Windows 2000 - Sicherheitshandbuch

Konfiguration der Benutzerrechte und -privilegien

Aktualisiert: 22. Mrz 2004
Auf dieser Seite
ModulübersichtModulübersicht
ZielsetzungZielsetzung
BetrifftBetrifft
Der Nutzen dieses ModulsDer Nutzen dieses Moduls
Benutzerrechte und -privilegienBenutzerrechte und -privilegien

Modulübersicht

Dieses Modul enthält eine Tabelle, die die Standardzuweisungen der Benutzerrechte unter Microsoft Windows 2000 identifiziert. Außerdem wird eine Liste der in dem Modul "Windows 2000-Sicherheitskonfigurationen" empfohlenen Änderungen zur Verfügung gestellt.

Zielsetzung

Identifizieren der Standardzuweisungen von Benutzerrechten unter Windows 2000

Identifizieren der empfohlenen Änderungen der Standardzuweisungen von Benutzerrechten, um eine noch sicherere Umgebung zu schaffen

Betrifft

Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:

Microsoft Windows 2000-Betriebssystem

Domänencontroller des Microsoft Windows 2000-Betriebssystems

Microsoft Windows 2000-Domänen

Der Nutzen dieses Moduls

Identifizieren Sie mithilfe dieses Moduls die Einstellungen für die Standardzuweisungen von Benutzerrechten unter Windows 2000. Überprüfen Sie außerdem die für die Standardeinstellungen empfohlenen Änderungen, um eine noch sicherere Umgebung zu schaffen.

Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:

Lesen Sie das Modul Sicherheitskonfigurationen für Windows 2000.In diesem Modul finden Sie ausführliche Informationen zu den Sicherheitseinstellungen, die Sie zur Verbesserung der Sicherheit von Windows 2000 vornehmen können.

Lesen Sie das Modul Windows 2000-Standardeinstellungen für Sicherheitsrichtlinien.In diesem Modul werden die Standardeinstellungen für die Sicherheitsrichtlinien identifiziert, die auf die unterschiedlichen Windows 2000-Systemrollen angewendet werden.

Lesen Sie das Modul Windows 2000-Tools für die Sicherheitskonfiguration.In diesem Modul werden die Windows 2000-Tools vorgestellt, mit denen sichere Konfigurationen angewendet werden können.

Verwenden Sie die Prüfliste Windows 2000- Sicherheitskonfigurationsprüfliste.Dieses Modul enthält Sicherheitsprüflisten, mit denen Sie beim Evaluieren eines Systems sicherstellen können, dass alle Konfigurationsänderungen vorgenommen wurden.

Verwenden Sie die begleitenden Verfahrenshinweise:

"Sichere Installation von Windows 2000"

" Konfiguration und Anwendung von Sicherheitsvorlagen mit Windows 2000"

Benutzerrechte und -privilegien

Tabelle 1 enthält die Standardbenutzerrechte, die Benutzern auf eigenständigen Windows 2000 Professional-Systemen sowie in Serversystemen auf einem Windows 2000-Domänencontroller zugewiesen werden. Außerdem werden die Standardbenutzerrechte in einer Domänensicherheitsrichtlinie identifiziert (nicht definiert in der Standardeinstellung). Die Zuweisungen in der Domänensicherheitsrichtlinie überschreiben die Einstellungen der lokalen Sicherheitsrichtlinie für Mitglieder der Domäne.

Zuweisungen von Benutzerrechten bzw. -privilegien sind wie folgt in der lokalen und Domänensicherheitsrichtlinien-GUI zu finden:

Windows 2000 Professional:

Verwaltungsprogramme->Lokale Sicherheitsrichtlinie(Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten

Windows 2000 Server:

Verwaltungsprogramme->Lokale Sicherheitsrichtlinie->Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten

Windows 2000-Domänencontroller:

Verwaltungsprogramme->Sicherheitsrichtlinien für den Domänencontroller->Windows Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten

Verwaltungsprogramme->Domänensicherheitsrichtlinie->Windows Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten

Tabelle 1: Benutzerrechte und -privilegien

Benutzerrechte/-privilegienBeschreibungGruppen, denen dieses Recht auf eigenständigen Windows 2000 Professional Computern zugewiesen wirdGruppen, denen dieses Recht auf eigenständigen Windows 2000-Servercomputern zugewiesen wirdGruppen, denen dieses Recht in der Windows 2000- Domänen-sicherheits- richtlinie (die sich auf Domänen- controllern befindet) zugewiesen wirdGruppen, denen dieses Recht auf Windows 2000-Domänen-controller mit AD-Diensten (Sicherheits- richtlinie für Domänen- controller) zugewiesen wird

Anmelderechte

Auf diesen
Computer vom
Netzwerk aus zugreifen

(SeNetwork
LogonRights)

Bestimmt, welche Benutzer über das Netzwerk eine Verbindung mit dem Computer herstellen dürfen.

Standard:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer Jeder

Empfohlene
Änderung:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Authen. Benutzer.

Standard:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer Jeder

Empfohlene
Änderung:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Authen. Benutzer.

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren
Authen. Benutzer
Jeder

Empfohlene
Änderung:
Administratoren
Authen. Benutzer

Anmelden als
Stapelverarbeitungs- auftrag

(SeBatch
LogonRight)

Ermöglicht einem Benutzer die Anmeldung mithilfe einer Batchwarteschlangen-
einrichtung.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Lokal anmelden

(SeInteractive
LogonRight)

Lässt die lokale Anmeldung eines Benutzers an einem Computer zu.

Standard:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Computername\ Gast

Empfohlene Änderung:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer

Standard:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Computername\ Gast
Computername\
TsInternetUser

Empfohlene
Änderung:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren
Kontenoperatoren
Sicherungs-Operatoren
Druckoperatoren
Serveroperatoren
TsInternetUser

Empfohlene
Änderung:
Administratoren
Kontenoperatoren
Sicherungs-Operatoren
Druckoperatoren
Serveroperatoren

Anmeldung als Dienst

(SeService
LogonRight)

Lässt die Anmeldung eines Sicherheitsprinzipals als Dienst zu. Dienste können so konfiguriert werden, dass sie mit dem LocalSystem-Konto ausgeführt werden, in das das Recht zur Anmeldung als Dienst integriert ist. Alle Dienste, die mit einem anderen Konto ausgeführt werden, muss dieses Recht zugewiesen werden.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Den Zugriff auf diesen
Computer vom
Netzwerk aus verweigern

(SeDenyNetwork
LogonRight)

Verweigert einem Benutzer oder einer Gruppe die Verbindung zum Computer vom Netzwerk aus.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Lokale Anmeldung verweigern

(SeDenyInteractive
LogonRight)

Verweigert einem Benutzer oder einer Gruppe die lokale Anmeldung an diesem Computer.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Anmelden als
Batchauftrag verweigern

(SeDenyBatch
LogonRight)

Verweigert einem Benutzer oder einer Gruppe die Anmeldung mithilfe einer Batchwarteschlangen-
einrichtung.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard
Keine

Empfehlung:
Keine Änderung

Anmeldung als
Dienst verweigern

(SeDenyService
LogonRight)

Verweigert einem Benutzer oder einer Gruppe die Anmeldung als Dienst.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Einsetzen als Teil des
Betriebssystems

(SeTcbPrivilege)

Ermöglicht einem Prozess die Authentifizierung als Benutzer und somit den Zugriff auf die für den Benutzer zugänglichen Ressourcen. Nur einfache Authentifizierungsdienste sollten dieses Recht erfordern.

Der potenzielle Zugriff ist nicht auf die mit dem Benutzer standardmäßig verknüpften Ressourcen beschränkt, da der aufrufende Prozess anfordern kann, dass weitere willkürliche Zugriffe in den Zugriffstoken aufgenommen werden. Weitaus wichtiger ist, dass der aufrufende Prozess einen anonymen Token aufbauen kann, der alle Zugriffe bietet. Darüber hinaus stellt der anonyme Token keine primäre Identität bereit, um Ereignisse im Überwachungsprotokoll zu verfolgen.

Das Konto "LocalSystem" verwendet dieses Privileg standardmäßig.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Der Domäne
Arbeitsstationen hinzufügen

(SeMachineAccount
Privilege)

Ermöglicht einem Benutzer, einen Computer zu einer bestimmten Domäne hinzuzufügen. Damit das Privileg wirksam ist, muss es dem Benutzer als Teil der lokalen Sicherheitsrichtlinie für Domänencontroller in der Domäne zugewiesen werden. Ein Benutzer mit diesem Privileg kann der Domäne bis zu 10 Arbeitsstationen hinzufügen.

Unter Windows 2000 wird das Verhalten dieses Privilegs durch die Berechtigung Computerobjekte erstellen für Organisationseinheiten und den Standardcontainer Computer in Microsoft Active Directory dupliziert. Benutzer mit der Berechtigung Computerobjekte erstellen können der Domäne Computer in unbegrenzter Zahl hinzufügen.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Authen. Benutzer

Empfohlene
Änderung:
Domänen-Administratoren

Sicherungsdateien und
-verzeichnisse

(SeBackup
Privilege)

Ermöglicht dem Benutzer, Berechtigungen für Dateien und Verzeichnisse zu umgehen, um das System zu sichern. Das Privileg wird nur ausgewählt, wenn die Anwendung versucht, über die Anwendungsschnittstelle zur NTFS-Sicherung zuzugreifen. Andernfalls gelten die normalen Berechtigungen für Dateien und Verzeichnisse.

Standard:
Administratoren
Sicherungs-Operatoren

Empfehlung:
Keine Änderung

Standard:
Administratoren
Sicherungs-Operatoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren
Sicherungs-Operatoren
Serveroperatoren

Empfehlung:
Keine Änderung

Auslassen der durchsuchenden
Prüfung

(SeChangeNotify
Privilege)

Ermöglicht dem Benutzer, beim Navigieren in einem Objektpfad in einem beliebigen Microsoft Windows Dateisystem oder in der Registrierung Ordner zu passieren, zu denen er andernfalls keinen Zugriff hat. Dieses Privileg verweigert dem Benutzer die Auflistung des Inhalts eines Ordners. Der Benutzer ist nur berechtigt, die entsprechenden Verzeichnisse zu passieren.

Standard:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Jeder

Empfehlung:
Keine Änderung

Standard:
Administratoren Sicherungs-Operatoren Hauptbenutzer
Benutzer
Jeder

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren
Authen. Benutzer
Jeder

Empfehlung:
Keine Änderung

Ändern der
Systemzeit

(SeSystemTime
Privilege)

Ermöglicht dem Benutzer, die Zeit auf der internen Uhr des Computers einzustellen.

Standard:
Administratoren Hauptbenutzer

Empfehlung:
Keine Änderung

Standard:
Administratoren Hauptbenutzer

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren
Serveroperatoren

Empfehlung:
Keine Änderung

Erstellen eines
Tokenobjekts

(SeCreateToken
Privilege)

Ermöglicht einem Prozess, einen Zugriffstoken zu erstellen durch Aufrufen von NtCreateToken oder durch andere APIs zum Erstellen von Token.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Permanente
freigegebene Objekte erstellen

(SeCreate
Permanent
Privilege)

Ermöglicht einem Prozess, ein Verzeichnisobjekt im Windows 2000-Objektmanager zu erstellen. Dieses Privileg ist für Kernelmoduskomponenten nützlich, die den Windows 2000-Objekt-Namespace erweitern. Komponenten, die im Kernelmodus ausgeführt werden, besitzen dieses Privileg bereits, sodass es ihnen nicht mehr zugewiesen werden muss.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Auslagerungsdatei erstellen

(SeCreatePagefile
Privilege)

Ermöglicht dem Benutzer eine Auslagerungsdatei zu erstellen und ihre Größe anzupassen.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfohlene
Änderung:
Administratoren

Standard:
Administratoren

Empfehlung:
Keine Änderung

Debuggen von Programmen

(SeDebugPrivilege)

Ermöglicht dem Benutzer das Debuggen eines beliebigen Prozesses.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Computer
und Benutzerkonten
für
Delegierungszwecke
vertrauen

(SeEnable
Delegation
Privilege)

Ermöglicht dem Benutzer, die Einstellung Für Delegierungszwecke vertrauen für ein Benutzerkonto oder einen Computer in Active Directory zu ändern. Der Benutzer oder Computer, dem diese Berechtigung gewährt wird, muss auch Schreibzugriff auf die Kontosteuerungsflag des Objekts haben.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Erzwingen des Herunterfahrens
von einem
Remotesystem aus

