Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer beschrieben.
Referenz
Diese Richtlinieneinstellung legt das Verhalten der Eingabeaufforderung für Standardbenutzer fest.
Mögliche Werte
Anforderungen für erhöhte Rechte automatisch ablehnen
Diese Option gibt die Fehlermeldung „Zugriff verweigert“ für Standardbenutzer zurück, wenn sie versuchen, einen Vorgang auszuführen, für den erhöhte Rechte erforderlich sind. Die Mehrzahl der Organisationen, die Desktops als Standardbenutzer ausführen, konfiguriert diese Richtlinie, um Anrufe beim Helpdesk zu reduzieren.
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop
Dies ist die Standardeinstellung. Wenn für einen Vorgang erhöhte Rechte erforderlich sind, wird der Benutzer auf dem sicheren Desktop zur Eingabe eines anderen Benutzernamens und Kennworts aufgefordert. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
Aufforderung zur Eingabe der Anmeldeinformationen
Ein Vorgang, für den erhöhte Rechte erforderlich sind, fordert den Benutzer zur Eingabe eines Administratornamens und -kennworts auf. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
Bewährte Methoden
Konfigurieren Sie Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer als Anforderungen für erhöhte Rechte automatisch ablehnen. Diese Einstellung setzt voraus, dass sich der Benutzer mit einem Administratorkonto anmeldet, um Programme auszuführen, für die eine Erhöhung der Rechte erforderlich ist.
Als bewährte Methode im Hinblick auf die Sicherheit sollten Standardbenutzer keine Kenntnis von Administratorkennwörtern haben. Wenn Ihre Benutzer jedoch sowohl Standard- als auch Administratorkonten besitzen, legen Sie Eingabeaufforderung zu Anmeldeinformationen fest, damit sich die Benutzer nicht stets mit ihren Administratorkonten anmelden und eher das Standardbenutzerkonto verwenden.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop |
Effektive Standardeinstellungen für DC |
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop |
Effektive Standardeinstellungen für Mitgliedsserver |
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop |
Effektive Standardeinstellungen für Clientcomputer |
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Computers in Kraft.
Gruppenrichtlinie
Alle Überwachungsfunktionen sind in die Gruppenrichtlinie integriert. Sie können diese Einstellungen auf der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In „Lokale Sicherheitsrichtlinie“ für eine Domäne, Website oder Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Das UAC-Feature soll u. a. das Risiko minimieren, dass Schadprogramme unter erhöhten Rechten ausgeführt werden, ohne dass sich der Benutzer oder der Administrator dieser Aktivität bewusst sind. Diese Einstellung weist den Benutzer darauf hin, dass ein Programm erhöhte Rechte anfordert und der Benutzer dem Programm Administratoranmeldeinformationen bereitstellen muss, damit es ausgeführt werden kann.
Gegenmaßnahme
Konfigurieren Sie Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer als Anforderungen für erhöhte Rechte automatisch ablehnen. Diese Einstellung setzt voraus, dass sich der Benutzer mit einem Administratorkonto anmeldet, um Programme auszuführen, für die eine Erhöhung der Rechte erforderlich ist. Als bewährte Methode im Hinblick auf die Sicherheit sollten Standardbenutzer keine Kenntnis von Administratorkennwörtern haben. Wenn Ihre Benutzer jedoch sowohl Standard- als auch Administratorkonten besitzen, wird die Einstellung Eingabeaufforderung zu Anmeldeinformationen empfohlen, damit sich die Benutzer nicht stets mit ihren Administratorkonten anmelden und eher das Standardbenutzerkonto verwenden.
Mögliche Auswirkung
Benutzer müssen Administratorkennwörter bereitstellen, um Programme mit erhöhten Rechten auszuführen. Dies kann zu einer höheren Belastung der IT-Abteilung führen, da die betroffenen Programme identifiziert und Standardverfahren geändert werden müssen, um Vorgänge mit den jeweils geringsten Rechten zu unterstützen.