Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird

Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer die Einstellung "Für Delegierungszwecke vertraut" für einen Benutzer oder ein Computerobjekt festlegen können.

Der Benutzer oder das Objekt, dem diese Berechtigung gewährt wird, muss über Schreibzugriff auf die Kontensteuerungskennzeichen für den Benutzer oder das Objekt verfügen. Ein Serverprozess, der auf einem Computer (oder unter einem Benutzerkontext) ausgeführt wird, dem für Delegierungszwecke vertraut wird, kann mithilfe der delegierten Anmeldeinformationen eines Clients auf die Ressourcen eines anderen Computers zugreifen, sofern für das Clientkonto nicht das Kontosteuerungskennzeichen "Konto kann nicht delegiert werden" festgelegt wurde.

Dieses Benutzerrecht ist im Standarddomänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und der Server definiert.

Achtung:
Die missbräuchliche Verwendung dieses Benutzerrechts oder der Einstellung "Für Delegierungszwecke vertraut" kann das Netzwerk anfällig für raffinierte Angriffe machen, bei denen ein "Trojanisches Pferd" eingesetzt wird, um die Identität des Clients einer eingehenden Verbindung anzunehmen und dann mit den Anmeldeinformationen des Clients auf die Netzwerkressourcen zuzugreifen.

Standardwert:

  • Administratoren bei Domänencontrollern

Benutzeranmelderechte:
SeEnableDelegationPrivilege

Kommentar:
Abmeldung notwendig

Unterstützt auf:
Mindestens Windows XP, Windows Server 2003