Lokale Anmeldung zulassen – Sicherheitsrichtlinieneinstellung

Gilt für

  • Windows 10

Beschreibt bewährte Methoden, Speicherorte, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für die Lokale Sicherheitsrichtlinieneinstellung " Anmelden zulassen".

Verweis

Diese Richtlinieneinstellung bestimmt, welche Benutzer eine interaktive Sitzung auf dem Gerät starten können. Benutzer müssen über das Recht verfügen, sich über eine Remotedesktopdienste-Sitzung anzumelden, die auf einem Windows-basierten Mitgliedsgerät oder Domänencontroller ausgeführt wird.

Hinweis: Benutzer, die nicht über dieses Recht verfügen, können weiterhin eine interaktive Remotesitzung auf dem Gerät starten, wenn sie die Berechtigung "Anmeldung über Remotedesktopdienste zulassen " haben.

Konstante: SeInteractiveLogonRight

Mögliche Werte

  • Benutzerdefinierte Liste von Konten
  • Nicht definiert

Standardmäßig haben die Mitglieder der folgenden Gruppen dieses Recht auf Arbeitsstationen und Servern:

  • Administratoren
  • Sicherungsoperatoren
  • Users

Standardmäßig haben die Mitglieder der folgenden Gruppen dieses Recht auf Domänencontrollern:

  • Kontooperatoren
  • Administratoren
  • Sicherungsoperatoren
  • Druckoperatoren
  • Serveroperatoren

Bewährte Methoden

  1. Beschränken Sie dieses Benutzerrecht auf legitime Benutzer, die sich bei der Konsole des Geräts anmelden müssen.
  2. Wenn Sie Standardgruppen selektiv entfernen, können Sie die Fähigkeiten von Benutzern einschränken, die bestimmten Administratorrollen in Ihrer Organisation zugewiesen sind.

Pfad

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für die neuesten unterstützten Versionen von Windows aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Nicht definiert
Standarddomänencontroller-Richtlinie Kontooperatoren
Administratoren
Sicherungsoperatoren
Druckoperatoren
Serveroperatoren
Standardeinstellungen für eigenständige Server Administratoren
Sicherungsoperatoren
Users
Effektive Standardeinstellungen für Domänencontroller Kontooperatoren
Administratoren
Sicherungsoperatoren
Druckoperatoren
Serveroperatoren
Effektive Standardeinstellungen für Mitgliedsserver Administratoren
Sicherungsoperatoren
Users
Effektive Standardeinstellungen für Clientcomputer Administratoren
Sicherungsoperatoren
Users

Richtlinienverwaltung

Ein Neustart des Geräts ist nicht erforderlich, um diese Änderung zu implementieren.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Seien Sie vorsichtig, wenn Sie Dienstkonten, die von Komponenten und Programmen auf Mitgliedsgeräten und auf Domänencontrollern in der Domäne verwendet werden, aus der Richtlinie des Standarddomänencontrollers entfernen. Seien Sie auch vorsichtig, wenn Sie Benutzer oder Sicherheitsgruppen entfernen, die sich bei der Konsole von Mitgliedsgeräten in der Domäne anmelden, oder Dienstkonten entfernen, die in der lokalen SAM-Datenbank (Security Accounts Manager) von Mitgliedsgeräten oder Arbeitsgruppengeräten definiert sind. Wenn Sie einem Benutzerkonto die Möglichkeit geben möchten, sich lokal bei einem Domänencontroller anzumelden, müssen Sie diesen Benutzer zu einem Mitglied einer Gruppe machen, die bereits über das lokale Systemrecht für die zulässige Anmeldung verfügt, oder diesem Benutzerkonto das Recht gewähren. Die Domänencontroller in der Domäne teilen sich die Standarddomänencontroller Gruppenrichtlinie-Objekt (GPO). Wenn Sie einem Konto das lokale Recht " Anmeldung zulassen " erteilen, erlauben Sie diesem Konto, sich lokal bei allen Domänencontrollern in der Domäne anzumelden. Wenn die Gruppe "Benutzer" in der Einstellung " Anmelden zulassen " für ein Gruppenrichtlinienobjekt aufgeführt ist, können sich alle Domänenbenutzer lokal anmelden. Die integrierte Gruppe "Benutzer" enthält Domänenbenutzer als Mitglied.

Gruppenrichtlinie

Gruppenrichtlinie Einstellungen werden über GPOs in der folgenden Reihenfolge angewendet, wodurch die Einstellungen auf dem lokalen Computer beim nächsten Gruppenrichtlinie Update überschrieben werden:

  1. Lokale Richtlinieneinstellungen
  2. Websiterichtlinieneinstellungen
  3. Domänenrichtlinieneinstellungen
  4. OE-Richtlinieneinstellungen

Sicherheitsüberlegungen

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Jedes Konto mit der Berechtigung "Lokale Anmeldung zulassen" kann sich bei der Konsole des Geräts anmelden. Wenn Sie dieses Benutzerrecht nicht auf legitime Benutzer beschränken, die sich an der Konsole des Computers anmelden müssen, könnten nicht autorisierte Benutzer schadhafte Software herunterladen und ausführen, um ihre Rechte zu erhöhen.

Gegenmaßnahme

Weisen Sie domänencontrollern die Berechtigung " Lokales Anmelden zulassen" nur der Gruppe "Administratoren" zu. Für andere Serverrollen können Sie zusätzlich zu Administratoren Sicherungsoperatoren hinzufügen. Für Endbenutzercomputer sollten Sie dieses Recht auch der Gruppe "Benutzer" zuweisen. Alternativ können Sie Gruppen wie Kontooperatoren, Serveroperatoren und Gäste dem lokalen Benutzerrecht " Anmelden verweigern " zuweisen.

Mögliche Auswirkung

Wenn Sie diese Standardgruppen entfernen, können Sie die Fähigkeiten von Benutzern einschränken, die bestimmten Administratorrollen in Ihrer Umgebung zugewiesen sind. Wenn Sie optionale Komponenten wie ASP.NET oder IIS installiert haben, müssen Sie möglicherweise zusätzlichen Konten, die für diese Komponenten erforderlich sind, das Berechtigung " Lokales Anmelden zulassen" zuweisen. IIS erfordert, dass dieses Benutzerrecht dem IUSR_<ComputerName-Konto> zugewiesen wird. Sie sollten bestätigen, dass delegierte Aktivitäten nicht durch Änderungen beeinträchtigt werden, die Sie an der Berechtigungszuweisung für lokale Benutzerrechte vornehmen .

Verwandte Themen