Users Guide
Microsoft Windows Server 2008
Benutzerkontensteuerung
Bei Versionen von Windows Server 2008 und früher waren Benutzerkonten oft Mitglieder der Gruppe lokaler Administratoren und hatten
Zugri auf Administratorrechte. Mitglieder der Gruppe lokaler Administratoren installieren, aktualisieren und ausführen Software, da
Administratorkonten über systemweiten Zugri verfügen. Wenn ein Benutzer der Gruppe lokaler Administratoren hinzugefügt wird, werden
diesem Benutzer automatisch Windows-Berechtigungen gewährt. Diese Berechtigungen bieten Zugri auf alle Betriebssystemressourcen.
Folglich stellen Benutzerkonten mit Administratorrechten dadurch ein Sicherheitsrisiko dar, dass sie Zugri auf Betriebssystemressourcen
bieten, die durch bösartige Software (oder Malware) ausgenutzt werden können.
Benutzerkontensteuerung (UAC) ist eine neue Sicherheitsfunktion des Windows Server 2008-Betriebssystems. Bei Aktivierung wird der
Zugri auf kritische Systemressourcen für alle Benutzer außer dem integrierten lokalen Administrator eingeschränkt.
Die drei Typen von Benutzerkonten im Windows Server 2008-Betriebssystem sind:
• Domänenadministratorkonto – ein Benutzerkonto mit Administratorrechten.
• Standardbenutzerkonto – ein Konto, das den Benutzer berechtigt, Software zu installieren und Änderungen an Systemeinstellungen
vorzunehmen, die keinen Einuss auf andere Benutzer oder die Sicherheit des Computers haben.
• Konto des lokalen Administrators – der Standard-Superbenutzer des Betriebssystems.
Die Benutzererfahrung bei einem Domänenadministratorkonto unterscheidet sich vom Konto eines lokalen Administrators, wenn die UAC
aktiviert ist. Wenn für ein Domänenadministratorkonto der Zugri auf kritische Systemressourcen erforderlich ist, stellt das Betriebssystem
Windows Server 2008 vor dem Start eines Programms oder eines Tasks, die vollständigen Administratorzugri voraussetzen, eine
Anforderung an einen der folgenden Punkte:
• Genehmigung, Berechtigungen zu erhöhen (bei Benutzern der Domänenadministratorgruppe)
• Anmeldeinformationen des Domänenadministrators zum Erhöhen von Berechtigungen (bei Standardbenutzern)
Die UAC fordert Benutzer der Domänenadministratorgruppe (außer dem Administratorkonto) auf, auf Weiter zu klicken, wenn
Berechtigungen erhöht werden sollen, oder auf Abbrechen zu klicken, wenn Funktionen ausgeführt werden sollen, die ein Sicherheitsrisiko
darstellen könnten. Zur Verwendung der UAC müssen Benutzer ein Upgrade auf ein Administratorkonto durchführen, bevor DUP
ausgeführt werden können.
ANMERKUNG
: Da die Benutzererfahrung mit dem Sicherheitsrichtlinien-Manager-Snap-In (secpol.msc) und mit der
Gruppenrichtlinie kongurierbar ist, ergeben sich verschiedene UAC-Benutzererfahrungen. Die in der Umgebung getroene
Kongurationsauswahl hat Einuss auf die Eingabeauorderungen und Dialoge, die für Standardbenutzer, Administratoren oder
beide gemeinsam angezeigt werden. Die UAC kann durch Deaktivieren der Einstellung Benutzerkontosteuerung:
Administratorgenehmigungsmodus ausführen
deaktiviert werden und erfordert einen Systemneustart.
Wenn ein DUP im GUI-Modus ausgeführt wird, erfordert das Windows Server 2008-Betriebssystem die Erteilung der Berechtigung für den
Vorgang durch den Benutzer. Wenn das DUP jedoch im unbeaufsichtigten Modus ausgeführt wird, kann der Benutzer das Popup-Fenster
bzgl. der Berechtigung jedoch umgehen, indem er eine der folgenden Maßnahmen ausführt:
• Ändern der Gruppensicherheitsrichtlinie, User Account Control: Behavior of the elevation prompt for administrators in Admin Approval
Mode, zu Keine Auorderung, um das Popup zu deaktivieren oder Berechtigungen zu erhöhen, ohne eine Auorderung bzgl. der
Administratorgruppe auszugeben.
• Deaktivieren der UAC.
• Ausführen von DUP anhand von Scripts, wobei Sie sich während der Laufzeit als lokaler Administrator ausgeben.
8
42 Microsoft Windows Server 2008 Benutzerkontensteuerung