Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird beschrieben.
Referenz
Diese Einstellung bestimmt, welche Benutzer die Einstellung Für Delegierungszwecke vertraut für ein Benutzer- oder Computerobjekt festlegen können.
Die Sicherheitsdelegierung für Konten bietet die Möglichkeit, eine Verbindung mit mehreren Servern herzustellen, wobei bei jedem Wechsel des Servers die Anmeldeinformationen für die Authentifizierung des ursprünglichen Clients beibehalten werden. Die Delegierung der Authentifizierung ist eine Funktion, die von Client- und Serveranwendungen genutzt wird, wenn mehrere Ebenen vorhanden sind. Damit kann ein öffentlich sichtbarer Dienst Client-Anmeldeinformationen zum Authentifizieren bei einer Anwendung oder einem Datenbankdienst verwenden. Damit eine solche Konfiguration möglich ist, müssen der Client und der Server unter Konten ausgeführt werden, denen für Delegierungszwecke vertraut wird.
Nur Administratoren mit Anmeldeinformationen vom Typ Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird können die Delegierung einrichten. Domänen-Admins und Enterprise-Administratoren verfügen über diese Anmeldeinformationen. Das Verfahren, mit dem festgelegt wird, dass einem Benutzer für Delegierungszwecke vertraut werden kann, hängt von der Funktionsebene der Domäne ab.
Das Benutzer- oder Computerobjekt, dem diese Berechtigung gewährt wird, muss über Schreibzugriff auf die Kontensteuerungskennzeichen verfügen. Ein Serverprozess, der auf einem Gerät (oder in einem Benutzerkontext) ausgeführt wird, dem für Delegierungszwecke vertraut wird, kann mit den delegierten Anmeldeinformationen eines Clients auf Ressourcen auf einem anderen Computer zugreifen. Das Clientkonto muss jedoch über Schreibzugriff auf die Kontensteuerungskennzeichen des Objekts verfügen.
Konstante: SeEnableDelegationPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Es gibt keinen Grund, dieses Benutzerrecht Personen auf Mitgliedsservern und Arbeitsstationen in einer Domäne zuzuweisen, da es in diesen Kontexten keine Bedeutung hat. Es ist nur auf Domänencontrollern und eigenständigen Geräten relevant.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Dieses Benutzerrecht wird im Gruppenrichtlinienobjekt (GPO) für den Standarddomänencontroller sowie in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Bei Missbrauch des Benutzerrechts Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird könnten nicht autorisierte Benutzer die Identität anderer Benutzer im Netzwerk annehmen. Ein Angreifer könnte diese Berechtigung missbrauchen, um Zugriff auf Netzwerkressourcen zu erlangen und die Ermittlung der Ursachen nach einem Sicherheitsvorfall zu erschweren.
Gegenmaßnahme
Das Benutzerrecht Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird sollte nur dann zugewiesen werden, wenn diese Funktionalität zwingend erforderlich ist. Wenn Sie dieses Recht zuweisen, sollten Sie die Nutzung der eingeschränkten Delegierung untersuchen, um festzulegen, welche Aktionen von delegierten Konten ausgeführt werden können. Auf Domänencontrollern wird dieses Recht standardmäßig der Gruppe „Administratoren“ zugewiesen.
Hinweis
Es gibt keinen Grund, dieses Benutzerrecht Personen auf Mitgliedsservern und Arbeitsstationen in einer Domäne zuzuweisen, da es in diesen Kontexten keine Bedeutung hat. Es ist nur auf Domänencontrollern und eigenständigen Computern relevant.
Mögliche Auswirkung
Keine. Die Standardkonfiguration ist „Nicht definiert“.