Lokal anmelden zulassen

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Lokal anmelden zulassen.

Referenzen

Mit dieser Richtlinieneinstellung legen Sie fest, welche Benutzer eine interaktive Sitzung auf dem Gerät starten können. Benutzer benötigen dieses Benutzerrecht, um sich über eine Remotedesktopdienste-Sitzung anmelden zu können, die auf einem Windows-basierten Mitgliedsgerät oder Domänencontroller ausgeführt wird.

Hinweis  

Benutzer können auch ohne diese Berechtigung eine interaktive Remotesitzung auf dem Gerät starten, wenn sie über das Recht Anmelden über Remotedesktopdienste zulassen verfügen.

Konstante: SeInteractiveLogonRight

Mögliche Werte

• Benutzerdefinierte Liste von Konten

• Nicht definiert

Standardmäßig verfügen Mitglieder der folgenden Gruppen auf Arbeitsstationen und Servern über diese Berechtigung:

• Administratoren

• Sicherungsoperatoren

• Benutzer

Standardmäßig verfügen Mitglieder der folgenden Gruppen über dieses Recht auf Domänencontrollern:

• Konten-Operatoren

• Administratoren

• Sicherungsoperatoren

• Druck-Operatoren

• Serveroperatoren

Bewährte Methoden

1. Beschränken Sie dieses Benutzerrecht auf berechtigte Benutzer, die sich auf der Konsole des Geräts anmelden müssen.

2. Wenn Sie Standardgruppen selektiv entfernen, können Sie die Berechtigungen der Benutzer beschränken, die in Ihrer Organisation bestimmte Verwaltungsrollen innehaben.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Richtlinienverwaltung

Sie müssen das Gerät zum Implementieren dieser Änderung nicht neu starten.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Wenn Sie Dienstkonten, die von Komponenten und Programmen auf Mitgliedsgeräten und Domänencontrollern verwendet werden, aus der Richtlinie des Standarddomänencontrollers entfernen, sollten Sie mit Bedacht vorgehen. Vorsicht gilt auch beim Entfernen von Benutzern oder Sicherheitsgruppen, die sich auf der Konsole von Mitgliedsgeräten in der Domäne anmelden, oder beim Entfernen von Dienstkonten, die in der lokalen Datenbank für die Sicherheitskontenverwaltung (Security Accounts Manager, SAM) von Mitglieds- oder Arbeitsgruppengeräten definiert sind.

Wenn Sie einem Benutzerkonto die Berechtigung für die lokale Anmeldung auf einem Domänencontroller erteilen möchten, müssen Sie diesen Benutzer einer Gruppe hinzufügen, die bereits über das Systemrecht Lokale Anmeldung zulassen verfügt oder das Recht dem Benutzerkonto zuweisen.

Die Domänencontroller in der Domäne nutzen das Standard-Gruppenrichtlinienobjekt (Group Policy Object, GPO) für Domänencontroller gemeinsam. Wenn Sie einem Konto das Recht Lokale Anmeldung zulassen erteilen, erlauben Sie diesem Konto, sich lokal auf allen Domänencontroller in der Domäne anzumelden.

Wenn in der Gruppe „Benutzer“ in der Einstellung Lokal anmelden zulassen für ein Gruppenrichtlinienobjekt aufgeführt ist, können sich alle Domänenbenutzer lokal anmelden. Die integrierte Gruppe „Benutzer“ enthält als Mitglied „Domänenbenutzer“.

Gruppenrichtlinie

Gruppenrichtlinieneinstellungen werden über GPOs in der folgenden Reihenfolge angewendet (was dazu führt, dass die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden):

1. Lokale Richtlinieneinstellungen

2. Websiterichtlinieneinstellungen

3. Domänenrichtlinieneinstellungen

4. OE-Richtlinieneinstellungen

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Jedes Konto mit dem Benutzerrecht Lokal anmelden zulassen kann sich auf der Konsole des Geräts anmelden. Wenn Sie dieses Benutzerrecht nicht auf berechtigte Benutzer beschränken, die sich auf der Konsole des Computers anmelden müssen, können nicht autorisierte Benutzer Schadsoftware herunterladen und ausführen, um ihre Berechtigungen zu erweitern.

Gegenmaßnahme

Weisen Sie das Benutzerrecht Lokal anmelden zulassen für Domänencontroller nur der Gruppe „Administratoren“ zu. Für andere Serverrollen können Sie wahlweise neben Administratoren auch Sicherungsoperatoren hinzufügen. Für Endbenutzercomputer sollten Sie dieses Recht zudem der Gruppe „Benutzer“ zuweisen.

Sie können Gruppen wie „Konten-Operatoren“, „Serveroperatoren“ und „Gäste“ auch dem Benutzerrecht Lokal anmelden verweigern zuweisen.

Mögliche Auswirkung

Wenn Sie diesen Standardgruppen entfernen, schränken Sie möglicherweise die Berechtigungen von Benutzern, die in Ihrer Umgebung bestimmten Verwaltungsrollen zugewiesen sind. Wenn Sie optionale Komponenten wie ASP.NET oder IIS installiert haben, müssen Sie das Benutzerrecht Lokal anmelden zulassen möglicherweise zusätzlichen, von dieser Komponente benötigten Konten zuweisen. Für IIS muss dieses Benutzerrecht dem Konto „IUSR_<ComputerName>“ zugewiesen werden. Stellen Sie sicher, dass delegierte Aktivitäten nicht durch Zuweisungsänderungen am Benutzerrecht Lokal anmelden zulassen beeinträchtigt werden.

Verwandte Themen

Zuweisen von Benutzerrechten