Einsetzen als Teil des BetriebssystemsAct as part of the operating system

BetrifftApplies to

  • Windows 10Windows10

Beschreibt die bewährten Methoden, den Standort, die Werte, die Richtlinienverwaltung und Sicherheitsüberlegungen für das Act als Teil der Sicherheitsrichtlinieneinstellung für das Betriebssystem.Describes the best practices, location, values, policy management, and security considerations for the Act as part of the operating system security policy setting.

ReferenzReference

Der Akt als Teil der Richtlinieneinstellung für das Betriebssystem bestimmt, ob ein Prozess die Identität eines beliebigen Benutzers übernehmen kann, und erhält dadurch Zugriff auf die Ressourcen, auf die der Benutzer zugreifen darf.The Act as part of the operating system policy setting determines whether a process can assume the identity of any user and thereby gain access to the resources that the user is authorized to access. In der Regel erfordern nur Authentifizierungsdienste auf niedriger Ebene diesen Benutzerrechts.Typically, only low-level authentication services require this user right. Der potenzielle Zugriff ist nicht auf die standardmäßige Zuordnung des Benutzers limitiert.Potential access is not limited to what is associated with the user by default. Der aufrufende Prozess kann anfordern, dass dem Zugriffstoken beliebige zusätzliche Privilegien hinzugefügt werden.The calling process may request that arbitrary additional privileges be added to the access token. Der aufrufende Prozess kann auch ein Zugriffstoken erstellen, das keine primäre Identität für die Überwachung in den Systemereignisprotokollen bereitstellt.The calling process may also build an access token that does not provide a primary identity for auditing in the system event logs. Konstante: SeTcbPrivilegeConstant: SeTcbPrivilege

Mögliche WertePossible values

  • Benutzerdefinierte KontenlisteUser-defined list of accounts
  • Nicht definiertNot defined

Bewährte VerfahrenBest practices

  • Weisen Sie dieses Recht keinem Benutzerkonto zu.Do not assign this right to any user accounts. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.Only assign this user right to trusted users.
  • Wenn für einen Dienst dieses Benutzerrecht erforderlich ist, konfigurieren Sie den Dienst so, dass er sich mit dem lokalen System Konto anmeldet, das dieses Benutzerrecht inhärent umfasst.If a service requires this user right, configure the service to log on by using the local System account, which inherently includes this user right. Erstellen Sie kein separates Konto, und weisen Sie diesem Benutzerrecht zu.Do not create a separate account and assign this user right to it.

StandortLocation

Computer Configuration\Windows Settings\Security Settings\Local Policies\User RechtezuweisungComputer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

StandardwerteDefault values

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinien Werte für die zuletzt unterstützten Windows-Versionen aufgeführt.The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Standardwerte sind auch auf der Eigenschaftenseite der Richtlinie aufgeführt.Default values are also listed on the policy’s property page.

Servertyp oder GruppenrichtlinienobjektServer type or GPO StandardwertDefault value
StandarddomänenrichtlinieDefault domain policy Nicht definiertNot defined
Standardrichtlinie für DomänencontrollerDefault domain controller policy Nicht definiertNot defined
Standardeinstellungen für eigenständige ServerStand-alone server default settings Nicht definiertNot defined
Effektive Standardeinstellungen für DomänencontrollerDomain controller effective default settings Nicht definiertNot defined
Effektive Standardeinstellungen für MitgliedsserverMember server effective default settings Nicht definiertNot defined
Effektive Standardeinstellungen für Client ComputerClient computer effective default settings Nicht definiertNot defined

RichtlinienverwaltungPolicy management

Damit diese Richtlinieneinstellung nicht wirksam ist, ist ein Neustart des Geräts nicht erforderlich.A restart of the device is not required for this policy setting to be effective.

Eine Änderung der Benutzerrechtezuweisung für ein Konto wird beim nächsten Anmelden des Besitzers des Kontos wirksam.Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

GruppenrichtlinieGroup Policy

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet, wodurch die Einstellungen auf dem lokalen Computer beim nächsten Gruppenrichtlinienupdate überschrieben werden:Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

  1. Lokale RichtlinieneinstellungenLocal policy settings
  2. Website RichtlinieneinstellungenSite policy settings
  3. DomänenrichtlinieneinstellungenDomain policy settings
  4. OU-RichtlinieneinstellungenOU policy settings

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass ein GPO diese Einstellung zurzeit steuert.When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Überlegungen zur SicherheitSecurity considerations

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

SicherheitsrisikoVulnerability

Der Akt als Teil des Benutzerrechts des Betriebssystems ist extrem leistungsstark.The Act as part of the operating system user right is extremely powerful. Benutzer mit diesem Benutzerrecht können die vollständige Steuerung des Geräts übernehmen und den Beweis ihrer Aktivitäten löschen.Users with this user right can take complete control of the device and erase evidence of their activities.

GegenmaßnahmeCountermeasure

Beschränken Sie den Akt als Teil des Benutzerrechts des Betriebssystems auf so wenige Konten wie möglich – er sollte nicht einmal der Gruppe Administratoren unter typischen Umständen zugewiesen werden.Restrict the Act as part of the operating system user right to as few accounts as possible—it should not even be assigned to the Administrators group under typical circumstances. Wenn für einen Dienst dieses Benutzerrecht erforderlich ist, konfigurieren Sie den Dienst so, dass er sich mit dem lokalen System Konto anmeldet, das diese Berechtigung inhärent umfasst.When a service requires this user right, configure the service to log on with the Local System account, which inherently includes this privilege. Erstellen Sie kein separates Konto, und weisen Sie diesem Benutzerrecht zu.Do not create a separate account and assign this user right to it.

Mögliche AuswirkungenPotential impact

Es sollten nur wenige oder gar keine Auswirkungen auftreten, da der Akt als Teil des Benutzerrechts des Betriebssystems nur selten von anderen Konten als dem lokalen Systemkonto benötigt wird.There should be little or no impact because the Act as part of the operating system user right is rarely needed by any accounts other than the Local System account.

Verwandte ThemenRelated topics

Zuweisen von BenutzerrechtenUser Rights Assignment