Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten beschrieben.
Referenzen
Diese Richtlinieneinstellung bestimmt, wie Netzwerkanmeldungen mit lokalen Konten authentifiziert werden. Wenn Sie diese Richtlinieneinstellung auf „Klassisch“ festlegen, werden mit Anmeldeinformationen von lokalen Konten ausgeführte Netzwerkanmeldungen anhand dieser Anmeldeinformationen authentifiziert. Wenn Sie diese Richtlinieneinstellung auf „Nur Gast“ festlegen, werden Netzwerkanmeldungen mit lokalen Konten automatisch dem Gastkonto zugeordnet. Das Modell „Klassisch“ bietet eine genaue Kontrolle über den Zugriff auf Ressourcen, und Sie können verschiedenen Benutzern unterschiedliche Zugriffsarten für dieselbe Ressource gewähren. Hingegen werden mit dem Modell „Nur Gast“ alle Benutzer gleich behandelt und erhalten die gleiche Zugriffsstufe für eine bestimmte Ressource („Schreibgeschützt“ oder „Ändern“).
Hinweis
Diese Richtlinieneinstellung wirkt sich nicht auf Netzwerkanmeldungen mit Domänenkonten aus. Diese Richtlinieneinstellung hat ebenfalls keinen Einfluss auf interaktive Anmeldungen, die remote über Dienste wie Telnet oder Remotedesktopdienste ausgeführt werden.
Wenn das Gerät keiner Domäne angehört, werden durch diese Richtlinieneinstellung auch die Registerkarten Freigabe und Sicherheit im Windows-Explorer so geändert, dass sie dem verwendeten Sicherheitsmodell entsprechen.
Wenn der Wert für diese Richtlinieneinstellung Nur Gast – lokale Benutzer authentifizieren sich als Gast lautet, verwendet jeder Benutzer, der über das Netzwerk auf Ihr Gerät zugreifen kann, das Benutzerrecht „Gast“. Dies bedeutet, dass diese Benutzer wahrscheinlich nicht in freigegebene Ordner schreiben können. Dies erhöht zwar die Sicherheit, bewirkt aber, dass autorisierte Benutzer nicht mehr auf freigegebene Ressourcen auf diesen Systemen zugreifen können. Wenn der Wert Klassisch – lokale Benutzer authentifizieren sich als sie selbst lautet, müssen lokale Konten kennwortgeschützt sein. Andernfalls kann jeder Benutzer mit diesen Benutzerkonten auf freigegebene Systemressourcen zugreifen.
Mögliche Werte
Klassisch – lokale Benutzer authentifizieren sich als sie selbst
Nur Gast – lokale Benutzer authentifizieren sich als Gast
Nicht definiert
Bewährte Methoden
Legen Sie diese Richtlinie auf Netzwerkservern auf Klassisch – lokale Benutzer authentifizieren sich als sie selbst fest.
Legen Sie diese Richtlinie auf Endbenutzersystemen auf Nur Gast – lokale Benutzer authentifizieren sich als Gast fest.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Klassisch (lokale Benutzer authentifizieren sich als sie selbst) |
Effektive Standardeinstellungen für DC |
Klassisch (lokale Benutzer authentifizieren sich als sie selbst) |
Effektive Standardeinstellungen für Mitgliedsserver |
Klassisch (lokale Benutzer authentifizieren sich als sie selbst) |
Effektive Standardeinstellungen für Clientcomputer |
Klassisch (lokale Benutzer authentifizieren sich als sie selbst) |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Computer mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Bei dem Modell „Nur Gast“ verwendet jeder Benutzer, der sich über das Netzwerk auf Ihrem Gerät authentifizieren kann, die Berechtigung „Gast“, was wahrscheinlich bedeutet, dass er keinen Schreibzugriff auf freigegebene Ressourcen auf diesem Gerät besitzt. Diese Einschränkung erhöht zwar die Sicherheit, erschwert jedoch autorisierten Benutzern den Zugriff auf freigegebene Ressourcen auf diesen Computern, da die ACLs für diese Ressourcen Zugriffssteuerungseinträge (Access Control Entries, ACEs) für das Gastkonto enthalten müssen. Bei Verwendung des Modells „Klassisch“ sollten lokale Konten kennwortgeschützt sein. Wenn der Gastzugriff aktiviert ist, kann andernfalls jeder Benutzer diese Benutzerkonten zum Zugriff auf freigegebene Systemressourcen verwenden.
Gegenmaßnahme
Legen Sie die Einstellung Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten auf Netzwerkservern auf Klassisch – lokale Benutzer authentifizieren sich als sie selbst fest. Legen Sie diese Richtlinieneinstellung auf Endbenutzercomputern auf Nur Gast – lokale Benutzer authentifizieren sich als Gast fest.
Mögliche Auswirkung
Keine. Dies ist die Standardkonfiguration.