Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält einige Informationen für das Problem, bei dem Gruppenrichtlinien nicht auf ein Benutzerkonto für RunAs.exe oder "Als anderer Benutzer ausführen" angewendet werden.
Gilt für: Windows-Client (alle unterstützten Versionen)
Ursprüngliche KB-Nummer: 4569309
Übersicht
Ein Windows-Benutzer kann ein Programm oder eine Anwendung als anderer Benutzer ausführen. Dazu wählt der Benutzer den Befehl "Ausführen" als anderen Benutzerkontextmenübefehl aus (oder verwendet das Befehlszeilentool Runas.exe), und gibt dann die Anmeldeinformationen eines alternativen Kontos an.
Als bewährte Methode sollten Benutzer ihre übliche Arbeit auf ihren Arbeitsstationen mithilfe ihrer eigenen Anmeldeinformationen ausführen. Sie können die Anmeldeinformationen eines alternativen Kontos (z. B. ein Konto mit erhöhten Berechtigungen) angeben, um eine bestimmte Anwendung nach Bedarf auszuführen.
Wenn sich ein Benutzer jedoch mit alternativen Anmeldeinformationen anmeldet, verarbeitet Windows keine Gruppenrichtlinieneinstellungen für das alternative Konto. Windows verarbeitet Gruppenrichtlinieneinstellungen nur dann für ein Benutzerkonto, wenn sich der Benutzer mithilfe der Anmeldebenutzeroberfläche bei einem eigenen Desktop anmeldet. Wenn ein Benutzer eine Anwendung dagegen mit Runas.exe startet oder als anderer Benutzer ausführen, startet Windows einen separaten Prozess, der unter den alternativen Anmeldeinformationen ausgeführt wird. Ein solcher Vorgang löst keine Gruppenrichtlinienverarbeitung aus.
Dieses Verhalten ist beabsichtigt.
Weitere Informationen
Wichtig
Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, sichern Sie die Registrierung zwecks Wiederherstellung für den Fall, dass Probleme auftreten.
Gruppenrichtlinieneinstellungen sind nicht für das alternative Benutzerkonto vorgesehen, das durch Runas.exe oder Ausführen als anderer Benutzer angegeben wird.
Runas.exe können das Benutzerprofil laden, das dem alternativen Konto zugeordnet ist. Wenn ein Benutzer zuvor mit diesem Konto bei Windows auf dieser Arbeitsstation angemeldet war, kann das zugeordnete Benutzerprofil Registrierungsschlüssel und Werte enthalten, die zu diesem Zeitpunkt von Gruppenrichtlinienverarbeitungsereignissen festgelegt wurden. Dieses Verhalten hängt jedoch davon ab, ob der Benutzer den /noprofile Schalter in den Befehl einschließt. Wenn der Benutzer einen Prozess oder eine Anwendung unter Verwendung runas /noprofilestartet und dann das alternative Konto angibt, lädt Windows das alternative Benutzerprofil nicht. Daher bietet das alternative Benutzerprofil keine zuverlässige Möglichkeit, Gruppenrichtlinieneinstellungen anzuwenden.
Wenn Sie verhindern möchten, dass Benutzer Runas.exe oder Ausführen als anderer Benutzer verwenden, führen Sie die folgenden Schritte aus.
Wichtig
Nachdem Sie diese Einstellungen angewendet haben, funktionieren alle Funktionen, die von der Funktion "Ausführen als" abhängen, nicht mehr.
Deaktivieren Sie den sekundären Anmeldedienst (seclogon.exe).
Verwenden Sie Softwareeinschränkungsrichtlinien oder AppLocker, um den Zugriff auf die Runas.exe Binärdatei zu verhindern.
Verwenden Sie Gruppenrichtlinien, um das Menüelement "Ausführen" als anderes Benutzermenüelement zu entfernen. Das Gruppenrichtlinienobjekt (Group Policy Object, GPO) ändert sich in benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Befehl "Als anderer Benutzer ausführen" auf der Startseite anzeigen.
Legen Sie in der Windows-Registrierung den folgenden Eintrag fest:
- Unterschlüssel:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ - Eintragsname: HideRunAsVerb
- Type: DWORD
- Value: 1
- Unterschlüssel: