Übersicht über die Sicherheitseinstellungen zum Annehmen der Identität eines Clients nach der Authentifizierung und zum Erstellen von globalen Objekten

  • Artikel

In diesem Artikel werden die Benutzerrechte Identität eines Clients nach der Authentifizierung annehmen und Globale Objekte erstellen erläutert.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 821546

Zusammenfassung

In diesem Artikel werden die Benutzerrechte "Identität eines Clients nach der Authentifizierung annehmen" und "Globale Objekte erstellen" erläutert. Diese neuen Sicherheitseinstellungen wurden erstmals in Windows 2000 Service Pack 4 (SP4) eingeführt und tragen dazu bei, die Sicherheit in Windows 2000 zu erhöhen. Dieser Artikel beschreibt die neuen Sicherheitseinstellungen und enthält außerdem Informationen zu einigen bekannten Problemen, die auftreten können, und wie sie behandelt werden können.

Wichtig

Berücksichtigen Sie die folgenden Probleme, wenn Sie die Benutzerrechte "Identität eines Clients nach Authentifizierung annehmen" und "Globale Objekte erstellen" mithilfe der Standarddomänenrichtlinie oder Gruppenrichtlinie anwenden:

  • Die Benutzerrechte "Identität eines Clients nach der Authentifizierung annehmen" und "Globale Objekte erstellen" gelten nur für Computer, auf denen Windows 2000 SP4 oder höher ausgeführt wird.

  • Sie können die Standarddomänenrichtlinie oder Gruppenrichtlinie verwenden, um die Sicherheitseinstellungen "Identität eines Clients nach der Authentifizierung annehmen" und "Globale Objekte erstellen" auf Computer in Ihrer Umgebung anzuwenden, wenn auf den Computern Windows 2000 Service Pack 2 (SP2) oder höher ausgeführt wird. Beachten Sie, dass Sie die Sicherheitseinstellungen zwar in einer Umgebung bereitstellen können, die Windows 2000 SP2 und Windows 2000 Service Pack 3 (SP3)-basierte Computer enthält, die Sicherheitseinstellungen jedoch nur für Windows 2000 SP4-basierte Computer gelten. Die Einstellungen gelten nicht für Computer, auf denen Windows 2000 SP2 oder Windows 2000 SP3 ausgeführt wird.

  • Verwenden Sie nicht die Standarddomänenrichtlinie oder eine andere Gruppenrichtlinie, um eines oder beide dieser neuen Benutzerrechte auf Computer anzuwenden, auf denen Windows 2000 oder Windows 2000 Service Pack 1 (SP1) ausgeführt wird. Wenn Sie die Standarddomänenrichtlinie oder eine andere Gruppenrichtlinie verwenden, um diese Benutzerrechte auf Computer anzuwenden, auf denen Windows 2000 oder Windows 2000 Service Pack 1 (SP1) ausgeführt wird, tritt bei der Weitergabe der Sicherheitseinstellungen der Richtlinie ein Fehler auf. Das heißt, die Richtlinie wird nicht an die Windows 2000- oder Windows 2000 SP1-Computer weitergegeben, und Benutzerrechte werden nicht im Snap-In Lokale Sicherheitseinstellungen angezeigt. Die folgenden Szenarien können auftreten, wenn Sie die Standarddomänenrichtlinie oder eine andere Gruppenrichtlinie verwenden, um eines oder beide dieser neuen Benutzerrechte auf Computer anzuwenden, auf denen Windows 2000 oder Windows 2000 Service Pack 1 (SP1) ausgeführt wird:

    • Zusätzliche Sicherheitsrichtlinieneinstellungen, die sich im selben Gruppenrichtlinie Object befinden und auf Windows 2000- oder Windows 2000 Service Pack 1-Geräte (SP1) abzielen, werden nicht an die Zielgeräte weitergegeben.

    • Zusätzliche Sicherheitsrichtlinieneinstellungen, die mithilfe anderer Gruppenrichtlinien entlang des SDOU-Pfads (Standort, Domäne, Organisationseinheit) zu den Windows 2000- oder Windows 2000 Service Pack 1 (SP1)-Geräten angewendet werden, die weitergegeben werden.

    • Wenn eine oder beide dieser neuen Sicherheitseinstellungen auf Windows 2000- oder Windows 2000 Service Pack 1-Geräte (SP1) ausgerichtet sind, kann das lokale MMC-Sicherheits-Snap-In auf diesen Geräten keine Sicherheitseinstellungen ordnungsgemäß anzeigen. Alle Sicherheitseinstellungen, die von anderen domänenseitigen Gruppenrichtlinie Objects (die die neuen Einstellungen nicht enthalten) auf die Zielgeräte angewendet werden, gelten jedoch weiterhin für diese Zielgeräte.

  • Ebenso können Sie die Sicherheitsrichtlinie für Standarddomänencontroller verwenden, um die Sicherheitseinstellungen "Identität eines Clients nach der Authentifizierung annehmen" und "Globale Objekte erstellen" auf Domänencontroller in Ihrer Umgebung anzuwenden, wenn auf den Domänencontrollern Windows 2000 SP2 oder höher ausgeführt wird. Beachten Sie, dass Sie die Sicherheitseinstellungen zwar in einer Umgebung bereitstellen können, die Windows 2000 SP2- und Windows 2000 SP3-basierte Domänencontroller enthält, die Sicherheitseinstellungen jedoch nur für Windows 2000 SP4-basierte Domänencontroller gelten. Die Einstellungen gelten nicht für Domänencontroller, auf denen Windows 2000 SP2 oder Windows 2000 SP3 ausgeführt wird.

Problem 1: Das Benutzerrecht "Identität eines Clients nach der Authentifizierung annehmen" (SeImpersonatePrivilege)

Das Benutzerrecht "Identität eines Clients nach der Authentifizierung annehmen" (SeImpersonatePrivilege) ist eine Windows 2000-Sicherheitseinstellung, die erstmals in Windows 2000 SP4 eingeführt wurde. Standardmäßig wird Mitgliedern der lokalen Administratorgruppe des Geräts und dem lokalen Dienstkonto des Geräts das Benutzerrecht "Identität eines Clients nach der Authentifizierung annehmen" zugewiesen. Die folgenden Komponenten verfügen ebenfalls über dieses Benutzerrecht:

  • Dienste, die vom Dienststeuerungs-Manager gestartet werden
  • COM-Server (Component Object Model), die von der COM-Infrastruktur gestartet und für die Ausführung unter einem bestimmten Konto konfiguriert sind

Wenn Sie einem Benutzer das Benutzerrecht "Identität eines Clients nach der Authentifizierung annehmen" zuweisen, erlauben Sie Programmen, die im Namen dieses Benutzers ausgeführt werden, die Identität eines Clients anzugeben. Diese Sicherheitseinstellung trägt dazu bei, zu verhindern, dass nicht autorisierte Server die Identität von Clients annehmen, die über Methoden wie Remoteprozeduraufrufe (RPC) oder Named Pipes eine Verbindung damit herstellen. Weitere Informationen zur SeImpersonatePrivilege-Funktion finden Sie auf der folgenden Microsoft-Website:
Annehmen der Clientidentität nach Authentifizierung

Weitere Informationen zu Identitätswechselfunktionen (z. B. ImpersonateClient, ImpersonateLoggedOnUser und ImpersonateNamedPipeClient) finden Sie in der Dokumentation zum Microsoft Platform SDK nach SeImpersonatePrivilege. Diese Dokumentation finden Sie auf der folgenden Microsoft-Website:
Annehmen der Clientidentität nach Authentifizierung

Problembehandlung für Problem 1

  • Einige Programme, die einen Identitätswechsel verwenden, funktionieren nach der Installation von Windows 2000 SP4 möglicherweise nicht ordnungsgemäß.

    Nachdem Sie Windows 2000 Service Pack 4 (SP4) auf Ihrem Computer installiert haben, funktionieren einige Programme, die den Identitätswechsel verwenden, möglicherweise nicht ordnungsgemäß.

    Dieses Problem kann in Situationen auftreten, in denen das Benutzerkonto, das zum Ausführen des Programms verwendet wird, nicht über das Benutzerrecht "Identität eines Clients nach der Authentifizierung annehmen" verfügt.

    Auf Computern mit Windows 2000 Service Pack 3 (SP3) und früheren Versionen ist kein Benutzerrecht erforderlich, um die Identität eines Clients annehmen zu können. Daher funktionieren einige Programme, die den Identitätswechsel verwenden, nach der Installation von Windows 2000 SP4 möglicherweise nicht ordnungsgemäß.

