Users Guide
8
Microsoft Windows Server 2008
Benutzerkontensteuerung
Bei Versionen von Windows Server 2008 und früher waren Benutzerkonten oft Mitglieder der Gruppe lokaler Administratoren und
hatten Zugriff auf Administratorrechte. Mitglieder der Gruppe lokaler Administratoren installieren, aktualisieren und ausführen
Software, da Administratorkonten über systemweiten Zugriff verfügen. Wenn ein Benutzer der Gruppe lokaler Administratoren
hinzugefügt wird, werden diesem Benutzer automatisch Windows-Berechtigungen gewährt. Diese Berechtigungen bieten Zugriff
auf alle Betriebssystemressourcen. Folglich stellen Benutzerkonten mit Administratorrechten dadurch ein Sicherheitsrisiko dar, dass
sie Zugriff auf Betriebssystemressourcen bieten, die durch bösartige Software (oder Malware) ausgenutzt werden können.
Benutzerkontensteuerung (UAC) ist eine neue Sicherheitsfunktion des Windows Server 2008-Betriebssystems. Bei Aktivierung wird
der Zugriff auf kritische Systemressourcen für alle Benutzer außer dem integrierten lokalen Administrator eingeschränkt.
Die drei Typen von Benutzerkonten im Windows Server 2008-Betriebssystem sind:
• Domänenadministratorkonto – ein Benutzerkonto mit Administratorrechten.
• Standardbenutzerkonto – ein Konto, das den Benutzer berechtigt, Software zu installieren und Änderungen an
Systemeinstellungen vorzunehmen, die keinen Einfluss auf andere Benutzer oder die Sicherheit des Computers haben.
• Konto des lokalen Administrators – der Standard-Superbenutzer des Betriebssystems.
Die Benutzererfahrung bei einem Domänenadministratorkonto unterscheidet sich vom Konto eines lokalen Administrators, wenn die
UAC aktiviert ist. Wenn für ein Domänenadministratorkonto der Zugriff auf kritische Systemressourcen erforderlich ist, stellt das
Betriebssystem Windows Server 2008 vor dem Start eines Programms oder eines Tasks, die vollständigen Administratorzugriff
voraussetzen, eine Anforderung an einen der folgenden Punkte:
• Genehmigung, Berechtigungen zu erhöhen (bei Benutzern der Domänenadministratorgruppe)
• Anmeldeinformationen des Domänenadministrators zum Erhöhen von Berechtigungen (bei Standardbenutzern)
Die UAC fordert Benutzer der Domänenadministratorgruppe (außer dem Administratorkonto) auf, auf Weiter zu klicken, wenn
Berechtigungen erhöht werden sollen, oder auf Abbrechen zu klicken, wenn Funktionen ausgeführt werden sollen, die ein
Sicherheitsrisiko darstellen könnten. Zur Verwendung der UAC müssen Benutzer ein Upgrade auf ein Administratorkonto
durchführen, bevor DUP ausgeführt werden können.
ANMERKUNG: Da die Benutzererfahrung mit dem Sicherheitsrichtlinien-Manager-Snap-In (secpol.msc) und mit der
Gruppenrichtlinie konfigurierbar ist, ergeben sich verschiedene UAC-Benutzererfahrungen. Die in der Umgebung
getroffene Konfigurationsauswahl hat Einfluss auf die Eingabeaufforderungen und Dialoge, die für Standardbenutzer,
Administratoren oder beide gemeinsam angezeigt werden. Die UAC kann durch Deaktivieren der Einstellung
Benutzerkontosteuerung: Administratorgenehmigungsmodus ausführen deaktiviert werden und erfordert einen
Systemneustart.
Wenn ein DUP im GUI-Modus ausgeführt wird, erfordert das Windows Server 2008-Betriebssystem die Erteilung der Berechtigung
für den Vorgang durch den Benutzer. Wenn das DUP jedoch im unbeaufsichtigten Modus ausgeführt wird, kann der Benutzer das
Popup-Fenster bzgl. der Berechtigung jedoch umgehen, indem er eine der folgenden Maßnahmen ausführt:
• Ändern der Gruppensicherheitsrichtlinie, User Account Control: Behavior of the elevation prompt for administrators in Admin
Approval Mode, zu Keine Aufforderung, um das Popup zu deaktivieren oder Berechtigungen zu erhöhen, ohne eine
Aufforderung bzgl. der Administratorgruppe auszugeben.
• Deaktivieren der UAC.
• Ausführen von DUP anhand von Scripts, wobei Sie sich während der Laufzeit als lokaler Administrator ausgeben.
38