Windows Vista

Mit User Account Control sind Programme ohne Administratorrechte kein Traum mehr

Alex Heaton

Kurz zusammengefasst:

• Gründe, weshalb Sie keine Administratorrechte gewähren sollten
• Behandeln von Problemen als Standardbenutzer
• Funktion von User Account Control

Das Ziel der meisten IT-Unternehmen besteht darin, Administratorrechte nur einer möglichst kleinen Anzahl von Benutzern zu gewähren. Obwohl IT-Administratoren im Allgemeinen zustimmen, dass Benutzerberechtigungen auf ein Standardbenutzerkonto beschränkt werden sollten, stellen ungefähr 80 Prozent ihre Desktops mit Administratorkonten bereit, sodass diese

Computer anfälliger für Malware sind und die Verwaltung erschwert wird. Es ist gar nicht so leicht, Administratorkonten zu vermeiden. Denn es gibt zahlreiche Hindernisse, die sich dabei in den Weg stellen können.

Als erstes ist die Anwendungskompatibilität zu nennen. Da viele Anwendungen mit Administratorrechten geschrieben und getestet wurden, können sie möglicherweise nicht unter Konten mit Standardberechtigungen ausgeführt werden. (Dies ist sogar sehr häufig der Fall, da die Anwendungen versuchen, in eingeschränkte Bereiche zu schreiben, wie z. B. in das Verzeichnis „Programme“ oder in HKLM-Registrierungsschlüssel.)

Zweitens verfügten frühere Versionen von Windows® über zu viele Einschränkungen hinsichtlich der Einstellungen, die die Benutzer konfigurieren durften. Standardbenutzer konnten zum Beispiel die Zeitzone oder die Energieeinstellungen nicht ändern, sie konnten auch keine Verbindung mit Drahtlosnetzwerken herstellen oder ActiveX®-Steuerelemente installieren, ohne sich an den Helpdesk zu wenden, was wiederum mit Kosten verbunden war.

Erfreulicherweise werden diese Einschränkungen in Windows Vista™ aufgehoben. Auch wenn Ihre Benutzer nicht über Administratorkonten verfügen, erleichtern User Account Control (UAC) und andere Verwaltungstechnologien in Windows Vista die Unterstützung und Verwaltung dieser Desktops und tragen zu einer höheren Leistung für Standardbenutzer bei. Hierbei wird die Sicherheit im Gegensatz zur Bearbeitung von Zugriffssteuerungslisten (Access Control List, ACL) nicht beeinträchtigt - die bisher übliche Methode, Benutzern mehr, benutzerdefinierte Zugriffsrechte zu gewähren. Im Folgenden erfahren Sie, wie mit Windows Vista einige der Zugriffssteuerungsprobleme umgangen werden.

Virtualisierung verbessert Kompatibilität

Viele Anwendungen, die auf Windows XP nicht als Standardbenutzer ausgeführt werden können, können aufgrund der Funktion für Datei- und Registrierungsvirtualisierung ohne Änderungen auf Windows Vista ausgeführt werden. In Windows XP werden die meisten Anwendungen unterbrochen, wenn sie versuchen, in geschützte Bereiche des Dateisystems oder der Registrierung zu schreiben, für die der Standardbenutzer keine Zugriffsberechtigung besitzt. Windows Vista verbessert die Kompatibilität, indem Schreibzugriffe (und nachfolgende Lesezugriffe auf Dateien und Registrierungen) an einen speziellen Speicherort innerhalb dieses Benutzerprofils umgeleitet werden. Wenn zum Beispiel eine Anwendung versucht, in die unter C:\Programme\contoso\settings.ini gespeicherte Datei zu schreiben, und der Benutzer hierfür keinen Schreibzugriff besitzt, wird dieser in das Verzeichnis C:\Benutzer\Benutzername\AppData\Local\VirtualStore\Programme\contoso\settings.ini umgeleitet. Wenn eine Anwendung versucht, in den Registrierungsschlüssel HKLM\Software\Contoso\ zu schreiben, wird diese Aktion automatisch an HKCU\Software\Classes\VirtualStore\MACHINE\Software\Contoso umgeleitet. Abbildung 1 stellt das Umleitungsverfahren dar. Darüber hinaus ist es für das Logo-Programm „Certified for Windows Vista Software“ erforderlich, dass eine Anwendung als Standardbenutzer ohne Virtualisierung ausgeführt wird. Andernfalls erhält die Anwendung nicht das Logo.

Figure 1** „File and Registry Virtualization“-Prozess **

Standardbenutzer können mehr

In Windows Vista werden Standardbenutzerkonten zusätzliche Berechtigungen gewährt, sodass Benutzer allgemeine Aufgaben ohne Helpdesk-Support und ohne den vom Administratorkonto bereitgestellten vollen Zugriffsumfang ausführen können. Die neuen Berechtigungen ermöglichen nun die Anzeige der Systemuhr und des Kalenders, die Änderung der Zeitzone, die Bearbeitung der Sicherheitseinstellungen für Drahtlosnetzwerke, die Änderung der Energieeinstellungen sowie den Download und die Installation von wichtigen Aktualisierungen über Windows Update.

Darüber hinaus ist die Festplattendefragmentierung in Windows Vista ein automatisch erfolgender Prozess. Aktionen, die Administratorrechte erfordern, sind durch ein Schild-Symbol gekennzeichnet, sodass es für Benutzer ersichtlich ist, welche Konfigurationen sie ändern dürfen und welche nicht.

Installation des ActiveX-Steuerelements

Die zentrale Verwaltung der ActiveX-Steuerelemente kann sich als besonders schwierig erweisen, da sie häufig aktualisiert und neu gepackt werden müssen, bevor sie über ein Software-Verteilungsprogramm wie Systems Management Server (SMS) oder über Gruppenrichtlinien verteilt werden können. In Windows Vista ist die optionale Komponente ActiveX Installer Service enthalten, die IT-Administratoren die Verwendung von Gruppenrichtlinien zum Festlegen von Websites ermöglicht, von denen Standardbenutzer die ActiveX-Steuerelemente installieren können. So verwenden Sie ActiveX Installer Service

1. Aktivieren Sie ActiveX Installer Service auf den Clientcomputern. Sie können den Dienst über das Systemsteuerungsapplet der Windows-Funktionen oder bei Konfiguration des Desktop-Image aktivieren.
2. In den Active Directory-Gruppenrichtlinien wählen Sie unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten die Option „ActiveX Installer Service“. Klicken Sie auf die Option zum Aktivieren. Nachdem die Richtlinie für die Benutzer repliziert wurde, können die Steuerelemente von den von Ihnen festgelegten Websites installiert werden.

Da ActiveX-Steuerelemente und andere ausführbare Codes bösartige Aufgaben durchführen können, verwenden Sie diese Funktion vorsichtig, und zwar nur für Anbieter, denen Sie vertrauen, und nur für Internet-Websites, die streng überwacht werden.

Der Installationsdienst für ActiveX-Steuerelemente ist auch in der Ereigniserstellungsinfrastruktur von Windows Vista enthalten, sodass Sie automatisch benachrichtigt werden, wenn Benutzer ActiveX-Steuerelemente installieren müssen. Wenn ein Standardbenutzer ein nicht genehmigtes Steuerelement installiert, erstellt der Dienst ein Ereignis im Anwendungsprotokoll. In Windows Vista können Aufgaben so konfiguriert werden, dass beim Auslösen eines Ereignisses automatisch eine E-Mail gesendet oder ein anderes Programm ausgeführt wird. Sie werden dann informiert, wenn ein Benutzer ein Steuerelement benötigt, und Sie können die Website den Gruppenrichtlinien ohne wesentliche Ausfallzeiten für den Benutzer hinzufügen. Mit Windows Vista können Sie auch Ereignisse von mehreren Computern in Ihrem gesamten Unternehmen abonnieren und eine Liste aller Steuerelemente erstellen, die die Benutzer installieren.

Installation der Hardwaregerätetreiber

Aufgrund der Bedenken, dass Benutzer die auf Reisen benötigten Gerätetreiber nicht installieren können, bleiben Administratorrechte weiterhin äußerst beliebt, vor allem bei Laptop-Benutzern. Die neue Driver Store-Infrastruktur in Windows Vista beseitigt diese Hürde durch eine flexible Steuerung über Geräte, die Standardbenutzer installieren können. Sie können vertrauenswürdige Treiber in den Driver Store eingeben, sodass Benutzer bei Bedarf zugelassene Geräte installieren können. Sie können auch Gruppenrichtlinien verwenden, um Standardbenutzern die Berechtigung zum Installieren von Geräteklassen, z. B. Drucker, oder spezifischen Gerätehardware-IDs, z. B. zugelassene Flashlaufwerke, zu gewähren.

Da es sich beim Driver Store in Windows Vista um einen vertrauenswürdigen Zwischenspeicher von sofort einsetzbaren Drittanbietertreibern auf der Festplatte von Clientcomputern handelt, können diese ohne Administratorrechte installiert werden. Um Treiber im Driver Store bereitzustellen, können Sie sie entweder in Offline-Images einfügen oder Treiber für Online-Clients dynamisch über das Netzwerk aktualisieren. Für Offline-Images verwenden Sie den Package Manager, um Treiber problemlos im Driver Store bereitzustellen.

Für Online-Images verwenden Sie Befehlszeilendienstprogramme, wie pnputil.exe oder DevCon, zusammen mit Softwareverteilungsanwendungen, um Treiber im Driver Store einzufügen, zu aktualisieren oder zu löschen. Um diesen Stagingprozess weiter zu vereinfachen und ihm eine höhere Flexibilität zu verleihen, ermöglicht es Windows Vista den IT-Abteilungen und Drittanbietern, die Integrität der Treiberpakete zu signieren.

Standardmäßig können nur Benutzer mit Administratorrechten dem Driver Store neue Treiber hinzufügen. Insbesondere mobile Benutzer müssen jedoch Geräte wie Drucker installieren können, während sie sich auf Reisen befinden. Mit den neuen Gruppenrichtlinieneinstellungen in Windows Vista erhalten die Standardbenutzer die Flexibilität, die zum Installieren von zugelassenen Geräten erforderlich ist, auch wenn die Treiber noch nicht im Driver Store bereitgestellt wurden. Zum Delegieren der Berechtigungen für die Bereitstellung von Gerätetreibern öffnen Sie die Benutzeroberfläche der Gruppenrichtlinie und navigieren Sie zu Computerkonfiguration | Administrative Vorlagen | System | Treiberinstallation | Nicht-Administratoren die Installation von Treibern für diese Geräte zulassen. Sie müssen den GUID für die Geräteklassen kennen, die die Standardbenutzer bereitstellen und installieren sollen. Die Geräteklassen können online von MSDN® oder durch Öffnen des Eigenschaftenfensters im Geräte-Manager abgerufen werden, falls das Gerät auf dem Computer installiert ist. Klicken Sie auf die Registerkarte „Details“, und wählen Sie in der Dropdownliste den Geräteklassen-GUID aus. Achten Sie auch darauf, dass die Zertifikate, die zum Signieren der Treiber verwendet werden, bereits auf dem Clientcomputer im Speicher für vertrauenswürdige Herausgeber vorhanden sind. Dieser Speicher kann mithilfe der Gruppenrichtlinien verwaltet werden.

Diese Verbesserungen in Windows Vista sorgen für die erforderliche Flexibilität bei der Installation von Geräten, sodass Sie mehr Benutzer in einer verwalteten Desktopumgebung unterbringen können.

Ebenen der Desktopsperrung

Trotz dieser Verbesserungen des Windows Vista-Betriebssystems sind nicht alle Unternehmen in der Lage, ihre Windows Vista-Desktops mit Berechtigungen für Standardbenutzer zur Verfügung zu stellen. Einige Unternehmen verfügen über Anwendungen, die nach wie vor Administratorrechte erfordern, oder sie beschäftigen Entwickler, die ihre eigene Software installieren müssen. Dies ist kein Problem. Windows Vista ermöglicht mehrere Stufen der Desktopsteuerung, die mithilfe der Benutzerkontenauswahl und Gruppenrichtlinien konfiguriert werden können. Diese bieten eine bessere Verwaltbarkeit und höhere Sicherheit als ein vollständiges Administratorkonto auf Windows XP. Die meisten für die UAC-Einstellungen relevanten Systemeinstellungen befinden sich im Sicherheitsrichtlinien-Editor (secpol.msc), der in Abbildung 2 dargestellt ist.

Figure 2** Editor für Sicherheitsrichtlinien **(Klicken Sie zum Vergrößern auf das Bild)

Die erste Steuerungsebene ist der Modus für die Genehmigung durch einen Administrator (Admin Approval Mode). Dieser Modus reduziert die Gefahr von Bedrohungen durch bestimmte Malware-Angriffe, indem Programme mit Berechtigungen für Standardbenutzer automatisch gestartet und Benutzer in einer Warnmeldung informiert werden, wenn ein Programm mit Administratorrechten ausgeführt wird. In diesem Modus können Sie auch Überprüfungen mithilfe des Ereignisprotokolls durchführen, wenn Benutzer ein Programm ausführen, das Administratorrechte erfordert. Denken Sie jedoch daran, dass dieser Modus nicht die gleiche Sicherheit wie ein echtes Standardbenutzerkonto bietet, auch wenn eine Anwendung möglicherweise mit Berechtigungen für Standardbenutzer ausgeführt wird. Der Benutzer verfügt weiterhin über Administratorrechte und kann Richtlinieneinstellungen ändern, nicht genehmigte Software installieren und die Installation von leistungsstarker Malware wie Rootkit zulassen.

Die nächste Ebene baut auf der ersten auf, verwendet jedoch Gruppenrichtlinien zum Einschränken des erweiterten Zugriffs auf Programme, die mit einem im Speicher für vertrauenswürdige Herausgeber vorhandenen Zertifikat signiert wurden. Dadurch lässt sich vermeiden, dass unsignierte Malware Administratorrechte erhält und Benutzer beliebige Software installieren. Wenn Programme jedoch mit Administratorkonten ausgeführt werden, können intelligente, skrupellose Benutzer oder technisch ausgereifte Malware die Richtlinien zumindest vorübergehend deaktivieren, um nicht autorisierte Aktionen durchzuführen. Daher sollten die ersten zwei Ebenen als Übergangsmethoden verwendet werden, während Probleme, die Sie an der Ausgabe von echten Standardbenutzerkonten hindern, beseitigt werden.

Die nächste Sicherheitsebene entsteht dadurch, dass Benutzer aus Administratorkonten entfernt werden und Standardberechtigungen erhalten. Eine Funktion von UAC ist das Dialogfeld „Over the Shoulder Credentials“, das Standardbenutzern automatisch angezeigt wird, wenn sie ein Programm starten, das die Eingabe von Administratoranmeldeinformationen erfordert. Standardbenutzer sind zwar von der Durchführung dieser Aktion gesperrt, wenn sie jedoch den Benutzernamen und das Kennwort des Administrators kennen, können sie diese Angaben eingeben und die Aktion fortsetzen. Ein typisches Szenario, in dem diese Funktion eingesetzt werden könnte, wäre ein Laptop-Benutzer auf Reisen. Wenn ein Benutzer zum Beispiel unbedingt eine Softwarekomponente installieren muss, während er auf Reisen ist, kann er sich an den Helpdesk wenden. Die Helpdesk-Mitarbeiter teilen ihm das Kennwort für ein lokales Administratorkonto mit, das der Benutzer zum Ausführen des Programms eingeben kann (siehe Abbildung 3). Falls Sie das Administratorkennwort an den Benutzer ausgeben, sollten Sie über Prozesse und Tools verfügen, um das Administratorkennwort zurückzusetzen, wenn der Benutzer erneut eine Verbindung zum Netzwerk herstellt. Sie sollten auch die Programme protokollieren, die mit den Administratoranmeldeinformationen ausgeführt wurden. Falls der PC mit Malware infiziert ist, denken Sie daran, dass der Administrator durch eine Täuschung dazu gebracht werden könnte, der Malware Demonstrationsberechtigungen zu gewähren.

Figure 3** Administratorkennwort erforderlich **(Klicken Sie zum Vergrößern auf das Bild)

Sie haben außerdem die Wahl, das Dialogfeld für Anmeldeinformationen mithilfe der Gruppenrichtlinien zu deaktivieren. Einrichten von User Account Control (UAC ) Das Verhalten der Aufforderung für erweiterten Zugriff für Standardbenutzer sollte auf die Option für automatische Verweigerung des erweiterten Zugriffs eingestellt werden (siehe Abbildung 4). Dies ist die empfohlene Methode, die die meisten Unternehmen mit Standardbenutzer-Desktops zum Konfigurieren von UAC verwenden sollten. Die meisten Unternehmen möchten hierdurch vermeiden, dass sich Benutzer an den Helpdesk wenden, um in den Besitz eines Kennworts zu gelangen, das die IT-Abteilung nicht herausgeben möchte.

Figure 4** Anwendung durch Gruppenrichtlinien gesperrt **(Klicken Sie zum Vergrößern auf das Bild)

Als stärkste Ebene der Desktopsperrung können Sie UAC und Standardbenutzerkonten zusammen mit den Windows-Richtlinien für die Softwareeinschränkung (Software Restriction Policies, SRP) verwenden. Dank SRP können Unternehmen nun die Ausführung von Software unterbinden, die sie nicht ausdrücklich zugelassen haben. SRP verhindert die Ausführung von Software, wenn sie nicht die speziellen, auf das Authenticode®-Zertifikat bzw. die Hash-, Path- oder Internetzonenregeln basierenden Kriterien erfüllt. SRP wird über die Gruppenrichtlinien verwaltet, und Sie können ohne großen Aufwand eine leistungsstarke Richtlinie erstellen, die die Installation und Ausführung von nicht genehmigten Programmen verhindert. Eine herkömmliche Richtlinie kann möglicherweise die Ausführung aller ausführbaren Dateien, mit Ausnahme der Dateien in den Pfaden %WINDIR% und %PROGRAMFILES%, unterbinden und Richtlinien auf alle Benutzer, außer Administratoren, anwenden.

Mit dieser Richtlinie können IT-Mitarbeiter weiterhin alle beliebigen Softwareprogramme in das Verzeichnis „Programme“ installieren, ohne die .exe-Erweiterung einer Whitelist (Liste mit akzeptierten Elementen) hinzufügen zu müssen. Da Standardbenutzer keinen Zugriff auf diese Verzeichnisse haben, können sie die exe-Datei nicht an einem anderen Ort speichern, an dem sie ausgeführt werden könnte.

Es ist Ihnen sicher schon aufgefallen, dass die Hauptbenutzergruppe noch nicht erwähnt wurde. Dies liegt daran, dass diese Gruppe in Windows Vista nicht mehr vorhanden ist. Einige Unternehmen hatten die Hauptbenutzergruppe zum Einschränken von Administratorrechten verwendet. Wenn einem Benutzer die Berechtigung eines Hauptbenutzers gewährt wird, kann er zwar keine unzulässigen Systemkonfigurationen vornehmen, er (oder Malware mit Anmeldeinformationen eines Hauptbenutzers) kann jedoch in den Besitz zusätzlicher Rechte und Berechtigungen und sogar vollständiger Administratoranmeldeinformationen gelangen. Aus diesem Grund sind in Windows Vista der Administrator und der Standardbenutzer die zwei Hauptkontoarten.

Infrastruktur der Desktopverwaltung

Die Datei- und Registrierungsvirtualisierung, die neue Driver Store-Infrastruktur sowie die anderen oben beschriebenen Funktionen erleichtern die Bereitstellung von Windows Vista-Desktops mit Standardbenutzerkonten erheblich. Allerdings können Sie auch mit diesen Funktionen und Techniken eine Standardbenutzerumgebung nicht vollständig unterstützen, es sei denn, Sie verfügen über die entsprechende Verwaltungsinfrastruktur (Tools, Prozesse und Mitarbeiter), um die Benutzer zu unterstützen, die zur Ausführung einiger Aufgaben nicht berechtigt sind. Hierbei müssen Sie Folgendes beachten:

Softwareinstallation Wenn Benutzer Softwareprogramme nicht selbst installieren können, müssen Sie diese mit einer anderen Methode bereitstellen. Eine Methode, die keine Verwaltungssoftware erfordert, ist die Verwendung von Gruppenrichtlinien. Mit den Gruppenrichtlinien können Sie der Liste im Menü „Software“ Programme hinzufügen. Wenn ein Benutzer mithilfe dieser Methode ein Programm installiert, wird dieses mit den erweiterten Zugriffsberechtigungen gestartet, die zum Abschluss der Installation erforderlich sind. Für eine ergiebigere Lösung können Sie auch SMS oder ein ähnliches Produkt verwenden. Einige Lösungen ermöglichen Ihnen sogar die Erstellung von benutzerverantwortlichen Webportalen, in denen Standardbenutzer die zu installierende Software selbst auswählen können.

Softwareaktualisierung Es reicht nicht aus, E-Mails mit der Bitte zu versenden, dieses Update zu installieren, sondern Sie müssen eine andere Methode zur Installation von Updates auf Ihren PCs anbieten. Zur Verwaltung und Bereitstellung der meisten Microsoft-Aktualisierungen können Sie Windows Server Update Services verwenden. Hierbei handelt es sich um einen kostenlosen Download für Windows Server. Ziehen Sie jedoch auch die Anschaffung eines Desktopverwaltungsprodukts wie SMS in Erwägung, wenn Sie eine Vielzahl von Aktualisierungen bereitstellen müssen.

Support-Prozesse und -Mitarbeiter Wenn sich Benutzer an den Helpdesk wenden, weil ein Leistungsproblem vorliegt oder ein neues Programm installiert wird, werden Sie die Anweisungen in den meisten Fällen nicht einfach telefonisch übermitteln können, da die Benutzer möglicherweise nicht über die entsprechenden Berechtigungen verfügen. Ihre IT-Mitarbeiter müssen zur Diagnose von Problemen und Änderung von Einstellungen verstärkt auf Remote-Unterstützung und Remote-Verwaltungstools zurückgreifen. Allerdings funktioniert sogar die Remote-Unterstützung von Windows unterschiedlich, da angemeldete Standardbenutzer die Eingabeaufforderungen für Aktionen nicht genehmigen können, die Administratorrechte erfordern. Die Helpdesk-Mitarbeiter können jedoch per Remotezugriff administrative Änderungen mithilfe von Remote Desktop vornehmen.

Es ist sehr wichtig, eindeutige und effiziente Prozesse zur Behandlung von Ausnahmen der Richtlinien festzulegen. Angenommen ein Mitarbeiter in der Marketingabteilung muss eine Probeversion eines neuen grafischen Entwicklungstools installieren, das für die Abteilung bewertet werden soll. Wer genehmigt die Installation dieser Software: der Manager, der Direktor oder der Abteilungsleiter? Wie wird die Software installiert und wie lange dauert der Installationsvorgang? Hierzu sollte ein einfacher Workflow für die Genehmigung erstellt werden, der im Problemverfolgungssystem des Helpdesks integriert ist. Ein grundlegender Workflow könnte zum Beispiel so aussehen:

1. Benutzer übermittelt Anforderung zur Installation des Programms und den Link für das Installationsprogramm (auf der lokalen Festplatte oder CD-ROM-Laufwerk) und bestätigt, dass die Software nicht illegal erworben wurde und nicht für bösartige Zwecke verwendet wird.
2. Anforderung wird zur Genehmigung an den Manager gesendet.
3. Anforderung wird an den Anwendungsleiter der IT-Abteilung weitergeleitet, der überprüft, ob bekannte Kompatibilitätsprobleme vorliegen, eine Virenprüfung durchführt und sicherstellt, dass das Unternehmen nicht bereits eine Websitelizenz für dieses Programm oder ein ähnliches Programm von einem anderen Anbieter erworben hat.
4. Anforderung wird an einen Supporttechniker weitergeleitet, der die Installation per Remotezugriff initiiert und den Benutzer benachrichtigt, wenn die Software zur Verwendung bereit ist.

Zum Erstellen der Workflow-Oberfläche können Sie entweder dynamische Webseiten durch ein Skript ausführen oder ein kommerzielles Helpdesk- oder Problemverfolgungspaket erwerben. Darüber hinaus sollten Sie mehrere Mitarbeiter für die verwaltete und nicht verwaltete Umgebung einstellen. Sie werden voraussichtlich weniger Techniker benötigen, um instabile oder infizierte PCs physisch zu diagnostizieren und neue Images zu erstellen. Möglicherweise sind anfangs zusätzliche Mitarbeiter zur Bereitstellung von Softwarepaketen erforderlich.

Langfristig werden die Supportkosten reduziert, da Computer länger stabil bleiben. Zu Beginn jedoch werden die Benutzer sich gegebenenfalls häufiger an den Helpdesk wenden, um Hilfe bei der Konfiguration zu erhalten. Die Anrufe an den Helpdesk werden nachlassen, wenn Sie Ihre Desktop-Images und Gruppenrichtlinien mit den Einstellungen konfigurieren, die die Benutzer erfordern und erwarten.

Kultur

Die letzte Hürde ist allerdings nicht technologisch, sondern psychologisch zu nehmen. Es kann vorkommen, dass einige Benutzer sich nicht mit der Idee anfreunden können, keine Administratorrechte zu haben. Die meisten Benutzer werden jedoch keinen Unterschied feststellen. Wenn Sie Windows Vista zum gleichen Zeitpunkt bereitstellen, zu dem Sie Standardbenutzerkonten durchsetzen, überwiegen die Produktivitätsvorteile durch die integrierte Desktopsuche, die neue Aero™-Benutzeroberfläche sowie die Verbesserungen für mobile Benutzer jegliche Unannehmlichkeiten, die sich daraus ergeben, keine Administratorrechte zu besitzen. Wenn allerdings unzureichende Prozesse dazu führen, dass Benutzer wochenlang auf die Genehmigung zur Installation einer Softwarekomponente warten müssen, können Sie mit der Unzufriedenheit Ihrer Mitarbeiter rechnen.

Grundsätzlich ist die IT-Abteilung für die Gewährleistung der Sicherheit von PC-Tools, für die Verhinderung der Nutzung nicht lizenzierter Software sowie für die Durchsetzung der Erfüllung von gesetzlichen Vorschriften und internen Richtlinien verantwortlich. Die meisten Unternehmen sehen die einzige Möglichkeit darin, neue Richtlinien für die Einschränkung der Anzahl von Benutzern mit Administratorrechten festzulegen. Mit Windows Vista ist dies ein Kinderspiel.

Zusätzliche Ressourcen

Hilfe zur Reduzierung der Anzahl von Benutzern mit Administratorrechten finden Sie unter:

• „Anwenden des Prinzips der geringsten Rechte auf dem Desktop“ siehe Non-Admin Blog von Aaron Margosis (möglicherweise in englischer Sprache)
• User Account Control-Teamblog
• User Account Control - Übersicht
• User Account Control - Grundlagen und Konfiguration
• Virtuelles Labor: User Account Control

Alex Heaton hat im Windows Vista-Sicherheitsteam die Position als Senior Product Manager inne. Zuvor war er als leitender Website-Manager für die Microsoft-Sicherheits-Websites verantwortlich, unter anderem auch microsoft.com/protect. Des Weiteren wirkt er beim User Account Control-Teamblog unter blogs.msdn.com/uac mit.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.