Benutzerrechte

Eine Berechtigung ist das Recht eines Benutzerkontos zur Durchführung bestimmter Systemvorgänge, wie das Herunterfahren des Computers oder Ändern der Systemuhrzeit. Mit der Funktion "Berechtigungsverwaltung" können Sie Berechtigungen zuweisen (aktivieren) oder verweigern (deaktivieren).

In diesem Abschnitt werden folgende Themen behandelt:

Richtlinien für Benutzerrechte

Die Richtlinie "Erhöhen" wird standardmäßig auf neue Regelelemente angewendet. Ein erhöhtes Element verfügt über erweiterte Berechtigungen und kann ohne Administrator ausgeführt werden.

Richtlinien für Benutzerrechte sind eine Alternative für die Verwendung der Standardregel "Erhöhen" und können spezifisch an die Anforderungen eines Unternehmens angepasst werden. Richtlinien decken einen breiten Bereich ab. Dazu gehören etwa das Festlegen eines einzelnen Benutzers als Mitglied der Gruppe "Poweruser" oder das Entfernen eines Benutzers aus der Administratorgruppe.

Beim Erstellen einer Richtlinie für Benutzerrechte können Sie diese mithilfe der folgenden Registerkarten anpassen:

  • Gruppenmitgliedschaft – Hier können Sie festlegen, dass Windows-Benutzergruppen beim Anwenden einer Richtlinie hinzugefügt oder entfernt werden. Zuerst fügen Sie eine Gruppenaktion für den Inhalt der Richtlinie hinzu und geben dann an, ob die ausgewählte Gruppe auf die neu erstellte Richtlinie angewendet oder die Mitgliedschaft beendet werden soll.

    Beim Zuweisen der Mitgliedschaft zu einer Benutzergruppe wird nur die ausgewählte Gruppe hinzugefügt. Verschachtelte Gruppen werden nicht in die Gruppe aufgenommen. Beispiel: Wenn Sie die Mitgliedschaft für die Gruppe "Domänenadministratoren" zuweisen, ist die Gruppe "Lokale Administratoren" nicht enthalten. Diese muss separat hinzugefügt werden.

  • Berechtigungen – Eine Berechtigung ist das Recht eines Benutzerkontos zur Durchführung bestimmter Systemvorgänge, wie das Herunterfahren des Computers oder Ändern der Systemuhrzeit. Mithilfe der Funktion "Verwaltung von Benutzerrechten" können Sie Berechtigungen aktivieren, desaktivieren oder entfernen:
    • Keine Änderung – Die Berechtigung bleibt unverändert und behält den ursprünglichen Token bei.
    • Aktiviert – Setzt die Kennzeichnung im Token auf "Aktiviert".
    • Deaktiviert – Setzt die Kennzeichnung im Token auf "Deaktiviert".
    • Entfernen – Entfernt die Berechtigung aus dem Token. Diese Option kann nicht rückgängig gemacht werden.
  • Eigenschaften – Geben Sie auf der Registerkarte "Eigenschaften" eine Beschreibung für die Richtlinie ein. Bei Bedarf können Sie erzwingen, dass ein benutzerdefiniertes Admintoken mittlere Integrität verwendet, statt standardmäßig die hohe Integrität zu übernehmen.

Erstellen einer Richtlinie für die Verwaltung von Benutzerrechten

  1. Wählen Sie den Knoten Bibliothek > Richtlinien für Benutzerrechte aus.
  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Richtlinie hinzufügen aus.
  3. Markieren Sie die neue Richtlinie, klicken Sie mit der rechten Maustaste darauf und wählen Sie Umbenennen aus.
  4. Weisen Sie der Richtlinie einen intuitiven Namen zu.
  5. Führen Sie eine oder mehrere der folgenden Aktionen durch:
    • Geben Sie auf der Registerkarte "Gruppenmitgliedschaft" die Anmeldeinformationen an, mit denen eine Anwendung ausgeführt werden kann, z. B. welche Gruppe und ob die Mitgliedschaft für die Gruppe bestehen oder aufgelöst werden soll. Durch das Festlegen der Mitgliedschaft können Benutzer eine Anwendung so ausführen, als wären sie Mitglied der Gruppe.
    • Legen Sie auf der Registerkarte "Berechtigungen" eine granulare Kontrolle über die Berechtigungen fest, die der Benutzer zum Ausführen einer Anwendung besitzt.
    • Legen Sie auf der Registerkarte "Eigenschaften" die Integritätsstufe fest. Anwendungen mit einer niedrigen oder mittleren Integritätsstufe können nicht mit Anwendungen mit hoher Integritätsstufe interagieren.
      In Application Control 2020.3 wurde ein Kontrollkästchen zur Registerkarte "Eigenschaften" hinzugefügt. Damit können Sie ein Admintoken anpassen und ihm anstelle einer hohen eine mittlere Integritätsstufe zuweisen.

