UAC richtig konfigurieren
... oder auch: vom Saulus zum Paulus
Mittlerweile gehöre ich zu den größten Verfechter für den Einsatz von UAC und gehe sogar einen Schritt weiter als Windows 7/8/8.1 in der Default Konfiguration: Ich lasse alles bestätigen. Es gibt keine AutoElevation.
Der Schieberegler wandert eine Stufe nach oben und steht auf "Immer benachrichtigen".
Über die Technik von UAC mit dem Austausch und Wechsel der zwei AccessTokens eines Administrativen Accounts will ich hier nicht schreiben, das ist an vielen anderen Stellen gut dokumentiert.
Ich möchte euch nur folgende Idee mitgeben:
Ihr seid der Fahrer eines Autos. Es gehört euch, wenn ihr drin sitzt könnt ihr alles tun, ihr seid der Chef. Aber, ihr müsst erst mal einsteigen und die Tür öffnen. Dafür drückt ihr einfach auf den Knopf eurer Fernbedienung am Autoschlüssels. Fertig.
Der druck auf den Knopf des Schlüssels stört nicht, der fällt nicht auf, der ärgert nicht. Der bremst euch nicht aus und der kostet auch keine Zeit, die ins Gewicht fällt.
Das ist die Konfiguration, die wir mit den Gruppenrichtlinien für UAC definieren. Bei Administratoren kommt nur eine Aufforderung für das klick OK auf dem sicheren Desktop, oder in kurz: LINKS -> ENTER.
Mehr braucht es nicht. Pfeil nach links, Enter. Das ist der druck auf den Knopf der Fernbedienung.
Für normale Benutzerkonten wird nach Name und Kennwort gefragt. In dem Moment kann dann der eigene Account verwendet werden, oder der eines administrativen Benutzers. Genaugenommen, ist das sogar das bessere Runas, da es automatisch aufpoppt.
Konfiguration der Gruppenrichtlinie, Verlinkung auf Domänenebene, denn das darf und muss für alle gelten, auch und speziell für den Administrator!
Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen:
- Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto = Aktiviert
- Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen = Aktiviert
- Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern = Aktiviert
- Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln = Aktiviert
- Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus = Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop
- Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer = Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop
oder direkt zum Importieren in die GPO
Siehe: Offline Sicherheitsrichtlinien editieren - Erstellen einer eigenen Sicherheitsvorlage
[Unicode] Unicode=yes [Version] signature="$CHICAGO$" Revision=1 [Registry Values] MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser=4,1 MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin=4,2 MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection=4,1 MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA=4,1 MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken=4,1 MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop=4,1
Jetzt kommt bei jedem Zugriff auf ein Programm, welches das System verändern kann der UAC Dialog, der dann mit "Links - Enter" schnell bestätigt werden kann.