search

Wie kann ich die Benutzerkontensteuerung ausschalten?

1 Jahrs vor
Kommentare: 0
Ansichten: 185

Weiter zum Hauptinhalt

Dieser Browser wird nicht mehr unterstützt.

Show

Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen.

So deaktivieren Sie die Benutzerkontensteuerung (User Account Control, UAC) unter Windows Server

  • Artikel
  • 10/13/2022
  • 7 Minuten Lesedauer

In diesem Artikel

In diesem Artikel wird das Deaktivieren der Benutzerkontensteuerung (User Account Control, UAC) unter Windows Server erläutert.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2526083

Zusammenfassung

Unter bestimmten eingeschränkten Umständen kann das Deaktivieren der UAC unter Windows Server eine akzeptable und empfohlene Vorgehensweise sein. Diese Umstände treten nur auf, wenn beide folgenden Bedingungen zutreffen:

  • Nur Administratoren dürfen sich interaktiv über die Konsole oder über Remotedesktopdienste beim Windows-Server anmelden.
  • Administratoren melden sich nur beim Windows-basierten Server an, um legitime Systemverwaltungsfunktionen auf dem Server auszuführen.

Wenn eine dieser Bedingungen nicht zutrifft, sollte UAC aktiviert bleiben. Beispielsweise aktiviert der Server die Remotedesktopdienste-Rolle, sodass sich nichtadministrative Benutzer beim Server anmelden können, um Anwendungen auszuführen. UAC sollte in dieser Situation aktiviert bleiben. In ähnlicher Weise sollte UAC in den folgenden Situationen aktiviert bleiben:

  • Administratoren führen riskante Anwendungen auf dem Server aus. Beispielsweise Webbrowser, E-Mail-Clients oder Instant Messaging-Clients.
  • Administratoren führen andere Vorgänge aus, die von einem Clientbetriebssystem aus durchgeführt werden sollten, z. B. Windows 7.

Hinweis

  • Diese Anleitung gilt nur für Windows Server-Betriebssysteme.
  • UAC ist in den Server Core-Editionen von Windows Server 2008 R2 und höheren Versionen immer deaktiviert.

Weitere Informationen

UAC wurde entwickelt, um Windows-Benutzern standardmäßig bei der Verwendung von Standardbenutzerrechten zu helfen. UAC umfasst mehrere Technologien, um dieses Ziel zu erreichen. Folgende Technologien sind verfügbar:

  • Datei- und Registrierungsvirtualisierung: Wenn eine Legacyanwendung versucht, in geschützte Bereiche des Dateisystems oder der Registrierung zu schreiben, leitet Windows den Zugriff auf einen Teil des Dateisystems oder die Registrierung, die der Benutzer ändern darf, im Hintergrund und transparent um. Es ermöglicht vielen Anwendungen, für die Administratorrechte für frühere Versionen von Windows erforderlich waren, nur mit Standardbenutzerrechten unter Windows Server 2008 und höheren Versionen erfolgreich ausgeführt zu werden.

  • Erhöhung des Gleichen Desktops: Wenn ein autorisierter Benutzer ein Programm ausführt und erhöht, werden dem resultierenden Prozess leistungsstärkere Rechte gewährt als denen des interaktiven Desktopbenutzers. Durch Kombinieren der Rechteerweiterung mit dem Feature "Gefiltertes Token" von UAC (siehe nächster Aufzählungspunkt) können Administratoren Programme mit Standardbenutzerrechten ausführen. Und sie können nur die Programme erhöhen, die Administratorrechte mit demselben Benutzerkonto erfordern. Diese Benutzererweiterungsfunktion wird auch als Admin Genehmigungsmodus bezeichnet. Programme können auch mit erhöhten Rechten gestartet werden, indem ein anderes Benutzerkonto verwendet wird, sodass ein Administrator administrative Aufgaben auf dem Desktop eines Standardbenutzers ausführen kann.

  • Gefiltertes Token: Wenn sich ein Benutzer mit administrativen oder anderen leistungsstarken Berechtigungen oder Gruppenmitgliedschaften anmeldet, erstellt Windows zwei Zugriffstoken, um das Benutzerkonto darzustellen. Das ungefilterte Token verfügt über alle Gruppenmitgliedschaften und Berechtigungen des Benutzers. Das gefilterte Token stellt den Benutzer mit den entsprechenden Standardbenutzerrechten dar. Dieses gefilterte Token wird standardmäßig verwendet, um die Programme des Benutzers auszuführen. Das ungefilterte Token ist nur programmen mit erhöhten Rechten zugeordnet. Ein Konto wird unter den folgenden Bedingungen als geschütztes Administratorkonto bezeichnet:

    • Es ist ein Mitglied der Gruppe "Administratoren"
    • Er erhält ein gefiltertes Token, wenn sich der Benutzer anmeldet.

  • UIPI (User Interface Privilege Isolation): UIPI verhindert, dass ein Programm mit niedrigeren Rechten den Prozess mit höheren Rechten auf folgende Weise steuert:
       Senden von Fenstermeldungen, z. B. synthetische Maus- oder Tastaturereignisse, an ein Fenster, das zu einem Prozess mit höheren Rechten gehört

  • Geschützter Modus Internet Explorer (PMIE): PMIE ist ein tiefgehendes Feature für die Verteidigung. Windows Internet Explorer arbeitet im geschützten Modus mit niedriger Berechtigung und kann nicht in die meisten Bereiche des Dateisystems oder der Registrierung schreiben. Standardmäßig ist der geschützte Modus aktiviert, wenn ein Benutzer Websites in den Zonen "Internet" oder "Eingeschränkte Sites" durchsucht. PMIE macht es für Schadsoftware, die eine ausgeführte Instanz von Internet Explorer infiziert, schwieriger, die Einstellungen des Benutzers zu ändern. Sie konfiguriert sich beispielsweise so, dass sie jedes Mal gestartet wird, wenn sich der Benutzer anmeldet. PMIE ist eigentlich nicht Teil der UAC. Dies hängt jedoch von UAC-Features wie UIPI ab.

  • Installer-Erkennung: Wenn ein neuer Prozess ohne Administratorrechte gestartet werden soll, wendet Windows Heuristiken an, um festzustellen, ob es sich bei dem neuen Prozess wahrscheinlich um ein Legacyinstallationsprogramm handelt. Windows geht davon aus, dass Legacyinstallationsprogramme wahrscheinlich ohne Administratorrechte fehlschlagen. Daher fordert Windows den interaktiven Benutzer proaktiv zur Erhöhung auf. Wenn der Benutzer nicht über Administratoranmeldeinformationen verfügt, kann der Benutzer das Programm nicht ausführen.

Wenn Sie die Benutzerkontensteuerung deaktivieren: Führen Sie alle Administratoren in Admin Richtlinieneinstellung für den Genehmigungsmodus aus. Es deaktiviert alle in diesem Abschnitt beschriebenen UAC-Features. Diese Richtlinieneinstellung ist über die lokale Sicherheitsrichtlinie, die Sicherheitseinstellungen, die lokalen Richtlinien und dann die Sicherheitsoptionen des Computers verfügbar. Legacyanwendungen mit Standardbenutzerrechten, die in geschützte Ordner oder Registrierungsschlüssel schreiben sollen, schlagen fehl. Gefilterte Token werden nicht erstellt. Und alle Programme werden mit den vollen Rechten des Benutzers ausgeführt, der am Computer angemeldet ist. Es enthält Internet Explorer, da der geschützte Modus für alle Sicherheitszonen deaktiviert ist.

Eines der häufigsten Missverständnisse bei UAC und Same-Desktop Elevation ist insbesondere: Es verhindert, dass Schadsoftware installiert wird oder Administratorrechte erhalten. Erstens kann Schadsoftware so geschrieben werden, dass keine Administratorrechte erforderlich sind. Und Schadsoftware kann so geschrieben werden, dass sie nur in Bereiche im Profil des Benutzers geschrieben wird. Noch wichtiger ist, dass die Rechteerweiterung desselben Desktops in UAC keine Sicherheitsgrenze darstellt. Es kann von unprivilegierter Software gekapert werden, die auf demselben Desktop ausgeführt wird. Die Rechteerweiterung desselben Desktops sollte als Komfortfeature betrachtet werden. Aus Sicherheitsgründen sollte der geschützte Administrator als das Äquivalent von Administrator betrachtet werden. Im Gegensatz dazu umfasst die Verwendung des schnellen Benutzerwechsels zum Anmelden bei einer anderen Sitzung mithilfe eines Administratorkontos eine Sicherheitsgrenze zwischen dem Administratorkonto und der Standardbenutzersitzung.

Für einen Windows-basierten Server, auf dem der einzige Grund für die interaktive Anmeldung darin besteht, das System zu verwalten, ist das Ziel weniger Rechteerweiterungsaufforderungen nicht machbar oder wünschenswert. Systemverwaltungstools erfordern legitimerweise Administratorrechte. Wenn alle Aufgaben des Administratorbenutzers Administratorrechte erfordern und jede Aufgabe eine Aufforderung zur Erhöhung auslösen könnte, sind die Eingabeaufforderungen nur ein Hindernis für die Produktivität. In diesem Kontext können solche Eingabeaufforderungen nicht das Ziel fördern, die Entwicklung von Anwendungen zu fördern, die Standardbenutzerrechte erfordern. Solche Eingabeaufforderungen verbessern nicht den Sicherheitsstatus. Diese Eingabeaufforderungen ermutigen benutzer lediglich, dialogfelder zu durchklicken, ohne sie zu lesen.

Diese Anleitung gilt nur für gut verwaltete Server. Dies bedeutet, dass sich nur administratorische Benutzer interaktiv oder über Remotedesktopdienste anmelden können. Und sie können nur legitime administrative Funktionen ausführen. Der Server sollte in den folgenden Situationen als äquivalent zu einem Clientsystem betrachtet werden:

  • Administratoren führen riskante Anwendungen aus, z. B. Webbrowser, E-Mail-Clients oder Instant Messaging-Clients.
  • Administratoren führen andere Vorgänge aus, die von einem Clientbetriebssystem ausgeführt werden sollten.

In diesem Fall sollte UAC als tiefen Schutzmaßnahme aktiviert bleiben.

Wenn sich Standardbenutzer auf dem Server an der Konsole oder über Remotedesktopdienste anmelden, um Anwendungen auszuführen, insbesondere Webbrowser, sollte UAC auch weiterhin aktiviert sein, um die Datei- und Registrierungsvirtualisierung sowie internet Explorer im geschützten Modus zu unterstützen.

Eine weitere Möglichkeit, Erhöhungsaufforderungen zu vermeiden, ohne UAC zu deaktivieren, ist das Festlegen der Benutzerkontensteuerung: Verhalten der Aufforderung zur Erhöhung für Administratoren in Admin Sicherheitsrichtlinie für den Genehmigungsmodus auf "Erhöhen" ohne Aufforderung. Mithilfe dieser Einstellung werden Erhöhungsanforderungen automatisch genehmigt, wenn der Benutzer Mitglied der Gruppe "Administratoren" ist. Diese Option lässt auch PMIE und andere UAC-Features aktiviert. Nicht alle Vorgänge, für die Administratorrechte erforderlich sind, fordern jedoch die Rechteerweiterung an. Die Verwendung dieser Einstellung kann dazu führen, dass einige Programme des Benutzers erhöht werden und andere nicht, ohne dass zwischen ihnen unterschieden werden kann. Die meisten Konsolendienstprogramme, die Administratorrechte benötigen, erwarten beispielsweise, dass sie an einer Eingabeaufforderung oder einem anderen Programm gestartet werden, das bereits erhöht ist. Solche Dienstprogramme schlagen lediglich fehl, wenn sie an einer Eingabeaufforderung gestartet werden, die nicht erhöht ist.

Zusätzliche Auswirkungen der Deaktivierung von UAC

  • Wenn Sie versuchen, Windows-Explorer zum Navigieren zu einem Verzeichnis zu verwenden, in dem Sie nicht über Leseberechtigungen verfügen, bietet Explorer an, die Berechtigungen des Verzeichnisses zu ändern, um Ihrem Benutzerkonto dauerhaft Zugriff darauf zu gewähren. Die Ergebnisse hängen davon ab, ob UAC aktiviert ist. Weitere Informationen finden Sie unter Wenn Sie für den Ordnerzugriff in Windows Explorer auf "Weiter" klicken, wird Ihr Benutzerkonto der ACL für den Ordner hinzugefügt.
  • Wenn UAC deaktiviert ist, zeigt Windows Explorer weiterhin UAC-Schildsymbole für Elemente an, für die eine Erhöhung erforderlich ist. Und Windows Explorer schließt "Als Administrator ausführen" weiterhin in die Kontextmenüs von Anwendungen und Anwendungsverknüpfungen ein. Da der UAC-Erhöhungsmechanismus deaktiviert ist, haben diese Befehle keine Auswirkungen. Und Anwendungen werden im selben Sicherheitskontext wie der Benutzer ausgeführt, bei dem sie angemeldet sind.
  • Wenn UAC aktiviert ist und das Konsolenprogramm Runas.exe verwendet wird, um ein Programm mithilfe eines Benutzerkontos zu starten, das der Tokenfilterung unterliegt, wird das Programm mit dem gefilterten Token des Benutzers ausgeführt. Wenn UAC deaktiviert ist, wird das gestartete Programm mit dem vollständigen Token des Benutzers ausgeführt.
  • Wenn UAC aktiviert ist, können lokale Konten, die der Tokenfilterung unterliegen, nicht für die Remoteverwaltung über andere Netzwerkschnittstellen als Remotedesktop verwendet werden. Beispielsweise über NET USE oder WinRM. Ein lokales Konto, das sich über eine solche Schnittstelle authentifiziert, erhält nur die Berechtigungen, die dem gefilterten Token des Kontos gewährt werden. Wenn UAC deaktiviert ist, wird diese Einschränkung entfernt. Die Einschränkung kann auch mithilfe der LocalAccountTokenFilterPolicy in KB951016 beschriebenen Einstellung entfernt werden. Das Entfernen dieser Einschränkung kann das Risiko einer Systemkompromittierung in einer Umgebung erhöhen, in der viele Systeme über ein lokales Administratorkonto mit demselben Benutzernamen und Kennwort verfügen. Es wird empfohlen, dass Sie sicherstellen, dass andere Gegenmaßnahmen gegen dieses Risiko angewendet werden. Weitere Informationen zu empfohlenen Gegenmaßnahmen finden Sie unter Minderung von Pass-the-Hash (PtH)-Angriffen und anderen Diebstahl von Anmeldeinformationen, Version 1 und 2.
  • PsExec, Benutzerkontensteuerung und Sicherheitsgrenzen
  • Wenn Sie "Weiter" für den Ordnerzugriff in Windows Explorer auswählen, wird Ihr Benutzerkonto der ACL für den Ordner hinzugefügt (KB-950934)

Was verhindert die Benutzerkontensteuerung?

Die Benutzerkontensteuerung (User Account Control, UAC) erfüllt unter Windows 10 einen wichtigen Zweck: Die Sicherheitsabfrage verhindert, dass Programme selbständig Änderungen am System durchführen können.

Wo finde ich die Benutzerkontensteuerung?

Geben Sie UAC in das Suchfeld auf der Taskleiste ein. (Wenn das Suchfeld nicht sichtbar ist, klicken Sie mit der rechten Maustaste auf die Schaltfläche Start , und wählen Sie Suchen .) Klicken Sie in den Suchergebnissen auf Einstellungen für die Benutzerkontensteuerung ändern .

Kann Benutzerkontensteuerung nicht mehr ändern?

In diesem Fall hilft ggf. der Trick, das in allen Windows-Versionen enthaltene Build-In Konto "Administrator" zu aktivieren. Dann kann man sich unter diesem Konto anmelden (das Konto besitzt kein Kennwort), ein neues Administratorkonto einzurichten und dann versuchen mit diesem zu arbeiten.

Was versteht man unter UAC?

Die Benutzerkontensteuerung (User Account Control, UAC) ist ein grundlegender Baustein der Gesamtsicherheitsvision von Microsoft. UAC hilft dabei, die Auswirkung von Schadsoftware zu verringern.

wie kann ich die benutzerkontensteuerung ausschalten Benutzerkontensteuerung Windows 10 Benutzerkontensteuerung Windows 11 Benutzerkontensteuerung aktivieren Benutzerkontensteuerung Ausnahmen Windows Benutzerkontensteuerung umgehen

zusammenhängende Posts

Wie viel kostet ein Hektar Grünland?
Wie viel kostet ein Hektar Grünland?

Was passiert wenn die achillessehne reißt
Was passiert wenn die achillessehne reißt

Kann man eine Woche altes Wasser trinken?
Kann man eine Woche altes Wasser trinken?

Wie viel darf man maximal Trinken?
Wie viel darf man maximal Trinken?

Wie lange kann die Menschheit ohne Sonne überleben?
Wie lange kann die Menschheit ohne Sonne überleben?

Wie alt ist ein Hund mit 7 Monaten
Wie alt ist ein Hund mit 7 Monaten

Wann kann ich wieder in die usa reisen
Wann kann ich wieder in die usa reisen

Wie viele Gläser sind 1 Liter
Wie viele Gläser sind 1 Liter

Was bedeuten die ersten 2 zahlen bei iban
Was bedeuten die ersten 2 zahlen bei iban

Wann werden die uhren auf sommerzeit gestellt
Wann werden die uhren auf sommerzeit gestellt

Werbung

NEUESTEN NACHRICHTEN

What measures how well the solution will be accepted in a given opportunity?
1 Jahrs vor . durch FormlessAviation
Wenn der Hund tot ist beginnt ein neues Leben
1 Jahrs vor . durch DeliriousHurricane
Which of the following is a not a type of organizational information system?
1 Jahrs vor . durch CantankerousAssignment
Which of the following statements is true regarding an organizations culture
1 Jahrs vor . durch EnticingDucking
The system of behavioral rules and norms that emerge in a group is known as:
1 Jahrs vor . durch ElectromagneticRelativism
Mit kreditkarte bezahlen wenn konto leer
1 Jahrs vor . durch CommunistAllies
Mit jemandem auf kriegsfuß stehen bedeutung
1 Jahrs vor . durch SubliminalPundit
What are 3 of the most important criteria to keep in mind when evaluating a source?
1 Jahrs vor . durch CuteSorcery
Google scholar is a specialized search engine that provides which of the following?
1 Jahrs vor . durch SmartDiploma
Wie lange hat der Vermieter Zeit die Kündigung zu bestätigen
1 Jahrs vor . durch EphemeralProceedings

Werbung

Populer

Werbung

Um

Legal

Hilfe

Sozial

homeendejakoptzhthittr
Urheberrechte © © 2024 de.apacode Inc.