Herunterfahren des Systems
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Herunterfahren des Systems beschrieben.
Referenzen
Mit dieser Sicherheitseinstellung wird festgelegt, ob ein Benutzer, der lokal bei einem Gerät angemeldet ist, Windows herunterfahren kann.
Nach dem Herunterfahren von Domänencontrollern stehen diese für eine Reihe von Funktionen nicht mehr zur Verfügung, z. B. die Verarbeitung von Anmeldeanforderungen und Gruppenrichtlinieneinstellungen sowie die Beantwortung von LDAP (Lightweight Directory Access Protocol)-Abfragen. Durch das Herunterfahren von Domänencontrollern, denen Betriebsmasterrollen (auch als flexible einzelne Mastervorgänge oder FSMO-Rollen bezeichnet) zugewiesen wurden, kann die Funktionalität der Schlüsseldomäne deaktiviert werden. Dies umfasst z. B. die Verarbeitung von Anmeldeanforderungen für neue Kennwörter, die vom PDC (Primary Domain Controller)-Emulatormaster ausgeführt wird.
Das Benutzerrecht Herunterfahren des Systems ist erforderlich, um die Ruhezustandsunterstützung zu aktivieren, die Energieverwaltungseinstellungen festzulegen und das Herunterfahren abzubrechen.
Konstante: SeShutdownPrivilege
Mögliche Werte
Eine benutzerdefinierte Liste von Konten
Standardwerte
Nicht definiert
Bewährte Methoden
Stellen Sie sicher, dass nur Administratoren und Sicherungsoperatoren über das Benutzerrecht Herunterfahren des Systems auf Mitgliedsservern und nur Administratoren über dieses Benutzerrecht auf Domänencontrollern verfügen. Durch das Entfernen dieser Standardgruppen können die Fähigkeiten von Benutzern, denen bestimmte Administratorrollen zugewiesen sind, in der Umgebung eingeschränkt werden. Stellen Sie sicher, dass die delegierten Aufgaben nicht beeinträchtigt werden.
Die Fähigkeit zum Herunterfahren von Domänencontrollern sollte nur einer sehr kleinen Anzahl vertrauenswürdiger Administratoren eingeräumt werden. Obwohl die Fähigkeit, sich beim Server anzumelden, für das Herunterfahren des Systems erforderlich ist, sollten Sie die Konten und Gruppen, denen Sie das Herunterfahren eines Domänencontrollers erlauben, mit besonderer Sorgfalt auswählen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Die standardmäßige Einstellung ist „Administratoren“, „Sicherungsoperatoren“, „Serveroperatoren" und „Druckoperatoren“ auf Domänencontrollern und „Administratoren“ und „Sicherungsoperatoren“ auf eigenständigen Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren Sicherungsoperatoren Serveroperatoren Druckoperatoren |
Standardeinstellungen für eigenständige Server |
Administratoren Sicherungsoperatoren |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Sicherungsoperatoren Serveroperatoren Druckoperatoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Sicherungsoperatoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Sicherungsoperatoren Benutzer |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Dieses Benutzerrecht hat nicht dieselbe Auswirkung wie Erzwingen des Herunterfahrens von einem Remotesystem aus. Weitere Informationen finden Sie unter Erzwingen des Herunterfahrens von einem Remotesystem aus.
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Die Fähigkeit zum Herunterfahren von Domänencontrollern sollte nur einer sehr kleinen Anzahl vertrauenswürdiger Administratoren eingeräumt werden. Obwohl die Fähigkeit, sich beim Server anzumelden, für das Benutzerrecht Herunterfahren des Systems erforderlich ist, sollten Sie die Konten und Gruppen, denen Sie das Herunterfahren eines Domänencontrollers erlauben, mit besonderer Sorgfalt festlegen.
Nachdem ein Domänencontroller heruntergefahren wurde, steht er für die Verarbeitung von Anmeldeanforderungen und Gruppenrichtlinieneinstellungen sowie für die Beantwortung von LDAP (Lightweight Directory Access Protocol)-Abfragen nicht mehr zur Verfügung. Wenn Sie Domänencontroller herunterfahren, die Betriebsmasterrollen besitzen, können Sie die Funktionalität der Schlüsseldomäne deaktivieren. Dies umfasst z. B. die Verarbeitung von Anmeldeanforderungen für neue Kennwörter, die vom PDC (Primary Domain Controller)-Emulatormaster ausgeführt werden.
Bei anderen Serverrollen – die insbesondere Nicht-Administratoren die Anmeldung beim Server ermöglichen (z. B. Remotedesktop-Sitzungshostserver) – muss das Benutzerrecht den Benutzern, die keinen legitimen Grund zum Neustart des Servers haben, unbedingt entzogen werden.
Gegenmaßnahme
Stellen Sie sicher, dass das Benutzerrecht Herunterfahren des Systems nur den Gruppen „Administratoren“ und „Sicherungsoperatoren“ auf Mitgliedsservern und nur der Gruppe „Administratoren“ auf Domänencontrollern zugeordnet wird.
Mögliche Auswirkung
Wenn Sie diesen Standardgruppen das Benutzerrecht Herunterfahren des Systems entziehen, könnte dies die delegierten Fähigkeiten zugewiesener Rollen in der Umgebung einschränken. Sie müssen sich vergewissern, dass delegierte Aktivitäten nicht beeinträchtigt werden.