Manualshelf

Users Guide

ManualsBrandsDell ManualsSoftwareDell Update Packages Version 6.1
21222324252627282930
ZurückzumInhaltsverzeichnis
Microsoft Windows Server 2008 Benutzerkontensteuerung
Dell™UpdatePackagesfürMicrosoft®Windows®-Betriebssysteme Benutzerhandbuch
UAC-EinschränkungenbeiRemote-AusführungvonDUP
In vorhergehenden Versionen von Windows
®
warenBenutzerkontenoftMitgliederderGruppelokalerAdministratorenundhattenZugriffauf
Administratorenrechte.MitgliederderGruppelokalerAdministratorenkonntenSoftwareinstallieren,aktualisierenundausführen,daeinemAdministratorkonto
systemweiterZugriffzurVerfügungsteht.WenneinBenutzerderGruppelokalerAdministratorenhinzugefügtwurde,wurdendiesemBenutzerautomatisch
sämtlicheWindows-Berechtigungengewährt.DieseBerechtigungenbotenZugriffaufalleBetriebssystemressourcen.FolglichstelltenBenutzerkontenmit
AdministratorrechtendadurcheinSicherheitsrisikodar,dasssieZugriffaufBetriebssystemressourcenboten,diedurchExploitsbösartigerSoftware(oder
Malware)beeinträchtigtwerdenkonnten.
BeiderBenutzerkontensteuerung(UAC)handeltessichumeineneueSicherheitsfunktiondesWindowsServer
®
2008-Betriebssystems. Bei Aktivierung wird
derZugriffaufkritischeSystemressourcenfüralleBenutzeraußerdemintegriertenlokalenAdministratoreingeschränkt.
Die drei Typen von Benutzerkonten im Windows Server 2008-Betriebssystem sind:
l Domänenadministratorkonto- ein Benutzerkonto mit Administratorrechten.
l Standardbenutzerkonto - einKonto,dasdenBenutzerberechtigt,SoftwarezuinstallierenundÄnderungenanSystemeinstellungenvorzunehmen,die
keinen Einfluss auf andere Benutzer oder die Sicherheit des Computers haben.
l Konto des lokalen Administrators - der Standard-Superbenutzer des Betriebssystems.
DieBenutzererfahrungbeieinemDomänenadministratorkontounterscheidetsichvomKontoeineslokalenAdministrators,wenndieUACaktiviertist.Wennfür
einDomänenadministratorkontoderZugriffaufkritischeSystemressourcenerforderlichist,stelltdasBetriebssystemWindowsServer2008vordemStarteines
Programms oder eines Tasks, die vollen Administratorzugriff voraussetzen, eine Anforderung an einen der folgenden Punkte:
l Genehmigung,Berechtigungenzuerhöhen(beiBenutzernderDomänenadministratorgruppe)
l AnmeldeinformationendesDomänenadministratorszumErhöhenvonBerechtigungen(beiStandardbenutzern)
DieUACfordertBenutzerderDomänenadministratorgruppe(außerdemAdministratorkonto)auf,aufWeiterzuklicken,wennBerechtigungenerhöhtwerden
sollen, oder auf AbbrechenbeimAusführenvonFunktionen,dieeinSicherheitsrisikodarstellenkönnten.ZurVerwendungderUACmüssenBenutzerein
UpgradeaufeinAdministratorkontodurchführen,bevorDUPausgeführtwerdenkönnen.
Wenn ein DUP im GUI-Modusausgeführtwird,istesfürdasWindowsServer2008-Betriebssystemerforderlich,dassderBenutzerdieBerechtigungfürden
Vorgangerteilt.WenndasDUPjedochimunbeaufsichtigtenModusausgeführtwird,kannderBenutzerdasPopup-Fenster bzgl. der Berechtigung jedoch
umgehen,indemereinederfolgendenMaßnahmenausführt:
l ÄndernderGruppensicherheitsrichtlinie,User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
(Benutzerkontosteuerung:VerhaltenderErhöhungsaufforderungfürAdministratorenimAdministratorgenehmigungsmodus), zu Keine Aufforderung,
umdasPopupzudeaktivierenoderBerechtigungenzuerhöhen,ohneeineAufforderungbzgl.derAdministratorgruppeauszugeben.
l Deaktivieren der UAC.
l AusführenvonDUPanhandvonScripts,wobeiSiesichwährendderLaufzeitalslokalerAdministratorausgeben.
UAC-EinschränkungenbeiRemote-AusführungvonDUP
StandardmäßigmeldensichnachdemStartderUACalleBenutzerdesAdministratorkontosalsStandardbenutzeran.AusdiesemGrundstehendieRechtezum
ZugriffaufkritischeSystemressourcenerstdannzurVerfügung,wennderBenutzerdieAufforderungzurBerechtigungserhöhungbestätigt.Durchdiese
EinschränkungwirddieOptiondeaktiviert,DUPimRemote-Zugriff bereitzustellen. Die UAC gibt die Fehlermeldung Zugriffverweigertzurück,wennder
VerwaltungsknotenagentbasierendaufdiesenAnmeldeinformationenausgeführtwird.
Die UAC-Einschränkungenkönnenfolgendermaßenumgangenwerden:
l Aktivieren der Remote-Agent-VerwendungdeslokalenSystemkontoszumAusführeneinerDUP-Aktualisierung. Das lokale Systemkonto ist nicht durch
dieUACgeschützt(empfohleneOption).
l Verwenden des Kontos des lokalen Administrators auf allen Remote-Computern,aufdenenDUPausgeführtwerden.
l DeaktivierenderUACfüralleBenutzervonRemote-Computern (diese Option wird nicht empfohlen).
l Auf Remote-ComputernkeinUpgradeaufAdministratorkontodurchführen.
ZurückzumInhaltsverzeichnis
ANMERKUNG: Da die Benutzererfahrung mit dem Sicherheitsrichtilinien-Manager-Snap-In (secpol.msc) und mit der Gruppenrichtlinie konfigurierbar ist,
ergeben sich mehrere UAC-Benutzererfahrungen. Die in Ihrer Umgebung getroffenen Konfigurationsauswahlen haben Einfluss auf die
EingabeaufforderungenundDialoge,diefürStandardbenutzer,Administratorenoderbeidegemeinsamangezeigtwerden.DieUACkanndurch
Deaktivieren der Einstellung Benutzerkontosteuerung:Administratorgenehmigungsmodusausführen deaktiviert werden und erfordert einen
Systemneustart.
ANMERKUNG: NurzweiKonten(dasKontodeslokalenAdministratorsunddaslokaleSystemkonto)werdendurchdieUACnichtgeschützt.Beiallen
anderenBenutzern,einschließlichderKontenmitRechtenvonlokalenAdministratorenoderDomänenadministratoren,istdieUACstandardmäßig
aktiviert.ObgleichdieUACdurchAktualisierenderlokalenoderDomänen-Sicherheitsrichtliniedeaktiviertwerdenkann,wirddieseOptionnicht
empfohlen. Remote-BenutzermüssensichalsintegriertesKontoeineslokalenAdministratorsanmelden,oderesmussihnendieBerechtigungdes
lokalenSystemkontoserteiltwerden,damitsieeinDUPimRemote-Zugriffstartenkönnen.