AssignPrimaryToken

无

允许用户修改进程的安全访问内标识。

审核

无

生成安全审核。

Backup

Administrators Backup Operators

允许用户备份文件和目录。 该特权替换所有文件和目录权限。

BatchLogon

无

允许用户以批处理作业方式登录。

ChangeNotify

Everyone

通常，文件和子目录的权限向下传递；也就是说，不拥有特定目录权限的用户不拥有访问该目录下的子目录的权限。 该特权允许用户访问子目录，即使该用户不拥有父目录的权限。

CreatePagefile

无

允许用户创建页面文件。 安全由用户对该项拥有的访问权限决定。

\CurrentControlSet\Control\
SessionManagement

CreatePermanent

无

允许用户创建特殊永久对象，如 \\Device

CreateToken

无

创建内标识对象。 仅 Local Security Authority 可执行该操作。 Local Security Authority 确保拥有访问系统的权限。 不允许审核该权限的使用。 对于 C2 认证，建议不为任何用户分配该权限。

调试

管理员

调试程序或对象（如线程）。 您不能审核该特权。 对于 C2 认证，建议不为包括系统管理员在内的任何用户分配该特权。

IncreaseBasePriority

管理员
超级用户 

允许用户提高进程的执行优先级。

IncreaseQuota

无

允许用户提高对象配额。

InteractiveLogon

Most groups

允许用户以交互方式登录。

LoadDriver

管理员

允许用户安装和删除设备驱动程序。

LockMemory

无

允许用户锁定计算机内存中的页，这样在 PAGEFILE.SYS 等备份存储上就不能自动备份这些页。

MachineAccount

无

允许用户将新计算机添加到域中。

NetworkLogon

Everyone

允许用户从网络中任意位置连接计算机。 这意味着用户不必位于特定位置或终端即可登录他们的计算机。

ProfileSingleProcess

管理员
超级用户 

允许用户使用性能监视工具以便监视单个进程的性能。

RemoteShutdownPrivilege

管理员
超级用户 

允许用户从远程关闭 Windows 系统。

Restore

管理员
Backup Operators

允许用户还原所备份的文件和目录。 该权限替换所有文件和目录权限。

安全

管理员

允许用户指定要审核的资源访问类型（如文件访问），并允许用户指定查看和清除安全日志。

注意：该权限不允许用户在 Microsoft 用户管理器中的“策略”菜单上使用 Audit 命令设置系统审核策略。 管理员始终能够查看和清除安全日志。

ServiceLogon

无

使进程能够作为服务注册到系统。

Shutdown

管理员
备份操作员  
所有人
超级用户  
用户

允许用户从系统控制台关闭系统。

SystemEnvironment

管理员

允许用户修改系统环境变量。 这使用户能够在其工作站上设置系统环境，并确保在同一工作站上工作的所有其他用户能够使用相同设置。

SystemProfile

管理员

允许用户在系统上执行配置（性能示例）。

SystemTime

管理员
Power Users

允许用户设置计算机的内部时钟的时间。

TakeOwnership

管理员

允许用户成为文件、目录、打印机或计算机上的其他对象的所有者。 该权限替换保护对象的所有权限。

Tcb

无

使进程能够作为操作系统的安全、受信任部分执行。 授予部分子系统该特权。