Definition der einzelnen Richtlinien
Hier eine Aufstellung zur Schnellansicht aus der hervorgeht, was die einzelnen Richtlinien bewirken.
Ändern der Systemzeit
Mit diesem Benutzerrecht wird festgelegt, welche Benutzer und Gruppen die Uhrzeit und das Datum der internen Uhr des Computers ändern können. Benutzer, denen dieses Benutzerrecht zugewiesen ist, können die Darstellung von Ereignisprotokollen ändern. Wenn die Systemzeit geändert wird, wird in den protokollierten Ereignissen diese neue Uhrzeit widergespiegelt und nicht die Uhrzeit, zu der die Ereignisse tatsächlich eingetreten sind.
Ändern der Zeitzone
Durch dieses Benutzerrecht wird bestimmt, welche Benutzer und Gruppen die Zeitzone ändern können, die vom Computer zum Anzeigen der lokalen Zeit verwendet wird. Dabei handelt es sich um die Systemzeit des Computers zuzüglich des Zeitzonenoffsets. Die Systemzeit selbst ist absolut und nicht von Änderungen in der Zeitzone betroffen.
Anheben der Zeitplanungsprirität
Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten einen Prozess, der über den Zugriff “Eigenschaft schreiben” auf einen anderen Prozess verfügt, verwenden können, um die Ausführungspriorität zu erhöhen, die für den anderen Prozess zugewiesen ist. Ein Benutzer mit dieser Berechtigung kann die Zeitplanungspriorität eines Prozesses über die Benutzeroberfläche des Task-Managers ändern.
Anmelden als Batchauftrag vermeiden
Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten einen Prozess, der über den Zugriff “Eigenschaft schreiben” auf einen anderen Prozess verfügt, verwenden können, um die Ausführungspriorität zu erhöhen, die für den anderen Prozess zugewiesen ist. Ein Benutzer mit dieser Berechtigung kann die Zeitplanungspriorität eines Prozesses über die Benutzeroberfläche des Task-Managers ändern.
Anmelden als Batchauftrag verweigern
Mit dieser Sicherheitseinstellung wird festgelegt, welchen Konten verweigert wird, sich als Batchauftrag anzumelden. Diese Richtlinieneinstellung löst die Richtlinieneinstellung “Anmelden als Stapelverarbeitungsauftrag” ab, wenn für ein Benutzerkonto beide Richtlinien gelten.
Anmelden als Dienst
Diese Sicherheitseinstellung ermöglicht die Anmeldung eines Sicherheitsprinzipals als Dienst. Dienste können für die Ausführung unter den lokalen System- und Dienst- oder den Netzwerkdienstkonten ausgeführt werden, die eine vordefinierte Berechtigung zur Anmeldung als Dienst besitzen. Jedem Dienst, der unter einem gesonderten Benutzerkonto ausgeführt wird, muss die entsprechende Berechtigung erteilt werden.
Anmelden als Dienst verweigern
Mit dieser Sicherheitseinstellung wird festgelegt, welchen Dienstkonten verweigert wird, einen Prozess als Dienst zu registrieren. Diese Richtlinieneinstellung löst die Richtlinie “Anmelden als Dienst” ab, wenn für ein Benutzerkonto beide Richtlinien gelten.
Anmelden als Stapelverarbeitungsauftrag
Diese Sicherheitseinstellung ermöglicht es einem Benutzer, sich mithilfe einer Stapelverarbeitungs-Warteschlange anzumelden. Sie wird nur bereitgestellt, um die Kompatibilität mit älteren Versionen von Windows sicherzustellen.
Wenn ein Benutzer beispielsweise einen Auftrag mithilfe der Aufgabenplanung absendet, meldet die Aufgabenplanung diesen Benutzer als Stapelverarbeitungsbenutzer und nicht als interaktiven Benutzer an.
Anmelden über Remotedesktopdienste verweigern
Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern und Gruppen verweigert wird, sich als Remotedesktopdienste-Client anzumelden.
Anmelden über Remotedesktopdienste zulassen
Mit dieser Sicherheitsrichtlinie wird festgelegt, welche Benutzer oder Gruppen sich als Remotedesktopdienste-Client anmelden können.
Annehmen der Clientidentität nach Authentifizierung
Wenn einem Benutzer dieses Benutzerrecht zugewiesen wird, können Programme im Auftrag dieses Benutzers ausgeführt werden, um die Identität eines Clients anzunehmen. Wenn für diese Art von Identitätswechsel dieses Benutzerrecht angefordert wird, wird verhindert, dass ein nicht autorisierter Benutzer einen Client überzeugt, eine Verbindung (zum Beispiel über einen Remoteprozeduraufruf oder Named Pipes) mit einem Dienst herzustellen, den der nicht autorisierte Benutzer erstellt hat, und dann die Identität dieses Clients anzunehmen. Auf diese Weise kann der nicht autorisierte Benutzer seine Berechtigungsebene unrechtmäßig erhöhen und Berechtigungen auf Administrator- oder Systemebene erlangen.
Anpassen von Speicherkontingenten für einen Prozess
Mit dieser Berechtigung wird festgelegt, ob ein Benutzer den Wert für den maximalen Arbeitsspeicher ändern kann, der von einem Prozess belegt werden kann.
Dieses Benutzerrecht ist im Standarddomänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert.
Prozessarbeitssatz vergrößern
Durch diese Berechtigung wird festgelegt, mit welchen Benutzerkonten die Größe eines Prozessarbeitssatzes vergrößert oder verkleinert werden kann.
Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen
Diese Einstellung wird von der Anmeldeinformationsverwaltung bei Sicherungs-/Wiederherstellungsvorgängen verwendet. Kein Konto sollte über diese Berechtigung verfügen, da es nur Winlogon zugewiesen ist. Die Sicherheit der Anmeldeinformationen von Benutzern wird unter Umständen gefährdet, wenn diese Berechtigung anderen Entitäten gewährt wird.
Auf diesen Computer vom Netzwerk aus zugreifen
Mit diesem Benutzerrecht wird festgelegt, welche Benutzer und Gruppen über das Netzwerk eine Verbindung mit dem Computer herstellen können. Dieses Benutzerrecht hat keine Auswirkung auf die Remotedesktopdienste.
Auslassen der durchsuchenden Überprüfung
Mit diesem Benutzerrecht wird festgelegt, welche Benutzer die Verzeichnisstrukturen durchsuchen können, obwohl der Benutzer möglicherweise keine Berechtigungen für das durchsuchte Verzeichnis besitzt. Mit dieser Berechtigung kann der Benutzer nicht den Inhalt eines Verzeichnisses auflisten, sondern nur die Verzeichnisse durchsuchen.
Debuggen von Programmen
Mit diesem Benutzerrecht wird festgelegt, welche Benutzer einen Debugger an einen beliebigen Prozess oder an den Kernel anhängen können. Für Entwickler, die eigene Systemkomponenten debuggen, ist dieses Benutzerrecht nicht erforderlich. Entwickler, die neue Systemkomponenten debuggen, müssen dieses Benutzerrecht besitzen, um das Debuggen durchführen zu können. Dieses Benutzerrecht verleiht vollständigen Zugriff auf sensible und kritische Betriebssystemkomponenten.
Durchführen von Volumewartungsaufgaben
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer und Gruppen Wartungsaufgaben auf einem Volume ausführen können, zum Beispiel eine Remotedefragmentierung.
Einsetzen als Teil des Betriebssystems
Dieses Benutzerrecht ermöglicht es einem Prozess, die Identität eines beliebigen Benutzers ohne Authentifizierung anzunehmen. Der Prozess kann dadurch auf die gleichen lokalen Ressourcen wie der Benutzer zugreifen.
Für Prozesse, die diese Berechtigung erfordern, sollte das Konto “LocalSystem” verwendet werden, das diese Berechtigung bereits umfasst, anstatt ein separates Benutzerkonto zu verwenden, für das diese Berechtigung speziell zugewiesen wird. Wenn in Ihrer Organisation nur Server verwendet werden, die Mitglied der Windows Server 2003-Familie sind, müssen Sie diese Berechtigung nicht für die Benutzer innerhalb der Organisation zuweisen. Wenn in Ihrer Organisation jedoch Server verwendet werden, die unter Windows 2000 oder Windows NT 4.0 ausgeführt werden, müssen Sie diese Berechtigung möglicherweise zuweisen, um Anwendungen verwenden zu können, die Nur-Text-Kennwörter austauschen.
Entfernen des Computers von der Dockingstation
Mit dieser Sicherheitseinstellung wird festgelegt, ob ein Benutzer einen tragbaren Computer aus der Dockingstation herausnehmen kann, ohne sich anzumelden.
Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer die Einstellung “Für Delegierungszwecke vertraut” für einen Benutzer oder ein Computerobjekt festlegen können.
Der Benutzer oder das Objekt, dem diese Berechtigung gewährt wird, muss über Schreibzugriff auf die Kontensteuerungskennzeichen für den Benutzer oder das Objekt verfügen. Ein Serverprozess, der auf einem Computer (oder unter einem Benutzerkontext) ausgeführt wird, dem für Delegierungszwecke vertraut wird, kann mithilfe der delegierten Anmeldeinformationen eines Clients auf die Ressourcen eines anderen Computers zugreifen, sofern für das Clientkonto nicht das Kontosteuerungskennzeichen “Konto kann nicht delegiert werden” festgelegt wurde.
Ersetzen eines Tokens auf Prozessebene
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzerkonten die CreateProcessAsUser()-API aufrufen können, damit ein Dienst einen anderen Dienst starten kann. Ein Beispiel für einen Prozess, der dieses Benutzerrecht verwendet, ist die Aufgabenplanung. Weitere Informationen zur Aufgabenplanung finden Sie in der Übersicht zur Aufgabenplanung.
Erstellen einer Auslagerungsdatei
Mit diesem Benutzerrecht wird festgelegt, welche Benutzer und Gruppen eine interne API (Application Programming Interface) zum Erstellen und Ändern der Größe einer Auslagerungsdatei aufrufen können. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet und muss keinen Benutzern zugewiesen werden.
Erstellen eines Profils der Systemleistung
Mit dieser Systemeinstellung wird festgelegt, welche Benutzer die Leistungsüberwachungstools verwenden können, um die Leistung von Systemprozessen zu überwachen.
Einzelprozessprofil
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer die Leistungsüberwachungstools verwenden können, um die Leistung von Nicht-Systemprozessen zu überwachen.
Erstellen eines Tokenobjekts
Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten von den Prozessen zum Erstellen eines Tokens verwendet werden können, das dann für den Zugriff auf beliebige lokale Ressourcen eingesetzt werden kann, wenn der Prozess eine API zum Erstellen eines Zugriffstokens verwendet.
Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Weisen Sie dieses Benutzerrecht nicht einem Benutzer, einer Gruppe oder einem anderen Prozess als “Lokales System” zu, es sei denn, dies ist unbedingt erforderlich.
Erstellen globaler Objekte
Durch diese Sicherheitseinstellung wird bestimmt, ob Benutzer globale Objekte erstellen können, die für alle Sitzungen verfügbar sind. Benutzer können weiterhin Objekte erstellen, die sich speziell auf ihre Sitzung beziehen, falls Sie nicht dieses Benutzerrecht besitzen. Benutzer, die globale Objekte erstellen können, beeinflussen unter Umständen Prozesse, die im Rahmen von Sitzungen anderer Benutzer ausgeführt werden. Dies könnte zu Anwendungsfehlern oder Datenbeschädigung führen.
Erstellen symbolischer Verknüpfungen
Mit diesem Recht wird bestimmt, ob der Benutzer eine symbolische Verknüpfung von dem Computer erstellen kann, an dem der Benutzer angemeldet ist.
Erstellen von dauerhaft freigegebenen Objekten
Mit diesem Benutzerrecht wird festgelegt, welche Konten von den Prozessen verwendet werden können, um ein Verzeichnisobjekt mit dem Objekt-Manager zu erstellen.
Erzwingen des Herunterfahrens von einem Remotesystem aus
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer einen Computer von einem Remotenetzwerkstandort aus herunterfahren können. Die missbräuchliche Verwendung dieses Benutzerrechts kann zu einem Verweigerungsangriff führen.
Dieses Benutzerrecht ist im Standarddomänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und der Server definiert.
Generieren von Sicherheitsüberwachungen
Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten ein Prozess verwenden kann, um dem Sicherheitsprotokoll Einträge hinzuzufügen. Das Sicherheitsprotokoll wird verwendet, um nicht autorisierte Systemzugriffe zu verfolgen. Die missbräuchliche Verwendung dieses Benutzerrechts kann dazu führen, dass zu viele Überwachungsereignisse generiert werden. Auf diese Weise kann möglicherweise der Beweis für einen Angriff verschleiert oder ein Dienstverweigerungsangriff verursacht werden, wenn die Sicherheitsrichtlinieneinstellung “Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können” aktiviert ist. Weitere Informationen finden Sie unter “Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können”.
Herunterfahren des Systems
Mit dieser Sicherheitseinstellung wird festgelegt, welche lokal am Computer angemeldeten Benutzer das Betriebssystem mit dem Befehl “Herunterfahren” herunterfahren können. Die missbräuchliche Verwendung dieses Benutzerrechts kann zu einem Dienstverweigerungsangriff führen.
Hinzufügen von Arbeitsstationen zur Domäne
Mit dieser Sicherheitseinstellung wird festgelegt, welche Gruppen oder Benutzer Arbeitsstationen zu einer Domäne hinzufügen können.
Diese Sicherheitseinstellung ist nur für Domänencontroller gültig. Standardmäßig besitzt jeder authentifizierte Benutzer dieses Recht und kann bis zu 10 Computerkonten in der Domäne erstellen.
Durch Hinzufügen eines Computerkontos zur Domäne kann der Computer an der Active Directory-Vernetzung teilnehmen. Wenn eine Arbeitsstation zum Beispiel einer Domäne hinzugefügt wird, kann diese Arbeitsstation Konten und Gruppen erkennen, die in Active Directory vorhanden sind.
Identitätstoken für einen anderen Benutzer in derselben Sitzung abrufen
Ruft ein Identitätstoken für einen anderen Benutzer in derselben Sitzung ab.
Wenn einem Benutzer dieses Benutzerrecht zugewiesen wird, können Programme im Auftrag dieses Benutzers ausgeführt werden, um ein Identitätstoken anderer Benutzer zu erhalten, die sich in derselben Sitzung interaktiv angemeldet haben. Dazu muss der Aufrufer jedoch über ein Identitätstoken des Sitzungsbenutzers verfügen. Nicht anwendbar auf Desktop-Windows-Clients/-Server, auf denen für jeden Benutzer eine eigene Sitzung eingerichtet wird.
Laden und Entfernen von Gerätetreibern
Mit diesem Benutzerrecht wird festgelegt, welche Benutzer im Kernelmodus Gerätetreiber oder anderen Code dynamisch laden und entladen können. Dieses Benutzerrecht gilt nicht für Plug & Play-Gerätetreiber. Es wird empfohlen, dieses Benutzerrecht keinen anderen Benutzern zuzuweisen.
Lokale Anmeldung verweigern
Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern verweigert wird, sich am Computer anzumelden. Diese Richtlinieneinstellung löst die Richtlinieneinstellung “Lokal anmelden zulassen” ab, wenn für ein Benutzerkonto beide Richtlinien gelten.
Lokal anmelden
Legt fest, welche Benutzer sich beim Computer anmelden können.
Sichern von Dateien und Verzeichnissen
Mit diesem Benutzerrecht wird festgelegt, welche Benutzer die Berechtigungen für Dateien und Verzeichnisse, die Registrierung und andere beständige Objekte umgehen können, um eine Systemsicherung durchzuführen.
Sperren von Seiten im Speicher
Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten einen Prozess verwenden können, um Daten im physischen Speicher zu belassen. Dadurch wird verhindert, dass das System Seiten in den virtuellen Speicher auf dem Datenträger auslagert. Das Ausüben dieses Rechts kann die Systemleistung erheblich beeinträchtigen, da die Größe des verfügbaren Arbeitsspeichers (RAM) verringert wird.
Synchronisieren von Verzeichnisdienstdaten
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer und Gruppen berechtigt sind, alle Verzeichnisdienstdaten zu synchronisieren. Dies wird auch als Active Directory-Synchronisierung bezeichnet.
Übernehmen des Besitzes von Dateien und Objekten
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer den Besitz eines beliebigen sicherungsfähigen Objekts im System übernehmen können, einschließlich Active Directory-Objekten, Dateien und Ordner, Drucker, Registrierungsschlüssel, Prozessen und Threads.
Verändern der Firmwareumgebungsvariablen
Mit dieser Sicherheitsrichtlinie wird festgelegt, welche Benutzer die Werte der Firmwareumgebungsvariablen ändern können. Bei den Firmwareumgebungsvariablen handelt es sich um Einstellungen, die im permanenten RAM von nicht-x86-basierten Computern gespeichert werden. Die Auswirkung dieser Einstellung hängt vom Prozessor ab.
Verändern einer Objektbezeichnung
Mit diesem Recht wird bestimmt, welche Benutzerkonten die Integritätsebene von Objekten, z. B. Dateien, Registrierungsschlüsseln oder Prozessen im Besitz anderer Benutzer, ändern können. Von Prozessen, die unter einem Benutzerkonto ausgeführt werden, kann die Bezeichnung eines Objekts im Besitz dieses Benutzers auf eine niedrigere Ebene geändert werden, ohne dass dieses Recht erforderlich ist.
Verwalten von Überwachungs- und Sicherheitsprotokollen
Mit dieser Sicherheitseinstellung wird definiert, welche Benutzer Objektzugriff-Überwachungsoptionen für einzelne Ressourcen festlegen können, z. B. Dateien, Active Directory-Objekte und Registrierungsschlüssel.
Wiederherstellen von Dateien und Verzeichnissen
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer Berechtigungen für Dateien, Verzeichnisse, Registrierung und andere beständige Objekte beim Wiederherstellen von gesicherten Dateien und Verzeichnissen umgehen können, und legt fest, welche Benutzer einen beliebigen gültigen Sicherheitsprinzipal als Besitzer eines Objekts festlegen können.
Zugriff vom Netzwerk auf diesen Computer verweigern
Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern der Zugriff auf einen Computer über das Netzwerk verweigert wird. Diese Richtlinieneinstellung löst die Richtlinieneinstellung “Auf diesen Computer vom Netzwerk aus zugreifen” ab, wenn für ein Benutzerkonto beide Richtlinien gelten.