Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird der Identitätswechsel eines Clients nach der Authentifizierung und das Erstellen globaler Benutzerrechte für Objekte erläutert.
Ursprüngliche KB-Nummer: 821546
Übersicht
In diesem Artikel werden die Benutzerrechte "Identität eines Clients nach Authentifizierung" und "Erstellen globaler Objekte" erläutert. Diese neuen Sicherheitseinstellungen wurden erstmals in Windows 2000 Service Pack 4 (SP4) eingeführt und tragen zur Erhöhung der Sicherheit in Windows 2000 bei. Dieser Artikel beschreibt die neuen Sicherheitseinstellungen und enthält auch Informationen zu einigen bekannten Problemen, die auftreten können, und wie sie behoben werden können.
Wichtig
Berücksichtigen Sie die folgenden Probleme, wenn Sie die Benutzerrechte "Identität eines Clients nach Authentifizierung" und "Globale Objekte erstellen" mithilfe der Standarddomänenrichtlinie oder Gruppenrichtlinie anwenden:
Die Benutzerrechte "Identität eines Clients nach Authentifizierung" und "Globale Objekte erstellen" gelten nur für Computer, auf denen Windows 2000 SP4 oder höher ausgeführt wird.
Sie können die Standarddomänenrichtlinie oder Gruppenrichtlinie verwenden, um die Sicherheitseinstellungen "Identität eines Clients nach Authentifizierung" und "Globale Objekte erstellen" auf Computer in Ihrer Umgebung anzuwenden, wenn die Computer Windows 2000 Service Pack 2 (SP2) oder höher ausführen. Beachten Sie, dass die Sicherheitseinstellungen zwar in einer Umgebung bereitgestellt werden können, die Windows 2000 SP2 und Windows 2000 Service Pack 3 (SP3)-basierte Computer enthält, die Sicherheitseinstellungen gelten jedoch nur für Windows 2000 SP4-basierte Computer. Die Einstellungen gelten nicht für Computer, auf denen entweder Windows 2000 SP2 oder Windows 2000 SP3 ausgeführt wird.
Verwenden Sie die Standarddomänenrichtlinie oder eine andere Gruppenrichtlinie nicht, um entweder oder beide neuen Benutzerrechte auf Computer anzuwenden, auf denen Windows 2000 oder Windows 2000 Service Pack 1 (SP1) ausgeführt wird. Wenn Sie die Standarddomänenrichtlinie oder eine andere Gruppenrichtlinie verwenden, um diese Benutzerrechte auf Computer anzuwenden, auf denen Windows 2000 oder Windows 2000 Service Pack 1 (SP1) ausgeführt wird, schlägt die Weitergabe der Sicherheitseinstellungen der Richtlinie fehl. Das heißt, die Richtlinie wird nicht an die Windows 2000- oder Windows 2000 SP1-Computer weitergegeben, und Die Benutzerrechte werden nicht im Snap-In "Lokale Sicherheitseinstellungen" angezeigt. Die folgenden Szenarien können auftreten, wenn Sie die Standarddomänenrichtlinie oder eine andere Gruppenrichtlinie verwenden, um entweder oder beide neuen Benutzerrechte auf Computer anzuwenden, auf denen Windows 2000 oder Windows 2000 Service Pack 1 (SP1) ausgeführt wird:
Zusätzliche Sicherheitsrichtlinieneinstellungen, die sich im gleichen Gruppenrichtlinienobjekt befinden und auf Windows 2000- oder Windows 2000 Service Pack 1 (SP1)-Geräte abzielen, werden nicht an die Zielgeräte weitergegeben.
Zusätzliche Sicherheitsrichtlinieneinstellungen, die mithilfe anderer Gruppenrichtlinien auf dem SDOU-Pfad (Standort, Domäne, Organisationseinheit) zu Windows 2000 oder windows 2000 Service Pack 1 (SP1)-Geräten angewendet werden, die weitergegeben werden.
Wenn eine oder beide dieser neuen Sicherheitseinstellungen auf Windows 2000- oder Windows 2000 Service Pack 1 (SP1)-Geräte ausgerichtet sind, kann das lokale MMC-Sicherheits-Snap-In auf diesen Geräten keine Sicherheitseinstellungen ordnungsgemäß anzeigen. Alle Sicherheitseinstellungen, die auf die Zielgeräte von anderen domänenseitigen Gruppenrichtlinienobjekten angewendet werden (die nicht die neuen Einstellungen enthalten), gelten jedoch weiterhin für diese Zielgeräte.
