Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto

Betrifft

  • Windows 10

Beschreibt die bewährten Methoden, den Standort, die Werte, die Richtlinienverwaltung und die Sicherheitsüberlegungen für die Benutzerkontensteuerung: Administratorgenehmigungsmodus für die integrierte Sicherheitsrichtlinieneinstellung für das Administrator Konto .

Referenz

Diese Richtlinieneinstellung bestimmt das Verhalten des Administratorgenehmigungsmodus für das integrierte Administratorkonto. Wenn der Administratorgenehmigungsmodus aktiviert ist, funktioniert das lokale Administratorkonto wie ein Standardbenutzerkonto, hat aber die Möglichkeit, Berechtigungen zu erhöhen, ohne sich mit einem anderen Konto anmelden zu müssen. In diesem Modus zeigt jeder Vorgang, für den eine Erhöhung der Berechtigung erforderlich ist, eine Aufforderung an, die es dem Administrator ermöglicht, die Rechteerweiterung zu genehmigen oder abzulehnen. Wenn der Administratorgenehmigungsmodus nicht aktiviert ist, führt das integrierte Administrator Konto alle Anwendungen standardmäßig mit vollständigen Administratorrechten aus. Standardmäßig ist der Administratorgenehmigungsmodus auf disabledeingestellt.

Hinweis

Wenn ein Computer von einer früheren Version des Windows-Betriebssystems aktualisiert wird und das Administratorkonto das einzige Konto auf dem Computer ist, bleibt das integrierte Administratorkonto aktiviert, und diese Einstellung ist ebenfalls aktiviert.

Mögliche Werte

  • Aktiviert

    Das integrierte Administratorkonto meldet sich im Administratorgenehmigungsmodus an, damit jeder Vorgang, für den eine Erhöhung der Berechtigung erforderlich ist, eine Aufforderung anzeigt, die dem Administrator die Option zum Zulassen oder Verweigern der Rechteerweiterung bietet.

  • Deaktiviert

    Wenn der Administratorgenehmigungsmodus nicht aktiviert ist, führt das integrierte Administrator Konto alle Anwendungen standardmäßig mit vollständigen Administratorrechten aus.

Bewährte Verfahren

Hinweis

Nachdem Sie den Administratorgenehmigungsmodus aktiviert haben, müssen Sie sich zuerst an-und abmelden, um die Einstellung zu aktivieren. Alternativ können Sie gpupdate force an einer Eingabeaufforderung mit erhöhten Rechten ausführen.

Standort

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Optionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte sind auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder Gruppenrichtlinienobjekt Standardwert
Standarddomänenrichtlinie Nicht definiert
Standardrichtlinie für Domänen Controller Nicht definiert
Standardeinstellungen für eigenständige Server Deaktiviert
DC-effektive Standardeinstellungen Deaktiviert
Effektive Standardeinstellungen für Mitglieds Server Deaktiviert
Effektive Standardeinstellungen für Client Computer Deaktiviert

Richtlinienverwaltung

In diesem Abschnitt werden die Features und Tools beschrieben, die Ihnen bei der Verwaltung dieser Richtlinie zur Verfügung stehen.

Neustartanforderung

Keine. Änderungen an dieser Richtlinie werden ohne Geräteneustart wirksam, wenn Sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.

Überlegungen zur Sicherheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Eines der Risiken, die das UAC-Feature zu verringern versucht, besteht darin, dass bösartige Software unter erhöhten Anmeldeinformationen ausgeführt wird, ohne dass der Benutzer oder Administrator seine Aktivität erkennt. Ein Angriffsvektor für böswillige Programme besteht darin, das Kennwort des Administrator Kontos zu ermitteln, da dieses Benutzerkonto für alle Windows-Installationen erstellt wurde. Um dieses Risiko zu beheben, ist das integrierte Administrator Konto auf Computern mit mindestens Windows Vista deaktiviert. In Computern, auf denen mindestens Windows Server2008 ausgeführt wird, ist das Administratorkonto aktiviert, und das Kennwort muss bei der ersten Anmeldung des Administrators geändert werden. Bei einer Standardinstallation eines Computers, auf dem mindestens Windows Vista ausgeführt wird, verfügt das erste von Ihnen erstellte Benutzerkonto über die entsprechenden Berechtigungen eines lokalen Administrators, wenn der Computer nicht zu einer Domäne gehört.

Gegenmaßnahme

Aktivieren Sie das Kontrollkästchen Benutzerkontensteuerung: Administratorgenehmigungsmodus für die integrierte Administratorkonto Einstellung, wenn das integrierte Administratorkonto aktiviert ist.

Mögliche Auswirkungen

Benutzer, die sich mit dem lokalen Administratorkonto anmelden, werden zur Genehmigung aufgefordert, wenn ein Programm eine Erhöhung in der Berechtigung anfordert.

Verwandte Themen