Microsoft-Netzwerkserver: Es wird versucht, mit S4U2Self Anspruchsinformationen abzurufen.
Hier werden bewährte Methoden, Speicherort, Werte, Verwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Microsoft-Netzwerkserver: Es wird versucht, mit S4U2Self Anspruchsinformationen abzurufen beschrieben.
Referenz
Diese Sicherheitseinstellung unterstützt Clients unter einer Windows-Version vor Windows 8 beim Zugriff auf eine Dateifreigabe, für die Benutzeransprüche erforderlich sind. Diese Einstellung legt fest, ob der lokale Dateiserver die Kerberos Service For User To Self (S4U2Self)-Funktion zum Abrufen der Ansprüche eines Netzwerkclientprinzipals von der Kontodomäne des Clients verwendet. Diese Einstellung sollte nur aktiviert werden, wenn vom Dateiserver Benutzeransprüche zum Steuern des Dateizugriffs verwendet und Clientprinzipale unterstützt werden, deren Konten sich möglicherweise in einer Domäne mit Clientcomputern und Domänencontrollern befinden, auf denen eine niedrigere Version als Windows 8 oder Windows Server 2012 ausgeführt wird.
Ist diese Sicherheitseinstellung aktiviert, wird vom Windows-Dateiserver das Zugriffstoken eines authentifizierten Netzwerkclientprinzipals überprüft und ermittelt, ob Anspruchsinformationen vorhanden sind. Liegen keine Ansprüche vor, wird vom Dateiserver die Kerberos S4U2Self-Funktion verwendet, um eine Verbindung mit einem Windows Server 2012-Domänencontroller in der Kontodomäne des Clients herzustellen und ein anspruchsbasiertes Zugriffstoken für den Clientprinzipal abzurufen. Ein anspruchsbasiertes Token ist möglicherweise zum Zugreifen auf Dateien oder Ordner erforderlich, für die Richtlinien für die anspruchsbasierte Zugriffssteuerung gelten.
Ist diese Einstellung deaktiviert, wird vom Windows-Dateiserver nicht versucht, ein anspruchsbasiertes Zugriffstoken für den Clientprinzipal abzurufen.
Mögliche Werte
Standard
Der Windows-Dateiserver überprüft das Zugriffstoken eines authentifizierten Netzwerkclientprinzipals und ermittelt, ob Anspruchsinformationen vorhanden sind.
Aktiviert
Identisch mit Standard.
Deaktiviert
Nicht definiert
Identisch mit Deaktiviert.
Bewährte Methoden
Legen Sie diese Einstellung auf Standard fest, sodass vom Dateiserver automatisch abgeschätzt werden kann, ob Ansprüche für den Benutzer erforderlich sind. Sie sollten diese Einstellung nur explizit auf Aktiviert festlegen, wenn lokale Dateizugriffsrichtlinien vorliegen, die Benutzeransprüche enthalten.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Diese Einstellung sollte nur aktiviert werden, wenn vom Dateiserver Benutzeransprüche zum Steuern des Dateizugriffs verwendet und Clientprinzipale unterstützt werden, deren Konten sich möglicherweise in einer Domäne mit Clientcomputern und Domänencontrollern befinden, auf denen eine niedrigere Version als Windows 8 oder Windows Server 2012 ausgeführt wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Keine. Durch Aktivieren dieser Richtlinieneinstellung können Sie Funktionen von Windows Server 2012 und Windows 8 für bestimmte Szenarien nutzen, um mit anspruchsfähigen Token auf Dateien und Ordner zuzugreifen, für die Richtlinien für die anspruchsbasierte Zugriffssteuerung auf Windows-Betriebssystemen vor Windows Server 2012 und Windows 8 gelten.
Gegenmaßnahme
Nicht zutreffend.
Mögliche Auswirkung
Keine.