Benutzerkontensteuerung und WMI

Die Benutzerkontensteuerung (User Account Control, UAC) wirkt sich auf die WMI-Daten aus, die von einem Befehlszeilentool, Remotezugriff und der Ausführung von Skripts zurückgegeben werden. Weitere Informationen zu UAC finden Sie unter Erste Schritte mit Benutzerkontensteuerung.

In den folgenden Abschnitten werden UAC-Funktionen beschrieben:

Benutzerkontensteuerung

Unter UAC verfügen Konten in der lokalen Administratorgruppe über zwei Zugriffstoken, eine mit standardbenutzerrechten und einer mit Administratorrechten. Aufgrund der UAC-Zugriffstokenfilterung wird ein Skript normalerweise unter dem Standardbenutzertoken ausgeführt, es sei denn, es wird im Modus mit erhöhten Rechten "als Administrator" ausgeführt. Nicht alle Skripts erfordern Administratorrechte.

Skripts können nicht programmgesteuert bestimmen, ob sie unter einem Standardbenutzersicherheitstoken oder einem Administratortoken ausgeführt werden. Das Skript schlägt möglicherweise fehl, wenn ein Zugriff verweigert wurde. Wenn das Skript Administratorrechte erfordert, muss es im Modus mit erhöhten Rechten ausgeführt werden. Der Zugriff auf WMI-Namespaces unterscheidet sich je nachdem, ob das Skript im Modus mit erhöhten Rechten ausgeführt wird. Einige WMI-Vorgänge, z. B. das Abrufen von Daten oder das Ausführen der meisten Methoden, erfordern nicht, dass das Konto als Administrator ausgeführt wird. Weitere Informationen zu standardzugriffsberechtigungen finden Sie unter Access to WMI Namespaces and Executing Privileged Operations.

Aufgrund der Benutzerkontensteuerung muss sich das Konto, das das Skript ausführt, in der Gruppe "Administratoren" auf dem lokalen Computer befinden, damit er mit erhöhten Rechten ausgeführt werden kann.

Sie können ein Skript oder eine Anwendung mit erhöhten Rechten ausführen, indem Sie eine der folgenden Methoden ausführen:

So führen Sie ein Skript im Modus mit erhöhten Rechten aus

  1. Öffnen Sie ein Eingabeaufforderungsfenster, indem Sie mit der rechten Maustaste auf die Eingabeaufforderung in der Startmenü klicken und dann auf "Als Administrator ausführen" klicken.
  2. Planen Sie das Skript so, dass das Skript mit erhöhten Rechten mithilfe des Task Scheduler ausgeführt wird. Weitere Informationen finden Sie unter Security Contexts for Running Tasks.
  3. Führen Sie das Skript mithilfe des integrierten Administratorkontos aus.

Konto erforderlich, um WMI-Command-Line-Tools auszuführen

Zum Ausführen der folgenden WMI-Command-Line-Tools muss sich Ihr Konto in der Gruppe "Administratoren" befinden, und das Tool muss aus einer Eingabeaufforderung mit erhöhten Rechten ausgeführt werden. Das integrierte Administratorkonto kann diese Tools auch ausführen.

  • mofcomp

  • wmic

    Beim ersten Ausführen von Wmic nach der Systeminstallation muss sie über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt werden. Der Modus mit erhöhten Rechten ist möglicherweise nicht für nachfolgende Ausführungen von Wmic erforderlich, es sei denn, die WMI-Vorgänge erfordern Administratorberechtigungen.

  • winmgmt

  • wmiadap

Wenn Sie das WMI-Steuerelement (Wmimgmt.msc) ausführen und Änderungen an den Sicherheits- oder Überwachungseinstellungen des WMI-Namespace vornehmen möchten, muss Ihr Konto das Rechte "Sicherheit bearbeiten" explizit erteilt oder in der lokalen Gruppe "Administratoren" enthalten sein. Das integrierte Administratorkonto kann auch die Sicherheit oder Überwachung für einen Namespace ändern.

Wbemtest.exe kann ein Befehlszeilentool, das von Microsoft-Kundensupportdiensten nicht unterstützt wird, von Konten ausgeführt werden, die sich nicht in der lokalen Administratorgruppe befinden, es sei denn, ein bestimmter Vorgang erfordert Berechtigungen, die normalerweise Administratorkonten gewährt werden.

Behandeln von Remoteverbindungen unter UAC

Gibt an, ob Sie eine Verbindung mit einem Remotecomputer in einer Domäne oder in einer Arbeitsgruppe herstellen, ob die UAC-Filterung auftritt.

Wenn Ihr Computer Teil einer Domäne ist, stellen Sie eine Verbindung mit dem Zielcomputer mithilfe eines Domänenkontos her, das sich in der lokalen Administratorgruppe des Remotecomputers befindet. Dann wirkt sich die UAC-Zugriffstokenfilterung nicht auf die Domänenkonten in der lokalen Administratorgruppe aus. Verwenden Sie kein lokales, nicht domänenfreies Konto auf dem Remotecomputer, auch wenn sich das Konto in der Gruppe "Administratoren" befindet.

In einer Arbeitsgruppe ist das Konto, das eine Verbindung mit dem Remotecomputer herstellt, ein lokaler Benutzer auf diesem Computer. Auch wenn sich das Konto in der Gruppe "Administratoren" befindet, bedeutet die UAC-Filterung, dass ein Skript als Standardbenutzer ausgeführt wird. Eine bewährte Methode besteht darin, eine dedizierte lokale Benutzergruppe oder ein Benutzerkonto auf dem Zielcomputer speziell für Remoteverbindungen zu erstellen.

Die Sicherheit muss angepasst werden, um dieses Konto verwenden zu können, da das Konto nie über Administratorrechte verfügt. Geben Sie dem lokalen Benutzer Folgendes:

  • Remotestart- und Aktivierungsrechte für den Zugriff auf DCOM. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit WMI auf einem Remotecomputer.
  • Rechte für den Zugriff auf den WMI-Namespace remote (Remote Enable). Weitere Informationen finden Sie unter Access to WMI Namespaces.
  • Recht auf Zugriff auf das bestimmte sicherungsfähige Objekt, abhängig von der sicherheit, die vom Objekt benötigt wird.

Wenn Sie ein lokales Konto verwenden, entweder weil Sie sich in einer Arbeitsgruppe befinden oder es sich um ein lokales Computerkonto handelt, müssen Sie möglicherweise bestimmten Aufgaben einem lokalen Benutzer zuweisen. Beispielsweise können Sie dem Benutzer das Recht erteilen, einen bestimmten Dienst über den befehl SC.exe, die Methoden GetSecurityDescriptor und SetSecurityDescriptor von Win32_Service oder über Gruppenrichtlinie mithilfe von Gpedit.msc zu beenden oder zu starten. Einige sicherungsfähige Objekte erlauben möglicherweise nicht, dass ein Standardbenutzer Aufgaben ausführt und keine Möglichkeit bietet, die Standardsicherheit zu ändern. In diesem Fall müssen Sie UAC möglicherweise deaktivieren, damit das lokale Benutzerkonto nicht gefiltert wird und stattdessen ein vollständiger Administrator wird. Beachten Sie, dass das Deaktivieren der UAC aus Sicherheitsgründen ein letztes Mittel sein sollte.

Das Deaktivieren von Remote-UAC durch Ändern des Registrierungseintrags, der Remote-UAC steuert, wird nicht empfohlen, kann aber in einer Arbeitsgruppe erforderlich sein. Der Registrierungseintrag ist HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\\Windows\ CurrentVersionPoliciessystemLocalAccountTokenFilterPolicy.\\\ Wenn der Wert dieses Eintrags null (0) ist, ist Remote-UAC-Zugriffstokenfilterung aktiviert. Wenn der Wert 1 ist, ist Remote-UAC deaktiviert.

UAC-Effekt auf WMI-Daten, die an Skripts oder Anwendungen zurückgegeben werden

Wenn ein Skript oder eine Anwendung unter einem Konto in der Gruppe "Administratoren" ausgeführt wird, aber nicht mit erhöhten Rechten ausgeführt wird, erhalten Sie möglicherweise nicht alle zurückgegebenen Daten, da dieses Konto als Standardbenutzer ausgeführt wird. Die WMI-Anbieter für einige Klassen geben nicht alle Instanzen an ein Standardbenutzerkonto oder ein Administratorkonto zurück, das aufgrund der UAC-Filterung nicht als vollständiger Administrator ausgeführt wird.

Die folgenden Klassen geben keine Instanzen zurück, wenn das Konto nach UAC gefiltert wird:

Die folgenden Klassen geben keine Eigenschaften zurück, wenn das Konto nach UAC gefiltert wird:

Informationen zu WMI

Zugriff auf WMI Sicherungsobjekte

Ändern der Zugriffssicherheit für sicherungsfähige Objekte