foregående påloggingsøkt. Hvis en domenekontroller ikke er tilgjengelig og en brukers påloggingsinformasjon ikke er bufret, vises følgende melding:

Det er ingen tilgjengelige påloggingsservere som kan behandle påloggingsforespørselen.

I denne policyinnstillingen deaktiverer verdien 0 bufring av pålogging. Alle verdier over 50 bufrer bare 50 påloggingsforsøk. Windows støtter opptil 50 bufferoppføringer, og antall oppføringer per bruker avhenger av legitimasjonen. På et Windows-system kan det for eksempel bufres maksimalt 50 unike brukerkontoer med passord, men bare 25 brukerkontoer med smartkort ettersom både passord- og smartkortinformasjonen lagres. Når en bruker med bufret påloggingsinformasjon logger på igjen, erstattes brukerens individuelt bufrede informasjon.

Standard:

Windows Server 2008: 25

Alle andre versjoner: 10

Interactive logon: Number of previous logons to cache (in case domain controller is not available)

Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message:

There are currently no logon servers available to service the logon request.

In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced.

Default:

Windows Server 2008: 25

All Other Versions: 10

1990Interaktiv pålogging: Be bruker om å endre passord før det utløper

Bestemmer hvor lang tid i forveien (i dager) brukere blir varslet om at passordet snart utløper. Med dette forhåndsvarselet har brukeren tid til å lage et nytt passord som er sterkt nok.

Standard: 14 dager.

Interactive logon: Prompt user to change password before expiration

Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong.

Default: 5 days.

1991Interaktiv pålogging: Krev godkjenning av domenekontroller for å låse opp arbeidsstasjonen

Påloggingsinformasjon må gis for å låse opp en låst datamaskin. For domenekontoer bestemmer denne sikkerhetsinnstillingen om en domenekontroller må kontaktes for å låse opp en datamaskin. Hvis denne innstillingen deaktiveres, kan brukere låse opp datamaskinen med bufrede legitimasjoner. Hvis innstillingen aktiveres, må en domenekontroller godkjenne domenekontoen som blir brukt til å låse opp datamaskinen.

Standard: Deaktivert.

Viktig!

Denne innstillingen gjelder for Windows 2000-datamaskiner, men er ikke tilgjengelig via verktøyene i sikkerhetskonfigurasjonsbehandling.

Interactive logon: Require Domain Controller authentication to unlock

Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer.

Default: Disabled.

Important

This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.

1992Interaktiv pålogging: Krev Windows Hello for bedrifter eller smartkort

Denne sikkerhetsinnstillingen krever at brukere logger på en enhet med Windows Hello for bedrifter eller et smartkort.

Alternativene er:

Aktivert: Brukere kan bare logge på enheten med Windows Hello for bedrifter eller et smartkort.
Deaktivert eller ikke konfigurert: Brukere kan logge på enheten med en annen metode.

Viktig!

Denne innstillingen gjelder for Windows 2000-datamaskiner, men er ikke tilgjengelig via verktøyene i sikkerhetskonfigurasjonsbehandling.

Krav til å bruke pålogging med Windows Hello for bedrifter støttes ikke på Windows 10 v1607 eller tidligere.

Interactive logon: Require Windows Hello for Business or smart card

This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card.

The options are:

Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card.
Disabled or not configured: Users can sign-in to the device using any method.

Important

This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set.

Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier.

1993Interaktiv pålogging: Virkemåte ved fjerning av smartkort

Denne sikkerhetsinnstillingen bestemmer hva som skjer når smartkortet til en pålogget bruker fjernes fra smartkortleseren.

Følgende alternativer finnes:

Ingen handling
Lås arbeidsstasjon
Fremtving avlogging
Koble fra hvis det er en økt for Eksterne skrivebordstjenester

Hvis du klikker Lås arbeidsstasjon i dialogboksen Egenskaper for denne policyen, låses arbeidsstasjonen når smartkortet tas ut, slik at brukeren kan forlate området, ta med seg smartkortet og fremdeles beholde en beskyttet økt.

Hvis du klikker Fremtving avlogging i dialogboksen Egenskaper for denne policyen, logges brukeren automatisk av når smartkortet tas ut.

Hvis du klikker Koble fra hvis det er en økt for Eksterne skrivebordstjenester, kobles økten fra uten å logge av brukeren hvis smartkortet tas ut. Det gir brukeren mulighet til å sette inn smartkortet og fortsette økten senere eller på en annen datamaskin som er utstyrt med smartkortleser, uten å logge på igjen. Hvis økten er lokal, fungerer denne policyen på samme måte som Lås arbeidsstasjon.

Obs! Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.

Standard: Denne policyen er ikke definert, noe som betyr at systemet behandler den som Ingen handling.

På Windows Vista og senere: Hvis denne innstillingen skal fungere, må tjenesten Smart Card Removal Policy være startet.

Interactive logon: Smart card removal behavior

This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader.

The options are:

No Action
Lock Workstation
Force Logoff
Disconnect if a Remote Desktop Services session

If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session.

If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed.

If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

Default: This policy is not defined, which means that the system treats it as No action.

On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started.

1994Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid)

Denne sikkerhetsinnstillingen bestemmer om pakkesignering kreves av SMB-klientkomponenten.

SMB-protokollen (Server Message Block) gir grunnlag for Microsoft fil- og skriverdeling og mange andre nettverksoperasjoner, for eksempel fjernadministrasjon av Windows. For å hindre angrep fra personer som endrer SMB-pakker mens de er under transport, støtter SMB-protokollen digital signering av SMB-pakker. Denne policyinnstillingen bestemmer om signering av SMB-pakker må forhandles frem før det tillates ytterligere kommunikasjon med en SMB-server.

Hvis denne innstillingen aktiveres, vil ikke Microsoft-nettverksklienten kommunisere med en Microsoft-nettverksserver hvis serveren ikke godtar å utføre SMB-pakkesignering. Hvis denne policyen deaktiveres, forhandles det frem SMB-pakkesignering mellom klienten og serveren.

Standard: Deaktivert.

Viktig

For at denne policyen skal tre i kraft på datamaskiner som kjører Windows 2000, må også pakkesignering på klientsiden aktiveres. Hvis du vil aktivere SMB-pakkesignering på klientsiden må du angi Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det).

Merknader

Alle Windows-operativsystemer støtter både en SMB-komponent på klientsiden og en SMB-komponent på serversiden. I Windows 2000 og senere operativsystemer kan du aktivere eller kreve at pakken for komponentene for SMB-signering på klient- og serversiden skal styres av følgende fire policyinnstillinger:
Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid) – Kontrollerer om SMB-komponenten på klientsiden krever pakkesignering.
Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det) – Kontrollerer om SMB-komponenten på klientsiden har aktivert pakkesignering.
Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid) – Kontrollerer om SMB-komponenten på serversiden krever pakkesignering.
Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det) – Kontrollerer om SMB-komponenten på serversiden har aktivert pakkesignering.
SMB-pakkesignering kan redusere ytelsen for SMB betydelig, avhengig av dialektversjon, operativsystemversjon, filstørrelser, funksjoner for prosessoravlasting og I/U-virkemåter for programmet.
Hvis du vil ha mer informasjon, se: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network client: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB client component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted.

If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server.

Default: Disabled.

Important

For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees).

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1995Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det)

Denne sikkerhetsinnstillingen bestemmer om SMB-klienten prøver å forhandle om signering av SMB-pakke.

SMB-protokollen (Server Message Block) gir grunnlag for Microsoft fil- og skriverdeling og mange andre nettverksoperasjoner, for eksempel fjernadministrasjon av Windows. Hvis du vil hindre mellommannbaserte angrep som endrer SMB-pakker i transitt, støtter SMB-protokollen digital signering av SMB-pakker. Denne policyinnstillingen bestemmer om SMB-klientkomponenten prøver å forhandle om SMB-pakkesignering når den kobler til en SMB-server.

Hvis denne innstillingen aktiveres, ber Microsoft-nettverksklienten serveren om å utføre SMB-pakkesignering ved konfigurasjon av økt. Hvis pakkesignering er aktivert på serveren, forhandles pakkesignering. Hvis denne policyen deaktiveres, vil MB-klienten aldri forhandle om signering av SMB-pakke.

Standard: Aktivert.

Merknader

Alle Windows-operativsystemer støtter både en SMB-komponent på klientsiden og en SMB-komponent på serversiden. Hvis du aktiverer eller krever at pakken for SMB-komponentene på klient-og serversiden i Windows 2000 og senere styres av følgende fire policyinnstillinger:
Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid) – Kontrollerer om SMB-komponenten på klientsiden krever pakkesignering.
Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det) – Kontrollerer om SMB-komponenten på klientsiden har aktivert pakkesignering.
Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid) – Kontrollerer om SMB-komponenten på serversiden krever pakkesignering.
Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det) – Kontrollerer om SMB-komponenten på serversiden har aktivert pakkesignering.
Hvis SMB-signering både på klient- og serversiden er aktivert, og klienten oppretter en SMB 1.0-tilkobling til serveren, SMB-signering blir forsøkt.
SMB-pakkesignering kan redusere ytelsen for SMB betydelig, avhengig av dialektversjon, operativsystemversjon, filstørrelser, funksjoner for prosessoravlasting og I/U-virkemåter for programmet. Denne innstillingen gjelder bare for SMB 1.0-tilkoblinger.
Hvis du vil mer informasjon, se: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network client: Digitally sign communications (if server agrees)

This security setting determines whether the SMB client attempts to negotiate SMB packet signing.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server.

If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1996Microsoft nettverksklient: Send ukryptert passord til tredjeparts SMB-servere

Hvis denne sikkerhetsinnstillingen aktiveres, får SMB-omadressereren (SMB = servermeldingsblokk) tillatelse til å sende passord i ren tekst til ikke-Microsoft SMB-servere som ikke støtter passordkryptering under godkjenning.

Sending av ukrypterte passord er en sikkerhetsrisiko.

Standard: Deaktivert.
Microsoft network client: Send unencrypted password to connect to third-party SMB servers

If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication.

Sending unencrypted passwords is a security risk.

Default: Disabled.
1997Microsoft nettverksserver: Inaktiv tid nødvendig før økten frakobles

Denne sikkerhetsinnstillingen bestemmer hvor lang sammenhengende tid uten aktivitet som må gå i en SMB-økt (SMB = servermeldingsblokk) før økten avbrytes på grunn av inaktivitet.

Administratorer kan bruke denne policyen til å bestemme når en datamaskin skal avbryte en inaktiv SMB-økt. Hvis klientaktiviteten gjenopptas, opprettes økten automatisk på nytt.

For denne policyen betyr verdien 0 at en økt uten aktivitet skal kobles fra så raskt som mulig. Maksimumsverdien er 99999, som er 208 dager, en verdi som i praksis er en deaktivering av policyen.

Standard: Denne policyen er ikke definert, noe som betyr at systemet behandler den som 15 minutter for servere og udefinert for arbeidsstasjoner.

Microsoft network server: Amount of idle time required before suspending a session

This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity.

Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished.

For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy.

Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations.

1998Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid)

Denne sikkerhetsinnstillingen bestemmer om pakkesignering kreves av SMB-serverkomponent.

SMB-protokollen (Server Message Block) gir grunnlag for Microsoft fil- og skriverdeling og mange andre nettverksoperasjoner, for eksempel fjernadministrasjon av Windows. Hvis du vil forhindre mellommannbaserte angrep som endrer SMB-pakker i transitt, støtter SMB-protokollen digital signering av SMB-pakker. Denne policyinnstillingen bestemmer om SMB-pakkesignering må forhandles før videre kommunikasjon med en SMB-klient er tillatt.

Hvis denne innstillingen aktiveres, vil ikke Microsoft-nettverksserver kommunisere med en Microsoft-nettverksklient med mindre denne klienten godtar det for å utføre SMB-pakkesignering. Hvis denne innstillingen deaktiveres, forhandles SMB-pakkesignering mellom klienten og serveren.

Standard:

Deaktivert for medlemsservere.
Aktivert for domenekontrollere.

Merknader

Alle Windows-operativsystemer støtter både en SMB-komponent på klientsiden og en SMB-komponent på serversiden. Hvis du aktiverer eller krever at pakken for komponentene for SMB-signering på klient- og serversiden i Windows 2000 and senere styres av følgende fire policyinnstillinger:
Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid) – kontrollerer om SMB-komponenten på klientsiden krever pakkesignering.
Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis serveren godtar det) – Kontrollerer om SMB-komponenten på klientsiden har aktivert pakkesignering.
Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid) – Kontrollerer om SMB-komponenten på serversiden krever pakkesignering.
Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det) – Kontrollerer om SMB-komponenten på serversiden har aktivert pakkesignering.
Hvis SMB-signering på klientsiden på samme måte kreves, vil ikke denne klienten kunne ikke opprette en økt med servere som ikke har aktivert pakkesignering. Som standard er SMB-signering på serversiden aktivert bare på domenekontrollere.
Hvis SMB-signering på serversiden er aktivert, forhandles SMB-pakkesignering med klienter som har aktivert SMB-signering på klientsiden.
SMB-pakkesignering kan redusere ytelsen for SMB betydelig, avhengig av dialektversjon, operativsystemversjon, filstørrelser, funksjoner for prosessoravlasting og I/U-virkemåter for programmet.

Viktig

For at denne policyen skal tre i kraft på datamaskiner som kjører Windows 2000, må også pakkesignering på serversiden aktiveres. Angi følgende policy for å aktivere SMB pakkesignering på serversiden:
Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis serveren godtar det)

For at Windows 2000-servere skal forhandle frem signering med Windows NT 4.0-klienter, må følgende registerverdi settes til 1 på Windows 2000-serveren:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
Hvis du vil mer informasjon, se: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network server: Digitally sign communications (always)

This security setting determines whether packet signing is required by the SMB server component.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted.

If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server.

Default:

Disabled for member servers.
Enabled for domain controllers.

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers.
If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors.

Important

For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy:
Microsoft network server: Digitally sign communications (if server agrees)

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server:
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

1999Microsoft nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det)

Denne sikkerhetsinnstillingen bestemmer om SMB-serveren vil forhandle om SMB-pakkesignering med klienter som krever det.

SMB-protokollen (Server Message Block) gir grunnlag for Microsoft fil- og skriverdeling og mange andre nettverksoperasjoner, for eksempel fjernadministrasjon av Windows. Hvis du vil hindre mellommannbaserte angrep som endrer SMB-pakker i transitt, støtter SMB-protokollen digital signering av SMB-pakker. Denne policyinnstillingen bestemmer om SMB-serveren vil forhandle om SMB-pakkesignering når en SMB-klient ber om det.

Hvis denne innstillingen aktiveres, vil Microsoft-nettverksserver forhandle om SMB-pakkesignering som forespurt av klienten. Det vil si at hvis pakkesignering er aktivert på klienten, forhandles pakkesignering. Hvis denne policyen deaktiveres, vil SMB-klienten aldri forhandle om signering av SMB-pakke.

Standard: aktivert på domenekontrollere bare.

Viktig

For at Windows 2000-servere skal forhandle frem signering med Windows NT 4.0-klienter, må du sette følgende registerverdi til 1 på serveren som kjører Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Merknader

Alle Windows-operativsystemer støtter både en SMB-komponent på klientsiden og en SMB-komponent på serversiden. Hvis du aktiverer eller krever at pakken for komponentene for SMB-signering på klient- og serversiden for Windows 2000 og senere styres av følgende fire policyinnstillinger:
Microsoft nettverksklient: Signer kommunikasjon digitalt (alltid) – kontrollerer om SMB-komponenten på klientsiden krever pakkesignering.
Microsoft-nettverksklient: Signer kommunikasjon digitalt (hvis server godtar) – kontrollerer om SMB-komponenten på klientsiden har aktivert pakkesignering.
Microsoft-nettverksserver: Signer kommunikasjon digitalt (alltid) – kontrollerer om SMB-komponenten på serversiden krever pakkesignering.
Microsoft-nettverksserver: Signer kommunikasjon digitalt (hvis klienten godtar det) – kontrollerer om SMB-komponenten på serversiden har aktivert pakkesignering.
Hvis SMB-signering både på klient- og serversiden er aktivert, og klienten oppretter en SMB 1.0-tilkobling til serveren, SMB-signering blir forsøkt.
SMB-pakkesignering kan redusere ytelsen for SMB betydelig, avhengig av dialektversjon, operativsystemversjon, filstørrelser, funksjoner for prosessoravlasting og I/U-virkemåter for programmet. Denne innstillingen gjelder bare for SMB 1.0-tilkoblinger.
Hvis du vil ha mer informasjon, se: https://go.microsoft.com/fwlink/?LinkID=787136.

Microsoft network server: Digitally sign communications (if client agrees)

This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it.

The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it.

If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing.

Default: Enabled on domain controllers only.

Important

For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature

Notes

All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings:
Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing.
Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled.
Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing.
Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled.
If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted.
SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections.
For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.

2000Microsoft nettverksserver: Logg av brukere når påloggingstiden utløper

Denne sikkerhetsinnstillingen bestemmer om brukere som er koblet til den lokale datamaskinen til andre tider enn brukerkontoens gyldige påloggingstider, skal kobles fra. Denne innstillingen har innvirkning på SMB-komponenten (SMB = servermeldingsblokk).

Hvis denne policyen aktiveres, vil klientøkter med SMB-tjenesten bli tvunget til å koble fra når klientens påloggingstid utløper.

Hvis denne policyen deaktiveres, kan en opprettet klientøkt opprettholdes etter at klientens påloggingstid har utløpt.

Standard på Windows Vista og senere: Aktivert
Standard på Windows XP: Deaktivert

Microsoft network server: Disconnect clients when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default on Windows Vista and above: Enabled.
Default on Windows XP: Disabled

2001Nettverkstilgang: Tillat anonym SID/navneoversetting

Denne policyinnstillingen bestemmer om en anonym bruker kan be om sikkerhetsidentifikatorattributter (SID-attributter) for en annen bruker.

Hvis policyen aktiveres, kan en anonym bruker be om SID-attributtet for en annen bruker. En anonym bruker med kjennskap til en administrators SID kan kontakte en datamaskin der denne policyen er aktivert, og bruke SIDen til å hente administratorens navn. Denne innstillingen påvirker både oversettingen fra SID til navn og fra navn til SID.

Hvis denne policyinnstillingen deaktiveres, kan ikke en anonym bruker be om SID-attributtet for en annen bruker.

Standard på arbeidsstasjoner og medlemsservere: Deaktivert.
Standard på domenekontrollere som kjører Windows Server 2008 eller senere: Deaktivert.
Standard på domenekontrollere som kjører Windows Server 2003 R2 eller tidligere: Aktivert.
Network access: Allow anonymous SID/name translation

This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user.

If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation.

If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user.

Default on workstations and member servers: Disabled.
Default on domain controllers running Windows Server 2008 or later: Disabled.
Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled.
2002Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer

Denne sikkerhetsinnstillingen bestemmer hvilke andre tillatelser som skal gis til anonyme tilkoblinger til datamaskinen.

I Windows kan anonyme brukere utføre noen handlinger, for eksempel å liste opp navnene på domenekontoer og delte nettverksressurser. Dette kan for eksempel være nyttig når en administrator vil gi tilgang til brukere i et klarert domene som ikke har en gjensidig klarering.

Med dette sikkerhetsalternativet kan du angi ytterligere begrensninger for anonyme tilkoblinger på følgende måte:

Aktivert: Ikke tillat opplisting av SAM-kontoer. Dette alternativet erstatter Alle med Godkjente brukere i sikkerhetstillatelsene for ressurser.
Deaktivert: Ingen andre begrensninger. Bruk standardtillatelser.

Standard på arbeidsstasjoner: Aktivert
Standard på server: Aktivert

Viktig!

Denne policyen har ingen innvirkning på domenekontrollere.

Network access: Do not allow anonymous enumeration of SAM accounts

This security setting determines what additional permissions will be granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust.

This security option allows additional restrictions to be placed on anonymous connections as follows:

Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources.
Disabled: No additional restrictions. Rely on default permissions.

Default on workstations: Enabled.
Default on server:Enabled.

Important

This policy has no impact on domain controllers.

2003Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser

Denne sikkerhetsinnstillingen bestemmer om anonym opplisting av SAM-kontoer og -ressurser skal være tillatt.

I Windows kan anonyme brukere utføre bestemte handlinger, for eksempel å nummerere navnene på domenekontoer og delte nettverksressurser. Dette kan for eksempel være nyttig når en administrator vil gi tilgang til brukere i et klarert domene som ikke har en gjensidig klarering. Hvis du ikke vil tillate anonym opplisting av SAM-kontoer og -ressurser, aktiverer du denne policyen.

Standard: Deaktivert.

Network access: Do not allow anonymous enumeration of SAM accounts and shares

This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy.

Default: Disabled.

2004Nettverkstilgang: Ikke tillat lagring av passord og legitimasjon for nettverksgodkjenning

Denne sikkerhetsinnstillingen bestemmer om legitimasjonsbehandlingen lagrer passord og legitimasjon for senere bruk når domenegodkjenning oppnås.

Hvis du aktiverer denne innstillingen, lagres ikke passord og legitimasjon i legitimasjonsbehandlingen på datamaskinen.
Hvis du deaktiverer eller ikke konfigurerer denne policyinnstillingen, lagres passord og legitimasjon i legitimasjonsbehandlingen på denne datamaskinen for senere bruk i domenegodkjenning.

Obs! Når du konfigurerer denne sikkerhetsinnstillingen, vil ikke endringene tre i kraft før du har startet Windows på nytt.

Standard: Deaktivert.

Network access: Do not allow storage of passwords and credentials for network authentication

This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication.

If you enable this setting, Credential Manager does not store passwords and credentials on the computer.
If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication.

Note: When configuring this security setting, changes will not take effect until you restart Windows.

Default: Disabled.

2005Nettverkstilgang: La Alle-tillatelser gjelde for anonyme brukere

Denne sikkerhetsinnstillingen bestemmer hvilke tilleggstillatelser som er gitt for anonyme tilkoblinger til datamaskinen.

Windows tillater anonyme brukere å utføre visse aktiviteter, som å liste opp navnene på domenekontoer og delte nettverksressurser. Dette er praktisk, for eksempel når en administrator vil gi tilgang til brukere i et klarert domene som ikke opprettholder et gjensidig klareringsforhold. Som standard fjernes sikkerhetsidentifikatoren (SID) Alle fra tokenet som er opprettet for anonyme tilkoblinger. Tillatelser som er gitt til gruppen Alle, gjelder derfor ikke anonyme brukere. Hvis dette alternativet er angitt, har en anonym bruker bare tilgang til de ressursene som anonyme brukere eksplisitt er gitt tillatelser for.

Hvis denne policyen er aktivert, legges SIDen Alle til i tokenet som opprettes for anonyme tilkoblinger. I dette tilfellet har anonyme brukere tilgang til alle ressurser som Alle-gruppen er gitt tillatelser for.

Standard: Deaktivert.

Network access: Let Everyone permissions apply to anonymous users

This security setting determines what additional permissions are granted for anonymous connections to the computer.

Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission.

If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions.

Default: Disabled.

2006Nettverkstilgang: Navngitte datakanaler som kan åpnes anonymt

Denne sikkerhetsinnstillingen bestemmer hvilke kommunikasjonsøkter (datakanaler) som skal ha attributter og tillatelser som tillater anonym tilgang.

Standard: Ingen.

Network access: Named pipes that can be accessed anonymously

This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access.

Default: None.

2007Nettverkstilgang: Registerbaner som kan åpnes eksternt

Denne sikkerhetsinnstillingen bestemmer hvilke registernøkler det er tilgang til over nettverket, uansett hvilke brukere eller grupper som er angitt i tilgangskontrollisten (ACL) i registernøkkelen winreg.

Standard:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Forsiktig!

Hvis du gjør feil under redigering av registret, kan dette føre til alvorlige feil på maskinen. Før du gjør endringer i registret, bør du ta sikkerhetskopi av viktige data på maskinen.
Obs! Denne sikkerhetsinnstillingen er ikke tilgjengelig i tidligere versjoner av Windows. Sikkerhetsinnstillingen som vises på datamaskiner som kjører Windows XP, Nettverkstilgang: Registerbaner som kan åpnes eksternt, tilsvarer sikkerhetsalternativet Nettverkstilgang: Registerbaner og underbaner som kan åpnes eksternt, i medlemmer av Windows Server 2003-serien. Se Nettverkstilgang: Registerbaner og underbaner som kan åpnes eksternt for mer informasjon.
Standard:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
Network access: Remotely accessible registry paths

This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.
Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths.
Default:

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
2008Nettverkstilgang: Registerbaner og underbaner som kan åpnes eksternt

Denne sikkerhetsinnstillingen bestemmer hvilke registerbaner og underbaner det er tilgang til over nettverket, uansett hvilke brukere eller grupper som er angitt i tilgangskontrollisten (ACL) i registernøkkelen winreg.

Standard:

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

Forsiktig!

Hvis du gjør feil under redigering av registret, kan dette føre til alvorlige feil på maskinen. Før du gjør endringer i registret, bør du ta sikkerhetskopi av viktige data på maskinen.

Obs! I Windows XP het denne sikkerhetsinnstillingen Nettverkstilgang: Registerbaner som kan åpnes eksternt. Hvis du konfigurerer innstillingen på et medlem av Windows Server 2003-serien som er med i et domene, blir innstillingen arvet av datamaskiner som kjører Windows XP, men vises som sikkerhetsalternativet Nettverkstilgang: Registerbaner som kan åpnes eksternt. Se Nettverkstilgang: Registerbaner og underbaner som kan åpnes eksternt for mer informasjon.
Network access: Remotely accessible registry paths and subpaths

This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key.

Default:

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
System\CurrentControlSet\Services\CertSvc
System\CurrentControlSet\Services\Wins

Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer.

Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths.
2009Nettverkstilgang: Begrens anonym tilgang til navngitte datakanaler og ressurser

Når den er aktivert, begrenser denne sikkerhetsinnstillingen anonym tilgang til ressurser og datakanaler til innstillingene for:

Nettverkstilgang: Navngitte datakanaler som kan åpnes anonymt
Nettverkstilgang: Delte områder som kan åpnes anonymt
Standard: Aktivert.

Network access: Restrict anonymous access to Named Pipes and Shares

When enabled, this security setting restricts anonymous access to shares and pipes to the settings for:

Network access: Named pipes that can be accessed anonymously
Network access: Shares that can be accessed anonymously
Default: Enabled.

2010Nettverkstilgang: Delte områder som kan åpnes anonymt

Denne sikkerhetsinnstillingen bestemmer hvilke nettverksressurser anonyme brukere har tilgang til.

Standard: Ingen angitt.

Network access: Shares that can be accessed anonymously

This security setting determines which network shares can accessed by anonymous users.

Default: None specified.

2011Nettverkstilgang: Delings- og sikkerhetsmodell for lokale kontoer

Denne sikkerhetsinnstillingen bestemmer hvordan nettverkspålogginger med lokale kontoer godkjennes. Hvis innstillingen settes til Klassisk, blir nettverkspålogginger som bruker den lokale kontoens legitimasjon, godkjent med denne legitimasjonen. Klassisk-modellen gir detaljert kontroll over ressurstilgang. Ved hjelp av Klassisk-modellen kan du gi forskjellige brukere forskjellig tilgang til samme ressurs.
Hvis denne innstillingen settes til Bare gjest, blir nettverkspålogginger som bruker lokale kontoer, automatisk tilordnet gjestekontoen. Med gjestemodellen kan du sørge for at alle brukere behandles likt. Alle brukere godkjennes som gjest, og alle får samme tilgangsnivå til en gitt ressurs, som kan være enten Skrivebeskyttet eller Endre.

Standard på domenedatamaskiner: Klassisk
Standard på frittstående datamaskiner: Bare gjest

Viktig!

Med Bare gjest-modellen kan enhver bruker som har tilgang til datamaskinen din over nettverket (inkludert anonyme Internett-brukere), åpne dine delte ressurser. Du må bruke Brannmur for Internett-tilkobling eller annen lignende funksjonalitet for å beskytte datamaskinen mot uautorisert tilgang. På samme måte må lokale kontoer passordbeskyttes hvis du bruker Klassisk-modellen, ellers kan enhver bruke disse brukerkontoene for å få tilgang til delte systemressurser.

Obs!

Denne innstillingen påvirker ikke interaktive pålogginger som utføres eksternt ved hjelp av tjenester som Telnet eller Eksterne skrivebordstjenester

Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.

Denne policyen vil ikke ha noen innvirkning på datamaskiner som kjører Windows 2000.
Når datamaskinen ikke er med i et domene, endrer denne innstillingen også kategorien Deling og sikkerhet i Filutforsker slik at den samsvarer med modellen for deling og sikkerhet som er i bruk.

Network access: Sharing and security model for local accounts

This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource.
If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify.

Default on domain computers: Classic.
Default on stand-alone computers: Guest only

Important

With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources.

Note:

This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services

Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

This policy will have no impact on computers running Windows 2000.
When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used.

2012Nettverkssikkerhet: Ikke lagre hash-kode for LAN Manager ved neste passordendring

Denne sikkerhetsinnstillingen bestemmer om hash-koden for LAN Manager (LM) for det nye passordet skal lagres ved neste passordendring. Hash-koden for LM er relativt svak og angrepsutsatt sammenlignet med den kryptografisk mer robuste hash-koden for Windows NT. Fordi LM-koden lagres på den lokale datamaskinen i sikkerhetsdatabasen, kan passordsikkerheten være i fare hvis sikkerhetsdatabasen utsettes for angrep.


Standard på Windows Vista og senere: Aktivert
Standard på Windows XP: Deaktivert

Viktig!

Windows 2000 Service Pack 2 (SP2) og senere har kompatibilitet med godkjenning i tidligere versjoner av Windows, som for eksempel Microsoft Windows NT 4.0.
Denne innstillingen kan ha innvirkning på om datamaskiner som kjører Windows 2000 Server, Windows 2000 Professional, Windows XP og Windows Server 2003-serien, kan kommunisere med datamaskiner som kjører Windows 95 og Windows 98.

Network security: Do not store LAN Manager hash value on next password change

This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked.


Default on Windows Vista and above: Enabled
Default on Windows XP: Disabled.

Important

Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0.
This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98.

2013Nettverkssikkerhet: Fremtving avlogging når påloggingstiden utløper

Denne sikkerhetsinnstillingen bestemmer om brukere skal kobles fra hvis de er tilkoblet den lokale datamaskinen utenfor gyldig påloggingstid for brukerkontoen. Denne innstillingen påvirker SMB-komponenten (Server Message Block).

Når denne policyen er aktivert, fremtvinger den frakobling av klientøkter mot SMB-serveren når klientens påloggingstid utløper.

Hvis denne policyen er deaktivert, tillates en klientøkt opprettholdt etter at klientens påloggingstid er utløpt.

Standard: Aktivert.

Obs! Denne sikkerhetsinnstillingen fungerer som en kontopolicy. En domenekonto kan bare ha én kontopolicy. Kontopolicyen må defineres som standard domenepolicy og blir håndhevet av domenekontrollene som utgjør domenet. En domenekontroller henter alltid kontopolicyen fra gruppepolicyobjektet (GPO) for standard domenepolicy selv om det brukes en annen kontopolicy på organisasjonsenheten som inneholder domenekontrolleren. Som standard mottar arbeidsstasjoner og servere som er med i et domene, også samme kontopolicy for sine lokale kontoer. Lokale kontopolicyer for medlemsdatamaskiner i domenet kan imidlertid skille seg fra domenekontopolicyen ved at de definerer en kontopolicy for organisasjonsenheten som inneholder medlemsdatamaskinene. Kerberos-innstillinger brukes ikke på medlemsdatamaskiner.

Network security: Force logoff when logon hours expire

This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component.

When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire.

If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired.

Default: Enabled.

Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers.

2014Nettverkssikkerhet: LAN Manager-godkjenningsnivå

Denne sikkerhetsinnstillingen bestemmer hvilken godkjenningsprotokoll med forespørsel/svar som skal brukes for nettverkspålogging. Dette valget påvirker nivået på godkjenningsprotokollen som brukes av klienter, nivået på øktsikkerheten som fremforhandles og godkjenningsnivået som godtas av serverne, på denne måten:

Send LM- og NTLM-svar: Klienter bruker LM- og NTLM-godkjenning og bruker aldri NTLMv2-øktsikkerhet; domenekontrollere godtar LM- og NTLM- og NTLMv2-godkjenning.

Send LM og NTLM - bruk NTLMv2-øktsikkerhet hvis forhandlet: Klienter bruker LM- og NTLM-godkjenning og bruker NTLMv2-øktsikkerhet hvis serveren støtter det; domenekontrollere godtar LM- og NTLM- og NTLMv2-godkjenning.

Bare send NTLM-svar: Klienter bruker bare NTLM-godkjenning og bruker NTLMv2-øktsikkerhet hvis serveren støtter det; domenekontrollere godtar LM- og NTLM- og NTLMv2-godkjenning.

Bare send NTLMv2-svar: Klienter bruker bare NTLMv2-godkjenning og bruker NTLMv2-øktsikkerhet hvis serveren støtter det; domenekontrollere godtar LM- og NTLM- og NTLMv2-godkjenning.

Bare send NTLMv2-svar / nekt LM: Klienter bruker bare NTLMv2-godkjenning og bruker NTLMv2-øktsikkerhet hvis serveren støtter det; domenekontrollere nekter LM-godkjenning (godtar bare NTLM- og NTLMv2-godkjenning).

Bare send NTLMv2-svar / nekt LM og NTLM: Klienter bruker bare NTLMv2-godkjenning og bruker NTLMv2-øktsikkerhet hvis serveren støtter det; domenekontrollere nekter LM- og NTLM-godkjenning (godtar bare NTLMv2-godkjenning).

Viktig!

Denne innstillingen kan ha innvirkning på om datamaskiner som kjører Windows 2000 Server, Windows 2000 Professional, Windows XP Professional og Windows Server 2003-familien kan kommunisere over nettverket med datamaskiner som kjører Windows NT 4.0 og tidligere. Da dette ble skrevet var det for eksempel ikke støtte for NTLMv2 på datamaskiner som kjørte Windows NT 4.0 SP4 og tidligere. Det var ikke støtte for NTLM på datamaskiner som kjørte Windows 95 og Windows 98.

Standard:

Windows 2000 og Windows XP: Send LM- og NTLM-svar på server

Windows Server 2003: Bare send NTLM-respons

Windows Vista og Longhorn-servere: Bare send NTLMv2-respons

Network security: LAN Manager authentication level

This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows:

Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication.

Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication).

Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication).

Important

This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM.

Default:

Windows 2000 and windows XP: send LM & NTLM responses

Windows Server 2003: Send NTLM response only

Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only

2015Nettverkssikkerhet: Krav til signering for LDAP-klient

Denne sikkerhetsinnstillingen bestemmer hvilket nivå av datasignering som blir forespurt på vegne av klienter som sender LDAP BIND-forespørsler, på denne måten:

Ingen: LDAP BIND-forespørselen sendes med alternativer som angis av avsenderen.
Forhandle om signering: Hvis TLS/SSL (Transport Layer Security/Secure Sockets Layer) ikke er startet, initieres LDAP BIND-forespørselen med LDAP-alternativet for datasignering i tillegg til alternativene som angis av avsenderen. Hvis TLS/SSL er startet, initieres LDAP BIND-forespørselen med alternativene som angis av avsenderen.
Krever signatur: Dette er det samme som Forhandle om signering. Hvis imidlertid LDAP-serverens mellomliggende saslBindInProgress-svar ikke angir at LDAP-trafikksignering er påkrevd, blir avsenderen fortalt at forespørselen om LDAP BIND-kommandoen mislyktes.

Forsiktig!

Hvis du angir at serveren skal kreve signatur, må du også konfigurere klienten. Hvis du ikke konfigurerer klienten, fører det til at koblingen til serveren brytes.

Obs! Denne innstillingen har ingen innvirkning på ldap_simple_bind or ldap_simple_bind_s. Ingen av Microsoft LDAP-klientene som fulgte med Windows XP Professional bruker ldap_simple_bind or ldap_simple_bind_s til å kommunisere med en domenekontroller.

Standard: Forhandle om signering.

Network security: LDAP client signing requirements

This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows:

None: The LDAP BIND request is issued with the options that are specified by the caller.
Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller.
Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed.

Caution

If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server.

Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller.

Default: Negotiate signing.

2016Nettverkssikkerhet: Minimum øktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) klienter

Denne sikkerhetsinnstillingen lar klienter kreve forhandling av 128-biters kryptering eller NTLMv2-øktsikkerhet. Disse verdiene avhenger av sikkerhetsinnstillingen for LAN Manager-godkjenningsnivå. Følgende alternativer finnes:

Krev NTLMv2-øktsikkerhet: Tilkoblingen blir brutt hvis det ikke blir forhandlet om NTLMv2-protokoll.
Krev 128-biters kryptering: Tilkoblingen blir brutt hvis det ikke blir forhandlet om sterk (128-biters) kryptering.

Standard:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 og Windows Server 2008: Ingen krav.

Windows 7 og Windows Server 2008 R2: Krev 128-biters kryptering

Network security: Minimum session security for NTLM SSP based (including secure RPC) clients

This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated.
Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2017Nettverkssikkerhet: Minimum øktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) servere

Denne sikkerhetsinnstillingen lar servere kreve forhandling av 128-biters kryptering eller NTLMv2-øktsikkerhet. Disse verdiene avhenger av sikkerhetsinnstillingen for LAN Manager-godkjenningsnivå. Følgende alternativer finnes:

Krev NTLMv2-øktsikkerhet: Tilkoblingen blir brutt hvis det ikke blir forhandlet om meldingsintegritet.
Krev 128-biters kryptering: Tilkoblingen blir brutt hvis det ikke blir forhandlet om sterk (128-biters) kryptering.

Standard:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 og Windows Server 2008: Ingen krav.

Windows 7 og Windows Server 2008 R2: Krev 128-biters kryptering

Network security: Minimum session security for NTLM SSP based (including secure RPC) servers

This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are:

Require NTLMv2 session security: The connection will fail if message integrity is not negotiated.
Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated.

Default:

Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements.

Windows 7 and Windows Server 2008 R2: Require 128-bit encryption

2018Gjenopprettingskonsoll: Tillat automatisk administrativ pålogging

Denne sikkerhetsinnstillingen bestemmer om passordet for administratorkontoen må oppgis før det blir gitt tilgang til systemet. Hvis alternativet er aktivert, krever ikke gjenopprettingskonsollen at du oppgir et passord, og logger automatisk på systemet.

Standard: Denne policyen er ikke definert, og automatisk administrativ pålogging er ikke tillatt.

Recovery console: Allow automatic administrative logon

This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system.

Default: This policy is not defined and automatic administrative logon is not allowed.

2019Gjenopprettingskonsoll: Tillat kopiering til diskett og tilgang til alle stasjoner og mapper

Aktivering av dette sikkerhetsalternativet gjør SET-kommandoen tilgjengelig i gjenopprettingskonsollen, slik at du kan angi følgende miljøvariabler for denne:

AllowWildCards: Aktiver støtte for jokertegn for noen kommandoer (for eksempel DEL-kommandoen).
AllowAllPaths: Tillat tilgang til alle filer og mapper på datamaskinen.
AllowRemovableMedia: Tillat at filer kopieres til flyttbare medier, for eksempel disketter.
NoCopyPrompt: Ikke vis melding når en eksisterende fil blir overskrevet.

Standard: Denne policyen er ikke definert, og SET-kommandoen i gjenopprettingskonsollen er ikke tilgjengelig.

Recovery console: Allow floppy copy and access to all drives and all folders

Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables:

AllowWildCards: Enable wildcard support for some commands (such as the DEL command).
AllowAllPaths: Allow access to all files and folders on the computer.
AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk.
NoCopyPrompt: Do not prompt when overwriting an existing file.

Default: This policy is not defined and the recover console SET command is not available.

2020Avslutt: Tillat at systemet avsluttes uten pålogging

Denne sikkerhetsinnstillingen bestemmer om en datamaskin kan slås av uten at det kreves en Windows-pålogging.

Når denne policyen er aktivert, er Avslutt-kommandoen tilgjengelig i påloggingsskjermbildet for Windows.

Når policyen er deaktivert, vises det ikke noe alternativ for å slå av datamaskinen i påloggingsskjermbildet for Windows. Hvis dette er tilfelle, må brukere være i stand til å logge på datamaskinen og må ha brukerrettigheten Slå av systemet før de kan utføre en systemavslutning.

Standard på arbeidsstasjoner: Aktivert
Standard på servere: Deaktivert

Shutdown: Allow system to be shut down without having to log on

This security setting determines whether a computer can be shut down without having to log on to Windows.

When this policy is enabled, the Shut Down command is available on the Windows logon screen.

When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown.

Default on workstations: Enabled.
Default on servers: Disabled.

2021Avslutt: Tøm sidevekslingsfilen for virtuelt minne

Denne sikkerhetsinnstillingen bestemmer om sidevekslingsfilen for virtuelt minne skal tømmes når datamaskinen slås av.

Ved støtte for virtuelt minne brukes en sidevekslingsfil for systemet til å skrive minnesider til disk når de ikke er i bruk. På et system som kjører, er denne sidevekslingsfilen åpnet eksklusivt av operativsystemet, og den er godt beskyttet. På systemer som er konfigurert til å tillate oppstart til andre operativsystemer, kan det imidlertid være nødvendig å sikre at sidevekslingsfilen for systemet tømmes helt når gjeldende system avsluttes. Dette sikrer at sensitive opplysninger fra prosessminnet, som kunne være lagret i sidevekslingsfilen, ikke er tilgjengelig for en uautorisert bruker som klarer å få tilgang til sidevekslingsfilen direkte.

Når denne policyen er aktivert, fører den til at sidevekslingsfilen for systemet tømmes når det foretas en korrekt systemavslutning. Hvis du aktiverer dette sikkerhetsalternativet, blir også dvalemodusfilen (Hiberfil.sys) nullet ut når dvalemodus avsluttes.

Standard: Deaktivert.

Shutdown: Clear virtual memory pagefile

This security setting determines whether the virtual memory pagefile is cleared when the system is shut down.

Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile.

When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled.

Default: Disabled.

2022Systemkryptografi: Fremtving sterk nøkkelbeskyttelse for brukernøkler lagret på datamaskinen

Denne sikkerhetsinnstillingen bestemmer om det kreves bruk av passord for brukernes privatnøkler.

Følgende alternativer finnes:

Brukerinndata kreves ikke når nye nøkler lagres og brukes
Brukeren blir spurt når nøkkelen brukes første gang
Brukeren må oppgi et passord hver gang en nøkkel brukes
Se Infrastruktur for fellesnøkkel (PKI) for mer informasjon.

Standard: Denne policyen er ikke definert.

System Cryptography: Force strong key protection for user keys stored on the computer

This security setting determines if users' private keys require a password to be used.

The options are:

User input is not required when new keys are stored and used
User is prompted when the key is first used
User must enter a password each time they use a key
For more information, see Public key infrastructure.

Default: This policy is not defined.

2023Systemkryptografi: Bruk FIPS 140-kompatible kryptografiske algoritmer, inkludert algoritmer for kryptering, hash-koding og signering.

For SSPen (Security Service Provider) SChannel deaktiverer denne sikkerhetsinnstillingen de svakeste SSL-protokollene (Secure Sockets Layer) og støtter bare TLS-protokollene (Transport Layer Security) som en klient og som en server (hvis relevant). Hvis denne innstillingen er aktivert, bruker sikkerhetsleverandøren TLS/SSL (Transport Layer Security / Secure Sockets Layer) bare de FIPS 140-godkjente kryptografiske algoritmene: 3DES og AES for kryptering, RSA eller ECC fellesnøkkelkryptografi for TLS-nøkkelutveksling og -godkjenning og bare SHA1, SHA256, SHA384 og SHA512 (Secure Hashing Algorithm) for TLS-kravene til hash-koding.

For EFS-tjenesten (Encrypting File System) støtter den bare krypteringsalgoritmene Trippel DES og AES (Advanced Encryption Standard) for kryptering av fildata som støttes av NTFS-filsystemet. Til kryptering av fildata bruker EFS som standard AES-algoritmen (Advanced Encryption Standard) med en 256-biters nøkkel i Windows Server 2003- og Windows Vista-serien og DESX-algoritmen i Windows XP. Se Encrypting File System for å få mer informasjon om EFS.

For Eksterne skrivebordstjenester støtter den bare krypteringsalgoritmen Trippel DES for kryptering av nettverkskommunikasjon for Eksterne skrivebordstjenester.

Obs! Eksterne skrivebordstjenester het Terminal Services i tidligere versjoner av Windows Server.

For BitLocker må denne policyen aktiveres før en krypteringsnøkkel genereres. Gjenopprettingspassord som opprettes når denne policyen er aktivert, er ikke kompatible med BitLocker i Windows 8, Windows Server 2012 og tidligere operativsystemer. Hvis denne policyen brukes på datamaskiner som kjører eldre operativsystemer enn Windows 8.1 og Windows Server 2012 R2, hindrer BitLocker oppretting eller bruk av gjenopprettingspassord. Bruk gjenopprettingsnøkler for disse datamaskinene i stedet.

Standard: Deaktivert.

Obs! FIPS 140 (Federal Information Processing Standard) er en sikkerhetsstandard som er utviklet for sertifisering av kryptografisk programvare. FIPS 140-validert programvare kreves av de amerikanske myndighetene og blir bedt om av andre fremtredende institusjoner.

System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms

For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements.

For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System.

For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication.

Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.

For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead.

Default: Disabled.

Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions.

2024Systemobjekter: Standardeier for objekter opprettet av medlemmer av gruppen Administratorer
Beskrivelse
Denne sikkerhetsinnstillingen fastsetter hvilken sikkerhetskontoinnehaver (SID) som vil få tilordnet eierskap for objekter når objektet opprettes av et medlem av gruppen Administratorer.
Standard:
Windows XP: Bruker-SID
Windows 2003: Administratorer-gruppe
System objects: Default owner for objects created by members of the Administrators group
Description
This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group.
Default:
Windows XP: User SID
Windows 2003 : Administrators Group
2025Systemobjekter: Krev at det ikke skilles mellom store og små bokstaver for delsystemer som ikke er Windows

Denne sikkerhetsinnstillingen bestemmer om det ikke skal skilles mellom store og små bokstaver på noen delsystemer. Det skilles ikke mellom store og små bokstaver i Win32-delsystemet. Kjernen støtter imidlertid at det skilles mellom store og små bokstaver i andre delsystemer, for eksempel POSIX.

Hvis denne innstillingen er aktivert, skilles det ikke mellom store og små bokstaver i katalogobjekter, symbolske koblinger og I/U-objekter, inkludert filobjekter. Selv om denne innstillingen deaktiveres, skilles det ikke mellom store og små bokstaver i Win32-delsystemet.

Standard: Aktivert.

System objects: Require case insensitivity for non-Windows subsystems

This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX.

If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive.

Default: Enabled.

2026Systemobjekter: Stram inn standardtillatelser til interne systemobjekter (for eksempel symbolske koblinger)

Denne sikkerhetsinnstillingen bestemmer styrken på standardlisten over detaljert tilgangskontroll (DACL - Discretionary Access Control List) for objekter.

Active Directory fører en global liste over delte systemressurser, for eksempel DOS-enhetsnavn, mutexer og semaforer. På denne måten kan objekter finnes og deles mellom prosesser. Hver objekttype opprettes med en standard DACL som angir hvem som har tilgang til objektene og hvilke tillatelser som er gitt.

Hvis denne policyen er aktivert, er standard DACL sterkere, og tillater at brukere som ikke er administratorer kan lese delte objekter, men tillater dem ikke å endre delte objekter de ikke selv har opprettet.

Standard: Aktivert.

System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links)

This security setting determines the strength of the default discretionary access control list (DACL) for objects.

Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted.

If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create.

Default: Enabled.

2027Systeminnstillinger: Valgfrie delsystemer

Denne sikkerhetsinnstillingen bestemmer hvilke delsystemer som valgfritt kan startes opp som støtte for programmene. Med denne sikkerhetsinnstillingen kan du definere så mange delsystemer som støtte for programmene som miljøet krever.

Standard: POSIX.

System settings: Optional subsystems

This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands.

Default: POSIX.

2028Systeminnstillinger: Bruk sertifikatregler på filer som kan kjøres i Windows for programvarebegrensningspolicyer

Denne sikkerhetsinnstillingen bestemmer om digitale sertifikater behandles når en bruker eller prosess forsøker å kjøre programvare med filtypen EXE. Denne sikkerhetsinnstillingen brukes til å aktivere eller deaktivere sertifikatregler, en regeltype for programvarebegrensningspolicyer. Med programvarebegrensningspolicyer kan du opprette en sertifikatregel som tillater eller ikke tillater kjøring av Authenticode-klarert programvare, basert på det digitale sertifikatet som er tilknyttet programvaren. Du må aktivere denne sikkerhetsinnstillingen for at sertifikatregler skal tre i kraft.

Når sertifikatregler er aktivert, vil programvarebegrensningspolicyer kontrollere en sertifikatopphevelsesliste for å sikre at programvaresertifikatet og -signaturen er gyldig. Dette kan gå ut over ytelsen ved start av signerte programmer. Du kan deaktivere denne funksjonen. Fjern merket for Utgiver og Tidsstempel i egenskapsarket for Klarerte utgivere for mer informasjon. Se Angi policyalternativer (authenticode) for klarerte utgivere for mer informasjon.

Standard: Deaktivert.

System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies

This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting.

When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options.

Default: Disabled.

2029Maksimal størrelse på programlogg

Denne sikkerhetsinnstillingen angir den maksimale størrelsen på programhendelsesloggen, som har en teoretisk maksimal størrelse på 4 GB. Rent praktisk er grensen lavere (~300MB).

Obs!

Loggfilstørrelsen må være et intervall i trinn på 64 kB. Hvis du skriver inn en verdi som ikke er delelig med 64 kB, runder hendelseslisten loggfilstørrelsen opp til nærmeste 64 kB-intervall.
Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.
Størrelsen på hendelsesloggen og overskriving av hendelser bør defineres slik at de tilsvarer forretnings- og sikkerhetskravene du valgte da du utformet sikkerhetsplanen for organisasjonen. Du bør vurdere å implementere disse hendelseslogginnstillingene på område-, domene- eller organisasjonsenhetsnivået, slik at du drar nytte av gruppepolicyinnstillinger.
Standard: For Windows Server 2003-familien, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 kB.

Maximum application log size

This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2030Maksimal størrelse på sikkerhetslogg

Denne sikkerhetsinnstillingen angir den maksimale størrelsen på sikkerhetshendelsesloggen, som har en teoretisk maksimal størrelse på 4 GB. Rent praktisk er grensen lavere (~300MB).

Obs!

Loggfilstørrelsen må være et intervall i trinn på 64 kB. Hvis du skriver inn en verdi som ikke er delelig med 64 kB, runder hendelseslisten loggfilstørrelsen opp til nærmeste 64 kB-intervall.
Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.
Størrelsen på hendelsesloggen og overskriving av hendelser bør defineres slik at de tilsvarer forretnings- og sikkerhetskravene du valgte da du utformet sikkerhetsplanen for organisasjonen. Du bør vurdere å implementere disse hendelseslogginnstillingene på område-, domene- eller organisasjonsenhetsnivået, slik at du drar nytte av gruppepolicyinnstillinger.
Standard: For Windows Server 2003-familien, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 kB.

Maximum security log size

This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2031Maksimal størrelse på systemlogg

Denne sikkerhetsinnstillingen angir den maksimale størrelsen på systemhendelsesloggen, som har en teoretisk maksimal størrelse på 4 GB. Rent praktisk er grensen lavere (~300MB).

Obs!

Loggfilstørrelsen må være et intervall i trinn på 64 kB. Hvis du skriver inn en verdi som ikke er delelig med 64 kB, runder hendelseslisten loggfilstørrelsen opp til nærmeste 64 kB-intervall.
Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.
Størrelsen på hendelsesloggen og overskriving av hendelser bør defineres slik at de tilsvarer forretnings- og sikkerhetskravene du valgte da du utformet sikkerhetsplanen for organisasjonen. Du bør vurdere å implementere disse hendelseslogginnstillingene på område-, domene- eller organisasjonsenhetsnivået, slik at du drar nytte av gruppepolicyinnstillinger.
Standard: For Windows Server 2003-familien, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 kB.

Maximum system log size

This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB).

Notes

Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB.
This setting does not appear in the Local Computer Policy object.
Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings.
Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.

2032Hindre lokale gjestegrupper og brukere med anonym pålogging i å få tilgang til programloggen

Denne sikkerhetsinnstillingen bestemmer om gjester skal forhindres i å få tilgang til programhendelsesloggen.

Obs!

Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.

Denne innstillingen påvirker bare datamaskiner som kjører Windows 2000 og Windows XP.

Standard: Aktivert for Windows XP, Deaktivert for Windows 2000
Prevent local guests group and ANONYMOUS LOGIN users from accessing application log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2033Hindre lokale gjestegrupper og brukere med anonym pålogging i å få tilgang til sikkerhetsloggen

Denne sikkerhetsinnstillingen bestemmer om gjester skal forhindres i å få tilgang til sikkerhetshendelsesloggen.

Obs!

Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.

Denne innstillingen påvirker bare datamaskiner som kjører Windows 2000 og Windows XP.

Standard: Aktivert for Windows XP, Deaktivert for Windows 2000
Prevent local guests group and ANONYMOUS LOGIN users from accessing security log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2034Hindre lokale gjestegrupper og brukere med anonym pålogging i å få tilgang til systemloggen

Denne sikkerhetsinnstillingen bestemmer om gjester skal forhindres i å få tilgang til systemhendelsesloggen.

Obs!

Denne innstillingen vises ikke i policyobjektet for den lokale datamaskinen.

Denne innstillingen påvirker bare datamaskiner som kjører Windows 2000 og Windows XP.

Standard: Aktivert for Windows XP, Deaktivert for Windows 2000
Prevent local guests group and ANONYMOUS LOGIN users from accessing system log

This security setting determines if guests are prevented from accessing the application event log.

Notes

This setting does not appear in the Local Computer Policy object.

This security setting affects only computers running Windows 2000 and Windows XP.

Default: Enabled for Windows XP, Disabled for Windows 2000
2035Oppbevar programlogg

Denne sikkerhetsinnstillingen avgjør hvor mange dager programloggen skal oppbevares.

Angi denne verdien bare hvis du arkiverer loggen ved planlagte intervaller og sørger for at maksimum programloggstørrelse er stor nok.

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.
Standard: Ingen.

Retain application log

This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2036Oppbevar sikkerhetslogg

Denne sikkerhetsinnstillingen avgjør hvor mange dager sikkerhetsloggen skal oppbevares.

Angi denne verdien bare hvis du arkiverer loggen ved planlagte intervaller og sørger for at maksimum sikkerhetsloggstørrelse er stor nok.

Obs!
Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.
En bruker må ha brukerrettigheten Behandle overvåking og sikkerhetslogg for å få tilgang til sikkerhetsloggen.
Standard: Ingen.

Retain security log

This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval.

Notes
This setting does not appear in the Local Computer Policy object.
A user must possess the Manage auditing and security log user right to access the security log.
Default: None.

2037Oppbevar systemlogg

Denne sikkerhetsinnstillingen avgjør hvor mange dager systemloggen skal oppbevares.

Angi denne verdien bare hvis du arkiverer loggen ved planlagte intervaller og sørger for at maksimum systemloggstørrelse er stor nok.

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.
Standard: Ingen.

Retain system log

This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days.

Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval.

Note: This setting does not appear in the Local Computer Policy object.
Default: None.

2038Oppbevaringsmetode for programlogg

Denne sikkerhetsinnstillingen avgjør hvordan informasjonen lagres i programloggen.

Hvis du ikke arkiverer programloggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter behov.

Hvis du arkiverer loggen ved planlagte intervaller, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter dager. Angi deretter antall dager i innstillingene for Oppbevar programlogg. Pass på at Maksimal størrelse på programlogg er stor nok til å få plass til intervallet.

Hvis du må oppbevare alle hendelser i loggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Ikke skriv over hendelser (tøm logg manuelt). Dette valget krever at loggen tømmes manuelt. Når maksimal loggstørrelse er nådd, blir ikke nye hendelser lagret.

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

Standard: Ingen.

Retention method for application log

This security setting determines the "wrapping" method for the application log.

If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Note: This setting does not appear in the Local Computer Policy object.

Default: None.

2039Oppbevaringsmetode for sikkerhetslogg

Denne sikkerhetsinnstillingen avgjør hvordan informasjonen lagres i sikkerhetsloggen.

Hvis du ikke arkiverer sikkerhetsloggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter behov.

Hvis du arkiverer loggen ved planlagte intervaller, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter dager. Angi deretter antall dager i innstillingene for Oppbevar sikkerhetslogg. Pass på at Maksimal størrelse på sikkerhetslogg er stor nok til å få plass til intervallet.

Hvis du må oppbevare alle hendelser i loggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Ikke skriv over hendelser (tøm logg manuelt). Dette valget krever at loggen tømmes manuelt. Når maksimal loggstørrelse er nådd, blir ikke nye hendelser lagret.

Obs!

Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

En bruker må ha brukerrettigheten Behandle overvåking og sikkerhetslogg for å få tilgang til sikkerhetsloggen.

Standard: Ingen.
Retention method for security log

This security setting determines the "wrapping" method for the security log.

If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval.

If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded.

Notes

This setting does not appear in the Local Computer Policy object.

A user must possess the Manage auditing and security log user right to access the security log.

Default: None.
2040Oppbevaringsmetode for systemlogg

Denne sikkerhetsinnstillingen avgjør hvordan informasjonen lagres i systemloggen.

Hvis du ikke arkiverer systemloggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter behov.

Hvis du arkiverer loggen ved planlagte intervaller, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Skriv over hendelser etter dager. Angi deretter antall dager i innstillingene for Oppbevar systemlogg. Pass på at Maksimal størrelse på systemlogg er stor nok til å få plass til intervallet.

Hvis du må beholde alle hendelser i loggen, velger du avmerkingsboksen Definer denne policyinnstillingen i dialogboksen Egenskaper, og klikker Ikke skriv over hendelser (tøm logg manuelt). Dette valget krever at loggen tømmes manuelt. Når maksimal loggstørrelse er nådd, blir ikke nye hendelser lagret.

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

Standard: Ingen.
Retention method for system log

This security setting determines the "wrapping" method for the system log.

If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed.

If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval

.If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded

Note: This setting does not appear in the Local Computer Policy object.

Default: None.
2041Begrensede grupper

Med denne sikkerhetsinnstillingen kan administrator definere to egenskaper for sikkerhetsfølsomme grupper (begrensede grupper).

De to egenskapene er Medlemmer og Medlem av. Listen Medlemmer definerer hvem som hører med eller ikke i den begrensede gruppen. Listen Medlem av angir hvilke andre grupper den begrensede gruppen hører til.

Når en policy for begrensede grupper fremtvinges, fjernes de medlemmene av begrensede grupper som ikke er på listen Medlemmer. Brukere på listen Medlemmer som ikke er medlem av den begrensede gruppen, legges til.

Du kan bruke policyen for Begrensede grupper til å kontrollere gruppemedlemskap. Du kan bruke policyen til å angi hvilke medlemmer som skal være del av en gruppe. Medlemmer som ikke er angitt i policyen, fjernes ved konfigurering eller oppdatering. I tillegg sørger den omvendte medlemskapskonfigurasjonen for at hver begrenset gruppe er medlem bare av de gruppene som er oppført i kolonnen Medlem av.

Du kan for eksempel opprette en policy for begrensede grupper slik at bare bestemte brukere (f.eks. Anne og Lars) kan være medlemmer av gruppen Administratorer. Når policyen oppdateres, er det bare Anne og Lars som blir igjen som medlemmer i gruppen Administratorer.

Policyen Begrensede grupper kan brukes på følgende to måter:

Policyen defineres i en sikkerhetsmal som brukes under konfigurasjonen på den lokale datamaskinen.
Innstillingen defineres på et gruppepolicyobjekt (GPO) direkte, slik at policyen trer i kraft hver gang den oppdateres. Sikkerhetsinnstillingene oppdateres hvert 90. minutt på en arbeidsstasjon eller server og hvert 5. minutt på en domenekontroller. Innstillingene oppdateres også hver 16. time enten det har vært endringer eller ikke.
Standard: Ingen angitt.

Forsiktig!

Hvis en policy for Begrensede grupper er definert og gruppepolicy oppdateres, fjernes medlemmer som ikke står på medlemslisten for policyen Begrensede grupper. Dette kan inkludere standardmedlemmer som for eksempel administratorer.

Obs!

Begrensede grupper skal brukes primært til å konfigurere medlemskap i lokale grupper på arbeidsstasjons- eller medlemsservere.
En tom Medlemmer-liste betyr at den begrensede gruppen ikke har noen medlemmer. En tom Medlem av-liste betyr at gruppene som den begrensede gruppen tilhører, ikke er angitt.

Restricted Groups

This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups).

The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to.

When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added.

You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column.

For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group.

There are two ways to apply Restricted Groups policy:

Define the policy in a security template, which will be applied during configuration on your local computer.
Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes.
Default: None specified.

Caution

If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators.

Notes

Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers.
An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified.

2042Sikkerhetsinnstillinger for systemtjenester

Med disse innstillingene kan administrator definere oppstartsmodus (manuell, automatisk eller deaktivert) og tilgangstillatelser (start, stopp eller pause) for alle systemtjenester.

Standard: Ikke definert

Obs!

Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.
Hvis du angir Automatisk for oppstart av systemtjenester, bør du utføre tester for å kontrollere at tjenestene kan startes uten brukerinngrep.
For best ytelse bør unødvendige eller ubrukte tjenester settes til Manuell.

System Services security settings

Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services.

Default: Undefined.

Notes

This setting does not appear in the Local Computer Policy object.
If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention.
For performance optimization, set unnecessary or unused services to Manual.

2043Innstillinger for registersikkerhet

Med disse innstillingene kan administrator ved hjelp av Sikkerhetskonfigurasjonsbehandling definere tilgangstillatelser (lister for detaljert tilgangskontroll (DACL)) og overvåkingsinnstillinger (lister for systemtilgangskontroll (SACL)) for registernøkler.

Standard: Ikke definert

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.

Registry security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.

2044Innstillinger for filsystemsikkerhet

Med disse innstillingene kan administrator ved hjelp av Sikkerhetskonfigurasjonsbehandling definere tilgangstillatelser (lister for detaljert tilgangskontroll (DACL)) og overvåkingsinnstillinger (lister for systemtilgangskontroll (SACL)) for systemobjekter.

Standard: Ikke definert

Obs! Denne innstillingen vises ikke i den lokale datamaskinens policyobjekt.
File System security settings

Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager.

Default: Undefined.

Note: This setting does not appear in the Local Computer Policy object.
2045Overvåk: Fremtving underkategoriinnstillinger for overvåkingspolicy (Windows Vista eller senere) for å overstyre kategoriinnstillinger for overvåkingspolicy

Windows Vista og senere versjoner av Windows tillater at overvåkingspolicy behandles på en mer nøyaktig måte ved hjelp av underkategorier for overvåkingspolicy. Hvis overvåkingspolicy angis på kategorinivå, overstyres den nye overvåkingspolicyfunksjonen for underkategorien. Gruppepolicy tillater bare at overvåkingspolicy angis på kategorinivå, og eksisterende gruppepolicy kan overstyre innstillingene for underkategori for nye maskiner når de blir slått sammen med domenet eller oppgradert til Windows Vista eller senere versjoner. Hvis du vil tillate at overvåkingspolicy behandles ved hjelp av underkategorier uten at det kreves en endring i Gruppepolicy, finnes det en ny registerverdi i Windows Vista og senere versjoner, SCENoApplyLegacyAuditPolicy, som hindrer bruk av overvåkingspolicy på kategorinivå fra Gruppepolicy og fra det administrative verktøyet Lokal sikkerhetspolicy.

Hvis overvåkingspolicyen på kategorinivå som er angitt her, ikke samsvarer med hendelsene som for øyeblikket genereres, kan årsaken være at denne registernøkkelen er angitt.

Standard: Aktivert
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool.

If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set.

Default: Enabled
2046Brukerkontokontroll: Modus for administratorgodkjenning for den innebygde Administrator-kontoen

Denne sikkerhetsinnstillingen bestemmer virkemåten til administratorgodkjenningsmodus for den innebygde administratorkontoen.

Følgende alternativer finnes:

• Aktivert: Den innebygde administratoren bruker administratorgodkjenningsmodus. Alle operasjoner som krever rettighetsutvidelse, vil som standard be brukeren om å godkjenne operasjonen.

• Deaktivert (standard): Den innebygde administratorkontoen kjører alle programmer med full administratortilgang.
User Account Control: Use Admin Approval Mode for the built-in Administrator account

This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account.

The options are:

• Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation.

• Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege.
2047DCOM: Maskintilgangsbegrensninger i Security Descriptor Definition Language (SDDL)-syntaks

Denne policyinnstillingen bestemmer hvilke brukere eller grupper som skal få tilgang til DCOM-programmer eksternt eller lokalt. Innstillingen brukes til å kontrollere angrepsmulighetene på datamaskinen for DCOM-programmer.

Du kan bruke denne policyinnstillingen til å angi tilgangstillatelser til alle datamaskinene til bestemte brukere av DCOM-programmer i organisasjonen. Når du angir brukerne eller gruppene som skal få tillatelse, fylles sikkerhetsbeskrivelsesfeltet ut med SDDL-representasjonen for disse gruppene og tilgangene. Hvis du lar sikkerhetsbeskrivelsesfeltet være tomt, defineres policyinnstillingen i en mal, men den blir ikke gjennomført. Brukere og grupper kan tillates eller nektes tilgang eksplisitt for både lokal tilgang og ekstern tilgang.

Registerinnstillinger som opprettes når DCOM aktiveres: Policyinnstillingen Maskintilgangsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL) overstyrer (har høyere prioritet enn) de tidligere registerinnstillingene i dette området. Remote Procedure Call-tjenestene (RpcSs) kontrollerer de nye registernøklene i Policyer-seksjonen for datamaskinbegrensningene, og disse registeroppføringene overstyrer eksisterende registernøkler under OLE. Det betyr at registerinnstillinger som eksisterer fra før, ikke gjelder lenger, og hvis du endrer eksisterende innstillinger, endres ikke tilgangstillatelser til datamaskinen for brukerne. Vær oppmerksom når du konfigurer listen over brukere og grupper.

Mulige verdier for denne policyinnstillingen er følgende:

Tom. Dette representerer den lokale sikkerhetspolicyens metode for å slette nøkkelen for gjennomføring av policyen. Verdien sletter policyen og setter den deretter til statusen Ikke definert. Denne verdien angis ved å bruke redigeringsprogrammet for tilgangskontrollisten (ACL) og deretter trykke OK.

SDDL. Dette er SDDL-representasjonen (Security Descriptor Definition Language) for gruppene og tilgangene du angir når du aktiverer denne policyen.

Ikke definert. Dette er standardverdien.

Obs!
Hvis administratoren nektes tilgangstillatelse til DCOM-programmer på grunn av endringene som er gjort for DCOM i Windows, kan administratoren bruke policyinnstillingen DCOM: Maskintilgangsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL) til å behandle DCOM-tilgang til datamaskinen. Administratoren kan angi hvilke brukere og grupper som skal ha tilgang til DCOM-programmet på datamaskinen både lokalt og eksternt ved å bruke denne innstillingen. Det vil gjenopprette kontroll over DCOM-programmet for administratoren og brukerne. Dette gjør du ved å åpne DCOM: Maskintilgangsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL) og klikke Rediger Sikkerhet. Angi gruppene du vil inkludere og tilgangstillatelser for datamaskinen for disse gruppene. Det definerer innstillingen og angir riktig SDDL-verdi.



DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access.

The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups.

The possible values for this policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value.



2048DCOM: Maskinoppstartsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL)

Denne policyinnstillingen bestemmer hvilke brukere eller grupper som kan starte eller aktivere DCOM-programmer eksternt eller lokalt. Innstillingen brukes til å kontrollere angrepsmulighetene på datamaskinen for DCOM-programmer.

Du kan bruke denne innstillingen til å gi tilgang til alle datamaskinene til brukere av DCOM-programmer. Når du definerer denne innstillingen og angir brukerne eller gruppene som skal få tillatelse, fylles sikkerhetsbeskrivelsesfeltet ut med SDDL-representasjonen for disse gruppene og tilgangene. Hvis du lar sikkerhetsbeskrivelsesfeltet være tomt, defineres policyinnstillingen i en mal, men den blir ikke gjennomført. Brukere og grupper kan tillates eller nektes tilgang eksplisitt for lokal oppstart, ekstern oppstart, lokal aktivering og ekstern aktivering.

Registerinnstillingene som opprettes på grunn av denne policyen, overstyrer de tidligere registerinnstillingene i dette området. Remote Procedure Call-tjenestene (RpcSs) kontrollerer de nye registernøklene i Policyer-seksjonen for datamaskinbegrensningene. Disse oppføringene overstyrer eksisterende registernøkler under OLE.

Mulige verdier for denne gruppepolicyinnstillingen er følgende:

Tom. Dette representerer den lokale sikkerhetspolicyens måte å slette nøkkelen for gjennomføring av policyen på. Verdien sletter policyen og setter den deretter til statusen Ikke definert. Denne verdien angis ved å bruke redigeringsprogrammet for tilgangskontrollisten (ACL) og deretter trykke OK.

SDDL. Dette er SDDL-representasjonen (Security Descriptor Definition Language) for gruppene og tilgangene du angir når du aktiverer denne policyen.

Ikke definert. Dette er standardverdien.

Obs!
Hvis administratoren nektes tilgang til å aktivere og starte DCOM-programmer på grunn av endringene som er gjort for DCOM i denne versjonen av Windows, kan denne policyinnstillingen brukes til å kontrollere DCOM-aktivering og -oppstart på datamaskinen. Administratoren kan angi hvilke brukere og grupper som skal kunne starte og aktivere DCOM-programmer på datamaskinen både lokalt og eksternt ved å bruke policyinnstillingen DCOM: Maskinoppstartsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL). Det vil gjenopprette kontroll over DCOM-programmet for administratoren og angitte brukerne. Dette gjør du ved å åpne DCOM: Maskinoppstartsbegrensninger i Security Descriptor Definition Language-syntaks (SDDL) og klikke Rediger Sikkerhet. Angi gruppene du vil inkludere og oppstartstillatelser for datamaskinen for disse gruppene. Det definerer innstillingen og angir riktig SDDL-verdi.


DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax

This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications.

You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation.

The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE.

The possible values for this Group Policy setting are:

Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK.

SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy.

Not Defined: This is the default value.

Note
If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value.


2049Brukerkontokontroll: Virkemåte av utvidelsesforespørsel for administratorer i modus for administratorgodkjenning

Denne policyinnstillingen styrer virkemåten til utvidelsesforespørselen for administratorer.

Følgende alternativer finnes:

• Utvid uten å spørre: Gir privilegerte kontoer mulighet til å utføre en operasjon uten samtykke eller legitimasjon. Obs! Bruk dette alternativet bare i de mest begrensede miljøene.

• Be om legitimasjon på det sikre skrivebordet: Når en operasjon krever utvidelse av rettigheter, blir brukeren bedt om på det sikre skrivebordet å angi et privilegert brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med brukerens høyeste tilgjengelige rettigheter.

• Be om samtykke på det sikre skrivebordet: Når en operasjon krever utvidelse av rettigheter, blir brukeren bedt om på det sikre skrivebordet å velge enten Tillat eller Avslå. Hvis brukeren velger Tillat, fortsetter operasjonen med brukeres høyeste tilgjengelige rettigheter.

• Be om legitimasjon: Når en operasjon krever rettighetsutvidelse, blir brukeren bedt om å oppgi brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med den aktuelle tilgangen.

• Be om samtykke: Når en krever rettighetsutvidelse, blir brukeren bedt om å velge velge Tillat eller Avslå. Hvis brukeren velger Tillat, fortsetter operasjonen med brukerens høyest tilgjengelige tilgang.

• Be om samtykke for ikke-Windows-binære (standard): Når en operasjon for et ikke-Microsoft-program krever rettighetsutvidelse, blir brukeren bedt om på det sikre skrivebordet å velge enten Tillat eller Avslå. Hvis brukeren velger Tillat, fortsetter operasjonen med brukerens høyeste tilgjengelige rettigheter.

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

This policy setting controls the behavior of the elevation prompt for administrators.

The options are:

• Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege.

• Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

• Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.

2050Brukerkontokontroll: Virkemåte for utvidelsesforespørsel for vanlige brukere
Denne policyinnstillingen styrer virkemåten til utvidelsesforespørselen for standardbrukere.

Følgende alternativer finnes:

• Be om legitimasjon: Når en operasjon krever rettighetsutvidelse, blir brukeren bedt om å oppgi et administrativt brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med de aktuelle rettighetene.

• Nekt utvidelsesforespørsler automatisk: Når en operasjon krever rettighetsutvidelse, vises en konfigurerbar feilmelding om at tilgang er avvist. En organisasjon som kjører skrivebord som standardbrukere, kan velge denne innstillingen for å redusere forespørsler om brukerstøtte.

• Be om legitimasjon på det sikre skrivebordet (standard): Når en operasjon krever rettighetsutvidelse, blir brukeren bedt på det sikre skrivebordet om å angi et annet brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med den aktuelle rettigheten.

User Account Control: Behavior of the elevation prompt for standard users
This policy setting controls the behavior of the elevation prompt for standard users.

The options are:

• Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls.

• Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

2051Brukerkontokontroll: Oppdag programinstallasjoner og be om utvidelse

Denne policyinnstillingen styrer virkemåten til gjenkjenning av programinstallasjoner for datamaskinen.

Følgende alternativer finnes:

• Aktivert (standard): Når det oppdages en programinstallasjonspakke som krever rettighetsutvidelse, blir brukeren bedt om å angi et administrativt brukernavn og passord. Hvis brukeren angir gyldig legitimasjon, fortsetter operasjonen med den aktuelle rettigheten.

• Deaktivert: Programinstallasjonspakker blir ikke oppdaget, og det blir ikke bedt om utvidelse. Organisasjoner som kjører skrivebord for standardbrukere og bruker delegerte installasjonsteknologier som GPSI (Group Policy Software Install) eller SMS (Systems Management Server), bør deaktivere denne policyinnstillingen. I så fall er gjenkjennelse av installasjonsprogrammet unødvendig.

User Account Control: Detect application installations and prompt for elevation

This policy setting controls the behavior of application installation detection for the computer.

The options are:

• Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.

• Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary.

2052Brukerkontokontroll: Bare utvid kjørbare filer som er signert og validert

Denne policyinnstillingen vil fremtvinge PKI-signaturkontroller av alle interaktive programmer som ber om rettighetsutvidelse. Administratorer i organisasjoner kan kontrollere hvilke programmer som får lov til å kjøre, ved å legge til sertifikater i de lokale datamaskinenes lager for klarerte utgivere.

Følgende alternativer finnes:

• Aktivert: Fremtvinger PKI-sertifikatkjedevalidering for en gitt kjørbar fil før den tillates å kjøre.

• Deaktivert (standard): Fremtvinger ikke PKI-sertifikatkjedevalidering før en gitt kjørbar fil tillates å kjøre.

User Account Control: Only elevate executable files that are signed and validated

This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers.

The options are:

• Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run.

• Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run.

2053Brukerkontokontroll: Utvid bare for UIAccess-programmer som installeres på sikre plasseringer

Denne policyinnstillingen bestemmer om programmer som ber om å få kjøre med et UIAccess-integritetsnivå, må befinne seg på et sikkert sted i filsystemet. Sikre steder er begrenset til følgende kataloger:

- …\Programfiler\, inkludert underkataloger
- …\Windows\system32\
- …\Programfiler (x86)\, inkludert underkataloger for 64-biters versjoner av Windows

Obs! Det fremtvinges en PKI-signaturkontroll av alle interaktive programmer som ber om å få kjøre med et UIAccess-integritetsnivå, uavhengig av statusen til denne sikkerhetsinnstillingen.

Følgende alternativer finnes:

• Aktivert (standard): Et program starter med UIAccess-integritet bare hvis det befinner seg på et sikkert sted i filsystemet.

• Deaktivert: Et program starter med UIAccess-integritet selv om det ikke befinner seg på et sikkert sted i filsystemet.

User Account Control: Only elevate UIAccess applications that are installed in secure locations

This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following:

- …\Program Files\, including subfolders
- …\Windows\system32\
- …\Program Files (x86)\, including subfolders for 64-bit versions of Windows

Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting.

The options are:

• Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity.

• Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system.

2054Brukerkontokontroll: Slå på administratorgodkjenningsmodus

Denne policyinnstillingen styrer virkemåten til alle brukerkontrollpolicyer for datamaskinen. Hvis du endrer denne policyinnstillingen, må du starte datamaskinen på nytt.

Følgende alternativer finnes:

• Aktivert (standard): Administratorgodkjenningsmodus er aktivert. Denne policyen må aktiveres, og tilknyttede brukerkontrollpolicyer må også angis tilsvarende for å la den innebygde administratorkontoen og alle andre brukere som er medlemmer av administratorgruppe kjøre i administratorgodkjenningsmodus.

• Deaktivert: Administratorgodkjenningsmodus og alle relaterte brukerkontrollpolicyer er deaktivert. Obs! Hvis denne policyinnstillingen er deaktivert, vil sikkerhetssenteret varsle om at det generelle sikkerhetsnivået til operativsystemet er redusert.

User Account Control: Turn on Admin Approval Mode

This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer.

The options are:

• Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode.

• Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced.

2055Brukerkontokontroll: Bytt til det sikrede skrivebordet ved forespørsler om utvidelse

Denne sikkerhetsinnstillingen bestemmer om utvidelsesforespørselen skal vises på skrivebordet til interaktive brukere eller på det sikre skrivebordet.

Følgende alternativer finnes:

• Aktivert (standard): Alle utvidelsesforespørsler går som standard til det sikre skrivebordet, uavhengig av policyinnstillinger for spørreatferd for administratorer og standardbrukere

• Deaktivert: Alle utvidelsesforespørsler går til skrivebordet for interaktive brukere. Policyinnstillinger for spørreatferd for administratorer og standardbrukere brukes.

User Account Control: Switch to the secure desktop when prompting for elevation

This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop.

The options are:

• Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users.

• Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used.

2056Brukerkontokontroll: Virtualiser skrivefeil for fil og register til brukerspesifikke plasseringer

Denne sikkerhetsinnstillingen aktiverer omadressering av skrivefeil for eldre programmer til definerte plasseringer i både registret og filsystemet. Denne policyinnstillingen reduserer de programmene som historisk sett kjørte som administrator og skrev kjøretidsprogramdata tilbake til %ProgramFiles%, %Windir%; %Windir%\system32 eller HKLM\Software\....

Følgende alternativer finnes:

• Aktivert (standard): Programmenes skrivefeil omadresseres til definerte brukerplasseringer i både filsystemet og registret.

• Deaktivert: Programmer som skriver data til beskyttede steder, vil mislykkes.

User Account Control: Virtualize file and registry write failures to per-user locations

This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software.

The options are:

• Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry.

• Disabled: Applications that write data to protected locations fail.

2057Opprett symbolske koblinger

Denne tilgangen bestemmer om brukeren kan opprette en symbolsk kobling fra datamaskinen brukeren er logget på.

Standard: Administrator

Advarsel! Denne tilgangen bør bare gis til klarerte brukere. Symbolske koblinger kan føre til sikkerhetsproblemer i programmer som ikke er utviklet for å håndtere dem.

Obs!
Denne innstillingen kan brukes sammen med en innstilling for et filsystem med symbolske koblinger som kan manipuleres med kommandolinjeverktøyet for å kontrollere hvilke typer symbolske koblinger som er tillatt på maskinen. Skriv fsutil behavior set symlinkevalution /?' på kommandolinjen for å få mer informasjon om fsutil og symbolske koblinger.
Create Symbolic Links

This privilege determines if the user can create a symbolic link from the computer he is logged on to.

Default: Administrator

WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them.

Note
This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links.
2058Endre en objektetikett

Denne tilgangen bestemmer hvilke brukerkontoer som kan endre integritetsetiketten for objekter, som filer, registernøkler eller prosesser som eies av andre brukere. Prosesser som kjører under en brukerkonto, kan endre etiketten for et objekt som eies av denne brukeren, til et lavere nivå uten denne tilgangen.

Standard: Ingen
Modify an object label

This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege.

Default: None
2059Brukerkontokontroll: La UIAccess-programmer be om utvidelse uten å bruke sikkert skrivebord.

Denne policyinnstillingen kontrollerer om programmer for tilgang til brukergrensesnitt (User Interface Accessibility, UIAccess eller UIA) automatisk kan deaktivere det sikre skrivebordet for utvidelsesforespørsler som brukes av en standardbruker.

• Aktivert: UIA-programmer, medregnet Windows Remote Assistance, deaktiver automatisk det sikre skrivebordet for utvidelsesspørssmål. Hvis du ikke deaktiverer policyinnstillingen "Brukerkontokontroll: Bytt til det sikre skrivebordet når det spørres om utvidelse", vises spørsmålene på den interaktive brukerens skrivebord i stedet for det sikre skrivebordet.

• Deaktivert (standard): Det sikre skrivebordet kan bare deaktiveres av brukeren av det interaktive skrivebordet eller ved å deaktivere policyinnstillingen "Brukerkontokontroll: Bytt til det sikre skrivebordet når det spørres om utvidelse".

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop.

This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user.

• Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop.

• Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting.

2060Denne innstillingen brukes i legitimasjonsbehandlingen under sikkerhetskopiering/gjenoppretting. Ingen kontoer bør ha denne rettigheten, ettersom den bare er tilordnet til Winlogon. Brukerlagret legitimasjon kan bli skadet hvis denne rettigheten gis til andre enheter. This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities.
2061Bytte tidssone

Denne brukerrettigheten fastsetter hvilke brukere og grupper som kan endre tidssonen som brukes til visning av lokal tid på datamaskinen, som er datamaskinens systemtid pluss tidssoneforskyvningen. Selve systemtiden er absolutt og påvirkes ikke av en endring i tidssonen.

Denne brukerrettigheten er definert i gruppepolicyobjektet (GPO) Standard domenekontroller og i den lokale sikkerhetspolicyen for arbeidsstasjonene og serverne.

Standard: Administratorer, Brukere
Change the Time Zone

This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone.

This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers.

Default: Administrators, Users
2062Øke arbeidssett for prosess

Denne rettigheten fastsetter hvilke brukerkontoer som kan øke eller redusere størrelsen på arbeidssettet for en prosess.

Standard: Brukere

Arbeidssettet for en prosess er settet med minnesider som for øyeblikket er synlige for prosessen i fysisk RAM-minne. Disse sidene er residente og tilgjengelige for bruk i et program uten utløsing av en sidefeil. Minste og største arbeidssettstørrelse har innvirkning på sidevekslingsatferden i virtuelt minne for en prosess.

