(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Definieren der UAC-Gruppenrichtlinieneinstellungen

Letzte Aktualisierung: Juni 2010

Betrifft: Windows 7, Windows Server 2008 R2

Zehn Gruppenrichtlinieneinstellungen können für die Benutzerkontensteuerung (UAC) konfiguriert werden. In der Tabelle ist der Standardwert für jede der Richtlinieneinstellungen aufgeführt. In den folgenden Abschnitten werden die unterschiedlichen UAC-Gruppenrichtlinieneinstellungen erläutert und Empfehlungen gegeben.

 

Gruppenrichtlinieneinstellung Standard

Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto

Deaktiviert

Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern

Deaktiviert

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus

Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung für erhöhte Rechte für Standardbenutzer

Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern

Aktiviert (Standard für privaten Bereich)

Deaktiviert (Standard für Unternehmen)

Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind

Deaktiviert

Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind

Aktiviert

Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen

Aktiviert

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln

Aktiviert

Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren

Aktiviert

Weitere Informationen zu den einzelnen UAC-Gruppenrichtlinieneinstellungen finden Sie im Abschnitt zu den UAC-Gruppenrichtlinieneinstellungen in der technischen Referenz für die Benutzerkontensteuerung in Windows 7 ("http://go.microsoft.com/fwlink/?LinkID=146195", möglicherweise in englischer Sprache).

UAC-Gruppenrichtlinieneinstellungen geben IT-Abteilungen zwar die Möglichkeit, zu entscheiden, wie sie die UAC konfigurieren möchten, vor dem Erstellen einer neuen Sicherheitsrichtlinie sollten jedoch einige Aspekte durchdacht werden.

Eingabeaufforderung für erhöhte Rechte

Windows 7 enthält eine Sicherheitsrichtlinieneinstellung, mit der verhindert werden kann, dass die Eingabeaufforderung für erhöhte Rechte imitiert wird. Diese Richtlinieneinstellung (Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln) führt einen Wechsel vom aktiven Benutzerdesktop zum sicheren Desktop aus, wenn ein Prozess erhöhte Rechte anfordert. Der sichere Desktop ist nur zentralen Windows-Prozessen zugänglich, und Malware kann nicht mit dem sicheren Desktop kommunizieren. Eingabeaufforderungen für erhöhte Rechte auf dem sicheren Desktop können daher nicht von Anwendungen auf dem Benutzerdesktop gesteuert werden. Diese Richtlinieneinstellung ist in Windows 7 standardmäßig deaktiviert.

Nicht UAC-kompatible Anwendungen

Durch das Deaktivieren der Richtlinieneinstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen wird die UAC deaktiviert. Wenn die UAC deaktiviert ist, werden Dateien und Ordner für nicht UAC-kompatible Anwendungen nicht mehr an Einzelbenutzerstandorte virtualisiert, und alle lokalen Administratoren werden automatisch mit einem Token für vollen Administratorzugriff angemeldet. Wenn diese Einstellung deaktiviert ist, wird in Windows 7 das Windows XP-Benutzermodell angewendet. In einigen nicht UAC-kompatiblen Anwendungen wird u. U. empfohlen, die UAC zu deaktivieren. Dies ist jedoch nicht erforderlich, da Windows 7 die Ordner- und Registrierungsvirtualisierung für nicht UAC-kompatible Anwendungen standardmäßig enthält. Durch das Deaktivieren der UAC erhöht sich das Risiko von Malwareinstallationen auf dem Computer. Wenn diese Einstellung geändert wird, ist ein Systemneustart erforderlich, damit die Änderung wirksam wird.

Nicht verwendete UAC-Gruppenrichtlinieneinstellungen

Die Virtualisierung wird verwendet, um die ordnungsgemäße Ausführung von nicht UAC-kompatiblen Anwendungen in Windows 7 zu ermöglichen. Wenn in der Umgebung nur UAC-kompatible Anwendungen verwendet werden, ist die Gruppenrichtlinieneinstellung Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren nicht erforderlich und kann deaktiviert werden.

