Wurde das Verhalten der UAC in Windows geändert?

[English]Ich stelle mal eine Beobachtung von Mark H. hier im Blog ein, die er mir Ende Januar 2025 geschildert hat. Ihm ist aufgefallen, dass sich das Verhalten der Windows Benutzerkontensteuerung bezüglich bestimmter GPO-Vorgaen geändert "zu haben scheint". Oder er ist einem großen Denkfehler aufgesessen. Vielleicht kann die Schwarmintelligenz der Leserschaft da zur Aufklärung beitragen.

Die Problembeschreibung

Die Mail von Mark startete mit "Ich werde gerade verrückt. Entweder ist es mir noch nie aufgefallen, was peinlich wäre – oder Microsoft hat im Verhalten der UAC was geändert und ich habe es nicht mitbekommen."

Bisheriges Verhalten (nach Wissensstand)

Mark schrieb, dass sein bisheriger Wissensstand folgender sei: Die Einstellungen für die  Benutzerkontensteuerung (UAC) lässt sich ja per GPO für Benutzer folgendermaßen konfigurieren:

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte
Rechte für Standardbenutzer -> Anforderungen für erhöhte Rechte automatisch ablehnen

Und für Administratoren kann folgende Richtlinie gesetzt werden:

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus -> Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop

Microsoft hat das Ganze im Support-Beitrag Einstellungen und Konfiguration der Benutzerkontensteuerung beschrieben. Mark hat zudem die Vorgaben auf Gruppenrichtlinien in diesem Artikel zusammen getragen. Was nach Marks Angaben (aus dem Gedächtnis heraus von ihm folgendermaßen beschrieben) passieren sollte:

• Alle Rechteerhöhungen (Elevations) wurden bisher silent ignoriert und die Schnittstellen haben sich lesend geöffnet
• Mark konnte eine CMD über das Kontextmenü -> Dateispeicherort öffnen -> und dann über Shift-rechte Maustaste "Als anderer Benutzer ausführen" mit einem Admin-Konto elevated öffnen und dann div Jobs erledigen.

Soweit so gut. Nun ist er bei Tests auf ein neues Verhalten gestoßen, welches ihn irritiert.

Neues Verhalten?

Mark schrieb, dass sich für ihn sowohl unter Windows 10 als auch unter Windows 11 ein neues, bzw. geändertes Verhalten ergibt. Er beschreibt das folgendermaßen:

• Wenn er einen Eintrag (Item) anklicke, das ein "UAC-Schild" aufweist, oder ein Programm (wie die Eingabeaufforderung CMD) per Linke-Strg+Shift-Taste direkt elevated starten möchte oder "Als Admin ausführen" wähle, dann erscheint der Sperrbalken, identisch zu dem von Applocker (siehe obiges Bild).
• Was er als "spooky" Verhalten empfindet: Startet er eine Eingabeaufforderung (CMD) mit erhöhten Rechten (elevated) über "Ausführen als", dann wird das betreffenden Fenster nicht mehr mit erhöhten Rechten (elevated) geöffnet.

• Jeder Prozess, den er aus dem Fenster der Eingabeaufforderung heraus startet. fragt noch mal explizit nach, ob er elevated werden soll. "Klick OK" reicht dann, da er nur die Zustimmung auf sicherem Desktop für Admins anfordere.
• Meldet er ein Administrator-Konto interaktiv am Desktop an, ist sei alles prima, da erfolgt nur die Zustimmung auf sicherem Desktop

Mark zieht folgendes Fazit bzw. umschreibt, was ihn "aus der Bahn wirft" und für ihn neu aussieht:

• Er bekommt jetzt einen Sperrbalken angezeigt
• Die CMD ist nicht mehr) elevated

Als Lösung nutzt er die Änderung der UAC-Einstellungen für den Benutzer per GPO in der Form:

-> Eingabeaufforderung zu Anmeldeinformationen (auf dem sicheren Desktop)

Der Nachteil: Jetzt erhalten User beim Zugriff auf die Dienste eine Nachfrage nach der UAC, anstatt das Snapin einfach lesend zu öffnen.

Marks Fragen lauten: Habe ich das Verhalten falsch im Kopf? Trügt mich da meine Erinnerung? Ich nutze keine GPOs, kann da also keine Antwort liefern, ob das schon immer so war. Daher gebe ich das Ganze mal an die Leserschaft weiter. Trügt die Erinnerung? Gibt es einen Denkfehler?