Informationen für fortgeschrittene Benutzer, das integrierte Administratorkonto in Windows Vista

Unterstützung für Windows Vista ohne installierte Servicepacks endete am 13. April 2010. Um weiterhin Sicherheitsupdates für Windows zu erhalten, stellen Sie sicher, dass Sie Windows Vista mit Service Pack 2 (SP2) ausführen. Weitere Informationen finden Sie auf dieser Microsoft-Website: die Unterstützung endet für einige Versionen von Windows

Einführung

Dieser Artikel beschreibt das integrierte Administratorkonto in Windows Vista geändert.

Weitere Informationen

Hintergrund

Standardmäßig wird das integrierte Administratorkonto Administrator bezeichnet. Außerdem ist das integrierte Administratorkonto der relativen ID (RID) 500 zugewiesen. In Windows Vista ist der Standardkontotyp Benutzer Standardbenutzer. Standard-Benutzer ist ein Benutzer mit eingeschränkten Berechtigungen Windows-Berechtigungen beschränkt. Die folgenden Abschnitte Einzelheiten wie das integrierte Administratorkonto besser reduzieren die Angriffsfläche integrierte Benutzerkonten in Windows Vista geändert hat.

Hinweis Diese Änderungen gelten nur für das integrierte Administratorkonto RID 500.

Verhalten bei der Installation von Windows Vista als neue installation

Standardmäßig wird bei einer neuen Installation von Windows Vista das integrierte Administratorkonto deaktiviert. Dieses Verhalten tritt auf, wenn das Standardverhalten in der Datei Unattend.xml überschrieben wird. Weitere Informationen zur Verwendung die Datei Unattend.xml in Windows Vista finden Sie auf der folgenden Microsoft-Website:Das Element < SkipMachineOOBE > treu Windows-Willkommensseite überspringen festgelegt, müssen Sie ein Benutzerkonto erstellen oder geben Sie ein Administratorkennwort mithilfe der Komponente Microsoft-Windows-Shell-Setup. Andernfalls keine dieser Aktionen können Sie an dem Computer anmelden, wenn den Computer im abgesicherten Modus neu zu starten.

Im folgenden Codebeispiel wird das integrierte Administratorkonto mit dem < Anmeldung >-Element in der Datei Unattend.xml aktivieren. Im folgenden Codebeispiel zeigt außerdem wie < SkipMachineOOBE >-Element verwendet.
<AutoLogon>    <Enabled>true</Enabled>
<LogonCount>9999</LogonCount>
<Username>Administrator</Username>
<Password>
<Value>""</Value>
<PlainText>true</PlainText>
</Password>
</AutoLogon>
<OOBE>
<HideEULAPage>true</HideEULAPage>
<ProtectYourPC>3</ProtectYourPC>
<SkipMachineOOBE>true</SkipMachineOOBE>
<SkipUserOOBE>true</SkipUserOOBE>
</OOBE>
<UserAccounts>
<AdministratorPassword>
<Value>""</Value>
<PlainText>true</PlainText>
</AdministratorPassword>
</UserAccounts>

Hinweise
  • In der Datei Unattend.xml bestimmt das < Wert > Element des Kennworts für das integrierte Administratorkonto. Dieses Codebeispiel < Value >-Element. Wir empfehlen, ein sicheres Kennwort für das integrierte Administratorkonto zu erstellen. Weitere Informationen zu sicheren Kennwörtern finden Sie auf der folgenden Microsoft-Website:
  • Unabhängig vom Status des integrierten Administratorkontos vor dem Ausführen der Sysprep.exe/OOBE Befehl das integrierte Administratorkonto deaktiviert, nachdem die Installation abgeschlossen ist.

Verhalten bei der Aktualisierung von Windows XP auf Windows Vista

Wenn das integrierte Administratorkonto das einzige aktive lokale Administratorkonto während der Aktualisierung von Windows XP ist, lässt Windows Vista das integrierte Administratorkonto aktiviert. Außerdem setzt Windows Vista das integrierte Administratorkonto im Administratorgenehmigungsmodus. Administratorgenehmigungsmodus ist eine Komponente der Benutzerkontensteuerung (UAC). UAC muss ein Administrator eine Aktion genehmigt, die Administratoranmeldeinformationen erfordert.

Wenn eine oder mehrere der folgenden Situationen zutrifft, ist das integrierte Administratorkonto nicht aktive lokale Administratorkonto:
  • Das integrierte Administratorkonto ist nicht in den lokalen Security Accounts Manager (SAM) gefunden.
  • Das integrierte Administratorkonto ist nicht Mitglied der Gruppe Administratoren.
  • Das integrierte Administratorkonto ist deaktiviert.
  • Das integrierte Administratorkonto wird in die Einstellung Lokal anmelden verweigern definiert.
  • Der Name des integrierten Administratorkontos wird explizit aus dem Windows-Anmeldebildschirm gefiltert.
Der folgenden Registrierungsschlüssel bestimmt, ob ein Benutzerkontonamen explizit aus dem Windows-Anmeldebildschirm gefiltert wird.
RegistrierungsschlüsselHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
WertUserAccountName
TypDWORD32
Wert0 = wird nicht auf dem Windows-Anmeldebildschirm angezeigt
Jeder Wert größer als 0 = erscheint auf dem Windows-Anmeldebildschirm
Hinweis Wenn das integrierte Administratorkonto explizit definiert ist, auf dem Windows-Anmeldebildschirm angezeigt, ermöglicht Windows Vista das integrierte Administratorkonto. Außerdem setzt Windows Vista das integrierte Administratorkonto in Administratorgenehmigungsmodus. Dieses Verhalten tritt unabhängig von der aktive lokale Administratorkonto.

Verhalten beim Starten des Computers im abgesicherten Modus

Wenn das integrierte Administratorkonto deaktiviert ist, können Sie Anmelden an einen Computer im abgesicherten Modus mit das integrierte Administratorkonto, wenn Folgendes zutrifft:
  • Der Computer ist Mitglied einer Domäne.
  • Mindestens eine aktive lokale Administratorkonto vorhanden ist.
Allerdings können Sie auf dem Computer anmelden aktive lokale Administratorkonto verwenden. Im Abgesicherter Modus können Sie sich am Computer Anmelden das deaktivierte integrierte Administratorkonto für die Wiederherstellung verwenden, wenn Folgendes zutrifft:
  • Sie herabstufen versehentlich das letzte lokale Administratorkonto.
  • Sie deaktivieren versehentlich das letzte lokale Administratorkonto.
  • Sie löschen versehentlich das letzte lokale Administratorkonto.
Vor dem Neustart des Computers erstellen Sie ein neue aktive lokale Administratorkonto oder Wiederherstellen Sie einer alten aktive lokale Administratorkonto.

Wenn das integrierte Administratorkonto deaktiviert ist, können Sie sich an einem Computer anmelden, die Mitglied einer Domäne im abgesicherten Modus ist mit dem integrierten Administratorkonto an. Standardmäßig können Sie Anmelden am Computer als Mitglied der Gruppe Domänen-Admins eine aktive lokale Administratorkonto erstellen, wenn eine aktive lokale Administratorkonto ist nicht vorhanden. Wenn Sie nicht am Computer als Mitglied der Gruppe Domänen-Admins vor angemeldet haben, müssen Sie den Computer im "abgesicherten Modus mit Netzwerktreibern" starten. Dies ist erforderlich, da die Anmeldeinformationen nicht zwischengespeichert wurden. Nachdem der Computer von der Domäne getrennt wird, wird der Computer das Verhalten eines Computers, der nicht Mitglied einer Domäne ist.

Hinweis Stellen Sie sicher, dass Sie die Benutzernamen und Kennwörter für die anderen aktiven lokalen Administratorkonten nicht vergessen. Wenn das integrierte Administratorkonto deaktiviert ist und die Benutzernamen und Kennwörter für die anderen aktiven lokalen Administratorkonten vergessen, können zusätzliche administrative Computers ändern möglich. Darüber hinaus können sich überhaupt möglich. Privatbenutzer sollten treffen Sie folgende Vorsichtsmaßnahmen, um sicherzustellen, dass sie Zugriff auf den anderen aktiven lokalen Administratorkonten nicht verlieren:
  • Im Bedienfeld mit der Assistent für vergessene Kennwörter Benutzerkonten eine Kennwortrücksetzdiskette für Konten erstellt. Bewahren Sie die Kennwortrücksetzdiskette an einem sicheren Ort oder speichern Sie USB-Wechseldatenträger an einem sicheren Ort.
  • Erstellen Sie Kennworthinweise für Konten.
  • Beachten Sie die Benutzernamen und Kennwörter und speichern Sie die Benutzernamen und Kennwörter an einem sicheren Ort.
Eigenschaften

Artikelnummer: 942956 – Letzte Überarbeitung: 14.01.2017 – Revision: 1

Feedback