Richtlinien zur Verwaltung von Benutzerrechten sind wiederverwendbar.

Hinzufügen der Gruppenmitgliedschaft zu einer Richtlinie

Standardbenutzer besitzen in der Regel keine Administratorrechte. Das folgende Verfahren veranschaulicht, wie Sie eine Richtlinie für Benutzerrechte für einen Mitarbeiter des Support-Desks erstellen. Über die Verwaltung von Benutzerrechten lässt sich die Mitgliedschaft einer bestimmten Gruppe herstellen oder beenden. Der erste Schritt bei der Erstellung der Konfiguration ist die Erstellung einer Richtlinie für Benutzerrechte. Anschließend wird die Mitgliedschaft festgelegt, in diesem Fall soll die Mitgliedschaft hergestellt werden.

  1. Wählen Sie in der Application Control-Konsole unter "Bibliothek" den Knoten Richtlinien für Benutzerrechte aus.

  2. Klicken Sie im Menüband "Berechtigungsverwaltung" auf Richtlinie hinzufügen.

    Die neue Richtlinie wird im Navigationsbereich unter dem Knoten "Richtlinien für Benutzerrechte" hinzugefügt.

    Um die Richtlinien unter dem Knoten "Richtlinien für Benutzerrechte" zu sortieren, klicken Sie mit der rechten Maustaste auf den Knoten und wählen Sie dann "Aufsteigend sortieren" oder "Absteigend sortieren" aus.

  3. Klicken Sie im Arbeitsbereich auf den Namen der neuen Richtlinie, um ihn zu bearbeiten.
  4. Weisen Sie der Richtlinie einen Namen zu, z. B. Support-Desk.

  5. Klicken Sie im Menüband "Berechtigungsverwaltung" auf Gruppenaktion hinzufügen.

    Das Dialogfeld "Kontoauswahl" wird angezeigt.

  6. Geben Sie die Gruppe "Support-Desk" ein bzw. navigieren Sie zu ihr und klicken Sie auf OK.

    Die Gruppe wird zur Registerkarte "Gruppenmitgliedschaft" des Arbeitsbereichs für die Richtlinie hinzugefügt.

  7. Stellen Sie sicher, dass in der Spalte "Aktion" die Option "Mitgliedschaft hinzufügen" festgelegt ist. Dies ist die Standardeinstellung.

Zuweisen von Berechtigungen zu einer Richtlinie

  1. Wählen Sie den Knoten Bibliothek > Richtlinien für Benutzerrechte aus.
  2. Wählen Sie im Menüband Berechtigungsverwaltung die Option Richtlinie hinzufügen aus.
  3. Markieren Sie die neue Richtlinie, klicken Sie mit der rechten Maustaste darauf und wählen Sie Umbenennen aus.
  4. Weisen Sie der Richtlinie einen intuitiven Namen zu.
  5. Legen Sie auf der Registerkarte Berechtigungen eine granulare Kontrolle über die Berechtigungen fest, die der Benutzer zum Ausführen einer Anwendung besitzt.
  6. Machen Sie die zuzuweisende Berechtigung ausfindig.
  7. Wählen Sie in der Spalte Aktion das Dropdownmenü für die Berechtigung aus und dann die Option Aktivieren.

Beispiel: Erstellen einer Konfiguration, die das Herunterladen von Microsoft OneDrive erlaubt

  1. Navigieren Sie zum Knoten Bibliothek > Richtlinien für Benutzerrechte.
  2. Wählen Sie im Menüband die Schaltfläche Richtlinie hinzufügen aus.
  3. Markieren Sie die neue Richtlinie unter dem Knoten "Richtlinien für Benutzerrechte", klicken Sie mit der rechten Maustaste darauf und wählen Sie Umbenennen aus.
  4. Weisen Sie der Richtlinie einen intuitiven Namen zu, z. B. Erhöhen.
  5. Wählen Sie im Menüband die Schaltfläche Gruppenaktion hinzufügen aus.
  6. Geben Sie den Namen der Administrator-Benutzergruppe ein oder verwenden Sie die Schaltfläche "Durchsuchen", um zum betreffenden Konto zu navigieren.
  7. Stellen Sie sicher, dass in der Spalte "Aktion" die Option Mitgliedschaft hinzufügen festgelegt ist.
  1. Wählen Sie den Knoten Benutzerrechte für eine bestimmte Gruppe aus, z. B. für die Gruppe "Jeder".

  2. Wählen Sie Element hinzufügen > Anwendung > Datei aus.

    Das Dialogfeld "Datei für die Verwaltung von Benutzerrechten hinzufügen" wird angezeigt.

  3. Geben Sie den Namen der hinzuzufügenden Web-Installation in das Feld "Datei" ein, z. B. onedrive.exe. Sie können auch auf Durchsuchen klicken, um zu der Datei zu navigieren und sie auszuwählen.
  4. Klicken Sie im Feld "Richtlinie" auf das Symbol mit dem PfeiI nach unten und wählen Sie die gewünschte Richtlinie aus (in diesem Beispiel Erhöhen).
  5. Wählen Sie Richtlinie auf untergeordnete Prozesse anwenden aus.
  6. Wählen Sie Als vertrauenswürdigen Besitzer installieren aus.
  7. Klicken Sie auf Hinzufügen.
  1. Wählen Sie den Knoten Zulässige Elemente derselben Gruppe aus.

  2. Wählen Sie Element hinzufügen > Zulässig > Signaturelement aus.

    Das Dialogfeld "Signatur hinzufügen" wird angezeigt.

  3. Navigieren Sie zur Web-Installation und klicken Sie auf Öffnen.
  4. Speichern Sie die Konfiguration.

Es gibt noch weitere konfigurierbare Elemente, die zu berücksichtigen sind. Bei einer ActiveX-Installation beispielsweise müssten Sie die Ausführung der ActiveX-Datei sowie aller ausführbaren Dateien zulassen, die vom Steuerelement aufgerufen werden. Zu berücksichtigen sind Prozessregeln, vertrauenswürdige Anbieter, digitale Zertifikate, zulässige Elemente, erhöhte Elemente usw.

Berechtigungen

Die folgende Tabelle enthält eine vollständige Liste der Berechtigungen und erläutert, wie und wann diese von Systemkomponenten geprüft werden.

Berechtigung Benutzerrecht Nutzung der Berechtigung
SeAssignPrimaryTokenPrivilege Token auf Prozessebene ersetzen Wird von verschiedenen Komponenten geprüft, z. B. von NtSetInformationJob, die das Token eines Prozesses festlegen.
SeAuditPrivilege Sicherheitsprüfungen generieren Ist erforderlich, um Ereignisse für das Sicherheitsereignisprotokoll mit der ReportEvent-API zu generieren.
SeBackupPrivilege Dateien und Verzeichnisse sichern Veranlasst NTFS zum Gewähren des folgenden Zugriffs auf beliebige Dateien und Verzeichnisse, unabhängig vom vorhandenen Sicherheitsdeskriptor:

