Windows und die Benutzerkontensteuerung …

Umsteiger von Windows XP auf Windows Vista bzw. Windows 7 haben Probleme, die Wirkungsweise der Benutzerkontensteuerung einzuschätzen bzw. zu verstehen. "Ich bin als Administrator angemeldet, habe aber keine Adminrechte", ist eine häufig gehörte Aussage. Der Beitrag befasst sich mit der Rolle der Benutzerkontensteuerung.


Anzeige

… ein Buch mit sieben Siegeln? So könnte man die Thematik aus Sicht vieler Benutzer umschreiben.

Da wundern sich einige Leute, dass sie trotz Anmeldung an einem Administratorenkonto nicht die Berechtigung zum Zugriff auf alle Dateien haben. Oder in der Eingabeaufforderung funktionieren manche Befehle nicht. Andere wundern sich, dass bei der Installation von Anwendungen manchmal die Benutzerkontensteuerung eine Sicherheitsabfrage zeigt, in anderen Fällen aber die Abfrage nicht erscheint und die Installation nicht klappt.

Grundwissen, zum Verständnis erforderlich

Grundsätzlich ist es wichtig, zu verstehen, wie Windows Vista den Sicherheitskontext eines Benutzerkonto verwaltet.


Anzeige

  • Meldet sich ein Standardbenutzer am System an, erhält er ein Token, welches diesen Status gegenüber dem Betriebssystem signalisiert.
  • Meldet sich ein Administrator am System an, erhält er zwei Tokens. Ein Token steht für normale Benutzerberechtigungen und wird beim Arbeiten unter dem Administratorenkonto standardmäßig verwendet. Das zweite Token besitzt (erhöhte) Administratorrechte, muss aber von der Benutzerkontensteuerung freigegeben werden.

Die Benutzerkontensteuerung besitzt also die Fähigkeit, die Berechtigungen des Administrators auf die geforderte Stufe anzuheben.

Damit ist auch klar: Versucht ein Administrator irgend etwas zu erledigen, was Administratorrechte erfordert, wird dies solange verweigert, bis die Benutzerkontensteuerung dies frei gibt.

Vista greift Ihnen unter die Arme

Bei den meisten Vista-Funktionen erfolgt der Aufruf der Benutzerkontensteuerung automatisch und nach Bestätigung kann der Vorgang durchgeführt werden.

Liefert der Entwickler eines Setup-Programms oder einer Anwendung, die Administratorrechte benötigt, ein entsprechendes Manifest mit, kann Windows Vista dieses auswerten und automatisch die Dialoge der Benutzerkontensteuerung aufrufen.

Aber das klappt nicht immer!

Bei manchen Fremdprogrammen (oder auch bei Anwendungen wie dem Windows Editor oder der Eingabeaufforderung) unterbleibt beim Aufruf die Anfrage der Benutzerkontensteuerung – folglich erhält die Anwendung auch kein Administrator-Token. Dann gibt es natürlich Probleme, wenn Operationen ausgeführt werden sollen, die Administrorrechte benötigen (z. B. die hosts-Datei schreiben, von einem normalen Benutzerkonto auf Registrierungszweige wie HKLM zugreifen, bestimmte Befehle wie Regsvr32.exe in der Eingabeaufforderung eingeben etc.).

Eine Möglichkeit wäre, die Benutzerkontensteuerung abzuschalten und ständig unter einem Administratorenkonto zu arbeiten. Aber dies kann andere Probleme bringen und ist nicht allzu sinnvoll (z.B. Als Administrator ausführen geht dann nicht mehr).

Mein Tipp: Arbeiten Sie mit Windows Vista und nutzen Sie die Benutzerkontensteuerung zu Ihrem Vorteil. Installieren Sie eine Anwendung, kann diese über ein in der .exe-Datei abgelegtes Manifest vorgeben, dass Administratorenrechte benötigt werden – Windows Vista ruft die Benutzerkontensteuerung auf.

Ist dies nicht der Fall – z.B. wenn Sie eine Systemdatei wie hosts mit Notepad bearbeiten oder Registrierungseinträge im Zweig HKEY_LOCAL_MACHINE mittels des Registrierungseditors aus einem Standardbenutzerkonto ändern möchten – gibt es zwei Möglichkeiten:

  • a) Sie legen eine Verknüpfung an und setzen deren Eigenschaften auf Als Administrator ausführen.
  • b) Sie klicken die Programmdatei oder den Startmenüeintrag mit der rechten Maustaste an und wählen den Kontextmenübefehl Als Administrator ausführen.

In beiden Fällen erscheint das Dialogfeld der Benutzerkontensteuerung und nach einer Administratorfreigabe kann Windows die betreffende Anwendung im Administratorenkontext ausführen. Schon klappt es mit der Anwendung – diese wird im Kontext des gewählten Administratorenkontos ausgeführt – komfortabler und sicherer kann man es eigentlich nicht mehr haben….

… dann lassen sich im (von einem Standardbenutzerkonto aufgerufenen) Registrierungseditor z. B. Schlüssel im Zweig HKLM ändern oder die Datei hosts im Notepad editieren und wieder speichern.

Hinweis: Bei älteren Windows-Anwendungen können Sie zudem den Administratorenmodus auf der Registerkarte Kompatibilität erzwingen. Dies bewirkt, dass die Anwendung global auf dem System im Modus "Als Administrator ausführen" aufgerufen wird.

Zweiter Punkt: Der Windows Explorer lässt sich nicht von Standardbenutzerkonten im Administratorenkontext starten! Der Grund: Die Windows-Shell basiert auf dem Windows Explorer.

Sie können zwar erzwingen, dass neue Instanzen der Explorer.exe als separate Prozesse auszuführen sind. Drücken Sie die Alt-Taste, und wählen Sie im Ordnerfenster im Menü Extras den Befehl Ordneroptionen. Auf der Registerkarte Ansicht ist die Option Ordnerfenster in einem eigenen Prozess starten zu markieren.

Wenn Sie dann Explorer.exe über den Befehl Als Administrator ausführen starten, erscheint die Benutzerkontensteuerung und fordert die administrative Bestätigung an.

Wer jetzt aber hofft, dass diese von einem Standardkonto gestartete Kopie der Shell im Administratorenkontext läuft, liegt leider falsch. Ein Aufruf des Task-Manager zeigt, dass auch diese separaten Prozesse der Shell im Kontext des aktuellen Benutzerkontos (und mit dem Token für Standardberechtigungen) laufen.

Nur wenn Sie unter einem Administratorenkonto angemeldet sind und den Windows Explorer in separaten Prozessen ausführen lassen, erhält eine über den Befehl Als Administrator ausführen aufgerufene Instanz des Explorers nach der Bestätigung der Benutzerkontensteuerung das Sicherheitstoken mit Administratorenprivilegien.

Um auch unter Standardbenutzerkonten problemlos in den Administratorenkontext des Dateimanager wechseln zu können, sollten Sie einen alternativen Dateimanager, der nicht auf die Windows-Shell aufsetzt (z. B. A43) verwenden. Dieser lässt sich über den Kontextmenübefehl Als Administrator ausführen aufzurufen. Der Prozess läuft dann unter dem Administratorenkonto mit einem Token für Administratorrechte.

Wird der Registrierungseditor unter einem Administratorenkonto aufgerufen, erhält dieser automatisch die administrativen Privilegien zum Zugriff auf Schlüssel in HKLM bzw. in den Policy-Zweigen von HKCU. Erkennen lässt sich dies daran, dass einer auf dem Desktop angelegte Verknüpfung auf Regedit.exe das administrative Symbol überlagert wird.

Tipp: Manche Anwender berichten, dass Windows Vista den Zugriff auf Ordner wie Dokumente und Einstellungen verweigert, obwohl sie als Administrator angemeldet sind. Des Rätsels Lösung: Es handelt sich um keine Ordner sondern um NTFS-Links (erkennbar am Verknüpfungspfeil in der linken unteren Ecke des Ordnersymbols). Um die Kompatibilität mit älteren Anwendungen zu gewährleisten, verwendet Windows Vista solche NTFS-Links. Die Benutzerordner bzw. das Profil eines Benutzerkontos liegt im Pfad "Benutzer" bzw. "Users". An dieser Stelle mein Tipp, schalten Sie die Anzeige versteckter Systemdateien im Windows Explorer ab. Im Gegensatz zu Windows XP bringt die Anzeige von Systemdateien eigentlich keine Vorteile und birgt die Gefahr, dass sich der Benutzer die beiden Dateien desktop.ini löscht.

Hinweis: Wer in der Eingabeaufforderung "unterwegs ist", findet übrigens englische Ordnerbezeichnungen. Nur in der Windows-Shell werden die Ordnernamen durch die Lokalisierung entsprechend umgesetzt. Ein ganz gut gemachter Hintergrundartikel zum NTFS-Link-Problem findet sich im Blog von Daniel Melanchthon.

Eine schöne Einführung in die Funktionsweise und den Sinn der Benutzerkontensteuerung, samt vielen Informationen, findet sich in der FAQ-o-matic von Nils Kaczenski.

Weitere Hinweise finden sich u. a. in dem Markt+Technik Titel "Magnum Windows Vista Home Premium Tricks" aus meiner Feder, der vieles Interna des Betriebssystems lüftet und einige nette Sachen enthält.

Weiterführende Links:
1: Wissen: Die Benutzerkontensteuerung unter Windows 7 …


Anzeige

Dieser Beitrag wurde unter Allgemein abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.