Advarsel! Hvis du øker arbeidssettstørrelsen for en prosess, reduseres mengden fysisk minne som er tilgjengelig for resten av systemet.
Increase a process working set

This privilege determines which user accounts can increase or decrease the size of a process’s working set.

Default: Users

The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process.

Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system.
2063Nettverkssikkerhet: Begrens NTLM: Utgående NTLM-trafikk til eksterne servere

Denne policyinnstillingen tillater deg å avslå eller overvåke utgående NTLM-trafik til eksterne servere.

Hvis du velger Avslå all utgående NTLM-trafikk til eksterne servere, kan ikke klientdatamaskinen godkjenne identiteter til en ekstern server ved bruk av NTLM-godkjenning. Du kan bruke policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til unntak for eksterne servere for NTLM-godkjenning" for å definere en liste av eksterne servere hvor klienter tillates å bruke NTLM-godkjenning.

Hvis du velger Overvåk all utgående NTLM-trafikk til eksterne servere, logger klientdatamaskinen en hendelse for hver forespørsel om NTLM-godkjenning til en ekstern server. Dette tillater deg å identifisere disse serverne som mottar forespørsler om NTLM-godkjenning fra klientdatamaskinen. Hvis du velger Tillat all utgående NTLM-trafikk til eksterne servere eller ikke konfigurerer denne policyinnstillingen, kan klientdatamaskinen godkjenne identiteter til en ekstern server ved hjelp av NTLM-godkjenning.

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server.

If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication.

If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer.

If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2064Nettverkssikkerhet: Begrens NTLM: Innkommende NTLM-trafikk

Denne policyinnstillingen tillater deg å avslå eller overvåke innkommende NTLM-trafikk.

Hvis du velger Avslå all innkommende NTLM-trafikk, vil serveren avslå forespørsler om NTLM-godkjenning fra innkommende trafikk og viser en blokkert NTLM-feil.

Hvis du velger Avslå all innkommende domenepåloggingsrelatert NTLM-trafikk, vil serveren avslå forespørsler om NTLM-godkjenning for domenepålogging og viser en blokkert NTLM-feil.

Hvis du velger Tillat all innkommende NTLM-trafikk eller ikke konfigurerer denne policyinnstillingen, vil serveren tillate alle forespørsler om NTLM-godkjenning.
Network security: Restrict NTLM: Incoming NTLM traffic

This policy setting allows you to deny or allow incoming NTLM traffic.

If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests.

If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon.

If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2065Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet

Denne policyinnstillingen tillater deg å avslå NTLM-godkjenning innenfor dette domenet. Denne policyen påvirker ikke interaktiv pålogging til denne domenekontrolleren.

Hvis du velger Avslå NTLM-trafikk i dette domenet, vil domenekontrolleren avslå alle direkte forespørsler om NTLM-godkjenning fra dens servere og for dens kontoer og returnere en NTLM-blokkeringsfeil med mindre servernavnet er på unntakslisten i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet".

Hvis du velger Avslå NTLM-trafikk til servere i dette domenet, vil domene kontrolleren avlså forespørsler om NTLM-godkjenning til alle servere og returnere en NTLM-blokkeringsfeil med mindre servernavnet er på unntakslisten i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet".

Hvis du velger Avslå domenepåloggingsrelatert NTLM-trafikk i dette domenet, vil domenekontrolleren avslå alle påloggingsforsøk med NTLM-godkjenning fra domenekontoer og returnere en NTLM-blokkeringsfeil med mindre servernavnet er på unntakslisten i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet".

Hvis du velger Avslå domenepåloggingsrelatert NTLM-trafikk eller NTLM-trafikk til servere i dette domenet, vil domenekontrolleren avslå alle påloggingsforsøk med NTLM-godkjenning til alle servere i domenet som bruker domenekontoer og returnere en NTLM-blokkeringsfeil med mindre servernavnet er på unntakslisten i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet".

Hvis du velger Tillat domenepåloggingsrelatert NTLM og NTLM-trafikk til servere i dette domenet, eller hvis du ikke konfigurerer denne policyinnstillingen, vil domenekontrolleren tillate alle direkte forespørsler om NTLM-godkjenning innen domenet.

Network security: Restrict NTLM: NTLM authentication in this domain

This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller.

If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain.

If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2066Nettverkssikkerhet: Begrens NTLM: Legg til unntak for eksterne servere for NTLM-godkjenning

Denne policyinnstillingen tillater deg å opprette en unntaksliste for eksterne servere hvor klienter tillates å bruke NTLM-godkjenning hvis policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Utgående NTLM-trafikk til eksterne servere" er konfigurert.

Hvis du konfigurerer denne policyinnstillingen, kan du definere en liste over eksterne servere hvor klienter tillates å bruke NTLM-godkjenning.

Hvis du ikke konfigurerer denne policyinnstillingen, brukes ingen unntak.

Navnformatet for servere på denne unntakslisten er det fullstendig unike domenenavnet (FQDN) eller NetBIOS-servernavnet brukt av programmet listet én per linje. For å sikre unntakene brukes navnet av alle programmer som må være på listen, og for å sikre at unntaket er nøyaktig, bør servernavnet være oppført i begge navngivningsformater. En enkel asterisk (*) kan brukes i begynnelsen eller slutten på strengen som et jokertegn.

Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication

This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured.

If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character.

2067Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet

Denne policyinnstillingen tillater deg å opprette en unntaksliste over servere i dette domenet hvor klienter tillates å bruke direkte NTLM-godkjenning hvis "Nettverkssikkerhet: Begrens NTLM: Avslå NTLM-godkjenning i dette domenet" er innstilt.

Hvis du konfigurerer denne policyinnstillingen, kan du definere en liste over servere i dette domenet hvor klientene tillates å bruke NTLM-godkjenning.

Hvis du ikke konfigurerer denne policyinnstillingen, brukes ingen unntak.

Navnformatet for servere på denne unntakslisten er det fullstendig unike domenenavnet (FQDN) eller NetBIOS-servernavnet brukt av det kallende programmet listet én per linje. En enkel asterisk (*) kan brukes i begynnelsen eller slutten på strengen som et jokertegn.

Network security: Restrict NTLM: Add server exceptions in this domain

This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set.

If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication.

If you do not configure this policy setting, no exceptions will be applied.

The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character.

2068Nettverkssikkerhet: Tillat at LocalSystem går tilbake til NULL-økt

Tillat at NTLM går tilbake til NULL-økt ved bruk sammen med LocalSystem.

Standarden er TRUE til og med Windows Vista og FALSE i Windows 7.

Network security: Allow LocalSystem NULL session fallback

Allow NTLM to fall back to NULL session when used with LocalSystem.

The default is TRUE up to Windows Vista and FALSE in Windows 7.

2069Nettverkssikkerhet: Konfigurer krypteringstyper som er tillatte for Kerberos

Denne policyinnstillingen tillater deg å angi krypteringstypene Kerberos-klienten kan bruke.

Hvis den ikke velges, tillates ikke krypteringstypen. Denne innstillingen kan påvirke kompatibilitet med klientdatamaskiner eller tjenester og programmer. Flere valg er tillatte.

Denne policyen støttes i minst Windows 7 eller Windows Server 2008 R2.

Network security: Configure encryption types allowed for Kerberos

This policy setting allows you to set the encryption types that Kerberos is allowed to use.

If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

2071Nettverkssikkerhet: Tillat at PKU2U-godkjenningsforespørsler til denne datamaskinen bruker onlineidentiteter.

Denne policyen vil være deaktivert som standard på maskiner som er en del av et domene. Dette vil forhindre onlineidentiteter fra å godkjennes på maskinen som er blitt med i domenet.

Network security: Allow PKU2U authentication requests to this computer to use online identities.

This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine.

2072Nettverkssikkerhet: Begrens NTLM: Overvåk innkommende NTLM-trafikk

Denne policyinnstillingen gjør det mulig å overvåke innkommende NTLM-trafikk.

Hvis du velger Deaktiver eller ikke konfigurerer denne policyinnstillingen, logger ikke serveren hendelser for innkommende NTLM-trafikk.

Hvis du velger Aktiver for domenekontoer, logger serveren hendelser for direkte forespørsler om NTLM-godkjenning som vil bli blokkert når policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: Innkommende NTLM-trafikk" er satt til Avvis alle domenekontoer.

Hvis du velger Aktiver overvåking for alle kontoer, logger serveren hendelser for alle forespørsler om NTLM-godkjenning som vil bli blokkert når policyinnstillingen "Nettverkssikkerhet: Begrens: Innkommende NTLM-trafikk" er satt til Avvis alle kontoer.

Denne policyen støttes på minst Windows 7 eller Windows Server 2008 R2.

Obs! Overvåkingshendelser blir registrert på denne datamaskinen i "operasjonsloggen" under Applications and Services Log/Microsoft/Windows/NTLM.

Network security: Restrict NTLM: Audit Incoming NTLM Traffic

This policy setting allows you to audit incoming NTLM traffic.

If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic.

If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option.

If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option.

This policy is supported on at least Windows 7 or Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2073Nettverkssikkerhet: Begrens NTLM: Overvåk NTLM-godkjenning i dette domenet

Denne policyinnstillingen tillater deg å overvåke NTLM-godkjenning i dette domene.

Hvis du velger Avslå eller ikke konfigurerer denne policyinnstillingen, logger ikke domenekontrolleren hendelser for NTLM-godkjenning i dette domenet.

Hvis du velger Aktiver for domenekontoer på domeservere, logger domenekontrolleren hendelser for påloggingsforsøk med NTLM-godkjenning ved bruk av domenekontoer på domeneservere når NTLM-godkjenning ville blitt avslått fordi Avslå for domenekontoer på domeservere er valgt i policyinnstillingen Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet.

Hvis du velger Aktiver for domenekontoer, logger domenekontrolleren hendelser for påloggingsforsøk med NTLM-godkjenning ved bruk av domenekontoer når NTLM-godkjenning ville blitt avslått fordi Avslå for domenekontoer er valgt i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet".

Hvis du velger Aktiver for domeneserver, logger domenekontrolleren hendelser for alle servere i domenet når NTLM-godkjenning ville blitt avvist fordi Avslå for domeneservere er valgt i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet".

Hvis du velger Aktiver alle, vil domenekontrolleren logge hendelser for NTLM pass-through godkjenningsforespørsler fra sine servere og for sine kontoer som ville blitt avvist fordi Avslå alle er valgt i policyinnstillingen "Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet".

Denne policyen støtters på minst Windows Server 2008 R2.

Obs!: Overvåkingshendelser blir registrert på denne datamaskinen i operasjonsloggen under Applications and Services Log/Microsoft/Windows/NTLM.

Network security: Restrict NTLM: Audit NTLM authentication in this domain

This policy setting allows you to audit NTLM authentication in a domain from this domain controller.

If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain.

If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting.

This policy is supported on at least Windows Server 2008 R2.

Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.

2074Nettverkssikkerhet: Tillat at lokalsystemet bruker datamaskin-ID-en for NTLM

Denne policyinnstillingen lar lokale systemtjenester som bruker Negotiate, bruke datamaskin-ID-en ved tilbakestilling til NTLM-godkjenning.

Hvis du aktiverer denne policyinnstillingen, vil tjenester som kjører som lokalt system som bruker Negotiate, bruke datamaskin-ID-en. Dette kan føre til mislykkede godkjenningsforespørsler mellom Windows-operativsystemer, og det kan logges feil.

Hvis du deaktiverer denne policyinnstillingen, vil tjenester som kjører som lokalt system som bruker Negotiate ved tilbakestilling til NTLM-godkjenning, godkjenne anonymt.

Denne policyen er aktivert som standard på Windows 7 og over.

Denne policyen er deaktivert som standard på Windows Vista.

Denne policyen støttes på minst Windows Vista eller Windows Server 2008.

Merk: Windows Vista eller Windows Server 2008 ikke viser denne innstillingen i gruppepolicy.

Network security: Allow Local System to use computer identity for NTLM

This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication.

If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error.

If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously.

By default, this policy is enabled on Windows 7 and above.

By default, this policy is disabled on Windows Vista.

This policy is supported on at least Windows Vista or Windows Server 2008.

Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy.

2075Microsoft nettverksserver: Valideringsnivå for SPN-målnavn for server

Denne policy-innstillingen kontrollerer valideringsnivået som en datamaskin med delte mapper eller skrivere (serveren) utfører på tjenesten (SPN) som er mottatt fra klientdatamaskinen, når den oppretter en økt med SMB-protokollen (Server Message Block).

SMB-protokollen gir grunnlaget for fil- og utskriftsdeling og andre nettverksoperasjoner, for eksempel ekstern Windows-administrasjon. SMB-protokollen støtter validering av SPN-tjenesten for SMB-serveren innenfor godkjenningsbloben som er mottatt fra en SMB-klient, for å forhindre en angrepsklasse mot SMB-servere kalt SMB-reléangrep. Denne innstillingen påvirker både SMB1 og SMB2.

Denne sikkerhetsinnstillingen bestemmer valideringsnivået som en SMB-server utfører på tjenesten (SPN) som kommer fra SMB-klienten, under forsøk på å opprette en økt til en SMB-server.

Alternativene er:

Av – SPNen er ikke nødvendig eller er ikke validert av SMB-serveren fra en SMB-klient.

Godta hvis mottatt fra klient – SMB-serveren godtar og validerer SPNen som er mottatt fra SMB-klienten og tillater at det opprettes en økt hvis den samsvarer med SMB-serverens liste over SPNer for seg selv. Hvis SPNen IKKE samsvarer, avslås øktforespørselen for den SMB-klienten.

Kreves fra klient - SMB-klienten MÅ sende et SPN-navn i øktoppsett, og SPN-navnet MÅ samsvare med SMB-serveren som blir spurt om å opprette en tilkobling. Hvis ingen SPN er mottatt fra klient, eller mottatt SPN ikke samsvarer, avslås økten.

Standard: Av

Alle Windows-operativsystemer støtter både en SMB-komponent på klientsiden og en SMB-komponent på serversiden. Dette påvirker virkemåten til server-SMBen, og implementering av denne må vurderes og testes nøye for å forhindre forstyrrelser i funksjonene for fil- og utskriftsbetjening. Du finner mer informasjon om hvordan du implementerer denne og bruker den til å sikre SMB-serverne, på Microsofts webområde (https://go.microsoft.com/fwlink/?LinkId=144505).
Microsoft network server: Server SPN target name validation level

This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol.

The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2.

This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server.

The options are:

Off – the SPN is not required or validated by the SMB server from a SMB client.

Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied.

Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied.

Default: Off

All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505).
2076Microsoft-nettverksserver: Prøv S4U2Self for å hente kravinformasjon

Denne sikkerhetsinnstillingen er ment å støtte klienter som kjører en tidligere versjon av Windows enn Windows 8 og som prøver å få tilgang til en delt filressurs som krever brukerkrav. Innstillingen angir om den lokale filserveren skal prøve å bruke Kerberos S4U2Self-funksjonen (Service-For-User-To-Self) til å hente kravene til en nettverksklients kontohaver fra klientens kontodomene. Denne innstillingen bør bare aktiveres hvis filserveren benytter brukerkrav til å styre tilgang til filer, og hvis filserveren støtter klientkontohavere med kontoer som kan være i et domene der klientdatamaskiner og domenekontrollere kjører en tidligere versjon av Windows enn Windows 8.

Denne innstillingen bør settes til Automatisk (standard), slik at filserveren automatisk kan vurdere om det trengs krav for brukeren. Systemansvarlig kan for eksempel sette innstillingen til Aktivert bare hvis det finnes policyer for lokal filtilgang som omfatter brukerkrav.

Når denne sikkerhetsinnstillingen er aktivert, vil Windows-filserveren undersøke tilgangstokenet til en godkjent nettverksklientkontohaver og fastslå om det finnes kravinformasjon. Hvis det ikke finnes krav, bruker filserveren Kerberos S4U2Self-funksjonen til å prøve å kontakte en Windows Server 2012-domenekontroller i klientens kontodomene og hente et kravaktivert tilgangstoken for klientkontohaveren. Et kravaktivert token kan være nødvendig for å få tilgang til filer eller mapper der det brukes policy for kravbasert tilgangskontroll.

Hvis denne innstillingen er deaktivert, gjør ikke Windows-filserveren noe forsøk på å hente et kravbasert tilgangstoken for klientkontohaveren.

Standard: Automatisk.
Microsoft network server: Attempt S4U2Self to obtain claim information

This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8.

This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims.

When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied.

If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal.

Default: Automatic.
2077Kontoer: Blokker Microsoft-kontoer

Denne policyinnstillingen hindrer at brukere legger til nye Microsoft-kontoer på datamaskinen.

Hvis du velger alternativet Brukere kan ikke legge til Microsoft-kontoer, kan ikke brukerne opprette nye Microsoft-kontoer på datamaskinen, endre en lokal konto til en Microsoft-konto eller koble en domenekonto til en Microsoft-konto. Du bør velge dette alternativet hvis du vil begrense bruken av Microsoft-kontoer i organisasjonen.

Hvis du velger alternativet Brukere kan ikke legge til eller logge på med Microsoft-kontoer, kan ikke eksisterende Microsoft-brukere logge på Windows. Dette alternativet kan gjøre det umulig for en eksisterende administrator på datamaskinen å logge på og administrere systemet.

Hvis du deaktiverer eller ikke konfigurerer denne policyen (anbefales), kan brukerne bruke Microsoft-kontoer med Windows.
Accounts: Block Microsoft accounts

This policy setting prevents users from adding new Microsoft accounts on this computer.

If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise.

If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system.

If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows.
2078Interaktiv pålogging: Maskinkontoterskel.

Policyen for maskinlåsing brukes bare på de maskinene som har Bitlocker aktivert for beskyttelse av operativsystemvolumer. Sørg for at policyer for sikkerhetskopiering av gjenopprettingspassord er aktivert.

Denne sikkerhetsinnstillingen bestemmer hvor mange mislykkede påloggingsforsøk som fører til at maskinen låses. En låst maskin kan bare gjenopprettes ved å angi gjenopprettingsnøkkelen i konsollen. Du kan sette verdien til mellom 1 og 999 mislykkede påloggingsforsøk. Hvis du angir 0 som verdi, vil aldri maskinen bli låst. Verdier mellom 1 og 3 tolkes som 4.

Mislykkede passordforsøk mot arbeidsstasjoner eller medlemsservere som er låst med enten CTRL+ALT+DELETE eller passordbeskyttede skjermbeskyttere, regnes som mislykkede påloggingsforsøk.

Policyen for maskinlåsing brukes bare på de maskinene som har Bitlocker aktivert for beskyttelse av operativsystemvolumer. Sørg for at policyer for sikkerhetskopiering av gjenopprettingspassord er aktivert.

Standard: 0.
Interactive logon: Machine account threshold.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled.

This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4.

Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts.

The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled.

Default: 0.
2079Interaktiv pålogging: Inaktivitetsgrense for maskin.

Windows registrerer inaktivitet i en påloggingsøkt, og hvis inaktivitetstiden overskrider inaktivitetsgrensen, startes skjermbeskytteren, noe som låser økten.

Standard: Håndheves ikke.
Interactive logon: Machine inactivity limit.

Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session.

Default: not enforced.
2080Få tak i et representasjonstoken for en annen bruker i samme økt.

Når denne tilgangen tilordnes en bruker, kan programmer som kjører på vegne av denne brukeren, få et representasjonstoken av andre brukere som har logget på den samme økten interaktivt. Dette forutsetter at anroperen har et representasjonstoken for øktbrukeren. Gjelder ikke Windows client/server for skrivebord, hvor hver bruker får en separat økt.
Obtain an impersonation token for another user in the same session.

Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session.
2081Network access: Restrict clients allowed to make remote calls to SAM

This policy setting allows you to restrict remote rpc connections to SAM.

If not selected, the default security descriptor will be used.

This policy is supported on at least Windows Server 2016.

Network access: Restrict clients allowed to make remote calls to SAM

This policy setting allows you to restrict remote rpc connections to SAM.

If not selected, the default security descriptor will be used.

This policy is supported on at least Windows Server 2016.

2082Interaktiv pålogging: Ikke vis brukernavnet ved pålogging
Denne sikkerhetsinnstillingen bestemmer om brukernavnet til personen som logger på denne PC-en, skal vises ved Windows-pålogging, etter at at legitimasjonen er angitt, og før PC-skrivebordet vises.
Hvis denne policyen er aktivert, vises ikke brukernavnet.

Hvis denne policyen er deaktivert, vises brukernavnet.

Standard: Deaktivert.


Interactive logon: Don't display username at sign-in
This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown.
If this policy is enabled, the username will not be shown.

If this policy is disabled, the username will be shown.

Default: Disabled.


57343Du er i ferd med å endre sikkerhetsinnstillingene for denne tjenesten. Hvis du endrer standardsikkerheten for tjenesten, kan det føre til problemer på grunn av inkonsekvent konfigurasjon mellom denne tjenesten og andre tjenester som bruker den.

Vil du fortsette?
You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it.

Do you want to continue?
57345Du er i ferd med å importere ny malinformasjon til den lokale datamaskinpolicyen for denne datamaskinen. Dette vil endre gjeldende sikkerhetsinnstillinger for datamaskinen. Vil du fortsette? You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue?
57346Konfigurerer datamaskinsikkerhet Configuring Computer Security
57350Gjeldende sikkerhetskonfigurasjonsdatabase: Lokal policydatabase %s Current Security Configuration Database: Local Policy Database %s
57351Gjeldende sikkerhetskonfigurasjonsdatabase: Privat database %s Current Security Configuration Database: Private Database %s
57352Genererer analyseinformasjon Generating analysis information
57353Import mislyktes Import Failed
57354Delobjekter definert Subitems defined
57355Ikke tilgjengelig Not Available
57356Ny tjeneste New Service
57357Konfigurerer: Configuring:
57358Legg til &fil...
Legger til en ny fil eller mappe til i denne malen
Add &File...
Adds a new file or folder to this template
57359Legg til denne filen eller mappen til malen: Add this file or folder to the template:
57360Legg til fil eller mappe Add a file or folder
57361Microsoft Corporation Microsoft Corporation
5736210.0 10.0
57363Sikkerhetsmaler er en MMC-snapin-modul som tilbyr redigeringsfunksjoner for sikkerhetsmalfiler. Security Templates is an MMC snap-in that provides editing capabilities for security template files.
57364Konfigurasjon og analyse av sikkerhet er en MMC-snapin-modul som tilbyr sikkerhetskonfigurasjon og analyse for Windows-datamaskiner ved å bruke sikkerhetsmalfiler. Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files.
57365Snapin-modulen Sikkerhetsinnstillinger er en utvidelse til Gruppepolicy som hjelper deg med å definere sikkerhetspolicyer for datamaskiner i domenet. The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain.
57366&Importer policy...
Importerer en malfil til dette policyobjektet.
&Import Policy...
Import a template file into this policy object.
57367&Eksporter policy...
Eksporterer mal fra denne policyen til en fil.
E&xport policy...
Export template from this policy to a file.
57368Filen %s finnes allerede.
Vil du skrive over den?
File %s already exists.
Do you want to overwrite it?
57369Vellykket Success
57370Mislykket Failure
57371Ingen overvåking No auditing
57372Kan ikke oppdatere policyer. Windows cannot update the policies.
57373Kan ikke kopiere avsnitt Windows cannot copy the section
57374Velg fil som skal legges til Select File to Add
57375Åpne database Open database
57376Opprett database Create Database
57377Eksporter policy til Export Policy To
57378Importer policy fra Import Policy From
57380Importer mal Import Template
57381Eksporter mal til Export Template To
57382Sikkerhetsinnstilling Security Setting
57384Kan ikke åpne lokal policydatabase. Windows cannot open the local policy database.
57385Lokal policy database Local Policy Database
57386Databasen for lokale sikkerhetsinnstillinger kan ikke redigeres fra snapin-modulen for Konfigurasjon og analyse av sikkerhet. Bruk snapin-modulen for gruppepolicy for å redigere lokale sikkerhetsinnstillinger. The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings.
57387\help\75393cf0-f17a-453d-98a9-592b009289c2.chm \help\75393cf0-f17a-453d-98a9-592b009289c2.chm
57388\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm \help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm
57389\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm \help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm
57390\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm \help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm
57391\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm \help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm
57392\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm \help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm
57394Det er nye policyinnstillinger på datamaskinen. Vil du oppdatere visningen av gjeldende policy? There are new policy settings on your computer. Do you want to update your view of the effective policy?
57395Datamaskininnstilling på %s Computer setting on %s
57396Denne databasen kan ikke opprettes fordi ingen malfil er valgt.
Slik åpner du en eksisterende databaseHøyreklikk områdeelementet Konfigurasjon og analyse av sikkerhet. Velg Åpne database Velg en database og klikk Åpne Slik oppretter du en ny database Høyreklikk områdeelementet Konfigurasjon og analyse av sikkerhet. Velg Åpne database. Skriv inn et nytt databasenavn, og klikk deretter Åpne. Velg sikkerhetskonfigurasjonsfilen du vil importere, og klikk Åpne.
This database couldn't be created because no template file was selected.
To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN.
57397&Erstatt eksisterende tillatelser for alle undernøkler med arvbare tillatelser &Replace existing permissions on all subkeys with inheritable permissions
57398&Overfør arvbare tillatelser til alle undernøkler &Propagate inheritable permissions to all subkeys
57399&Ikke tillat erstatning av tillatelser for denne nøkkelen &Do not allow permissions on this key to be replaced
57400Konfigurer medlemskap for %s Configure Membership for %s
57401Billett utløper om: Ticket expires in:
57402Billett utløper ikke. Ticket doesn't expire.
57403Billettfornyelse utløper om: Ticket renewal expires in:
57404Billettfornyelse er deaktivert. Ticket renewal is disabled.
57405Maksimal toleranse: Maximum tolerance:
57407Gjelder ikke Not Applicable
57410Bruker- og gruppenavn User and group names
57411Legg til bruker eller gruppe Add User or Group
57412Ikke koble fra klienter: Do not disconnect clients:
57413Koble fra når inaktiv tid overskrider: Disconnect when idle time exceeds:
57414Ikke hurtigbufre pålogginger: Do not cache logons:
57415Hurtigbuffer: Cache:
57416Be om dette så mange dager før passordet utløper: Begin prompting this many days before password expires:
57418&Konfigurer denne nøkkelen og &Configure this key then
57419Kan ikke lagre global plasseringsbeskrivelse Could not save global location description
57420Kan ikke lagre plasseringsbeskrivelse Could not save location description
57421Last inn igjen
Laster inn sikkerhetspolicyen på nytt
Reload
Reload the security policy
57422Lagre endringer for %1 før ny innlasting? Save changes to %1 before reloading it?
57423Lokale sikkerhetsinnstillinger Local Security Settings
57424Klasse for WSecEdit-sikkerhetsinnstillinger WSecEdit Security Settings Class
57425Klasse for lokale sikkerhetsinnstillinger for WSecEdit WSecEdit Local Security Settings Class
57428Snapin-modulen Lokale sikkerhetsinnstillinger hjelper deg med å definere sikkerhet på det lokale systemet. The Local Security Settings snap-in helps you define security on the local system.
57430Klasse for WSecEdit RSOP-sikkerhetsinnstillinger WSecEdit RSOP Security Settings Class
57431Utvidelses-snapin-modulen RSOP Security Settings utvider snapin-modulen RSOP og hjelper deg med å vise resulterende sikkerhetspolicyer for datamaskiner i domenet. The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain.
57435&Bruk &Apply
57436Kan ikke fastslå sikkerhetsinnstillingene for gruppepolicyen som gjelder for denne maskinen.
Feilen som ble returnert når du prøvde å hente disse innstillingene fra den lokale sikkerhetspolicydatabasen (%%windir%%\security\database\secedit.sdb), er: %s
Alle lokale sikkerhetsinnstillinger blir vist, men det vil ikke bli gitt indikasjoner på om en gitt sikkerhetsinnstilling er definert av gruppepolicy.
Lokale sikkerhetsinnstillinger som er endret gjennom dette grensesnittet, kan senere overstyres av policyer på domenenivå.
The Group Policy security settings that apply to this machine could not be determined.
The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies.
57437Kan ikke fastslå sikkerhetsinnstillingene for gruppepolicyen som gjelder for denne maskinen.
Feilen som ble returnert når du prøvde å hente disse innstillingene fra den lokale sikkerhetspolicydatabasen (%%windir%%\security\database\secedit.sdb), er: %s
Alle lokale sikkerhetsinnstillinger blir vist, men det vil ikke bli gitt indikasjoner på om en gitt sikkerhetsinnstilling er definert av gruppepolicy.
The Group Policy security settings that apply to this machine could not be determined.
The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s
All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
57438Loggfil: Log file:
57439Policynavn Policy Name
57440Innstilling Setting
57441Policyen %1 ble brukt riktig. The policy %1 was correctly applied.
57442Det oppstod en feil under konfigurering av en underordnet for dette objektet. (Policymotoren prøvde eventuelt og mislyktes i å konfigurere den underordnede for en bestemt policyinnstilling.) Se %windir%\security\logs\winlogon.log for mer informasjon There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log
57443Policyen %1 resulterte i følgende feil %2. Se %windir%\security\logs\winlogon.log på målmaskinen for mer informasjon. The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57444Policyen %1 resulterte i en ugyldig status og ble logget. Se %%windir%%\security\logs\winlogon.log på målmaskinen for mer informasjon. The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information.
57445Policymotoren prøvde ikke å konfigurere innstillingen. Se %windir%\security\logs\winlogon.log på målmaskinen for mer informasjon. The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57446&Vis sikkerhet... &View Security...
57447Kan ikke eksportere mal til %1.
Feilen som ble returnert, er: %2
Couldn't export template to %1.
The error returned was: %2
57448Lagre endringer i sikkerhetsdatabase? Save changes to Security Database?
57449Nekt pålogging gjennom Eksterne skrivebordstjenester Deny log on through Remote Desktop Services
57450Tillat pålogging gjennom Eksterne skrivebordstjenester Allow log on through Remote Desktop Services
57451Kan ikke legge til malsøkebane Couldn't add template search path
57453\Security\Logs \Security\Logs
57454Sikkerhetsdelen av gruppepolicyen kan bare redigeres på PDC-emulatoren. The security portion of this group policy may only be edited on the PDC Emulator.
57455Innstillingen er ikke kompatibel med datamaskiner som kjører Windows 2000 Service Pack 1 eller tidligere. Bruk gruppepolicyobjekter som inneholder denne innstillingen, bare på datamaskiner som kjører en senere versjon av operativsystemet. This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system.
57456Lukk alle egenskapssider før du sletter %1 Close all property pages before deleting %1
57457Verdi må være mellom %d og %d Value must be between %d and %d
57458Nettverkstilgang: Tillat anonym SID/navneoversetting Network access: Allow anonymous SID/Name translation
57459Administratorer må ha lokal påloggingstilgang. Administrators must be granted the logon local right.
57460Du kan ikke nekte alle brukere eller administratorer å logge på lokalt. You cannot deny all users or administrator(s) from logging on locally.
57461Noen kontoer kan ikke oversettes. Some accounts cannot be translated.
57462Hvis du vil bruke endringene eller lukke egenskapsarket, lukker du alle sekundære vinduer. To apply your changes or close this property sheet, close all secondary windows.
57463Vinduet kan ikke åpnes. Windows kan ikke opprette en grensesnittråd for egenskapsarket. The window cannot be opened. Windows cannot create a UI thread for the property sheet.
57464\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm \help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm
57465Hva er dette? What's this?
57466sct sct
57467\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm \help\29a1325e-50b4-4963-a36e-979caa9ea094.chm
57468Verdien må være mellom %d og %d, eller 0 Value must be between %d and %d or 0
57469Denne innstillingen påvirker bare operativsystemer eldre enn Windows Server 2003. This setting affects only operating systems earlier than Windows Server 2003.
57470Endring av denne innstillingen kan påvirke klient-, tjeneste- og programkompatibiliteten.
%1
Modifying this setting may affect compatibility with clients, services, and applications.
%1
57471Se %1 for mer informasjon (Q%2!lu!). For more information, see %1. (Q%2!lu!)
57472Du er i ferd med å endre denne innstillingen til en verdi som kan påvirke klient-, tjeneste- og programkompatibiliteten.

%1

Vil du fortsette gjøre endringen?
You are about to change this setting to a value that may affect compatibility with clients, services, and applications.