Da Installationsprogramme normalerweise in geschützte Bereiche wie den Ordner "Programme" schreiben, müssen Installationsprogramme beim Win32-Modell in der Regel in einem administrativen Kontext ausgeführt werden. Die Richtlinieneinstellung Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern ruft eine Eingabeaufforderung für erhöhte Rechte auf, wenn ein Installationsprogramm erkannt wird. Wenn alle verfügbaren Anwendungen mit dem Konfigurations-Manager oder einer anderen Technologie bereitgestellt werden, sind erhöhte Rechte für Installationsprogramme nicht notwendig, da die Erweiterung auf die erhöhten Rechte automatisch von dem als SYSTEM ausgeführten Installationsprogrammdienst vorgenommen wird. In einer solchen Umgebung kann diese Richtlinieneinstellung deaktiviert werden.

Laufzeitverhalten von Anwendungen

Ob eine Anwendung gestartet werden kann, hängt von der Kombination der angeforderten Ausführungsebene in der Anwendungskompatibilitäts-Datenbank (Shim) und der verfügbaren Benutzerrechte für das zum Starten der Anwendung verwendete Benutzerkonto ab. Die folgenden Tabellen zeigen das Laufzeitverhalten für eine Anwendung basierend auf der Kombination von Benutzerrechten und angewendeten Shims.

Administrator im Administratorbestätigungsmodus

In der folgenden Tabelle wird das Laufzeitverhalten einer Anwendung für einen Administrator basierend auf der Richtlinieneinstellung Benutzerkontensteuerung: Verhalten der Benutzeraufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus beschrieben, wenn unterschiedliche Shims installiert sind.

 

Übergeordnetes Prozesszugriffstoken Richtlinieneinstellung Angewendeter Shim aus der Anwendungskompatibilitäts-Datenbank

None oder RunAsInvoker

RunAsHighest

RunAsAdmin

Geschützter Administrator

Erhöhte Rechte ohne Eingabeaufforderung

Anwendung wird als Standardbenutzer ohne Eingabeaufforderung gestartet.

Anwendung wird mit einem Token für vollen Administratorzugriff und ohne Eingabeaufforderung gestartet.

Anwendung wird mit einem Token für vollen Administratorzugriff und ohne Eingabeaufforderung gestartet.

Geschützter Administrator

Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop

Anwendung wird mit einem Token für vollen Administratorzugriff und Zustimmungsaufforderung auf dem sicheren Desktop gestartet.

Anwendung wird mit einem Token für vollen Administratorzugriff und Zustimmungsaufforderung auf dem sicheren Desktop gestartet.

Geschützter Administrator

Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop

Anwendung wird mit einem Token für vollen Administratorzugriff und Administratoranmeldeaufforderung auf dem sicheren Desktop gestartet.

Anwendung wird mit einem Token für vollen Administratorzugriff und Administratoranmeldeaufforderung auf dem sicheren Desktop gestartet.

Geschützter Administrator

Eingabeaufforderung zu Anmeldeinformationen

Anwendung wird mit einem Token für vollen Administratorzugriff und Administratoranmeldeaufforderung auf dem interaktiven Desktop des Benutzers gestartet.

Anwendung wird mit einem Token für vollen Administratorzugriff und Administratoranmeldeaufforderung auf dem interaktiven Desktop des Benutzers gestartet.

Geschützter Administrator

Eingabeaufforderung zur Zustimmung

Anwendung wird mit einem Token für vollen Administratorzugriff und Zustimmungsaufforderung auf dem interaktiven Desktop des Benutzers gestartet.

Anwendung wird mit einem Token für vollen Administratorzugriff und Zustimmungsaufforderung auf dem interaktiven Desktop des Benutzers gestartet.

Geschützter Administrator

Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien

Nicht-Windows-Anwendung wird als Standardbenutzer gestartet.

Nicht-Windows-Anwendung wird mit einem Token für vollen Administratorzugriff und Zustimmungsaufforderung auf dem interaktiven Desktop des Benutzers gestartet.

Nicht-Windows-Anwendung wird mit einem Token für vollen Administratorzugriff und Zustimmungsaufforderung auf dem interaktiven Desktop des Benutzers gestartet.

Administrator (UAC ist deaktiviert)

Nicht zutreffend

Anwendung wird mit einem Token für vollen Administratorzugriff und ohne Eingabeaufforderung gestartet.

Anwendung wird mit einem Token für vollen Administratorzugriff und ohne Eingabeaufforderung gestartet.

Anwendung wird mit einem Token für vollen Administratorzugriff und ohne Eingabeaufforderung gestartet.

Standardbenutzerkonto

In der folgenden Tabelle wird das Laufzeitverhalten einer Anwendung für einen Standardbenutzer basierend auf der Richtlinieneinstellung Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer beschrieben, wenn unterschiedliche Shims installiert sind.

 

Übergeordnetes Prozesszugriffstoken Zustimmungsrichtlinie Angewendeter Shim aus der Anwendungskompatibilitäts-Datenbank

RunAsInvoker

RunAsHighest

RunAsAdmin

Standardbenutzer

Anforderungen für erhöhte Rechte automatisch ablehnen

Anwendung wird als Standardbenutzer gestartet.

Anwendung wird als Standardbenutzer gestartet.

Anwendung wird nicht gestartet.

Standardbenutzer

Eingabeaufforderung zu Anmeldeinformationen

Anwendung wird als Standardbenutzer gestartet.

Anwendung wird als Standardbenutzer gestartet.

Eingabeaufforderung zu Administratoranmeldeinformationen wird auf dem interaktiven Desktop des Benutzers angezeigt.

Standardbenutzer

Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop

Anwendung wird als Standardbenutzer gestartet.

Anwendung wird als Standardbenutzer gestartet.

Eingabeaufforderung zu Administratoranmeldeinformationen wird auf dem sicheren Desktop angezeigt.

Standardbenutzer (UAC ist deaktiviert)

Nicht zutreffend

Anwendung wird als Standardbenutzer gestartet.

Anwendung wird als Standardbenutzer gestartet.

Anwendung wird nicht gestartet.

Standardbenutzer mit zusätzlichen Rechten (z. B. Sicherungs-Operator)

In der folgenden Tabelle wird das Laufzeitverhalten einer Anwendung für einen Standardbenutzer mit zusätzlichen Rechten basierend auf der Richtlinieneinstellung Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer beschrieben, wenn unterschiedliche Shims installiert sind.

 

Übergeordnetes Prozesszugriffstoken Zustimmungsrichtlinie Angewendeter Shim aus der Anwendungskompatibilitäts-Datenbank

RunAsInvoker

RunAsHighest

RunAsAdmin

Standardbenutzer

Keine Eingabeaufforderung

Anwendung wird als Standardbenutzer gestartet.

Anwendung wird nicht gestartet.

Anwendung wird nicht gestartet.

Standardbenutzer

Eingabeaufforderung zu Anmeldeinformationen

Anwendung wird als Standardbenutzer gestartet.

Eingabeaufforderung zu Anmeldeinformationen wird angezeigt, und Anwendung wird als Standardbenutzer mit zusätzlichen Rechten ausgeführt.

Eingabeaufforderung zu Administratoranmeldeinformationen wird auf dem interaktiven Desktop des Benutzers angezeigt.

Standardbenutzer

Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop

Anwendung wird als Standardbenutzer gestartet.

Eingabeaufforderung zu Anmeldeinformationen wird angezeigt, und Anwendung wird als Standardbenutzer mit zusätzlichen Rechten ausgeführt.

Eingabeaufforderung zu Administratoranmeldeinformationen wird auf dem sicheren Desktop angezeigt.

Standardbenutzer (UAC ist deaktiviert)

Nicht zutreffend

Anwendung wird als Standardbenutzer gestartet.

Eingabeaufforderung zu Anmeldeinformationen wird angezeigt, und Anwendung wird als Standardbenutzer mit zusätzlichen Rechten ausgeführt.

Anwendung wird nicht gestartet.

Aufzeichnen von Einstellungen

Zeichnen Sie die Einstellungen für Ihre Organisation mithilfe der folgenden Tabelle auf.

 

UAC-Gruppenrichtlinieneinstellung Standard Einstellung für die Organisation

Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto

Deaktiviert

Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern

Deaktiviert

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus

Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung für erhöhte Rechte für Standardbenutzer

Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern

Aktiviert (Standard für privaten Bereich)

Deaktiviert (Standard für Unternehmen)

Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind

Deaktiviert

Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind

Aktiviert

Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen

Aktiviert

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln

Aktiviert

Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren

Aktiviert

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.