Ebenso können Sie die Sicherheitsrichtlinie des Standarddomänencontrollers verwenden, um die Sicherheitseinstellungen "Identität eines Clients nach Authentifizierung" und "Globale Objekte erstellen" auf Domänencontroller in Ihrer Umgebung anzuwenden, wenn die Domänencontroller Windows 2000 SP2 oder höher ausführen. Beachten Sie, dass die Sicherheitseinstellungen zwar in einer Umgebung bereitgestellt werden können, die Windows 2000 SP2 und Windows 2000 SP3-basierte Domänencontroller enthält, die Sicherheitseinstellungen gelten jedoch nur für Windows 2000 SP4-basierte Domänencontroller. Die Einstellungen gelten nicht für Domänencontroller, die entweder Windows 2000 SP2 oder Windows 2000 SP3 ausführen.
Problem 1: Benutzerrecht "Identität eines Clients nachAuthentication" (SeImpersonatePrivilege)
Das Benutzerrecht "Identität eines Clients nach Authentifizierung" (SeImpersonatePrivilege) ist eine Windows 2000-Sicherheitseinstellung, die erstmals in Windows 2000 SP4 eingeführt wurde. Standardmäßig werden Mitgliedern der lokalen Administratorgruppe des Geräts und dem lokalen Dienstkonto des Geräts das Benutzerrecht "Identität eines Clients nach der Authentifizierung" zugewiesen. Die folgenden Komponenten haben auch dieses Benutzerrecht:
- Dienste, die vom Dienststeuerungs-Manager gestartet werden
- Com-Server (Component Object Model), die von der COM-Infrastruktur gestartet werden und für die Ausführung unter einem bestimmten Konto konfiguriert sind
Wenn Sie einem Benutzer das Recht "Identitätswechsel eines Clients nach der Authentifizierung" zuweisen, erlauben Sie Programmen, die im Auftrag dieses Benutzers ausgeführt werden, die Identität eines Clients zu imitieren. Diese Sicherheitseinstellung trägt dazu bei, zu verhindern, dass nicht autorisierte Server die Identität von Clients annehmen, die über Methoden wie Remoteprozeduraufrufe (RPC) oder named pipes eine Verbindung damit herstellen. Weitere Informationen zur Funktion SeImpersonatePrivilege finden Sie auf der folgenden Microsoft-Website:
Annehmen der Identität eines Clients nach der Authentifizierung
Weitere Informationen zu Identitätswechselfunktionen (z. B. ImpersonateClient, ImpersonateLoggedOnUser und ImpersonateNamedPipeClient) finden Sie in der Dokumentation zum Microsoft Platform SDK nach SeImpersonatePrivilege. Um diese Dokumentation anzuzeigen, besuchen Sie die folgende Microsoft-Website:
Annehmen der Identität eines Clients nach der Authentifizierung
Problembehandlung für Problem 1
Einige Programme, die identitätswechseln verwenden, funktionieren nach der Installation von Windows 2000 SP4 möglicherweise nicht ordnungsgemäß.
Nachdem Sie Windows 2000 Service Pack 4 (SP4) auf Ihrem Computer installiert haben, funktionieren einige Programme, die identitätswechseln, möglicherweise nicht ordnungsgemäß.
Dieses Problem kann in Situationen auftreten, in denen das Benutzerkonto, das zum Ausführen des Programms verwendet wird, nicht über das Recht "Identität eines Clients nach der Authentifizierung" verfügt.
Auf Computern, auf denen Windows 2000 Service Pack 3 (SP3) und früher ausgeführt werden, ist kein Benutzerrecht erforderlich, um einen Client imitieren zu können. Daher funktionieren einige Programme, die Identitätswechsel verwenden, nach der Installation von Windows 2000 SP4 möglicherweise nicht ordnungsgemäß.
Um dieses Problem zu beheben, identifizieren Sie das Benutzerkonto, das zum Ausführen des Programms verwendet wird, und weisen Sie diesem Benutzerkonto dann das Recht "Identität eines Clients nach der Authentifizierung" zu. Gehen Sie dazu wie folgt vor:
- Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie anschließend auf Lokale Sicherheitsrichtlinie.
- Erweitern Sie lokale Richtlinien, und klicken Sie dann auf Benutzerrechtezuweisung.
- Doppelklicken Sie im rechten Bereich nach der Authentifizierung auf den Identitätswechsel eines Clients.
