Beschreibung der Benutzerkontensteuerung und Remoteeinschränkungen in Windows Vista

In diesem Artikel werden Die Benutzerkontensteuerung (User Account Control, UAC) und Remoteeinschränkungen beschrieben.

Gilt für: Windows Vista
Ursprüngliche KB-Nummer: 951016

Einführung

Die Benutzerkontensteuerung (User Account Control, UAC) ist eine neue Sicherheitskomponente von Windows Vista. Mithilfe von UAC können Benutzer allgemeine tägliche Aufgaben als Nicht-Administratoren ausführen. Diese Benutzer werden in Windows Vista als Standardbenutzer bezeichnet. Benutzerkonten, die Mitglieder der lokalen Administratorengruppe sind, führen die meisten Anwendungen nach dem Prinzip der geringsten Berechtigungen aus. In diesem Szenario verfügen Benutzer mit den geringsten Rechten über Rechte, die den Rechten eines Standardbenutzerkontos ähneln. Wenn jedoch ein Mitglied der lokalen Administratorengruppe eine Aufgabe ausführen muss, die Administratorrechte erfordert, fordert Windows Vista den Benutzer automatisch zur Genehmigung auf.

Funktionsweise von UAC-Remoteeinschränkungen

Um die Benutzer, die Mitglieder der lokalen Administratorengruppe sind, besser zu schützen, implementieren wir UAC-Einschränkungen im Netzwerk. Dieser Mechanismus trägt dazu bei, Loopbackangriffe zu verhindern. Dieser Mechanismus verhindert auch, dass lokale Schadsoftware remote mit Administratorrechten ausgeführt wird.

Lokale Benutzerkonten (Benutzerkonto des Sicherheitskonto-Managers)

Wenn ein Benutzer, der Mitglied der lokalen Administratorengruppe auf dem Ziel-Remotecomputer ist, z. B. mithilfe des Net Use-Befehls *\\remotecomputer\Share$ eine Remoteverwaltungsverbindung herstellt, stellt er keine Verbindung als vollständiger Administrator her. Der Benutzer hat kein Erhöhungspotential auf dem Remotecomputer, und der Benutzer kann keine administrativen Aufgaben ausführen. Wenn der Benutzer die Arbeitsstation mit einem Sam-Konto (Security Account Manager) verwalten möchte, muss sich der Benutzer interaktiv bei dem Computer anmelden, der mit Remoteunterstützung oder Remotedesktop verwaltet werden soll, sofern diese Dienste verfügbar sind.

Domänenbenutzerkonten (Active Directory-Benutzerkonto)

Ein Benutzer mit einem Domänenbenutzerkonto meldet sich remote bei einem Windows Vista-Computer an. Außerdem ist der Domänenbenutzer Mitglied der Gruppe "Administratoren". In diesem Fall wird der Domänenbenutzer mit einem vollständigen Administratorzugriffstoken auf dem Remotecomputer ausgeführt, und die UAC wird nicht wirksam.

Hinweis

Dieses Verhalten unterscheidet sich nicht vom Verhalten in Windows XP.

So deaktivieren Sie UAC-Remoteeinschränkungen

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Führen Sie die folgenden Schritte aus, um UAC-Remoteeinschränkungen zu deaktivieren:

  1. Klicken Sie auf Start und dann auf Ausführen, geben Sie regedit ein, und drücken Sie die Eingabetaste.

  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. Wenn der LocalAccountTokenFilterPolicy Registrierungseintrag nicht vorhanden ist, führen Sie die folgenden Schritte aus:

    1. Zeigen Sie im Menü "Bearbeiten" auf "Neu", und wählen Sie dann "DWORD-Wert" aus.
    2. Geben Sie LocalAccountTokenFilterPolicy ein, und drücken Sie dann die EINGABETASTE.
  4. Klicken Sie mit der rechten Maustaste auf "LocalAccountTokenFilterPolicy", und wählen Sie dann "Ändern" aus.

  5. Geben Sie im Feld "Wertdaten " "1" ein, und wählen Sie dann "OK" aus.

  6. Beenden Sie den Registrierungs-Editor.

Das Problem wurde dadurch behoben.

Testen Sie, ob das Problem behoben ist. Wenn das Problem nicht behoben ist, wenden Sie sich an den Support.

UAC-Remoteeinstellungen

Der Registrierungseintrag "LocalAccountTokenFilterPolicy " kann den Wert 0 oder 1 haben. Diese Werte ändern das Verhalten des Registrierungseintrags mit dem in der folgenden Tabelle beschriebenen.

Wert Beschreibung
0 Dieser Wert erstellt ein gefiltertes Token. Es ist der Standardwert. Die Administratoranmeldeinformationen werden entfernt.
1 Dieser Wert erstellt ein Token mit erhöhten Rechten.