(SeRemote
ShutdownPrivilege)

Ermöglicht einem Benutzer, einen Computer von einem Remotestandort im Netzwerk aus herunterzufahren.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfohlene
Änderung:
Administratoren

Standard:
Administratoren

Serveroperatoren
Empfehlung:
Keine Änderung

Generieren von
Sicherheits- überwachungen

(SeAuditPrivilege)

Ermöglicht einem Prozess, Einträge im Sicherheitsprotokoll zu erstellen. Mit dem Sicherheitsprotokoll werden nicht autorisierte Systemzugriffe und andere sicherheitsrelevante Aktivitäten verfolgt.


Standard:Keine

Empfehlung:
Keine Änderung


Standard:Keine

Empfehlung:
Keine Änderung


Standard:(Nicht definiert)

Empfehlung:
Keine Änderung


Standard:Keine

Empfehlung:
Keine Änderung

Kontingente erhöhen

(SeIncrease
QuotaPrivilege)

Ermöglicht einem Prozess mit Schreibeigenschaft den Zugriff auf einen anderen Prozess, um das Prozessorkontingent, das dem anderen Prozess zugewiesen wurde, zu erhöhen. Dieses Privileg ist für die Anpassung des Systems hilfreich, kann aber beispielsweise in Form eines DoS-Angriffs missbraucht werden.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfohlene
Änderung:
Administratoren

Standard:
Administratoren

Empfehlung:
Keine Änderung

Anheben der
Zeitplanungspriorität

(SeIncreaseBase
PriorityPrivilege)

Ermöglicht einem Prozess mit Schreibeigenschaft den Zugriff auf einen anderen Prozess, um die Ausführungspriorität dieses Prozesses anzuheben.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfohlene
Änderung:
Administratoren

Standard:
Administratoren

Empfehlung:
Keine Änderung

Laden und Entfernen von
Gerätetreibern

(SeLoadDriver
Privilege)

Ermöglicht einem Benutzer, Plug&Play-Gerätetreiber zu installieren und zu deinstallieren. Dieses Privileg gilt nicht für Gerätetreiber, die nicht Plug&Play-fähig sind. Diese Gerätetreiber können nur von Administratoren installiert werden. Gerätetreiber werden als vertrauenswürdige (äußerst privilegierte) Prozesse ausgeführt. Dieses Privileg kann durch Installation von feindlichen Programmen und Erteilung von destruktivem Zugriff auf Ressourcen missbraucht werden.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfohlene
Änderung:
Administratoren

Standard:
Administratoren

Empfehlung:
Keine Änderung

Seiten im Speicher sperren

(SeLockMemory
Privilege)

Ermöglicht einem Prozess das Speichern von Daten in einem physikalischen Speicher, wodurch das System daran gehindert wird, die Daten in einen virtuellen Speicher auf der Festplatte auszulagern. Die Zuweisung dieses Privilegs kann die Systemleistung erheblich beeinträchtigen.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Verwalten von Überwachungs-
und Sicherheitsprotokoll

(SeSecurity
Privilege)

Ermöglicht einem Benutzer das Festlegen von Objektzugriff-Überwachungsoptionen für einzelne Ressourcen wie Dateien, Active Directory-Objekte und Registrierungsschlüssel. Die Objektzugriffsüberwachung wird nur ausgeführt, wenn sie in den Überwachungsrichtlinien aktiviert wurde. Ein Benutzer mit diesem Privileg kann das Sicherheitsprotokoll anzeigen und aus dem Event Viewer löschen.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfohlene
Änderung:
Administratoren

Standard:
Administratoren

Empfehlung:
Keine Änderung

Firmware-
Umgebungsvariablen
ändern

(SeSystem
Environment
Privilege)

Ermöglicht Änderungen von Systemumgebungs-
variablen entweder durch einen Prozess über eine API oder durch einen Benutzer, der die Systemeigenschaften bearbeitet.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfohlene Änderung:
Administratoren

Standard:
Administratoren

Empfehlung:
Keine Änderung

Einzelprozessprofil
erstellen

(SeProfile
SingleProcess
Privilege)

Ermöglicht einem Benutzer das Ausführen von Leistungsüberwachungs-
programmen unter Microsoft Windows NT und Windows 2000 zur Überwachung der Leistung von systemfremden Prozessen.

Standard:
Administratoren
Hauptbenutzer

Empfehlung:
Keine Änderung

Standard:
Administratoren
Hauptbenutzer

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Erstellen eines Profils der
Systemleistung

(SeSystemProfile
Privilege)

Ermöglicht einem Benutzer das Ausführen von Leistungsüberwachungs-
programmen unter Microsoft Windows NT und Windows 2000 zur Überwachung der Leistung von systemeigenen Prozessen.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfohlene
Änderung:
Administratoren

Standard:
Administratoren

Empfehlung:
Keine Änderung

Entfernen eines Computers
aus der
Dockingstation

(SeUndock
Privilege)

Ermöglicht einem Benutzer eines tragbaren Computers das Abdocken des Computers, indem er im Menü Start den Befehl PC trennen wählt.

Standard:
Administratoren
Hauptbenutzer
Benutzer

Empfehlung:
Keine Änderung

Standard:
Administratoren
Hauptbenutzer
Benutzer

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Ersetzen eines Prozessebenen- tokens

(SeAssign- PrimaryToken
Privilege)

Ermöglicht einem übergeordneten Prozess das Ersetzen eines Zugriffstokens, das einem untergeordneten Prozess zugeordnet ist.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Wiederherstellen von Dateien und
Verzeichnissen

(SeRestore
Privilege)

Ermöglicht einem Benutzer beim Wiederherstellen von gesicherten Dateien und Verzeichnissen, die Datei- und Verzeichnisberechtigungen zu umgehen und gültige Sicherheitsprinzipale als Besitzer eines Objekts zu setzen.

Standard:
Administratoren
Sicherungs-Operatoren

Empfehlung:
Keine Änderung

Standard:
Administratoren
Sicherungs-Operatoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren
Sicherungs-Operatoren
Serveroperatoren
Empfehlung:
Keine Änderung

System
herunterfahren

(SeShutdown
Privilege)

Ermöglicht einem Benutzer das Herunterfahren des lokalen Computers.

Standard:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer

Empfohlene
Änderung:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Authentifizierte Benutzer

Standard:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer

Empfohlene
Änderung:
Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Authentifizierte Benutzer

Standard:(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administratoren
Kontenoperatoren
Sicherungs-Operatoren
Serveroperatoren
Druckoperatoren

Empfehlung:
Keine Änderung

Synchroninisieren von
Verzeichnisdienst-
daten

(SeSyncAgent
Privilege)

Ermöglicht einem Dienst, Verzeichnis-
synchronisierungsdienste bereitzustellen. Dieses Privileg ist nur auf Domänencontrollern relevant.

Dieses Privileg ist für einen Domänencontroller erforderlich, um die LDAP-Verzeichnis-
synchronisierungsdienste zu verwenden. Der Besitzer dieses Privilegs kann alle Objekte und Eigenschaften im Verzeichnis lesen, unabhängig vom Schutz der Objekte und Eigenschaften. Standardmäßig ist dieses Privileg dem Administratorkonto und dem LocalSystem-Konto auf Domänencontrollern zugewiesen.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfehlung:
Keine Änderung

Standard:
Administrator

Empfehlung:
Keine Änderung

Übernehmen des Besitzes
an Dateien und
Objekten

(SeTakeOwnership
Privilege)

Ermöglicht einem Benutzer die Übernahme der Besitzrechte für ein zu sicherndes Objekt. Hierzu zählen auch Active Directory-Objekte, Dateien und Ordner, Drucker, Registrierungsschlüssel, Prozesse und Threads.

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
Administratoren

Empfehlung:
Keine Änderung

Standard:
(Nicht definiert)

Empfohlene Änderung:
Administratoren

Standard:
Administratoren

Empfehlung:
Keine Änderung

Nicht angeforderte
Daten von einem
Terminalgerät lesen

(SeUnsolicited
InputPrivilege)

Dieses Privileg ist erforderlich, um nicht angefordete Daten von einem Terminalgerät zu lesen. Das Privileg ist veraltet und wird nicht mehr verwendet. Es hat keine Auswirkungen auf das System.

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung

Standard:
Keine

Empfehlung:
Keine Änderung


**
**