Richtlinien-CSP – UserRights
Für Benutzerkonten oder Gruppen werden Benutzerrechte zugewiesen. Der Name der Richtlinie definiert das betreffende Benutzerrecht, und die Werte sind immer Benutzer oder Gruppen. Werte können als Sicherheits-IDs (SID) oder Zeichenfolgen dargestellt werden. Weitere Informationen finden Sie unter Bekannte SID-Strukturen.
Obwohl Zeichenfolgen für bekannte Konten und Gruppen unterstützt werden, ist es besser, SIDs zu verwenden, da Zeichenfolgen für verschiedene Sprachen lokalisiert werden. Einige Benutzerrechte lassen Dinge wie AccessFromNetwork zu, während andere Dinge wie DenyAccessFromNetwork nicht zulassen.
Allgemeines Beispiel
Hier ist ein Beispiel für das Festlegen der Benutzerberechtigung BackupFilesAndDirectories für Administratoren und authentifizierte Benutzergruppen.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>chr</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
</Target>
<Data>Authenticated UsersAdministrators</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Im Folgenden finden Sie Beispiele für Datenfelder. Das codierte 0xF000 ist das Standardtrennzeichen/Trennzeichen.
Erteilen Sie einem Benutzer über die SID ein Benutzerrecht für die Gruppe "Administratoren":
<Data>*S-1-5-32-544</Data>Gewähren Sie mehreren Gruppen (Administratoren, authentifizierte Benutzer) über die SID ein Benutzerrecht:
<Data>*S-1-5-32-544*S-1-5-11</Data>Gewähren Sie einem Benutzerrecht für mehrere Gruppen (Administratoren, authentifizierte Benutzer) über eine Mischung aus SID und Zeichenfolgen:
<Data>*S-1-5-32-544Authenticated Users</Data>Gewähren Sie einem Benutzer über Zeichenfolgen das Recht für mehrere Gruppen (authentifizierte Benutzer, Administratoren):
<Data>Authenticated UsersAdministrators</Data>Leere Eingabe gibt an, dass keine Benutzer für dieses Benutzerrecht konfiguriert sind:
<Data></Data>
Wenn Sie Intune benutzerdefinierten Profile verwenden, um UserRights-Richtlinien zuzuweisen, müssen Sie das CDATA-Tag (<![CDATA[...]]>) verwenden, um die Datenfelder umschließen. Sie können eine oder mehrere Benutzergruppen innerhalb des CDATA-Tags angeben, indem 0xF000 Sie als Trennzeichen verwenden.
Hinweis
 ist die Entitätscodierung von 0xF000.
Mit der folgenden Syntax werden beispielsweise Benutzerrechte für authentifizierte Benutzer und Replikationsgeberbenutzergruppen gewährt:
<![CDATA[Authenticated UsersReplicator]]>
Die folgende Syntax gewährt z. B. zwei bestimmten Microsoft Entra Benutzern von Contoso Benutzerrechte: user1 und user2:
<![CDATA[AzureAD\user1@contoso.comAzureAD\user2@contoso.com]]>
Die folgende Syntax gewährt z. B. einem bestimmten Benutzer oder einer bestimmten Gruppe Mithilfe der SID des Kontos oder der Gruppe Benutzerrechte:
<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>
AccessCredentialManagerAsTrustedCaller
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller
Dieses Benutzerrecht wird vom Anmeldeinformations-Manager während der Sicherung/Wiederherstellung verwendet. Keine Konten sollten über diese Berechtigung verfügen, da sie nur Winlogon zugewiesen ist. Die gespeicherten Anmeldeinformationen der Benutzer können kompromittiert werden, wenn diese Berechtigung anderen Entitäten erteilt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Access Credential Manager als vertrauenswürdiger Aufrufer |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
AccessFromNetwork
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork
Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen über das Netzwerk eine Verbindung mit dem Computer herstellen dürfen. Remotedesktopdienste sind von diesem Benutzerrecht nicht betroffen.
Hinweis
Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Auf diesen Computer vom Netzwerk aus zugreifen. |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ActAsPartOfTheOperatingSystem
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem
Dieses Benutzerrecht ermöglicht es einem Prozess, die Identität eines beliebigen Benutzers ohne Authentifizierung anzugeben. Der Prozess kann daher Zugriff auf die gleichen lokalen Ressourcen wie dieser Benutzer erhalten. Prozesse, die diese Berechtigung erfordern, sollten das LocalSystem-Konto verwenden, das diese Berechtigung bereits enthält, anstatt ein separates Benutzerkonto mit dieser speziell zugewiesenen Berechtigung zu verwenden.
Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Einsetzen als Teil des Betriebssystems |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
AdjustMemoryQuotasForProcess
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess
Anpassen von Speicherkontingenten für einen Prozess: Diese Berechtigung bestimmt, wer den maximalen Arbeitsspeicher ändern kann, der von einem Prozess genutzt werden kann. Diese Berechtigung ist für die Systemoptimierung auf Gruppen- oder Benutzerbasis nützlich.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anpassen von Speicherkontingenten für einen Prozess |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
AllowLocalLogOn
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn
Dieses Benutzerrecht bestimmt, welche Benutzer sich am Computer anmelden können.
Hinweis
Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Kompatibilitätsinformationen zu dieser Einstellung finden Sie auf der Microsoft-Website unter Lokale Anmeldung zulassen (https://go.microsoft.com/fwlink/?LinkId=24268 ).
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Lokale Anmeldung zulassen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
AllowLogOnThroughRemoteDesktop
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop
Anmelden über Remotedesktopdienste zulassen: Diese Richtlinieneinstellung bestimmt, welche Benutzer oder Gruppen über eine Remotedesktopdiensteverbindung auf den Anmeldebildschirm eines Remotegeräts zugreifen können.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anmelden über Remotedesktopdienste zulassen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
BackupFilesAndDirectories
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories
Dieses Benutzerrecht bestimmt, welche Benutzer Berechtigungen für Dateien, Verzeichnisse, Registrierung und andere persistente Objekte beim Sichern von Dateien und Verzeichnissen umgehen können. Dieses Benutzerrecht ähnelt dem Erteilen der folgenden Berechtigungen für den betreffenden Benutzer oder die betreffende Gruppe für alle Dateien und Ordner im System: Ordner durchlaufen/Datei ausführen, Lesen.
Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da Benutzer mit diesem Benutzerrecht alle Registrierungseinstellungen und -dateien lesen können, weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Sichern von Dateien und Verzeichnissen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
BypassTraverseChecking
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking
Dieses Benutzerrecht bestimmt, welche Benutzer Verzeichnisstrukturen durchlaufen können, obwohl der Benutzer möglicherweise nicht über Berechtigungen für das durchlaufene Verzeichnis verfügt. Diese Berechtigung erlaubt es dem Benutzer nicht, den Inhalt eines Verzeichnisses aufzulisten, nur um Verzeichnisse zu durchlaufen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Auslassen der durchsuchenden Überprüfung |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ChangeSystemTime
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime
Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen die Uhrzeit und das Datum auf der internen Uhr des Computers ändern können. Benutzer, denen dieses Benutzerrecht zugewiesen ist, kann sich auf die Darstellung von Ereignisprotokollen auswirken. Wenn die Systemzeit geändert wird, spiegeln die protokollierten Ereignisse diese neue Uhrzeit wider, nicht die tatsächliche Zeit, zu der die Ereignisse aufgetreten sind.
Achtung
Wenn Sie Benutzerrechte konfigurieren, werden vorhandene Benutzer oder Gruppen ersetzt, die diesen Benutzerrechten zuvor zugewiesen wurden. Das System erfordert, dass das lokale Dienstkonto (SID S-1-5-19) immer über das Recht ChangeSystemTime verfügt. Geben Sie immer den lokalen Dienst sowie alle anderen Konten an, die Sie in dieser Richtlinie konfigurieren müssen.
Wenn Sie das lokale Dienstkonto nicht einschließen, schlägt die Anforderung mit dem folgenden Fehler fehl:
| Fehlercode | Symbolischer Name | Beschreibung des Fehlers | Kopfzeile |
|---|---|---|---|
0x80070032 (Hex) |
ERROR_NOT_SUPPORTED | Die Anforderung wird nicht unterstützt. | winerror.h |
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Ändern der Systemzeit |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ChangeTimeZone
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone
Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen die Zeitzone ändern können, die vom Computer zum Anzeigen der Ortszeit verwendet wird, d. h. die Systemzeit des Computers und den Zeitzonenoffset. Die Systemzeit selbst ist absolut und wird von einer Änderung der Zeitzone nicht beeinflusst.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Ändern der Zeitzone |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
CreateGlobalObjects
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects
Diese Sicherheitseinstellung bestimmt, ob Benutzer globale Objekte erstellen können, die für alle Sitzungen verfügbar sind. Benutzer können weiterhin Objekte erstellen, die für ihre eigene Sitzung spezifisch sind, wenn sie nicht über dieses Benutzerrecht verfügen. Benutzer, die globale Objekte erstellen können, können sich auf Prozesse auswirken, die unter sitzungen anderer Benutzer ausgeführt werden, was zu Anwendungsfehlern oder Datenbeschädigungen führen kann.
Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Erstellen globaler Objekte |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
CreatePageFile
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile
Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen eine interne Anwendungsprogrammierschnittstelle (APPLICATION Programming Interface, API) aufrufen können, um die Größe einer Auslagerungsdatei zu erstellen und zu ändern. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet und muss in der Regel keinem Benutzer zugewiesen werden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Erstellen einer Auslagerungsdatei |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
CreatePermanentSharedObjects
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects
Dieses Benutzerrecht bestimmt, welche Konten von Prozessen verwendet werden können, um mithilfe des Objekt-Managers ein Verzeichnisobjekt zu erstellen. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet und ist nützlich für Kernelmoduskomponenten, die den Objektnamespace erweitern. Da Komponenten, die im Kernelmodus ausgeführt werden, diesem Benutzerrecht bereits zugewiesen sind, ist es nicht erforderlich, es explizit zuzuweisen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Erstellen von dauerhaft freigegebenen Objekten |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
CreateSymbolicLinks
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks
Dieses Benutzerrecht bestimmt, ob der Benutzer eine symbolische Verknüpfung von dem Computer erstellen kann, auf dem er angemeldet ist.
Achtung
Diese Berechtigung sollte nur vertrauenswürdigen Benutzern erteilt werden. Symbolische Verknüpfungen können in Anwendungen, die nicht zur Behandlung dieser Art von Verknüpfungen entworfen wurden, ein Sicherheitsrisiko darstellen.
Hinweis
Diese Einstellung kann in Verbindung mit einer symlink-Dateisystemeinstellung verwendet werden, die mit dem Befehlszeilenhilfsprogramm bearbeitet werden kann, um die Arten von Symlinks zu steuern, die auf dem Computer zulässig sind. Geben Sie "fsutil behavior set symlinkevaluation /?" ein. in der Befehlszeile, um weitere Informationen zu fsutil und symbolischen Verknüpfungen zu erhalten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Erstellen symbolischer Verknüpfungen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
CreateToken
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken
Dieses Benutzerrecht bestimmt, welche Konten von Prozessen verwendet werden können, um ein Token zu erstellen, das dann verwendet werden kann, um Zugriff auf lokale Ressourcen zu erhalten, wenn der Prozess eine interne Anwendungsprogrammierschnittstelle (API) verwendet, um ein Zugriffstoken zu erstellen. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Wenn dies nicht erforderlich ist, weisen Sie dieses Benutzerrecht keinem anderen Benutzer, einer Gruppe oder einem anderen Prozess als dem lokalen System zu.
Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht keinem Benutzer, einer Gruppe oder einem Prozess zu, den Sie das System nicht übernehmen möchten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Erstellen eines Tokenobjekts |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
DebugPrograms
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms
Dieses Benutzerrecht bestimmt, welche Benutzer einen Debugger an einen beliebigen Prozess oder an den Kernel anfügen können. Entwicklern, die ihre eigenen Anwendungen debuggen, muss dieses Benutzerrecht nicht zugewiesen werden. Entwickler, die neue Systemkomponenten debuggen, benötigen dazu dieses Benutzerrecht. Dieses Benutzerrecht bietet vollständigen Zugriff auf sensible und kritische Betriebssystemkomponenten.
Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Debuggen von Programmen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
DenyAccessFromNetwork
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork
Dieses Benutzerrecht bestimmt, welche Benutzer am Zugriff auf einen Computer über das Netzwerk gehindert werden. Diese Richtlinieneinstellung ersetzt die Einstellung Zugriff auf diesen Computer über die Netzwerkrichtlinie, wenn ein Benutzerkonto beiden Richtlinien unterliegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Zugriff vom Netzwerk auf diesen Computer verweigern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
DenyLocalLogOn
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn
Diese Sicherheitseinstellung bestimmt, welche Dienstkonten daran gehindert werden, einen Prozess als Dienst zu registrieren.
Hinweis
Diese Sicherheitseinstellung gilt nicht für die Konten "System", "Lokaler Dienst" oder "Netzwerkdienst".
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anmelden als Dienst verweigern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
DenyLogOnAsBatchJob
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob
Diese Sicherheitseinstellung bestimmt, welche Konten daran gehindert werden, sich als Batchauftrag anzumelden. Diese Richtlinieneinstellung ersetzt die Richtlinieneinstellung Als Batchauftrag anmelden, wenn ein Benutzerkonto beiden Richtlinien unterliegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anmelden als Batchauftrag verweigern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
DenyLogOnAsService
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService
Anmelden als Dienst verweigern: Diese Sicherheitseinstellung bestimmt, welche Dienstkonten daran gehindert werden, einen Prozess als Dienst zu registrieren. Diese Richtlinieneinstellung ersetzt die Richtlinieneinstellung Als Dienst anmelden, wenn ein Konto beiden Richtlinien unterliegt.
Hinweis
Diese Sicherheitseinstellung gilt nicht für die Konten "System", "Lokaler Dienst" oder "Netzwerkdienst". Standardwert: Keine.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anmelden als Dienst verweigern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
DenyRemoteDesktopServicesLogOn
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn
Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen sich nicht als Remotedesktopdienste-Client anmelden dürfen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anmelden über Remotedesktopdienste verweigern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
EnableDelegation
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation
Dieses Benutzerrecht bestimmt, welche Benutzer die Einstellung Vertrauenswürdig für Delegierung für ein Benutzer- oder Computerobjekt festlegen können. Der Benutzer oder das Objekt, dem bzw. dem diese Berechtigung gewährt wird, muss über Schreibzugriff auf die Kontosteuerungsflags auf dem Benutzer- oder Computerobjekt verfügen. Ein Serverprozess, der auf einem Computer (oder unter einem Benutzerkontext) ausgeführt wird, der für die Delegierung vertrauenswürdig ist, kann mithilfe delegierter Anmeldeinformationen eines Clients auf Ressourcen auf einem anderen Computer zugreifen, solange für das Clientkonto nicht das Flag "Konto kann nicht delegiert werden" festgelegt ist.
Achtung
Ein Missbrauch dieses Benutzerrechtes oder der Einstellung "Trusted for Delegation" könnte das Netzwerk anfällig für komplexe Angriffe mit Trojaner-Programmen machen, die die Identität eingehender Clients annehmen und ihre Anmeldeinformationen verwenden, um Zugriff auf Netzwerkressourcen zu erhalten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
GenerateSecurityAudits
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits
Dieses Benutzerrecht bestimmt, welche Konten von einem Prozess zum Hinzufügen von Einträgen zum Sicherheitsprotokoll verwendet werden können. Das Sicherheitsprotokoll wird verwendet, um nicht autorisierten Systemzugriff nachzuverfolgen. Ein Missbrauch dieses Benutzerrechtes kann zur Generierung vieler Überwachungsereignisse führen, die möglicherweise Beweise für einen Angriff verbergen oder zu einem Denial-of-Service-Vorgang führen. Fahren Sie das System sofort herunter, wenn die Sicherheitsrichtlinieneinstellung aktiviert ist, wenn die Sicherheitsüberwachung nicht protokolliert werden kann.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Generieren von Sicherheitsüberwachungen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ImpersonateClient
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient
Durch das Zuweisen dieses Benutzerrechtes zu einem Benutzer können Programme, die im Namen dieses Benutzers ausgeführt werden, die Identität eines Clients annehmen. Die Anforderung dieses Benutzerrechtes für diese Art von Identitätswechsel verhindert, dass ein nicht autorisierter Benutzer einen Client davon überzeugen kann, eine Verbindung (z. B. durch Remoteprozeduraufruf (RPC) oder Named Pipes) mit einem Dienst herzustellen, den er erstellt hat, und dann die Identität dieses Clients annehmen, wodurch die Berechtigungen des nicht autorisierten Benutzers auf Verwaltungs- oder Systemebene erhöht werden können.
Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.
Hinweis
Standardmäßig wird für Dienste, die vom Dienststeuerungs-Manager gestartet werden, die integrierte Dienstgruppe ihren Zugriffstoken hinzugefügt. COM-Server (Component Object Model), die von der COM-Infrastruktur gestartet werden und für die Ausführung unter einem bestimmten Konto konfiguriert sind, verfügen ebenfalls über die Dienstgruppe, die ihren Zugriffstoken hinzugefügt wird. Daher erhalten diese Dienste diesen Benutzer direkt beim Starten. Darüber hinaus kann ein Benutzer auch die Identität eines Zugriffstokens annehmen, wenn eine der folgenden Bedingungen vorliegt. 1) Das Zugriffstoken, dessen Identität angenommen wird, ist für diesen Benutzer. 2) Der Benutzer hat in dieser Anmeldesitzung das Zugriffstoken erstellt, indem er sich mit expliziten Anmeldeinformationen beim Netzwerk angemeldet hat. 3) Die angeforderte Ebene ist kleiner als Identitätswechsel, z. B. Anonym oder Identifizieren. Aufgrund dieser Faktoren benötigen Benutzer dieses Benutzerrecht normalerweise nicht.
Warnung
Wenn Sie diese Einstellung aktivieren, gehen Programme, die zuvor über die Berechtigung Identität annehmen verfügten, möglicherweise verloren, und sie werden möglicherweise nicht ausgeführt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Annehmen der Clientidentität nach Authentifizierung |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
IncreaseProcessWorkingSet
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet
Erhöhen eines Prozessarbeitssatzes. Diese Berechtigung bestimmt, welche Benutzerkonten die Größe des Arbeitssatzes eines Prozesses erhöhen oder verringern können. Der Arbeitssatz eines Prozesses ist der Satz von Speicherseiten, die derzeit für den Prozess im physischen RAM-Speicher sichtbar sind. Diese Seiten sind resident und für eine Anwendung verfügbar, ohne einen Seitenfehler auszulösen. Die minimalen und maximalen Arbeitssatzgrößen wirken sich auf das Auslagerungsverhalten des virtuellen Speichers eines Prozesses aus.
Warnung
Das Erhöhen der Arbeitssatzgröße für einen Prozess verringert die Menge des physischen Arbeitsspeichers, der für den Rest des Systems verfügbar ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Arbeitssatz eines Prozesses vergrößern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
IncreaseSchedulingPriority
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority
Dieses Benutzerrecht bestimmt, welche Konten einen Prozess mit Schreibeigenschaftszugriff auf einen anderen Prozess verwenden können, um die Ausführungspriorität zu erhöhen, die dem anderen Prozess zugewiesen ist. Ein Benutzer mit dieser Berechtigung kann die Planungspriorität eines Prozesses über die Task-Manager-Benutzeroberfläche ändern.
Warnung
Wenn Sie Fenster-Manager\Fenster-Manager-Gruppe aus dem Benutzerrecht "Terminplanungspriorität erhöhen " entfernen, funktionieren bestimmte Anwendungen und Computer nicht ordnungsgemäß. Insbesondere funktioniert der INK-Arbeitsbereich nicht ordnungsgemäß auf Uma-Laptops (Unified Memory Architecture) und Desktopcomputern, auf denen Windows 10 Version 1903 oder höher ausgeführt wird und die den Intel GFX-Treiber verwenden.
Auf betroffenen Computern blinkt die Anzeige, wenn Benutzer in INK-Arbeitsbereichen zeichnen, wie sie von Microsoft Edge, Microsoft PowerPoint oder Microsoft OneNote verwendet werden. Das Blinken tritt auf, weil die freihandbezogenen Prozesse wiederholt versuchen, die Real-Time Priorität zu verwenden, aber die Berechtigung verweigert wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anheben der Zeitplanungspriorität |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
LoadUnloadDeviceDrivers
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers
Dieses Benutzerrecht bestimmt, welche Benutzer Gerätetreiber oder anderen Code dynamisch in den Kernelmodus laden und entladen können. Dieses Benutzerrecht gilt nicht für Plug & Play Gerätetreiber. Es wird empfohlen, diese Berechtigung nicht anderen Benutzern zuzuweisen.
Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht keinem Benutzer, einer Gruppe oder einem Prozess zu, den Sie das System nicht übernehmen möchten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Laden und Entfernen von Gerätetreibern |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
LockMemory
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory
Dieses Benutzerrecht bestimmt, welche Konten einen Prozess verwenden können, um Daten im physischen Speicher zu speichern, wodurch verhindert wird, dass das System die Daten in den virtuellen Speicher auf dem Datenträger auslagern kann. Die Ausübung dieser Berechtigung könnte sich erheblich auf die Systemleistung auswirken, indem die Menge des verfügbaren Arbeitsspeichers für den zufälligen Zugriff (RAM) verringert wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Sperren von Seiten im Speicher |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
LogOnAsBatchJob
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob
Diese Sicherheitseinstellung ermöglicht die Anmeldung eines Benutzers über eine Batchwarteschlange und wird nur aus Gründen der Kompatibilität mit älteren Versionen von Windows bereitgestellt. Wenn ein Benutzer beispielsweise einen Auftrag über den Aufgabenplaner übermittelt, protokolliert der Aufgabenplaner diesen Benutzer als Batchbenutzer und nicht als interaktiver Benutzer.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anmelden als Stapelverarbeitungsauftrag |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
LogOnAsService
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService
Diese Sicherheitseinstellung ermöglicht es einem Sicherheitsprinzipal, sich als Dienst anzumelden. Dienste können so konfiguriert werden, dass sie unter den Konten "Lokales System", "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden, die über ein integriertes Recht zur Anmeldung als Dienst verfügen. Jedem Dienst, der unter einem separaten Benutzerkonto ausgeführt wird, muss das Recht zugewiesen werden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anmelden als Dienst |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ManageAuditingAndSecurityLog
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog
Dieses Benutzerrecht bestimmt, welche Benutzer Optionen für die Objektzugriffsüberwachung für einzelne Ressourcen wie Dateien, Active Directory-Objekte und Registrierungsschlüssel angeben können. Diese Sicherheitseinstellung ermöglicht es einem Benutzer nicht, die Überwachung des Datei- und Objektzugriffs im Allgemeinen zu aktivieren. Sie können überwachte Ereignisse im Sicherheitsprotokoll des Ereignisanzeige anzeigen. Ein Benutzer mit dieser Berechtigung kann auch das Sicherheitsprotokoll anzeigen und löschen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Verwalten von Überwachungs- und Sicherheitsprotokollen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
VerwaltenVolume
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume
Dieses Benutzerrecht bestimmt, welche Benutzer und Gruppen Wartungstasks auf einem Volume ausführen können, z. B. die Remote-Defragmentierung. Seien Sie vorsichtig, wenn Sie dieses Benutzerrecht zuweisen. Benutzer mit diesem Benutzerrecht können Datenträger untersuchen und Dateien in den Arbeitsspeicher erweitern, der andere Daten enthält. Wenn die erweiterten Dateien geöffnet werden, kann der Benutzer die abgerufenen Daten möglicherweise lesen und ändern.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Ausführen von Volumewartungsaufgaben |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ModifyFirmwareEnvironment
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment
Dieses Benutzerrecht bestimmt, wer Firmwareumgebungswerte ändern kann. Firmwareumgebungsvariablen sind Einstellungen, die im nicht flüchtigen RAM von Nicht-x86-basierten Computern gespeichert sind. Die Auswirkung der Einstellung hängt vom Prozessor ab. Auf x86-basierten Computern kann der einzige Firmwareumgebungswert, der durch Zuweisen dieses Benutzerrechtes geändert werden kann, die Einstellung Letzte als funktionierend bekannte Konfiguration, die nur vom System geändert werden sollte. Auf Itanium-basierten Computern werden Startinformationen in nicht flüchtigem RAM gespeichert. Benutzern muss dieses Benutzerrecht zugewiesen werden, um bootcfg.exe auszuführen und die Einstellung Standardbetriebssystem für Start und Wiederherstellung in den Systemeigenschaften zu ändern. Auf allen Computern ist dieses Benutzerrecht erforderlich, um Windows zu installieren oder zu aktualisieren.
Hinweis
Diese Sicherheitseinstellung wirkt sich nicht darauf aus, wer die Systemumgebungsvariablen und Benutzerumgebungsvariablen ändern kann, die auf der Registerkarte Erweitert der Systemeigenschaften angezeigt werden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Verändern der Firmwareumgebungsvariablen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ModifyObjectLabel
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel
Dieses Benutzerrecht bestimmt, welche Benutzerkonten die Integritätsbezeichnung von Objekten ändern können, z. B. Dateien, Registrierungsschlüssel oder Prozesse, die sich im Besitz anderer Benutzer befinden. Prozesse, die unter einem Benutzerkonto ausgeführt werden, können die Bezeichnung eines Objekts, das diesem Benutzer gehört, ohne diese Berechtigung auf eine niedrigere Ebene ändern.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Verändern einer Objektbezeichnung |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ProfileSingleProcess
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess
Dieses Benutzerrecht bestimmt, welche Benutzer Leistungsüberwachungstools verwenden können, um die Leistung von Systemprozessen zu überwachen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Erstellen eines Profils für einen Einzelprozess |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ProfileSystemPerformance
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance
Diese Sicherheitseinstellung bestimmt, welche Benutzer Leistungsüberwachungstools verwenden können, um die Leistung von Systemprozessen zu überwachen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Erstellen eines Profils der Systemleistung |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
RemoteShutdown
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown
Dieses Benutzerrecht bestimmt, welche Benutzer einen Computer von einem Remotestandort im Netzwerk herunterfahren dürfen. Ein Missbrauch dieses Nutzerrechts kann zu einem Denial-of-Service führen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Erzwingen des Herunterfahrens von einem Remotesystem |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ReplaceProcessLevelToken
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken
Diese Sicherheitseinstellung bestimmt, welche Benutzerkonten die CreateProcessAsUser()-API (Application Programming Interface) aufrufen können, damit ein Dienst einen anderen starten kann. Ein Beispiel für einen Prozess, der dieses Benutzerrecht verwendet, ist Taskplaner. Informationen zur Aufgabenplanung finden Sie unter Übersicht über aufgabenplaner.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Ersetzen eines Tokens auf Prozessebene |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
RestoreFilesAndDirectories
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories
Dieses Benutzerrecht bestimmt, welche Benutzer Berechtigungen für Dateien, Verzeichnisse, Registrierung und andere persistente Objekte beim Wiederherstellen von gesicherten Dateien und Verzeichnissen umgehen können, und bestimmt, welche Benutzer einen gültigen Sicherheitsprinzipal als Besitzer eines Objekts festlegen können. Insbesondere ist dieses Benutzerrecht vergleichbar mit dem Erteilen der folgenden Berechtigungen für den betreffenden Benutzer oder die betreffende Gruppe für alle Dateien und Ordner auf dem System: Ordner durchlaufen/Datei ausführen, Schreiben.
Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da Benutzer mit diesem Benutzerrecht Registrierungseinstellungen überschreiben, Daten ausblenden und den Besitz von Systemobjekten erlangen können, weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Wiederherstellen von Dateien und Verzeichnissen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
ShutDownTheSystem
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 24H2 [10.0.26100] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem
Diese Sicherheitseinstellung bestimmt, welche Benutzer, die lokal am Computer angemeldet sind, das Betriebssystem mithilfe des Befehls Herunterfahren herunterfahren können. Ein Missbrauch dieses Nutzerrechts kann zu einem Denial-of-Service führen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Herunterfahren des Systems |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |
TakeOwnership
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership
Dieses Benutzerrecht bestimmt, welche Benutzer den Besitz an sicherungsfähigen Objekten im System übernehmen können, einschließlich Active Directory-Objekten, Dateien und Ordnern, Druckern, Registrierungsschlüsseln, Prozessen und Threads.
Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da Besitzer von Objekten die vollständige Kontrolle über sie haben, weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: 0xF000) |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Übernehmen des Besitzes bei Dateien und Objekten |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten |