6
Verhältnis UAC und Administrator - normales Verhalten?
Hallo zusammen!
In den letzten beiden Tagen habe ich ein Netzwerk (bestehend aus Windows 7 Rechnern, Professional) aufgebaut, da ich gerade den Umstieg von XP auf Windows 7 wage. Dabei sind mir hinsichtlich der Benutzerkontensteuerung (UAC) einige Dinge aufgefallen, bei deren Verhalten ich mir nicht ganz sicher bin, ob das so sein sollte. Deshalb frage ich euch einfach einmal.
Ich habe herausgefunden, dass es ein „eigentliches“ Administratorkonto gibt, welches den wirklichen Vollzugriff hat und bei dem die UAC auch komplett deaktiviert ist. Mein eigentliches Benutzerkonto ist also sowas wie ein „eingeschränkter Administrator“.
1) Normalerweise ist die UAC bei meinem Benutzer auf „Standard“ eingestellt (ist ja auch gut so). Wenn ich mich jetzt aber unter dem „echten“ Administratorkonto („Administrator“) lokal anmelde, steht dort bei der Benutzerkontensteuerung, dass dies auch auf Standard eingestellt ist. Doch eigentlich sollte sie bei diesem „allmächtigen Konto“ doch aus sein? Oder zeigt mir der Status bei „Einstellungen für Benutzerkontensteuerung“ eher den ALLGEMEINEN, globalen Status des Systems an, wobei die UAC für „Administrator“ trotzdem eigentlich aus ist?
2) Wenn ich mit Benutzern der Gruppe „Administratoren“ (darin sind die User „X“ und eben „Administrator“) per Netzwerk auf die administrativen Freigaben zugreifen will, geht das im Falle von „X“ (mein Benutzerkonto) nur mit ausgeschalteter UAC. Gut so. Wenn ich mich auf die gleiche Freigabe jedoch mit dem Konto „Administrator“ verbinde, geht alles ohne weiteres. Liegt das auch daran, dass hier über den „allmächtigen Administrator“ kommuniziert wird, was hier die aktivierte UAC auch „umgeht“?
3) Beim Einlesen in die Thematik „Benutzerkonten auf der Willkommensseite ausblenden“ bin ich über Aussagen gestolpert, die sagten, dass das Ausblenden des Administratorkontos per Registry auch negative Effekte auf die UAC hat. Nur für mein Verständnis: Hängt die UAC wirklich so eng mit „Administrator“ zusammen? Braucht die UAC den „Administrator“, um ihre vollen Rechte (z. B. zum Ausführen als Administrator) aufzurufen?
Ich freue mich schon sehr auf eure Antworten. Und lasst euch nicht vom Gerede über „Allmacht“ abschrecken … hört sich doch sehr theologisch an
In den letzten beiden Tagen habe ich ein Netzwerk (bestehend aus Windows 7 Rechnern, Professional) aufgebaut, da ich gerade den Umstieg von XP auf Windows 7 wage. Dabei sind mir hinsichtlich der Benutzerkontensteuerung (UAC) einige Dinge aufgefallen, bei deren Verhalten ich mir nicht ganz sicher bin, ob das so sein sollte. Deshalb frage ich euch einfach einmal.
Ich habe herausgefunden, dass es ein „eigentliches“ Administratorkonto gibt, welches den wirklichen Vollzugriff hat und bei dem die UAC auch komplett deaktiviert ist. Mein eigentliches Benutzerkonto ist also sowas wie ein „eingeschränkter Administrator“.
1) Normalerweise ist die UAC bei meinem Benutzer auf „Standard“ eingestellt (ist ja auch gut so). Wenn ich mich jetzt aber unter dem „echten“ Administratorkonto („Administrator“) lokal anmelde, steht dort bei der Benutzerkontensteuerung, dass dies auch auf Standard eingestellt ist. Doch eigentlich sollte sie bei diesem „allmächtigen Konto“ doch aus sein? Oder zeigt mir der Status bei „Einstellungen für Benutzerkontensteuerung“ eher den ALLGEMEINEN, globalen Status des Systems an, wobei die UAC für „Administrator“ trotzdem eigentlich aus ist?
2) Wenn ich mit Benutzern der Gruppe „Administratoren“ (darin sind die User „X“ und eben „Administrator“) per Netzwerk auf die administrativen Freigaben zugreifen will, geht das im Falle von „X“ (mein Benutzerkonto) nur mit ausgeschalteter UAC. Gut so. Wenn ich mich auf die gleiche Freigabe jedoch mit dem Konto „Administrator“ verbinde, geht alles ohne weiteres. Liegt das auch daran, dass hier über den „allmächtigen Administrator“ kommuniziert wird, was hier die aktivierte UAC auch „umgeht“?
