Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird

Gilt für

  • Windows 10

Beschreibt die bewährten Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für das Aktivieren von Computer- und Benutzerkonten, die für die Sicherheitsrichtlinieneinstellung "Delegierung" vertrauenswürdig sind.

Verweis

Diese Richtlinieneinstellung bestimmt, welche Benutzer die Einstellung "Vertrauenswürdig für Delegierung" für ein Benutzer- oder Computerobjekt festlegen können. Die Sicherheitskontodelegierung bietet die Möglichkeit, eine Verbindung mit mehreren Servern herzustellen, und jede Serveränderung behält die Authentifizierungsanmeldeinformationen des ursprünglichen Clients bei. Die Authentifizierungsdelegierung ist eine Funktion, die Client- und Serveranwendungen verwenden, wenn sie über mehrere Ebenen verfügen. Damit kann ein öffentlich zugänglicher Dienst Clientanmeldeinformationen verwenden, um sich bei einer Anwendung oder einem Datenbankdienst zu authentifizieren. Damit diese Konfiguration möglich ist, müssen der Client und der Server unter Konten ausgeführt werden, die für die Delegierung vertrauenswürdig sind.

Nur Administratoren, die über die Berechtigung zum Aktivieren von Computern und Benutzerkonten verfügen, die als vertrauenswürdige Delegierungsanmeldeinformationen gelten, können die Delegierung einrichten. Domänenadministratoren und Enterprise Administratoren verfügen über diese Anmeldeinformationen. Das Verfahren, mit dem ein Benutzer für die Delegierung als vertrauenswürdig eingestuft werden kann, hängt von der Funktionalitätsebene der Domäne ab.

Das Benutzer- oder Computerobjekt, dem dieses Recht gewährt wird, muss Schreibzugriff auf die Kontosteuerungsflags haben. Ein Serverprozess, der auf einem Gerät (oder unter einem Benutzerkontext) ausgeführt wird, das für die Delegierung vertrauenswürdig ist, kann mithilfe der delegierten Anmeldeinformationen eines Clients auf Ressourcen auf einem anderen Computer zugreifen. Das Clientkonto muss jedoch Über Schreibzugriff auf die Kontosteuerungsflags für das Objekt verfügen.

Konstante: SeEnableDelegationPrivilege

Mögliche Werte

  • Benutzerdefinierte Liste von Konten
  • Nicht definiert

Bewährte Methoden

  • Es gibt keinen Grund, dieses Benutzerrecht jeder Person auf Mitgliedsservern und Arbeitsstationen zuzuweisen, die zu einer Domäne gehören, da sie in diesem Kontext keine Bedeutung hat. Sie ist nur auf Domänencontrollern und eigenständigen Geräten relevant.

Pfad

Computerkonfigurationen\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für die neuesten unterstützten Versionen von Windows aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Nicht definiert
Standarddomänencontroller-Richtlinie Nicht definiert
Standardeinstellungen für eigenständige Server Nicht definiert
Effektive Standardeinstellungen für Domänencontroller Administratoren
Effektive Standardeinstellungen für Mitgliedsserver Administratoren
Effektive Standardeinstellungen für Clientcomputer Administratoren

Richtlinienverwaltung

In diesem Abschnitt werden Features, Tools und Anleitungen zur Verwaltung dieser Richtlinie beschrieben.

Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken.

Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Gruppenrichtlinie

Dieses Benutzerrecht ist im Gruppenrichtlinienobjekt (GPO) des Standarddomänencontrollers und in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:

  1. Lokale Richtlinieneinstellungen
  2. Websiterichtlinieneinstellungen
  3. Domänenrichtlinieneinstellungen
  4. OE-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.

Hinweis

Weitere Informationen zum Konfigurieren der Richtlinie finden Sie hier.

Überlegungen zur Sicherheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Ein Missbrauch des Vertrauenswürdigkeitszustands von Computern und Benutzerkonten für das Stellvertretungsbenutzerrecht kann es nicht autorisierten Benutzern ermöglichen, sich als andere Benutzer im Netzwerk zu imitieren. Ein Angreifer könnte diese Berechtigung nutzen, um Zugriff auf Netzwerkressourcen zu erhalten und es schwierig zu machen, zu bestimmen, was nach einem Sicherheitsvorfall passiert ist.

Gegenmaßnahme

Die Option "Computer und Benutzerkonten aktivieren, die als vertrauenswürdig für die Stellvertretungsbenutzerberechtigung verwendet werden können" sollte nur zugewiesen werden, wenn die Funktionalität eindeutig erforderlich ist. Wenn Sie dieses Recht zuweisen, sollten Sie die Verwendung der eingeschränkten Delegierung untersuchen, um zu steuern, was die delegierten Konten tun können. Auf Domänencontrollern wird dieses Recht standardmäßig der Gruppe "Administratoren" zugewiesen.

Hinweis: Es gibt keinen Grund, dieses Benutzerrecht jedem Benutzer auf Mitgliedsservern und Arbeitsstationen zuzuweisen, die zu einer Domäne gehören, da es in diesem Kontext keine Bedeutung hat. Sie ist nur auf Domänencontrollern und eigenständigen Computern relevant.

Mögliche Auswirkung

Keine Die Standardkonfiguration ist „Nicht definiert“.

Verwandte Themen