Annehmen der Clientidentität nach Authentifizierung

Wenn einem Benutzer dieses Benutzerrecht zugewiesen wird, können Programme im Auftrag dieses Benutzers ausgeführt werden, um die Identität eines Clients anzunehmen. Wenn für diese Art von Identitätswechsel dieses Benutzerrecht angefordert wird, wird verhindert, dass ein nicht autorisierter Benutzer einen Client überzeugt, eine Verbindung (zum Beispiel über einen Remoteprozeduraufruf oder Named Pipes) mit einem Dienst herzustellen, den der nicht autorisierte Benutzer erstellt hat, und dann die Identität dieses Clients anzunehmen. Auf diese Weise kann der nicht autorisierte Benutzer seine Berechtigungsebene unrechtmäßig erhöhen und Berechtigungen auf Administrator- oder Systemebene erlangen.

Achtung
Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.

Standardwert:

  • Administratoren
  • Lokaler Dienst
  • Netzwerkdienst
  • Dienst

Hinweis:
Standardmäßig verfügen Dienste, die über den Dienststeuerungs-Manager gestartet werden, über die integrierte Gruppe "Dienst", die ihren Zugriffstoken hinzugefügt wurde. Die Gruppe "Dienst" wurde auch den Zugriffstoken von COM-Servern (Component Object Model) hinzugefügt, die von der COM-Infrastruktur gestartet werden und zum Ausführen unter einem bestimmten Konto konfiguriert sind. Daher erhalten diese Dienste dieses Benutzerrecht, wenn sie gestartet werden.

Darüber hinaus kann ein Benutzer auch die Identität eines Zugriffstokens annehmen, wenn eine der folgenden Bedingungen erfüllt ist.

Das Zugriffstoken, dessen Identität angenommen wird, ist für diesen Benutzer vorgesehen.
Der Benutzer in dieser Anmeldesitzung hat das Zugriffstoken erstellt, indem er sich beim Netzwerk mit expliziten Anmeldeinformationen angemeldet hat.
Die angeforderte Ebene ist niedriger als "Identität wechseln", zum Beispiel "Anonym" oder "Identifizieren".
Aufgrund dieser Faktoren benötigen Benutzer im Allgemeinen dieses Benutzerrecht nicht.

Weitere Informationen erhalten Sie, indem Sie im Microsoft Plattform-SDK nach "SeImpersonatePrivilege" suchen.

Warnung
Wenn Sie diese Einstellung aktivieren, können Programme, die bisher über die Berechtigung "Identität wechseln" verfügt haben, dieses Privileg verlieren und daher nicht ausgeführt werden.

Regsitry Key: n/a
Registry Value: n/a
Secedit: SeImpersonatePrivilege