Teilen über


Richtlinien-CSP – UserRights

Für Benutzerkonten oder Gruppen werden Benutzerrechte zugewiesen. Der Name der Richtlinie definiert das betreffende Benutzerrecht, und die Werte sind immer Benutzer oder Gruppen. Werte können als Sicherheits-IDs (SID) oder Zeichenfolgen dargestellt werden. Weitere Informationen finden Sie unter Bekannte SID-Strukturen.

Obwohl Zeichenfolgen für bekannte Konten und Gruppen unterstützt werden, ist es besser, SIDs zu verwenden, da Zeichenfolgen für verschiedene Sprachen lokalisiert werden. Einige Benutzerrechte lassen Dinge wie AccessFromNetwork zu, während andere Dinge wie DenyAccessFromNetwork nicht zulassen.

Allgemeines Beispiel

Hier ist ein Beispiel für das Festlegen der Benutzerberechtigung BackupFilesAndDirectories für Administratoren und authentifizierte Benutzergruppen.

<SyncML xmlns="SYNCML:SYNCML1.2">

<SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
        </Target>
        <Data>Authenticated Users&#xF000;Administrators</Data>
      </Item>
    </Replace>
  <Final/>
  </SyncBody>
</SyncML>

Im Folgenden finden Sie Beispiele für Datenfelder. Das codierte 0xF000 ist das Standardtrennzeichen/Trennzeichen.

  • Erteilen Sie einem Benutzer über die SID ein Benutzerrecht für die Gruppe "Administratoren":

    <Data>*S-1-5-32-544</Data>
    
  • Gewähren Sie mehreren Gruppen (Administratoren, authentifizierte Benutzer) über die SID ein Benutzerrecht:

    <Data>*S-1-5-32-544&#xF000;*S-1-5-11</Data>
    
  • Gewähren Sie einem Benutzerrecht für mehrere Gruppen (Administratoren, authentifizierte Benutzer) über eine Mischung aus SID und Zeichenfolgen:

    <Data>*S-1-5-32-544&#xF000;Authenticated Users</Data>
    
  • Gewähren Sie einem Benutzer über Zeichenfolgen das Recht für mehrere Gruppen (authentifizierte Benutzer, Administratoren):

    <Data>Authenticated Users&#xF000;Administrators</Data>
    
  • Leere Eingabe gibt an, dass keine Benutzer für dieses Benutzerrecht konfiguriert sind:

    <Data></Data>
    

Wenn Sie Intune benutzerdefinierten Profile verwenden, um UserRights-Richtlinien zuzuweisen, müssen Sie das CDATA-Tag (<![CDATA[...]]>) verwenden, um die Datenfelder umschließen. Sie können eine oder mehrere Benutzergruppen innerhalb des CDATA-Tags angeben, indem 0xF000 Sie als Trennzeichen verwenden.

Hinweis

&#xF000; ist die Entitätscodierung von 0xF000.

Mit der folgenden Syntax werden beispielsweise Benutzerrechte für authentifizierte Benutzer und Replikationsgeberbenutzergruppen gewährt:

<![CDATA[Authenticated Users&#xF000;Replicator]]>

Die folgende Syntax gewährt z. B. zwei bestimmten Microsoft Entra Benutzern von Contoso Benutzerrechte: user1 und user2:

<![CDATA[AzureAD\user1@contoso.com&#xF000;AzureAD\user2@contoso.com]]>

Die folgende Syntax gewährt z. B. einem bestimmten Benutzer oder einer bestimmten Gruppe Mithilfe der SID des Kontos oder der Gruppe Benutzerrechte:

<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427&#xF000;*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>

AccessCredentialManagerAsTrustedCaller

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller

Dieses Benutzerrecht wird vom Anmeldeinformations-Manager während der Sicherung/Wiederherstellung verwendet. Keine Konten sollten über diese Berechtigung verfügen, da sie nur Winlogon zugewiesen ist. Die gespeicherten Anmeldeinformationen der Benutzer können kompromittiert werden, wenn diese Berechtigung anderen Entitäten erteilt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Access Credential Manager als vertrauenswürdiger Aufrufer
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

AccessFromNetwork

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork

Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen über das Netzwerk eine Verbindung mit dem Computer herstellen dürfen. Remotedesktopdienste sind von diesem Benutzerrecht nicht betroffen.

