Lokale Anmeldung zulassen – Sicherheitsrichtlinieneinstellung

Gilt für

  • Windows 10

Beschreibt die bewährten Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für die Richtlinieneinstellung "Lokales Anmelden zulassen".

Verweis

Diese Richtlinieneinstellung bestimmt, welche Benutzer eine interaktive Sitzung auf dem Gerät starten können. Benutzer müssen über dieses Benutzerrecht verfügen, um sich über eine Remotedesktopdienste-Sitzung anzumelden, die auf einem Windows-basierten Mitgliedsgerät oder Domänencontroller ausgeführt wird.

Hinweis: Benutzer, die nicht über dieses Recht verfügen, können weiterhin eine interaktive Remotesitzung auf dem Gerät starten, wenn sie über die Berechtigung "Anmeldung über Remotedesktopdienste zulassen" verfügen.

Konstante: SeInteractiveLogonRight

Mögliche Werte

  • Benutzerdefinierte Liste von Konten
  • Nicht definiert

Standardmäßig haben die Mitglieder der folgenden Gruppen dieses Recht auf Arbeitsstationen und Servern:

  • Administratoren
  • Sicherungsoperatoren
  • Users

Standardmäßig haben die Mitglieder der folgenden Gruppen dieses Recht auf Domänencontrollern:

  • Kontooperatoren
  • Administratoren
  • Sicherungsoperatoren
  • Druckoperatoren
  • Serveroperatoren

Bewährte Methoden

  1. Beschränken Sie dieses Benutzerrecht auf berechtigte Benutzer, die sich an der Konsole des Geräts anmelden müssen.
  2. Wenn Sie Standardgruppen selektiv entfernen, können Sie die Fähigkeiten von Benutzern einschränken, die bestimmten Administratorrollen in Ihrer Organisation zugewiesen sind.

Pfad

Computerkonfiguration\Richtlinien\Windows Einstellungen\Sicherheits-Einstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für die neuesten unterstützten Versionen von Windows aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Nicht definiert
Standarddomänencontroller-Richtlinie Kontooperatoren
Administratoren
Sicherungsoperatoren
Druckoperatoren
Serveroperatoren
Standardeinstellungen für eigenständige Server Administratoren
Sicherungsoperatoren
Users
Effektive Standardeinstellungen für Domänencontroller Kontooperatoren
Administratoren
Sicherungsoperatoren
Druckoperatoren
Serveroperatoren
Effektive Standardeinstellungen für Mitgliedsserver Administratoren
Sicherungsoperatoren
Users
Effektive Standardeinstellungen für Clientcomputer Administratoren
Sicherungsoperatoren
Users

Richtlinienverwaltung

Ein Neustart des Geräts ist nicht erforderlich, um diese Änderung zu implementieren.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Seien Sie vorsichtig, wenn Sie Dienstkonten, die von Komponenten und Programmen auf Mitgliedsgeräten und auf Domänencontrollern in der Domäne verwendet werden, aus der Richtlinie des Standarddomänencontrollers entfernen. Seien Sie auch vorsichtig, wenn Sie Benutzer oder Sicherheitsgruppen entfernen, die sich bei der Konsole von Mitgliedsgeräten in der Domäne anmelden, oder dienstbezogene Konten entfernen, die in der lokalen SAM-Datenbank (Security Accounts Manager) von Mitgliedsgeräten oder Arbeitsgruppengeräten definiert sind. Wenn Sie einem Benutzerkonto die Möglichkeit geben möchten, sich lokal bei einem Domänencontroller anzumelden, müssen Sie diesen Benutzer zum Mitglied einer Gruppe machen, die bereits über das Systemrecht für die zulässige Anmeldung verfügt, oder das Recht auf dieses Benutzerkonto erteilen. Die Domänencontroller in der Domäne teilen sich das Gruppenrichtlinienobjekt (GPO) für Standarddomänencontroller. Wenn Sie einem Konto die Berechtigung "Lokale Anmeldung zulassen" erteilen, können Sie dieses Konto lokal bei allen Domänencontrollern in der Domäne anmelden. Wenn die Gruppe "Benutzer" in der Einstellung "Lokale Anmeldung zulassen" für ein Gruppenrichtlinienobjekt aufgeführt ist, können sich alle Domänenbenutzer lokal anmelden. Die integrierte Benutzergruppe enthält Domänenbenutzer als Mitglied.

Gruppenrichtlinie

Gruppenrichtlinieneinstellungen werden über Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet, wodurch einstellungen auf dem lokalen Computer beim nächsten Gruppenrichtlinienupdate überschrieben werden:

  1. Lokale Richtlinieneinstellungen
  2. Websiterichtlinieneinstellungen
  3. Domänenrichtlinieneinstellungen
  4. OE-Richtlinieneinstellungen

Überlegungen zur Sicherheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Jedes Konto mit der Berechtigung "Lokale Anmeldung zulassen" kann sich bei der Konsole des Geräts anmelden. Wenn Sie dieses Benutzerrecht nicht auf legitime Benutzer beschränken, die sich bei der Konsole des Computers anmelden müssen, können nicht autorisierte Benutzer Schadsoftware herunterladen und ausführen, um ihre Rechte zu erhöhen.

Gegenmaßnahme

Weisen Sie für Domänencontroller die Berechtigung "Lokales Anmelden zulassen" nur der Gruppe "Administratoren" zu. Für andere Serverrollen können Sie zusätzlich zu Administratoren Sicherungsoperatoren hinzufügen. Bei Endbenutzercomputern sollten Sie dieses Recht auch der Gruppe "Benutzer" zuweisen. Alternativ können Sie Gruppen wie Kontooperatoren, Serveroperatoren und Gäste dem lokalen Benutzerrecht für das Anmelden verweigern zuweisen.

Mögliche Auswirkungen

Wenn Sie diese Standardgruppen entfernen, können Sie die Fähigkeiten von Benutzern einschränken, die bestimmten Administratorrollen in Ihrer Umgebung zugewiesen sind. Wenn Sie optionale Komponenten wie ASP.NET oder IIS installiert haben, müssen Sie möglicherweise zusätzlichen Konten, die für diese Komponenten erforderlich sind, das Lokale Benutzerrecht "Anmelden zulassen" zuweisen. IIS erfordert, dass dieses Benutzerrecht dem IUSR_* < > ComputerName-Konto* zugewiesen wird. Sie sollten bestätigen, dass delegierte Aktivitäten nicht von Änderungen betroffen sind, die Sie an der Lokalen Benutzerberechtigungszuweisung "Anmelden zulassen" vornehmen.

Verwandte Themen