Mit Benutzerrechten werden den Benutzern und Gruppen in Ihrer Computerumgebung bestimmte Berechtigungen und Anmelderechte zugewiesen. Administratoren können Gruppenkonten oder einzelnen Benutzerkonten bestimmte Rechte zuweisen. Mit diesen Rechten werden Benutzer autorisiert, bestimmte Aktionen auszuführen, beispielsweise sich interaktiv an einem System anzumelden oder Dateien und Verzeichnisse zu sichern.

Statt einzelnen Benutzerkonten sollten Sie Rechte vorwiegend Gruppenkonten zuweisen, um die Benutzerkontenverwaltung zu vereinfachen. Wenn Sie einem Gruppenkonto Rechte zuweisen, werden den Benutzern, die Mitglied dieser Gruppe werden, automatisch diese Rechte zugewiesen. Diese Methode der Rechteverwaltung ist weitaus einfacher, als wenn den jeweiligen Benutzerkonten beim Erstellen des Kontos einzelne Rechte zugewiesen werden.

In der folgenden Tabelle werden die Rechte, die einem Benutzer zugewiesen werden können, aufgeführt und beschrieben.

Recht Beschreibung Standardeinstellung

Einsetzen als Teil des Betriebssystems

Ermöglicht es einem Prozess, die Identität eines beliebigen Benutzers ohne Authentifizierung anzunehmen. Der Prozess kann dadurch auf die gleichen lokalen Ressourcen wie der Benutzer zugreifen.

Für Prozesse, die dieses Recht erfordern, sollte das lokale Systemkonto verwendet werden, das dieses Recht bereits umfasst, anstatt ein separates Benutzerkonto zu verwenden, dem dieses Recht speziell zugewiesen wird. Sie müssen Benutzern dieses Recht nur dann zuweisen, wenn in Ihrer Organisation Server unter Windows 2000 oder Windows NT 4.0 verwendet werden und wenn Anwendungen verwendet werden, zwischen denen Nur-Text-Kennwörter ausgetauscht werden.

Lokales System

Hinzufügen von Arbeitsstationen zur Domäne

Hiermit wird bestimmt, welche Gruppen oder Benutzer Arbeitsstationen zu einer Domäne hinzufügen können.

Dieses Benutzerrecht ist nur für Domänencontroller gültig. Standardmäßig besitzt jeder authentifizierte Benutzer dieses Recht und kann bis zu 10 Computerkonten in der Domäne erstellen.

Durch Hinzufügen eines Computerkontos zur Domäne kann der Computer Konten und Gruppen erkennen, die in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) vorhanden sind.

Domänencontroller: Authentifizierte Benutzer

Anpassen von Speicherkontingenten für einen Prozess

Bestimmt, wer den Wert für den maximalen Arbeitsspeicher ändern kann, der von einem Prozess belegt werden kann.

Dieses Benutzerrecht ist im Standarddomänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert.

Administratoren

Sichern von Dateien und Verzeichnissen

Bestimmt, welche Benutzer die Berechtigungen für Dateien und Verzeichnisse, für die Registrierung und andere beständige Objekte umgehen können, um eine Systemsicherung auszuführen.

"Administratoren" und "Sicherungsoperatoren"

Auslassen der durchsuchenden Überprüfung

Bestimmt, welche Benutzer die Verzeichnisstrukturen durchsuchen können, obwohl der Benutzer möglicherweise keine Berechtigungen für das durchsuchte Verzeichnis besitzt. Mit diesem Recht kann der Benutzer nicht den Inhalt eines Verzeichnisses auflisten, sondern nur die Verzeichnisse durchsuchen.

Dieses Benutzerrecht ist im Standarddomänencontroller-GPO und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert.

Arbeitsstationen und Server: "Administratoren", "Sicherungsoperatoren", "Hauptbenutzer", "Benutzer" und "Jeder"

Domänencontroller: "Administratoren" und "Authentifizierte Benutzer"

Ändern der Systemzeit

Bestimmt, welche Benutzer und Gruppen die Uhrzeit und das Datum der internen Uhr des Computers ändern können. Benutzer, denen dieses Benutzerrecht zugewiesen ist, können die Darstellung von Ereignisprotokollen ändern. Wenn die Systemzeit geändert wird, wird in den protokollierten Ereignissen diese neue Uhrzeit widergespiegelt und nicht die Uhrzeit, zu der die Ereignisse tatsächlich eingetreten sind.

Dieses Benutzerrecht ist im Standarddomänencontroller-GPO und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert.

Arbeitsstationen und Server: "Administratoren" und "Hauptbenutzer"

Domänencontroller: "Administratoren" und "Serveroperatoren"

Erstellen einer Auslagerungsdatei

Ermöglicht es dem Benutzer, eine Auslagerungsdatei zu erstellen und die Größe der Auslagerungsdatei zu ändern. Dies erfolgt durch die Angabe einer Auslagerungsdateigröße für ein bestimmtes Laufwerk unter Systemeigenschaften auf der Registerkarte Erweitert unter Leistungsoptionen.

Administratoren

Erstellen eines Tokenobjekts

Ermöglicht es einem Prozess, ein Token zu erstellen, das dann für den Zugriff auf beliebige lokale Ressourcen verwendet werden kann, wenn für den Prozess NtCreateToken() oder andere APIs zum Erstellen eines Tokens verwendet werden.

Für Prozesse, die dieses Recht erfordern, sollte das lokale Systemkonto verwendet werden, das dieses Recht bereits umfasst, anstatt ein separates Benutzerkonto zu verwenden, dem dieses Recht speziell zugewiesen wird.

niemandem

Erstellen globaler Objekte

Bestimmt, mit welchen Konten in einer Terminaldienstesitzung oder Remotedesktopdienste-Sitzung globale Objekte erstellt werden können.

"Administratoren" und "Lokales System"

Erstellen von dauerhaft freigegebenen Objekten

Ermöglicht es einem Prozess, im Objekt-Manager des Betriebssystems ein Verzeichnisobjekt zu erstellen. Dieses Recht ist für Kernelmoduskomponenten nützlich, die den Objektnamespace erweitern. Komponenten, die im Kernelmodus ausgeführt werden, verfügen bereits über dieses Recht; es ist nicht erforderlich, ihnen das Recht zuzuweisen.

niemandem

Debuggen von Programmen

Bestimmt, welche Benutzer einen Debugger an einen beliebigen Prozess oder an den Kernel anfügen können. Für Entwickler, die eigene Anwendungen debuggen, ist dieses Benutzerrecht nicht erforderlich. Entwicklern, die neue Systemkomponenten debuggen, muss dieses Benutzerrecht zugewiesen werden. Dieses Benutzerrecht verleiht vollständigen Zugriff auf sensible und kritische Betriebssystemkomponenten.

"Administratoren" und "Lokales System"

Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird

Bestimmt, welche Benutzer die Einstellung Für Delegierungszwecke vertraut für einen Benutzer oder ein Computerobjekt festlegen können.

Der Benutzer oder das Objekt, dem dieses Recht erteilt wird, muss über Schreibzugriff auf die Kontensteuerungskennzeichen für den Benutzer oder das Computerobjekt verfügen. Ein Serverprozess, der auf einem Computer (oder unter einem Benutzerkontext) ausgeführt wird, dem für Delegierungszwecke vertraut wird, kann mithilfe der delegierten Anmeldeinformationen eines Clients auf die Ressourcen eines anderen Computers zugreifen, sofern für das Clientkonto nicht das Kontosteuerungskennzeichen Konto kann nicht delegiert werden festgelegt wurde.

Dieses Benutzerrecht ist im Standarddomänencontroller-GPO und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert.

Domänencontroller: Administratoren

Erzwingen des Herunterfahrens von einem Remotesystem aus

Bestimmt, welche Benutzer einen Computer von einem Remotestandort im Netzwerk aus herunterfahren können. Die missbräuchliche Verwendung dieses Benutzerrechts kann zu einem Denial-of-Service-Angriff führen.

Dieses Benutzerrecht ist im Standarddomänencontroller-GPO und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert.

Arbeitsstationen und Server: Administratoren

Domänencontroller: "Administratoren" und "Serveroperatoren"

Generieren von Sicherheitsüberwachungen

Bestimmt, welche Konten von einem Prozess verwendet werden können, um dem Sicherheitsprotokoll Einträge hinzuzufügen. Das Sicherheitsprotokoll wird verwendet, um nicht autorisierte Systemzugriffe zu verfolgen. Die missbräuchliche Verwendung dieses Benutzerrechts kann dazu führen, dass zu viele Überwachungsereignisse generiert werden. Auf diese Weise kann möglicherweise der Beweis für einen Angriff verschleiert oder ein Denial-of-Service-Angriff verursacht werden, wenn die Sicherheitsrichtlinieneinstellung Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können aktiviert ist. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können (https://go.microsoft.com/fwlink/?LinkId=136299).

Lokales System

Annehmen der Clientidentität nach Authentifizierung

Bestimmt, welche Konten die Identität anderer Konten annehmen dürfen.

"Administratoren" und "Dienst"

Anheben der Zeitplanungspriorität

Bestimmt, welche Konten einen Prozess, der über den Zugriff Eigenschaft schreiben auf einen anderen Prozess verfügt, verwenden können, um die Ausführungspriorität zu erhöhen, die dem anderen Prozess zugewiesen ist. Ein Benutzer mit diesem Recht kann die Zeitplanungspriorität eines Prozesses über die Benutzeroberfläche des Task-Managers ändern.

Administratoren

Laden und Entfernen von Gerätetreibern

Bestimmt, welche Benutzer im Kernelmodus Gerätetreiber oder anderen Code dynamisch laden und entladen können. Dieses Benutzerrecht gilt nicht für Plug & Play-Gerätetreiber. Da Gerätetreiber als vertrauenswürdige (oder im hohen Maße privilegierte) Programme ausgeführt werden, sollten Sie anderen Benutzern dieses Recht nicht zuweisen. Verwenden Sie stattdessen die StartService()-API.

Administratoren

Sperren von Seiten im Speicher

Bestimmt, welche Konten einen Prozess verwenden können, um Daten im physikalischen Speicher zu belassen. Dadurch wird verhindert, dass das System Daten in den virtuellen Speicher auf dem Datenträger auslagert. Das Ausüben dieses Rechts kann die Systemleistung erheblich beeinträchtigen, da die Größe des verfügbaren Arbeitsspeichers (RAM) verringert wird.

"Keine"; bestimmte Systemprozesse verfügen bereits über das Recht

Verwalten von Überwachungs- und Sicherheitsprotokollen

Bestimmt, welche Benutzer Objektzugriff-Überwachungsoptionen für einzelne Ressourcen angeben können, beispielsweise Dateien, Active Directory-Objekte und Registrierungsschlüssel.

Diese Sicherheitseinstellung ermöglicht einem Benutzer nicht das allgemeine Aktivieren der Datei- und Objektzugriffsüberwachung. Damit diese Art von Überwachung aktiviert wird, muss die Einstellung Objektzugriffsversuche überwachen unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinien konfiguriert werden. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Objektzugriffsversuche überwachen (https://go.microsoft.com/fwlink/?LinkId=136283).

Sie können die überwachten Ereignisse im Sicherheitsprotokoll der Ereignisanzeige anzeigen. Ein Benutzer mit diesem Recht kann das Sicherheitsprotokoll auch anzeigen und löschen.

Administratoren

Verändern der Firmwareumgebungsvariablen

Bestimmt, wer die Werte der Firmwareumgebungsvariablen ändern kann. Bei den Firmwareumgebungsvariablen handelt es sich um Einstellungen, die im permanenten RAM von nicht-x86-basierten Computern gespeichert werden. Die Auswirkung der Einstellung hängt vom Prozessor ab.

  • Auf x86-basierten Computern kann durch Zuweisen dieses Benutzerrechts nur eine Firmwareumgebungsvariable geändert werden, und zwar die Einstellung Letzte als funktionierend bekannte Konfiguration, die nur vom System geändert werden sollte.

  • Auf Itanium-basierten Computern werden die Startinformationen im permanenten RAM gespeichert. Benutzern muss dieses Benutzerrecht zugewiesen werden, damit sie Bootcfg.exe ausführen können und in Systemeigenschaften unter Starten und Wiederherstellen die Einstellung Standardbetriebssystem ändern können.

  • Dieses Benutzerrecht ist auf allen Computern erforderlich, um Windows zu installieren oder zu aktualisieren.

"Administratoren" und "Lokales System"

Erstellen eines Profils für einen Einzelprozess

Bestimmt, welche Benutzer die Leistungsüberwachungstools verwenden können, um die Leistung von Nicht-Systemprozessen zu überwachen.

"Administratoren", "Hauptbenutzer" und "Lokales System"

Erstellen eines Profils der Systemleistung

Bestimmt, welche Benutzer die Leistungsüberwachungstools verwenden können, um die Leistung von Nicht-Systemprozessen zu überwachen.

"Administratoren" und "Lokales System"

Entfernen des Computers von der Dockingstation

Bestimmt, ob ein Benutzer einen tragbaren Computer aus der Dockingstation herausnehmen kann, ohne sich anzumelden.

Wenn diese Richtlinie aktiviert ist, muss sich der Benutzer anmelden, bevor er den tragbaren Computer von der Dockingstation entfernt. Wenn diese Richtlinie deaktiviert ist, kann der Benutzer den tragbaren Computer aus der Dockingstation herausnehmen, ohne sich anzumelden.

Deaktiviert

Ersetzen eines Tokens auf Prozessebene

Bestimmt, welche Benutzerkonten einen Prozess zum Ersetzen des Standardtokens initiieren können, das einem gestarteten Unterprozess zugeordnet ist.

Dieses Benutzerrecht ist im Standarddomänencontroller-GPO und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert.

"Lokaler Dienst" und "Netzwerkdienst"

Wiederherstellen von Dateien und Verzeichnissen

Bestimmt, welche Benutzer Berechtigungen für Dateien, Verzeichnisse, Registrierung und andere beständige Objekte beim Wiederherstellen von gesicherten Dateien und Verzeichnissen umgehen können, und bestimmt, welche Benutzer einen beliebigen gültigen Sicherheitsprinzipal als Besitzer eines Objekts festlegen können.

Dieses Benutzerrecht ist insbesondere mit dem Gewähren der folgenden Berechtigungen für den jeweiligen Benutzer bzw. die jeweilige Gruppe für alle Dateien und Ordner im System vergleichbar:

  • Ordner durchsuchen/Datei ausführen

  • Schreiben

Arbeitsstationen und Server: "Administratoren" und "Sicherungsoperatoren"

Domänencontroller: "Administratoren", "Sicherungsoperatoren" und "Serveroperatoren"

Herunterfahren des Systems

Bestimmt, welche lokal am Computer angemeldeten Benutzer das Betriebssystem mit dem Befehl Herunterfahren herunterfahren können. Die missbräuchliche Verwendung dieses Benutzerrechts kann zu einem Denial-of-Service-Angriff führen.

Arbeitsstationen: "Administratoren", "Sicherungsoperatoren", "Hauptbenutzer" und "Benutzer"

Server: "Administratoren", "Sicherungsoperatoren" und "Hauptbenutzer"

Domänencontroller: "Konten-Operatoren", "Administratoren", "Sicherungsoperatoren", "Serveroperatoren" und "Druck-Operatoren"

Synchronisieren von Verzeichnisdienstdaten

Bestimmt, welche Benutzer und Gruppen berechtigt sind, alle Verzeichnisdienstdaten zu synchronisieren. Dies wird auch als Active Directory-Synchronisierung bezeichnet.

Keine

Übernehmen des Besitzes von Dateien und Objekten

Bestimmt, welche Benutzer den Besitz eines beliebigen sicherungsfähigen Objekts im System übernehmen können, beispielsweise den Besitz von Active Directory-Objekten, Dateien und Ordnern, Druckern, Registrierungsschlüsseln, Prozessen und Threads.

Administratoren

Mit einigen Rechten können für ein Objekt festgelegte Berechtigungen außer Kraft gesetzt werden. Beispielsweise verfügt ein Benutzer, der an einem Domänenkonto als Mitglied der Gruppe Sicherungsoperatoren angemeldet ist, über das Recht zum Ausführen von Sicherungsvorgängen für alle Domänenserver. Hierfür muss jedoch die Voraussetzung erfüllt sein, dass alle Dateien auf diesen Servern gelesen werden können – sogar Dateien, für die die Besitzer Berechtigungen festgelegt haben, mit denen allen Benutzern (auch den Mitgliedern der Gruppe Sicherungsoperatoren) explizit der Zugriff verweigert wird. Ein Benutzerrecht — in diesem Fall das Recht zum Ausführen einer Sicherung — hat Vorrang vor allen Datei- und Verzeichnisberechtigungen. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Sicherung und Wiederherstellung (https://go.microsoft.com/fwlink/?LinkID=131606).

Hinweis

An einer Eingabeaufforderung können Sie whoami /priv eingeben, um Ihre Rechte anzuzeigen.

Inhaltsverzeichnis