Beschreibung der Benutzerkontensteuerung und Remoteeinschränkungen in Windows Vista

In diesem Artikel werden benutzerkontensteuerung (User Account Control, UAC) und Remoteeinschränkungen beschrieben.

Gilt für:   Windows Vista
Ursprüngliche KB-Nummer:   951016

Einführung

Die Benutzerkontensteuerung (User Account Control, UAC) ist eine neue Sicherheitskomponente von Windows Vista. Mit der Benutzerkontenkonsole können Benutzer allgemeine tägliche Aufgaben als Nicht-Administratoren ausführen. Diese Benutzer werden in Windows Vista als Standardbenutzer bezeichnet. Benutzerkonten, die Mitglieder der lokalen Administratorengruppe sind, führen die meisten Anwendungen nach dem Prinzip der geringsten Rechte aus. In diesem Szenario verfügen Benutzer mit den geringsten Rechten über Rechte, die den Rechten eines Standardbenutzerkontos ähneln. Wenn jedoch ein Mitglied der lokalen Administratorengruppe eine Aufgabe ausführen muss, die Administratorrechte erfordert, fordert Windows Vista den Benutzer automatisch zur Genehmigung auf.

Funktionsweise von UAC-Remoteeinschränkungen

Um die Benutzer, die Mitglieder der lokalen Administratorengruppe sind, besser zu schützen, implementieren wir UAC-Einschränkungen im Netzwerk. Dieser Mechanismus trägt dazu bei, Loopbackangriffe zu verhindern. Dieser Mechanismus verhindert auch, dass lokale Schadsoftware remote mit Administratorrechten ausgeführt wird.

Lokale Benutzerkonten (Security Account Manager-Benutzerkonto)

Wenn ein Benutzer, der mitglied der lokalen Administratorengruppe auf dem Ziel-Remotecomputer ist, beispielsweise mithilfe des Befehls "Net Use" eine *\\remotecomputer\Share$ Remoteverwaltungsverbindung herstellt, stellt er keine Verbindung als vollständiger Administrator her. Der Benutzer verfügt auf dem Remotecomputer nicht über erhöhte Rechte, und der Benutzer kann keine administrativen Aufgaben ausführen. Wenn der Benutzer die Arbeitsstation mit einem SAM-Konto (Security Account Manager) verwalten möchte, muss sich der Benutzer interaktiv auf dem Computer anmelden, der mit Remoteunterstützung oder Remotedesktop verwaltet werden soll, sofern diese Dienste verfügbar sind.

Domänenbenutzerkonten (Active Directory-Benutzerkonto)

Ein Benutzer, der über ein Domänenbenutzerkonto verfügt, meldet sich remote an einem Windows Vista-Computer an. Und der Domänenbenutzer ist Mitglied der Gruppe "Administratoren". In diesem Fall wird der Domänenbenutzer mit einem vollständigen Administratorzugriffstoken auf dem Remotecomputer ausgeführt, und die Benutzerkontensteuerung ist nicht wirksam.

Hinweis

Dieses Verhalten unterscheidet sich nicht vom Verhalten in Windows XP.

So deaktivieren Sie UAC-Remoteeinschränkungen

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Führen Sie die folgenden Schritte aus, um UAC-Remoteeinschränkungen zu deaktivieren:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "regedit" ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. Wenn der LocalAccountTokenFilterPolicy Registrierungseintrag nicht vorhanden ist, führen Sie die folgenden Schritte aus:

    1. Zeigen Sie im Menü "Bearbeiten" auf "Neu", und wählen Sie dann DWORD-Wert aus.
    2. Geben Sie LocalAccountTokenFilterPolicy ein, und drücken Sie dann die EINGABETASTE.
  4. Klicken Sie mit der rechten Maustaste auf "LocalAccountTokenFilterPolicy", und wählen Sie dann "Ändern" aus.

  5. Geben Sie im Feld Wert den Wert 1 ein, und wählen Sie dann OK aus.

  6. Beenden Sie den Registrierungs-Editor.

Wurde das Problem dadurch behoben?

Testen Sie, ob das Problem behoben ist. Wenn das Problem nicht behoben ist, wenden Sie sich an den Support.

UAC-Remoteeinstellungen

Der Registrierungseintrag "LocalAccountTokenFilterPolicy" kann den Wert 0 oder 1 haben. Diese Werte ändern das Verhalten des Registrierungseintrags in das verhalten, das in der folgenden Tabelle beschrieben wird.

Wert Beschreibung
0 Dieser Wert erstellt ein gefiltertes Token. Dies ist der Standardwert. Die Administratoranmeldeinformationen werden entfernt.
1 Dieser Wert erstellt ein Token mit erhöhten Rechten.