Auf diesen Computer vom Netzwerk aus zugreifen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Auf diesen Computer vom Netzwerk aus zugreifen beschrieben.
Referenzen
Mit der Richtlinieneinstellung Auf diesen Computer vom Netzwerk aus zugreifen legen Sie fest, welche Benutzer über das Netzwerk auf das Gerät zugreifen können. Diese Funktion wird für verschiedene Netzwerkprotokolle benötigt, beispielsweise für auf Server Message Block (SMB) basierende Protokolle, NetBIOS, Common Internet File System (CIFS) und Component Object Model (COM+).
Benutzer, Geräte und Dienstkonten erhalten oder verlieren das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen, wenn sie einer Sicherheitsgruppe mit diesem Benutzerrecht explizit oder indirekt hinzugefügt oder daraus entfernt wurden. Beispiel: Ein Benutzerkonto oder ein Gerätekonto kann einer benutzerdefinierten Sicherheitsgruppe oder einer integrierten Sicherheitsgruppe explizit hinzugefügt werden. Indirekt kann es von Windows einer vordefinierten Sicherheitsgruppe wie „Domänenbenutzer“, „Authentifizierte Benutzer“ oder „Domänencontroller der Organisation“ hinzugefügt werden.
Standardmäßig wird Benutzerkonten und Computerkonten das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen gewährt, wenn im „Gruppenrichtlinienobjekt“ (Group Policy Object, GPO) des Standarddomänencontrollers berechnete Gruppen wie „Authentifizierte Benutze“ bzw. für Domänencontroller die Gruppe „Domänencontroller der Organisation“ definiert wurden.
Konstante: SeNetworkLogonRight
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
Gewähren Sie diese Recht auf Desktopgeräten oder Mitgliedsservern nur für Benutzer und Administratoren.
Gewähren Sie dieses Recht auf Domänencontrollern nur für authentifizierte Benutzer, Domänencontroller der Organisation und Administratoren.
Diese Einstellung beinhaltet die Gruppe Jeder, um die Abwärtskompatibilität sicherzustellen. Nachdem Sie im Anschluss an das Windows-Upgrade überprüft haben, ob alle Benutzer und Gruppen korrekt migriert werden, entfernen Sie die Gruppe Jeder, und verwenden Sie stattdessen die Gruppe Authentifizierte Benutzer.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Jeder, Administratoren, Authentifizierte Benutzer, Domänencontroller der Organisation, Prä-Windows 2000 kompatibler Zugriff |
Standardeinstellungen für eigenständige Server |
Jeder, Administratoren, Benutzer, Sicherungs-Operatoren |
Effektive Standardeinstellungen für Domänencontroller |
Jeder, Administratoren, Authentifizierte Benutzer, Domänencontroller der Organisation, Prä-Windows 2000 kompatibler Zugriff |
Effektive Standardeinstellungen für Mitgliedsserver |
Jeder, Administratoren, Benutzer, Sicherungs-Operatoren |
Effektive Standardeinstellungen für Clientcomputer |
Jeder, Administratoren, Benutzer, Sicherungs-Operatoren |
Richtlinienverwaltung
Wenn Sie dieses Benutzerrecht ändern, können für Benutzer und Dienste bei den folgenden Aktionen Netzwerkzugriffsprobleme auftreten:
Entfernen der Sicherheitsgruppe „Domänencontroller der Organisation“
Entfernen der Gruppe „Authentifizierte Benutzer“ oder einer expliziten Gruppe, die Benutzern, Computern und Dienstkonten das Zugriffsrecht auf Computer über das Netzwerk gewährt.
Entfernen aller Benutzer- und Computerkonten
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Benutzer, die von ihrem Gerät aus Zugriff auf das Netzwerk haben, können auf Zielgeräten auf Ressourcen zugreifen, für die sie über Berechtigungen verfügen. Beispiel: Das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen wird für Benutzer benötigt, um auf freigegebene Drucker und Ordner zugreifen zu können. Wenn dieses Benutzerrecht der Gruppe Jeder zugeordnet ist, können alle Mitglieder der Gruppe die Dateien in den freigegebenen Ordnern lesen. Diese Situation ist unwahrscheinlich, da im Rahmen einer Standardinstallation von Windows Server 2008 R2 oder Windows 7 oder höher die Gruppe Jeder nicht erstellt wurde. Wenn ein Gerät jedoch aktualisiert wird und das ursprüngliche Gerät die Gruppe Jeder als Teil seiner definierten Benutzer und Gruppen beinhaltet, wird diese Gruppe im Rahmen des Upgradeprozesses übertragen und ist auf dem Gerät vorhanden.
Gegenmaßnahme
Beschränken Sie das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen auf die Benutzer und Gruppen, die Zugriff auf den Computer benötigen. Beispiel: Wenn Sie diese Richtlinieneinstellung für die Gruppen Administratoren und Benutzer konfigurieren, können Benutzer, die sich bei der Domäne anmelden, auf Ressourcen zugreifen, die von Servern in der Domäne freigegeben wurden. Voraussetzung ist, dass Mitglieder der Gruppe Domänenbenutzer auch zur lokalen Gruppe Benutzer gehören.
Hinweis
Wenn Sie in Ihrer Organisation für die sichere Netzwerkkommunikation IPsec verwenden, stellen Sie sicher, dass dieses Recht einer Gruppe gewährt wurde, die Computerkonten enthält. Dieses Recht wird für die erfolgreiche Computerauthentifizierung benötigt. Indem Sie dieses Recht der Gruppe Authentifizierte Benutzer oder Domänencomputer zuweisen, erfüllen Sie diese Anforderung.
Mögliche Auswirkung
Wenn Sie das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen auf den Domänencontrollern für alle Benutzer entfernen, kann sich niemand bei der Domäne anmelden oder Netzwerkressourcen verwenden. Wenn Sie dieses Benutzerrecht auf Mitgliedsservern entfernen, können Benutzer über das Netzwerk nicht auf diese Server zugreifen. Wenn Sie optionale Komponenten wie ASP.NET oder Internet Information Services (IIS) installiert haben, müssen Sie dieses Benutzerrecht zusätzlichen, für diese Komponenten benötigten Konten zuweisen. Es ist wichtig, sicherzustellen, dass autorisierten Benutzern diese Benutzerrechte für die Geräte gewährt werden, über die sie auf das Netzwerk zugreifen.