Erstellen globaler Objekte
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Erstellen globaler Objekte beschrieben.
Referenz
Diese Einstellung bestimmt, welche Benutzer globale Objekte erstellen können, die für alle Sitzungen verfügbar sind. Wenn die Benutzer nicht über diese Benutzerberechtigung verfügen, können sie trotzdem Objekte erstellen, die für ihre eigene Sitzung spezifisch sind.
Ein globales Objekt ist ein Objekt, das für die Verwendung durch beliebig viele Prozesse oder Threads erstellt wird, auch wenn diese nicht in der Sitzung des Benutzers gestartet wurden. Remotedesktopdienste verwenden globale Objekte in ihren Prozessen, um Verbindungen und den Zugriff zu vereinfachen.
Konstante: SeCreateGlobalPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Unten aufgeführte Standardkonten
Bewährte Methoden
- Weisen Sie diese Berechtigung keinen Benutzerkonten zu.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Standardmäßig verfügen Mitglieder der Gruppe „Administratoren“ über diese Berechtigung, ebenso wie die Konten „Lokaler Dienst“ und „Netzwerkdienst“ in den unterstützten Versionen von Windows. „Dienst“ ist für die Abwärtskompatibilität mit früheren Versionen von Windows eingeschlossen.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Standardeinstellungen für eigenständige Server |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Richtlinienverwaltung
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Achtung
Ein Benutzerkonto, dem diese Benutzerberechtigung zugewiesen wird, hat die vollständige Kontrolle über das System. Dies kann zu einer Gefährdung des Systems führen. Es wird dringend empfohlen, diese Berechtigung keinen Benutzerkonten zuzuweisen.
Windows überprüft das Zugriffstoken eines Benutzers, um die Ebene der Berechtigungen des Benutzers zu bestimmen. Zugriffstoken werden erstellt, wenn Benutzer sich auf dem lokalen Gerät anmelden oder über ein Netzwerk eine Verbindung mit einem Remotegerät herstellen. Wenn Sie eine Berechtigung widerrufen, wird die Änderung sofort erfasst, sie wird jedoch erst im Zugriffstoken des Benutzers übernommen, wenn er sich das nächste Mal anmeldet oder eine Verbindung herstellt. Benutzer mit der Möglichkeit zum Erstellen oder Ändern von Token können die Zugriffsebene für jedes angemeldete Konto ändern. Sie können ihre Berechtigungen ausweiten oder einen DoS-Zustand (Denial-of-Service) herbeiführen.
Gegenmaßnahme
Weisen Sie die Benutzerberechtigung Erstellen eines Tokenobjekts keinen Benutzern zu. Prozesse, die diese Benutzerberechtigung benötigen, sollten das Konto „Lokales System“ verwenden, das bereits über die Berechtigung verfügt, und kein separates Benutzerkonto, dem diese Benutzerberechtigung zugewiesen wurde.
Mögliche Auswirkung
Keine. „Nicht definiert“ ist die Standardkonfiguration für die Domänenrichtlinie.