Hinweis

Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Auf diesen Computer vom Netzwerk aus zugreifen.
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ActAsPartOfTheOperatingSystem

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem

Dieses Benutzerrecht ermöglicht es einem Prozess, die Identität eines beliebigen Benutzers ohne Authentifizierung anzugeben. Der Prozess kann daher Zugriff auf die gleichen lokalen Ressourcen wie dieser Benutzer erhalten. Prozesse, die diese Berechtigung erfordern, sollten das LocalSystem-Konto verwenden, das diese Berechtigung bereits enthält, anstatt ein separates Benutzerkonto mit dieser speziell zugewiesenen Berechtigung zu verwenden.

Achtung

Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Einsetzen als Teil des Betriebssystems
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

AdjustMemoryQuotasForProcess

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess

Anpassen von Speicherkontingenten für einen Prozess: Diese Berechtigung bestimmt, wer den maximalen Arbeitsspeicher ändern kann, der von einem Prozess genutzt werden kann. Diese Berechtigung ist für die Systemoptimierung auf Gruppen- oder Benutzerbasis nützlich.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Anpassen von Speicherkontingenten für einen Prozess
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

AllowLocalLogOn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn

Dieses Benutzerrecht bestimmt, welche Benutzer sich am Computer anmelden können.

Hinweis

Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Kompatibilitätsinformationen zu dieser Einstellung finden Sie auf der Microsoft-Website unter Lokale Anmeldung zulassen (https://go.microsoft.com/fwlink/?LinkId=24268 ).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Lokale Anmeldung zulassen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

AllowLogOnThroughRemoteDesktop

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop

Anmelden über Remotedesktopdienste zulassen: Diese Richtlinieneinstellung bestimmt, welche Benutzer oder Gruppen über eine Remotedesktopdiensteverbindung auf den Anmeldebildschirm eines Remotegeräts zugreifen können.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Anmelden über Remotedesktopdienste zulassen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

BackupFilesAndDirectories

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories

Dieses Benutzerrecht bestimmt, welche Benutzer Berechtigungen für Dateien, Verzeichnisse, Registrierung und andere persistente Objekte beim Sichern von Dateien und Verzeichnissen umgehen können. Dieses Benutzerrecht ähnelt dem Erteilen der folgenden Berechtigungen für den betreffenden Benutzer oder die betreffende Gruppe für alle Dateien und Ordner im System: Ordner durchlaufen/Datei ausführen, Lesen.

Achtung

Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da Benutzer mit diesem Benutzerrecht alle Registrierungseinstellungen und -dateien lesen können, weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Sichern von Dateien und Verzeichnissen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

BypassTraverseChecking

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking

Dieses Benutzerrecht bestimmt, welche Benutzer Verzeichnisstrukturen durchlaufen können, obwohl der Benutzer möglicherweise nicht über Berechtigungen für das durchlaufene Verzeichnis verfügt. Diese Berechtigung erlaubt es dem Benutzer nicht, den Inhalt eines Verzeichnisses aufzulisten, nur um Verzeichnisse zu durchlaufen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Auslassen der durchsuchenden Überprüfung
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ChangeSystemTime

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime

Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen die Uhrzeit und das Datum auf der internen Uhr des Computers ändern können. Benutzer, denen dieses Benutzerrecht zugewiesen ist, kann sich auf die Darstellung von Ereignisprotokollen auswirken. Wenn die Systemzeit geändert wird, spiegeln die protokollierten Ereignisse diese neue Uhrzeit wider, nicht die tatsächliche Zeit, zu der die Ereignisse aufgetreten sind.

Achtung

Wenn Sie Benutzerrechte konfigurieren, werden vorhandene Benutzer oder Gruppen ersetzt, die diesen Benutzerrechten zuvor zugewiesen wurden. Das System erfordert, dass das lokale Dienstkonto (SID S-1-5-19) immer über das Recht ChangeSystemTime verfügt. Geben Sie immer den lokalen Dienst sowie alle anderen Konten an, die Sie in dieser Richtlinie konfigurieren müssen.

