Datum: | Artikel, Windows

Aus Sicherheitsgründen ist es sowohl zuhause als auch in Unternehmensnetzwerken sinnvoll, nicht mit einer Kennung am PC zu arbeiten, die ein Mitglied der Gruppe der lokalen Administratoren ist. Ein Angriff aus dem Internet führt dann i.d.R. nur zu geringem Schaden, da ein Hacker oder ein eingeschleuster Virus nur das Profil des angemeldeten Benutzers manipulieren kann, nicht aber das Betriebssystem oder die installierten Anwendungen. In Unternehmensnetzwerken soll außerdem unterbunden werden, dass die Benutzer beliebig weitere Anwendungen installieren oder die Einstellungen des Betriebssystems beliebig manipulieren können.

Speziell für Windows XP und Windows 2000 findet man für viele Anwendungen, deren Ausführung unter einer Nicht-Administrator-Kennung Probleme bereiten, unter noadmin.de eine Lösung. Bestimmte Anwendungen laufen jedoch nur mit Administratorrechten, oder es ist zu aufwendig, nach einer Lösung zu suchen und diese im Netzwerk auf vielen Clients umzusetzen. Ist man als einfacher Benutzer angemeldet, so kann man die zugehörige Verknüpfung im Startmenü mit der rechten Maustaste anklicken und den Befehl "Ausführen als…" wählen, um die Anwendung als Administrator zu starten. Diesen Schritt vergisst man oft - und besonders in Netzwerken, in denen die Domänenbenutzer nur mit einfachen Benutzerrechten arbeiten, ist es umständlich, allen Benutzern zu erklären, bei welchen Anwendungen Sie die Verknüpfung zuerst mit der rechten Maustaste anklicken und den Befehl "Ausführen als…" wählen müssen, um die Anwendung fehlerfrei mit erweiterten Rechten zu starten. Sie können aber erreichen, dass beim Anklicken bestimmter Verknüpfungen sich automatisch zuerst das Fenster "Ausführen als" öffnet:

Sie melden sich als Administrator an, öffnen im Startmenü die Eigenschaften der Verknüpfung dieser Anwendung und klicken in der Registerkarte "Verknüpfung" auf die Schaltfläche "Erweitert…". Im sich öffnenden Fenster wählen Sie die Option "Unter anderen Anmeldeinformationen ausführen".

alt

Abbildung 1: Ausführen als..

Wenn die Verknüpfung nun angeklickt wird, öffnet sich direkt das Fenster "Ausführen als", in dem der Anwender das Administratorkennwort eingeben muss.

alt

Abbildung 2: ...Benutzerangaben

Systemsteuerungskomponenten als Nicht-Administrator starten

Unter Windows Vista kein Problem

Ruft man unter Windows Vista eine Komponente der Systemsteuerung auf, für die man administrative Rechte benötigt, so wird automatisch die Benutzerkontensteuerung gestartet, unter der man das Administratorkennwort eingeben kann. Starten Sie z.B. die Komponente "Benutzerkonten" und klicken Sie auf "Andere Konten verwalten", um das zu testen.

Dieses Standardverhalten können Sie übrigens über eine Gruppenrichtlinie ändern: Dazu starten Sie "Systemsteuerung – Verwaltung – Lokale Sicherheitsrichtlinie" und öffnen unter "Sicherheitsoptionen – Benutzerkontensteuerung" die Richtlinie "Verhalten der Anhebungsanforderung für Standardbenutzer". Wenn Sie hier die Option "Aufforderung zur Eingabe der Anmeldeinformation" in "Anforderungen für erhöhte Rechte automatisch ablehnen" ändern, so erhält ein Nicht-Administrator zukünftig beim Anklicken entsprechender Komponenten der Systemsteuerung die Meldung "Dieses Programm wurde durch eine Gruppenrichtlinie gesperrt".

Sie können übrigens auch über "Start – Ausführen" den Befehl "gpedit.msc" eingeben und damit den Gruppenrichtlinienobjekt-Editor öffnen. Dort müssen Sie zuerst "Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien" öffnen, um wie oben beschrieben zur Richtlinie "Sicherheitsoptionen - Benutzerkontensteuerung – "Verhalten der Anhebungsanforderung für Standardbenutzer" zu gelangen.

Unter Windows XP/2000 auch möglich

Unter Windows XP und Windows 2000 kann man zwar alle Komponenten der Systemsteuerung starten, jedoch sind die Felder ausgegraut, die man als Nichtadministrator nicht ändern kann. Klickt man im Startmenü die Systemsteuerung oder in der Systemsteuerung einzelne Komponenten mit der rechten Maustaste an, so stellt man fest, dass diese keine Eigenschaften haben, die man verändern kann. Zwar kann man zum Starten der gesamten Systemsteuerung eine neue Verknüpfung mit dem Ziel "%windir%\system32\control.exe" anlegen und deren Eigenschaften dann ändern, doch startet die Systemsteuerung nicht nach dem oben beschriebenen Verfahren, wenn man nicht als Administrator angemeldet ist.

Es gibt jedoch folgende Möglichkeit, um einzelne Komponenten der Systemsteuerung mit Administratorrechten zu starten. Dazu legt man eine neue Verknüpfung an und gibt die zugehörige CPL-Datei an, z.B. %windir%\system32\sysdm.cpl, um die Komponente System zu starten. Sobald die Verknüpfung erstellt ist, öffnet man deren Eigenschaften und wählt in der Registerkarte "Verknüpfung" über die Schaltfläche "anderes Symbol…" zuerst ein einprägsames Symbol für die Verknüpfung aus. Über die Schaltfläche "Erweitert…" aktiviert man die Option "Unter anderen Anmeldeinformationen ausführen". Wichtig ist außerdem, dass man in der Registerkarte "Sicherheit" die Sicherheitsgruppe "Benutzer" oder aber zumindest die Benutzerkennung desjenigen Benutzers hinzufügt, der später die Änderungen in der Systemsteuerung vornehmen darf.

alt

Abbildung 3: Sicherheitseinstellungen

Danach verschieben Sie die neue Verknüpfung unter Windows XP nach "C:\Dokumente und Einstellungen\All Users\Startmenü" oder nach "C:\Dokumente und Einstellungen\All Users\Desktop". Unter Windows Vista heißt der Ordner "C:\Users\All Users\" inzwischen "C:\Benutzer\All Users".
Nachfolgend eine Auflistung von einigen CPL-Dateien und deren Bedeutung unter Windows XP und Windows Vista:

ACCESS.CPL Eingabehilfe (nur unter Windows XP)
APPWIZ.CPL Software
DESK.CPL Anzeige
FIREWALL.CPL Windows Firewall
HDWWIZ.CPL Hardware-Assistent
INETCPL.CPL Interneteinstellungen
INTL.CPL Regions- und Sprachoptionen
JOY.CPL Gamecontroller
MAIN.CPL Eigenschaften von Maus
MMSYS.CPL Sounds und Audiogeräte
NCPA.CPL Netzwerkverbindungen
NETSETUP.CPL Netzwerkinstallations-Assistent (nur unter Windows XP)
NUSRMGR.CPL Benutzerkonten (nur unter Windows XP)
ODBCCP32.CPL ODBC-Datenquellen-Administrator
POWERCFG.CPL Energieoptionen
STICPL.CPL Eigenschaften von Scanner und Kameras
SYSDM.CPL Systemeigenschaften
TABLETPC.CPL Stift- und Eingabegeräte (nur unter Windows Vista)
TELEPHON.CPL unter Windows XP: Telefon- und Modemoptionen, unter Windows Vista: Standortinformationen
TIMEDATE.CPL Eigenschaften von Datum/Uhrzeit
WSCUI.CPL Windows-Sicherheitscenter

Damit der Benutzer nicht beim Helpdesk nachfragen muss, wie das Administratorkennwort heißt, können Sie die Verknüpfung umbenennen: Die Verknüpfung "System" benennen Sie zum Beispiel in "System als Administrator mit Kennwort F+4g#3 starten" oder kürzer "System Administratorkennwort F+4g#3" um. So können Sie auch vorgehen, um Benutzern den administrativen Start von Anwendungen zu erleichtern, die sonst nicht fehlerfrei laufen.

Sicherheitsbedenken in einer Domäne

Aus Sicherheitsgründen ist es natürlich problematisch, den Benutzern einer Windows-Domäne das lokale Administratorkennwort zu nennen. Was sollte den Domänenbenutzer dann hindern, ständig als Administrator angemeldet zu sein und beliebige Anwendungen zu installieren, statt sich mit den Einschränkungen einer Kennung zu begnügen, die kein Mitglied der lokalen Administratorgruppe ist?

Durch eine von allen Benutzern unterschriebene Erklärung kann man den Benutzern aber verbieten, nicht genehmigte Anwendungen zu installieren oder das System beliebig zu manipulieren. Eine Zuwiderhandlung kann dann zur Abmahnung oder Kündigung führen. Der lokale Administrator ist außerdem kein Mitglied der Domäne und kann nicht auf Server und deren Dienste (E-Mail-System, Netzdrucker, Gruppenverzeichnis, Firmendokumentvorlagen usw.) zugreifen. Ein produktives Arbeiten ist deshalb unter der Administratorkennung einfach nicht möglich, was Anwender dazu zwingt, sich unter ihrer Domänenbenutzer-Kennung anzumelden.

Besonders in kleineren Netzwerken, z.B. unter Microsoft Small Business Server, gibt es oft allein aus Kostengründen keine Systemadministratoren, die sofort aktiv werden können, wenn bestimmte Anwendungen unter einfachen Benutzerrechten nicht fehlerfrei laufen oder Systemeinstellungen ad Hoc verändert werden müssen, um ein sinnvolles Weiterarbeiten zu ermöglichen. In diesem Umfeld ist es dann bestimmt die bessere Alternative, dem Anwender das lokale Admin-Kennwort zu nennen, damit er nach der oben beschriebenen Methode gezielt bestimmte Anwendungen mit erweiterten Rechten starten kann, anstatt die Benutzerkennung in die Gruppe der lokalen Administratoren aufzunehmen und den Benutzer somit pauschal mit Administratorrechten arbeiten zu lassen.

Besonderheiten der Benutzerkontrolle von Windows Vista

Skripterhöhungs-PowerToys für Windows Vista

In einem Artikel stellt Michael Murgolo, leitender Infrastrukturberater für Microsoft Consulting Services, einige von ihm erstellte Script Elevation PowerToys vor, um bei der Ausführung von Skripten Einschränkungen zu überwinden, die durch die Benutzerkontensteuerung verursacht werden.

Mit dem Tool elevate kann man Anwendungen starten, bei denen der Anwender über eine Befehlszeile, über ein Skript oder über das Dialogfeld "Ausführen" zur Erhöhung der Benutzerrechte aufgefordert wird. Mit dem folgenden Befehl öffnen Sie beispielsweise die Datei "win.in" nach der Aufforderung zur Erhöhung im Editor: elevate notepad c:\Windows\Win.ini

Bei den meisten Windows-Skripttypen gibt es keine Option "Ausführen als Administrator", wenn man im Explorer mit der rechten Maustaste auf die Datei klickt. Die PowerToys Elevate HTML Application, Elevate Windows PowerShell Script und Elevate WSH Script fügen für HTAs, für Windows PowerShell- und für Windows Script Host-Dateitypen jeweils die Option "Ausführen als Administrator" in das Explorer-Kontextmenü ein.

Das Tool ElevateMSI.inf klont die Standardaktionen für Windows Installer-Pakete (msi-Dateien) und zugehörige Patchdateien (msp-Dateien), sodass für Pakete die Kontextmenüoption "Install as Administrator" und für Patches die Option "Apply Patch as Administrator" zur Verfügung steht.
Weitere im Artikel vorgestellte kostenlose Tools sind CMD Prompt Here as Administrator und PowerShell Prompt Here as Administrator.

Den Artikel finden Sie hier.

Alle im Artikel vorgestellten PowerToys befinden sich im Codedownloadbereich unter: technetmagazine .com/code07.aspx

Lesen Sie zu diesem Artikel auch den Blogbeitrag Scripting Elevation on Vista

User Control
Doch selbst, wenn man einzelne Benutzer oder aber eine spezielle Active Directory-Sicherheitsgruppe einer Domäne in die Gruppe der lokalen Administratoren aufnimmt, kann man deren Berechtigungen wieder einschränken, zum Beispiel mit User Control. Diese Shareware läuft unter Windows 2000, XP, Vista, 2008 und Windows 7 und ermöglicht es, vielfältige Restriktionen im System für Benutzer festzulegen. Über einen Software-Filter kann man festlegen, welche Programme der Benutzer ausführen oder nicht ausführen darf. Es gibt einen Website-Filter, Internet-Filter, Desktop-Schutz und anderes. Näheres erfahren Sie auf WinTotal.

Zu den Besonderheiten der Benutzerkontrolle von Windows Vista (User Account Control - UAC) finden Sie auf WinTotal bereits einige Tipps:

Administratoraccount unter Vista aktivieren
Der Artikel beschreibt den Unterschied zwischen echten und eingeschränkten Administratoren und zeigt, wie man den standardmäßig deaktivierten echten Administrator aktiviert.
Wenn Sie für die eingeschränkten Administratoren das UAC aufheben möchten, lesen Sie den Artikel Benutzerkontensteuerung deaktivieren oder editieren.

Benutzerkontensteuerung deaktivieren und wieder zu aktivieren
Der Artikel zeigt mehrere Wege auf, die Benutzerkontensteuerung zu deaktivieren und wieder zu aktivieren.

Mit der Freeware TweakUAC kann man die Benutzerkontensteuerung ebenfalls deaktivieren, doch benötigt man derartige Tools eigentlich nicht mehr, wenn man oben genannte Artikel gelesen hat.

Wer genauer wissen möchte, wie die Benutzerkontensteuerung funktioniert, findet auf den Microsoft-Webforen diverse Artikel:

61 Bewertungen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne Ø 4,54
Anwendungen als Nicht-Admin mit Administratorrechten ausführen
Loading...

Hinterlasse eine Antwort

(wird nicht veröffentlicht)

Nutzungsrichtlinien beachten