Users Guide

ManualsBrandsDell ManualsSoftwareDell Update Packages Version 6.4

ZurückzumInhaltsverzeichnis

 Microsoft Windows Server 2008 Benutzerkontensteuerung

DellAktualisierungspaketeVersion6.4fürBetriebssystemeBenutzerhandbuch

UAC-EinschränkungenbeiRemote-AusführungvonDUP

Bei vorhergehenden Versionen von Windows waren Benutzerkonten oft Mitglieder der Gruppe lokaler Administratoren und hatten Zugriff auf

Administratorrechte.MitgliederderGruppelokalerAdministratorenkonntenSoftwareinstallieren,aktualisierenundausführen,daAdministratorkontenüber

systemweitenZugriffverfügen.WenneinBenutzerderGruppelokalerAdministratorenhinzugefügtwurde,wurdendiesemBenutzerautomatischsämtliche

Windows-Berechtigungengewährt.DieseBerechtigungenbotenZugriffaufalleBetriebssystemressourcen.FolglichstelltenBenutzerkontenmit

AdministratorrechtendadurcheinSicherheitsrisikodar,dasssieZugriffaufBetriebssystemressourcenboten,diedurchbösartigeSoftware(oderMalware)

ausgenutzt werden konnten.

Benutzerkontensteuerung(UAC)isteineneueSicherheitsfunktiondesWindowsServer2008-Betriebssystems. Bei Aktivierung wird der Zugriff auf kritische

SystemressourcenfüralleBenutzeraußerdemintegriertenlokalenAdministratoreingeschränkt.

Die drei Typen von Benutzerkonten im Windows Server 2008-Betriebssystem sind:

l Domänenadministratorkonto– ein Benutzerkonto mit Administratorrechten.

l Standardbenutzerkonto – einKonto,dasdenBenutzerberechtigt,SoftwarezuinstallierenundÄnderungenanSystemeinstellungenvorzunehmen,

diekeinenEinflussaufandereBenutzeroderdieSicherheitdesComputershaben.

l Konto des lokalen Administrators – der Standard-Superbenutzer des Betriebssystems.

DieBenutzererfahrungbeieinemDomänenadministratorkontounterscheidetsichvomKontoeineslokalenAdministrators,wenndieUACaktiviertist.Wennfür

einDomänenadministratorkontoderZugriffaufkritischeSystemressourcenerforderlichist,stelltdasBetriebssystemWindowsServer2008vordemStarteines

ProgrammsodereinesTasks,dievollständigenAdministratorzugriffvoraussetzen,eineAnforderunganeinenderfolgendenPunkte:

l Genehmigung,Berechtigungenzuerhöhen(beiBenutzernderDomänenadministratorgruppe)

l AnmeldeinformationendesDomänenadministratorszumErhöhenvonBerechtigungen(beiStandardbenutzern)

DieUACfordertBenutzerderDomänenadministratorgruppe(außerdemAdministratorkonto)auf,aufWeiterzuklicken,wennBerechtigungenerhöhtwerden

sollen, oder auf Abbrechenzuklicken,wennFunktionenausgeführtwerdensollen,dieeinSicherheitsrisikodarstellenkönnten.ZurVerwendungderUAC

müssenBenutzereinUpgradeaufeinAdministratorkontodurchführen,bevorDUPausgeführtwerdenkönnen.

Wenn ein DUP im GUI-Modusausgeführtwird,erfordertdasWindowsServer2008-BetriebssystemdieErteilungderBerechtigungfürdenVorgangdurchden

Benutzer.WenndasDUPjedochimunbeaufsichtigtenModusausgeführtwird,kannderBenutzerdasPopup-Fenster bzgl. der Berechtigung jedoch umgehen,

indemereinederfolgendenMaßnahmenausführt:

l ÄndernderGruppensicherheitsrichtlinie,User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

(Benutzerkontosteuerung:VerhaltenderErhöhungsaufforderungfürAdministratorenimAdministratorgenehmigungsmodus),zuKeine Aufforderung,

umdasPopupzudeaktivierenoderBerechtigungenzuerhöhen,ohneeineAufforderungbzgl.derAdministratorgruppeauszugeben.

l Deaktivieren der UAC.

l AusführenvonDUPanhandvonScripts,wobeiSiesichwährendderLaufzeitalslokalerAdministratorausgeben.

UAC-EinschränkungenbeiRemote-AusführungvonDUP

StandardmäßigmeldensichnachdemStartderUACalleBenutzerdesAdministratorkontosalsStandardbenutzeran.AusdiesemGrundstehendieRechtezum

ZugriffaufkritischeSystemressourcenerstdannzurVerfügung,wennderBenutzerdieAufforderungzurBerechtigungserhöhungbestätigt.Durchdiese

EinschränkungwirddieOptionzurBereitstellungvonDUPimRemote-Zugriff deaktiviert. Die UAC gibt die Fehlermeldung Zugriffverweigert aus, wenn der

VerwaltungsknotenagentbasierendaufdiesenAnmeldeinformationenausgeführtwird.

Die UAC-Einschränkungenkönnenfolgendermaßenumgangenwerden:

l Aktivieren der Remote-Agent-VerwendungdeslokalenSystemkontoszumAusführeneinerDUP-Aktualisierung. Das lokale Systemkonto ist nicht durch

dieUACgeschützt(empfohleneOption).

l Verwenden des Kontos des lokalen Administrators auf allen Remote-Computern,aufdenenDUPausgeführtwerden.

l DeaktivierenderUACfüralleBenutzervonRemote-Computern (diese Option wird nicht empfohlen).

l Auf Remote-ComputernkeinUpgradeaufAdministratorkontodurchführen.

ZurückzumInhaltsverzeichnis



ANMERKUNG: Da die Benutzererfahrung mit dem Sicherheitsrichtilinien-Manager-Snap-In (secpol.msc) und mit der Gruppenrichtlinie konfigurierbar ist,

ergeben sich mehrere UAC-Benutzererfahrungen. Die in Ihrer Umgebung getroffene Konfigurationsauswahl hat Einfluss auf die Eingabeaufforderungen

undDialoge,diefürStandardbenutzer,Administratorenoderbeidegemeinsamangezeigtwerden.DieUACkanndurchDeaktivierenderEinstellung

Benutzerkontosteuerung:Administratorgenehmigungsmodusausführen deaktiviert werden und erfordert einen Systemneustart.

ANMERKUNG: NurzweiKonten(dasKontodeslokalenAdministratorsunddaslokaleSystemkonto)werdendurchdieUACnichtgeschützt.Beiallen

anderenBenutzern,einschließlichderKontenmitRechtenvonlokalenAdministratorenoderDomänenadministratoren,istdieUACstandardmäßig

aktiviert.ObgleichdieUACdurchAktualisierenderlokalenoderDomänen-Sicherheitsrichtliniedeaktiviertwerdenkann,wirddieseOptionnicht

empfohlen. Remote-BenutzermüssensichalsintegriertesKontoeineslokalenAdministratorsanmelden,oderihnenmussdieBerechtigungdeslokalen

Systemkontoszugewiesenwerden,umeinDUPimRemote-Zugriff zu starten.