Users Guide
10
Microsoft Windows Server 2008
Benutzerkontensteuerung
Bei Versionen von Windows Server 2008 und früher waren Benutzerkonten oft Mitglieder der Gruppe lokaler
Administratoren und hatten Zugriff auf Administratorrechte. Mitglieder der Gruppe lokaler Administratoren installieren,
aktualisieren und ausführen Software, da Administratorkonten über systemweiten Zugriff verfügen. Wenn ein Benutzer
der Gruppe lokaler Administratoren hinzugefügt wird, werden diesem Benutzer automatisch Windows-Berechtigungen
gewährt. Diese Berechtigungen bieten Zugriff auf alle Betriebssystemressourcen. Folglich stellen Benutzerkonten mit
Administratorrechten dadurch ein Sicherheitsrisiko dar, dass sie Zugriff auf Betriebssystemressourcen bieten, die durch
bösartige Software (oder Malware) ausgenutzt werden können.
Benutzerkontensteuerung (UAC) ist eine neue Sicherheitsfunktion des Windows Server 2008-Betriebssystems. Bei
Aktivierung wird der Zugriff auf kritische Systemressourcen für alle Benutzer außer dem integrierten lokalen
Administrator eingeschränkt.
Die drei Typen von Benutzerkonten im Windows Server 2008-Betriebssystem sind:
• Domänenadministratorkonto – ein Benutzerkonto mit Administratorrechten.
• Standardbenutzerkonto – ein Konto, das den Benutzer berechtigt, Software zu installieren und Änderungen an
Systemeinstellungen vorzunehmen, die keinen Einfluss auf andere Benutzer oder die Sicherheit des Computers
haben.
• Konto des lokalen Administrators – der Standard-Superbenutzer des Betriebssystems.
Die Benutzererfahrung bei einem Domänenadministratorkonto unterscheidet sich vom Konto eines lokalen
Administrators, wenn die UAC aktiviert ist. Wenn für ein Domänenadministratorkonto der Zugriff auf kritische
Systemressourcen erforderlich ist, stellt das Betriebssystem Windows Server 2008 vor dem Start eines Programms oder
eines Tasks, die vollständigen Administratorzugriff voraussetzen, eine Anforderung an einen der folgenden Punkte:
• Genehmigung, Berechtigungen zu erhöhen (bei Benutzern der Domänenadministratorgruppe)
• Anmeldeinformationen des Domänenadministrators zum Erhöhen von Berechtigungen (bei Standardbenutzern)
Die UAC fordert Benutzer der Domänenadministratorgruppe (außer dem Administratorkonto) auf, auf Weiter zu klicken,
wenn Berechtigungen erhöht werden sollen, oder auf Abbrechen zu klicken, wenn Funktionen ausgeführt werden
sollen, die ein Sicherheitsrisiko darstellen könnten. Zur Verwendung der UAC müssen Benutzer ein Upgrade auf ein
Administratorkonto durchführen, bevor DUP ausgeführt werden können.
ANMERKUNG: Da die Benutzererfahrung mit dem Sicherheitsrichtlinien-Manager-Snap-In (secpol.msc) und mit
der Gruppenrichtlinie konfigurierbar ist, ergeben sich verschiedene UAC-Benutzererfahrungen. Die in der
Umgebung getroffene Konfigurationsauswahl hat Einfluss auf die Eingabeaufforderungen und Dialoge, die für
Standardbenutzer, Administratoren oder beide gemeinsam angezeigt werden. Die UAC kann durch Deaktivieren
der Einstellung Benutzerkontosteuerung: Administratorgenehmigungsmodus ausführen deaktiviert werden und
erfordert einen Systemneustart.
Wenn ein DUP im GUI-Modus ausgeführt wird, erfordert das Windows Server 2008-Betriebssystem die Erteilung der
Berechtigung für den Vorgang durch den Benutzer. Wenn das DUP jedoch im unbeaufsichtigten Modus ausgeführt wird,
kann der Benutzer das Popup-Fenster bzgl. der Berechtigung jedoch umgehen, indem er eine der folgenden
Maßnahmen ausführt:
51