(0) exportieren Drucken
Alle erweitern

Bewährte Methoden für die Benutzerkontensteuerung in Windows 7

Letzte Aktualisierung: September 2009

Betrifft: Windows 7, Windows Server 2008 R2

noteHinweis
Dieses Dokument enthält ausführliche Informationen zur Benutzerkontensteuerung (UAC) in Windows 7 für IT-Professionals. Hilfe und exemplarische Vorgehensweisen zur Verwendung der Benutzerkontensteuerung in Windows 7 im privaten Bereich finden Sie in den folgenden Themen:

Dieses Dokument enthält zusätzliche Informationen zur UAC, die IT-Professionals dabei helfen, bewährte UAC-Methoden für ihre Windows 7- und Windows Server 2008 R2-Umgebungen zu entwickeln. Dieses Dokument enthält keine umfassenden Informationen zur Verwaltung der UAC.

Deaktivieren Sie die UAC nicht

Es wird empfohlen, die UAC-Eingabeaufforderung nicht in den Gruppenrichtlinieneinstellungen oder durch Ändern der Schiebereglereinstellung zu deaktivieren.

Obwohl die Eingabeaufforderung für erhöhte Rechte der sichtbarste Teil der UAC ist, stellt die UAC auch die zugrunde liegenden Komponenten bereit, die insbesondere für Standardbenutzer mit minimalen Unterbrechungen eine erhöhte Sicherheit ermöglichen. Zwei dieser Vorteile sind:

  • Geschützter Modus in Internet Explorer

  • Datei- und Registrierungsvirtualisierung

Wenn die UAC deaktiviert wird, um die Eingabeaufforderung für erhöhte Rechte zu umgehen, werden alle UAC-Funktionen deaktiviert. Erwägen Sie stattdessen, die UAC für erhöhte Rechte ohne Eingabeaufforderung zu konfigurieren. In diesem Fall werden Anwendungen, die als Administratoranwendungen markiert wurden, und Setup-Anwendungen automatisch mit dem Token für vollen Administratorzugriff ausgeführt. Alle anderen Anwendungen werden automatisch mit dem Standardbenutzertoken ausgeführt. Die zusätzliche Funktionalität der UAC wird beibehalten.

Der UAC-Schieberegler im Unternehmen

  • Die Schiebereglereinstellung auf jedem Windows 7-Clientcomputer wird von der Gruppenrichtlinie abgeleitet.

  • Standardbenutzer können die Schiebereglereinstellungen nur anzeigen und ändern, wenn sie in der Administratoranmeldeaufforderung der Benutzerkontensteuerung die Anmeldeinformationen für ein lokales Administratorkonto angeben.

  • Für Benutzer, die sich als lokaler Administrator anmelden, wird beim Anzeigen oder Ändern der Schiebereglereinstellungen eine Zustimmungsaufforderung angezeigt.

  • Das Deaktivieren der UAC in der Gruppenrichtlinie oder Einstellen des Schiebereglers auf Nie benachrichtigen erfordert einen Neustart, durch den Gruppenrichtlinieneinstellungen aktualisiert und erneut angewendet werden.

Die folgende Tabelle enthält die entsprechenden Gruppenrichtlinieneinstellungen für jede Schiebereglereinstellung. Informationen und Empfehlungen für die Gruppenrichtlinieneinstellungen finden Sie im Abschnitt Konfigurieren von UAC-Gruppenrichtlinieneinstellungen.

 

Schiebereglereinstellung Entsprechende Gruppenrichtlinieneinstellung

Immer benachrichtigen

  • Die Richtlinieneinstellung Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus ist auf Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop festgelegt.

  • Die Richtlinieneinstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln ist aktiviert.

Nur benachrichtigen, wenn Änderungen am Computer von Programmen vorgenommen werden (Standard)

  • Die Richtlinieneinstellung Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus ist auf Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien festgelegt.

  • Die Richtlinieneinstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln ist aktiviert.

Nur benachrichtigen, wenn Änderungen am Computer von Programmen vorgenommen werden (ohne sicheren Desktop)

  • Die Richtlinieneinstellung Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus ist auf Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien festgelegt.

  • Die Richtlinieneinstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln ist deaktiviert.

