Anpassen von Speicherkontingenten für einen Prozess
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Anpassen von Speicherkontingenten für einen Prozess beschrieben.
Referenzen
Mit dieser Berechtigung legen Sie fest, wer den maximalen Speicherplatz festlegt, den ein Prozess belegen kann. Diese Berechtigung ist für die Systemoptimierung auf Gruppen- oder Benutzerbasis nützlich.
Dieses Benutzerrecht wird im Gruppenrichtlinienobjekt (GPO) für den Standarddomänencontroller sowie in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.
Konstante: SeIncreaseQuotaPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
Beschränken Sie das Benutzerrecht Anpassen von Speicherkontingenten für einen Prozess auf Benutzer, die Speicherkontingente im Rahmen ihres Aufgabenbereichs anpassen müssen.
Wenn ein Benutzerkonto dieses Benutzerrecht benötigt, kann es einem lokalen Computerkonto anstatt einem Domänenkonto zugewiesen werden.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Zuweisen von Benutzerrechten\
Standardwerte
Mitglieder der Gruppen „Administratoren“, „Lokaler Dienst“ und „Netzwerkdienst“ verfügen standardmäßig über dieses Recht.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Administratoren Lokaler Dienst Netzwerkdienst |
Standardrichtlinie für Domänencontroller |
Administratoren Lokaler Dienst Netzwerkdienst |
Standardeinstellungen für eigenständige Server |
Administratoren Lokaler Dienst Netzwerkdienst |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Lokaler Dienst Netzwerkdienst |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Lokaler Dienst Netzwerkdienst |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Lokaler Dienst Netzwerkdienst |
Richtlinienverwaltung
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein Benutzer mit der Berechtigung Anpassen von Speicherkontingenten für einen Prozess kann den für jeden beliebigen Prozess verfügbaren Speicherplatz reduzieren. Dies kann zu einer Verlangsamung oder einem Ausfall unternehmenskritischer Netzwerkanwendungen führen. Ein böswilliger Benutzer könnte mit dieser Berechtigung einen Denial-of-Service (DOS)-Angriff starten.
Gegenmaßnahme
Beschränken Sie das Benutzerrecht Anpassen von Speicherkontingenten für einen Prozess auf Benutzer, die es zur Ausführung ihrer Aufgaben benötigen. Hierzu zählen beispielsweise Anwendungsadministratoren, die für Datenbankverwaltungssysteme zuständig sind, oder Domänenadministratoren, die das Verzeichnis der Organisation und die unterstützende Infrastruktur verwalten.
Mögliche Auswirkung
Bei Organisationen, die Benutzer bisher keine eingeschränkten Berechtigungen zugewiesen haben, kann die Einführung dieser Gegenmaßnahme eine Herausforderung darstellen. Auch wenn Sie optionale Komponenten wie ASP.NET oder IIS installiert haben, müssen Sie das Benutzerrecht Anpassen von Speicherkontingenten für einen Prozess möglicherweise zusätzlichen, von dieser Komponente benötigten Konten zuweisen. Für IIS muss diese Berechtigung den Konten für IWAM_<Computername>, Netzwerkdienste und Dienste explizit zugewiesen werden. Andernfalls wirkt sich diese Gegenmaßnahme auf die wenigsten Computer aus. Wenn ein Benutzerkonto dieses Benutzerrecht benötigt, kann es einem lokalen Computerkonto anstatt einem Domänenkonto zugewiesen werden.