8/18/2019 Zuweisen Von Benutzerrechten
1/97
Ich stimme zu, dass diese Seite Cookies für Analysen, personalisierten Inhalt und Werbung verwendet
Erfahren Sie mehr
AuflistungDas Dokument wird wie vorliegend bereitgestellt. Die in diesem Dokument enthaltenen Informationenund Ansichten, einschließlich URLs und andere Internetwebsites, können ohne vorherige Ankündigung
geändert werden. Sie erhalten durch dieses Dokument keinerlei Rechte an geistigem Eigentum inProdukten oder Produktnamen von Microsoft. Sie dürfen das Dokument intern zu Ihrer eigenen
Information kopieren und verwenden. Sie dürfen das Dokument intern zu Ihrer eigenen Informationändern. © 2015 Microsoft. Alle Rechte vorbehalten. Nutzungsbedingungen
(https://technet.microsoft.com/cc300389.aspx) | Marken(http://www.microsoft.com/library/toolbar/3.0/trademarks/en-us.mspx)
Table Of Contents
Kapitel 1
Access Anmeldeinformations-Manager als ein vertrauenswürdiger Aufrufer
Auf diesen Computer vom Netzwerk aus zugreifen.
Einsetzen Sie als Teil des Betriebssystems
Hinzufügen von Arbeitsstationen zur Domäne
Anpassen der Arbeitsspeicherquoten für einen Prozess
Lokal anmelden zulassen
Anmelden über Remotedesktopdienste zulassen
Sichern von Dateien und Verzeichnissen
https://www.microsoft.com/privacystatement/de-de/core/default.aspxhttps://technet.microsoft.com/de-de/library/dn221952.aspxhttps://technet.microsoft.com/de-de/library/dn221952.aspxhttps://technet.microsoft.com/de-de/library/dn221978.aspxhttps://technet.microsoft.com/de-de/library/dn221978.aspxhttps://technet.microsoft.com/de-de/library/dn221957.aspxhttps://technet.microsoft.com/de-de/library/dn221957.aspxhttps://technet.microsoft.com/de-de/library/dn221987.aspxhttps://technet.microsoft.com/de-de/library/dn221987.aspxhttps://technet.microsoft.com/de-de/library/dn221983.aspxhttps://technet.microsoft.com/de-de/library/dn221983.aspxhttps://technet.microsoft.com/de-de/library/dn221980.aspxhttps://technet.microsoft.com/de-de/library/dn221980.aspxhttps://technet.microsoft.com/de-de/library/dn221985.aspxhttps://technet.microsoft.com/de-de/library/dn221985.aspxhttps://technet.microsoft.com/de-de/library/dn221961.aspxhttps://technet.microsoft.com/de-de/library/dn221961.aspxhttps://technet.microsoft.com/de-de/library/dn221961.aspxhttps://technet.microsoft.com/de-de/library/dn221985.aspxhttps://technet.microsoft.com/de-de/library/dn221980.aspxhttps://technet.microsoft.com/de-de/library/dn221983.aspxhttps://technet.microsoft.com/de-de/library/dn221987.aspxhttps://technet.microsoft.com/de-de/library/dn221957.aspxhttps://technet.microsoft.com/de-de/library/dn221978.aspxhttps://technet.microsoft.com/de-de/library/dn221952.aspxhttps://www.microsoft.com/privacystatement/de-de/core/default.aspx
8/18/2019 Zuweisen Von Benutzerrechten
2/97
Auslassen der durchsuchenden Überprüfung
Ändern der Systemzeit
Ändern der Zeitzone
Erstellen einer Auslagerungsdatei
Erstellen eines Tokenobjekts
Globale Objekte erstellen
Permanente freigegebene Objekte erstellen
Erstellen symbolischer Verknüpfungen
Debuggen von Programmen
Zugriff vom Netzwerk auf diesen Computer verweigern
Anmelden als Batchauftrag verweigern
Anmelden als Dienst verweigern
Lokal anmelden verweigern
Anmelden über Remotedesktopdienste verweigern
Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
Erzwingen des Herunterfahrens von einem Remotesystem
Generieren von sicherheitsüberwachungen
Identitätswechsel eines Clients nach der Authentifizierung
Arbeitssatz eines Prozesses vergrößern
https://technet.microsoft.com/de-de/library/dn221950.aspxhttps://technet.microsoft.com/de-de/library/dn221950.aspxhttps://technet.microsoft.com/de-de/library/dn221970.aspxhttps://technet.microsoft.com/de-de/library/dn221970.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221955.aspxhttps://technet.microsoft.com/de-de/library/dn221955.aspxhttps://technet.microsoft.com/de-de/library/dn221946.aspxhttps://technet.microsoft.com/de-de/library/dn221946.aspxhttps://technet.microsoft.com/de-de/library/dn221972.aspxhttps://technet.microsoft.com/de-de/library/dn221972.aspxhttps://technet.microsoft.com/de-de/library/dn221968.aspxhttps://technet.microsoft.com/de-de/library/dn221968.aspxhttps://technet.microsoft.com/de-de/library/dn221947.aspxhttps://technet.microsoft.com/de-de/library/dn221947.aspxhttps://technet.microsoft.com/de-de/library/dn221969.aspxhttps://technet.microsoft.com/de-de/library/dn221969.aspxhttps://technet.microsoft.com/de-de/library/dn221954.aspxhttps://technet.microsoft.com/de-de/library/dn221954.aspxhttps://technet.microsoft.com/de-de/library/dn221958.aspxhttps://technet.microsoft.com/de-de/library/dn221958.aspxhttps://technet.microsoft.com/de-de/library/dn221973.aspxhttps://technet.microsoft.com/de-de/library/dn221973.aspxhttps://technet.microsoft.com/de-de/library/dn221948.aspxhttps://technet.microsoft.com/de-de/library/dn221948.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221977.aspxhttps://technet.microsoft.com/de-de/library/dn221977.aspxhttps://technet.microsoft.com/de-de/library/dn221951.aspxhttps://technet.microsoft.com/de-de/library/dn221951.aspxhttps://technet.microsoft.com/de-de/library/dn221956.aspxhttps://technet.microsoft.com/de-de/library/dn221956.aspxhttps://technet.microsoft.com/de-de/library/dn221967.aspxhttps://technet.microsoft.com/de-de/library/dn221967.aspxhttps://technet.microsoft.com/de-de/library/dn221949.aspxhttps://technet.microsoft.com/de-de/library/dn221949.aspxhttps://technet.microsoft.com/de-de/library/dn221949.aspxhttps://technet.microsoft.com/de-de/library/dn221967.aspxhttps://technet.microsoft.com/de-de/library/dn221956.aspxhttps://technet.microsoft.com/de-de/library/dn221951.aspxhttps://technet.microsoft.com/de-de/library/dn221977.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221948.aspxhttps://technet.microsoft.com/de-de/library/dn221973.aspxhttps://technet.microsoft.com/de-de/library/dn221958.aspxhttps://technet.microsoft.com/de-de/library/dn221954.aspxhttps://technet.microsoft.com/de-de/library/dn221969.aspxhttps://technet.microsoft.com/de-de/library/dn221947.aspxhttps://technet.microsoft.com/de-de/library/dn221968.aspxhttps://technet.microsoft.com/de-de/library/dn221972.aspxhttps://technet.microsoft.com/de-de/library/dn221946.aspxhttps://technet.microsoft.com/de-de/library/dn221955.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221970.aspxhttps://technet.microsoft.com/de-de/library/dn221950.aspx
8/18/2019 Zuweisen Von Benutzerrechten
3/97
Anheben der Zeitplanungspriorität
Laden und Entfernen von Gerätetreibern
Sperren von Seiten im Speicher
Anmelden als Stapelverarbeitungsauftrag
Melden Sie als Dienst an
Verwalten von Überwachungs- und Sicherheitsprotokollen
Ändern einer Objekt-Beschriftung
Verändern der Firmwareumgebungsvariablen
Ausführen von Volumewartungsaufgaben
Erstellen eines Profils für einen Einzelprozess
Erstellen eines Profils der Systemleistung
Entfernen des Computers aus der Dockingstation
Ersetzen eines Tokens auf Prozessebene
Wiederherstellen von Dateien und Verzeichnissen