Wenn Sie das lokale Dienstkonto nicht einschließen, schlägt die Anforderung mit dem folgenden Fehler fehl:

Fehlercode Symbolischer Name Beschreibung des Fehlers Kopfzeile
0x80070032 (Hex) ERROR_NOT_SUPPORTED Die Anforderung wird nicht unterstützt. winerror.h

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Ändern der Systemzeit
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ChangeTimeZone

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone

Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen die Zeitzone ändern können, die vom Computer zum Anzeigen der Ortszeit verwendet wird, d. h. die Systemzeit des Computers und den Zeitzonenoffset. Die Systemzeit selbst ist absolut und wird von einer Änderung der Zeitzone nicht beeinflusst.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Ändern der Zeitzone
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

CreateGlobalObjects

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects

Diese Sicherheitseinstellung bestimmt, ob Benutzer globale Objekte erstellen können, die für alle Sitzungen verfügbar sind. Benutzer können weiterhin Objekte erstellen, die für ihre eigene Sitzung spezifisch sind, wenn sie nicht über dieses Benutzerrecht verfügen. Benutzer, die globale Objekte erstellen können, können sich auf Prozesse auswirken, die unter sitzungen anderer Benutzer ausgeführt werden, was zu Anwendungsfehlern oder Datenbeschädigungen führen kann.

Achtung

Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Erstellen globaler Objekte
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

CreatePageFile

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile

Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen eine interne Anwendungsprogrammierschnittstelle (APPLICATION Programming Interface, API) aufrufen können, um die Größe einer Auslagerungsdatei zu erstellen und zu ändern. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet und muss in der Regel keinem Benutzer zugewiesen werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Erstellen einer Auslagerungsdatei
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

CreatePermanentSharedObjects

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects

Dieses Benutzerrecht bestimmt, welche Konten von Prozessen verwendet werden können, um mithilfe des Objekt-Managers ein Verzeichnisobjekt zu erstellen. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet und ist nützlich für Kernelmoduskomponenten, die den Objektnamespace erweitern. Da Komponenten, die im Kernelmodus ausgeführt werden, diesem Benutzerrecht bereits zugewiesen sind, ist es nicht erforderlich, es explizit zuzuweisen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Erstellen von dauerhaft freigegebenen Objekten
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks

Dieses Benutzerrecht bestimmt, ob der Benutzer eine symbolische Verknüpfung von dem Computer erstellen kann, auf dem er angemeldet ist.

Achtung

Diese Berechtigung sollte nur vertrauenswürdigen Benutzern erteilt werden. Symbolische Verknüpfungen können in Anwendungen, die nicht zur Behandlung dieser Art von Verknüpfungen entworfen wurden, ein Sicherheitsrisiko darstellen.

Hinweis

Diese Einstellung kann in Verbindung mit einer symlink-Dateisystemeinstellung verwendet werden, die mit dem Befehlszeilenhilfsprogramm bearbeitet werden kann, um die Arten von Symlinks zu steuern, die auf dem Computer zulässig sind. Geben Sie "fsutil behavior set symlinkevaluation /?" ein. in der Befehlszeile, um weitere Informationen zu fsutil und symbolischen Verknüpfungen zu erhalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Erstellen symbolischer Verknüpfungen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

CreateToken

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken

Dieses Benutzerrecht bestimmt, welche Konten von Prozessen verwendet werden können, um ein Token zu erstellen, das dann verwendet werden kann, um Zugriff auf lokale Ressourcen zu erhalten, wenn der Prozess eine interne Anwendungsprogrammierschnittstelle (API) verwendet, um ein Zugriffstoken zu erstellen. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Wenn dies nicht erforderlich ist, weisen Sie dieses Benutzerrecht keinem anderen Benutzer, einer Gruppe oder einem anderen Prozess als dem lokalen System zu.

Achtung

Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht keinem Benutzer, einer Gruppe oder einem Prozess zu, den Sie das System nicht übernehmen möchten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Erstellen eines Tokenobjekts
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

DebugPrograms

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms

Dieses Benutzerrecht bestimmt, welche Benutzer einen Debugger an einen beliebigen Prozess oder an den Kernel anfügen können. Entwicklern, die ihre eigenen Anwendungen debuggen, muss dieses Benutzerrecht nicht zugewiesen werden. Entwickler, die neue Systemkomponenten debuggen, benötigen dazu dieses Benutzerrecht. Dieses Benutzerrecht bietet vollständigen Zugriff auf sensible und kritische Betriebssystemkomponenten.

Achtung

Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Debuggen von Programmen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

DenyAccessFromNetwork

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork

Dieses Benutzerrecht bestimmt, welche Benutzer am Zugriff auf einen Computer über das Netzwerk gehindert werden. Diese Richtlinieneinstellung ersetzt die Einstellung Zugriff auf diesen Computer über die Netzwerkrichtlinie, wenn ein Benutzerkonto beiden Richtlinien unterliegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Zugriff vom Netzwerk auf diesen Computer verweigern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

DenyLocalLogOn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn

Diese Sicherheitseinstellung bestimmt, welche Dienstkonten daran gehindert werden, einen Prozess als Dienst zu registrieren.

Hinweis

Diese Sicherheitseinstellung gilt nicht für die Konten "System", "Lokaler Dienst" oder "Netzwerkdienst".

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Anmelden als Dienst verweigern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

DenyLogOnAsBatchJob

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob

Diese Sicherheitseinstellung bestimmt, welche Konten daran gehindert werden, sich als Batchauftrag anzumelden. Diese Richtlinieneinstellung ersetzt die Richtlinieneinstellung Als Batchauftrag anmelden, wenn ein Benutzerkonto beiden Richtlinien unterliegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Anmelden als Batchauftrag verweigern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

DenyLogOnAsService

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService

Anmelden als Dienst verweigern: Diese Sicherheitseinstellung bestimmt, welche Dienstkonten daran gehindert werden, einen Prozess als Dienst zu registrieren. Diese Richtlinieneinstellung ersetzt die Richtlinieneinstellung Als Dienst anmelden, wenn ein Konto beiden Richtlinien unterliegt.

Hinweis

Diese Sicherheitseinstellung gilt nicht für die Konten "System", "Lokaler Dienst" oder "Netzwerkdienst". Standardwert: Keine.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Anmelden als Dienst verweigern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

DenyRemoteDesktopServicesLogOn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn

Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen sich nicht als Remotedesktopdienste-Client anmelden dürfen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Anmelden über Remotedesktopdienste verweigern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

EnableDelegation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation

Dieses Benutzerrecht bestimmt, welche Benutzer die Einstellung Vertrauenswürdig für Delegierung für ein Benutzer- oder Computerobjekt festlegen können. Der Benutzer oder das Objekt, dem bzw. dem diese Berechtigung gewährt wird, muss über Schreibzugriff auf die Kontosteuerungsflags auf dem Benutzer- oder Computerobjekt verfügen. Ein Serverprozess, der auf einem Computer (oder unter einem Benutzerkontext) ausgeführt wird, der für die Delegierung vertrauenswürdig ist, kann mithilfe delegierter Anmeldeinformationen eines Clients auf Ressourcen auf einem anderen Computer zugreifen, solange für das Clientkonto nicht das Flag "Konto kann nicht delegiert werden" festgelegt ist.

Achtung

Ein Missbrauch dieses Benutzerrechtes oder der Einstellung "Trusted for Delegation" könnte das Netzwerk anfällig für komplexe Angriffe mit Trojaner-Programmen machen, die die Identität eingehender Clients annehmen und ihre Anmeldeinformationen verwenden, um Zugriff auf Netzwerkressourcen zu erhalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

GenerateSecurityAudits

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits

Dieses Benutzerrecht bestimmt, welche Konten von einem Prozess zum Hinzufügen von Einträgen zum Sicherheitsprotokoll verwendet werden können. Das Sicherheitsprotokoll wird verwendet, um nicht autorisierten Systemzugriff nachzuverfolgen. Ein Missbrauch dieses Benutzerrechtes kann zur Generierung vieler Überwachungsereignisse führen, die möglicherweise Beweise für einen Angriff verbergen oder zu einem Denial-of-Service-Vorgang führen. Fahren Sie das System sofort herunter, wenn die Sicherheitsrichtlinieneinstellung aktiviert ist, wenn die Sicherheitsüberwachung nicht protokolliert werden kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Generieren von Sicherheitsüberwachungen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ImpersonateClient

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient

Durch das Zuweisen dieses Benutzerrechtes zu einem Benutzer können Programme, die im Namen dieses Benutzers ausgeführt werden, die Identität eines Clients annehmen. Die Anforderung dieses Benutzerrechtes für diese Art von Identitätswechsel verhindert, dass ein nicht autorisierter Benutzer einen Client davon überzeugen kann, eine Verbindung (z. B. durch Remoteprozeduraufruf (RPC) oder Named Pipes) mit einem Dienst herzustellen, den er erstellt hat, und dann die Identität dieses Clients annehmen, wodurch die Berechtigungen des nicht autorisierten Benutzers auf Verwaltungs- oder Systemebene erhöht werden können.