- Klicken Sie im Dialogfeld "Lokale Sicherheitsrichtlinieneinstellung " auf "Hinzufügen".
- Klicken Sie im Dialogfeld "Benutzer oder Gruppe auswählen" auf das Benutzerkonto, das Sie hinzufügen möchten, klicken Sie auf "Hinzufügen" und dann auf "OK".
- Klicken Sie auf OK.
Notiz
Um Probleme zu beheben, in denen Sie das Benutzerkonto, das zum Ausführen des Programms verwendet wird, nicht ermitteln können und wo Sie überprüfen möchten, ob die Symptome, die Sie erleben, durch das Benutzerrecht verursacht werden, weisen Sie dem Benutzer "Identitätswechsel eines Clients nach der Authentifizierung" direkt der Gruppe "Jeder" zu, und starten Sie dann das Programm. Wenn das Programm ordnungsgemäß funktioniert, kann das Problem, das Sie feststellen, durch die neue Sicherheitseinstellung verursacht werden.
Beim Debuggen einer Webanwendung in Visual Studio .NET wird eine Fehlermeldung "Fehler beim Ausführen des Projekts" angezeigt.
Problem 2: Benutzerrecht "Globale Objekte erstellen" (SeCreateGlobalPrivilege)
Das Benutzerrecht "Globale Objekte erstellen" (SeCreateGlobalPrivilege) ist eine Windows 2000-Sicherheitseinstellung, die erstmals in Windows 2000 SP4 eingeführt wurde. Das Benutzerrecht ist für ein Benutzerkonto erforderlich, um globale Dateizuordnungen und symbolische Verknüpfungsobjekte zu erstellen. Beachten Sie, dass Benutzer weiterhin sitzungsspezifische Objekte erstellen können, ohne diesem Benutzerrecht zugewiesen zu werden. Standardmäßig werden Mitgliedern der Gruppe "Administratoren", "Systemkonto" und "Dienste", die vom Dienststeuerungs-Manager gestartet werden, das Benutzerrecht "Globale Objekte erstellen" zugewiesen.
Problembehandlung für Problem 2
Einige Programme funktionieren nach der Installation von Windows 2000 SP4 möglicherweise nicht ordnungsgemäß.
Nachdem Sie Windows 2000 Service Pack 4 (SP4) auf Ihrem Computer installiert haben, funktionieren einige Programme möglicherweise nicht ordnungsgemäß. Dieses Problem kann in Situationen auftreten, in denen das Benutzerkonto, das zum Ausführen des Programms verwendet wird, nicht über das Benutzerrecht "Globale Objekte erstellen" verfügt.
Um dieses Problem zu beheben, identifizieren Sie das Benutzerkonto, das zum Ausführen des Programms verwendet wird, und weisen Sie diesem Benutzerkonto das Benutzerrecht "Globale Objekte erstellen" zu. Gehen Sie dazu wie folgt vor:
- Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie anschließend auf Lokale Sicherheitsrichtlinie.
- Erweitern Sie lokale Richtlinien, und klicken Sie dann auf Benutzerrechtezuweisung.
- Doppelklicken Sie im rechten Bereich auf "Globale Objekte erstellen".
- Klicken Sie im Dialogfeld "Lokale Sicherheitsrichtlinieneinstellung " auf "Hinzufügen".
- Klicken Sie im Dialogfeld "Benutzer oder Gruppe auswählen" auf das Benutzerkonto, das Sie hinzufügen möchten, klicken Sie auf "Hinzufügen" und dann auf "OK".
- Klicken Sie auf OK.
Notiz
Um Probleme zu beheben, in denen Sie das Benutzerkonto, das zum Ausführen des Programms verwendet wird, nicht ermitteln können und wo Sie überprüfen möchten, ob die Symptome, die Sie erleben, durch das Benutzerrecht verursacht werden, weisen Sie der Gruppe "Alle Benutzer erstellen" das Recht "Globale Objekte erstellen" zu, und starten Sie dann das Programm. Wenn das Programm ordnungsgemäß funktioniert, kann das Problem, das Sie feststellen, durch die neue Sicherheitseinstellung verursacht werden.
Beim Suchen nach Clips in einem Office XP-Dokument in einer Terminaldienstesitzung wird eine Fehlermeldung "Nicht genügend Arbeitsspeicher" angezeigt.
Computer reagiert nicht mehr (hängt), wenn Sie einen Windows 2000 Server-basierten Computer neu starten, nachdem Sie McAfee Parental Control installiert haben.