  • Die Richtlinieneinstellung Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer ist auf Eingabeaufforderung zu Anmeldeinformationen festgelegt.

Nie benachrichtigen

noteHinweis
Diese Einstellung wird erst nach einem Neustart wirksam.

  • Die Richtlinieneinstellung Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus ist auf Erhöhte Rechte ohne Eingabeaufforderung festgelegt.

  • Die Richtlinieneinstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln ist deaktiviert.

  • Die Richtlinieneinstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen ist deaktiviert.

  • Die UAC ist deaktiviert.

Verwenden Sie Standardbenutzerkonten

Abgesehen von den folgenden Ausnahmen sollten Benutzer immer als Standardbenutzer ausgeführt werden:

  • Der Benutzer reist häufig und muss während der Reisen möglicherweise Anwendungen oder Druckertreiber installieren.

  • Der Benutzer verwendet Anwendungen, die Administratorrechte erfordern, und das Problem kann nicht durch eine Anwendungskompatibilitäts-Datenbank behoben werden.

    Informationen zum Beheben von Anwendungskompatibilitätsproblemen finden Sie im Thema zu Benutzerkontensteuerung: Planen und Bereitstellen von Anwendungskompatibilitäts-Datenbanken für Windows 7 ("http://go.microsoft.com/fwlink/?LinkID=148442", möglicherweise in englischer Sprache).

Legen Sie das Hauptbenutzerkonto als Standardbenutzerkonto fest. Erstellen Sie für Benutzer, die Verwaltungsaufgaben auf ihren Clientcomputern ausführen dürfen, ein lokales Administratorkonto zum Ausführen dieser Verwaltungsaufgaben. Wenn ein als Standardbenutzer angemeldeter Benutzer versucht, eine Verwaltungsaufgabe auszuführen, wird die Administratoranmeldeaufforderung angezeigt. Der Benutzer muss einen Administratorbenutzernamen und ein Kennwort eingeben und dann auf Ja klicken, um die Aufgabe auszuführen.

Wenn als Standardbenutzer angemeldete Benutzer Verwaltungsaufgaben ausführen müssen, können sie auch mithilfe der schnellen Benutzerumschaltung schnell zwischen den beiden Konten wechseln. Die schnelle Benutzerumschaltung ist ein Feature in Windows, mit dem ein Benutzer zu einem anderen Benutzerkonto wechseln kann, ohne zuerst Programme oder Dateien schließen zu müssen. Der Benutzer kann schnell zum Administratorkonto wechseln, ohne seine aktuellen Aktivitäten zu unterbrechen.

So verwenden Sie die Benutzerumschaltung ohne Abmelden

  1. Klicken Sie auf Start, und klicken Sie dann auf den Pfeil rechts neben Herunterfahren.

  2. Klicken Sie auf Benutzer wechseln.

  3. Klicken Sie auf das Benutzerkonto, das Sie verwenden möchten.

    ImportantWichtig
    Obwohl es nicht notwendig ist, Programme oder Dateien vor dem Umschalten zwischen Benutzern zu schließen, empfiehlt es sich, vor dem Umschalten alle geöffneten Dateien zu speichern. Wenn der Benutzer zu einem zweiten Benutzer wechselt und der zweite Benutzer den Computer herunterfährt, können alle nicht gespeicherten Änderungen des ersten Benutzers verloren gehen.

Konfigurieren Sie UAC-Gruppenrichtlinieneinstellungen

Zehn Gruppenrichtlinieneinstellungen steuern das Verhalten der UAC. Es wird empfohlen, geeignete UAC-Gruppenrichtlinieneinstellungen für die Umgebung zu konfigurieren. In der folgenden Tabelle werden die bewährte Methoden für die UAC-Gruppenrichtlinieneinstellungen beschrieben.

 

Gruppenrichtlinieneinstellung Standard Bewährte Methode

Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto

Deaktiviert

Wenn diese Richtlinieneinstellung deaktiviert ist, entspricht dies der Einstellung Nie benachrichtigen auf dem Schieberegler, wenn ein Benutzer als integrierter Administrator angemeldet ist.

Die Verwendung des integrierten Administratorkontos wird nicht empfohlen. Wenn es jedoch verwendet wird, sollte diese Richtlinieneinstellung aktiviert werden, damit eine UAC-Eingabeaufforderung für den Benutzer angezeigt wird. Deaktivieren Sie diese Richtlinieneinstellung nur, wenn wichtige Legacy-Anwendungen vorhanden sind, die nicht UAC-kompatibel sind, und das Problem nicht mit einer anderen Lösung behoben werden kann. Informationen zum Beheben von Anwendungskompatibilitätsproblemen finden Sie im Thema zu Benutzerkontensteuerung: Planen und Bereitstellen von Anwendungskompatibilitäts-Datenbanken für Windows 7 ("http://go.microsoft.com/fwlink/?LinkID=148442", möglicherweise in englischer Sprache).

Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern

Deaktiviert

Wenn diese Richtlinieneinstellung deaktiviert ist, wird die Eingabeaufforderung für erhöhte Rechte auf dem sicheren Desktop angezeigt. Wenn Sie vorhaben, das Remoteunterstützungsfeature zu verwenden, sollte diese Richtlinieneinstellung aktiviert werden. Ist die Richtlinieneinstellung nicht aktiviert, sieht der Remotebenutzer einen leeren Bildschirm, wenn die Eingabeaufforderung für erhöhte Rechte auf dem sicheren Desktop des Remotecomputers angezeigt wird.

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus

Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien

Bei der Standardeinstellung (Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien) wird nur für die Ausführung von nicht aus Windows stammenden ausführbaren Dateien und Anwendungen eine Zustimmungsaufforderung angezeigt.

Die Einstellung Eingabeaufforderung zur Zustimmung wird für weniger sichere Umgebungen empfohlen, in denen keine Anmeldeinformationen erforderlich sind.

Die Einstellung Eingabeaufforderung zu Anmeldeinformationen wird für Umgebungen mit hoher Sicherheit empfohlen, in denen Anmeldeinformationen erforderlich sind, die zusätzliche Sicherheit des sicheren Desktops jedoch nicht erforderlich ist.

Die Einstellung Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop wird für weniger sichere Umgebungen empfohlen, in denen keine Anmeldeinformationen erforderlich sind, die zusätzliche Sicherheit des sicheren Desktops jedoch erforderlich ist.

noteHinweis
Einige Probleme mit Videotreibern können beim Wechseln zum sicheren Desktop zu einer Verzögerung führen.

Die Einstellung Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop wird für Umgebungen mit hoher Sicherheit empfohlen, in denen Anmeldeinformationen und die zusätzliche Sicherheit des sicheren Desktops erforderlich sind.

noteHinweis
Einige Probleme mit Videotreibern können beim Wechseln zum sicheren Desktop zu einer Verzögerung führen.

Durch die Einstellung Erhöhte Rechte ohne Eingabeaufforderung wird die UAC deaktiviert. Diese Einstellung sollte nur auf einem Domänencontroller oder Server für fortgeschrittene Benutzer oder Serveradministratoren verwendet werden. Diese Einstellung sollte nicht für einen Clientcomputer angewendet werden.

noteHinweis
Benutzer sollten das Internet nicht verwenden, wenn diese Einstellung aktiviert ist.

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung für erhöhte Rechte für Standardbenutzer

Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop

Bei der Standardeinstellung (Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop) wird eine Administratoranmeldeaufforderung auf dem sicheren Desktop angezeigt, die Standardbenutzern das Ausführen von Aufgaben ermöglicht, für die erhöhte Rechte erforderlich sind. Der Benutzer muss gültige Anmeldeinformationen angeben, um den Vorgang fortzusetzen. Diese Einstellung wird für verwaltete Umgebungen nicht empfohlen. Für verwaltete Umgebungen wird die Einstellung Anforderungen für erhöhte Rechte automatisch ablehnen empfohlen. Anforderungen für erhöhte Rechte werden automatisch abgelehnt, und eine konfigurierbare Meldung "Zugriff verweigert" wird angezeigt.

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern

Aktiviert (privat)

Deaktiviert (Unternehmen)

Diese Richtlinieneinstellung sollte deaktiviert werden, wenn Standardbenutzer vorhanden sind und Sie die Gruppenrichtlinien-Softwareinstallation oder Microsoft System Center Configuration Manager zum Bereitstellen von Anwendungen verwenden. Wenn diese Richtlinieneinstellung deaktiviert ist, findet keine Erkennung von Anwendungsinstallationspaketen statt.

Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind

Deaktiviert

Wenn in der Umgebung Anwendungen vorhanden sind, die nicht signiert und überprüft sind, sollte diese Richtlinieneinstellung nicht aktiviert werden. Wenn diese Richtlinieneinstellung aktiviert ist, dürfen nur signierte Anwendungen und andere ausführbare Dateien ausgeführt werden. Abhängig von den Einstellungen für das Verhalten der Eingabeaufforderung für erhöhte Rechte für das Benutzerkonto wird eine Zustimmungsaufforderung oder eine Administratoranmeldeaufforderung angezeigt.

Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind

Aktiviert

Wenn diese Richtlinieneinstellung aktiviert ist, dürfen nur UIAccess-Anwendungen ausgeführt werden, die an sicheren Orten im Dateisystem installiert sind. Sichere Speicherorte sind:

  • "Programme\", einschließlich Unterordner

  • "Windows\System32\"

  • "Programme (x86)\", einschließlich Unterordner (für 64-Bit-Versionen)

Dies ist die empfohlene Einstellung.

Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen

Aktiviert

Diese Richtlinieneinstellung muss aktiviert und verwandte UAC-Richtlinieneinstellungen müssen entsprechend festgelegt werden, damit das integrierte Administratorkonto und alle anderen Benutzerkonten, die Mitglieder der Gruppe "Administratoren" sind, im Administratorbestätigungsmodus ausgeführt werden können.

Wenn diese Einstellung deaktiviert ist, werden der Administratorbestätigungsmodus und alle verwandten UAC-Richtlinieneinstellungen deaktiviert.

noteHinweis
Wenn diese Richtlinieneinstellung deaktiviert ist, wird der Benutzer vom Sicherheitscenter benachrichtigt, dass die Gesamtsicherheit des Betriebssystems eingeschränkt ist.

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln

Aktiviert

Richtlinieneinstellungen für das Verhalten der Eingabeaufforderung werden für Administratoren und Standardbenutzer verwendet, um zu bestimmen, ob die Eingabeaufforderung für erhöhte Rechte auf dem interaktiven Desktop oder dem sicheren Desktop angezeigt wird.

Wenn diese Richtlinieneinstellung aktiviert ist, werden alle Anforderungen für erhöhte Rechte unabhängig von den Einstellungen für das Verhalten der Eingabeaufforderung für Administratoren und Standardbenutzer auf dem sicheren Desktop angezeigt. Benutzer müssen auf die Eingabeaufforderung reagieren, um den Vorgang fortsetzen zu können. Diese Einstellung wird für verwaltete Umgebungen nicht empfohlen.

Wenn diese Richtlinieneinstellung deaktiviert ist, können Anforderungen für erhöhte Rechte an den interaktiven Desktop gesendet werden. Es werden Richtlinieneinstellungen für das Verhalten der Eingabeaufforderung für Administratoren und Standardbenutzer verwendet. Die Eingabeaufforderung wird auf dem interaktiven Desktop angezeigt, bis der Benutzer darauf reagiert. Der Benutzer kann jedoch weiterhin arbeiten, ohne auf die Eingabeaufforderung zu reagieren.

Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren

Aktiviert

Wenn diese Richtlinieneinstellung aktiviert ist, werden Anwendungsschreibfehler zur Laufzeit an definierte Benutzerstandorte umgeleitet. Aktivieren Sie diese Richtlinieneinstellung in Umgebungen, in denen Legacy-Anwendungen wie unter Windows XP ausgeführt werden müssen.

Wenn diese Richtlinieneinstellung deaktiviert ist, tritt ein Fehler in Anwendungen auf, die in privilegierte Ressourcen wie den Ordner "Programme" zu schreiben versuchen. Deaktivieren Sie diese Richtlinieneinstellung in Umgebungen, in denen keine Datei- und Registrierungsvirtualisierung erforderlich ist.

Weitere Informationen zu UAC-Gruppenrichtlinieneinstellungen finden Sie in der technischen Referenz für die Benutzerkontensteuerung in Windows 7 ("http://go.microsoft.com/fwlink/?LinkID=146195", möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft