DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 821546 - Geändert am: Mittwoch, 30. Mai 2007 - Version: 7.0

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
821546  (http://support.microsoft.com/kb/821546/EN-US/ ) Overview of the "Impersonate a Client After Authentication" and the "Create Global Objects" Security Settings (821546.KB.EN-US.2.2)
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die Benutzerrechte "Annehmen der Clientidentität nach Authentifizierung" und "Erstellen globaler Objekte". Diese neuen Sicherheitseinstellungen wurden mit Windows 2000 Service Pack 4 (SP4) eingeführt und verbessern die Sicherheit unter Windows 2000. Dieser Artikel beschreibt die neuen Sicherheitseinstellungen und enthält zusätzliche Informationen zu bekannten Problemen, die möglicherweise auftreten können, sowie mögliche Methoden zur Problembehandlung.

Wichtig: Sie sollten die folgenden Faktoren in Betracht ziehen, wenn Sie die Benutzerrechte "Annehmen der Clientidentität nach Authentifizierung" und "Erstellen globaler Objekte" mithilfe der standardmäßigen Domänenrichtlinie oder der Gruppenrichtlinie zuweisen:
  • Die Benutzerrechte "Annehmen der Clientidentität nach Authentifizierung" und "Erstellen globaler Objekte" sind nur auf Computer anwendbar, auf denen Windows 2000 SP 4 oder höher ausgeführt wird.
  • Sie können die standardmäßige Domänenrichtlinie oder die Gruppenrichtlinie verwenden, um die Sicherheitseinstellungen "Annehmen der Clientidentität nach Authentifizierung" und "Erstellen globaler Objekte" auf Computern mit Windows 2000 Service Pack 2 (SP2) oder höher anzuwenden. Allerdings sollten Sie dabei beachten, dass in einer Netzwerkumgebung mit Computern mit Windows 2000 SP2 und Windows 2000 Service Pack 3 (SP3) diese neuen Sicherheitseinstellungen nur für Windows 2000 SP4-Computer gelten. Die Einstellungen haben also keine Auswirkungen auf Computer mit Windows 2000 SP2 oder Windows 2000 SP3.
  • Verwenden Sie die standardmäßige Domänenrichtlinie oder eine andere Gruppenrichtlinie nicht, um eines oder beide der genannten neuen Benutzerrechte auf Computer mit Windows 2000 oder Windows 2000 Service Pack 1 (SP1) anzuwenden. Falls Sie die standardmäßige Domänenrichtlinie oder eine andere Gruppenrichtlinie verwenden, um diese Benutzerrechte auf Computer mit Windows 2000 oder Windows 2000 Service Pack 1 (SP1) anzuwenden, schlägt die Übermittlung der Sicherheitseinstellungen der Richtlinie fehl. Dies bedeutet, dass die Richtlinie nicht an die Windows 2000- bzw. Windows 2000 SP1-Computer übermittelt wird und daher die Benutzerrechte auch nicht im Snap-in "Lokale Sicherheitseinstellungen" angezeigt werden. Die folgenden Szenarien können zu beobachten sein, wenn Sie die standardmäßige Domänenrichtlinie oder eine andere Gruppenrichtlinie verwenden, um eines oder beide der genannten neuen Benutzerrechte auf Computer mit Windows 2000 oder Windows 2000 Service Pack 1 (SP1) anzuwenden:
    • Zusätzliche Sicherheitsrichtlinien-Einstellungen, die sich im gleichen Gruppenrichtlinienobjekt befinden und auf Computer mit Windows 2000 oder Windows 2000 Service Pack 1 (SP1) zielen, werden nicht an diese Zielcomputer übermittelt.
    • Zusätzliche Sicherheitsrichtlinien-Einstellungen, die mithilfe anderer Gruppenrichtlinien entlang der SDOU-Hierarchie (Site - Domain - Organizational Unit/Site - Domäne - Organisationseinheit) auf Computer mit Windows 2000 oder Windows 2000 Service Pack 1 (SP1) angewendet werden, werden übermittelt.
    • Zielen diese neuen Sicherheitseinstellungen (eine oder beide) auf Computer mit Windows 2000 oder Windows 2000 Service Pack 1 (SP1), kann das lokale MMC-Sicherheits-Snap-In auf diesen Computern Sicherheitseinstellungen nicht korrekt anzeigen. Alle Sicherheitseinstellungen, die von anderen Gruppenrichtlinienobjekten der Domäne (die die neuen Einstellungen nicht enthalten) auf die Zielcomputer angewendet werden, sind auf diesen Zielcomputern jedoch weiterhin gültig.
  • Sie können die Sicherheitsrichtlinie "Standard-Domänencontroller" verwenden, um die Sicherheitseinstellungen "Annehmen der Clientidentität nach Authentifizierung" und "Erstellen globaler Objekte" auf Domänencontroller in Ihrer Netzwerkumgebung anzuwenden, wenn auf den Domänencontrollern Windows 2000 SP2 oder höher ausgeführt wird. Allerdings sollten Sie dabei beachten, dass in einer Netzwerkumgebung mit Domänencontrollern mit Windows 2000 SP2 und Windows 2000 Service Pack 3 (SP3) die Sicherheitseinstellungen nur für Windows 2000 SP4-Domänencontroller gelten. Die Einstellungen haben also keine Auswirkungen auf die Domänencontroller mit Windows 2000 SP2 oder Windows 2000 SP3.

Benutzerrecht "Annehmen der Clientidentität nach Authentifizierung" (SeImpersonatePrivilege)

Das Benutzerrecht "Annehmen der Clientidentität nach Authentifizierung" (SeImpersonatePrivilege) ist eine Sicherheitseinstellung von Windows 2000, die erstmals in Windows 2000 SP4 eingebracht wurde. Standardmäßig wird der lokalen Gruppe "Administratoren" und dem lokalen Dienstkonto des Computers das Benutzerrecht "Annehmen der Clientidentität nach Authentifizierung" zugewiesen. Die folgenden Komponenten besitzen ebenfalls dieses Benutzerrecht:
  • Dienste, die durch den Dienststeuerungs-Manager gestartet werden
  • COM-Server (COM = Component Object Model), die durch die COM-Infrastruktur gestartet und unter einem bestimmten Konto ausgeführt werden
Wenn Sie das Benutzerrecht "Annehmen der Clientidentität nach Authentifizierung" einem anderen Benutzer zuweisen, gestatten Sie Programmen, die von diesem Benutzer ausgeführt werden, die Identität eines Clients anzunehmen. Diese Sicherheitseinstellung verhindert, dass nicht autorisierte Server die Identität von Clients annehmen, die mithilfe von Methoden wie RPC (Remote Procedure Calls) oder Named Pipes eine Verbindung herstellen. Weitere Informationen zur Funktion SeImpersonatePrivilege finden Sie auf folgender Microsoft-Website:
http://msdn2.microsoft.com/de-de/library/aa375728.aspx (http://msdn2.microsoft.com/de-de/library/aa375728.aspx)
Weitere Informationen zu Funktionen zum Identitätswechsel (z. B. ImpersonateClient, ImpersonateLoggedOnUser und ImpersonateNamedPipeClient) finden Sie mit dem Suchbegriff SeImpersonatePrivilege in der Microsoft Platform SDK-Dokumentation. Diese Dokumentation befindet sich auf folgender Microsoft-Website:
http://msdn2.microsoft.com/de-de/library/aa375728.aspx (http://msdn2.microsoft.com/de-de/library/aa375728.aspx)

Problembehandlung

  • Einige Programme, die Identitätswechsel verwenden, funktionieren nach der Installation von Windows 2000 SP4 möglicherweise nicht mehr

    Nach der Installation von Windows 2000 Servcie Pack 4 (SP4) funktionieren einige Programme, die Identitätswechsel verwenden, möglicherweise nicht mehr korrekt.

    Dieses Problem tritt möglicherweise dann auf, wenn das zur Ausführung des Programms verwendete Benutzerkonto nicht über das Benutzerrecht "Annehmen der Clientidentität nach Authentifizierung" verfügt.

    Für Computer, die Windows 2000 Service Pack 3 (SP3) oder früher verwenden, ist kein Benutzerrecht notwendig, um die Identität eines Clients anzunehmen. Daher funktionieren einige Programme, die mit Identitätswechseln arbeiten, nach der Installation von Windows 2000 SP4 nicht mehr ordnungsgemäß.

    Identifizieren Sie das Benutzerkonto, das zur Ausführung des Programms verwendet wird, um dieses Problem zu beheben. Anschließend sollten Sie dem Benutzerkonto das Benutzerrecht "Annehmen der Clientidentität nach Authentifizierung" zuordnen. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
    2. Erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Zuweisen von Benutzerrechten.
    3. Doppelklicken Sie im rechten Fensterbereich auf Annehmen der Clientidentität nach Authentifizierung.
    4. Klicken Sie unter Lokale Sicherheitsrichtlinie auf Hinzufügen.
    5. Klicken Sie im Dialogfeld Benutzer oder Gruppen auswählen auf das entsprechende Benutzerkonto, klicken Sie auf Hinzufügen und anschließend auf OK.
    6. Klicken Sie auf OK.
    Hinweis: In einigen Situationen können Sie nicht genau feststellen, welches Benutzerkonto zur Ausführung des Programms verwendet wird und ob Ihre Probleme durch das Benutzerrecht verursacht werden. In solchen Fällen sollten Sie das Benutzerrecht "Annehmen der Clientidentität nach Authentifizierung" der Gruppe "Jeder" zuordnen und anschließend das Programm ausführen. Wenn das Programm dann korrekt funktioniert, wird das Problem möglicherweise von der neuen Sicherheitseinstellung verursacht.
  • Fehlermeldung "Fehler beim Ausführen des Projekts" beim Debuggen einer Web-Applikation in Visual Studio .NET

    Weitere Informationen zur Lösung dieses Problems finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    821255  (http://support.microsoft.com/kb/821255/DE/ ) Fehlermeldung tritt bei dem Debuggen einer Webanwendung in Visual Studio .NET auf

Benutzerrecht "Erstellen globaler Objekte" (SeCreateGlobalPrivilege)

Das Benutzerrecht "Erstellen globaler Objekte" (SeCreateGlobalPrivilege) ist eine Sicherheitseinstellung von Windows 2000, die erstmals in Windows 2000 SP4 eingebracht wurde. Dieses Benutzerrecht wird zur Erstellung globaler Objekte in einer Terminaldienste-Sitzung benötigt. Sitzungsspezifische Objekte können auch ohne dieses Benutzerrecht angelegt werden. Standardmäßig wird das Benutzerrecht "Erstellen globaler Objekte" allen Mitgliedern der Administratoren-Gruppe, dem Systemkonto und allen Diensten, die durch den Dienststeuerungs-Manager gestartet werden, zugewiesen.

Problembehandlung

  • Einige Programme funktionieren nach der Installation von Windows 2000 SP4 nicht korrekt

    Nach der Installation von Windows 2000 Service Pack 4 (SP4) auf Ihrem Computer funktionieren einige Programme möglicherweise nicht mehr korrekt. Dieses Problem tritt auf, wenn das zur Ausführung des Programms verwendete Benutzerkonto nicht über das Benutzerrecht "Erstellen globaler Objekte" verfügt.

    Identifizieren Sie das Benutzerkonto, das zur Ausführung des Programms verwendet wird, um dieses Problem zu beheben. Anschließend sollten Sie dem Benutzerkonto das Benutzerrecht "Erstellen globaler Objekte" zuordnen. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
    2. Erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Zuweisen von Benutzerrechten.
    3. Doppelklicken Sie im rechten Fensterbereich auf Erstellen globaler Objekte.
    4. Klicken Sie unter Lokale Sicherheitsrichtlinie auf Hinzufügen.
    5. Klicken Sie im Dialogfeld Benutzer oder Gruppen auswählen auf das entsprechende Benutzerkonto, klicken Sie auf Hinzufügen und anschließend auf OK.
    6. Klicken Sie auf OK.
    Hinweis: In einigen Situationen können Sie nicht genau feststellen, welches Benutzerkonto zur Ausführung des Programms verwendet wird und ob Ihre Probleme durch das Benutzerrecht verursacht werden. In solchen Fällen sollten Sie das Benutzerrecht "Erstellen globaler Objekte" der Gruppe "Jeder" zuordnen und anschließend das Programm ausführen. Wenn das Programm dann korrekt funktioniert, wird das Problem möglicherweise von der neuen Sicherheitseinstellung verursacht.
  • Fehlermeldung "Nicht genügend Speicher" bei der Suche nach Clips in einem Office XP-Dokument innerhalb einer Terminaldienste-Sitzung

    Weitere Informationen zu diesem Problem finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    821257  (http://support.microsoft.com/kb/821257/DE/ ) Sie empfängt "nicht genügend Arbeitsspeicher" Fehlermeldung, wenn Sie während einer Terminal-Dienstsitzung nach Clips in einem Office-Dokument suchen
  • Windows 2000 Server-Computer reagiert nicht mehr (hängt), wenn Sie den Computer nach der Installation von McAfee Parental Control neu starten

    Weitere Informationen zu diesem Problem finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    823043  (http://support.microsoft.com/kb/823043/DE/ ) Windows 2000 Server-Basierter Computer kommt vor, nicht mehr zu reagieren, wenn Sie nach Ihnen Installationswebfilter von McAfee neu gestartet werden

Informationsquellen

Weitere Informationen zum Beziehen des neuesten Service Packs für Windows 2000 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
260910  (http://support.microsoft.com/kb/260910/DE/ ) Wie Sie das neueste Service Pack für Windows 2000 erhalten

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
Keywords: 
kbfix kbbug KB821546
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: