Einstellungen und Konfiguration der Benutzerkontensteuerung

Einstellungsliste für die Benutzerkontensteuerung

In der folgenden Tabelle sind die verfügbaren Einstellungen zum Konfigurieren des UAC-Verhaltens und deren Standardwerte aufgeführt.

Einstellungsname Beschreibung
Admin Genehmigungsmodus für das integrierte Administratorkonto Steuert das Verhalten von Admin Genehmigungsmodus für das integrierte Administratorkonto.

Aktiviert: Das integrierte Administratorkonto verwendet Admin Genehmigungsmodus. Standardmäßig fordert jeder Vorgang, der rechteerweiterungen erfordert, den Benutzer auf, den Vorgang zu genehmigen.
Deaktiviert (Standard): Das integrierte Administratorkonto führt alle Anwendungen mit vollständigen Administratorrechten aus.
Zulassen, dass UIAccess-Anwendungen rechte rechte Rechte einfordern, ohne den sicheren Desktop zu verwenden Steuert, ob Benutzeroberflächen-Barrierefreiheitsprogramme (UIAccess oder UIA) den sicheren Desktop automatisch für Eingabeaufforderungen zur Erhöhung deaktivieren können, die von einem Standardbenutzer verwendet werden.

Aktiviert: UIA-Programme, einschließlich Remoteunterstützung, deaktivieren automatisch den sicheren Desktop für Eingabeaufforderungen zur Erhöhung. Wenn Sie die Richtlinieneinstellung Zum sicheren Desktop wechseln nicht deaktivieren, wenn Sie zur Erhöhung auffordern , werden die Eingabeaufforderungen auf dem Desktop des interaktiven Benutzers anstelle des sicheren Desktops angezeigt. Diese Einstellung ermöglicht es dem Remoteadministrator, die entsprechenden Anmeldeinformationen für die Rechteerweiterung anzugeben. Diese Richtlinieneinstellung ändert nicht das Verhalten der UAC-Aufforderung zur Erhöhung für Administratoren. Wenn Sie diese Richtlinieneinstellung aktivieren möchten, sollten Sie auch die Auswirkungen der Richtlinieneinstellung Verhalten der Eingabeaufforderung für Erhöhte Rechte für Standardbenutzer überprüfen: Wenn sie als Anforderungen für Rechteerweiterungen automatisch verweigern konfiguriert ist, werden dem Benutzer keine Rechteerweiterungsanforderungen angezeigt.
Deaktiviert (Standard): Der sichere Desktop kann nur vom Benutzer des interaktiven Desktops oder durch Deaktivieren der Richtlinieneinstellung Zum sicheren Desktop wechseln deaktiviert werden, wenn Sie zur Erhöhung aufgefordert werden.
Verhalten der Eingabeaufforderung für Erhöhte Rechte für Administratoren im Admin-Genehmigungsmodus Steuert das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Administratoren.

Erhöhen ohne Aufforderung: Ermöglicht privilegierten Konten das Ausführen eines Vorgangs, der rechte Rechte ohne Zustimmung oder Anmeldeinformationen erfordert. Verwenden Sie diese Option nur in den umgebungen mit den meisten Einschränkungen.
Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen privilegierten Benutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.
Aufforderung zur Zustimmung auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.
Aufforderung zur Eingabe von Anmeldeinformationen: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
Zustimmung anfordern: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.
Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien (Standard): Wenn ein Vorgang für eine Nicht-Microsoft-Anwendung rechteerweiterungen erfordert, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.
Verhalten der Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer Steuert das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer.

Aufforderung zur Eingabe von Anmeldeinformationen (Standard): Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
Anforderungen zur automatischen Ablehnung von Rechteerweiterungen: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird eine konfigurierbare Fehlermeldung "Zugriff verweigert" angezeigt. Ein Unternehmen, das Desktops als Standardbenutzer ausführt, kann diese Einstellung auswählen, um Helpdesk-Anrufe zu reduzieren.
Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen anderen Benutzernamen und ein anderes Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
Erkennen von Anwendungsinstallationen und Aufforderung zur Erhöhung Steuert das Verhalten der Anwendungsinstallationserkennung für den Computer.

Aktiviert (Standard): Wenn ein App-Installationspaket erkannt wird, das rechteerweiterungen erfordert, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
Deaktiviert: App-Installationspakete werden nicht erkannt und zur Erhöhung aufgefordert. Unternehmen, die Standardbenutzerdesktops ausführen und delegierte Installationstechnologien wie Microsoft Intune verwenden, sollten diese Richtlinieneinstellung deaktivieren. In diesem Fall ist die Installationsprogrammerkennung nicht erforderlich.
Nur ausführbare Dateien erhöhen, die signiert und überprüft wurden Erzwingt Signaturprüfungen für alle interaktiven Anwendungen, die Rechteerweiterungen anfordern. IT-Administratoren können steuern, welche Anwendungen ausgeführt werden dürfen, indem sie Zertifikate zum Zertifikatspeicher für vertrauenswürdige Herausgeber auf lokalen Geräten hinzufügen.