READ_CONTROL

ACCESS_SYSTEM_SECURITY

FILE_GENERIC_READ

FILE_TRAVERSE

Beim Öffnen einer Datei für die Sicherung, muss der Aufrufer das Kennzeichen FILE_FLAG_BACKUP_SEMANTICS angeben. Ermöglicht bei Verwendung auch den entsprechenden Zugriff auf Registrierungsschlüssel.
SeChangeNotifyPrivilege Durchlaufprüfung umgehen Wird von NTFS verwendet, um zu vermeiden, dass Berechtigungen auf zwischengelagerten Verzeichnissen einer mehrstufigen Verzeichnissuche geprüft werden. Wird außerdem von Dateisystemen verwendet, wenn sich Anwendungen für die Benachrichtigung von Änderungen an der Dateisystemstruktur registrieren.
SeCreateGlobalPrivilege Globale Objekte erstellen Erforderlich für einen Prozess, um Abschnitts- und symbolische Verknüpfungsobjekte in den Verzeichnissen des Objektmanager-Namespaces anzulegen, die einer anderen Sitzung zugewiesen sind als der Aufrufer.
SeCreatePagefilePrivilege Auslagerungsdatei erstellen Wird von NtCreatePagingFile geprüft, der Funktion die eine neue Auslagerungsdatei erstellt.
SeCreatePermanentPrivilege Dauerhafte gemeinsame Objekte erstellen Wird vom Objektmanager beim Erstellen eines permanenten Objekts geprüft (eines, dessen Zuordnung nicht aufgehoben wird, wenn nicht mehr darauf verwiesen wird).
SeCreateSymbolicLinkPrivilege Symbolische Verknüpfungen erstellen Wird von NTFS geprüft, wenn auf dem Dateisystem symbolische Verknüpfungen mit der CreateSymbolicLink-API erstellt werden.
SeCreateTokenPrivilege Token erstellen NtCreateToken, die Funktion, die das Tokenobjekt erstellt, prüft diese Berechtigung.
SeDebugPrivilege Programme debuggen Wenn der Aufrufer über diese Berechtigung verfügt, gewährt der Prozessverantwortliche Zugriff auf alle Prozesse oder Threads über NtOpenProcess oder NtOpenThread, unabhängig vom Sicherheitsdeskriptor des Prozesses oder Threads (mit Ausnahme der geschützten Prozesse).
SeEnableDelegationPrivilege Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Wird von den Active Directory-Diensten zum Delegieren authentifizierter Anmeldeinformationen verwendet.
SeImpersonatePrivilege Nach Authentifizierung die Identität eines Clients annehmen Der Prozessmanager prüft dies, wenn ein Thread versucht, unter Verwendung eines Tokens eine Identität zu übernehmen und der Token einen anderen Benutzer repräsentiert als der Prozesstoken des Threads.
SeIncreaseBasePriorityPrivilege Planungspriorität erhöhen Wird vom Prozessmanager geprüft und ist erforderlich, um die Priorität eines Prozesses zu erhöhen.
SeIncreaseQuotaPrivilege Speicherkontingente für einen Prozess anpassen Wird durchgesetzt, wenn sich die die Schwellenwerte des Arbeitssets eines Prozesses ändern, die ausgelagerten und nicht ausgelagerten Poolkontingente eines Prozesses und das CPU-Ratenkontingent eines Prozesses.
SeIncreaseWorkingSetPrivilege Prozessarbeitssatz vergrößern Ist erforderlich für das Aufrufen von SetProcessWorkingSetSize zum Erhöhen des Mindestarbeitssatzes.Dies erlaubt dem Prozess indirekt, unter Verwendung von VirtualLock, den Arbeitsspeicher bis zum Mindestarbeitssatz zu sperren.
SeLoadDriverPrivilege Gerätetreiber laden und entladen Wird von den Treiberfunktionen NtLoadDriver und NtUnloadDriver geprüft.
SeLockMemoryPrivilege Seiten im Speicher sperren Wird von NtLockVirtualMemory geprüft, der Kernel-Implementierung von VirtualLock.
SeMachineAccountPrivilege Workstations zu Domäne hinzufügen Wird vom Security Accounts Manager auf einem Domänencontroller geprüft, wenn ein Computerkonto in einer Domäne angelegt wird.
SeManageVolumePrivilege Volumeverwaltungsaufgaben durchführen Wird beim Öffnen eines Volumes von Dateisystemtreibern durchgesetzt. Dies ist zur Durchführung bestimmter Tätigkeiten erforderlich, etwa um Datenträger zu prüfen und zu defragmentieren.
SeProfileSingleProcessPrivilege Einzelprozessprofil Wird von Superfetch und dem Prefetcher geprüft, wenn Informationen für einen einzelnen Prozess über die NtQuerySystemInformation-API angefordert werden.
SeRelabelPrivilege Objektbezeichnung ändern Wird von SRM geprüft, wenn die Integritätsstufe eines Objekts eines anderen Benutzers erhöht wird, oder wenn versucht wird, die Integritätsstufe eines Objekts zu erhöhen, die höher ist, als die des Tokens des Aufrufers.
SeRemoteShutdownPrivilege Herunterfahren über Remote-System erzwingen Winlogon prüft, ob Remoteaufrufer der Funktion über diese Berechtigung verfügen.
SeRestorePrivilege Dateien und Verzeichnisse wiederherstellen Diese Berechtigung veranlasst NTFS zum Gewähren des folgenden Zugriffs auf beliebige Dateien und Verzeichnisse, unabhängig vom vorhandenen Sicherheitsdeskriptor:

WRITE_DAC

WRITE_OWNER

ACCESS_SYSTEM_SECURITY

FILE_GENERIC_WRITE

FILE_ADD_FILE

FILE_ADD_SUBDIRECTORY

DELETE

Beim Öffnen einer Datei für die Sicherung, muss der Aufrufer das Kennzeichen FILE_FLAG_BACKUP_SEMANTICS angeben. Ermöglicht bei Verwendung auch den entsprechenden Zugriff auf Registrierungsschlüssel.
SeSecurityPrivilege Prüf- und Sicherheitsprotokoll verwalten Ist erforderlich, um auf das SACL eines Sicherheitsdeskriptors zuzugreifen, den Sicherheitsdeskriptor zu lesen und zu löschen und das Sicherheitsereignisprotokoll zu lesen und zu löschen.

 
SeShutdownPrivilege System herunterfahren Diese Berechtigung wird geprüft von NtShutdownSystem undNtRaiseHardError, wodurch ein Systemfehler-Dialogfeld auf der interaktiven Konsole angezeigt wird.
SeSyncAgentPrivilege Verzeichnisdienstdaten synchronisieren Ist erforderlich für die Verwendung der LDAP-Verzeichnis-Synchronisierungsdienste und ermöglicht dem Inhaber das Lesen aller Objekte und Eigenschaften im Verzeichnis, unabhängig davon, mit welchem Schutz diese versehen sind.
SeSystemEnvironmentPrivilege Firmware-Umgebungsvariablen ändern Wird benötigt von NtSetSystemEnvironmentValue und NtQuerySystemEnvironmentValue, um Firmware-Umgebungsvariablen mithilfe von HAL zu ändern und zu lesen.
SeSystemProfilePrivilege Profilsystemleistung Wird von der Funktion NtCreateProfile geprüft, mit der das Profil des Systems festgelegt wird. Dies wird etwa vom Kernprof-Tool verwendet.
SeSystemtimePrivilege Systemzeit ändern Erforderlich, um Datum oder Uhrzeit zu ändern.
SeTakeOwnership Besitz von Dateien oder Objekten übernehmen Erforderlich, um den Besitz an einem Objekt zu übernehmen, ohne dass hierfür ein eigener Zugriff gewährt wird.
SeTcbPrivilege Als Teil des Betriebssystems agieren Wird vom Sicherheitsreferenzüberwacher geprüft, wenn die Sitzungs-ID in einem Token festgelegt wird, bzw. vom Plug & Play Manager bei der Erstellung und Verwaltung von Plug & Play-Ereignissen, bzw. von "BroadcastSystemMessageEx" bei entsprechendem Aufruf.
SeTimeZonePrivilege Zeitzone ändern Erforderlich, um die Zeitzone zu ändern.
SeTrustedCredManAccessPrivilege Auf Credential Manager als vertrauenswürdiger Anrufer zugreifen Wird von Credential Manager geprüft. Anhand von Anmeldeinformationen, die aus Klartext abgefragt werden können, wird verifiziert, ob der Aufrufer vertrauenswürdig ist. Wird standardmäßig nur für Winlogon gewährt.
SeUndockPrivilege Computer von Docking-Station entfernen Wird vom Plug&Play Manager im Benutzermodus geprüft, wenn das Abdocken eines Computers initiiert oder eine Anforderung auf Auswurf eines Geräts ausgegeben wird.
SeUnsolicitedInputPrivilege Unaufgeforderte Daten von Terminalgerät empfangen Diese Berechtigung wird derzeit nicht von Windows verwendet.

Verwandte Themen

Berechtigungsverwaltung