Zuweisen Von Benutzerrechten

8/18/2019 Zuweisen Von Benutzerrechten

1/97

Ich stimme zu, dass diese Seite Cookies für Analysen, personalisierten Inhalt und Werbung verwendet

Erfahren Sie mehr

AuflistungDas Dokument wird wie vorliegend bereitgestellt. Die in diesem Dokument enthaltenen Informationenund Ansichten, einschließlich URLs und andere Internetwebsites, können ohne vorherige Ankündigung

geändert werden. Sie erhalten durch dieses Dokument keinerlei Rechte an geistigem Eigentum inProdukten oder Produktnamen von Microsoft. Sie dürfen das Dokument intern zu Ihrer eigenen

Information kopieren und verwenden. Sie dürfen das Dokument intern zu Ihrer eigenen Informationändern. © 2015 Microsoft. Alle Rechte vorbehalten. Nutzungsbedingungen

(https://technet.microsoft.com/cc300389.aspx) | Marken(http://www.microsoft.com/library/toolbar/3.0/trademarks/en-us.mspx)

Table Of Contents

Kapitel 1

Access Anmeldeinformations-Manager als ein vertrauenswürdiger Aufrufer

Auf diesen Computer vom Netzwerk aus zugreifen.

Einsetzen Sie als Teil des Betriebssystems

Hinzufügen von Arbeitsstationen zur Domäne

Anpassen der Arbeitsspeicherquoten für einen Prozess

Lokal anmelden zulassen

Anmelden über Remotedesktopdienste zulassen

Sichern von Dateien und Verzeichnissen

https://www.microsoft.com/privacystatement/de-de/core/default.aspxhttps://technet.microsoft.com/de-de/library/dn221952.aspxhttps://technet.microsoft.com/de-de/library/dn221952.aspxhttps://technet.microsoft.com/de-de/library/dn221978.aspxhttps://technet.microsoft.com/de-de/library/dn221978.aspxhttps://technet.microsoft.com/de-de/library/dn221957.aspxhttps://technet.microsoft.com/de-de/library/dn221957.aspxhttps://technet.microsoft.com/de-de/library/dn221987.aspxhttps://technet.microsoft.com/de-de/library/dn221987.aspxhttps://technet.microsoft.com/de-de/library/dn221983.aspxhttps://technet.microsoft.com/de-de/library/dn221983.aspxhttps://technet.microsoft.com/de-de/library/dn221980.aspxhttps://technet.microsoft.com/de-de/library/dn221980.aspxhttps://technet.microsoft.com/de-de/library/dn221985.aspxhttps://technet.microsoft.com/de-de/library/dn221985.aspxhttps://technet.microsoft.com/de-de/library/dn221961.aspxhttps://technet.microsoft.com/de-de/library/dn221961.aspxhttps://technet.microsoft.com/de-de/library/dn221961.aspxhttps://technet.microsoft.com/de-de/library/dn221985.aspxhttps://technet.microsoft.com/de-de/library/dn221980.aspxhttps://technet.microsoft.com/de-de/library/dn221983.aspxhttps://technet.microsoft.com/de-de/library/dn221987.aspxhttps://technet.microsoft.com/de-de/library/dn221957.aspxhttps://technet.microsoft.com/de-de/library/dn221978.aspxhttps://technet.microsoft.com/de-de/library/dn221952.aspxhttps://www.microsoft.com/privacystatement/de-de/core/default.aspx


2/97

Auslassen der durchsuchenden Überprüfung

Ändern der Systemzeit

Ändern der Zeitzone

Erstellen einer Auslagerungsdatei

Erstellen eines Tokenobjekts

Globale Objekte erstellen

Permanente freigegebene Objekte erstellen

Erstellen symbolischer Verknüpfungen

Debuggen von Programmen

Zugriff vom Netzwerk auf diesen Computer verweigern

Anmelden als Batchauftrag verweigern

Anmelden als Dienst verweigern

Lokal anmelden verweigern

Anmelden über Remotedesktopdienste verweigern

Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird

Erzwingen des Herunterfahrens von einem Remotesystem

Generieren von sicherheitsüberwachungen

Identitätswechsel eines Clients nach der Authentifizierung

Arbeitssatz eines Prozesses vergrößern

https://technet.microsoft.com/de-de/library/dn221950.aspxhttps://technet.microsoft.com/de-de/library/dn221950.aspxhttps://technet.microsoft.com/de-de/library/dn221970.aspxhttps://technet.microsoft.com/de-de/library/dn221970.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221955.aspxhttps://technet.microsoft.com/de-de/library/dn221955.aspxhttps://technet.microsoft.com/de-de/library/dn221946.aspxhttps://technet.microsoft.com/de-de/library/dn221946.aspxhttps://technet.microsoft.com/de-de/library/dn221972.aspxhttps://technet.microsoft.com/de-de/library/dn221972.aspxhttps://technet.microsoft.com/de-de/library/dn221968.aspxhttps://technet.microsoft.com/de-de/library/dn221968.aspxhttps://technet.microsoft.com/de-de/library/dn221947.aspxhttps://technet.microsoft.com/de-de/library/dn221947.aspxhttps://technet.microsoft.com/de-de/library/dn221969.aspxhttps://technet.microsoft.com/de-de/library/dn221969.aspxhttps://technet.microsoft.com/de-de/library/dn221954.aspxhttps://technet.microsoft.com/de-de/library/dn221954.aspxhttps://technet.microsoft.com/de-de/library/dn221958.aspxhttps://technet.microsoft.com/de-de/library/dn221958.aspxhttps://technet.microsoft.com/de-de/library/dn221973.aspxhttps://technet.microsoft.com/de-de/library/dn221973.aspxhttps://technet.microsoft.com/de-de/library/dn221948.aspxhttps://technet.microsoft.com/de-de/library/dn221948.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221977.aspxhttps://technet.microsoft.com/de-de/library/dn221977.aspxhttps://technet.microsoft.com/de-de/library/dn221951.aspxhttps://technet.microsoft.com/de-de/library/dn221951.aspxhttps://technet.microsoft.com/de-de/library/dn221956.aspxhttps://technet.microsoft.com/de-de/library/dn221956.aspxhttps://technet.microsoft.com/de-de/library/dn221967.aspxhttps://technet.microsoft.com/de-de/library/dn221967.aspxhttps://technet.microsoft.com/de-de/library/dn221949.aspxhttps://technet.microsoft.com/de-de/library/dn221949.aspxhttps://technet.microsoft.com/de-de/library/dn221949.aspxhttps://technet.microsoft.com/de-de/library/dn221967.aspxhttps://technet.microsoft.com/de-de/library/dn221956.aspxhttps://technet.microsoft.com/de-de/library/dn221951.aspxhttps://technet.microsoft.com/de-de/library/dn221977.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221948.aspxhttps://technet.microsoft.com/de-de/library/dn221973.aspxhttps://technet.microsoft.com/de-de/library/dn221958.aspxhttps://technet.microsoft.com/de-de/library/dn221954.aspxhttps://technet.microsoft.com/de-de/library/dn221969.aspxhttps://technet.microsoft.com/de-de/library/dn221947.aspxhttps://technet.microsoft.com/de-de/library/dn221968.aspxhttps://technet.microsoft.com/de-de/library/dn221972.aspxhttps://technet.microsoft.com/de-de/library/dn221946.aspxhttps://technet.microsoft.com/de-de/library/dn221955.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221970.aspxhttps://technet.microsoft.com/de-de/library/dn221950.aspx


3/97

Anheben der Zeitplanungspriorität

Laden und Entfernen von Gerätetreibern

Sperren von Seiten im Speicher

Anmelden als Stapelverarbeitungsauftrag

Melden Sie als Dienst an

Verwalten von Überwachungs- und Sicherheitsprotokollen

Ändern einer Objekt-Beschriftung

Verändern der Firmwareumgebungsvariablen

Ausführen von Volumewartungsaufgaben

Erstellen eines Profils für einen Einzelprozess

Erstellen eines Profils der Systemleistung

Entfernen des Computers aus der Dockingstation

Ersetzen eines Tokens auf Prozessebene

Wiederherstellen von Dateien und Verzeichnissen

Herunterfahren des Systems

Directory Service Daten synchronisieren

Übernehmen des Besitzes an Dateien und Objekten

https://technet.microsoft.com/de-de/library/dn221960.aspxhttps://technet.microsoft.com/de-de/library/dn221960.aspxhttps://technet.microsoft.com/de-de/library/dn221964.aspxhttps://technet.microsoft.com/de-de/library/dn221964.aspxhttps://technet.microsoft.com/de-de/library/dn221979.aspxhttps://technet.microsoft.com/de-de/library/dn221979.aspxhttps://technet.microsoft.com/de-de/library/dn221944.aspxhttps://technet.microsoft.com/de-de/library/dn221944.aspxhttps://technet.microsoft.com/de-de/library/dn221981.aspxhttps://technet.microsoft.com/de-de/library/dn221981.aspxhttps://technet.microsoft.com/de-de/library/dn221953.aspxhttps://technet.microsoft.com/de-de/library/dn221953.aspxhttps://technet.microsoft.com/de-de/library/dn221974.aspxhttps://technet.microsoft.com/de-de/library/dn221974.aspxhttps://technet.microsoft.com/de-de/library/dn221984.aspxhttps://technet.microsoft.com/de-de/library/dn221984.aspxhttps://technet.microsoft.com/de-de/library/dn221971.aspxhttps://technet.microsoft.com/de-de/library/dn221971.aspxhttps://technet.microsoft.com/de-de/library/dn221982.aspxhttps://technet.microsoft.com/de-de/library/dn221982.aspxhttps://technet.microsoft.com/de-de/library/dn221945.aspxhttps://technet.microsoft.com/de-de/library/dn221945.aspxhttps://technet.microsoft.com/de-de/library/dn221965.aspxhttps://technet.microsoft.com/de-de/library/dn221965.aspxhttps://technet.microsoft.com/de-de/library/dn221975.aspxhttps://technet.microsoft.com/de-de/library/dn221975.aspxhttps://technet.microsoft.com/de-de/library/dn221962.aspxhttps://technet.microsoft.com/de-de/library/dn221962.aspxhttps://technet.microsoft.com/de-de/library/dn221966.aspxhttps://technet.microsoft.com/de-de/library/dn221966.aspxhttps://technet.microsoft.com/de-de/library/dn221988.aspxhttps://technet.microsoft.com/de-de/library/dn221988.aspxhttps://technet.microsoft.com/de-de/library/dn221976.aspxhttps://technet.microsoft.com/de-de/library/dn221976.aspxhttps://technet.microsoft.com/de-de/library/dn221976.aspxhttps://technet.microsoft.com/de-de/library/dn221988.aspxhttps://technet.microsoft.com/de-de/library/dn221966.aspxhttps://technet.microsoft.com/de-de/library/dn221962.aspxhttps://technet.microsoft.com/de-de/library/dn221975.aspxhttps://technet.microsoft.com/de-de/library/dn221965.aspxhttps://technet.microsoft.com/de-de/library/dn221945.aspxhttps://technet.microsoft.com/de-de/library/dn221982.aspxhttps://technet.microsoft.com/de-de/library/dn221971.aspxhttps://technet.microsoft.com/de-de/library/dn221984.aspxhttps://technet.microsoft.com/de-de/library/dn221974.aspxhttps://technet.microsoft.com/de-de/library/dn221953.aspxhttps://technet.microsoft.com/de-de/library/dn221981.aspxhttps://technet.microsoft.com/de-de/library/dn221944.aspxhttps://technet.microsoft.com/de-de/library/dn221979.aspxhttps://technet.microsoft.com/de-de/library/dn221964.aspxhttps://technet.microsoft.com/de-de/library/dn221960.aspx


4/97

Kapitel 1Access Anmeldeinformations-Managerals ein vertrauenswürdiger Aufrufer

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8

In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.

Verweis DieZugriff Anmeldeinformations-Manager als ein vertrauenswürdiger AufruferRichtlinie wirddurch den Anmeldeinformations-Manager während der Sicherung und Wiederherstellungverwendet. Keine Konten sollte diese Berechtigung, da er nur an den Winlogon-Dienst zugewiesenist. Gespeicherte Anmeldeinformationen von Benutzern können beeinträchtigt werden, wenn dieseBerechtigung anderen Entitäten angegeben ist.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeTrustedCredManAccessPrivilege

Mögliche Werte Eine benutzerdefinierte Liste der Konten Nicht definiert

Bewährte Methoden Ändern Sie diese Einstellung den Standardwert nicht.

Speicherort\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

StandardwerteDie folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige server

http://void%280%29/http://void%280%29/http://void%280%29/


5/97

Effektive Standardeinstellungen der Domäne-controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-VersionsunterschiedeDiese Einstellung wurde mit Windows Vista und Windows Server 2008 eingeführt. Es gibt keineUnterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstützten Versionen vonWindows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie.Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.

GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien2.

Website-Richtlinien3.

Richtlinien für die Domäne4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.

Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.

SicherheitsrisikoWenn ein Konto dieses Benutzerrecht zugewiesen wird, kann der Benutzer des Kontos eineAnwendung erstellen, die in den Anmeldeinformations-Manager aufgerufen und dieAnmeldeinformationen für einen anderen Benutzer zurückgegeben.

GegenmaßnahmeDefinieren Sie nicht dieZugriff Anmeldeinformations-Manager als ein vertrauenswürdiger

AufruferEinstellung für alle Konten außer den Anmeldeinformations-Manager.

Mögliche AuswirkungKeiner.Nicht definiert, ist die Standardkonfiguration.

Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft

Auf diesen Computer vom Netzwerk

aus zugreifen.

http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/


6/97

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese

Einstellung.Verweis DieZugriff auf diesen Computer vom Netzwerk auslegt fest, welche Benutzer über das Netzwerk mitdem Computer herstellen können. Diese Funktion ist eine Reihe von Netzwerkprotokollen,einschließlich Server Message Block SMB-basierte Protokolle, NetBIOS, Common Internet File System(CIFS) und Component Object Model Plus (COM+) erforderlich.Benutzer, Computer und Dienstkonten gewinnen oder verlieren dieauf diesen Computer vomNetzwerk ausBenutzer nach rechts explizit oder implizit hinzugefügt oder entfernt aus einerSicherheitsgruppe, die diese Berechtigung erteilt wurde. Klicken Sie z. B. ein Benutzerkonto oder einComputerkonto kann explizit hinzugefügt werden eine benutzerdefinierte Sicherheitsgruppe oderintegrierte Sicherheitsgruppe von einem Administrator oder es implizit hinzugefügt werden durch dasBetriebssystem zu einer vordefinierten Sicherheitsgruppe, wie z. B. Domänenbenutzer, authentifizierteBenutzer oder Domänencontroller der Organisation.Standardmäßig werden Benutzer- und Computerkonten gewährt derauf diesen Computer vomNetzwerk ausBenutzer sofort, wenn berechnete Gruppen, z. B. authentifizierte Benutzer und fürDomänencontroller, die Enterprise-Domänencontrollergruppe in der Standard-Domänencontroller(Group Policy Object, GPO) definiert sind.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: "SeNetworkLogonRight"

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden Auf Desktopcomputern oder Mitgliedsservern diese Berechtigung nur für Benutzer und

Administratoren. Gewähren Sie dieses Recht nur authentifizierte Benutzer, Domänencontroller der Organisation

und Administratoren auf Domänencontrollern.

Diese Einstellung enthält die jederGruppe, um die Abwärtskompatibilität sicherzustellen. Nachder Aktualisierung von Windows, nachdem Sie überprüft haben, dass alle Benutzer undGruppen ordnungsgemäß migriert werden, sollten Sie entfernen die jederund verwenden SiedieAuthentifizierte BenutzerGruppe.

Speicherort\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten


Server-Typ oder das Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie Nicht definiert



7/97

Standarddomänencontroller-Richtlinie Jeder Benutzer, Administratoren, authentifizierte Benkompatibler Zugriff

Standardeinstellungen für eigenständige server Jeder Benutzer, Administratoren, Benutzer, Sicherun


Jeder Benutzer, Administratoren, authentifizierte Benkompatibler Zugriff

Member Server effektiv Standardeinstellungen Jeder Benutzer, Administratoren, Benutzer, Sicherun

Effektiven Standardwert für Clientcomputer Jeder Benutzer, Administratoren, Benutzer, Sicherun

Betriebssystem-VersionsunterschiedeDiese Einstellung wurde in Windows Server 2003 und Windows XP mit Service Pack 2 eingeführt. DieseEinstellung wurde nicht geändert, und es enthält die jederGruppe, um die Abwärtskompatibilität

sicherzustellen. Nachdem Sie überprüft haben, dass alle Benutzer und Gruppen ordnungsgemäßmigriert werden, sollten Sie entfernen die jederund verwenden Sie dieAuthentifizierteBenutzerGruppe.

Richtlinienverwaltung Wenn Sie dieses Benutzerrecht ändern, möglicherweise die folgenden Aktionen bewirken, Benutzernund Diensten Netzwerkzugriffsprobleme auftreten:

Entfernen die Sicherheitsgruppe der Domänencontroller der Organisation Entfernen der Gruppe der authentifizierten Benutzer oder eine explizite Gruppe, die die

Berechtigung zum Herstellen von Computern über das Netzwerk ermöglicht es, Benutzern,Computern und Dienstkonten

Entfernen alle Benutzer und ComputerEin Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.


1.

Einstellungen lokaler Richtlinien2.

Website-Richtlinien3. Richtlinien für die Domäne

4.

Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.


SicherheitsrisikoBenutzer, die von ihrem Computer mit dem Netzwerk verbinden können können Ressourcen auf denZielcomputern zugreifen, für die sie die Berechtigung haben. Zum Beispiel dieZugriff auf diesen

Computer vom Netzwerk ausBerechtigung ist erforderlich, damit Benutzer auf freigegebene Druckerund Ordner zugreifen. Wenn dieses Benutzerrecht zugeordnet ist die jederGruppe Mitglied der Gruppekann die Dateien in diesen freigegebenen Ordnern lesen. Diese Situation ist unwahrscheinlich, da die

http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/


8/97

Gruppen, indem eine Standardinstallation von erstelltWindows Server 2012WindowsServer 2008 R2Windows 8undWindows 7enthalten nicht die jederGruppe. Jedoch, wenn ein Computeraktualisiert wird und der ursprüngliche Computer enthält die jederGruppe als Teil seiner definierteBenutzer und Gruppen, die dieser Gruppe als Teil des Aktualisierungsprozesses gewechselt wird undauf dem Computer vorhanden ist.

GegenmaßnahmeEinschränken derZugriff auf diesen Computer vom Netzwerk ausBenutzer direkt nur auf dieBenutzer und Gruppen, die Zugriff auf den Computer benötigen. Beispielsweise, wenn Sie dieseEinstellung zum Konfigurieren derAdministratorenundBenutzergruppiert, melden Sie sich bei derDomäne auf Ressourcen zugreifen kann, die von den Servern in der Domäne verwendet werden, wenn,Benutzer Mitglieder derDomänenbenutzerGruppe befinden sich in der lokalenBenutzerGruppe.

Hinweis

Wenn Sie IPsec verwenden, die um sichere Kommunikation in Ihrer Organisation zu helfen, stellen Sie sicerteilt wird. Dieses Recht ist für die erfolgreiche Authentifizierung erforderlich. Dieses Recht zuweisenAutAnforderung.

Mögliche AuswirkungEntfernen derZugriff auf diesen Computer vom Netzwerk ausrechts auf Domänencontrollern für alleBenutzer niemand kann Benutzer, Anmelden auf die Domäne oder verwenden. Wenn Sie diesenBenutzer direkt auf Mitgliedsservern entfernen, herstellen nicht Benutzern diese Server über dasNetzwerk. Wenn Sie optionale Komponenten wie z. B. ASP.NET oder Internet Information Services (IIS)installiert haben, müssen Sie dieses Benutzerrecht zusätzliche Konten zuweisen, die von diesenKomponenten erforderlich sind. Es ist wichtig, um sicherzustellen, dass autorisierte Benutzer dieBenutzer direkt bei den Computern zugewiesen sind, die sie benötigen Zugriff auf das Netzwerk.


Einsetzen Sie als Teil des

Betriebssystems

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.

Verweis DieEinsetzen als Teil des Betriebssystems legt fest, ob ein Prozess kann die Identität eines Benutzersannehmen und dadurch auf die Ressourcen Zugriff, die der Benutzer autorisiert ist, Zugriffauf.Normalerweise erfordern nur einfache Authentifizierungsdienste dieses Benutzerrecht. Potenzielle

Zugriff ist nicht beschränkt, was standardmäßig dem Benutzer zugeordnet ist. Der aufrufende Prozessverlangen, dass beliebige zusätzliche Privilegien zum Zugriffstoken hinzugefügt werden. Der

http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/


9/97

aufrufende Prozess kann auch ein Zugriffstoken erstellen, das keine primäre Identität für dieÜberwachung in den Systemereignisprotokollen bereitstellt.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeTcbPrivilege

Mögliche Werte Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden Weisen Sie dieses Recht für alle Benutzerkonten. Weisen Sie nur vertrauenswürdigen

Benutzern dieses Benutzerrecht. Wenn ein Dienst diese Berechtigung erfordert, konfigurieren Sie den Dienst zum Anmelden

mit dem lokalen Systemkonto, das dieses Benutzerrecht grundsätzlich enthält. Erstellen Sie einseparates Konto nicht, und weisen Sie diesem Benutzer direkt zu.

Speicherort

\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten





Standardeinstellungen für eigenständige server




Betriebssystem-Versionsunterschiede Diese Einstellung wurde mit Windows Vista und Windows Server 2008 eingeführt. Es gibt keineUnterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen vonWindows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.


1.

Einstellungen lokaler Richtlinien



10/97

2. Website-Richtlinien3.

Richtlinien für die Domäne4.



SicherheitsrisikoDieEinsetzen als Teil des BetriebssystemsBenutzerrecht ist sehr leistungsstark. Benutzer mit dieserBerechtigung können die vollständige Kontrolle über den Computer und Beweise für seine Aktivitätenlöschen.

GegenmaßnahmeEinschränken derEinsetzen als Teil des BetriebssystemsBenutzer direkt auf möglichst wenige Konten

wie möglich – Es sollte nicht selbst zugewiesen werden der Gruppe "Administratoren" unter normalenUmständen. Wenn ein Dienst diese Berechtigung erfordert, konfigurieren Sie den Dienst, melden Siesich mit dem lokalen Systemkonto, die grundsätzlich enthält dieses Recht. Erstellen Sie ein separatesKonto nicht, und weisen Sie diesem Benutzer direkt zu.

Mögliche AuswirkungEs sollte nur wenig oder gar keine Auswirkung sein, da dieEinsetzen als Teil desBetriebssystemsrecht selten alle Konten als das lokale Systemkonto erforderlich ist.


Hinzufügen von Arbeitsstationen zur

Domäne

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, den

Speicherort, die Werte, die Policy Management und Security Considerations für diese Einstellung.Verweis Diese Einstellung bestimmt, welche Benutzer einer bestimmten Domäne einen Computer hinzufügenkönnen. Es wirksam wird muss zugewiesen werden, damit sie auf mindestens einemDomänencontroller angewendet wird. Ein Benutzer, der dieses Benutzerrecht zugewiesen ist, kann biszu zehn Arbeitsstationen zur Domäne hinzufügen.Hinzufügen eines Computerkontos zur Domäne kann der Computer in Active Directory-basiertenNetzwerken teilnehmen.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeMachineAccountPrivilege

Mögliche Werte


http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/


11/97

Nicht definiert

Bewährte Methoden1.

Konfigurieren Sie diese Einstellung, sodass nur autorisierte Mitglieder des IT-Teams zumHinzufügen von Computern zur Domäne zulässig sind.

SpeicherortComputer Configuration\Windows Settings\Security Einstellungen\Benutzername\LokaleRechte Assignment\

StandardwerteStandardmäßig mit dieser Einstellung können den Zugriff für authentifizierte Benutzer aufDomänencontrollern, und es ist nicht auf eigenständigen Servern definiert.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.




Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller



Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung Benutzer können auch einen Computer einer Domäne beitreten, wenn sie die BerechtigungComputerobjekte erstellen für eine Organisationseinheit (OU) oder für den Container "Computer" indas Verzeichnis verfügen. Benutzer mit dieser Berechtigung können eine unbegrenzte Anzahl vonComputern hinzufügen, mit der Domäne, unabhängig davon, ob dieHinzufügen von

Arbeitsstationen zur DomäneRecht.Darüber hinaus Computerkonten werden erstellt, mit der dieHinzufügen von Arbeitsstationen zurDomäneBenutzerrecht verfügen Domänenadministratoren als Besitzer desComputerkontos.Computerkonten, die über Berechtigungen für Container des Computers erstelltwerden mithilfe den Ersteller als Besitzer des Computerkontos. Verfügt ein Benutzer verfügt überBerechtigungen für den Container und zudem über dieArbeitsstation zu DomänehinzufügenBenutzerrecht, der der Computer hinzugefügt wird basierend auf den ContainerComputerberechtigungen statt das Benutzerrecht.Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.

Gruppenrichtlinie



12/97

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:

1.

Einstellungen lokaler Richtlinien2. Website-Richtlinien

3.



Überlegungen zur Sicherheit Diese Richtlinie weist die folgenden Sicherheitsaspekte:

SicherheitsrisikoDieHinzufügen von Arbeitsstationen zur DomäneBenutzerrecht stellt ein geringes Sicherheitsrisikodar. Benutzer mit dieser Berechtigung konnte einen Computer zur Domäne hinzufügen, die sokonfiguriert ist, die Sicherheitsrichtlinien des Unternehmens verstößt. Wenn Ihre Organisation keine

Benutzer auf ihren Computern über Administratorrechte verfügen, können Benutzer z. B. Windows aufihren Computern installieren und dann die Computer der Domäne hinzufügen. Der Benutzer würdekennen das Kennwort für das lokale Administratorkonto konnte mit dem Konto anmelden und danneinen persönlichen Domänenkonto der lokalen Administratorgruppe hinzufügen.

GegenmaßnahmeKonfigurieren Sie diese Einstellung, sodass nur autorisierte Mitglieder des IT-Teams zum Hinzufügenvon Computern zur Domäne zulässig sind.

Mögliche AuswirkungFür Organisationen, die nie zugelassen haben Benutzer ihre eigenen Computer einrichten und derDomäne hinzugefügt werden, wirkt sich diese Gegenmaßnahme nicht. Für diejenigen, die einige oder

alle Benutzer konfigurieren ihren eigenen Computern zugelassen haben, erzwingt dieseGegenmaßnahme die Organisation einen formalen Prozess für diese Verfahren für die Zukunftherstellen. Sie wirkt vorhandene Computer sich nicht, wenn sie aufgehoben und dann der Domänehinzugefügt werden.


Anpassen der Arbeitsspeicherquoten

für einen Prozess


Verweis Diese Berechtigung bestimmt, wer den maximalen Arbeitsspeicher ändern kann, der von einem

Prozess genutzt werden können. Diese Berechtigung eignet sich für die systemoptimierung auf BasisGruppen- oder Benutzernamen.



13/97

Dieses Benutzerrecht wird in den Controller Gruppe Objekt (Standarddomänenrichtlinie) und in derlokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeIncreaseQuotaPrivilege


Nicht definiert

Bewährte Methoden1. Einschränken derAnpassen von Speicherkontingenten für einen Prozessrechts Benutzer nur

die Benutzer die Möglichkeit zum Anpassen von Speicherkontingenten zur Durchführung ihrerAufgaben erforderlich ist.

2.

Wenn diese Berechtigung für ein Benutzerkonto erforderlich ist, können sie ein lokalesComputerkonto anstelle von einem Domänenkonto zugewiesen werden.

SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Einstellungen\Benutzername\Lokale Rechte Assignment\

StandardwerteStandardmäßig verfügen Mitglieder der Administratoren, lokaler Dienst und Netzwerkdienst Gruppenüber dieses Recht.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.









14/97

Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.



1. Einstellungen lokaler Richtlinien2.



Richtlinien für die Organisationseinheit



SicherheitsrisikoEin Benutzer mit derAnpassen von Speicherkontingenten für einen ProzessBerechtigung kann derverfügbare Arbeitsspeicher auf alle Prozesse, die geschäftskritische netzwerkanwendungen langsamoder Fehlschlagen verursachen könnte reduzieren. Dieses Privileg konnte von einem böswilligen

Benutzer verwendet werden, um einen Denial-of-Service-Angriff (DoS) zu starten.

GegenmaßnahmeEinschränken derAnpassen von Speicherkontingenten für einen ProzessBenutzer Rechte fürBenutzer, die erforderlich ist, führen Sie ihre Arbeit, z. B. Anwendungsadministratoren und Pflege derDatenbank-Managementsysteme oder Domänen-Admins, die im Verzeichnis der Organisation und derunterstützenden Infrastruktur verwalten.

Mögliche AuswirkungOrganisationen, die keine Rollen mit eingeschränkten Berechtigungen Nutzungsrichtlinie haben findenes möglicherweise schwierig, diese Gegenmaßnahme verlangen. Auch, wenn Sie optionaleKomponenten wie z. B. ASP.NET oder IIS installiert haben, müssen Sie möglicherweise zum Zuweisen

derAnpassen von Speicherkontingenten für einen Prozessrechts Benutzer weitere Konten, die vondiesen Komponenten erforderlich sind. IIS ist es erforderlich, dass diese Berechtigung explizit dieIWAM_ < ComputerName >, Netzwerkdienst und Dienstkonten zugewiesen werden. Andernfalls hatdiese Gegenmaßnahme sollte keine Auswirkung auf den meisten Computern. Wenn dieseBerechtigung für ein Benutzerkonto erforderlich ist, können sie ein lokales Computerkonto anstelle voneinem Domänenkonto zugewiesen werden.


Lokal anmelden zulassen

http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/


15/97


Verweis Diese Einstellung bestimmt, welche Benutzer eine interaktive Sitzung auf dem Computer startenkönnen.Benutzer müssen dieses Benutzerrecht Anmelden über Remotedesktopdienste oderTerminaldienste-Sitzung, die auf einem Windows-basierten Mitgliedscomputer oder derDomänencontroller ausgeführt wird.

Hinweis

Benutzer, die nicht über diese Berechtigung verfügen, können trotzdem eine interaktive Remotesitzung aufRemotedesktopdienste zulassenrechten.

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeInteractiveLogonRight

Mögliche Werte

Eine benutzerdefinierte Liste der Konten Nicht definiert

Die Elemente der folgenden Gruppen verfügen standardmäßig über dieses Recht auf Arbeitsstationenund Servern:

Administratoren Sicherungsoperatoren Benutzer

Die Elemente der folgenden Gruppen verfügen standardmäßig über dieses Recht aufDomänencontrollern:

Konten-Operatoren Administratoren Sicherungsoperatoren Druck-Operatoren

Server-Operatoren


Beschränken Sie diesen Benutzer direkt auf legitime Benutzer an der Konsole des Computersanmelden müssen.

2.

Standardgruppen selektiv entfernen, können Sie die Funktionen von Benutzern beschränken,die bestimmte administrative Rollen in Ihrer Organisation zugeordnet sind.

SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

StandardwerteDie folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows.Standardwerte sind auch auf der Eigenschaftenseite für die

Richtlinie aufgeführt.




16/97







Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.RemoteDesktop Services wurde früher als Terminaldienste bezeichnet.

Richtlinienverwaltung Neustart des Computers ist nicht erforderlich, um diese Änderung zu implementieren.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.Ändern diese Einstellung kann die Kompatibilität mit Clients, Dienste und Programme auswirken.SeienSie vorsichtig beim Entfernen von Dienstkonten, die von Komponenten und Programmen auf

Mitgliedscomputern und Domänencontrollern in der Domäne aus der StandarddomänencontrollerRichtlinie verwendet werden.Beim Entfernen von Benutzern oder Sicherheitsgruppen, die melden Siesich bei der Konsole von Mitgliedscomputern in der Domäne oder Entfernen von Dienstkonten, die inder lokalen Datenbank der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) vonMitgliedscomputern oder Arbeitsgruppencomputern definiert sind, wird ebenfalls verwenden SieVorsicht.Wenn Sie ein Benutzerkonto die Anmeldung an einem Domänencontroller einräumen möchten, achtenSie dieser Benutzer Mitglied einer Gruppe, die bereits dielokale Anmeldung zugelasseneSystemrechten oder erteilen, das Recht, dieses Benutzerkonto.Die Domänencontroller in der Domäne Freigeben des Default Domain Controller Objekt (GPO).WennSie ein Konto erteilen derLokal anmelden zulassenlassen Sie dieses Konto lokal auf allen

Domänencontrollern in der Domäne anmelden.



17/97

Wenn die Gruppe "Benutzer", in aufgeführt ist derLokal anmelden zulassenfür einGruppenrichtlinienobjekt festlegen, alle Domänenbenutzer können lokal anmelden.Die integrierteGruppe Benutzer werden Domänenbenutzer als Member enthält.

GruppenrichtlinieGruppenrichtlinien werden über Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet,

die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinieüberschrieben werden:

1.


Website-Richtlinien3. Richtlinien für die Domäne4. Richtlinien für die Organisationseinheit


SicherheitsrisikoEin Konto mit denLokal anmelden zulassenauf der Konsole des Computers Benutzerrecht anmeldenkann.Wenn Sie nicht diesen Benutzer direkt auf autorisierte Benutzer einschränken, die in der Konsoledes Computers anmelden müssen, konnte nicht autorisierte Benutzer herunterladen und Ausführenvon bösartiger Software, um ihre Rechte zu erhöhen.

GegenmaßnahmeWeisen Sie für Domänencontroller, dieLokal anmelden zulassenBerechtigung nur für die Gruppe"Administratoren".Sie können für andere Serverrollen die Sicherungsoperatoren nebenAdministratoren hinzufügen.Für den Endbenutzer-Computer sollten Sie auch dieses Recht der GruppeBenutzer zuweisen.

Alternativ können Sie Gruppen wie Konten-Operatoren, Server-Operatoren und Gäste zuweisenderLokal anmelden verweigernRecht.

Mögliche AuswirkungWenn Sie diesen Standardgruppen entfernen, können Sie die Funktionen der Benutzer begrenzen, diebestimmte administrative Rollen in der Umgebung zugewiesen werden.Wenn Sie optionaleKomponenten wie z. B. ASP.NET oder IIS installiert haben, müssen Sie möglicherweise zum ZuweisenderLokal anmelden zulassenrechts Benutzer weitere Konten, die von diesen Komponentenerforderlich sind.IIS muss dieses Benutzerrecht zugewiesen werden, bis die IUSR_< ComputerName>Konto.Sie sollten sicherstellen, dass delegierte Aktivitäten nicht von Änderungen beeinträchtigtwerden, die Sie vornehmen derLokal anmelden zulassenZuweisen von Benutzerrechten.

Siehe auch

Zuweisen von Benutzerrechten © 2015 Microsoft

Anmelden über Remotedesktopdienste

zulassen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,

Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Richtlinie.

http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/


18/97

Verweis Diese Einstellung bestimmt, welche Benutzer oder Gruppen den Anmeldebildschirm einesRemotecomputers über eine Remote Desktop Services-Verbindung zugreifen können. Es ist möglich,dass ein Benutzer eine Remote Desktop Services-Verbindung mit einem bestimmten Server jedochnicht an der Konsole des dem gleichen Server anmelden.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeRemoteInteractiveLogonRight

Mögliche Werte Eine benutzerdefinierte Liste der Konten Nicht definiert


Öffnen Sie eine Verbindung mit Remote Desktop Services und am Computer anmeldenkönnen, hinzufügen oder Entfernen von Benutzern aus der Gruppe Remotedesktopbenutzersteuern.