%1

Do you want to continue with the change?
57473Administratorer og TJENESTE må gis den representerte klienten etter godkjenningstillatelse Administrators and SERVICE must be granted the impersonate client after authentication privilege
57474Denne innstillingen kan kanskje ikke fremtvinges hvis en annen policy er konfigurert til å overstyre overvåkingspolicyen på kategorinivå.
%1
This setting might not be enforced if other policy is configured to override category level audit policy.
%1
57475Hvis du vil ha mer informasjon, se %1 i den tekniske referansen for sikkerhetspolicy. For more information, see %1 in the Security Policy Technical Reference.
58000Ingen forklaring for denne handlingen No explain text for this action
58003Maskinen låses etter Machine will be locked after
58100Administrer policyer for sentral tilgang...
Legg til / fjern policyer for sentral tilgang i denne malen
Manage Central Access Policies...
Add/Remove Central Access Policies to this template
58107Denne tilgangspolicyen inneholder følgende policyregler: This Access Policy includes the following Policy rules:
58108Status Status
58109Laster ned policyer for sentral tilgang fra Active Directory ... Downloading central access policies from active directory...
58110Feil: Kan ikke laste ned policyer for sentral tilgang Error: Central access policies could not be downloaded
58111Klar... Ready...
58113Finner ikke denne policyen for sentral tilgang. Den kan ha blitt slettet fra Active Directory eller ha ugyldige innstillinger. Gjenopprett policyen i Active Directory Administrative Center (AD AC), eller fjern den fra konfigurasjonen. This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration.
59001Kontoer: Begrens bruk av tomme passord for lokal konto til konsollpålogging Accounts: Limit local account use of blank passwords to console logon only
59002Overvåk: Overvåk tilgangen til globale systemobjekter Audit: Audit the access of global system objects
59003Overvåk: Overvåk bruk av sikkerhetskopierings- og gjenopprettingstillatelse Audit: Audit the use of Backup and Restore privilege
59004Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes Audit: Shut down system immediately if unable to log security audits
59005Enheter: Forhindre brukere fra å installere skriverdrivere Devices: Prevent users from installing printer drivers
59010Enheter: Tillat frakobling uten å måtte logge på Devices: Allow undock without having to log on
59011Domenekontroller: La serveroperatører planlegge oppgaver Domain controller: Allow server operators to schedule tasks
59012Domenekontroller: Avslå endringer i passord for maskinkonto Domain controller: Refuse machine account password changes
59013Domenekontroller: Signeringskrav for LDAP-server Domain controller: LDAP server signing requirements
59015Krev signering Require signing
59016Domenemedlem: Deaktiver endring av passord for datamaskinkonto Domain member: Disable machine account password changes
59017Domenemedlem: Maksimal passordalder for maskinkonto Domain member: Maximum machine account password age
59018Domenemedlem: Krypter digitalt eller signer sikre kanaldata (alltid) Domain member: Digitally encrypt or sign secure channel data (always)
59019Domenemedlem: Krypter sikre kanaldata digitalt (når mulig) Domain member: Digitally encrypt secure channel data (when possible)
59020Domenemedlem: Signer sikre kanaldata digitalt (når mulig) Domain member: Digitally sign secure channel data (when possible)
59021Domenemedlem: Krev sterk øktsnøkkel (Windows 2000 eller senere) Domain member: Require strong (Windows 2000 or later) session key
59022Interaktiv pålogging: Ikke krev Ctrl+Alt+DEL Interactive logon: Do not require CTRL+ALT+DEL
59023Interaktiv pålogging: Ikke vis sist pålogget Interactive logon: Don't display last signed-in
59024Interaktiv pålogging: Vis brukerinformasjon når økten er låst Interactive logon: Display user information when the session is locked
59025Brukers visningsnavn, domene og brukernavn User display name, domain and user names
59026Bare brukers visningsnavn User display name only
59027Ikke vis brukerinformasjon Do not display user information
59028Interaktiv pålogging: Meldingstekst for brukere som forsøker å logge på Interactive logon: Message text for users attempting to log on
59029Interaktiv pålogging: Meldingstittel for brukere som forsøker å logge på Interactive logon: Message title for users attempting to log on
59030Interaktiv pålogging: Antall tidligere pålogginger som skal bufres (i tilfelle domenekontroller ikke er tilgjengelig) Interactive logon: Number of previous logons to cache (in case domain controller is not available)
59031Interaktiv pålogging: Be bruker om å endre passord før det utløper Interactive logon: Prompt user to change password before expiration
59032Interaktiv pålogging: Krev godkjenning av domenekontroller for å låse opp arbeidsstasjonen Interactive logon: Require Domain Controller authentication to unlock workstation
59033Interaktiv pålogging: krev Windows Hello for bedrifter eller smartkort Interactive logon: Require Windows Hello for Business or smart card
59034Interaktiv pålogging: Oppførsel ved fjerning av smartkort Interactive logon: Smart card removal behavior
59035Ingen handling No Action
59036Lås arbeidsstasjon Lock Workstation
59037Fremtving avlogging Force Logoff
59038Koble fra hvis en ekstern økt for Eksterne skrivebordstjenester Disconnect if a remote Remote Desktop Services session
59039Microsoft nettverksklient: Signer kommunikasjon digitalt (alltid) Microsoft network client: Digitally sign communications (always)
59040Microsoft nettverksklient: Signer kommunikasjon digitalt (hvis server godtar) Microsoft network client: Digitally sign communications (if server agrees)
59041Microsoft nettverksklient: Send ukryptert passord til tredjeparts SMB-servere Microsoft network client: Send unencrypted password to third-party SMB servers
59042Microsoft nettverksserver: Inaktiv tid nødvendig før økten frakobles Microsoft network server: Amount of idle time required before suspending session
59043Microsoft nettverksserver: Signer kommunikasjon digitalt (alltid) Microsoft network server: Digitally sign communications (always)
59044Microsoft nettverksserver: Signer serverkommunikasjon digitalt (hvis klienten godtar det) Microsoft network server: Digitally sign communications (if client agrees)
59045Microsoft nettverksserver: Logg av brukere når påloggingstiden utløper Microsoft network server: Disconnect clients when logon hours expire
59046Nettverkstilgang: Ikke tillat lagring av passord og legitimasjon for nettverksgodkjenning Network access: Do not allow storage of passwords and credentials for network authentication
59047Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer Network access: Do not allow anonymous enumeration of SAM accounts
59048Nettverkstilgang: Ikke tillat anonym opplisting av SAM-kontoer og -ressurser Network access: Do not allow anonymous enumeration of SAM accounts and shares
59049Nettverkstilgang: La Alle-tillatelser gjelde for anonyme brukere Network access: Let Everyone permissions apply to anonymous users
59050Nettverkstilgang: Begrens anonym tilgang til navngitte datakanaler og delte områder Network access: Restrict anonymous access to Named Pipes and Shares
59051Nettverkstilgang: Navngitte datakanaler som kan åpnes anonymt Network access: Named Pipes that can be accessed anonymously
59052Nettverkstilgang: Delte områder som kan åpnes anonymt Network access: Shares that can be accessed anonymously
59053Nettverkstilgang: Registerbaner og underbaner som kan åpnes eksternt Network access: Remotely accessible registry paths and sub-paths
59054Nettverkstilgang: Registerbaner som kan åpnes eksternt Network access: Remotely accessible registry paths
59055Nettverkstilgang: Delings- og sikkerhetsmodell for lokale kontoer Network access: Sharing and security model for local accounts
59056Klassisk - lokale brukere godkjennes som seg selv Classic - local users authenticate as themselves
59057Bare gjest - lokale brukere godkjennes som gjest Guest only - local users authenticate as Guest
59058Nettverkssikkerhet: Ikke lagre hash-verdi for LAN Manager ved neste passordendring Network security: Do not store LAN Manager hash value on next password change
59059Nettverkssikkerhet: LAN Manager-godkjenningsnivå Network security: LAN Manager authentication level
59060Send LM- og NTLM-svar Send LM & NTLM responses
59061Send LM og NTLM - bruk NTLMv2-øktsikkerhet hvis forhandlet Send LM & NTLM - use NTLMv2 session security if negotiated
59062Bare send NTLM-respons Send NTLM response only
59063Bare send NTLMv2-respons Send NTLMv2 response only
59064Bare send NTLMv2-svar. Nekt LM Send NTLMv2 response only. Refuse LM
59065Bare send NTLMv2-svar. Nekt LM og NTLM Send NTLMv2 response only. Refuse LM & NTLM
59066Nettverkssikkerhet: Minimum øktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) klienter Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
59067Nettverkssikkerhet: Minimum øktsikkerhet for NTLM SSP-baserte (inkludert sikker RPC) servere Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
59070Krev NTLMv2-øktsikkerhet Require NTLMv2 session security
59071Krev 128-biters kryptering Require 128-bit encryption
59072Nettverkssikkerhet: Krav til signering for LDAP-klient Network security: LDAP client signing requirements
59074Forhandle om signering Negotiate signing
59076Gjenopprettingskonsoll: Tillat automatisk administrativ pålogging Recovery console: Allow automatic administrative logon
59077Gjenopprettingskonsoll: Tillat kopiering fra diskett og tilgang til alle stasjoner og mapper Recovery console: Allow floppy copy and access to all drives and all folders
59078Avslutt: Tillat systemet å avsluttes uten å måtte logge på Shutdown: Allow system to be shut down without having to log on
59079Avslutt: Tøm sidevekslingsfilen for virtuelt minne Shutdown: Clear virtual memory pagefile
59080Systemobjekter: Stram inn standardtillatelser til interne systemobjekter (for eksempel symbolske koblinger) System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
59081Systemobjekter: Standardeier for objekter opprettet av medlemmer av gruppen Administratorer System objects: Default owner for objects created by members of the Administrators group
59082Administratorer-gruppe Administrators group
59083Objektoppretter Object creator
59084Systemobjekter: Krev at det ikke skilles mellom store og små bokstaver for delsystemer som ikke er Windows System objects: Require case insensitivity for non-Windows subsystems
59085Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, hash-koding og signering System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
59086Systemkryptografi: Fremtving sterk nøkkelbeskyttelse for brukernøkler lagret på datamaskinen System cryptography: Force strong key protection for user keys stored on the computer
59087Brukerinndata kreves ikke når nye nøkler lagres og brukes User input is not required when new keys are stored and used
59088Brukeren blir spurt når nøkkelen brukes første gang User is prompted when the key is first used
59089Brukeren må oppgi et passord hver gang en nøkkel brukes User must enter a password each time they use a key
59090Systeminnstillinger: Bruk sertifikatregler på Windows-kjørbare filer for begrensningspolicyer for programvare System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
59091Systeminnstillinger: Valgfrie undersystemer System settings: Optional subsystems
59092pålogginger logons
59093dager days
59094minutter minutes
59095sekunder seconds
59096DCOM: Maskinoppstartsbegrensninger i Security Descriptor Definition Language (SDDL)-syntaks DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
59097DCOM: Maskintilgangsbegrensninger i Security Descriptor Definition Language (SDDL)-syntaks DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
59098Enheter: Begrens CD-ROM-tilgang til brukeren som er logget på lokalt Devices: Restrict CD-ROM access to locally logged-on user only
59099Enheter: Tillatt å formatere og løse ut flyttbare medier Devices: Allowed to format and eject removable media
59100Administratorer Administrators
59101Administratorer og privilegerte brukere Administrators and Power Users
59102Administratorer og interaktive brukere Administrators and Interactive Users
59103Enheter: Begrens diskettilgang til brukeren som er logget på lokalt Devices: Restrict floppy access to locally logged-on user only
59104Overvåking: Fremtving underkategoriinnstillinger for overvåkingspolicy (Windows Vista eller senere) for å overstyre kategoriinnstillinger for overvåkingspolicy Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
59105Nettverkssikkerhet: Begrens NTLM: Utgående NTLM-trafikk til eksterne servere Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
59106Tillat alle Allow all
59107Avslå alle Deny all
59108Nettverkssikkerhet: Begrens NTLM: Innkommende NTLM-trafikk Network security: Restrict NTLM: Incoming NTLM traffic
59110Avslå alle domenekontoer Deny all domain accounts
59111Avslå alle kontoer Deny all accounts
59112Nettverkssikkerhet: Begrens NTLM: NTLM-godkjenning i dette domenet Network security: Restrict NTLM: NTLM authentication in this domain
59113Deaktiver Disable
59114Avslå for domenekontoer på domeneservere Deny for domain accounts to domain servers
59115Avslå for domenekontoer Deny for domain accounts
59116Avslå for domeneservere Deny for domain servers
59118Nettverkssikkerhet: Begrens NTLM: Legg til unntak for eksterne servere for NTLM-godkjenning Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
59119Nettverkssikkerhet: Begrens NTLM: Legg til serverunntak i dette domenet Network security: Restrict NTLM: Add server exceptions in this domain
59120Nettverkssikkerhet: Tillat at LocalSystem går tilbake til NULL-økt Network security: Allow LocalSystem NULL session fallback
59121Nettverkssikkerhet: Konfigurer krypteringstyper som er tillatte for Kerberos Network security: Configure encryption types allowed for Kerberos
59122DES_CBC_CRC DES_CBC_CRC
59123DES_CBC_MD5 DES_CBC_MD5
59124RC4_HMAC_MD5 RC4_HMAC_MD5
59125AES128_HMAC_SHA1 AES128_HMAC_SHA1
59126AES256_HMAC_SHA1 AES256_HMAC_SHA1
59127Fremtidige krypteringstyper Future encryption types
59129Nettverkssikkerhet: Tillat at PKU2U-godkjenningsforespørsler til denne datamaskinen bruker onlineidentiteter.

Network security: Allow PKU2U authentication requests to this computer to use online identities.

59130Overvåk alle Audit all
59131Nettverkssikkerhet: Begrens NTLM: Overvåk innkommende NTLM-trafikk Network security: Restrict NTLM: Audit Incoming NTLM Traffic
59132Nettverkssikkerhet: Begrens NTLM: Overvåk NTLM-godkjenning i dette domenet Network security: Restrict NTLM: Audit NTLM authentication in this domain
59133Nettverkssikkerhet: Tillat lokalt system å bruke datamaskinidentitet for NTLM Network security: Allow Local System to use computer identity for NTLM
59135Aktiver overvåking for domenekontoer Enable auditing for domain accounts
59136Aktiver overvåking for alle kontoer Enable auditing for all accounts
59138Aktiver for domenekontoer på domeneservere Enable for domain accounts to domain servers
59139Aktiver for domenekontoer Enable for domain accounts
59140Aktiver for domeneservere Enable for domain servers
59141Aktiver alle Enable all
59142Microsoft-nettverksserver: Valideringsnivå for server-SPN-målnavn Microsoft network server: Server SPN target name validation level
59144Godta hvis mottatt fra klient Accept if provided by client
59145Kreves fra klient Required from client
59146Microsoft-nettverksserver: Prøv S4U2Self for å hente kravinformasjon Microsoft network server: Attempt S4U2Self to obtain claim information
59147Standard Default
59150Kontoer: Blokker Microsoft-kontoer Accounts: Block Microsoft accounts
59151Denne policyen er deaktivert This policy is disabled
59152Brukere kan ikke legge til Microsoft-kontoer Users can't add Microsoft accounts
59153Brukere kan ikke legge til eller logge på med Microsoft-kontoer Users can't add or log on with Microsoft accounts
59154Interaktiv pålogging: Terskel for maskinkontolåsing Interactive logon: Machine account lockout threshold
59155Interaktiv pålogging: Inaktivitetsgrense for maskin Interactive logon: Machine inactivity limit
59156ugyldige påloggingsforsøk invalid logon attempts
59157Nettverkstilgang: Begrens hvilke klienter som har tillatelse til å opprette eksterne kall til SAM Network access: Restrict clients allowed to make remote calls to SAM
59158Interaktiv pålogging: Ikke vis brukernavnet ved pålogging Interactive logon: Don't display username at sign-in

EXIF

File Name:wsecedit.dll.mui
Directory:%WINDIR%\WinSxS\amd64_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_nb-no_f105739c81bbdf9b\
File Size:425 kB
File Permissions:rw-rw-rw-
File Type:Win32 DLL
File Type Extension:dll
MIME Type:application/octet-stream
Machine Type:Intel 386 or later, and compatibles
Time Stamp:0000:00:00 00:00:00
PE Type:PE32
Linker Version:14.10
Code Size:0
Initialized Data Size:434688
Uninitialized Data Size:0
Entry Point:0x0000
OS Version:10.0
Image Version:10.0
Subsystem Version:6.0
Subsystem:Windows GUI
File Version Number:10.0.15063.0
Product Version Number:10.0.15063.0
File Flags Mask:0x003f
File Flags:(none)
File OS:Windows NT 32-bit
Object File Type:Dynamic link library
File Subtype:0
Language Code:Norwegian (Bokml)
Character Set:Unicode
Company Name:Microsoft Corporation
File Description:Sikkerhetskonfigurasjons-UI-modul
File Version:10.0.15063.0 (WinBuild.160101.0800)
Internal Name:WSECEDIT
Legal Copyright:© Microsoft Corporation. Med enerett.
Original File Name:WSecEdit.dll.mui
Product Name:Operativsystemet Microsoft® Windows®
Product Version:10.0.15063.0
Directory:%WINDIR%\WinSxS\x86_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_nb-no_94e6d818c95e6e65\

What is wsecedit.dll.mui?

wsecedit.dll.mui is Multilingual User Interface resource file that contain Norwegian (Bokml) language for file wsecedit.dll (Sikkerhetskonfigurasjons-UI-modul).

File version info

File Description:Sikkerhetskonfigurasjons-UI-modul
File Version:10.0.15063.0 (WinBuild.160101.0800)
Company Name:Microsoft Corporation
Internal Name:WSECEDIT
Legal Copyright:© Microsoft Corporation. Med enerett.
Original Filename:WSecEdit.dll.mui
Product Name:Operativsystemet Microsoft® Windows®
Product Version:10.0.15063.0
Translation:0x414, 1200