Разрешение доверия к учетным записям компьютеров и пользователей при делегировании

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Разрешение доверия к учетным записям компьютеров и пользователей при делегировании.

Справка

Этот параметр политики указывает, каким пользователям разрешено настраивать параметр Делегирование разрешено на объекте пользователя или компьютера.

Делегирование учетной записи безопасности дает возможность подключаться к нескольким серверам. При этом при каждом изменении сервера сохраняются учетные данные проверки подлинности первоначального клиента. Делегирование проверки подлинности — это возможность, которую клиентские и серверные приложения применяют, когда в них используется несколько уровней. Эта возможность позволяет интерфейсной службе использовать учетные данные клиента для проверки подлинности при обращении к приложению или службе базы данных. Чтобы можно было использовать эту конфигурацию, клиент и сервер должны работать под учетными записями, доверенными для делегирования.

Только администраторы с учетными данными Разрешение доверия к учетным записям компьютеров и пользователей при делегировании имеют возможность настраивать делегирование. Такие учетные данные имеются у администраторов домена и администраторов предприятия. Процедура разрешения пользователю быть доверенным для делегирования зависит от уровня функциональности домена.

Объект пользователя или устройства, которому предоставлено это право, должен иметь доступ на запись к флагам управления учетной записью. Процесс сервера, работающий на устройстве (или в контексте пользователя), являющемся доверенным для делегирования, может получать доступ к ресурсам на другом компьютере путем использования делегированных учетных данных клиента. Тем не менее учетная запись клиента должна иметь доступ на запись к флагам управления учетной записи на объекте.

Константа: SeEnableDelegationPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  • Не стоит назначать это право пользователя какому-либо пользователю на серверах-членах и рабочих станциях, принадлежащих домену, так оно не имеет смысла в этих контекстах. Оно релевантно только на контроллерах домена и автономных устройствах.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не определено

Действующие параметры контроллера домена по умолчанию

Администраторы

Действующие параметры рядового сервера по умолчанию

Администраторы

Действующие параметры клиентского компьютера по умолчанию

Администраторы

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и локальной политике безопасности рабочих станций и серверов.

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

При неправильном использовании права пользователя Разрешение доверия к учетным записям компьютеров и пользователей при делегировании неавторизованным пользователям может быть разрешено олицетворять себя с другими пользователями в сети. Злоумышленник может использовать это право для получения доступа к сетевым ресурсам и усложнить задачу по выявлению того, что произошло, после инцидента, связанного с безопасностью.

Меры противодействия

Следует назначать право пользователя Разрешение доверия к учетным записям компьютеров и пользователей при делегировании только тогда, когда имеется четкая потребность в предоставляемой им функциональности. Если вы назначаете это право, то вам следует использовать ограниченное делегирование для управления возможностями делегированных учетных записей. На контроллерах домена это право назначается группе "Администраторы" по умолчанию.

Примечание  

Не стоит назначать это право пользователя какому-нибудь пользователю на серверах-членах и рабочих станциях, принадлежащих домену, так оно не имеет смысла в этих контекстах. Оно релевантно только на контроллерах домена и автономных компьютерах.

 

Возможные последствия

Нет. По умолчанию используется конфигурация «Не определено».

Связанные разделы

Назначение прав пользователя

 

 

Показ: