Beschreibung der Benutzerkontensteuerung und Remoteeinschränkungen in Windows Vista
In diesem Artikel werden Die Benutzerkontensteuerung (User Account Control, UAC) und Remoteeinschränkungen beschrieben.
Gilt für: Windows Vista
Ursprüngliche KB-Nummer: 951016
Einführung
Die Benutzerkontensteuerung (User Account Control, UAC) ist eine neue Sicherheitskomponente von Windows Vista. Mit der Benutzerkontensteuerung können Benutzer allgemeine tägliche Aufgaben als Nichtadministratoren ausführen. Diese Benutzer werden in Windows Vista als Standardbenutzer bezeichnet. Benutzerkonten, die Mitglieder der lokalen Administratorgruppe sind, führen die meisten Anwendungen nach dem Prinzip der geringsten Rechte aus. In diesem Szenario verfügen Benutzer mit den geringsten Rechten über Rechte, die den Rechten eines Standardbenutzerkontos ähneln. Wenn jedoch ein Mitglied der lokalen Administratorgruppe eine Aufgabe ausführen muss, die Administratorrechte erfordert, fordert Windows Vista den Benutzer automatisch zur Genehmigung auf.
Funktionsweise von UAC-Remoteeinschränkungen
Um die Benutzer, die Mitglieder der lokalen Administratorgruppe sind, besser zu schützen, implementieren wir UAC-Einschränkungen für das Netzwerk. Dieser Mechanismus hilft, Loopbackangriffe zu verhindern. Dieser Mechanismus verhindert auch, dass lokale Schadsoftware remote mit Administratorrechten ausgeführt wird.
Lokale Benutzerkonten (Security Account Manager-Benutzerkonto)
Wenn ein Benutzer, der Mitglied der lokalen Administratorgruppe auf dem Ziel-Remotecomputer ist, beispielsweise mithilfe des Befehls net use *\\remotecomputer\Share$ eine Remoteverwaltungsverbindung herstellt, stellt er keine Verbindung als Volladministrator her. Der Benutzer hat auf dem Remotecomputer kein Rechteerweiterungspotenzial, und der Benutzer kann keine administrativen Aufgaben ausführen. Wenn der Benutzer die Arbeitsstation mit einem SAM-Konto (Security Account Manager) verwalten möchte, muss er sich interaktiv bei dem Computer anmelden, der mit Remoteunterstützung oder Remotedesktop verwaltet werden soll, sofern diese Dienste verfügbar sind.
Domänenbenutzerkonten (Active Directory-Benutzerkonto)
Ein Benutzer mit einem Domänenbenutzerkonto meldet sich remote bei einem Windows Vista-Computer an. Außerdem ist der Domänenbenutzer Mitglied der Gruppe "Administratoren". In diesem Fall wird der Domänenbenutzer mit einem Volladministratorzugriffstoken auf dem Remotecomputer ausgeführt, und die UAC ist nicht wirksam.
Hinweis
Dieses Verhalten unterscheidet sich nicht vom Verhalten in Windows XP.
Deaktivieren von UAC-Remoteeinschränkungen
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Führen Sie die folgenden Schritte aus, um UAC-Remoteeinschränkungen zu deaktivieren:
Klicken Sie auf Start und dann auf Ausführen, geben Sie regedit ein, und drücken Sie die Eingabetaste.
Klicken Sie auf den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemWenn der
LocalAccountTokenFilterPolicyRegistrierungseintrag nicht vorhanden ist, führen Sie die folgenden Schritte aus:- Zeigen Sie im Menü Bearbeiten auf Neu, und wählen Sie dann DWORD-Wert aus.
- Geben Sie LocalAccountTokenFilterPolicy ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf LocalAccountTokenFilterPolicy, und wählen Sie dann Ändern aus.
Geben Sie im Feld Wertdatenden Wert 1 ein, und wählen Sie dann OK aus.
Beenden Sie den Registrierungs-Editor.
Hat dies das Problem behoben?
Testen Sie, ob das Problem behoben ist. Wenn das Problem nicht behoben ist, wenden Sie sich an den Support.
UAC-Remoteeinstellungen
Der Registrierungseintrag LocalAccountTokenFilterPolicy kann den Wert 0 oder 1 aufweisen. Diese Werte ändern das Verhalten des Registrierungseintrags in das in der folgenden Tabelle beschriebene.
| Wert | Beschreibung |
|---|---|
| 0 | Dieser Wert erstellt ein gefiltertes Token. Dies ist der Standardwert. Die Administratoranmeldeinformationen werden entfernt. |
| 1 | Dieser Wert erstellt ein Token mit erhöhten Rechten. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für