    Um dieses Problem zu beheben, identifizieren Sie das Benutzerkonto, das zum Ausführen des Programms verwendet wird, und weisen Sie diesem Benutzerkonto dann das Benutzerrecht "Identität eines Clients nach der Authentifizierung annehmen" zu. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
    2. Erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisung von Benutzerrechten.
    3. Doppelklicken Sie im rechten Bereich auf Identität eines Clients nach der Authentifizierung annehmen.
    4. Klicken Sie im Dialogfeld Lokale Sicherheitsrichtlinieneinstellung auf Hinzufügen.
    5. Klicken Sie im Dialogfeld Benutzer oder Gruppe auswählen auf das Benutzerkonto, das Sie hinzufügen möchten, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
    6. Klicken Sie auf OK.

    Hinweis

    Um Probleme zu beheben, in denen Sie das Benutzerkonto, das zum Ausführen des Programms verwendet wird, nicht ermitteln können und in denen Sie überprüfen möchten, ob die Symptome, die bei Ihnen auftreten, durch das Benutzerrecht verursacht werden, weisen Sie der Gruppe Jeder das Benutzerrecht "Identität eines Clients nach der Authentifizierung annehmen" zu, und starten Sie dann das Programm. Wenn das Programm ordnungsgemäß funktioniert, kann das aufgetretene Problem durch die neue Sicherheitseinstellung verursacht werden.

  • Beim Debuggen einer Webanwendung in Visual Studio .NET wird die Fehlermeldung "Fehler beim Ausführen des Projekts" angezeigt.

Problem 2: Das Benutzerrecht "Globale Objekte erstellen" (SeCreateGlobalPrivilege)

Das Benutzerrecht "Globale Objekte erstellen" (SeCreateGlobalPrivilege) ist eine Windows 2000-Sicherheitseinstellung, die erstmals in Windows 2000 SP4 eingeführt wurde. Das Benutzerrecht ist für ein Benutzerkonto erforderlich, um globale Dateizuordnungs- und symbolische Verknüpfungsobjekte zu erstellen. Beachten Sie, dass Benutzer weiterhin sitzungsspezifische Objekte erstellen können, ohne diesem Benutzerrecht zugewiesen zu werden. Standardmäßig wird Mitgliedern der Gruppe Administratoren, des Systemkontos und der Dienste, die vom Dienststeuerungs-Manager gestartet werden, das Benutzerrecht "Globale Objekte erstellen" zugewiesen.

Problembehandlung für Problem 2

  • Einige Programme funktionieren nach der Installation von Windows 2000 SP4 möglicherweise nicht ordnungsgemäß.

    Nachdem Sie Windows 2000 Service Pack 4 (SP4) auf Ihrem Computer installiert haben, funktionieren einige Programme möglicherweise nicht ordnungsgemäß. Dieses Problem kann in Situationen auftreten, in denen das Benutzerkonto, das zum Ausführen des Programms verwendet wird, nicht über das Benutzerrecht "Globale Objekte erstellen" verfügt.

    Um dieses Problem zu beheben, identifizieren Sie das Benutzerkonto, das zum Ausführen des Programms verwendet wird, und weisen Sie diesem Benutzerkonto dann das Benutzerrecht "Globale Objekte erstellen" zu. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
    2. Erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisung von Benutzerrechten.
    3. Doppelklicken Sie im rechten Bereich auf Globale Objekte erstellen.
    4. Klicken Sie im Dialogfeld Lokale Sicherheitsrichtlinieneinstellung auf Hinzufügen.
    5. Klicken Sie im Dialogfeld Benutzer oder Gruppe auswählen auf das Benutzerkonto, das Sie hinzufügen möchten, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
    6. Klicken Sie auf OK.

    Hinweis

    Um Probleme zu beheben, in denen Sie das Benutzerkonto, das zum Ausführen des Programms verwendet wird, nicht ermitteln können und wo Sie überprüfen möchten, ob die Symptome, die bei Ihnen auftreten, durch das Benutzerrecht verursacht werden, weisen Sie der Gruppe Jeder das Benutzerrecht "Globale Objekte erstellen" zu, und starten Sie dann das Programm. Wenn das Programm ordnungsgemäß funktioniert, kann das aufgetretene Problem durch die neue Sicherheitseinstellung verursacht werden.

  • Wenn Sie in einem Office XP-Dokument in einer Terminaldienstesitzung nach Clips suchen, wird die Fehlermeldung "Nicht genügend Arbeitsspeicher" angezeigt.

  • Der Computer reagiert nicht mehr (hängt), wenn Sie einen Windows 2000 Server-basierten Computer nach der Installation von McAfee Parental Control neu starten.