Users Guide

ManualsBrandsDell ManualsSoftwareDell Update Packages Version 6.2

ZurückzumInhaltsverzeichnis

Microsoft Windows Server 2008 Benutzerkontensteuerung

Dell™UpdatePackagesfürMicrosoft®Windows®-Betriebssysteme Benutzerhandbuch

UAC-EinschränkungenbeiRemote-AusführungvonDUP

In vorhergehenden Versionen von Windows

waren Benutzerkonten oft Mitglieder der Gruppe lokaler Administratoren und hatten Zugriff auf

Administratorenrechte.MitgliederderGruppelokalerAdministratorenkonntenSoftwareinstallieren,aktualisierenundausführen,daAdministratorkontenüber

systemweitenZugriffverfügen.WenneinBenutzerderGruppelokalerAdministratorenhinzugefügtwurde,wurdendiesemBenutzerautomatischsämtliche

Windows-Berechtigungengewährt.DieseBerechtigungenbotenZugriffaufalleBetriebssystemressourcen.FolglichstelltenBenutzerkontenmit

AdministratorrechtendadurcheinSicherheitsrisikodar,dasssieZugriffaufBetriebssystemressourcenboten,diedurchExploitsbösartigerSoftware(oder

Malware)beeinträchtigtwerdenkonnten.

Bei der Benutzerkontensteuerung (UAC) handelt es sich um eine neue Sicherheitsfunktion des Windows Server

2008-Betriebssystems. Bei Aktivierung wird

derZugriffaufkritischeSystemressourcenfüralleBenutzeraußerdemintegriertenlokalenAdministratoreingeschränkt.

Die drei Typen von Benutzerkonten im Windows Server 2008-Betriebssystem sind:

l Domänenadministratorkonto- ein Benutzerkonto mit Administratorrechten.

l Standardbenutzerkonto - einKonto,dasdenBenutzerberechtigt,SoftwarezuinstallierenundÄnderungenanSystemeinstellungenvorzunehmen,die

keinen Einfluss auf andere Benutzer oder die Sicherheit des Computers haben.

l Konto des lokalen Administrators - der Standard-Superbenutzer des Betriebssystems.

DieBenutzererfahrungbeieinemDomänenadministratorkontounterscheidetsichvomKontoeineslokalenAdministrators,wenndieUACaktiviertist.Wennfür

einDomänenadministratorkontoderZugriffaufkritischeSystemressourcenerforderlichist,stelltdasBetriebssystemWindowsServer2008vordemStarteines

ProgrammsodereinesTasks,dievollständigenAdministratorzugriffvoraussetzen,eineAnforderunganeinenderfolgendenPunkte:

l Genehmigung,Berechtigungenzuerhöhen(beiBenutzernderDomänenadministratorgruppe)

l AnmeldeinformationendesDomänenadministratorszumErhöhenvonBerechtigungen(beiStandardbenutzern)

DieUACfordertBenutzerderDomänenadministratorgruppe(außerdemAdministratorkonto)auf,aufWeiterzuklicken,wennBerechtigungenerhöhtwerden

sollen, oder auf Abbrechenzuklicken,wennFunktionenausgeführtwerdensollen,dieeinSicherheitsrisikodarstellenkönnten.ZurVerwendungderUAC

müssenBenutzereinUpgradeaufeinAdministratorkontodurchführen,bevorDUPausgeführtwerdenkönnen.

Wenn ein DUP im GUI-Modusausgeführtwird,erfordertdasWindowsServer2008-BetriebssystemdieErteilungderBerechtigungfürdenVorgangdurchden

Benutzer.WenndasDUPjedochimunbeaufsichtigtenModusausgeführtwird,kannderBenutzerdasPopup-Fenster bzgl. der Berechtigung jedoch umgehen,

indemereinederfolgendenMaßnahmenausführt:

l ÄndernderGruppensicherheitsrichtlinie,Benutzerkontosteuerung:VerhaltenderErhöhungsaufforderungfürAdministratorenim

Administratorgenehmigungsmodus, zu Keine Aufforderung,umdasPopupzudeaktivierenoderBerechtigungenzuerhöhen,ohneeineAufforderung

bzgl. der Administratorgruppe auszugeben.

l Deaktivieren der UAC.

l AusführenvonDUPanhandvonScripts,wobeiSiesichwährendderLaufzeitalslokalerAdministratorausgeben.

UAC-EinschränkungenbeiRemote-AusführungvonDUP

StandardmäßigmeldensichnachdemStartderUACalleBenutzerdesAdministratorkontosalsStandardbenutzeran.AusdiesemGrundstehendieRechtezum

ZugriffaufkritischeSystemressourcenerstdannzurVerfügung,wennderBenutzerdieAufforderungzurBerechtigungserhöhungbestätigt.Durchdiese

EinschränkungwirddieOptionzurBereitstellungvonDUPimRemote-Zugriff deaktiviert. Die UAC gibt die Fehlermeldung Zugriff verweigert aus, wenn der

VerwaltungsknotenagentbasierendaufdiesenAnmeldeinformationenausgeführtwird.

Die UAC-Einschränkungenkönnenfolgendermaßenumgangenwerden:

l Aktivieren der Remote-Agent-VerwendungdeslokalenSystemkontoszumAusführeneinerDUP-Aktualisierung. Das lokale Systemkonto ist nicht durch

dieUACgeschützt(empfohleneOption).

l Verwenden des Kontos des lokalen Administrators auf allen Remote-Computern,aufdenenDUPausgeführtwerden.

l DeaktivierenderUACfüralleBenutzervonRemote-Computern (diese Option wird nicht empfohlen).

l Auf Remote-ComputernkeinUpgradeaufAdministratorkontodurchführen.

ZurückzumInhaltsverzeichnis



ANMERKUNG: Da die Benutzererfahrung mit dem Sicherheitsrichtilinien-Manager-Snap-In (secpol.msc) und mit der Gruppenrichtlinie konfigurierbar ist,

ergeben sich mehrere UAC-Benutzererfahrungen. Die in Ihrer Umgebung getroffene Konfigurationsauswahl hat Einfluss auf die Eingabeaufforderungen

undDialoge,diefürStandardbenutzer,Administratorenoderbeidegemeinsamangezeigtwerden.DieUACkanndurchDeaktivierenderEinstellung

Benutzerkontosteuerung:Administratorgenehmigungsmodusausführen deaktiviert werden und erfordert einen Systemneustart.

ANMERKUNG: NurzweiKonten(dasKontodeslokalenAdministratorsunddaslokaleSystemkonto)werdendurchdieUACnichtgeschützt.Beiallen

anderenBenutzern,einschließlichderKontenmitRechtenvonlokalenAdministratorenoderDomänenadministratoren,istdieUACstandardmäßig

aktiviert.ObgleichdieUACdurchAktualisierenderlokalenoderDomänen-Sicherheitsrichtlinie deaktiviert werden kann, wird diese Option nicht

empfohlen. Remote-BenutzermüssensichalsintegriertesKontoeineslokalenAdministratorsanmelden,oderihnenmussdieBerechtigungdeslokalen

Systemkontos zugewiesen werden, um ein DUP im Remote-Zugriff zu starten.