(0) exportieren Drucken
Alle erweitern

Schrittweise Anleitung zur Benutzerkontensteuerung in Windows

Letzte Aktualisierung: April 2011

Betrifft: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Storage Server 2008 R2, Windows Vista

Diese schrittweise Anleitung stellt die Anweisungen zur Verfügung, die zum Verwenden von Benutzerkontensteuerung (User Account Control, UAC) in einer Testumgebung erforderlich sind.

Dieses Dokument soll keine umfassende, ausführliche Beschreibung von UAC zur Verfügung stellen. Die folgenden zusätzlichen Ressourcen können beispielsweise verwendet werden:

  • Alle Benutzer dieser schrittweisen Anleitung sollten auch "Erste Schritte bei der Benutzerkontensteuerung für Windows Vista" (http://go.microsoft.com/fwlink/?LinkID=102562) lesen.

  • Weitere Informationen für IT-Experten finden Sie unter "Verstehen und Konfigurieren der Benutzerkontensteuerung in Windows Vista (http://go.microsoft.com/fwlink/?LinkId=56402).

  • Informationen für Entwickler und unabhängige Softwareanbieter zum Entwickeln von Anwendungen für Windows Vista® oder Windows Server® 2008 finden Sie unter "The Windows Vista and Windows Server 2008 Developer Story: Windows Vista Application Development Requirements for User Account Control (UAC) (http://go.microsoft.com/fwlink/?LinkId=89654).

Was ist die Benutzerkontensteuerung?

Die Benutzerkontensteuerung (User Account Control, UAC) ist eine neue Sicherheitskomponente in Windows Vista. Durch UAC können Benutzer häufig vorkommende Aufgaben als Nicht-Administratoren (in Windows Vista auch als Standardbenutzer bezeichnet) oder als Administratoren durchführen, ohne den Benutzer zu wechseln, sich abzumelden oder "Ausführen als" zu verwenden. Ein Standardbenutzerkonto entspricht einem Benutzerkonto in Windows XP. Benutzerkonten, die Mitglieder der lokalen Gruppe Administratoren sind, führen die meisten Anwendungen als Standardbenutzer aus. Die Benutzerkontensteuerung, die Benutzerfunktionen und Administratorfunktionen trennt und dabei Produktivität ermöglicht, ist eine wichtige Erweiterung für Windows Vista.

noteHinweis
UAC ist außerdem eine Komponente von Windows Server 2008.

Wenn ein Administrator sich an einen Computer mit Windows Vista anmeldet, werden dem Benutzer zwei separate Zugriffstoken zugewiesen. Zugriffstoken, die die Gruppenmitgliedschaft eines Benutzers sowie Autorisierungs- und Zugriffssteuerungsdaten enthalten, werden von Windows® für die Steuerung verwendet, auf welche Ressourcen und Aufgaben ein Benutzer zugreifen kann. Vor Windows Vista erhielt ein Administratorkonto ein Zugriffstoken, das Daten enthielt, die dem Benutzer Zugriff auf alle Windows-Ressourcen erteilten. Dieses Zugriffssteuerungsmodell umfasste keine Sicherheitsüberprüfungen, die sicherstellten, dass Benutzer wirklich eine Aufgabe ausführen wollten, für die ihr administratives Zugriffstoken erforderlich war. Dies führte dazu, dass sich bösartige Software auf Benutzercomputern installieren konnte, ohne dass die Benutzer benachrichtigt wurden. (Dieser Vorgang wird manchmal "automatische" Installation genannt.)

Da es sich bei de Benutzer um einen Administrator handelt, konnten weitere Schäden verursacht werden, weil die bösartige Software die Zugriffssteuerungsdaten des Administrators verwenden konnte, um Kerndateien des Betriebssystems zu infizieren. In einigen Fällen war es praktisch unmöglich, diese Software zu entfernen.

Der Hauptunterschied zwischen einem Standardbenutzer und einem Administrator in Windows Vista ist die Zugriffsstufe, über die der Benutzer für geschützte Kernbereiche des Computers verfügt. Administratoren können den Systemstatus ändern, die Firewall deaktivieren oder Richtlinien konfigurieren, einen Dienst oder Treiber installieren, der alle Benutzer des Computers betrifft, und Software für den gesamten Computer installieren. Standardbenutzer können dieses Aufgaben nicht durchführen. Sie können nur Software für einen einzelnen Benutzer installieren.

Microsoft hat das UAC-Feature entwickelt, damit verhindert wird, dass sich bösartige Software automatisch installieren und kann und eine computerweite Infizierung verursacht wird. Im Gegensatz zu früheren Versionen von Windows wird das vollständige Zugriffstoken des Benutzers in zwei Zugriffstoken aufgeteilt, wenn sich ein Administrator an einem Computer mit Windows Vista anmeldet: in ein vollständiges Administratorzugriffstoken und ein Zugriffstoken für Standardbenutzer. Während des Anmeldevorgangs werden die Autorisierungs- und Zugriffssteuerungskomponenten entfernt, die einen Administrator identifizieren. Das Ergebnis ist ein Standardbenutzer-Zugriffstoken. Das Standardbenutzer-Zugriffstoken wird dann zum Starten des Desktops (des Prozesses Explorer.exe) verwendet. Da alle Anwendungen ihre Zugriffssteuerungsdaten vom anfänglichen Startvorgang des Desktops erben, werden sie alle ebenfalls als Standardbenutzer ausgeführt.

Nachdem sich ein Administrator angemeldet hat, wird das vollständige Administratorzugriffstoken erst aufgerufen, wenn der Benutzer versucht, eine Verwaltungsaufgabe auszuführen.

Im Gegensatz zu diesem Vorgang wird nur ein Standardbenutzer-Zugriffstoken erstellt, wenn sich ein Standardbenutzer anmeldet. Dieses Standardbenutzer-Zugriffstoken wird dann zum Starten des Desktops verwendet.

ImportantWichtig
Da die Benutzererfahrung mithilfe der Gruppenrichtlinie konfiguriert werden kann, ergeben sich anhängig von den Richtlinieneinstellungen unterschiedliche Benutzererfahrungen. Die in Ihrer Umgebung getroffene Konfigurationsauswahl wirkt sich auf die Eingabeaufforderungen und Dialogfelder aus, die Standardbenutzern, Administratoren oder beiden Benutzertypen angezeigt werden.

An welche Zielgruppe richtet sich diese Anleitung?

Diese Anleitung richtet sich an die folgenden Zielgruppen:

  • IT-Planer und -Analysten, die das Produkt bewerten

  • Sicherheitsarchitekten, die für die Implementierung vertrauenswürdiger Computerumgebungen verantwortlich sind

  • Administratoren, die das Verhalten von UAC steuern müssen

Warum sollten diese Anleitungen verwendet werden?

Die oben aufgeführten Gruppen sollten diese Anleitungen zum Testen verwenden, wie ihre Branchenanwendungen (Line-of-Business, LOB) in Windows Vista ausgeführt werden. Weil UAC eine klare Unterscheidung zwischen Administrator- und Standardbenutzerprozessen trifft, müssen einige vorhandene Branchenanwendungen ggf. durch den ISV (Independent Software Vendor, unabhängiger Softwareanbieter) oder ein internes Toolsteam überarbeitet oder für die ausschließliche Ausführung mit erhöhten Rechten markiert werden.

In diesem Handbuch

Anforderungen für die Benutzerkontensteuerung

Es wird empfohlen, die Schritte in dieser Anleitung zunächst in einer Testumgebung auszuführen. Schrittweise Anleitungen sind nicht unbedingt dafür gedacht, Windows Vista-Features ohne Begleitdokumentation (wie im Abschnitt "Weitere Ressourcen" aufgeführt) bereitzustellen. Sie sollten nur mit Vorsicht als unabhängiges Dokument verwendet werden.

Einrichten des Testlabors

Die Laborkonfiguration, die für das Testen von UAC erforderlich ist, umfasst einen Domänencontroller mit Windows Server 2008 (oder mit Windows Server® 2003), einen Mitgliedsserver mit Windows Server 2008 (oder mit Windows Server 2003) sowie einen Clientcomputer mit Windows Vista. Der Domänencontroller, der Mitgliedsserver und der Clientcomputer sollten sich in einem isolierten Netzwerk befinden und durch einen gemeinsamen Hub oder Layer 2-Switch verbunden sein. Private Adressen sollten in der gesamten Testkonfiguration verwendet werden.

Schlüsselszenarien für die Benutzerkontensteuerung

Diese Anleitungen beziehen sich auf die folgenden Szenarien für UAC:

noteHinweis
Die in diesen Anleitungen behandelten drei Szenarien sollen Administratoren dabei unterstützen, sich mit dem UAC-Feature von Windows Vista vertraut zu machen. Sie enthalten die grundlegenden Informationen und Verfahren, die Administratoren benötigen, um mit der Verwendung von UAC zu beginnen. Informationen und Verfahren für erweiterte oder angepasste UAC-Konfigurationen sind in diesem Handbuch nicht enthalten.

