Lokal anmelden verweigern
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Lokal anmelden verweigern beschrieben.
Referenz
Diese Einstellung bestimmt, welche Benutzer am direkten Anmelden bei der Konsole des Geräts gehindert werden.
Konstante: SeDenyInteractiveLogonRight
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
Weisen Sie das Benutzerrecht Lokal anmelden verweigern dem lokalen Gastkonto zu, um den Zugriff potenziell unbefugter Benutzer zu beschränken.
Testen Sie Ihre Änderungen dieser Richtlinieneinstellung in Verbindung mit der Richtlinieneinstellung Lokal anmelden zulassen, um festzustellen, ob für das Benutzerkonto beide Richtlinien gelten.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Wenn Sie diese Einstellung auf die Gruppe „Jeder“ anwenden, ist niemand in der Lage, sich lokal anzumelden.
Gruppenrichtlinie
Diese Einstellung hat Vorrang gegenüber der Richtlinieneinstellung Lokal anmelden zulassen, wenn beide Richtlinien für ein Benutzerkonto gelten.
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Jedes Konto mit der Fähigkeit, sich lokal anzumelden, kann für die Anmeldung an der Konsole des Geräts verwendet werden. Wird dieses Benutzerrecht nicht auf legitime Benutzer beschränkt, die sich an der Konsole des Geräts anmelden müssen, können unbefugte Benutzer bösartige Software herunterladen und ausführen und ihre Benutzerrechte erhöhen.
Gegenmaßnahme
Weisen Sie das Benutzerrecht Lokal anmelden verweigern dem lokalen Gastkonto zu. Wenn Sie optionale Komponenten wie ASP.NET installiert haben, empfiehlt es sich, dieses Benutzerrecht zusätzlichen Konten zuzuweisen, die für diese Komponenten erforderlich sind.
Mögliche Auswirkung
Wenn Sie das Benutzerrecht Lokal anmelden verweigern zusätzlichen Konten zuweisen, könnten Sie die Fähigkeiten von Benutzern beschränken, die bestimmten Rollen in der Umgebung zugewiesen sind. Dieses Benutzerrecht sollte jedoch ausdrücklich dem ASPNET-Konto auf Geräten zugewiesen werden, die mit der Webserverrolle konfiguriert sind. Sie müssen sich vergewissern, dass delegierte Aktivitäten nicht beeinträchtigt werden.