.png)
.png)
Bewährte Methoden für die Benutzerkontensteuerung in Windows 7
Letzte Aktualisierung: September 2009
Betrifft: Windows 7, Windows Server 2008 R2
 Hinweis |
|---|
Dieses Dokument enthält ausführliche Informationen zur Benutzerkontensteuerung (UAC) in Windows 7 für IT-Professionals. Hilfe und exemplarische Vorgehensweisen zur Verwendung der Benutzerkontensteuerung in Windows 7 im privaten Bereich finden Sie in den folgenden Themen:
|
Dieses Dokument enthält zusätzliche Informationen zur UAC, die IT-Professionals dabei helfen, bewährte UAC-Methoden für ihre Windows 7- und Windows Server 2008 R2-Umgebungen zu entwickeln. Dieses Dokument enthält keine umfassenden Informationen zur Verwaltung der UAC.
Deaktivieren Sie die UAC nicht
Es wird empfohlen, die UAC-Eingabeaufforderung nicht in den Gruppenrichtlinieneinstellungen oder durch Ändern der Schiebereglereinstellung zu deaktivieren.
Obwohl die Eingabeaufforderung für erhöhte Rechte der sichtbarste Teil der UAC ist, stellt die UAC auch die zugrunde liegenden Komponenten bereit, die insbesondere für Standardbenutzer mit minimalen Unterbrechungen eine erhöhte Sicherheit ermöglichen. Zwei dieser Vorteile sind:
-
Geschützter Modus in Internet Explorer
-
Datei- und Registrierungsvirtualisierung
Wenn die UAC deaktiviert wird, um die Eingabeaufforderung für erhöhte Rechte zu umgehen, werden alle UAC-Funktionen deaktiviert. Erwägen Sie stattdessen, die UAC für erhöhte Rechte ohne Eingabeaufforderung zu konfigurieren. In diesem Fall werden Anwendungen, die als Administratoranwendungen markiert wurden, und Setup-Anwendungen automatisch mit dem Token für vollen Administratorzugriff ausgeführt. Alle anderen Anwendungen werden automatisch mit dem Standardbenutzertoken ausgeführt. Die zusätzliche Funktionalität der UAC wird beibehalten.
Der UAC-Schieberegler im Unternehmen
-
Die Schiebereglereinstellung auf jedem Windows 7-Clientcomputer wird von der Gruppenrichtlinie abgeleitet.
-
Standardbenutzer können die Schiebereglereinstellungen nur anzeigen und ändern, wenn sie in der Administratoranmeldeaufforderung der Benutzerkontensteuerung die Anmeldeinformationen für ein lokales Administratorkonto angeben.
-
Für Benutzer, die sich als lokaler Administrator anmelden, wird beim Anzeigen oder Ändern der Schiebereglereinstellungen eine Zustimmungsaufforderung angezeigt.
-
Das Deaktivieren der UAC in der Gruppenrichtlinie oder Einstellen des Schiebereglers auf Nie benachrichtigen erfordert einen Neustart, durch den Gruppenrichtlinieneinstellungen aktualisiert und erneut angewendet werden.
Die folgende Tabelle enthält die entsprechenden Gruppenrichtlinieneinstellungen für jede Schiebereglereinstellung. Informationen und Empfehlungen für die Gruppenrichtlinieneinstellungen finden Sie im Abschnitt Konfigurieren von UAC-Gruppenrichtlinieneinstellungen.
| Schiebereglereinstellung | Entsprechende Gruppenrichtlinieneinstellung | ||
|---|---|---|---|
|
Immer benachrichtigen |
|
||
|
Nur benachrichtigen, wenn Änderungen am Computer von Programmen vorgenommen werden (Standard) |
|
||
|
Nur benachrichtigen, wenn Änderungen am Computer von Programmen vorgenommen werden (ohne sicheren Desktop) |
|
||
|
Nie benachrichtigen
|
|
Verwenden Sie Standardbenutzerkonten
Abgesehen von den folgenden Ausnahmen sollten Benutzer immer als Standardbenutzer ausgeführt werden:
-
Der Benutzer reist häufig und muss während der Reisen möglicherweise Anwendungen oder Druckertreiber installieren.
-
Der Benutzer verwendet Anwendungen, die Administratorrechte erfordern, und das Problem kann nicht durch eine Anwendungskompatibilitäts-Datenbank behoben werden.
Informationen zum Beheben von Anwendungskompatibilitätsproblemen finden Sie im Thema zu Benutzerkontensteuerung: Planen und Bereitstellen von Anwendungskompatibilitäts-Datenbanken für Windows 7 ("http://go.microsoft.com/fwlink/?LinkID=148442", möglicherweise in englischer Sprache).
Legen Sie das Hauptbenutzerkonto als Standardbenutzerkonto fest. Erstellen Sie für Benutzer, die Verwaltungsaufgaben auf ihren Clientcomputern ausführen dürfen, ein lokales Administratorkonto zum Ausführen dieser Verwaltungsaufgaben. Wenn ein als Standardbenutzer angemeldeter Benutzer versucht, eine Verwaltungsaufgabe auszuführen, wird die Administratoranmeldeaufforderung angezeigt. Der Benutzer muss einen Administratorbenutzernamen und ein Kennwort eingeben und dann auf Ja klicken, um die Aufgabe auszuführen.
Wenn als Standardbenutzer angemeldete Benutzer Verwaltungsaufgaben ausführen müssen, können sie auch mithilfe der schnellen Benutzerumschaltung schnell zwischen den beiden Konten wechseln. Die schnelle Benutzerumschaltung ist ein Feature in Windows, mit dem ein Benutzer zu einem anderen Benutzerkonto wechseln kann, ohne zuerst Programme oder Dateien schließen zu müssen. Der Benutzer kann schnell zum Administratorkonto wechseln, ohne seine aktuellen Aktivitäten zu unterbrechen.
So verwenden Sie die Benutzerumschaltung ohne Abmelden
-
Klicken Sie auf Start, und klicken Sie dann auf den Pfeil rechts neben Herunterfahren.
-
Klicken Sie auf Benutzer wechseln.
-
Klicken Sie auf das Benutzerkonto, das Sie verwenden möchten.
Wichtig Obwohl es nicht notwendig ist, Programme oder Dateien vor dem Umschalten zwischen Benutzern zu schließen, empfiehlt es sich, vor dem Umschalten alle geöffneten Dateien zu speichern. Wenn der Benutzer zu einem zweiten Benutzer wechselt und der zweite Benutzer den Computer herunterfährt, können alle nicht gespeicherten Änderungen des ersten Benutzers verloren gehen.
Konfigurieren Sie UAC-Gruppenrichtlinieneinstellungen
Zehn Gruppenrichtlinieneinstellungen steuern das Verhalten der UAC. Es wird empfohlen, geeignete UAC-Gruppenrichtlinieneinstellungen für die Umgebung zu konfigurieren. In der folgenden Tabelle werden die bewährte Methoden für die UAC-Gruppenrichtlinieneinstellungen beschrieben.
| Gruppenrichtlinieneinstellung | Standard | Bewährte Methode | ||||||
|---|---|---|---|---|---|---|---|---|
|
Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto |
Deaktiviert |
Wenn diese Richtlinieneinstellung deaktiviert ist, entspricht dies der Einstellung Nie benachrichtigen auf dem Schieberegler, wenn ein Benutzer als integrierter Administrator angemeldet ist. Die Verwendung des integrierten Administratorkontos wird nicht empfohlen. Wenn es jedoch verwendet wird, sollte diese Richtlinieneinstellung aktiviert werden, damit eine UAC-Eingabeaufforderung für den Benutzer angezeigt wird. Deaktivieren Sie diese Richtlinieneinstellung nur, wenn wichtige Legacy-Anwendungen vorhanden sind, die nicht UAC-kompatibel sind, und das Problem nicht mit einer anderen Lösung behoben werden kann. Informationen zum Beheben von Anwendungskompatibilitätsproblemen finden Sie im Thema zu Benutzerkontensteuerung: Planen und Bereitstellen von Anwendungskompatibilitäts-Datenbanken für Windows 7 ("http://go.microsoft.com/fwlink/?LinkID=148442", möglicherweise in englischer Sprache). |
||||||
|
Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern |
Deaktiviert |
Wenn diese Richtlinieneinstellung deaktiviert ist, wird die Eingabeaufforderung für erhöhte Rechte auf dem sicheren Desktop angezeigt. Wenn Sie vorhaben, das Remoteunterstützungsfeature zu verwenden, sollte diese Richtlinieneinstellung aktiviert werden. Ist die Richtlinieneinstellung nicht aktiviert, sieht der Remotebenutzer einen leeren Bildschirm, wenn die Eingabeaufforderung für erhöhte Rechte auf dem sicheren Desktop des Remotecomputers angezeigt wird. |
||||||
|
Benutzerkontensteuerung: Verhalten der Benutzeraufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus |
Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien |
Bei der Standardeinstellung (Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien) wird nur für die Ausführung von nicht aus Windows stammenden ausführbaren Dateien und Anwendungen eine Zustimmungsaufforderung angezeigt. Die Einstellung Eingabeaufforderung zur Zustimmung wird für weniger sichere Umgebungen empfohlen, in denen keine Anmeldeinformationen erforderlich sind. Die Einstellung Eingabeaufforderung zu Anmeldeinformationen wird für Umgebungen mit hoher Sicherheit empfohlen, in denen Anmeldeinformationen erforderlich sind, die zusätzliche Sicherheit des sicheren Desktops jedoch nicht erforderlich ist. Die Einstellung Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop wird für weniger sichere Umgebungen empfohlen, in denen keine Anmeldeinformationen erforderlich sind, die zusätzliche Sicherheit des sicheren Desktops jedoch erforderlich ist.
Die Einstellung Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop wird für Umgebungen mit hoher Sicherheit empfohlen, in denen Anmeldeinformationen und die zusätzliche Sicherheit des sicheren Desktops erforderlich sind.
Durch die Einstellung Erhöhte Rechte ohne Eingabeaufforderung wird die UAC deaktiviert. Diese Einstellung sollte nur auf einem Domänencontroller oder Server für fortgeschrittene Benutzer oder Serveradministratoren verwendet werden. Diese Einstellung sollte nicht für einen Clientcomputer angewendet werden.
|
||||||
|
Benutzerkontensteuerung: Verhalten der Benutzeraufforderung für erhöhte Rechte für Standardbenutzer |
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop |
Bei der Standardeinstellung (Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop) wird eine Administratoranmeldeaufforderung auf dem sicheren Desktop angezeigt, die Standardbenutzern das Ausführen von Aufgaben ermöglicht, für die erhöhte Rechte erforderlich sind. Der Benutzer muss gültige Anmeldeinformationen angeben, um den Vorgang fortzusetzen. Diese Einstellung wird für verwaltete Umgebungen nicht empfohlen. Für verwaltete Umgebungen wird die Einstellung Anforderungen für erhöhte Rechte automatisch ablehnen empfohlen. Anforderungen für erhöhte Rechte werden automatisch abgelehnt, und eine konfigurierbare Meldung "Zugriff verweigert" wird angezeigt. |
||||||
|
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern |
Aktiviert (privat) Deaktiviert (Unternehmen) |
Diese Richtlinieneinstellung sollte deaktiviert werden, wenn Standardbenutzer vorhanden sind und Sie die Gruppenrichtlinien-Softwareinstallation oder Microsoft System Center Configuration Manager zum Bereitstellen von Anwendungen verwenden. Wenn diese Richtlinieneinstellung deaktiviert ist, findet keine Erkennung von Anwendungsinstallationspaketen statt. |
||||||
|
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind |
Deaktiviert |
Wenn in der Umgebung Anwendungen vorhanden sind, die nicht signiert und überprüft sind, sollte diese Richtlinieneinstellung nicht aktiviert werden. Wenn diese Richtlinieneinstellung aktiviert ist, dürfen nur signierte Anwendungen und andere ausführbare Dateien ausgeführt werden. Abhängig von den Einstellungen für das Verhalten der Eingabeaufforderung für erhöhte Rechte für das Benutzerkonto wird eine Zustimmungsaufforderung oder eine Administratoranmeldeaufforderung angezeigt. |
||||||
|
Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind |
Aktiviert |
Wenn diese Richtlinieneinstellung aktiviert ist, dürfen nur UIAccess-Anwendungen ausgeführt werden, die an sicheren Orten im Dateisystem installiert sind. Sichere Speicherorte sind:
Dies ist die empfohlene Einstellung. |
||||||
|
Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen |
Aktiviert |
Diese Richtlinieneinstellung muss aktiviert und verwandte UAC-Richtlinieneinstellungen müssen entsprechend festgelegt werden, damit das integrierte Administratorkonto und alle anderen Benutzerkonten, die Mitglieder der Gruppe "Administratoren" sind, im Administratorbestätigungsmodus ausgeführt werden können. Wenn diese Einstellung deaktiviert ist, werden der Administratorbestätigungsmodus und alle verwandten UAC-Richtlinieneinstellungen deaktiviert.
|
||||||
|
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln |
Aktiviert |
Richtlinieneinstellungen für das Verhalten der Eingabeaufforderung werden für Administratoren und Standardbenutzer verwendet, um zu bestimmen, ob die Eingabeaufforderung für erhöhte Rechte auf dem interaktiven Desktop oder dem sicheren Desktop angezeigt wird. Wenn diese Richtlinieneinstellung aktiviert ist, werden alle Anforderungen für erhöhte Rechte unabhängig von den Einstellungen für das Verhalten der Eingabeaufforderung für Administratoren und Standardbenutzer auf dem sicheren Desktop angezeigt. Benutzer müssen auf die Eingabeaufforderung reagieren, um den Vorgang fortsetzen zu können. Diese Einstellung wird für verwaltete Umgebungen nicht empfohlen. Wenn diese Richtlinieneinstellung deaktiviert ist, können Anforderungen für erhöhte Rechte an den interaktiven Desktop gesendet werden. Es werden Richtlinieneinstellungen für das Verhalten der Eingabeaufforderung für Administratoren und Standardbenutzer verwendet. Die Eingabeaufforderung wird auf dem interaktiven Desktop angezeigt, bis der Benutzer darauf reagiert. Der Benutzer kann jedoch weiterhin arbeiten, ohne auf die Eingabeaufforderung zu reagieren. |
||||||
|
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren |
Aktiviert |
Wenn diese Richtlinieneinstellung aktiviert ist, werden Anwendungsschreibfehler zur Laufzeit an definierte Benutzerstandorte umgeleitet. Aktivieren Sie diese Richtlinieneinstellung in Umgebungen, in denen Legacy-Anwendungen wie unter Windows XP ausgeführt werden müssen. Wenn diese Richtlinieneinstellung deaktiviert ist, tritt ein Fehler in Anwendungen auf, die in privilegierte Ressourcen wie den Ordner "Programme" zu schreiben versuchen. Deaktivieren Sie diese Richtlinieneinstellung in Umgebungen, in denen keine Datei- und Registrierungsvirtualisierung erforderlich ist. |
Weitere Informationen zu UAC-Gruppenrichtlinieneinstellungen finden Sie in der technischen Referenz für die Benutzerkontensteuerung in Windows 7 ("http://go.microsoft.com/fwlink/?LinkID=146195", möglicherweise in englischer Sprache).
