Users Guide

ManualsBrandsDell ManualsSoftwareDell Update Packages Version 6.0.1

ZurückzumInhaltsverzeichnis

Microsoft Windows Server 2008 Benutzerkontensteuerung

Dell™UpdatePackagesfürMicrosoft®Windows®-Betriebssysteme Benutzerhandbuch

UAC-EinschränkungenbeiRemote-AusführungvonDUP

In vorhergehenden Versionen von Windows®warenBenutzerkontenoftMitgliederderGruppelokalerAdministratorenundhattenZugriffauf

Administratorenrechte.MitgliederderGruppelokalerAdministratorenkonntenSoftwareinstallieren,aktualisierenundausführen,daeinemAdministratorkonto

systemweiterZugriffzurVerfügungsteht.WenneinBenutzerderGruppelokalerAdministratorenhinzugefügtwurde,wurdendiesemBenutzerautomatisch

sämtlicheWindows-Berechtigungengewährt.DieseBerechtigungenbotenZugriffaufalleBetriebssystemressourcen.FolglichstelltenBenutzerkontenmit

AdministratorrechtendadurcheinSicherheitsrisikodar,dasssieZugriffaufBetriebssystemressourcenboten,diedurchExploitsbösartigerSoftware(oder

Malware)beeinträchtigtwerdenkonnten.

BeiderBenutzerkontensteuerung(UAC)handeltessichumeineneueSicherheitsfunktiondesWindowsServer®2008-Betriebssystems. Bei Aktivierung wird

derZugriffaufkritischeSystemressourcenfüralleBenutzeraußerdemintegriertenlokalenAdministratoreingeschränkt.

Die drei Typen von Benutzerkonten im Windows Server 2008-Betriebssystem sind:

l Domänenadministratorkonto- ein Benutzerkonto mit Administratorrechten.

l Standardbenutzerkonto -einKonto,dasdenBenutzerberechtigt,SoftwarezuinstallierenundÄnderungenanSystemeinstellungenvorzunehmen,die

keinen Einfluss auf andere Benutzer oder die Sicherheit des Computers haben.

l Konto des lokalen Administrators - der Standard-Superbenutzer des Betriebssystems.

DieBenutzererfahrungbeieinemDomänenadministratorkontounterscheidetsichvomKontoeineslokalenAdministrators,wenndieUACaktiviertist.Wennfür

einDomänenadministratorkontoderZugriffaufkritischeSystemressourcenerforderlichist,stelltdasBetriebssystemWindowsServer2008vordemStarteines

Programms oder eines Tasks, die vollen Administratorzugriff voraussetzen, eine Anforderung an einen der folgenden Punkte:

¡ Genehmigung,Berechtigungenzuerhöhen(beiBenutzernderDomänenadministratorgruppe)

¡ AnmeldeinformationendesDomänenadministratorszumErhöhenvonBerechtigungen(beiStandardbenutzern)

DieUACfordertBenutzerderDomänenadministratorgruppe(außerdemAdministratorkonto)auf,aufWeiterzuklicken,wennBerechtigungenerhöhtwerden

sollen, oder auf AbbrechenbeimAusführenvonFunktionen,dieeinSicherheitsrisikodarstellenkönnten.ZurVerwendungderUACmüssenBenutzerein

UpgradeaufeinAdministratorkontodurchführen,bevorDUPausgeführtwerdenkönnen.

Wenn ein DUP im GUI-Modusausgeführtwird,istesfürdasWindowsServer2008-Betriebssystemerforderlich,dassderBenutzerdieBerechtigungfürden

Vorgangerteilt.WenndasDUPjedochimunbeaufsichtigtenModusausgeführtwird,kannderBenutzerdasPopup-Fenster bzgl. der Berechtigung jedoch

umgehen,indemereinederfolgendenMaßnahmenausführt:

l ÄndernderGruppensicherheitsrichtlinie,Benutzerkontosteuerung:VerhaltenderErhöhungsaufforderungfürAdministratorenim

Administratorgenehmigungsmodus, zu Keine Aufforderung,umdasPopupzudeaktivierenoderBerechtigungenzuerhöhen,ohneeineAufforderung

bzgl. der Administratorgruppe auszugeben.

l Deaktivieren der UAC.

l AusführenvonDUPanhandvonScripts,wobeiSiesichwährendderLaufzeitalslokalerAdministratorausgeben.

UAC-EinschränkungenbeiRemote-AusführungvonDUP

StandardmäßigmeldensichnachdemStartderUACalleBenutzerdesAdministratorkontosalsStandardbenutzeran.AusdiesemGrundstehendieRechtezum

ZugriffaufkritischeSystemressourcenerstdannzurVerfügung,wennderBenutzerdieAufforderungzurBerechtigungserhöhungbestätigt.Durchdiese

EinschränkungwirddieOptiondeaktiviert,DUPimRemote-Zugriff bereitzustellen. Die UAC gibt die Fehlermeldung Zugriffverweigertzurück,wennder

VerwaltungsknotenagentbasierendaufdiesenAnmeldeinformationenausgeführtwird.

Die UAC-Einschränkungenkönnenfolgendermaßenumgangenwerden:

l Aktivieren der Remote-Agent-VerwendungdeslokalenSystemkontoszumAusführeneinerDUP-Aktualisierung. Das lokale Systemkonto ist nicht durch

dieUACgeschützt(empfohleneOption).

l Verwenden des Kontos des lokalen Administrators auf allen Remote-Computern,aufdenenDUPausgeführtwerden.

l DeaktivierenderUACfüralleBenutzervonRemote-Computern (diese Option wird nicht empfohlen).

l Auf Remote-ComputernkeinUpgradeaufAdministratorkontodurchführen.

ZurückzumInhaltsverzeichnis



ANMERKUNG: Da die Benutzererfahrung mit dem Sicherheitsrichtilinien-Manager-Snap-In (secpol.msc) und mit der Gruppenrichtlinie konfigurierbar ist,

ergeben sich mehrere UAC-Benutzererfahrungen. Die in Ihrer Umgebung getroffenen Konfigurationsauswahlen haben Einfluss auf die

EingabeaufforderungenundDialoge,diefürStandardbenutzer,Administratorenoderbeidegemeinsamangezeigtwerden.DieUACkanndurch

Deaktivieren der Einstellung Benutzerkontosteuerung:Administratorgenehmigungsmodusausführen deaktiviert werden und erfordert einen

Systemneustart.

ANMERKUNG: NurzweiKonten(dasKontodeslokalenAdministratorsunddaslokaleSystemkonto)werdendurchdieUACnichtgeschützt.Beiallen

anderenBenutzern,einschließlichderKontenmitRechtenvonlokalenAdministratorenoderDomänenadministratoren,istdieUACstandardmäßig

aktiviert.ObgleichdieUACdurchAktualisierenderlokalenoderDomänen-Sicherheitsrichtliniedeaktiviertwerdenkann,wirddieseOptionnicht

empfohlen. Remote-BenutzermüssensichalsintegriertesKontoeineslokalenAdministratorsanmelden,oderesmussihnendieBerechtigungdes

lokalenSystemkontoserteiltwerden,damitsieeinDUPimRemote-Zugriffstartenkönnen.