Durchführen von Volumewartungsaufgaben
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Durchführen von Volumewartungsaufgaben beschrieben.
Referenzen
Diese Richtlinieneinstellung bestimmt, welche Benutzer beispielsweise Aufgaben zur Volume- oder Datenträgerverwaltung wie etwa Defragmentieren vorhandener Volumes, Erstellen oder Entfernen von Volumes und Ausführen der Datenträgerbereinigung durchführen kann.
Gehen Sie bei der Zuweisung dieses Benutzerrechts vorsichtig vor. Benutzer mit diesem Benutzerrecht können Datenträger durchsuchen und Dateien in den Speicher erweitern, der andere Daten enthält. Wenn die erweiterten Dateien geöffnet werden, kann der Benutzer möglicherweise die so erlangten Daten lesen und ändern.
Konstante: SeManageVolumePrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Stellen Sie sicher, dass nur der lokalen Administratorgruppe das Benutzerrecht Durchführen von Volumewartungsaufgaben zugewiesen ist.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Auf Domänencontrollern und eigenständigen Servern lautet die standardmäßige Einstellung „Administratoren“.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren |
Standardeinstellungen für eigenständige Server |
Administratoren |
Effektive Standardeinstellungen für DC |
Administratoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein Benutzer, dem das Benutzerrecht Durchführen von Volumewartungsaufgaben zugewiesen wurde, kann ein Volume löschen, was den Verlust von Daten oder Denial-of-Service zur Folge haben könnte. Darüber hinaus können Datenträgerwartungsaufgaben verwendet werden, um Daten auf dem Datenträger zu ändern. Dazu zählt beispielsweise das Zuweisen von Benutzerrechten, das zur Weiterleitung von Berechtigungen führt.
Gegenmaßnahme
Stellen Sie sicher, dass nur der lokalen Administratorgruppe das Benutzerrecht Durchführen von Volumewartungsaufgaben zugewiesen ist.
Mögliche Auswirkung
Keine. Die Beschränkung des Benutzerrechts Durchführen von Volumewartungsaufgaben auf die lokale Administratorengruppe ist die Standardkonfiguration.