8
Registry Standardrechte in Domäne
Hi zusammen
Ich bin gerade an einer Domäne am Aufbauen und mir ist folgendes Aufgefallen.
Wenn ich mit einem Standarduser die Registry aufmachen will, funktioniert das ohne einer Abfrage vom Adminpasswort.
GPOs habe ich soweit alle Deaktivert auf dem Client, obwohl ich keine drin habe, die daran was ändern sollten.
Ich habe probehalber auch mal eine GPO erzeugt mit diesen Einstellungen:
http://www.gruppenrichtlinien.de/artikel/uac-richtig-konfigurieren/
Trotzdem fragt er bei der Registry kein Adminpasswort ab. Ist dieses Verhalten normal?! Würde mir doch sehr komisch erscheinen.
Bei anderen Aktionen wie Programme installieren oder die Computerverwaltung aufmachen fragt er nach wie vor da Passwort ab...
Danke für eure Hilfe!
Ich bin gerade an einer Domäne am Aufbauen und mir ist folgendes Aufgefallen.
Wenn ich mit einem Standarduser die Registry aufmachen will, funktioniert das ohne einer Abfrage vom Adminpasswort.
GPOs habe ich soweit alle Deaktivert auf dem Client, obwohl ich keine drin habe, die daran was ändern sollten.
Ich habe probehalber auch mal eine GPO erzeugt mit diesen Einstellungen:
http://www.gruppenrichtlinien.de/artikel/uac-richtig-konfigurieren/
Trotzdem fragt er bei der Registry kein Adminpasswort ab. Ist dieses Verhalten normal?! Würde mir doch sehr komisch erscheinen.
Bei anderen Aktionen wie Programme installieren oder die Computerverwaltung aufmachen fragt er nach wie vor da Passwort ab...
Danke für eure Hilfe!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 290896
Url: https://administrator.de/forum/registry-standardrechte-in-domaene-290896.html
Ausgedruckt am: 11.04.2025 um 07:04 Uhr
8 Kommentare
Neuester Kommentar
ja das ist normal. Der User kann ja die Registry lesen. Muss er ja auch.
Und er muss seinen eigenen Hive auch bearbeiten können.
(Natürlich nicht "der User", sondern die Programme die unter seinen Rechten laufen)
Die Berechtigungen an den einzelnen Ordnern, Schlüsseln etc sind jeweils in der Registry selbst zu berechtigen.
Du kannst zwar dafür sorgen, das der User "regedit.exe" nicht öffnen kann, aber das hilft nur so lange was, wie der User nicht irgendein beliebiges anderes Tool dafür nimmt.
Von daher: Ja. Das ist korrekt so, das der User das kann. Denn die Berechtigungen der Registry erfolgen in der Registry selbst
Und er muss seinen eigenen Hive auch bearbeiten können.
(Natürlich nicht "der User", sondern die Programme die unter seinen Rechten laufen)
Die Berechtigungen an den einzelnen Ordnern, Schlüsseln etc sind jeweils in der Registry selbst zu berechtigen.
Du kannst zwar dafür sorgen, das der User "regedit.exe" nicht öffnen kann, aber das hilft nur so lange was, wie der User nicht irgendein beliebiges anderes Tool dafür nimmt.
Von daher: Ja. Das ist korrekt so, das der User das kann. Denn die Berechtigungen der Registry erfolgen in der Registry selbst
Dito, den Explorer kann er ja auch ohne UAC öffnen, d.h. noch lange nicht das er dort auch alles bearbeiten oder löschen kann 
Ob die UAC getriggert wird liegt unter anderem auch am Manifest der ausführbaren Datei.
Gruß jodel
Ob die UAC getriggert wird liegt unter anderem auch am Manifest der ausführbaren Datei.
Gruß jodel
Hi,
warum sollte er das tun? Jeder Benutzer kann im Rahmen seiner Berechtigungen in der Registry lesen und schreiben.
Kann es ein, dass Du gar nicht die Passwortabfrage meinst sondern den UAC-Dialog, wo man bestätigen muss, ob die Administrator-Berechtigungen angewendet werden dürfen?
Falls ja:
regedit.exe ist kein Programm, welches Admin-Rechte zwingend erfordert. Deshalb fragt es auch nicht, wenn der Benutzer nicht Mitglied der lokalen Administratoren ist, ob er die Anwendung entsprechend elevieren darf.
Bei einem Mitglied der Administratoren fragt Windows dann, weil das Programm beim Starten wahrscheinlich versucht seine Berechtigungen "abzuklopfen".
Wenn man kein Mitglied der lokalen Admin ist und ein Programm startet, welches in seiner Konfiguration fest drin hat, dass es Adminrechte anfordern soll/muss, dann erscheint beim Programmstart eine Eingabemaske für Anmeldedaten eines Benutzers mit lokalen Administrator-Rechten.
E.
warum sollte er das tun? Jeder Benutzer kann im Rahmen seiner Berechtigungen in der Registry lesen und schreiben.
Kann es ein, dass Du gar nicht die Passwortabfrage meinst sondern den UAC-Dialog, wo man bestätigen muss, ob die Administrator-Berechtigungen angewendet werden dürfen?
Falls ja:
regedit.exe ist kein Programm, welches Admin-Rechte zwingend erfordert. Deshalb fragt es auch nicht, wenn der Benutzer nicht Mitglied der lokalen Administratoren ist, ob er die Anwendung entsprechend elevieren darf.
Bei einem Mitglied der Administratoren fragt Windows dann, weil das Programm beim Starten wahrscheinlich versucht seine Berechtigungen "abzuklopfen".
Wenn man kein Mitglied der lokalen Admin ist und ein Programm startet, welches in seiner Konfiguration fest drin hat, dass es Adminrechte anfordern soll/muss, dann erscheint beim Programmstart eine Eingabemaske für Anmeldedaten eines Benutzers mit lokalen Administrator-Rechten.
E.
Ok vielen Dank für eure Antworten.
Ich war mir nur Unsicher, da in Workgroups immer die UAC erscheint und jetzt auf einmal nicht mehr. Im ersten Moment macht das einen Sorgen, weil in der Registry man wohl das größte Übel anstellen könnte. Aber solange die User nichts ändern können, können sie sich durch Kauderwelsch mal durchlesen
Danke nochmal!
Ich war mir nur Unsicher, da in Workgroups immer die UAC erscheint und jetzt auf einmal nicht mehr. Im ersten Moment macht das einen Sorgen, weil in der Registry man wohl das größte Übel anstellen könnte. Aber solange die User nichts ändern können, können sie sich durch Kauderwelsch mal durchlesen
Danke nochmal!
da in Workgroups immer die UAC erscheint
Das kann so auch nicht stimmen. Da waren die lokalen Benutzer sicher alle noch Mitglied der lokalen Administratoren.
@emeriks
Ist ja normal bei einer Workgroup, das ein User (sofern gewollt) Mitglied der lokalen Administratoren ist.
Privat wollen wir doch alle rechte haben
Ist ja normal bei einer Workgroup, das ein User (sofern gewollt) Mitglied der lokalen Administratoren ist.
Privat wollen wir doch alle rechte haben
Privat wollen wir doch alle rechte haben
Gott bewahre. Aber nur wenn Dir an Systemsicherheit nicht gelegen ist.
wenigstens einer ....