Szenario 1: Einmalige Anforderung für die Ausführung einer Anwendung mit erhöhten Rechten

In Windows Vista sind UAC und der Administratorbestätigungsmodus standardmäßig aktiviert. Wenn UAC aktiviert ist, werden lokale Administratorkonten als Standardbenutzerkonten ausgeführt. Dies bedeutet, dass die Administratorrechte deaktiviert werden, wenn sich ein Mitglied der lokalen Gruppe Administratoren anmeldet. Dies gilt, bis der Benutzer versucht, eine Anwendung oder eine Aufgabe auszuführen, die über ein administratives Token verfügt. Wenn ein Mitglied der lokalen Gruppe Administratoren versucht, eine solche Anwendung oder Aufgabe zu starten, wird es aufgefordert, die Ausführung der Anwendung mit erhöhten Rechten zu bestätigen. Szenario 1 stellt das Verfahren zum einmaligen Ausführen einer Anwendung oder Aufgabe mit erhöhten Rechten ausführlich dar.

noteHinweis
Um das folgende Verfahren ausführen zu können, müssen Sie an einem Clientcomputer als Mitglied der lokalen Gruppe Administratoren angemeldet sein. Sie dürfen nicht mit dem Computer- (oder integrierten) Administratorkonto angemeldet sein, weil der Administratorbestätigungsmodus für dieses Konto nicht gilt. (Das integrierte Administratorkonto ist in neuen Installationen von Windows Vista deaktiviert.)

So fordern Sie einmalig die Ausführung einer Anwendung mit erhöhten Rechten an

  1. Starten Sie eine Anwendung, der wahrscheinlich ein administratives Token zugewiesen wurde, z. B. die Microsoft Windows-Datenträgerbereinigung. Eine Eingabeaufforderung Benutzerkontensteuerung wird angezeigt.

  2. Vergewissern Sie sich, dass die angezeigten Details der Anforderung entsprechen die Sie eingeleitet haben.

  3. Klicken Sie im Dialogfeld Benutzerkontensteuerung auf Weiter, um die Anwendung zu starten.

Szenario 2: Konfigurieren einer Anwendung für die ausschließliche Ausführung mit erhöhten Rechten

Szenario 2 ähnelt dem vorherigen Szenario, in dem Sie eine Anwendung oder einen Prozess mit erhöhten Rechten mit dem Administratorzugriffstoken ausführen möchten. In diesem Szenario möchten Sie jedoch eine Anwendung ausführen, die nicht vom Entwickler als Verwaltungsanwendung markiert oder vom Betriebssystem als solche erkannt wurde. Einige Anwendungen, z. B. interne Branchenanwendungen oder Nicht-Microsoft-Produkte, erfordern ggf. Administratorrechte, wurden jedoch nicht entsprechend markiert. In diesem Szenario markieren Sie eine Anwendung so, dass der Benutzer zu einer Bestätigung aufgefordert wird. Erfolgt diese, wird die Anwendung als Verwaltungsanwendung ausgeführt. Das folgende Verfahren führt Sie schrittweise durch diesen Vorgang.

noteHinweis
Um das folgende Verfahren ausführen zu können, müssen Sie an einem Clientcomputer als Mitglied der lokalen Gruppe Administratoren angemeldet sein. Sie dürfen nicht mit dem Computer- (oder integrierten) Administratorkonto angemeldet sein, weil der Administratorbestätigungsmodus für dieses Konto nicht gilt.

ImportantWichtig
Dieses Verfahren kann nicht verwendet werden, um zu verhindern, dass UAC eine Bestätigungseingabeaufforderung zum Ausführen einer Verwaltungsanwendung anzeigt.

So konfigurieren Sie eine Anwendung für die ausschließliche Ausführung mit erhöhten Rechten

  1. Klicken Sie mit der rechten Maustaste auf eine Anwendung, der wahrscheinlich kein administratives Token zugewiesen wurde, z. B. auf eine Textverarbeitungsanwendung.

  2. Klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Kompatibilität.

  3. Aktivieren Sie unter Berechtigungsstufe das Kontrollkästchen Programm als ein Administrator ausführen, und klicken Sie dann auf OK.

    noteHinweis
    Wenn die Option Programm als ein Administrator ausführen nicht zur Verfügung steht, bedeutet dies, dass die Anwendung für die ausschließliche Ausführung mit erhöhten Rechten blockiert ist, für die Ausführung keine Administratoranmeldeinformationen benötigt, Teil der aktuellen Version von Windows Vista ist oder Sie nicht als Administrator am Computer angemeldet sind.

Szenario 3: Konfigurieren der Benutzerkontensteuerung

Szenario 3 beschreibt einige allgemeine Aufgaben, die Administratoren während der Einrichtung und Konfiguration von Clientcomputern mit Windows Vista ausführen. Die folgenden Verfahren führen Sie schrittweise durch die folgenden Aufgaben: Deaktivieren der Benutzerkontensteuerung, Deaktivieren des Administratorbestätigungsmodus, Deaktivieren der Eingabeaufforderung für Anmeldeinformationen der Benutzerkontensteuerung zum Installieren von Anwendungen und Ändern des Verhaltens der Eingabeaufforderung für erhöhte Rechte.

ImportantWichtig
Erweiterte Konfigurationsoptionen für UAC sind in Windows Vista Starter, Windows Vista Home Basic oder Windows Vista Home Premium nicht verfügbar.

Deaktivieren der Benutzerkontensteuerung

Verwenden Sie das folgende Verfahren um die Benutzerkontensteuerung zu deaktivieren.

Um das folgende Verfahren ausführen zu können, müssen Sie in der Lage sein, sich mit den Anmeldeinformationen eines Mitglieds der lokalen Gruppe Administratoren anzumelden oder die entsprechenden Anmeldeinformationen bereitzustellen.

ImportantWichtig
Wenn Sie die Benutzerkontensteuerung deaktivieren, verringern Sie die Sicherheit Ihres Computers. Möglicherweise sind Sie dann einem erhöhten Risiko hinsichtlich bösartiger Software ausgesetzt. Es wird nicht empfohlen, die Benutzerkontensteuerung deaktiviert zu lassen.

So deaktivieren Sie die Benutzerkontensteuerung

  1. Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.

  2. Klicken Sie in der Systemsteuerung auf Benutzerkonten.

  3. Klicken Sie im Fenster Benutzerkonten auf Benutzerkonten.

  4. Klicken Sie im Fenster Benutzerkonten auf Benutzerkontensteuerung ein- oder ausschalten.

  5. Wenn die Benutzerkontensteuerung zurzeit im Administratorbestätigungsmodus konfiguriert ist, wird die Meldung Benutzerkontensteuerung angezeigt. Klicken Sie auf Weiter.

  6. Deaktivieren Sie das Kontrollkästchen Benutzerkontensteuerung verwenden, um zum Schutz des Computers beizutragen, und klicken Sie dann auf OK.

  7. Klicken Sie auf Jetzt neu starten, um die Änderungen sofort zu übernehmen, oder klicken Sie auf Später neu starten, und schließen Sie das Fenster Benutzerkonten.

Deaktivieren des Administratorbestätigungsmodus

Verwenden Sie das folgende Verfahren, um den Administratorbestätigungsmodus zu deaktivieren.

noteHinweis
Um das folgende Verfahren ausführen zu können, müssen Sie an einem Clientcomputer als lokaler Administrator angemeldet sein.

ImportantWichtig
Dieses Verfahren wird mit Windows Vista Starter, Windows Vista Home Basic oder Windows Vista Home Premium nicht unterstützt.

So deaktivieren Die den Administratorbestätigungsmodus

  1. Klicken Sie auf Start, klicken Sie auf Alle Programme, klicken Sie auf Zubehör, klicken Sie auf Ausführen, geben Sie secpol.msc im Textfeld Öffnen ein, und klicken Sie dann auf OK.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter..

  3. Doppelklicken Sie in der Konsolenstruktur Lokale Sicherheitseinstellungen auf Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.

  4. Führen Sie einen Bildlauf nach unten aus, und doppelklicken Sie dann auf Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen.

  5. Wählen Sie die Option Deaktiviert aus, und klicken Sie dann auf OK.

  6. Schließen Sie das Fenster Lokale Sicherheitseinstellungen.

Deaktivieren der Eingabeaufforderung für Anmeldeinformationen zum Installieren von Anwendungen der Benutzerkontensteuerung

Verwenden Sie das folgende Verfahren, um zu verhindern, dass UAC eine Eingabeaufforderung für Anmeldeinformationen zum Installieren von Anwendungen anzeigt.

noteHinweis
Um das folgende Verfahren ausführen zu können, müssen Sie an einem Clientcomputer als lokaler Administrator angemeldet sein.

ImportantWichtig
Dieses Verfahren wird mit Windows Vista Starter, Windows Vista Home Basic oder Windows Vista Home Premium nicht unterstützt.

So deaktivieren Sie die Eingabeaufforderung für Anmeldeinformationen zum Installieren von Anwendungen der Benutzerkontensteuerung

  1. Klicken Sie auf Start, klicken Sie auf Alle Programme, klicken Sie auf Zubehör, klicken Sie auf Ausführen, geben Sie secpol.msc im Feld Öffnen ein, und klicken Sie dann auf OK.

  2. Klicken Sie in der Konsolenstruktur Lokale Sicherheitseinstellungen auf Lokale Richtlinien und dann auf Sicherheitsoptionen.

  3. Führen Sie einen Bildlauf nach unten aus, und doppelklicken Sie dann auf Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern.

  4. Wählen Sie die Option Deaktiviert aus, und klicken Sie dann auf OK.

  5. Schließen Sie das Fenster Lokale Sicherheitseinstellungen.

Ändern des Verhaltens der Eingabeaufforderung für erhöhte Rechte

Verwenden Sie die folgenden Verfahren, um das Verhalten der Eingabeaufforderung für erhöhte Rechte für die Benutzerkontensteuerung zu ändern. Sie können das Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren und Standardbenutzer getrennt konfigurieren.

noteHinweis
Um die folgenden Verfahren ausführen zu können, müssen Sie an einem Clientcomputer als lokaler Administrator angemeldet sein.

ImportantWichtig
Diese Verfahren werden mit Windows Vista Starter, Windows Vista Home Basic oder Windows Vista Home Premium nicht unterstützt.

So ändern Sie das Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren

  1. Klicken Sie auf Start, klicken Sie auf Zubehör, klicken Sie auf Ausführen, geben Sie secpol.msc in das Feld Öffnen ein, und klicken Sie dann auf OK.

  2. Klicken Sie in der Konsolenstruktur Lokale Sicherheitseinstellungen auf Lokale Richtlinien und dann auf Sicherheitsoptionen.

  3. Führen Sie einen Bildlauf nach unten aus, und doppelklicken Sie dann auf Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren.

  4. Wählen Sie im Dropdownmenü eine der folgenden Einstellungen aus:

    • Erhöhte Rechte ohne Eingabeanforderung (Tasks, die erhöhte Rechte anfordern, werden automatisch mit erhöhten Rechten ausgeführt, ohne dass dem Administrator eine Eingabeaufforderung angezeigt wird.)

    • Aufforderung zur Eingabe der Anmeldeinformationen (Diese Einstellung erfordert die Eingabe des Benutzernamens und des Kennworts, bevor eine Anwendung oder ein Task mit erhöhten Rechten ausgeführt wird.)

    • Aufforderung zur Eingabe der Zustimmung (Standardeinstellung für Administratoren.)

  5. Klicken Sie auf OK.

  6. Schließen Sie das Fenster Lokale Sicherheitseinstellungen.

So ändern Sie das Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer

  1. Klicken Sie auf Start, klicken Sie auf Zubehör, klicken Sie auf Ausführen, geben Sie secpol.msc in das Feld Öffnen ein, und klicken Sie dann auf OK.

  2. Klicken Sie in der Konsolenstruktur Lokale Sicherheitseinstellungen auf Lokale Richtlinien und dann auf Sicherheitsoptionen.

  3. Führen Sie einen Bildlauf nach unten aus, und doppelklicken Sie dann auf Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer.

  4. Wählen Sie im Dropdownmenü eine der folgenden Einstellungen aus:

    • Anforderungen für erhöhte Rechte automatisch ablehnen (Standardbenutzer sind nicht in der Lage, Programme auszuführen, die erhöhte Rechte erfordern, und ihnen wird keine Eingabeaufforderung angezeigt.)

    • Aufforderung zur Eingabe der Anmeldeinformationen (Diese Einstellung erfordert die Eingabe des Benutzernamens und des Kennworts, bevor eine Anwendung oder ein Task mit erhöhten Rechten ausgeführt wird. Dies ist die Standardeinstellung für Standardbenutzer.)

  5. Klicken Sie auf OK.

  6. Schließen Sie das Fenster Lokale Sicherheitseinstellungen.

Problembehandlung und Support

Da UAC ein Feature von Windows Vista ist, ist Support direkt von Microsoft sowie über Benutzercommunitys verfügbar. Weitere Informationen zum Support finden Sie unter http://go.microsoft.com/fwlink/?LinkID=76619.

Weitere Ressourcen

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft