Lokal anmelden zulassen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Lokal anmelden zulassen.
Referenzen
Mit dieser Richtlinieneinstellung legen Sie fest, welche Benutzer eine interaktive Sitzung auf dem Gerät starten können. Benutzer benötigen dieses Benutzerrecht, um sich über eine Remotedesktopdienste-Sitzung anmelden zu können, die auf einem Windows-basierten Mitgliedsgerät oder Domänencontroller ausgeführt wird.
Hinweis
Benutzer können auch ohne diese Berechtigung eine interaktive Remotesitzung auf dem Gerät starten, wenn sie über das Recht Anmelden über Remotedesktopdienste zulassen verfügen.
Konstante: SeInteractiveLogonRight
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Standardmäßig verfügen Mitglieder der folgenden Gruppen auf Arbeitsstationen und Servern über diese Berechtigung:
Administratoren
Sicherungsoperatoren
Benutzer
Standardmäßig verfügen Mitglieder der folgenden Gruppen über dieses Recht auf Domänencontrollern:
Konten-Operatoren
Administratoren
Sicherungsoperatoren
Druck-Operatoren
Serveroperatoren
Bewährte Methoden
Beschränken Sie dieses Benutzerrecht auf berechtigte Benutzer, die sich auf der Konsole des Geräts anmelden müssen.
Wenn Sie Standardgruppen selektiv entfernen, können Sie die Berechtigungen der Benutzer beschränken, die in Ihrer Organisation bestimmte Verwaltungsrollen innehaben.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Konten-Operatoren Administratoren Sicherungsoperatoren Druck-Operatoren Serveroperatoren |
Standardeinstellungen für eigenständige Server |
Administratoren Sicherungsoperatoren Benutzer |
Effektive Standardeinstellungen für Domänencontroller |
Konten-Operatoren Administratoren Sicherungsoperatoren Druck-Operatoren Serveroperatoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Sicherungsoperatoren Benutzer |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Sicherungsoperatoren Benutzer |
Richtlinienverwaltung
Sie müssen das Gerät zum Implementieren dieser Änderung nicht neu starten.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Wenn Sie Dienstkonten, die von Komponenten und Programmen auf Mitgliedsgeräten und Domänencontrollern verwendet werden, aus der Richtlinie des Standarddomänencontrollers entfernen, sollten Sie mit Bedacht vorgehen. Vorsicht gilt auch beim Entfernen von Benutzern oder Sicherheitsgruppen, die sich auf der Konsole von Mitgliedsgeräten in der Domäne anmelden, oder beim Entfernen von Dienstkonten, die in der lokalen Datenbank für die Sicherheitskontenverwaltung (Security Accounts Manager, SAM) von Mitglieds- oder Arbeitsgruppengeräten definiert sind.
Wenn Sie einem Benutzerkonto die Berechtigung für die lokale Anmeldung auf einem Domänencontroller erteilen möchten, müssen Sie diesen Benutzer einer Gruppe hinzufügen, die bereits über das Systemrecht Lokale Anmeldung zulassen verfügt oder das Recht dem Benutzerkonto zuweisen.
Die Domänencontroller in der Domäne nutzen das Standard-Gruppenrichtlinienobjekt (Group Policy Object, GPO) für Domänencontroller gemeinsam. Wenn Sie einem Konto das Recht Lokale Anmeldung zulassen erteilen, erlauben Sie diesem Konto, sich lokal auf allen Domänencontroller in der Domäne anzumelden.
Wenn in der Gruppe „Benutzer“ in der Einstellung Lokal anmelden zulassen für ein Gruppenrichtlinienobjekt aufgeführt ist, können sich alle Domänenbenutzer lokal anmelden. Die integrierte Gruppe „Benutzer“ enthält als Mitglied „Domänenbenutzer“.
Gruppenrichtlinie
Gruppenrichtlinieneinstellungen werden über GPOs in der folgenden Reihenfolge angewendet (was dazu führt, dass die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden):
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Jedes Konto mit dem Benutzerrecht Lokal anmelden zulassen kann sich auf der Konsole des Geräts anmelden. Wenn Sie dieses Benutzerrecht nicht auf berechtigte Benutzer beschränken, die sich auf der Konsole des Computers anmelden müssen, können nicht autorisierte Benutzer Schadsoftware herunterladen und ausführen, um ihre Berechtigungen zu erweitern.
Gegenmaßnahme
Weisen Sie das Benutzerrecht Lokal anmelden zulassen für Domänencontroller nur der Gruppe „Administratoren“ zu. Für andere Serverrollen können Sie wahlweise neben Administratoren auch Sicherungsoperatoren hinzufügen. Für Endbenutzercomputer sollten Sie dieses Recht zudem der Gruppe „Benutzer“ zuweisen.
Sie können Gruppen wie „Konten-Operatoren“, „Serveroperatoren“ und „Gäste“ auch dem Benutzerrecht Lokal anmelden verweigern zuweisen.
Mögliche Auswirkung
Wenn Sie diesen Standardgruppen entfernen, schränken Sie möglicherweise die Berechtigungen von Benutzern, die in Ihrer Umgebung bestimmten Verwaltungsrollen zugewiesen sind. Wenn Sie optionale Komponenten wie ASP.NET oder IIS installiert haben, müssen Sie das Benutzerrecht Lokal anmelden zulassen möglicherweise zusätzlichen, von dieser Komponente benötigten Konten zuweisen. Für IIS muss dieses Benutzerrecht dem Konto „IUSR_<ComputerName>“ zugewiesen werden. Stellen Sie sicher, dass delegierte Aktivitäten nicht durch Zuweisungsänderungen am Benutzerrecht Lokal anmelden zulassen beeinträchtigt werden.