Freigeben über

Beschreibung der Benutzerkontensteuerung und Remoteeinschränkungen in Windows Vista

  • Artikel

In diesem Artikel werden die Benutzerkontensteuerung (User Account Control, UAC) und Remoteeinschränkungen beschrieben.

Gilt für: Windows Vista
Ursprüngliche KB-Nummer: 951016

Einführung

Die Benutzerkontensteuerung (User Account Control, UAC) ist eine neue Sicherheitskomponente von Windows Vista. Mit der UAC können Benutzer allgemeine tägliche Aufgaben als Nichtadministratoren ausführen. Diese Benutzer werden als Standardbenutzer in Windows Vista bezeichnet. Benutzerkonten, die Mitglieder der lokalen Administratorgruppe sind, führen die meisten Anwendungen mithilfe des Prinzips der geringsten Berechtigungen aus. In diesem Szenario verfügen benutzer mit den geringsten Rechten über Rechte, die den Rechten eines Standardbenutzerkontos ähneln. Wenn ein Mitglied der lokalen Administratorgruppe jedoch eine Aufgabe ausführen muss, die Administratorrechte erfordert, fordert Windows Vista den Benutzer automatisch zur Genehmigung auf.

Funktionsweise von UAC-Remoteeinschränkungen

Um die Benutzer, die Mitglieder der lokalen Administratorgruppe sind, besser zu schützen, implementieren wir UAC-Einschränkungen im Netzwerk. Dieser Mechanismus verhindert Loopbackangriffe . Dieser Mechanismus verhindert außerdem, dass lokale Schadsoftware remote mit Administratorrechten ausgeführt wird.

Lokale Benutzerkonten (Security Account Manager-Benutzerkonto)

Wenn ein Benutzer, der Mitglied der lokalen Administratorgruppe auf dem Ziel-Remotecomputer ist, eine Remoteverwaltungsverbindung mithilfe des Befehls "Net Use *\\remotecomputer\Share$ " herstellt, z. B. wird keine Verbindung als Volladministrator hergestellt. Der Benutzer hat kein Erhöhungspotenzial auf dem Remotecomputer, und der Benutzer kann keine Administrativen Aufgaben ausführen. Wenn der Benutzer die Arbeitsstation mit einem SAM-Konto (Security Account Manager) verwalten möchte, muss sich der Benutzer interaktiv auf dem Computer anmelden, der mit Remoteunterstützung oder Remotedesktop verwaltet werden soll, wenn diese Dienste verfügbar sind.

Domänenbenutzerkonten (Active Directory-Benutzerkonto)

Ein Benutzer, der über ein Domänenbenutzerkonto verfügt, meldet sich remote auf einem Windows Vista-Computer an. Und der Domänenbenutzer ist Mitglied der Gruppe "Administratoren". In diesem Fall wird der Domänenbenutzer mit einem Volladministratorzugriffstoken auf dem Remotecomputer ausgeführt, und die Benutzerkontensteuerung wird nicht wirksam.

Notiz

Dieses Verhalten unterscheidet sich nicht vom Verhalten in Windows XP.

So deaktivieren Sie UAC-Remoteeinschränkungen

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Führen Sie die folgenden Schritte aus, um UAC-Remoteeinschränkungen zu deaktivieren:

  1. Klicken Sie auf Start und dann auf Ausführen. Geben Sie regedit ein, und drücken Sie die EINGABETASTE.

  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. Wenn der LocalAccountTokenFilterPolicy Registrierungseintrag nicht vorhanden ist, gehen Sie wie folgt vor:

    1. Zeigen Sie im Menü Bearbeiten auf Neu und wählen Sie dann DWORD-Wert.
    2. Geben Sie LocalAccountTokenFilterPolicy ein, und drücken Sie die EINGABETASTE.

  4. Klicken Sie mit der rechten Maustaste auf LocalAccountTokenFilterPolicy, und wählen Sie dann Ändern aus.

  5. Geben Sie im Datenfeld Wert den Wert 1 ein, und wählen Sie dann OK aus.

  6. Beenden Sie den Registrierungs-Editor.

Das Problem wurde dadurch behoben

Testen Sie, ob das Problem behoben ist. Wenn das Problem nicht behoben ist, wenden Sie sich an den Support.

UAC-Remoteeinstellungen

Der Registrierungseintrag "LocalAccountTokenFilterPolicy " kann den Wert 0 oder 1 aufweisen. Diese Werte ändern das Verhalten des Registrierungseintrags in das in der folgenden Tabelle beschriebene.

Wert Beschreibung
0 Dieser Wert erstellt ein gefiltertes Token. Dies ist der Standardwert. Die Administratoranmeldeinformationen werden entfernt.
1 Dieser Wert erstellt ein Token mit erhöhten Rechten.