Benutzerkontensteuerung und WMI

  • Artikel

Die Benutzerkontensteuerung (User Account Control, UAC) hat Auswirkungen auf die von einem Befehlszeilentool zurückgegebenen WMI-Daten, auf den Remotezugriff und darauf, wie Skripts ausgeführt werden müssen. Weitere Informationen finden Sie unter Verwenden der Benutzerkontensteuerung (User Account Control, UAC) in Windows Vista.

In den folgenden Abschnitten werden Funktionen der Benutzerkontensteuerung beschrieben:

Benutzerkontensteuerung

Unter der Benutzerkontensteuerung verfügen Konten in der lokalen Administratorgruppe über zwei Zugriffstoken: eins mit Standardbenutzerrechten und eins mit Administratorrechten. Aufgrund der Zugriffstokenfilterung der Benutzerkontensteuerung wird ein Skript normalerweise unter dem Standardbenutzertoken ausgeführt, es sei denn, es wird „als Administrator*in“ im Modus mit erhöhten Rechten ausgeführt. Nicht alle Skripts erfordern Administratorrechte.

Skripts können nicht programmgesteuert ermitteln, ob sie unter einem Standardbenutzer-Sicherheitstoken oder unter einem Administratortoken ausgeführt werden. Für das Skript tritt möglicherweise ein Fehler vom Typ „Zugriff verweigert“ auf. Wenn das Skript Administratorrechte erfordert, muss es im Modus mit erhöhten Rechten ausgeführt werden. Der Zugriff auf WMI-Namespaces unterscheidet sich abhängig davon, ob das Skript im Modus mit erhöhten Rechten ausgeführt wird. Bei einigen WMI-Vorgängen (etwa beim Abrufen von Daten oder beim Ausführen der meisten Methoden) muss das Konto nicht als Administrator*in ausgeführt werden. Weitere Informationen zu Standardzugriffsberechtigungen finden Sie unter Zugriff auf WMI-Namespaces sowie unter Ausführen von privilegierten Vorgängen.

Aufgrund der Benutzerkontensteuerung muss sich das Konto, von dem das Skript ausgeführt wird, in der lokalen Administratorgruppe auf dem lokalen Computer befinden, damit eine Ausführung mit erhöhten Rechten möglich ist.

Sie können ein Skript oder eine Anwendung mit erhöhten Rechten ausführen, indem Sie eine der folgenden Methoden verwenden:

So führen Sie ein Skript im Modus mit erhöhten Rechten aus

  1. Öffnen Sie ein Eingabeaufforderungsfenster, indem Sie im Startmenü mit der rechten Maustaste auf „Eingabeaufforderung“ klicken und anschließend auf Als Administrator ausführen klicken.
  2. Planen Sie die Ausführung des Skripts mit erhöhten Rechten mithilfe der Aufgabenplanung. Weitere Informationen finden Sie unter Sicherheitskontexte für Aufgaben.
  3. Führen Sie das Skript unter Verwendung des integrierten Administratorkontos aus.

Erforderliches Konto zum Ausführen von WMI-Befehlszeilentools

Zum Ausführen der folgenden WMI-Befehlszeilentools muss sich Ihr Konto in der Gruppe „Administratoren“ befinden, und das Tool muss über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt werden. Das integrierte Administratorkonto kann diese Tools ebenfalls ausführen.

  • mofcomp

  • wmic

    Wenn Sie „wmic“ nach der Systeminstallation zum ersten Mal ausführen, muss es über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt werden. Der Modus mit erhöhten Rechten wird bei nachfolgenden Ausführungen von „wmic“ möglicherweise nicht benötigt, es sei denn, die für die WMI-Vorgänge sind Administratorrechte erforderlich.

  • winmgmt

  • wmiadap

Um die WMI-Steuerung (Wmimgmt.msc) ausführen und Änderungen an den Sicherheits- oder Überwachungseinstellungen des WMI-Namespace vornehmen zu können, muss Ihrem Konto explizit das Recht „Sicherheit bearbeiten“ gewährt werden, oder es muss sich in der lokalen Administratorgruppe befinden. Das integrierte Administratorkonto kann ebenfalls die Sicherheit oder Überwachung für einen Namespace ändern.

„wbemtest.exe“ ist ein Befehlszeilentool, für das der Microsoft-Kundendienst keinen Support bereitstellt. Es kann von Konten ausgeführt werden, die sich nicht in der lokalen Administratorgruppe befinden, es sei denn, ein bestimmter Vorgang erfordert Rechte, die normalerweise Administratorkonten erteilt werden.

Behandeln von Remoteverbindungen unter der Benutzerkontensteuerung

Ob eine Filterung durch die Benutzerkontensteuerung erfolgt, hängt davon ab, ob Sie eine Verbindung mit einem Remotecomputer in einer Domäne oder in einer Arbeitsgruppe herstellen.

Wenn Ihr Computer einer Domäne angehört, stellen Sie eine Verbindung mit dem Zielcomputer unter Verwendung eines Domänenkontos her, das sich in der lokalen Administratorgruppe des Remotecomputers befindet. Dann wirkt sich die Zugriffstokenfilterung der Benutzerkontensteuerung nicht auf die Domänenkonten in der lokalen Administratorgruppe aus. Verwenden Sie auf dem Remotecomputer kein lokales Konto ohne Domänenzugehörigkeit, auch wenn sich das Konto in der Gruppe „Administratoren“ befindet.

In einer Arbeitsgruppe ist das Konto, das eine Verbindung mit dem Remotecomputer herstellt, ein lokaler Benutzer bzw. eine lokale Benutzerin auf diesem Computer. Selbst wenn sich das Konto in der Gruppe „Administratoren“ befindet, wird ein Skript aufgrund der Filterung der Benutzerkontensteuerung als Standardbenutzer*in ausgeführt. Eine bewährte Methode besteht darin, speziell für Remoteverbindungen eine dedizierte lokale Benutzergruppe oder ein entsprechendes Benutzerkonto auf dem Zielcomputer zu erstellen.

Die Sicherheit muss angepasst werden, um dieses Konto verwenden zu können, da das Konto nie über Administratorrechte verfügt hat. Weisen Sie dem lokalen Benutzer bzw. der lokalen Benutzerin Folgendes zu:

  • Rechte für Remotestart und -aktivierung für den Zugriff auf DCOM. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit WMI auf einem Remotecomputer.
  • Rechte für den Remotezugriff auf den WMI-Namespace (Remoteaktivierung). Weitere Informationen finden Sie unter Zugriff auf WMI-Namespaces.
  • Recht für den Zugriff auf das spezifische sicherungsfähige Objekt (abhängig von der für das Objekt erforderlichen Sicherheit).

Wenn Sie ein lokales Konto verwenden, weil Sie sich entweder in einer Arbeitsgruppe befinden oder es sich um ein lokales Computerkonto handelt, müssen bestimmte Aufgaben ggf. einem lokalen Benutzer bzw. einer lokalen Benutzerin übertragen werden. Beispielsweise können Sie dem Benutzer bzw. der Benutzerin das Recht erteilen, einen bestimmten Dienst zu beenden oder zu starten – entweder über den Befehl „SC.exe“, über die Methoden GetSecurityDescriptor und SetSecurityDescriptor von Win32_Service oder per Gruppenrichtlinie mithilfe von „Gpedit.msc“. Einige sicherungsfähige Objekte erlauben es Standardbenutzer*innen möglicherweise nicht, Aufgaben auszuführen, und bieten keine Möglichkeit, die Standardsicherheit zu ändern. In diesem Fall müssen Sie möglicherweise die Benutzerkontensteuerung deaktivieren, damit das lokale Benutzerkonto nicht gefiltert wird und stattdessen zu einem Hauptadministrator bzw. zu einer Hauptadministratorin wird. Beachten Sie, dass die Deaktivierung der Benutzerkontensteuerung aus Sicherheitsgründen nur in Ausnahmefällen verwendet werden sollte.

Es wird davon abgeraten, die Remote-Benutzerkontensteuerung durch Ändern des entsprechenden Registrierungseintrags zu deaktivieren. In einer Arbeitsgruppe kann dies jedoch erforderlich sein. Der Registrierungseintrag lautet HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy. Wenn der Wert dieses Eintrags null (0) ist, ist Remote-UAC-Zugriffstokenfilterung aktiviert. Wenn der Wert 1 ist, ist Remote-UAC deaktiviert.

Auswirkung der Benutzerkontensteuerung auf WMI-Daten, die an Skripts oder Anwendungen zurückgegeben werden

Wenn ein Skript oder eine Anwendung unter einem Konto in der Gruppe „Administratoren“, aber nicht mit erhöhten Rechten ausgeführt wird, werden möglicherweise nicht alle Daten zurückgegeben, da dieses Konto als Standardbenutzer*in ausgeführt wird. Die WMI-Anbieter für einige Klassen geben nicht alle Instanzen an ein Standardbenutzerkonto oder an ein Administratorkonto zurück, das aufgrund der Filterung der Benutzerkontensteuerung nicht als Hauptadministrator*in ausgeführt wird.

Von den folgenden Klassen werden einige Instanzen nicht zurückgegeben, wenn das Konto durch die Benutzerkontensteuerung gefiltert wird:

Von den folgenden Klassen werden einige Eigenschaften nicht zurückgegeben, wenn das Konto durch die Benutzerkontensteuerung gefiltert wird:

Informationen zu WMI

Zugriff auf sicherungsfähige WMI-Objekte

Ändern der Zugriffssicherheit für sicherungsfähige Objekte