Erstellen von dauerhaft freigegebenen Objekten
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Erstellen von dauerhaft freigegebenen Objekten beschrieben.
Referenz
Mit dieser Benutzerberechtigung wird bestimmt, welche Konten von Prozessen verwendet werden können, um ein Verzeichnisobjekt mit dem Objekt-Manager zu erstellen. Verzeichnisobjekte umfassen Active Directory-Objekte, Dateien und Ordner, Drucker, Registrierungsschlüssel, Prozesse und Threads. Benutzer, die über diese Berechtigung verfügen, können dauerhaft freigegebene Objekte erstellen, u. a. Geräte, Semaphoren und Mutexe. Diese Benutzerberechtigung ist hilfreich für Kernelmodus-Komponenten, die den Objekt-Namespace erweitern. Da im Kernelmodus ausgeführte Komponenten bereits über diese Benutzerberechtigung verfügen, muss sie nicht explizit zugewiesen werden.
Konstante: SeCreatePermanentPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Benutzer mit der Benutzerberechtigung Erstellen von dauerhaft freigegebenen Objekten können neue freigegebene Objekte erstellen und sensible Daten im Netzwerk verfügbar machen. Weisen Sie diese Berechtigung daher keinen Benutzern zu.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der Standardeinstellung ist LocalSystem das einzige Konto, das über diese Berechtigung verfügt.
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
LocalSystem |
Effektive Standardeinstellungen für Mitgliedsserver |
LocalSystem |
Effektive Standardeinstellungen für Clientcomputer |
LocalSystem |
Richtlinienverwaltung
In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Benutzer mit der Benutzerberechtigung Erstellen von dauerhaft freigegebenen Objekten können neue freigegebene Objekte erstellen und sensible Daten im Netzwerk verfügbar machen.
Gegenmaßnahme
Weisen Sie die Benutzerberechtigung Erstellen von dauerhaft freigegebenen Objekten keinen Benutzern zu. Prozesse, die diese Benutzerberechtigung benötigen, sollten das Konto „System“ verwenden, das bereits über die Berechtigung verfügt, und kein separates Benutzerkonto, dem diese Benutzerberechtigung zugewiesen wurde.
Mögliche Auswirkung
Keine. Die Standardkonfiguration ist „Nicht definiert“.