Herunterfahren des Systems
Directory Service Daten synchronisieren
Übernehmen des Besitzes an Dateien und Objekten
https://technet.microsoft.com/de-de/library/dn221960.aspxhttps://technet.microsoft.com/de-de/library/dn221960.aspxhttps://technet.microsoft.com/de-de/library/dn221964.aspxhttps://technet.microsoft.com/de-de/library/dn221964.aspxhttps://technet.microsoft.com/de-de/library/dn221979.aspxhttps://technet.microsoft.com/de-de/library/dn221979.aspxhttps://technet.microsoft.com/de-de/library/dn221944.aspxhttps://technet.microsoft.com/de-de/library/dn221944.aspxhttps://technet.microsoft.com/de-de/library/dn221981.aspxhttps://technet.microsoft.com/de-de/library/dn221981.aspxhttps://technet.microsoft.com/de-de/library/dn221953.aspxhttps://technet.microsoft.com/de-de/library/dn221953.aspxhttps://technet.microsoft.com/de-de/library/dn221974.aspxhttps://technet.microsoft.com/de-de/library/dn221974.aspxhttps://technet.microsoft.com/de-de/library/dn221984.aspxhttps://technet.microsoft.com/de-de/library/dn221984.aspxhttps://technet.microsoft.com/de-de/library/dn221971.aspxhttps://technet.microsoft.com/de-de/library/dn221971.aspxhttps://technet.microsoft.com/de-de/library/dn221982.aspxhttps://technet.microsoft.com/de-de/library/dn221982.aspxhttps://technet.microsoft.com/de-de/library/dn221945.aspxhttps://technet.microsoft.com/de-de/library/dn221945.aspxhttps://technet.microsoft.com/de-de/library/dn221965.aspxhttps://technet.microsoft.com/de-de/library/dn221965.aspxhttps://technet.microsoft.com/de-de/library/dn221975.aspxhttps://technet.microsoft.com/de-de/library/dn221975.aspxhttps://technet.microsoft.com/de-de/library/dn221962.aspxhttps://technet.microsoft.com/de-de/library/dn221962.aspxhttps://technet.microsoft.com/de-de/library/dn221966.aspxhttps://technet.microsoft.com/de-de/library/dn221966.aspxhttps://technet.microsoft.com/de-de/library/dn221988.aspxhttps://technet.microsoft.com/de-de/library/dn221988.aspxhttps://technet.microsoft.com/de-de/library/dn221976.aspxhttps://technet.microsoft.com/de-de/library/dn221976.aspxhttps://technet.microsoft.com/de-de/library/dn221976.aspxhttps://technet.microsoft.com/de-de/library/dn221988.aspxhttps://technet.microsoft.com/de-de/library/dn221966.aspxhttps://technet.microsoft.com/de-de/library/dn221962.aspxhttps://technet.microsoft.com/de-de/library/dn221975.aspxhttps://technet.microsoft.com/de-de/library/dn221965.aspxhttps://technet.microsoft.com/de-de/library/dn221945.aspxhttps://technet.microsoft.com/de-de/library/dn221982.aspxhttps://technet.microsoft.com/de-de/library/dn221971.aspxhttps://technet.microsoft.com/de-de/library/dn221984.aspxhttps://technet.microsoft.com/de-de/library/dn221974.aspxhttps://technet.microsoft.com/de-de/library/dn221953.aspxhttps://technet.microsoft.com/de-de/library/dn221981.aspxhttps://technet.microsoft.com/de-de/library/dn221944.aspxhttps://technet.microsoft.com/de-de/library/dn221979.aspxhttps://technet.microsoft.com/de-de/library/dn221964.aspxhttps://technet.microsoft.com/de-de/library/dn221960.aspx
8/18/2019 Zuweisen Von Benutzerrechten
4/97
Kapitel 1Access Anmeldeinformations-Managerals ein vertrauenswürdiger Aufrufer
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis DieZugriff Anmeldeinformations-Manager als ein vertrauenswürdiger AufruferRichtlinie wirddurch den Anmeldeinformations-Manager während der Sicherung und Wiederherstellungverwendet. Keine Konten sollte diese Berechtigung, da er nur an den Winlogon-Dienst zugewiesenist. Gespeicherte Anmeldeinformationen von Benutzern können beeinträchtigt werden, wenn dieseBerechtigung anderen Entitäten angegeben ist.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeTrustedCredManAccessPrivilege
Mögliche Werte Eine benutzerdefinierte Liste der Konten Nicht definiert
Bewährte Methoden Ändern Sie diese Einstellung den Standardwert nicht.
Speicherort\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
StandardwerteDie folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige server
http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
5/97
Effektive Standardeinstellungen der Domäne-controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-VersionsunterschiedeDiese Einstellung wurde mit Windows Vista und Windows Server 2008 eingeführt. Es gibt keineUnterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstützten Versionen vonWindows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie.Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:
1. Einstellungen lokaler Richtlinien2.
Website-Richtlinien3.
Richtlinien für die Domäne4. Richtlinien für die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoWenn ein Konto dieses Benutzerrecht zugewiesen wird, kann der Benutzer des Kontos eineAnwendung erstellen, die in den Anmeldeinformations-Manager aufgerufen und dieAnmeldeinformationen für einen anderen Benutzer zurückgegeben.
GegenmaßnahmeDefinieren Sie nicht dieZugriff Anmeldeinformations-Manager als ein vertrauenswürdiger
AufruferEinstellung für alle Konten außer den Anmeldeinformations-Manager.
Mögliche AuswirkungKeiner.Nicht definiert, ist die Standardkonfiguration.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Auf diesen Computer vom Netzwerk
aus zugreifen.
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
6/97
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese
Einstellung.Verweis DieZugriff auf diesen Computer vom Netzwerk auslegt fest, welche Benutzer über das Netzwerk mitdem Computer herstellen können. Diese Funktion ist eine Reihe von Netzwerkprotokollen,einschließlich Server Message Block SMB-basierte Protokolle, NetBIOS, Common Internet File System(CIFS) und Component Object Model Plus (COM+) erforderlich.Benutzer, Computer und Dienstkonten gewinnen oder verlieren dieauf diesen Computer vomNetzwerk ausBenutzer nach rechts explizit oder implizit hinzugefügt oder entfernt aus einerSicherheitsgruppe, die diese Berechtigung erteilt wurde. Klicken Sie z. B. ein Benutzerkonto oder einComputerkonto kann explizit hinzugefügt werden eine benutzerdefinierte Sicherheitsgruppe oderintegrierte Sicherheitsgruppe von einem Administrator oder es implizit hinzugefügt werden durch dasBetriebssystem zu einer vordefinierten Sicherheitsgruppe, wie z. B. Domänenbenutzer, authentifizierteBenutzer oder Domänencontroller der Organisation.Standardmäßig werden Benutzer- und Computerkonten gewährt derauf diesen Computer vomNetzwerk ausBenutzer sofort, wenn berechnete Gruppen, z. B. authentifizierte Benutzer und fürDomänencontroller, die Enterprise-Domänencontrollergruppe in der Standard-Domänencontroller(Group Policy Object, GPO) definiert sind.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: "SeNetworkLogonRight"
Mögliche Werte
Eine benutzerdefinierte Liste der Konten
Nicht definiert
Bewährte Methoden Auf Desktopcomputern oder Mitgliedsservern diese Berechtigung nur für Benutzer und
Administratoren. Gewähren Sie dieses Recht nur authentifizierte Benutzer, Domänencontroller der Organisation
und Administratoren auf Domänencontrollern.
Diese Einstellung enthält die jederGruppe, um die Abwärtskompatibilität sicherzustellen. Nachder Aktualisierung von Windows, nachdem Sie überprüft haben, dass alle Benutzer undGruppen ordnungsgemäß migriert werden, sollten Sie entfernen die jederund verwenden SiedieAuthentifizierte BenutzerGruppe.
Speicherort\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
StandardwerteDie folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt Standardwert
Standarddomänenrichtlinie Nicht definiert
http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
7/97
Standarddomänencontroller-Richtlinie Jeder Benutzer, Administratoren, authentifizierte Benkompatibler Zugriff
Standardeinstellungen für eigenständige server Jeder Benutzer, Administratoren, Benutzer, Sicherun
Effektive Standardeinstellungen der Domäne-controller
Jeder Benutzer, Administratoren, authentifizierte Benkompatibler Zugriff
Member Server effektiv Standardeinstellungen Jeder Benutzer, Administratoren, Benutzer, Sicherun
Effektiven Standardwert für Clientcomputer Jeder Benutzer, Administratoren, Benutzer, Sicherun
Betriebssystem-VersionsunterschiedeDiese Einstellung wurde in Windows Server 2003 und Windows XP mit Service Pack 2 eingeführt. DieseEinstellung wurde nicht geändert, und es enthält die jederGruppe, um die Abwärtskompatibilität
sicherzustellen. Nachdem Sie überprüft haben, dass alle Benutzer und Gruppen ordnungsgemäßmigriert werden, sollten Sie entfernen die jederund verwenden Sie dieAuthentifizierteBenutzerGruppe.
Richtlinienverwaltung Wenn Sie dieses Benutzerrecht ändern, möglicherweise die folgenden Aktionen bewirken, Benutzernund Diensten Netzwerkzugriffsprobleme auftreten:
Entfernen die Sicherheitsgruppe der Domänencontroller der Organisation Entfernen der Gruppe der authentifizierten Benutzer oder eine explizite Gruppe, die die
Berechtigung zum Herstellen von Computern über das Netzwerk ermöglicht es, Benutzern,Computern und Dienstkonten
Entfernen alle Benutzer und ComputerEin Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:
1.
Einstellungen lokaler Richtlinien2.
Website-Richtlinien3. Richtlinien für die Domäne
4.
Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoBenutzer, die von ihrem Computer mit dem Netzwerk verbinden können können Ressourcen auf denZielcomputern zugreifen, für die sie die Berechtigung haben. Zum Beispiel dieZugriff auf diesen
Computer vom Netzwerk ausBerechtigung ist erforderlich, damit Benutzer auf freigegebene Druckerund Ordner zugreifen. Wenn dieses Benutzerrecht zugeordnet ist die jederGruppe Mitglied der Gruppekann die Dateien in diesen freigegebenen Ordnern lesen. Diese Situation ist unwahrscheinlich, da die
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
8/97
Gruppen, indem eine Standardinstallation von erstelltWindows Server 2012WindowsServer 2008 R2Windows 8undWindows 7enthalten nicht die jederGruppe. Jedoch, wenn ein Computeraktualisiert wird und der ursprüngliche Computer enthält die jederGruppe als Teil seiner definierteBenutzer und Gruppen, die dieser Gruppe als Teil des Aktualisierungsprozesses gewechselt wird undauf dem Computer vorhanden ist.
GegenmaßnahmeEinschränken derZugriff auf diesen Computer vom Netzwerk ausBenutzer direkt nur auf dieBenutzer und Gruppen, die Zugriff auf den Computer benötigen. Beispielsweise, wenn Sie dieseEinstellung zum Konfigurieren derAdministratorenundBenutzergruppiert, melden Sie sich bei derDomäne auf Ressourcen zugreifen kann, die von den Servern in der Domäne verwendet werden, wenn,Benutzer Mitglieder derDomänenbenutzerGruppe befinden sich in der lokalenBenutzerGruppe.
Hinweis
Wenn Sie IPsec verwenden, die um sichere Kommunikation in Ihrer Organisation zu helfen, stellen Sie sicerteilt wird. Dieses Recht ist für die erfolgreiche Authentifizierung erforderlich. Dieses Recht zuweisenAutAnforderung.
Mögliche AuswirkungEntfernen derZugriff auf diesen Computer vom Netzwerk ausrechts auf Domänencontrollern für alleBenutzer niemand kann Benutzer, Anmelden auf die Domäne oder verwenden. Wenn Sie diesenBenutzer direkt auf Mitgliedsservern entfernen, herstellen nicht Benutzern diese Server über dasNetzwerk. Wenn Sie optionale Komponenten wie z. B. ASP.NET oder Internet Information Services (IIS)installiert haben, müssen Sie dieses Benutzerrecht zusätzliche Konten zuweisen, die von diesenKomponenten erforderlich sind. Es ist wichtig, um sicherzustellen, dass autorisierte Benutzer dieBenutzer direkt bei den Computern zugewiesen sind, die sie benötigen Zugriff auf das Netzwerk.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Einsetzen Sie als Teil des
Betriebssystems
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis DieEinsetzen als Teil des Betriebssystems legt fest, ob ein Prozess kann die Identität eines Benutzersannehmen und dadurch auf die Ressourcen Zugriff, die der Benutzer autorisiert ist, Zugriffauf.Normalerweise erfordern nur einfache Authentifizierungsdienste dieses Benutzerrecht. Potenzielle
Zugriff ist nicht beschränkt, was standardmäßig dem Benutzer zugeordnet ist. Der aufrufende Prozessverlangen, dass beliebige zusätzliche Privilegien zum Zugriffstoken hinzugefügt werden. Der
http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
9/97
aufrufende Prozess kann auch ein Zugriffstoken erstellen, das keine primäre Identität für dieÜberwachung in den Systemereignisprotokollen bereitstellt.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeTcbPrivilege
Mögliche Werte Eine benutzerdefinierte Liste der Konten
Nicht definiert
Bewährte Methoden Weisen Sie dieses Recht für alle Benutzerkonten. Weisen Sie nur vertrauenswürdigen
Benutzern dieses Benutzerrecht. Wenn ein Dienst diese Berechtigung erfordert, konfigurieren Sie den Dienst zum Anmelden
mit dem lokalen Systemkonto, das dieses Benutzerrecht grundsätzlich enthält. Erstellen Sie einseparates Konto nicht, und weisen Sie diesem Benutzer direkt zu.
Speicherort
\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
StandardwerteDie folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige server
Effektive Standardeinstellungen der Domäne-controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-Versionsunterschiede Diese Einstellung wurde mit Windows Vista und Windows Server 2008 eingeführt. Es gibt keineUnterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen vonWindows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:
1.
Einstellungen lokaler Richtlinien
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
10/97
2. Website-Richtlinien3.
Richtlinien für die Domäne4.
Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoDieEinsetzen als Teil des BetriebssystemsBenutzerrecht ist sehr leistungsstark. Benutzer mit dieserBerechtigung können die vollständige Kontrolle über den Computer und Beweise für seine Aktivitätenlöschen.
GegenmaßnahmeEinschränken derEinsetzen als Teil des BetriebssystemsBenutzer direkt auf möglichst wenige Konten
wie möglich – Es sollte nicht selbst zugewiesen werden der Gruppe "Administratoren" unter normalenUmständen. Wenn ein Dienst diese Berechtigung erfordert, konfigurieren Sie den Dienst, melden Siesich mit dem lokalen Systemkonto, die grundsätzlich enthält dieses Recht. Erstellen Sie ein separatesKonto nicht, und weisen Sie diesem Benutzer direkt zu.
Mögliche AuswirkungEs sollte nur wenig oder gar keine Auswirkung sein, da dieEinsetzen als Teil desBetriebssystemsrecht selten alle Konten als das lokale Systemkonto erforderlich ist.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Hinzufügen von Arbeitsstationen zur
Domäne
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, den
Speicherort, die Werte, die Policy Management und Security Considerations für diese Einstellung.Verweis Diese Einstellung bestimmt, welche Benutzer einer bestimmten Domäne einen Computer hinzufügenkönnen. Es wirksam wird muss zugewiesen werden, damit sie auf mindestens einemDomänencontroller angewendet wird. Ein Benutzer, der dieses Benutzerrecht zugewiesen ist, kann biszu zehn Arbeitsstationen zur Domäne hinzufügen.Hinzufügen eines Computerkontos zur Domäne kann der Computer in Active Directory-basiertenNetzwerken teilnehmen.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeMachineAccountPrivilege
Mögliche Werte
Eine benutzerdefinierte Liste der Konten
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
11/97
Nicht definiert
Bewährte Methoden1.
Konfigurieren Sie diese Einstellung, sodass nur autorisierte Mitglieder des IT-Teams zumHinzufügen von Computern zur Domäne zulässig sind.
SpeicherortComputer Configuration\Windows Settings\Security Einstellungen\Benutzername\LokaleRechte Assignment\
StandardwerteStandardmäßig mit dieser Einstellung können den Zugriff für authentifizierte Benutzer aufDomänencontrollern, und es ist nicht auf eigenständigen Servern definiert.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige Server
Effektive Standardeinstellungen der Domäne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Benutzer können auch einen Computer einer Domäne beitreten, wenn sie die BerechtigungComputerobjekte erstellen für eine Organisationseinheit (OU) oder für den Container "Computer" indas Verzeichnis verfügen. Benutzer mit dieser Berechtigung können eine unbegrenzte Anzahl vonComputern hinzufügen, mit der Domäne, unabhängig davon, ob dieHinzufügen von
Arbeitsstationen zur DomäneRecht.Darüber hinaus Computerkonten werden erstellt, mit der dieHinzufügen von Arbeitsstationen zurDomäneBenutzerrecht verfügen Domänenadministratoren als Besitzer desComputerkontos.Computerkonten, die über Berechtigungen für Container des Computers erstelltwerden mithilfe den Ersteller als Besitzer des Computerkontos. Verfügt ein Benutzer verfügt überBerechtigungen für den Container und zudem über dieArbeitsstation zu DomänehinzufügenBenutzerrecht, der der Computer hinzugefügt wird basierend auf den ContainerComputerberechtigungen statt das Benutzerrecht.Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
Gruppenrichtlinie
http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
12/97
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:
1.
Einstellungen lokaler Richtlinien2. Website-Richtlinien
3.
Richtlinien für die Domäne4.
Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit Diese Richtlinie weist die folgenden Sicherheitsaspekte:
SicherheitsrisikoDieHinzufügen von Arbeitsstationen zur DomäneBenutzerrecht stellt ein geringes Sicherheitsrisikodar. Benutzer mit dieser Berechtigung konnte einen Computer zur Domäne hinzufügen, die sokonfiguriert ist, die Sicherheitsrichtlinien des Unternehmens verstößt. Wenn Ihre Organisation keine
Benutzer auf ihren Computern über Administratorrechte verfügen, können Benutzer z. B. Windows aufihren Computern installieren und dann die Computer der Domäne hinzufügen. Der Benutzer würdekennen das Kennwort für das lokale Administratorkonto konnte mit dem Konto anmelden und danneinen persönlichen Domänenkonto der lokalen Administratorgruppe hinzufügen.
GegenmaßnahmeKonfigurieren Sie diese Einstellung, sodass nur autorisierte Mitglieder des IT-Teams zum Hinzufügenvon Computern zur Domäne zulässig sind.
Mögliche AuswirkungFür Organisationen, die nie zugelassen haben Benutzer ihre eigenen Computer einrichten und derDomäne hinzugefügt werden, wirkt sich diese Gegenmaßnahme nicht. Für diejenigen, die einige oder
alle Benutzer konfigurieren ihren eigenen Computern zugelassen haben, erzwingt dieseGegenmaßnahme die Organisation einen formalen Prozess für diese Verfahren für die Zukunftherstellen. Sie wirkt vorhandene Computer sich nicht, wenn sie aufgehoben und dann der Domänehinzugefügt werden.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Anpassen der Arbeitsspeicherquoten
für einen Prozess
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis Diese Berechtigung bestimmt, wer den maximalen Arbeitsspeicher ändern kann, der von einem
Prozess genutzt werden können. Diese Berechtigung eignet sich für die systemoptimierung auf BasisGruppen- oder Benutzernamen.
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
13/97
Dieses Benutzerrecht wird in den Controller Gruppe Objekt (Standarddomänenrichtlinie) und in derlokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeIncreaseQuotaPrivilege
Mögliche Werte Eine benutzerdefinierte Liste der Konten
Nicht definiert
Bewährte Methoden1. Einschränken derAnpassen von Speicherkontingenten für einen Prozessrechts Benutzer nur
die Benutzer die Möglichkeit zum Anpassen von Speicherkontingenten zur Durchführung ihrerAufgaben erforderlich ist.
2.
Wenn diese Berechtigung für ein Benutzerkonto erforderlich ist, können sie ein lokalesComputerkonto anstelle von einem Domänenkonto zugewiesen werden.
SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Einstellungen\Benutzername\Lokale Rechte Assignment\
StandardwerteStandardmäßig verfügen Mitglieder der Administratoren, lokaler Dienst und Netzwerkdienst Gruppenüber dieses Recht.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige Server
Effektive Standardeinstellungen der Domäne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
8/18/2019 Zuweisen Von Benutzerrechten
14/97
Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:
1. Einstellungen lokaler Richtlinien2.
Website-Richtlinien3.
Richtlinien für die Domäne4.
Richtlinien für die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoEin Benutzer mit derAnpassen von Speicherkontingenten für einen ProzessBerechtigung kann derverfügbare Arbeitsspeicher auf alle Prozesse, die geschäftskritische netzwerkanwendungen langsamoder Fehlschlagen verursachen könnte reduzieren. Dieses Privileg konnte von einem böswilligen
Benutzer verwendet werden, um einen Denial-of-Service-Angriff (DoS) zu starten.
GegenmaßnahmeEinschränken derAnpassen von Speicherkontingenten für einen ProzessBenutzer Rechte fürBenutzer, die erforderlich ist, führen Sie ihre Arbeit, z. B. Anwendungsadministratoren und Pflege derDatenbank-Managementsysteme oder Domänen-Admins, die im Verzeichnis der Organisation und derunterstützenden Infrastruktur verwalten.
Mögliche AuswirkungOrganisationen, die keine Rollen mit eingeschränkten Berechtigungen Nutzungsrichtlinie haben findenes möglicherweise schwierig, diese Gegenmaßnahme verlangen. Auch, wenn Sie optionaleKomponenten wie z. B. ASP.NET oder IIS installiert haben, müssen Sie möglicherweise zum Zuweisen
derAnpassen von Speicherkontingenten für einen Prozessrechts Benutzer weitere Konten, die vondiesen Komponenten erforderlich sind. IIS ist es erforderlich, dass diese Berechtigung explizit dieIWAM_ < ComputerName >, Netzwerkdienst und Dienstkonten zugewiesen werden. Andernfalls hatdiese Gegenmaßnahme sollte keine Auswirkung auf den meisten Computern. Wenn dieseBerechtigung für ein Benutzerkonto erforderlich ist, können sie ein lokales Computerkonto anstelle voneinem Domänenkonto zugewiesen werden.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Lokal anmelden zulassen
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
15/97
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis Diese Einstellung bestimmt, welche Benutzer eine interaktive Sitzung auf dem Computer startenkönnen.Benutzer müssen dieses Benutzerrecht Anmelden über Remotedesktopdienste oderTerminaldienste-Sitzung, die auf einem Windows-basierten Mitgliedscomputer oder derDomänencontroller ausgeführt wird.
Hinweis
Benutzer, die nicht über diese Berechtigung verfügen, können trotzdem eine interaktive Remotesitzung aufRemotedesktopdienste zulassenrechten.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeInteractiveLogonRight
Mögliche Werte
Eine benutzerdefinierte Liste der Konten Nicht definiert
Die Elemente der folgenden Gruppen verfügen standardmäßig über dieses Recht auf Arbeitsstationenund Servern:
Administratoren Sicherungsoperatoren Benutzer
Die Elemente der folgenden Gruppen verfügen standardmäßig über dieses Recht aufDomänencontrollern:
Konten-Operatoren Administratoren Sicherungsoperatoren Druck-Operatoren
Server-Operatoren
Bewährte Methoden1.
Beschränken Sie diesen Benutzer direkt auf legitime Benutzer an der Konsole des Computersanmelden müssen.
2.
Standardgruppen selektiv entfernen, können Sie die Funktionen von Benutzern beschränken,die bestimmte administrative Rollen in Ihrer Organisation zugeordnet sind.
SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung
StandardwerteDie folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows.Standardwerte sind auch auf der Eigenschaftenseite für die
Richtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
16/97
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige Server
Effektive Standardeinstellungen der Domäne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.RemoteDesktop Services wurde früher als Terminaldienste bezeichnet.
Richtlinienverwaltung Neustart des Computers ist nicht erforderlich, um diese Änderung zu implementieren.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.Ändern diese Einstellung kann die Kompatibilität mit Clients, Dienste und Programme auswirken.SeienSie vorsichtig beim Entfernen von Dienstkonten, die von Komponenten und Programmen auf
Mitgliedscomputern und Domänencontrollern in der Domäne aus der StandarddomänencontrollerRichtlinie verwendet werden.Beim Entfernen von Benutzern oder Sicherheitsgruppen, die melden Siesich bei der Konsole von Mitgliedscomputern in der Domäne oder Entfernen von Dienstkonten, die inder lokalen Datenbank der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) vonMitgliedscomputern oder Arbeitsgruppencomputern definiert sind, wird ebenfalls verwenden SieVorsicht.Wenn Sie ein Benutzerkonto die Anmeldung an einem Domänencontroller einräumen möchten, achtenSie dieser Benutzer Mitglied einer Gruppe, die bereits dielokale Anmeldung zugelasseneSystemrechten oder erteilen, das Recht, dieses Benutzerkonto.Die Domänencontroller in der Domäne Freigeben des Default Domain Controller Objekt (GPO).WennSie ein Konto erteilen derLokal anmelden zulassenlassen Sie dieses Konto lokal auf allen
Domänencontrollern in der Domäne anmelden.
http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
17/97
Wenn die Gruppe "Benutzer", in aufgeführt ist derLokal anmelden zulassenfür einGruppenrichtlinienobjekt festlegen, alle Domänenbenutzer können lokal anmelden.Die integrierteGruppe Benutzer werden Domänenbenutzer als Member enthält.
GruppenrichtlinieGruppenrichtlinien werden über Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet,
die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinieüberschrieben werden:
1.
Einstellungen lokaler Richtlinien2.
Website-Richtlinien3. Richtlinien für die Domäne4. Richtlinien für die Organisationseinheit
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoEin Konto mit denLokal anmelden zulassenauf der Konsole des Computers Benutzerrecht anmeldenkann.Wenn Sie nicht diesen Benutzer direkt auf autorisierte Benutzer einschränken, die in der Konsoledes Computers anmelden müssen, konnte nicht autorisierte Benutzer herunterladen und Ausführenvon bösartiger Software, um ihre Rechte zu erhöhen.
GegenmaßnahmeWeisen Sie für Domänencontroller, dieLokal anmelden zulassenBerechtigung nur für die Gruppe"Administratoren".Sie können für andere Serverrollen die Sicherungsoperatoren nebenAdministratoren hinzufügen.Für den Endbenutzer-Computer sollten Sie auch dieses Recht der GruppeBenutzer zuweisen.
Alternativ können Sie Gruppen wie Konten-Operatoren, Server-Operatoren und Gäste zuweisenderLokal anmelden verweigernRecht.
Mögliche AuswirkungWenn Sie diesen Standardgruppen entfernen, können Sie die Funktionen der Benutzer begrenzen, diebestimmte administrative Rollen in der Umgebung zugewiesen werden.Wenn Sie optionaleKomponenten wie z. B. ASP.NET oder IIS installiert haben, müssen Sie möglicherweise zum ZuweisenderLokal anmelden zulassenrechts Benutzer weitere Konten, die von diesen Komponentenerforderlich sind.IIS muss dieses Benutzerrecht zugewiesen werden, bis die IUSR_< ComputerName>Konto.Sie sollten sicherstellen, dass delegierte Aktivitäten nicht von Änderungen beeinträchtigtwerden, die Sie vornehmen derLokal anmelden zulassenZuweisen von Benutzerrechten.
Siehe auch
Zuweisen von Benutzerrechten © 2015 Microsoft
Anmelden über Remotedesktopdienste
zulassen
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Richtlinie.
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
18/97
Verweis Diese Einstellung bestimmt, welche Benutzer oder Gruppen den Anmeldebildschirm einesRemotecomputers über eine Remote Desktop Services-Verbindung zugreifen können. Es ist möglich,dass ein Benutzer eine Remote Desktop Services-Verbindung mit einem bestimmten Server jedochnicht an der Konsole des dem gleichen Server anmelden.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeRemoteInteractiveLogonRight
Mögliche Werte Eine benutzerdefinierte Liste der Konten Nicht definiert
Bewährte Methoden1.
Öffnen Sie eine Verbindung mit Remote Desktop Services und am Computer anmeldenkönnen, hinzufügen oder Entfernen von Benutzern aus der Gruppe Remotedesktopbenutzersteuern.
SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung
StandardwerteStandardmäßig verfügen Mitglieder der Gruppe "Administratoren" dieses Recht aufDomänencontrollern, Arbeitsstationen und Servern. Die Desktops-Benutzergruppe hat dieses Rechtauch auf Arbeitsstationen und Servern.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige Server
Effektive Standardeinstellungen der Domäne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-VersionsunterschiedeGab es keine Änderungen an den Einstellungen und Effekte der richtigen Benutzer festlegen, da es inWindows Server 2003 und Windows XP eingeführt wurde. Der Name der Einstellung wurde
jedochWindows Server 2008 R2undWindows 7ausAnmelden über Terminaldienste zulassen.Richtlinienverwaltung
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
19/97
Dieser Abschnitt beschreibt die verschiedenen Features und Tools zur Verfügung, die Ihnen helfen,diese Richtlinie zu verwalten.
GruppenrichtlinieUm RDS erfolgreich anmelden an einem Remotecomputer verwenden möchten, klicken Sie denBenutzer oder die Gruppe muss ein Mitglied der Gruppe "Remotedesktopbenutzer" oder
"Administratoren" sein und gewährt werden, dieAnmelden über Remotedesktopdienstezulassenrechten. Es ist möglich, für einen Benutzer stellen eine RDS-Sitzung mit einem bestimmtenServer, jedoch nicht auf dem gleichen Server die Konsole anmelden.Sie können zum Ausschließen von Benutzern oder Gruppen zuweisen derAnmelden überRemotedesktopdienste VerweigernBenutzer direkt auf die Benutzer oder Gruppen. Jedoch vorsichtigsein, wenn Sie diese Methode verwenden, da Konflikte für autorisierte Benutzer oder Gruppen, dieZugriff über zugelassen wurde erstellt werden konnte dieAnmelden über RemotedesktopdienstezulassenRecht.Weitere Informationen finden Sie unter Anmelden über Remotedesktopdienste verweigern. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.Gruppenrichtlinien werden über Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet,die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinieüberschrieben werden:
1.
Einstellungen lokaler Richtlinien2.
Website-Richtlinien3.
Richtlinien für die Domäne4. Richtlinien für die Organisationseinheit
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner
Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoEin Konto mit denAnmelden über Remotedesktopdienste zulassenRecht an der Remotekonsole desComputers anmelden kann. Wenn Sie nicht diesen Benutzer direkt auf autorisierte Benutzereinschränken, die in der Konsole des Computers anmelden müssen, konnte nicht autorisierte Benutzerherunterladen und Ausführen von bösartiger Software, um ihre Rechte zu erhöhen.
GegenmaßnahmeWeisen Sie für Domänencontroller, dieAnmelden über RemotedesktopdienstezulassenBerechtigung nur für die Gruppe "Administratoren". Fügen Sie für andere Serverrollen undEndbenutzer-Computer die Gruppe Remotedesktopbenutzer hinzu. Bei Servern, die der RemoteDesktop (RD)-Sitzungshost wurde-Rollendienst aktiviert und nicht im Anwendungsservermodusausführen, stellen Sie sicher, dass nur autorisierte IT-Mitarbeiter, die die Remoteverwaltung vonComputern müssen diese Gruppen angehören.
Achtung
Remotedesktop-Sitzungshostserver, die im Anwendungsservermodus ausführen, sicherstellen Sie, dass nurGruppe Remotedesktopbenutzer gehören verfügen, da diese integrierten Gruppe dieses Anmelderecht stand
Alternativ können Sie zuweisen derAnmelden über Remotedesktopdienste VerweigernBenutzerdirekt zu Gruppen wie Konten-Operatoren, Server-Operatoren und Gäste. Jedoch vorsichtig sein, wennSie diese Methode verwenden, da Sie den Zugriff von autorisierten Administratoren, die ebenfalls zu
https://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttps://technet.microsoft.com/de-de/library/dn221959.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221959.aspx
8/18/2019 Zuweisen Von Benutzerrechten
20/97
einer Gruppe gehören blockieren könnten, verfügt dieAnmelden über RemotedesktopdiensteVerweigernRecht.
Mögliche AuswirkungEntfernen derAnmelden über Remotedesktopdienste zulassenBenutzer direkt aus anderen Gruppen(oder die Änderung der Mitgliedschaft in diesen Standardgruppen) kann die Funktionen von
Benutzern, die bestimmte Verwaltungsfunktionen in Ihrer Umgebung ausführen einschränken. Siesollten sicherstellen, dass delegierte Aktivitäten nicht beeinträchtigt werden.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Sichern von Dateien und
Verzeichnissen
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis Dieses Benutzerrecht legt fest, welche Benutzer im Rahmen der Sicherung des Systems Datei- undVerzeichnis, Registrierungsschlüssel und andere persistente Objektberechtigungen umgehen
können. Dieses Benutzerrecht gilt nur, wenn eine Anwendung, den Zugriff über die NTFS-backupAnwendungsprogrammierschnittstelle (API) über ein Sicherungstool, z. B. "Ntbackup versucht". EXE-DATEI. Andernfalls gelten standardmäßige Datei- und Verzeichnisberechtigungen.Dieses Benutzerrecht entspricht ungefähr den folgenden Berechtigungen für den Benutzer oder dieGruppe aus, die Sie auf alle Dateien und Ordner auf dem System ausgewählt haben:
Ordner durchlaufen oder Datei ausführen
Ordner auflisten oder Daten lesen Attribute lesen Erweiterte Attribute lesen Berechtigungen lesen
Standardwert für Arbeitsstationen und Server:
Administratoren Sicherungsoperatoren
Standardwert für Domänencontroller: Administratoren
Sicherungsoperatoren
Server-OperatorenDiese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeBackupPrivilege
Mögliche Werte
Eine benutzerdefinierte Liste der Konten
Nicht definiert
Bewährte Methoden
http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
21/97
1. Einschränken derSichern von Dateien und VerzeichnissenBenutzer direkt auf Mitglieder desIT-Teams, die als Teil ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Da eskeine Möglichkeit, achten Sie darauf, dass ein Benutzer sichern, weisen Diebstahl von Datenoder beim Kopieren von Daten verteilt werden, dieses Benutzerrecht nur vertrauenswürdigenBenutzern.
2.
Wenn Sie Sicherungssoftware, die unter bestimmten Dienstkonten ausgeführt wird verwenden,nur mit diesen Konten (und nicht das IT-Personal) müssen dieSichern von Dateien undVerzeichnissenRecht.
SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung
StandardwerteIn der Standardeinstellung wird dieses Recht für Administratoren und Sicherungsoperatoren aufArbeitsstationen und Servern zugewiesen. Auf Domänencontrollern verfügen Administratoren,Sicherungsoperatoren und Server-Operatoren über dieses Recht.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige Server
Effektive Standardeinstellungen der Domäne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
Gruppenrichtlinie
http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
22/97
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:
1.
Einstellungen lokaler Richtlinien2. Website-Richtlinien
3.
Richtlinien für die Domäne4.
Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoBenutzer, die Daten von einem Computer sichern können dauerte die Sicherungsmedien auf einem
Domänencomputer, auf denen sie über Administratorrechte verfügen, und anschließend die Datenwiederherstellen. Sie könnten Übernehmen des Besitzes von Dateien und Anzeigen vonunverschlüsselten Daten, die im Sicherungssatz enthalten ist.
GegenmaßnahmeEinschränken derSichern von Dateien und VerzeichnissenBenutzer direkt auf Mitglieder des IT-Teams, die als Teil ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Wenn SieSicherungssoftware, die unter bestimmten Dienstkonten ausgeführt wird verwenden, nur mit diesenKonten (und nicht das IT-Personal) müssen dieSichern von Dateien und VerzeichnissenRecht.
Mögliche AuswirkungÄndert die Mitgliedschaft der Gruppen, die dieSichern von Dateien und
VerzeichnissenBenutzerrecht konnte die Funktionen der Benutzer mit bestimmten Administratorrollenin Ihrer Umgebung einschränken. Sie sollten sicherstellen, dass autorisierte backup-Administratorennoch Sicherungsvorgänge ausführen können.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Auslassen der durchsuchenden
Überprüfung
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis Diese Einstellung bestimmt, welche Benutzer (oder ein Prozess, der für das Konto des Benutzers) überdie Berechtigung einen Objektpfad im NTFS-Dateisystem oder in der Registrierung navigieren, ohne
dass überprüft wird, für die spezielle Berechtigung Ordner durchsuchen. Dieses Benutzerrecht lässt sichnicht auf den Benutzer zum Auflisten des Inhalts eines Ordners aus. Es kann nur der Benutzer OrdnerZugriff auf den zulässigen Dateien oder Unterordner durchsuchen.
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
23/97
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeChangeNotifyPrivilege
Mögliche Werte Eine benutzerdefinierte Liste der Konten
Nicht definiert
Bewährte Methoden1.
Verwenden Sie Access-basierten-Enumeration, wenn Sie verhindern, dass Benutzer seheneinen Ordner oder eine Datei, auf die sie keinen Zugriff haben, möchten.
2. Verwenden Sie in den meisten Fällen die Standardeinstellungen dieser Richtlinie. Wenn Sie dieEinstellungen ändern, überprüfen Sie Ihre Absicht durch Tests.
SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung
StandardwerteDie folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt Sta
Standarddomänenrichtlinie Nic
Standarddomänencontroller-Richtlinie AdAutJede
Lok NetPrä-
Standardeinstellungen für eigenständige Server AdSichBenJedeLok
Net
Effektive Standardeinstellungen der Domäne-Controller AdAutJedeLok
NetPrä-
Member Server effektiv Standardeinstellungen AdSichBen
JedeLok
8/18/2019 Zuweisen Von Benutzerrechten
24/97
Net
Effektiven Standardwert für Clientcomputer AdSich
BenJedeLok
Net
Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Berechtigungen für Dateien und Ordner werden gesteuert, obwohl die entsprechende Konfigurationder Datei System Access Control (ACLs) aufgelistet. Die Möglichkeit, den Ordner durchlaufen bietetkeine Lese- oder Schreibvorgang Berechtigungen für dem Benutzer.Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:
1.
Einstellungen lokaler Richtlinien2.
Website-Richtlinien
3.
Richtlinien für die Domäne4. Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoDie Standardkonfiguration für dieAuslassen der durchsuchenden Überprüfungwird in allen
Benutzern das Auslassen der durchsuchenden Überprüfung ermöglichen. Obwohl die entsprechendeKonfiguration des Dateisystemzugriff Zugriffssteuerungslisten (ACLs), da die Möglichkeit, den Ordnerdurchlaufen keine Lese- oder Schreibvorgang Berechtigungen für dem Benutzer bietet, werdenBerechtigungen für Dateien und Ordner gesteuert. Das einzige Szenario, in dem dieStandardkonfiguration zu Missverständnissen führen könnte, wäre, wenn der Administrator, der dieKonfiguration von Berechtigungen nicht versteht, wie diese Einstellung funktioniert. Angenommen,erwarten der Administrator, dass Benutzer, die nicht auf einen Ordner zugreifen können nicht auf denInhalt von untergeordneten Ordnern zugreifen können. Eine solchen Situation ist unwahrscheinlichund, daher stellt diese Sicherheitslücke geringes Risiko.
GegenmaßnahmeOrganisationen, die Sicherheit besorgt sind möglicherweise die jeder entfernen möchten Gruppe, und
vielleicht die Benutzergruppe, aus der Liste der Gruppen auf, dieAuslassen der durchsuchendenÜberprüfungRecht. Explizite Kontrolle über Traversal Zuweisungen kann eine effiziente Möglichkeit,den Zugriff auf vertrauliche Informationen einzuschränken. Access-Aufzählung kann auch verwendet
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
25/97
werden. Bei Verwendung von Access-basierten Enumeration nicht Benutzer angezeigt, einen Ordneroder eine Datei, auf die sie keinen Zugriff haben. Weitere Informationen zu dieser Funktion finden Sieunterzugriffsbasierte Aufzählung.
Mögliche AuswirkungWindows-Betriebssysteme und viele Programme wurden unter der Annahme entworfen, dass jeder
Benutzer, die berechtigterweise auf den Computer zugreifen kann dieses Benutzerrecht hat. Daher wirdempfohlen, alle Änderungen an den Zuweisungen von gründlich testen, dieAuslassen derdurchsuchenden ÜberprüfungRecht, bevor Sie diese Änderungen auf den Produktionssystemenvornehmen. Insbesondere IIS erfordert dieses Benutzerrecht zugewiesen werden, Netzwerkdienst,lokaler Dienst, IIS_WPG, IUSR_< ComputerName >und IWAM_< ComputerName >Konten. (sie müssenauch das ASPNET-Konto über die Mitgliedschaft in der Gruppe "Benutzer" zugewiesen werden.) Eswird empfohlen, diese Einstellung bei der Standardkonfiguration zu lassen.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Ändern der Systemzeit
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis Diese Einstellung bestimmt, welche Benutzer die Zeit auf der internen Uhr des Computers anpassenkönnen. Dieses Recht ermöglicht es den Computerbenutzer zum Ändern von Datum und Uhrzeit, dieDatensätze in den Ereignisprotokollen, Datenbanktransaktionen und das Dateisystemzugeordnet. Dieses Recht wird auch vom Prozess erforderlich, die Synchronisierung ausführt. DieseEinstellung hat keinen Einfluss auf die Fähigkeit zum Ändern der Zeitzone oder andererAnzeigeeigenschaften der Systemzeit des Benutzers. Informationen zum Zuweisen von rechts, um dieZeitzone ändern, finden Sie unterÄndern der Zeitzone. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeSystemtimePrivilege
Mögliche Werte
Eine benutzerdefinierte Liste der Konten Nicht definiert
Bewährte Methoden1. Einschränken derÄndern der SystemzeitBenutzer direkt an Benutzer mit legitimer müssen so
ändern Sie die Systemzeit, z. B. Mitglieder der IT-Team.
SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung
Standardwerte
Standardmäßig Mitglied der Administratoren und lokale Gruppen verfügen über dieses Recht aufArbeitsstationen und Servern. Mitglieder der Administratoren, Server-Operatoren und lokalenDienstgruppen verfügen über dieses Recht auf Domänencontrollern.
http://go.microsoft.com/fwlink/?LinkId=100745http://go.microsoft.com/fwlink/?LinkId=100745http://go.microsoft.com/fwlink/?LinkId=100745http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttps://technet.microsoft.com/de-de/library/dn221986.aspxhttp://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://go.microsoft.com/fwlink/?LinkId=100745
8/18/2019 Zuweisen Von Benutzerrechten
26/97
Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige Server
Effektive DC-Standardeinstellungen
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie.Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der
Gruppenrichtlinie überschrieben werden:1. Einstellungen lokaler Richtlinien2.
Website-Richtlinien3.
Richtlinien für die Domäne4. Richtlinien für die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoBenutzer, die auf einem Computer ändern können, können verschiedene Probleme auslösen. Beispiel:
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
27/97
Zeitstempel in Ereignisprotokolleinträgen konnte ungenaue hergestellt werden Die Zeitstempel von Dateien und Ordnern, die erstellt oder geändert werden könnten falsch
sein.
Computer, die zu einer Domäne gehören möglicherweise nicht selbst authentifizieren Benutzer, die versuchen, die von Computern mit ungenauen Mal an der Domäne anmelden
kann möglicherweise nicht authentifizieren.Auch, da das Kerberos-Authentifizierungsprotokoll muss die anfordernde Person und derAuthentifikator ihre Uhren innerhalb einer vom Administrator definierte Zeitversatz synchronisierthaben, ein Angreifer, der Uhrzeit des Computers ändert sich möglicherweise, bis dieser Computer nichtmehr abrufen oder Tickets des Authentifizierungsprotokolls Kerberos zu gewähren.Das Risiko von diesen Typen von Ereignissen wird auf den meisten Domänencontrollern,Mitgliedsservern und Endbenutzercomputern verringert, da der Windows-Zeitdienst automatisch mitden Domänencontrollern auf folgende Weise Synchronisation:
Alle desktop-Clientcomputern und Mitgliedsserver verwenden den authentifizierendenDomänencontroller als Zeitgeber.
Alle Domänencontroller in einer Domäne benennen die primäre Domäne
Emulationsbetriebsmaster des Domänencontrollers (PDC) als Zeitgeber.
Alle PDC-Emulator-Betriebsmaster folgen die Hierarchie von Domänen in der Auswahl derZeitgeber.
Der Betriebsmaster am Stamm der Domäne ist für die Organisation autorisierend. Aus diesemGrund empfehlen wir, dass Sie diesen Computer zum Synchronisieren mit einem zuverlässigenexternen Zeitserver konfigurieren.
Diese Sicherheitslücke ist eine große Gefahr, wenn ein Angreifer kann zum Ändern der Systemzeit undder Windows-Zeitdienst beenden oder neu konfigurieren, die mit einem Zeitserver zu synchronisieren,die nicht korrekt ist.
GegenmaßnahmeEinschränken derÄndern der SystemzeitBenutzer direkt an Benutzer mit legitimer müssen so ändern
Sie die Systemzeit, z. B. Mitglieder der IT-Team.
Mögliche AuswirkungDa für die meisten Organisationen Synchronisierung für alle Computer, die der Domäne angehören,vollständig automatisiert werden sollten sollte nicht beeinträchtigt sein. Computer, die nicht zurDomäne gehören, sollte für die Synchronisierung mit einer externen Quelle, z. B. einen Webdienstkonfiguriert werden.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Ändern der Zeitzone
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis Diese Einstellung bestimmt, welche Benutzer die Zeitzone angepasst werden können, die vomComputer verwendet wird, zum Anzeigen der lokalen Zeit, einschließlich der Systemzeit plus derZeitzone Offset.
http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
28/97
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeTimeZonePrivilege
Mögliche Werte Eine benutzerdefinierte Liste der Konten
Nicht definiert
Bewährte MethodenKeiner.
SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung
StandardwerteDie folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige Server
Effektive Standardeinstellungen der Domäne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung des Kontos für diese Benutzerrechte wird wirksam, das nächste Mal, wenn das Kontoanmeldet.
GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:
1.
Einstellungen lokaler Richtlinien2.
Website-Richtlinien3.
Richtlinien für die Domäne
http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
29/97
4. Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoÄndern der Zeitzone darstellt kleine Sicherheitslücke, da die Systemzeit nicht beeinträchtigt wird. Mitdieser Einstellung kann lediglich Benutzer ihren bevorzugten Zeitzone anzeigen, während Sie mitDomänencontrollern in verschiedenen Zeitzonen synchronisiert wird.
GegenmaßnahmeGegenmaßnahmen sind nicht erforderlich, da die Systemzeit von dieser Einstellung nicht betroffen ist.
Mögliche Auswirkung
Keiner.Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Erstellen einer Auslagerungsdatei
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis Das Windows-Betriebssystem kennzeichnet standardmäßig einen Abschnitt der Festplatte als virtuellerArbeitsspeicher als die Auslagerungsdatei oder genauer gesagt, als "Pagefile.sys" bezeichnet. Er dientals Ergänzung des Computers Arbeitsspeicher (RAM) zur Verbesserung der Leistung für Programmeund Daten, die häufig verwendet werden. Obwohl die Datei von der Suche ausgeblendet ist, könnenSie mithilfe der Systemeinstellungen verwalten.Diese Einstellung bestimmt, welche Benutzer erstellen und Ändern der Größe einer Seitendatei
können. Bestimmt, ob Benutzer eine Auslagerungsdatei für ein bestimmtes Laufwerk im angeben,können dieLeistungsoptionenFeld befindet sich auf derErweitertauf der RegisterkartedieSystemeigenschaften(Dialogfeld) oder durch die Verwendung von internen Anwendung Interfaces(APIs).Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeCreatePagefilePrivilege
Mögliche Werte Eine benutzerdefinierte Liste der Konten
Administratoren
Bewährte Methoden1.
Einschränken derErstellen einer AuslagerungsdateiBenutzer Rechte für Administratoren, dieStandardeinstellung.
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
30/97
SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung
StandardwerteStandardmäßig verfügen Mitglieder der Gruppe der Administratoren über dieses Recht.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuestenunterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige Server
Effektive Standardeinstellungen der Domäne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung derGruppenrichtlinie überschrieben werden:
1.
Einstellungen lokaler Richtlinien2. Website-Richtlinien
3.
Richtlinien für die Domäne4.
Richtlinien für die OrganisationseinheitWenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einemGruppenrichtlinienobjekt derzeit diese Einstellung steuert.
Überlegungen zur Sicherheit In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seinerKonfiguration wie die Gegenmaßnahme und die negativen Konsequenzen GegenmaßnahmeImplementierung implementiert.
SicherheitsrisikoDie Größe der Auslagerungsdatei zu ändern, können Benutzer machen können sehr klein oderVerschieben der Datei in einem stark fragmentierten Speichermedium, Leistung des Computersverringert die verursachen.
http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/http://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
31/97
GegenmaßnahmeEinschränken derErstellen einer AuslagerungsdateiBenutzer direkt auf Mitglieder der Gruppe"Administratoren".
Mögliche AuswirkungKeiner.Beschränken das Recht zum Mitglied der Gruppe "Administratoren" ist die Standardkonfiguration.
Siehe auch Zuweisen von Benutzerrechten © 2015 Microsoft
Erstellen eines Tokenobjekts
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden,Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für dieseEinstellung.
Verweis Diese Einstellung bestimmt, welche Konten von einem Prozess ein Token erstellen können und welcheKonten es können dann verwenden, um Zugriff auf lokale Ressourcen zu erhalten, wenn der ProzessNtCreateToken() oder andere APIs Token-Erstellung verwendet.Wenn ein Benutzer sich auf dem lokalen Computer meldet oder eine Verbindung mit einemRemotecomputer über ein Netzwerk her, erstellt Windows Zugriffstoken des Benutzers. Das System
überprüft dann das Token, um die Berechtigungsebene des Benutzers zu bestimmen. Wenn Sie einRecht sperren, die Änderung wird sofort aufgezeichnet, aber die Änderung ist nicht im Zugriffstokendes Benutzers übernommen, bis zur nächsten Ausführung der Benutzer anmeldet oder eineVerbindung herstellt.Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListeam Anfang dieses Themas.Konstanten: SeCreateTokenPrivilege
Mögliche Werte
Eine benutzerdefinierte Liste der Konten Nicht definiert
Bewährte Methoden1.
Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Wenn es erforderlich ist,weisen Sie dieses Benutzerrecht an einen Benutzer, eine Gruppe oder ein Prozess als lokalesSystem.
SpeicherortGPO_name \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienSettings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung
StandardwerteDieses Benutzerrecht wird intern vom Betriebssystem verwendet. Standardmäßig ist er keineBenutzergruppen zugewiesen.Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten
unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für dieRichtlinie aufgeführt.
http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttps://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/http://void%280%29/http://void%280%29/https://technet.microsoft.com/de-de/library/dn221963.aspxhttp://void%280%29/
8/18/2019 Zuweisen Von Benutzerrechten
32/97
Server-Typ oder das Gruppenrichtlinienobjekt
Standarddomänenrichtlinie
Standarddomänencontroller-Richtlinie
Standardeinstellungen für eigenständige Server
Effektive Standardeinstellungen der Domäne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert für Clientcomputer
Betriebssystem-VersionsunterschiedeEs gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstütztenVersionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Richtlinienverwaltung Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer desKontos anmeldet, wirksam.
GruppenrichtlinieEinstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der
Gruppenrichtlinie überschrieben werden:1.
Einstellungen lokaler Richtlinien2.
Website-Richtlinien3.
Rich
Top Related