Achtung

Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.

Hinweis

Standardmäßig wird für Dienste, die vom Dienststeuerungs-Manager gestartet werden, die integrierte Dienstgruppe ihren Zugriffstoken hinzugefügt. COM-Server (Component Object Model), die von der COM-Infrastruktur gestartet werden und für die Ausführung unter einem bestimmten Konto konfiguriert sind, verfügen ebenfalls über die Dienstgruppe, die ihren Zugriffstoken hinzugefügt wird. Daher erhalten diese Dienste diesen Benutzer direkt beim Starten. Darüber hinaus kann ein Benutzer auch die Identität eines Zugriffstokens annehmen, wenn eine der folgenden Bedingungen vorliegt. 1) Das Zugriffstoken, dessen Identität angenommen wird, ist für diesen Benutzer. 2) Der Benutzer hat in dieser Anmeldesitzung das Zugriffstoken erstellt, indem er sich mit expliziten Anmeldeinformationen beim Netzwerk angemeldet hat. 3) Die angeforderte Ebene ist kleiner als Identitätswechsel, z. B. Anonym oder Identifizieren. Aufgrund dieser Faktoren benötigen Benutzer dieses Benutzerrecht normalerweise nicht.

Warnung

Wenn Sie diese Einstellung aktivieren, gehen Programme, die zuvor über die Berechtigung Identität annehmen verfügten, möglicherweise verloren, und sie werden möglicherweise nicht ausgeführt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Annehmen der Clientidentität nach Authentifizierung
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

IncreaseProcessWorkingSet

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet

Erhöhen eines Prozessarbeitssatzes. Diese Berechtigung bestimmt, welche Benutzerkonten die Größe des Arbeitssatzes eines Prozesses erhöhen oder verringern können. Der Arbeitssatz eines Prozesses ist der Satz von Speicherseiten, die derzeit für den Prozess im physischen RAM-Speicher sichtbar sind. Diese Seiten sind resident und für eine Anwendung verfügbar, ohne einen Seitenfehler auszulösen. Die minimalen und maximalen Arbeitssatzgrößen wirken sich auf das Auslagerungsverhalten des virtuellen Speichers eines Prozesses aus.

Warnung

Das Erhöhen der Arbeitssatzgröße für einen Prozess verringert die Menge des physischen Arbeitsspeichers, der für den Rest des Systems verfügbar ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Arbeitssatz eines Prozesses vergrößern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

IncreaseSchedulingPriority

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority

Dieses Benutzerrecht bestimmt, welche Konten einen Prozess mit Schreibeigenschaftszugriff auf einen anderen Prozess verwenden können, um die Ausführungspriorität zu erhöhen, die dem anderen Prozess zugewiesen ist. Ein Benutzer mit dieser Berechtigung kann die Planungspriorität eines Prozesses über die Task-Manager-Benutzeroberfläche ändern.

Warnung

Wenn Sie Fenster-Manager\Fenster-Manager-Gruppe aus dem Benutzerrecht "Terminplanungspriorität erhöhen " entfernen, funktionieren bestimmte Anwendungen und Computer nicht ordnungsgemäß. Insbesondere funktioniert der INK-Arbeitsbereich nicht ordnungsgemäß auf Uma-Laptops (Unified Memory Architecture) und Desktopcomputern, auf denen Windows 10 Version 1903 oder höher ausgeführt wird und die den Intel GFX-Treiber verwenden.

Auf betroffenen Computern blinkt die Anzeige, wenn Benutzer in INK-Arbeitsbereichen zeichnen, wie sie von Microsoft Edge, Microsoft PowerPoint oder Microsoft OneNote verwendet werden. Das Blinken tritt auf, weil die freihandbezogenen Prozesse wiederholt versuchen, die Real-Time Priorität zu verwenden, aber die Berechtigung verweigert wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Anheben der Zeitplanungspriorität
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

LoadUnloadDeviceDrivers

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers

Dieses Benutzerrecht bestimmt, welche Benutzer Gerätetreiber oder anderen Code dynamisch in den Kernelmodus laden und entladen können. Dieses Benutzerrecht gilt nicht für Plug & Play Gerätetreiber. Es wird empfohlen, diese Berechtigung nicht anderen Benutzern zuzuweisen.

Achtung

Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht keinem Benutzer, einer Gruppe oder einem Prozess zu, den Sie das System nicht übernehmen möchten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Laden und Entfernen von Gerätetreibern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

LockMemory

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory

Dieses Benutzerrecht bestimmt, welche Konten einen Prozess verwenden können, um Daten im physischen Speicher zu speichern, wodurch verhindert wird, dass das System die Daten in den virtuellen Speicher auf dem Datenträger auslagern kann. Die Ausübung dieser Berechtigung könnte sich erheblich auf die Systemleistung auswirken, indem die Menge des verfügbaren Arbeitsspeichers für den zufälligen Zugriff (RAM) verringert wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Sperren von Seiten im Speicher
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

LogOnAsBatchJob

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob

Diese Sicherheitseinstellung ermöglicht die Anmeldung eines Benutzers über eine Batchwarteschlange und wird nur aus Gründen der Kompatibilität mit älteren Versionen von Windows bereitgestellt. Wenn ein Benutzer beispielsweise einen Auftrag über den Aufgabenplaner übermittelt, protokolliert der Aufgabenplaner diesen Benutzer als Batchbenutzer und nicht als interaktiver Benutzer.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Anmelden als Stapelverarbeitungsauftrag
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

LogOnAsService

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService

Diese Sicherheitseinstellung ermöglicht es einem Sicherheitsprinzipal, sich als Dienst anzumelden. Dienste können so konfiguriert werden, dass sie unter den Konten "Lokales System", "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden, die über ein integriertes Recht zur Anmeldung als Dienst verfügen. Jedem Dienst, der unter einem separaten Benutzerkonto ausgeführt wird, muss das Recht zugewiesen werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Anmelden als Dienst
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ManageAuditingAndSecurityLog

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog

Dieses Benutzerrecht bestimmt, welche Benutzer Optionen für die Objektzugriffsüberwachung für einzelne Ressourcen wie Dateien, Active Directory-Objekte und Registrierungsschlüssel angeben können. Diese Sicherheitseinstellung ermöglicht es einem Benutzer nicht, die Überwachung des Datei- und Objektzugriffs im Allgemeinen zu aktivieren. Sie können überwachte Ereignisse im Sicherheitsprotokoll des Ereignisanzeige anzeigen. Ein Benutzer mit dieser Berechtigung kann auch das Sicherheitsprotokoll anzeigen und löschen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Verwalten von Überwachungs- und Sicherheitsprotokollen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

VerwaltenVolume

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume

Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen Wartungstasks auf einem Volume ausführen können, z. B. die Remote-Defragmentierung. Seien Sie vorsichtig, wenn Sie dieses Benutzerrecht zuweisen. Benutzer mit diesem Benutzerrecht können Datenträger untersuchen und Dateien in den Arbeitsspeicher erweitern, der andere Daten enthält. Wenn die erweiterten Dateien geöffnet werden, kann der Benutzer die abgerufenen Daten möglicherweise lesen und ändern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Ausführen von Volumewartungsaufgaben
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ModifyFirmwareEnvironment

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment

Dieses Benutzerrecht bestimmt, wer Firmwareumgebungswerte ändern kann. Firmwareumgebungsvariablen sind Einstellungen, die im nicht flüchtigen RAM von Nicht-x86-basierten Computern gespeichert sind. Die Auswirkung der Einstellung hängt vom Prozessor ab. Auf x86-basierten Computern kann der einzige Firmwareumgebungswert, der durch Zuweisen dieses Benutzerrechtes geändert werden kann, die Einstellung Letzte als funktionierend bekannte Konfiguration, die nur vom System geändert werden sollte. Auf Itanium-basierten Computern werden Startinformationen in nicht flüchtigem RAM gespeichert. Benutzern muss dieses Benutzerrecht zugewiesen werden, um bootcfg.exe auszuführen und die Einstellung Standardbetriebssystem für Start und Wiederherstellung in den Systemeigenschaften zu ändern. Auf allen Computern ist dieses Benutzerrecht erforderlich, um Windows zu installieren oder zu aktualisieren.