StandardwerteStandardmäßig verfügen Mitglieder der Gruppe "Administratoren" dieses Recht aufDomänencontrollern, Arbeitsstationen und Servern. Die Desktops-Benutzergruppe hat dieses Rechtauch auf Arbeitsstationen und Servern.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.








Betriebssystem-VersionsunterschiedeGab es keine Änderungen an den Einstellungen und Effekte der richtigen Benutzer festlegen, da es inWindows Server 2003 und Windows XP eingeführt wurde. Der Name der Einstellung wurde

jedochWindows Server 2008 R2undWindows 7ausAnmelden über Terminaldienste zulassen.Richtlinienverwaltung



19/97

Dieser Abschnitt beschreibt die verschiedenen Features und Tools zur Verfügung, die Ihnen helfen,diese Richtlinie zu verwalten.

GruppenrichtlinieUm RDS erfolgreich anmelden an einem Remotecomputer verwenden möchten, klicken Sie denBenutzer oder die Gruppe muss ein Mitglied der Gruppe "Remotedesktopbenutzer" oder

"Administratoren" sein und gewährt werden, dieAnmelden über Remotedesktopdienstezulassenrechten. Es ist möglich, für einen Benutzer stellen eine RDS-Sitzung mit einem bestimmtenServer, jedoch nicht auf dem gleichen Server die Konsole anmelden.Sie können zum Ausschließen von Benutzern oder Gruppen zuweisen derAnmelden überRemotedesktopdienste VerweigernBenutzer direkt auf die Benutzer oder Gruppen. Jedoch vorsichtigsein, wenn Sie diese Methode verwenden, da Konflikte für autorisierte Benutzer oder Gruppen, dieZugriff über zugelassen wurde erstellt werden konnte dieAnmelden über RemotedesktopdienstezulassenRecht.Weitere Informationen finden Sie unter Anmelden über Remotedesktopdienste verweigern. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des

Kontos anmeldet, wirksam.Gruppenrichtlinien werden über Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet,die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinieüberschrieben werden:

1.




Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner

Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.

SicherheitsrisikoEin Konto mit denAnmelden über Remotedesktopdienste zulassenRecht an der Remotekonsole desComputers anmelden kann. Wenn Sie nicht diesen Benutzer direkt auf autorisierte Benutzereinschränken, die in der Konsole des Computers anmelden müssen, konnte nicht autorisierte Benutzerherunterladen und Ausführen von bösartiger Software, um ihre Rechte zu erhöhen.

GegenmaßnahmeWeisen Sie für Domänencontroller, dieAnmelden über RemotedesktopdienstezulassenBerechtigung nur für die Gruppe "Administratoren". Fügen Sie für andere Serverrollen undEndbenutzer-Computer die Gruppe Remotedesktopbenutzer hinzu. Bei Servern, die der RemoteDesktop (RD)-Sitzungshost wurde-Rollendienst aktiviert und nicht im Anwendungsservermodusausführen, stellen Sie sicher, dass nur autorisierte IT-Mitarbeiter, die die Remoteverwaltung vonComputern müssen diese Gruppen angehören.

Achtung

Remotedesktop-Sitzungshostserver, die im Anwendungsservermodus ausführen, sicherstellen Sie, dass nurGruppe Remotedesktopbenutzer gehören verfügen, da diese integrierten Gruppe dieses Anmelderecht stand

Alternativ können Sie zuweisen derAnmelden über Remotedesktopdienste VerweigernBenutzerdirekt zu Gruppen wie Konten-Operatoren, Server-Operatoren und Gäste. Jedoch vorsichtig sein, wennSie diese Methode verwenden, da Sie den Zugriff von autorisierten Administratoren, die ebenfalls zu

https://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221959.aspx


20/97

einer Gruppe gehören blockieren könnten, verfügt dieAnmelden über RemotedesktopdiensteVerweigernRecht.

Mögliche AuswirkungEntfernen derAnmelden über Remotedesktopdienste zulassenBenutzer direkt aus anderen Gruppen(oder die Änderung der Mitgliedschaft in diesen Standardgruppen) kann die Funktionen von

Benutzern, die bestimmte Verwaltungsfunktionen in Ihrer Umgebung ausführen einschränken. Siesollten sicherstellen, dass delegierte Aktivitäten nicht beeinträchtigt werden.


Sichern von Dateien und

Verzeichnissen


Verweis Dieses Benutzerrecht legt fest, welche Benutzer im Rahmen der Sicherung des Systems Datei- undVerzeichnis, Registrierungsschlüssel und andere persistente Objektberechtigungen umgehen

können. Dieses Benutzerrecht gilt nur, wenn eine Anwendung, den Zugriff über die NTFS-backupAnwendungsprogrammierschnittstelle (API) über ein Sicherungstool, z. B. "Ntbackup versucht". EXE-DATEI. Andernfalls gelten standardmäßige Datei- und Verzeichnisberechtigungen.Dieses Benutzerrecht entspricht ungefähr den folgenden Berechtigungen für den Benutzer oder dieGruppe aus, die Sie auf alle Dateien und Ordner auf dem System ausgewählt haben:

Ordner durchlaufen oder Datei ausführen

Ordner auflisten oder Daten lesen Attribute lesen Erweiterte Attribute lesen Berechtigungen lesen

Standardwert für Arbeitsstationen und Server:

Administratoren Sicherungsoperatoren

Standardwert für Domänencontroller: Administratoren

Sicherungsoperatoren

Server-OperatorenDiese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeBackupPrivilege

Mögliche Werte


Nicht definiert

Bewährte Methoden



21/97

1. Einschränken derSichern von Dateien und VerzeichnissenBenutzer direkt auf Mitglieder desIT-Teams, die als Teil ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Da eskeine Möglichkeit, achten Sie darauf, dass ein Benutzer sichern, weisen Diebstahl von Datenoder beim Kopieren von Daten verteilt werden, dieses Benutzerrecht nur vertrauenswürdigenBenutzern.

2.

Wenn Sie Sicherungssoftware, die unter bestimmten Dienstkonten ausgeführt wird verwenden,nur mit diesen Konten (und nicht das IT-Personal) müssen dieSichern von Dateien undVerzeichnissenRecht.


StandardwerteIn der Standardeinstellung wird dieses Recht für Administratoren und Sicherungsoperatoren aufArbeitsstationen und Servern zugewiesen. Auf Domänencontrollern verfügen Administratoren,Sicherungsoperatoren und Server-Operatoren über dieses Recht.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.










Gruppenrichtlinie



22/97

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:

1.


3.




SicherheitsrisikoBenutzer, die Daten von einem Computer sichern können dauerte die Sicherungsmedien auf einem

Domänencomputer, auf denen sie über Administratorrechte verfügen, und anschließend die Datenwiederherstellen. Sie könnten Übernehmen des Besitzes von Dateien und Anzeigen vonunverschlüsselten Daten, die im Sicherungssatz enthalten ist.

GegenmaßnahmeEinschränken derSichern von Dateien und VerzeichnissenBenutzer direkt auf Mitglieder des IT-Teams, die als Teil ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Wenn SieSicherungssoftware, die unter bestimmten Dienstkonten ausgeführt wird verwenden, nur mit diesenKonten (und nicht das IT-Personal) müssen dieSichern von Dateien und VerzeichnissenRecht.

Mögliche AuswirkungÄndert die Mitgliedschaft der Gruppen, die dieSichern von Dateien und

VerzeichnissenBenutzerrecht konnte die Funktionen der Benutzer mit bestimmten Administratorrollenin Ihrer Umgebung einschränken. Sie sollten sicherstellen, dass autorisierte backup-Administratorennoch Sicherungsvorgänge ausführen können.


Auslassen der durchsuchenden

Überprüfung


Verweis Diese Einstellung bestimmt, welche Benutzer (oder ein Prozess, der für das Konto des Benutzers) überdie Berechtigung einen Objektpfad im NTFS-Dateisystem oder in der Registrierung navigieren, ohne

dass überprüft wird, für die spezielle Berechtigung Ordner durchsuchen. Dieses Benutzerrecht lässt sichnicht auf den Benutzer zum Auflisten des Inhalts eines Ordners aus. Es kann nur der Benutzer OrdnerZugriff auf den zulässigen Dateien oder Unterordner durchsuchen.



23/97

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeChangeNotifyPrivilege


Nicht definiert


Verwenden Sie Access-basierten-Enumeration, wenn Sie verhindern, dass Benutzer seheneinen Ordner oder eine Datei, auf die sie keinen Zugriff haben, möchten.

2. Verwenden Sie in den meisten Fällen die Standardeinstellungen dieser Richtlinie. Wenn Sie dieEinstellungen ändern, überprüfen Sie Ihre Absicht durch Tests.



Server-Typ oder das Gruppenrichtlinienobjekt Sta

Standarddomänenrichtlinie Nic

Standarddomänencontroller-Richtlinie AdAutJede

Lok NetPrä-

Standardeinstellungen für eigenständige Server AdSichBenJedeLok

Net

Effektive Standardeinstellungen der Domäne-Controller AdAutJedeLok

NetPrä-

Member Server effektiv Standardeinstellungen AdSichBen

JedeLok


24/97

Net

Effektiven Standardwert für Clientcomputer AdSich

BenJedeLok

Net


Richtlinienverwaltung Berechtigungen für Dateien und Ordner werden gesteuert, obwohl die entsprechende Konfigurationder Datei System Access Control (ACLs) aufgelistet. Die Möglichkeit, den Ordner durchlaufen bietetkeine Lese- oder Schreibvorgang Berechtigungen für dem Benutzer.Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.


1.


Website-Richtlinien

3.

Richtlinien für die Domäne4. Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.


SicherheitsrisikoDie Standardkonfiguration für dieAuslassen der durchsuchenden Überprüfungwird in allen

Benutzern das Auslassen der durchsuchenden Überprüfung ermöglichen. Obwohl die entsprechendeKonfiguration des Dateisystemzugriff Zugriffssteuerungslisten (ACLs), da die Möglichkeit, den Ordnerdurchlaufen keine Lese- oder Schreibvorgang Berechtigungen für dem Benutzer bietet, werdenBerechtigungen für Dateien und Ordner gesteuert. Das einzige Szenario, in dem dieStandardkonfiguration zu Missverständnissen führen könnte, wäre, wenn der Administrator, der dieKonfiguration von Berechtigungen nicht versteht, wie diese Einstellung funktioniert. Angenommen,erwarten der Administrator, dass Benutzer, die nicht auf einen Ordner zugreifen können nicht auf denInhalt von untergeordneten Ordnern zugreifen können. Eine solchen Situation ist unwahrscheinlichund, daher stellt diese Sicherheitslücke geringes Risiko.

GegenmaßnahmeOrganisationen, die Sicherheit besorgt sind möglicherweise die jeder entfernen möchten Gruppe, und

vielleicht die Benutzergruppe, aus der Liste der Gruppen auf, dieAuslassen der durchsuchendenÜberprüfungRecht. Explizite Kontrolle über Traversal Zuweisungen kann eine effiziente Möglichkeit,den Zugriff auf vertrauliche Informationen einzuschränken. Access-Aufzählung kann auch verwendet



25/97

werden. Bei Verwendung von Access-basierten Enumeration nicht Benutzer angezeigt, einen Ordneroder eine Datei, auf die sie keinen Zugriff haben. Weitere Informationen zu dieser Funktion finden Sieunterzugriffsbasierte Aufzählung.

Mögliche AuswirkungWindows-Betriebssysteme und viele Programme wurden unter der Annahme entworfen, dass jeder

Benutzer, die berechtigterweise auf den Computer zugreifen kann dieses Benutzerrecht hat. Daher wirdempfohlen, alle Änderungen an den Zuweisungen von gründlich testen, dieAuslassen derdurchsuchenden ÜberprüfungRecht, bevor Sie diese Änderungen auf den Produktionssystemenvornehmen. Insbesondere IIS erfordert dieses Benutzerrecht zugewiesen werden, Netzwerkdienst,lokaler Dienst, IIS_WPG, IUSR_< ComputerName >und IWAM_< ComputerName >Konten. (sie müssenauch das ASPNET-Konto über die Mitgliedschaft in der Gruppe "Benutzer" zugewiesen werden.) Eswird empfohlen, diese Einstellung bei der Standardkonfiguration zu lassen.


Ändern der Systemzeit


Verweis Diese Einstellung bestimmt, welche Benutzer die Zeit auf der internen Uhr des Computers anpassenkönnen. Dieses Recht ermöglicht es den Computerbenutzer zum Ändern von Datum und Uhrzeit, dieDatensätze in den Ereignisprotokollen, Datenbanktransaktionen und das Dateisystemzugeordnet. Dieses Recht wird auch vom Prozess erforderlich, die Synchronisierung ausführt. DieseEinstellung hat keinen Einfluss auf die Fähigkeit zum Ändern der Zeitzone oder andererAnzeigeeigenschaften der Systemzeit des Benutzers. Informationen zum Zuweisen von rechts, um dieZeitzone ändern, finden Sie unterÄndern der Zeitzone. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeSystemtimePrivilege

Mögliche Werte


Bewährte Methoden1. Einschränken derÄndern der SystemzeitBenutzer direkt an Benutzer mit legitimer müssen so

ändern Sie die Systemzeit, z. B. Mitglieder der IT-Team.


Standardwerte

Standardmäßig Mitglied der Administratoren und lokale Gruppen verfügen über dieses Recht aufArbeitsstationen und Servern. Mitglieder der Administratoren, Server-Operatoren und lokalenDienstgruppen verfügen über dieses Recht auf Domänencontrollern.

http://go.microsoft.com/fwlink/?LinkId=100745http://go.microsoft.com/fwlink/?LinkId=100745http://go.microsoft.com/fwlink/?LinkId=100745http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttp://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://go.microsoft.com/fwlink/?LinkId=100745


26/97

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.





Effektive DC-Standardeinstellungen



Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie.Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.

GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der

Gruppenrichtlinie überschrieben werden:1. Einstellungen lokaler Richtlinien2.





SicherheitsrisikoBenutzer, die auf einem Computer ändern können, können verschiedene Probleme auslösen. Beispiel:



27/97

Zeitstempel in Ereignisprotokolleinträgen konnte ungenaue hergestellt werden Die Zeitstempel von Dateien und Ordnern, die erstellt oder geändert werden könnten falsch

sein.

Computer, die zu einer Domäne gehören möglicherweise nicht selbst authentifizieren Benutzer, die versuchen, die von Computern mit ungenauen Mal an der Domäne anmelden

kann möglicherweise nicht authentifizieren.Auch, da das Kerberos-Authentifizierungsprotokoll muss die anfordernde Person und derAuthentifikator ihre Uhren innerhalb einer vom Administrator definierte Zeitversatz synchronisierthaben, ein Angreifer, der Uhrzeit des Computers ändert sich möglicherweise, bis dieser Computer nichtmehr abrufen oder Tickets des Authentifizierungsprotokolls Kerberos zu gewähren.Das Risiko von diesen Typen von Ereignissen wird auf den meisten Domänencontrollern,Mitgliedsservern und Endbenutzercomputern verringert, da der Windows-Zeitdienst automatisch mitden Domänencontrollern auf folgende Weise Synchronisation:

Alle desktop-Clientcomputern und Mitgliedsserver verwenden den authentifizierendenDomänencontroller als Zeitgeber.

Alle Domänencontroller in einer Domäne benennen die primäre Domäne

Emulationsbetriebsmaster des Domänencontrollers (PDC) als Zeitgeber.

Alle PDC-Emulator-Betriebsmaster folgen die Hierarchie von Domänen in der Auswahl derZeitgeber.

Der Betriebsmaster am Stamm der Domäne ist für die Organisation autorisierend. Aus diesemGrund empfehlen wir, dass Sie diesen Computer zum Synchronisieren mit einem zuverlässigenexternen Zeitserver konfigurieren.

Diese Sicherheitslücke ist eine große Gefahr, wenn ein Angreifer kann zum Ändern der Systemzeit undder Windows-Zeitdienst beenden oder neu konfigurieren, die mit einem Zeitserver zu synchronisieren,die nicht korrekt ist.

GegenmaßnahmeEinschränken derÄndern der SystemzeitBenutzer direkt an Benutzer mit legitimer müssen so ändern

Sie die Systemzeit, z. B. Mitglieder der IT-Team.

Mögliche AuswirkungDa für die meisten Organisationen Synchronisierung für alle Computer, die der Domäne angehören,vollständig automatisiert werden sollten sollte nicht beeinträchtigt sein. Computer, die nicht zurDomäne gehören, sollte für die Synchronisierung mit einer externen Quelle, z. B. einen Webdienstkonfiguriert werden.


Ändern der Zeitzone


Verweis Diese Einstellung bestimmt, welche Benutzer die Zeitzone angepasst werden können, die vomComputer verwendet wird, zum Anzeigen der lokalen Zeit, einschließlich der Systemzeit plus derZeitzone Offset.



28/97

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeTimeZonePrivilege


Nicht definiert

Bewährte MethodenKeiner.










Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung des Kontos für diese Benutzerrechte wird wirksam, das nächste Mal, wenn das Kontoanmeldet.


1.



Richtlinien für die Domäne



29/97

4. Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.


SicherheitsrisikoÄndern der Zeitzone darstellt kleine Sicherheitslücke, da die Systemzeit nicht beeinträchtigt wird. Mitdieser Einstellung kann lediglich Benutzer ihren bevorzugten Zeitzone anzeigen, während Sie mitDomänencontrollern in verschiedenen Zeitzonen synchronisiert wird.

GegenmaßnahmeGegenmaßnahmen sind nicht erforderlich, da die Systemzeit von dieser Einstellung nicht betroffen ist.

Mögliche Auswirkung

Keiner.Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft

Erstellen einer Auslagerungsdatei

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8

In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.

Verweis Das Windows-Betriebssystem kennzeichnet standardmäßig einen Abschnitt der Festplatte als virtuellerArbeitsspeicher als die Auslagerungsdatei oder genauer gesagt, als "Pagefile.sys" bezeichnet. Er dientals Ergänzung des Computers Arbeitsspeicher (RAM) zur Verbesserung der Leistung für Programmeund Daten, die häufig verwendet werden. Obwohl die Datei von der Suche ausgeblendet ist, könnenSie mithilfe der Systemeinstellungen verwalten.Diese Einstellung bestimmt, welche Benutzer erstellen und Ändern der Größe einer Seitendatei

können. Bestimmt, ob Benutzer eine Auslagerungsdatei für ein bestimmtes Laufwerk im angeben,können dieLeistungsoptionenFeld befindet sich auf derErweitertauf der RegisterkartedieSystemeigenschaften(Dialogfeld) oder durch die Verwendung von internen Anwendung Interfaces(APIs).Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeCreatePagefilePrivilege


Administratoren


Einschränken derErstellen einer AuslagerungsdateiBenutzer Rechte für Administratoren, dieStandardeinstellung.



30/97


StandardwerteStandardmäßig verfügen Mitglieder der Gruppe der Administratoren über dieses Recht.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.











1.


3.




SicherheitsrisikoDie Größe der Auslagerungsdatei zu ändern, können Benutzer machen können sehr klein oderVerschieben der Datei in einem stark fragmentierten Speichermedium, Leistung des Computersverringert die verursachen.



31/97

GegenmaßnahmeEinschränken derErstellen einer AuslagerungsdateiBenutzer direkt auf Mitglieder der Gruppe"Administratoren".

Mögliche AuswirkungKeiner.Beschränken das Recht zum Mitglied der Gruppe "Administratoren" ist die Standardkonfiguration.


Erstellen eines Tokenobjekts

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,

Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.

Verweis Diese Einstellung bestimmt, welche Konten von einem Prozess ein Token erstellen können und welcheKonten es können dann verwenden, um Zugriff auf lokale Ressourcen zu erhalten, wenn der ProzessNtCreateToken() oder andere APIs Token-Erstellung verwendet.Wenn ein Benutzer sich auf dem lokalen Computer meldet oder eine Verbindung mit einemRemotecomputer über ein Netzwerk her, erstellt Windows Zugriffstoken des Benutzers. Das System

überprüft dann das Token, um die Berechtigungsebene des Benutzers zu bestimmen. Wenn Sie einRecht sperren, die Änderung wird sofort aufgezeichnet, aber die Änderung ist nicht im Zugriffstokendes Benutzers übernommen, bis zur nächsten Ausführung der Benutzer anmeldet oder eineVerbindung herstellt.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeCreateTokenPrivilege

Mögliche Werte



Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Wenn es erforderlich ist,weisen Sie dieses Benutzerrecht an einen Benutzer, eine Gruppe oder ein Prozess als lokalesSystem.


StandardwerteDieses Benutzerrecht wird intern vom Betriebssystem verwendet. Standardmäßig ist er keineBenutzergruppen zugewiesen.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten

unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.



32/97










GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der

Gruppenrichtlinie überschrieben werden:1.



Rich

Zuweisen Von Benutzerrechten

Documents

Transcript of Zuweisen Von Benutzerrechten