Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird

Gilt für

  • Windows 11
  • Windows 10

Beschreibt bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für die Sicherheitsrichtlinie Computer und Benutzerkonten für delegierungsfähige vertrauenswürdige Konten aktivieren.

Verweis

Diese Richtlinieneinstellung bestimmt, welche Benutzer die Einstellung Vertrauenswürdig für Delegierung für ein Benutzer- oder Computerobjekt festlegen können. Die Sicherheitskontodelegierung ermöglicht eine Verbindung mit mehreren Servern, und jede Serveränderung behält die Authentifizierungsanmeldeinformationen des ursprünglichen Clients bei. Die Delegierung der Authentifizierung ist eine Funktion, die Client- und Serveranwendungen verwenden, wenn sie über mehrere Ebenen verfügen. Es ermöglicht einem öffentlichen Dienst, Clientanmeldeinformationen für die Authentifizierung bei einer Anwendung oder einem Datenbankdienst zu verwenden. Damit diese Konfiguration möglich ist, müssen der Client und der Server unter Konten ausgeführt werden, die für die Delegierung vertrauenswürdig sind.

Nur Administratoren, die über die Option Computer und Benutzerkonten für Delegierungsanmeldeinformationen als vertrauenswürdig aktivieren verfügen, können die Delegierung einrichten. Domänenadministratoren und Unternehmensadministratoren verfügen über diese Anmeldeinformationen. Die Prozedur, mit der ein Benutzer bei der Delegierung als vertrauenswürdig eingestuft werden kann, hängt von der Funktionalitätsebene der Domäne ab.

Das Benutzer- oder Computerobjekt, dem dieses Recht gewährt wird, muss über Schreibzugriff auf die Kontosteuerungsflags verfügen. Ein Serverprozess, der auf einem Gerät (oder unter einem Benutzerkontext) ausgeführt wird, dem für die Delegierung vertrauenswürdig ist, kann mithilfe der delegierten Anmeldeinformationen eines Clients auf Ressourcen auf einem anderen Computer zugreifen. Das Clientkonto muss jedoch über Schreibzugriff auf die Kontosteuerungsflags für das Objekt verfügen.

Konstante: SeEnableDelegationPrivilege

Mögliche Werte

  • Benutzerdefinierte Liste von Konten
  • Nicht definiert

Bewährte Methoden

  • Es gibt keinen Grund, dieses Benutzerrecht auf Mitgliedsservern und Arbeitsstationen zuzuweisen, die zu einer Domäne gehören, da es in diesen Kontexten keine Bedeutung hat. Sie ist nur auf Domänencontrollern und eigenständigen Geräten relevant.

Pfad

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte für die neuesten unterstützten Versionen von Windows aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Nicht definiert
Standarddomänencontroller-Richtlinie Nicht definiert
Standardeinstellungen für eigenständige Server Nicht definiert
Effektive Standardeinstellungen für Domänencontroller Administratoren
Effektive Standardeinstellungen für Mitgliedsserver Administratoren
Effektive Standardeinstellungen für Clientcomputer Administratoren

Richtlinienverwaltung

In diesem Abschnitt werden Features, Tools und Anleitungen beschrieben, die Ihnen bei der Verwaltung dieser Richtlinie helfen.

Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken.

Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Gruppenrichtlinie

Dieses Benutzerrecht ist im Standarddomänencontroller Gruppenrichtlinie Object (GPO) und in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:

  1. Lokale Richtlinieneinstellungen
  2. Websiterichtlinieneinstellungen
  3. Domänenrichtlinieneinstellungen
  4. OE-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.

Hinweis

Weitere Informationen zum Konfigurieren der Richtlinie finden Sie hier.

Sicherheitsüberlegungen

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Der Missbrauch des Rechtes Computer und Benutzerkonten als vertrauenswürdig für die Delegierung aktivieren könnte es nicht autorisierten Benutzern ermöglichen, sich als andere Benutzer im Netzwerk zu imitieren. Ein Angreifer könnte diese Berechtigung nutzen, um Zugriff auf Netzwerkressourcen zu erhalten und es schwierig zu ermitteln, was nach einem Sicherheitsvorfall passiert ist.

Gegenmaßnahme

Das Benutzerrecht Computer und Benutzerkonten für die Delegierung vertrauenswürdig aktivieren sollte nur zugewiesen werden, wenn die Funktionalität eindeutig erforderlich ist. Wenn Sie dieses Recht zuweisen, sollten Sie die Verwendung der eingeschränkten Delegierung untersuchen, um zu steuern, was die delegierten Konten tun können. Auf Domänencontrollern wird dieses Recht standardmäßig der Gruppe Administratoren zugewiesen.

Hinweis: Es gibt keinen Grund, dieses Benutzerrecht auf Mitgliedsservern und Arbeitsstationen zuzuweisen, die zu einer Domäne gehören, da es in diesen Kontexten keine Bedeutung hat. Sie ist nur auf Domänencontrollern und eigenständigen Computern relevant.

Mögliche Auswirkung

Keine Die Standardkonfiguration ist „Nicht definiert“.