Hinweis

Diese Sicherheitseinstellung wirkt sich nicht darauf aus, wer die Systemumgebungsvariablen und Benutzerumgebungsvariablen ändern kann, die auf der Registerkarte Erweitert der Systemeigenschaften angezeigt werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Verändern der Firmwareumgebungsvariablen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ModifyObjectLabel

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel

Dieses Benutzerrecht bestimmt, welche Benutzerkonten die Integritätsbezeichnung von Objekten ändern können, z. B. Dateien, Registrierungsschlüssel oder Prozesse, die sich im Besitz anderer Benutzer befinden. Prozesse, die unter einem Benutzerkonto ausgeführt werden, können die Bezeichnung eines Objekts, das diesem Benutzer gehört, ohne diese Berechtigung auf eine niedrigere Ebene ändern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Verändern einer Objektbezeichnung
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ProfileSingleProcess

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess

Dieses Benutzerrecht bestimmt, welche Benutzer Leistungsüberwachungstools verwenden können, um die Leistung von Systemprozessen zu überwachen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Erstellen eines Profils für einen Einzelprozess
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ProfileSystemPerformance

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance

Diese Sicherheitseinstellung bestimmt, welche Benutzer Leistungsüberwachungstools verwenden können, um die Leistung von Systemprozessen zu überwachen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Erstellen eines Profils der Systemleistung
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

RemoteShutdown

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown

Dieses Benutzerrecht bestimmt, welche Benutzer einen Computer von einem Remotestandort im Netzwerk herunterfahren dürfen. Ein Missbrauch dieses Nutzerrechts kann zu einem Denial-of-Service führen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Erzwingen des Herunterfahrens von einem Remotesystem
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ReplaceProcessLevelToken

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken

Diese Sicherheitseinstellung bestimmt, welche Benutzerkonten die CreateProcessAsUser()-API (Application Programming Interface) aufrufen können, damit ein Dienst einen anderen starten kann. Ein Beispiel für einen Prozess, der dieses Benutzerrecht verwendet, ist Taskplaner. Informationen zur Aufgabenplanung finden Sie unter Übersicht über aufgabenplaner.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Ersetzen eines Tokens auf Prozessebene
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

RestoreFilesAndDirectories

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories

Dieses Benutzerrecht bestimmt, welche Benutzer Berechtigungen für Dateien, Verzeichnisse, Registrierung und andere persistente Objekte beim Wiederherstellen von gesicherten Dateien und Verzeichnissen umgehen können, und bestimmt, welche Benutzer einen gültigen Sicherheitsprinzipal als Besitzer eines Objekts festlegen können. Insbesondere ist dieses Benutzerrecht vergleichbar mit dem Erteilen der folgenden Berechtigungen für den betreffenden Benutzer oder die betreffende Gruppe für alle Dateien und Ordner auf dem System: Ordner durchlaufen/Datei ausführen, Schreiben.

Achtung

Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da Benutzer mit diesem Benutzerrecht Registrierungseinstellungen überschreiben, Daten ausblenden und den Besitz von Systemobjekten erlangen können, weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Wiederherstellen von Dateien und Verzeichnissen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

ShutDownTheSystem

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem

Diese Sicherheitseinstellung bestimmt, welche Benutzer, die lokal am Computer angemeldet sind, das Betriebssystem mithilfe des Befehls Herunterfahren herunterfahren können. Ein Missbrauch dieses Nutzerrechts kann zu einem Denial-of-Service führen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Herunterfahren des Systems
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

TakeOwnership

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership

Dieses Benutzerrecht bestimmt, welche Benutzer den Besitz an sicherungsfähigen Objekten im System übernehmen können, einschließlich Active Directory-Objekten, Dateien und Ordnern, Druckern, Registrierungsschlüsseln, Prozessen und Threads.

Achtung

Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da Besitzer von Objekten die vollständige Kontrolle über sie haben, weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Übernehmen des Besitzes bei Dateien und Objekten
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten

Dienstanbieter für die Richtlinienkonfiguration