3) Beim Einlesen in die Thematik „Benutzerkonten auf der Willkommensseite ausblenden“ bin ich über Aussagen gestolpert, die sagten, dass das Ausblenden des Administratorkontos per Registry auch negative Effekte auf die UAC hat. Nur für mein Verständnis: Hängt die UAC wirklich so eng mit „Administrator“ zusammen? Braucht die UAC den „Administrator“, um ihre vollen Rechte (z. B. zum Ausführen als Administrator) aufzurufen?
Ich freue mich schon sehr auf eure Antworten. Und lasst euch nicht vom Gerede über „Allmacht“ abschrecken … hört sich doch sehr theologisch an
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 203803
Url: https://administrator.de/contentid/203803
Ausgedruckt am: 08.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Hi.
1
2
Auch hier hast Du es erfasst. Man kann das Verhalten der "Remote UAC" ändern, siehe http://www.jimmah.com/vista/Networking/filtertoken.aspx
Ich würde nämlich sagen, die meisten wollen diesen Admin wieder deaktivieren. Um dennoch administrative Freigaben zu benutzen, MUSS der Wert gesetzt werden+Neustart
3
Halte ich für Gerüchte. Bestimmt nicht.
1
Oder zeigt mir der Status bei „Einstellungen für Benutzerkontensteuerung“ eher den ALLGEMEINEN, globalen Status des Systems an, wobei die UAC für „Administrator“ trotzdem eigentlich aus ist?
Genau so ist es.2
Auch hier hast Du es erfasst. Man kann das Verhalten der "Remote UAC" ändern, siehe http://www.jimmah.com/vista/Networking/filtertoken.aspx
Ich würde nämlich sagen, die meisten wollen diesen Admin wieder deaktivieren. Um dennoch administrative Freigaben zu benutzen, MUSS der Wert gesetzt werden+Neustart
3
Halte ich für Gerüchte. Bestimmt nicht.
Wow, das geht ja schnell hier, bis man eine Antwort bekommt. Danke dafür. Meine Fragen wurden beantwortet
Eine Frage habe ich jetzt jedoch noch aus Interesse: Es geht um den dritten Punkt, den ich angesprochen habe. Du hast ja schon gesagt, dass du es für ein Gerücht hälst, dass das Ausblenden des Admins zu Problemen in der UAC führt (nebenbei: ein real existierendes Problem ist, dass es nach dem Ausblenden keinen Ort mehr gibt, an dem man sich am Administrator anmelden kann).
Trotzdem wäre für mich noch interessant, ob die UAC (z. B. bei "Ausführen als Administrator") auf dieses Administratorkonto zugreift. Denn ohne diesen "allmächtigen Administrator" könnte die UAC doch gar nicht funktionieren. Die UAC "klaut" sich dabei doch einfach die Rechte von "Administrator". Oder habe ich da was falsch verstanden? Es gibt zwar Beiträge darüber, welche aber nicht explizit über die Rolle von "Administrator" bei der UAC berichten. Deshalb frage ich einfach mal hier nochmal nach
Eine Frage habe ich jetzt jedoch noch aus Interesse: Es geht um den dritten Punkt, den ich angesprochen habe. Du hast ja schon gesagt, dass du es für ein Gerücht hälst, dass das Ausblenden des Admins zu Problemen in der UAC führt (nebenbei: ein real existierendes Problem ist, dass es nach dem Ausblenden keinen Ort mehr gibt, an dem man sich am Administrator anmelden kann).
Trotzdem wäre für mich noch interessant, ob die UAC (z. B. bei "Ausführen als Administrator") auf dieses Administratorkonto zugreift. Denn ohne diesen "allmächtigen Administrator" könnte die UAC doch gar nicht funktionieren. Die UAC "klaut" sich dabei doch einfach die Rechte von "Administrator". Oder habe ich da was falsch verstanden? Es gibt zwar Beiträge darüber, welche aber nicht explizit über die Rolle von "Administrator" bei der UAC berichten. Deshalb frage ich einfach mal hier nochmal nach
Du hast eine falsche Vorstellung von der UAC - sie klaut sich kein bestimmtes Konto. Lies einfach mal bei Wikipedia den Eintrag zu UAC, da ist es erklärt und auch Referenzen zu MS nachlesbar.
Wg. Anmelden: Auh mit ausgeblendetem kann man vermutlich noch den Namen angeben, wenn man die Willkommensseite nicht verwendet sondern das Loginfeld. Dieses erhielt man bei xp zumindest noch über zweimaliges Drücken von STRG-Alt-Entf.
Wg. Anmelden: Auh mit ausgeblendetem kann man vermutlich noch den Namen angeben, wenn man die Willkommensseite nicht verwendet sondern das Loginfeld. Dieses erhielt man bei xp zumindest noch über zweimaliges Drücken von STRG-Alt-Entf.
Danke für deine Antwort
Das mit dem "klauen" ist vielleicht ein bisschen zu einfach ausgedrückt. Ich habe aber schon rausgefunden, dass z. B. bei einem Standardbenutzer mit aktivierter UAC zum Ausführen bestimmter Aktionen die Anmeldedaten eines Benutzers aus der lokalen Administratorengruppe eingegeben werden müssen. Ich beziehe mich auf die von dir (DerWoWusste) vorgeschlagene Referenz zu MS aus dem Technet (http://technet.microsoft.com/de-de/library/cc709628%28v=ws.10%29.aspx).
Man braucht also für die korrekte Funktion der UAC (z. B. bei einem Standardbenutzer) schon ein lokales Administratorkonto - denn sonst hat die UAC ja keine "Stelle", an die sie sich bei der Ausführung bestimmter Aktionen wenden kann (siehe Abschnitt "Zustimmungsaufforderung und Administratoranmeldeaufforderung", das Bild) - habe ich das richtig verstanden?
Aber gut - das vordefinierte Konto namens "Administrator" wird da nicht unbedingt gebraucht; auch ein selbsterstelltes kann bei der Nachfrage der UAC als Adminkonto angegeben werden.
Stimmt es also folglich, dass sich der "Administrator" von anderen Adminkonten auf dem PC nur in der Hinsicht unterscheidet, dass beim "Administrator" die UAC - ungeachtet der globalen Systemeinstellung - komplett deaktiviert ist? Und daher ein fiktives (!) Löschen des "Administrators" keine weiteren Folgen hätte - vorausgesetzt, man hat schon selbst ein anderes Adminkonto erstellt? Ich will das gerade nicht ausprobieren
P.s.: Das mit dem Anmelden stimmt genau so. Man braucht das Feld zum sicheren Anmelden. Ein besonderes Schmankerl ist dabei, dass man von der Willkommensseite aus meiner Erfahrung nach keine Möglichkeit mehr hat, auf ausgeblendete Konten zuzugreifen - STRG + ALT + ENTF funktioniert nichtmehr - schade.
Das mit dem "klauen" ist vielleicht ein bisschen zu einfach ausgedrückt. Ich habe aber schon rausgefunden, dass z. B. bei einem Standardbenutzer mit aktivierter UAC zum Ausführen bestimmter Aktionen die Anmeldedaten eines Benutzers aus der lokalen Administratorengruppe eingegeben werden müssen. Ich beziehe mich auf die von dir (DerWoWusste) vorgeschlagene Referenz zu MS aus dem Technet (http://technet.microsoft.com/de-de/library/cc709628%28v=ws.10%29.aspx).
Man braucht also für die korrekte Funktion der UAC (z. B. bei einem Standardbenutzer) schon ein lokales Administratorkonto - denn sonst hat die UAC ja keine "Stelle", an die sie sich bei der Ausführung bestimmter Aktionen wenden kann (siehe Abschnitt "Zustimmungsaufforderung und Administratoranmeldeaufforderung", das Bild) - habe ich das richtig verstanden?
Aber gut - das vordefinierte Konto namens "Administrator" wird da nicht unbedingt gebraucht; auch ein selbsterstelltes kann bei der Nachfrage der UAC als Adminkonto angegeben werden.
Stimmt es also folglich, dass sich der "Administrator" von anderen Adminkonten auf dem PC nur in der Hinsicht unterscheidet, dass beim "Administrator" die UAC - ungeachtet der globalen Systemeinstellung - komplett deaktiviert ist? Und daher ein fiktives (!) Löschen des "Administrators" keine weiteren Folgen hätte - vorausgesetzt, man hat schon selbst ein anderes Adminkonto erstellt? Ich will das gerade nicht ausprobieren
P.s.: Das mit dem Anmelden stimmt genau so. Man braucht das Feld zum sicheren Anmelden. Ein besonderes Schmankerl ist dabei, dass man von der Willkommensseite aus meiner Erfahrung nach keine Möglichkeit mehr hat, auf ausgeblendete Konten zuzugreifen - STRG + ALT + ENTF funktioniert nichtmehr - schade.
Ok, Willkommensseite nutze ich nicht, werd' ich mir nochmal ansehen.
Stimmt es also folglich, dass sich der "Administrator" von anderen Adminkonten auf dem PC nur in der Hinsicht unterscheidet, dass beim "Administrator" die UAC - ungeachtet der globalen Systemeinstellung - komplett deaktiviert ist?
Ja.Und daher ein fiktives (!) Löschen des "Administrators" keine weiteren Folgen hätte...
Was meinst Du den mit fiktiv? Deaktivierren kannst Du ihn, ausblenden auch, beides hat keine Auswirkung. Löschen kann man den eingebauten Admin eh nicht.
Okay
Danke für deine Antworten
Danke für deine Antworten