Aktiviert: Erzwingt die Zertifikatzertifizierungspfadüberprüfung für eine bestimmte ausführbare Datei, bevor sie ausgeführt werden darf.
Deaktiviert (Standard): Erzwingt die Überprüfung des Zertifikatzertifizierungspfads nicht, bevor eine bestimmte ausführbare Datei ausgeführt werden darf.
Nur Benutzeroberflächenzugriffsanwendungen erhöhen, die an sicheren Speicherorten installiert sind Steuert, ob Anwendungen, die die Ausführung mit einer UIAccess-Integritätsebene (User Interface Accessibility) anfordern, sich an einem sicheren Speicherort im Dateisystem befinden müssen. Sichere Speicherorte sind auf die folgenden Ordner beschränkt:
- %ProgramFiles%, einschließlich Unterordnern
- %SystemRoot%\system32\
- %ProgramFiles(x86)%, einschließlich Unterordnern


Aktiviert (Standard): Wenn sich eine App an einem sicheren Speicherort im Dateisystem befindet, wird sie nur mit UIAccess-Integrität ausgeführt.
Deaktiviert: Eine App wird mit UIAccess-Integrität ausgeführt, auch wenn sie sich nicht an einem sicheren Speicherort im Dateisystem befindet.

Anmerkung: Windows erzwingt eine überprüfung der digitalen Signatur für alle interaktiven Apps, die die Ausführung mit einer UIAccess-Integritätsebene unabhängig vom Status dieser Einstellung anfordern.
Ausführen aller Administratoren im Admin Genehmigungsmodus Steuert das Verhalten aller UAC-Richtlinieneinstellungen.

Aktiviert (Standard): Admin Genehmigungsmodus aktiviert ist. Diese Richtlinie muss aktiviert und die zugehörigen UAC-Einstellungen konfiguriert werden. Die Richtlinie ermöglicht die Ausführung des integrierten Administratorkontos und der Mitglieder der Gruppe "Administratoren" im Admin Genehmigungsmodus.
Deaktiviert: Admin Genehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen sind deaktiviert. Hinweis: Wenn diese Richtlinieneinstellung deaktiviert ist, benachrichtigt Windows-Sicherheit Sie darüber, dass die Gesamtsicherheit des Betriebssystems verringert wird.
Wechseln sie zum sicheren Desktop, wenn Sie zur Erhöhung auffordern Diese Richtlinieneinstellung steuert, ob die Aufforderung zur Erhöhung der Rechte auf dem Desktop des interaktiven Benutzers oder auf dem sicheren Desktop angezeigt wird.

Aktiviert (Standard): Alle Anforderungen für Rechteerweiterungen werden unabhängig von den Richtlinieneinstellungen für Das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer an den sicheren Desktop gesendet.
Deaktiviert: Alle Rechteerweiterungsanforderungen werden an den Desktop des interaktiven Benutzers gesendet. Richtlinieneinstellungen für Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer werden verwendet.
Virtualisieren von Datei- und Registrierungsschreibfehlern an Benutzerspeicherorten Steuert, ob Schreibfehler von Anwendungen an definierte Registrierungs- und Dateisystemspeicherorte umgeleitet werden. Diese Einstellung verringert Anwendungen, die als Administrator ausgeführt werden, und schreiben Laufzeitanwendungsdaten in %ProgramFiles%, %Windir%, %Windir%\system32oder HKLM\Software.

Aktiviert (Standard): App-Schreibfehler werden zur Laufzeit an definierte Benutzerspeicherorte für das Dateisystem und die Registrierung umgeleitet.
Deaktiviert: Apps, die Daten in geschützte Speicherorte schreiben, schlagen fehl.

Konfiguration der Benutzerkontensteuerung

Zum Konfigurieren der UAC können Sie Folgendes verwenden:

  • Microsoft Intune/MDM
  • Gruppenrichtlinie
  • Registrierung

Die folgenden Anweisungen enthalten Einzelheiten zur Konfiguration Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.

Konfigurieren der UAC mit einer Einstellungskatalogrichtlinie

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die Unterkategorie aufgeführten Local Policies Security OptionsEinstellungen:

Screenshot: UAC-Richtlinien im Intune-Einstellungskatalog

Weisen Sie die Richtlinie einer Sicherheitsgruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem LocalPoliciesSecurityOptions-Richtlinien-CSP konfigurieren.
Die Richtlinieneinstellungen befinden sich unter . ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions

Einstellung
Einstellungsname: Admin Genehmigungsmodus für das integrierte Administratorkonto
Name des Richtlinien-CSP: UserAccountControl_UseAdminApprovalMode
Einstellungsname: Zulassen, dass UIAccess-Anwendungen rechteerweiterungen anfordern können, ohne den sicheren Desktop zu verwenden
Name des Richtlinien-CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Einstellungsname: Verhalten der Eingabeaufforderung für Erhöhte Rechte für Administratoren im genehmigungsmodus Admin
Name des Richtlinien-CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Einstellungsname: Verhalten der Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer
Name des Richtlinien-CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Einstellungsname: Erkennen von Anwendungsinstallationen und Aufforderung zur Erhöhung
Name des Richtlinien-CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Einstellungsname: Nur ausführbare Dateien erhöhen, die signiert und überprüft wurden
Name des Richtlinien-CSP: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Einstellungsname: Erhöhen Sie nur UIAccess-Anwendungen, die an sicheren Speicherorten installiert sind.
Name des Richtlinien-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Einstellungsname: Alle Administratoren im Admin Genehmigungsmodus ausführen
Name des Richtlinien-CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Einstellungsname: Wechseln Sie zum sicheren Desktop, wenn Sie zur Erhöhung auffordern
Name des Richtlinien-CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Einstellungsname: Virtualisieren von Datei- und Registrierungsschreibfehlern an Benutzerspeicherorte
Name des Richtlinien-CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations