Für so manchen Umsteiger von Windows XP ist die Benutzerkontensteuerung ein Buch mit sieben Siegeln. Da wundern sich die Benutzer, dass sie trotz Anmeldung an einem Administratorenkonto nicht die Berechtigung zum Zugriff auf alle Dateien haben. Oder in der Eingabeaufforderung funktionieren manche Befehle nicht. Andere wundern sich, dass bei der Installation von Anwendungen manchmal die Benutzerkontensteuerung eine Sicherheitsabfrage zeigt, in anderen Fällen aber die Abfrage nicht erscheint und die Installation nicht klappt. Der Beitrag erläutert, was sich hinter der Benutzerkontensteuerung verbirgt und zeigt, wie sich diese Funktion richtig einsetzen lässt.
Anzeige
Wo liegt das Problem?
Grundsätzlich ist es wichtig, zu verstehen, wie Windows den Sicherheitskontext eines Benutzerkontos verwaltet.
- Meldet sich ein Standardbenutzer am System an, erhält er ein Sicherheitstoken für Standardnutzer zugewiesen.
- Ein Standardbenutzer kann sich mit Hilfe der Benutzerkontensteuerung ein Sicherheitstoken des Administratorkontos für adminstrative Aufgaben zuteilen lassen.
- Meldet sich ein Administrator am System an, erhält er zwei Tokens. Ein Token steht für normale Benutzerberechtigungen und wird beim Arbeiten unter dem Administratorenkonto standardmäßig verwendet. Das zweite Token besitzt Administratorenrechte, muss aber von der Benutzerkontensteuerung freigegeben werden.
Die Benutzerkontensteuerung besitzt also die Fähigkeit, die Berechtigungen des Administrators (oder eines Standardbenutzerkontos) auf die geforderte Stufe anzuheben.
Damit ist auch klar: Versucht ein Administrator irgend etwas zu erledigen, was Administratorenrechte erfordert, wird dies solange verweigert, bis die Benutzerkontensteuerung dies frei gibt.
Anzeige
Windows greift Ihnen unter die Arme
Bei den meisten Windows-Systemfunktionen erfolgt der Aufruf der Benutzerkontensteuerung automatisch und nach Bestätigung kann der Vorgang durchgeführt werden.
Liefert der Entwickler eines Setup-Programms oder einer Anwendung, die Administratorenrechte benötigt, ein entsprechendes Manifest mit, kann Windows 7 dieses auswerten und automatisch das Dialogfeld der Benutzerkontensteuerung aufrufen.
Aber das klappt nicht immer!
Bei manchen Fremdprogrammen (oder auch bei Anwendungen wie dem Windows Editor oder der Eingabeaufforderung) unterbleibt beim Aufruf die Anfrage der Benutzerkontensteuerung – folglich erhält die Anwendung auch kein Administrator-Token. Dann gibt es natürlich Probleme, wenn Operationen ausgeführt werden sollen, die Administrorrechte benötigen (z.B. die hosts-Datei schreiben, von einem normalen Benutzerkonto auf Registrierungszweige wie HKLM zugreifen, bestimmte Befehle wie Regsvr32.exe in der Eingabeaufforderung eingeben etc.).
Eine Möglichkeit wäre, die Benutzerkontensteuerung abzuschalten und ständig unter einem Administratorenkonto zu arbeiten. Aber dies kann andere Probleme bringen und ist nicht allzu sinnvoll (z.B. Als Administrator ausführen geht dann nicht mehr).
Mein Tipp: Nutzen Sie die Benutzerkontensteuerung beim Arbeiten mit Windows zu Ihrem Vorteil. Installieren Sie eine Anwendung, kann diese über ein in der .exe-Datei abgelegtes Manifest vorgeben, dass Administratorenrechte benötigt werden – Windows ruft die Benutzerkontensteuerung auf.
Ist dies nicht der Fall – z.B. wenn Sie eine Systemdatei wie hosts mit Notepad bearbeiten oder Registrierungseinträge im Zweig HKEY_LOCAL_MACHINE mittels des Registrierungseditors aus einem Standardbenutzerkonto ändern möchten – gibt es zwei Möglichkeiten:
- Sie legen eine Verknüpfung an und setzen deren Eigenschaften auf Als Administrator ausführen.
- Sie klicken die Programmdatei oder den Startmenüeintrag mit der rechten Maustaste an und wählen den Kontextmenübefehl Als Administrator ausführen.
In beiden Fällen erscheint das Dialogfeld der Benutzerkontensteuerung und nach einer Administratorenfreigabe kann Windows die betreffende Anwendung im Administratorenkontext ausführen. Schon klappt es mit der Anwendung – diese wird im Kontext des gewählten Administratorenkontos ausgeführt – komfortabler und sicherer kann man es eigentlich nicht mehr haben….
… dann lassen sich im (von einem Standardbenutzerkonto aufgerufenen) Registrierungseditor z.B. Schlüssel im Zweig HKLM ändern oder die Datei hosts im Notepad editieren und wieder speichern.
Hinweis: Bei älteren Windows-Anwendungen können Sie zudem den Administratorenmodus auf der Registerkarte Kompatibilität erzwingen. Dies bewirkt, dass die Anwendung global auf dem System im Modus Als Administrator ausführen aufgerufen wird.
Zweiter Punkt: Der Windows Explorer lässt sich nicht von Standardbenutzerkonten im Administratorenkontext starten! Der Grund: Die Windows-Shell basiert auf dem Windows Explorer.
Sie können zwar erzwingen, dass neue Instanzen der Explorer.exe als separate Prozesse auszuführen sind. Sie müssen im Ordnerfenster im Menü der Schaltfläche Organisieren den Befehl Ordner- und Suchoptionen wählen. Auf der Registerkarte Ansicht ist die Option Ordnerfenster in einem eigenen Prozess starten zu markieren.
Wenn Sie dann Explorer.exe über den Befehl Als Adminsitrator ausführen starten, erscheint die Benutzerkontensteuerung und fordert die administrative Bestätigung an.
Wer jetzt aber hofft, dass diese von einem Standardkonto gestartete Kopie der Shell im Administratorenkontext läuft, liegt leider falsch. Ein Aufruf des Task-Manager zeigt, dass auch diese separaten Prozesse der Shell im Kontext des aktuellen Benutzerkontos (und mit dem Token für Standardberechtigungen) laufen.
Nur wenn Sie unter einem Administratorenkonto angemeldet sind und den Windows Explorer in separaten Prozessen ausführen lassen, erhält eine über den Befehl Als Administrator ausführen aufgerufene Instanz des Explorers nach der Bestätigung der Benutzerkontensteuerung das Sicherheitstoken mit Administratorenprivilegien.
Um auch unter Standardbenutzerkonten problemlos in den Administratorenkontext des Dateimanager wechseln zu können, sollten Sie einen alternativen Dateimanager, der nicht auf die Windows-Shell aufsetzt (z.B. A43) verwenden. Dieser lässt sich über den Kontextmenübefehl Als Administrator ausführen aufzurufen. Der Prozess läuft dann unter dem Administratorenkonto mit einem Token für Administratorenrechte.
Wird der Registrierungseditor unter einem Administratorenkonto aufgerufen, erhält dieser automatisch die administrativen Privilegien zum Zugriff auf Schlüssel in HKLM bzw. in den Policy-Zweigen von HKCU. Erkennen lässt sich dies daran, dass einer auf dem Desktop angelegte Verknüpfung auf Regedit.exe das administrative Symbol überlagert wird.
Tipp: Manche Anwender berichten, dass Windows den Zugriff auf Ordner wie Dokumente und Einstellungen verweigert, obwohl sie als Administrator angemeldet sind. Des Rätsels Lösung: Es handelt sich um keine Ordner sondern um NTFS-Links (erkennbar am Verknüpfungspfeil in der linken unteren Ecke des Ordnersymbols). Um die Kompatibilität mit älteren Anwendungen zu gewährleisten, verwendet Windows solche NTFS-Links. Die Benutzerordner bzw. das Profil eines Benutzerkontos liegt im Pfad "Benutzer" bzw. "Users". An dieser Stelle mein Tipp, schalten Sie die Anzeige versteckter Systemdateien im Windows Explorer ab. Im Gegensatz zu Windows XP bringt die Anzeige von Systemdateien eigentlich keine Vorteile und birgt die Gefahr, dass sich der Benutzer die beiden Dateien desktop.ini löscht.
Hinweis: Wer in der Eingabeaufforderung "unterwegs ist", findet übrigens englische Ordnerbezeichnungen. Nur in der Windows-Shell werden die Ordnernamen durch die Lokalisierung entsprechend umgesetzt. Ein ganz gut gemachter Hintergrundartikel zum NTFS-Link-Problem findet sich im Blog von Daniel Melanchthon.
Eine schöne Einführung in die Funktionsweise und den Sinn der Benutzerkontensteuerung, samt vielen Informationen, findet sich in der FAQ-o-matic von Nils Kaczenski.
Weitere Hinweise finden sich u. a. in dem Markt+Technik Titel "Magnum Windows 7 Home Premium Tricks" aus meiner Feder, der vieles Interna des Betriebssystems lüftet und einige nette Sachen enthält.
Links zu ähnlichen Artikeln
[1] Windows und die Benutzerkontensteuerung … (Vista)
Anzeige
Hallo,
ich habe mittels Studium und "Trial-and-Error" der ausführlichen diversen Optionen meine Adminstratorrenrechte/Admin-Konto wieder aktiviert und kann mich also wieder mit meinem Admin-konto anmelden. Soweit so gut.
Jetzt aber sind nicht mehr alle Benutzerkonten sichtbar auf dem Willkommensbildschirm, sondern nur noch meines mit den Admin-Rechten. Über die Systemsteuerung/Benutzerkontensteuerung bekomme ich das auch nicht hin. Man muss also immer über "Benutzer wechseln" gehen und dann im Suchfeld den Namen des Benutzerkontos eingeben.
Gibt es eine Möglichkeit, das wieder so einzustellen, daß alle Benutzer auf dem Willkommensbildschirm angezeigt werden und nur angeklickt werden müssen? (möchte allerdings nach Möglichkeit nicht noch einmal so eine Prozedur durchgehen wie beim "Reparieren des Admin-kontos"…)
Danke und Gruß
Axel
Schau dir mal meinen alten Artikel Vom Administratorenkonto ausgesperrt … an. Möglicherweise sind die betreffenden Registrierungseinträge gesetzt, so dass die Konten nicht mehr angezeigt werden. Oder als userpasswords2 als Befehl im Suchfeld eintippen und ausführen. Startet die erweiterte Benutzerverwaltung. Dort die Konten mal deaktivieren und wieder aktivieren. Vielleicht hilft das.
Hallo, Leute
Ihr seit absolute Profis und kennt Euch mit Windows perfekt aus. Ich bewundere Euch, wenn Ihr so fließend den Text – z.B. "Wird der Registrierungseditor unter einem Administratorenkonto aufgerufen, erhält dieser automatisch die administrativen Privilegien zum Zugriff auf Schlüssel in HKLM bzw. in den Policy-Zweigen von HKCU. Erkennen lässt sich dies daran, dass einer auf dem Desktop angelegte Verknüpfung auf Regedit.exe das administrative Symbol überlagert wird." -herunter zelebriert.
Nun muss ich an dieser Stelle versuchen, mich an meine gute Kinderstube zu erinnern – nur um nicht laut los zu brüllen: Könnt Ihr Vollpfosten das ganze einmal in verständlicher Form darlegen? Es sind nicht alle solche Profis wie ihr und zu Microsoft sei nur gesagt – "Die Zeit, die ihr mit der Programmierung der Benutzerverwaltung investiert habt, wäre besser in andere Sicherheitsmaßnahmen aufgehoben. Ich habe weder das Prinzip noch eine Änderung der Benutzerkonten verstanden. Oha, nach diesem Wutausbruch fühle ich mich schon etwas wohler !
Sollte ich das jedoch nicht in den nächsten 2 Stunden in den Griff bekommen – ist versprochen, WINDOWS fliegt von allen 6 Rechner herunter und ich setzte mich noch mal hin und lerne LINUX. Dann habe ich die ganzen Probleme mit der Sicherheit nicht mehr.
Ich denke mal, es sollten alle anderen User mal darüber nachdenken, die jetzt und demnächst dieses Problem haben. Danke, dass ihr mir so geduldig zugehört habt!
LG diebe 007
@Dietrich: Nur mal zur Klarstellung – das "ihr" bezieht sich auf meine Person, die den Blog als Freizeitbeschäftigung betreibt und die Infos für die geneigten Leser kostenlos bereitstellt. Wenn Du also hier mit Vollpfosten kommst, geht das konkret auf meine Person. Ich bin zwar hart im nehmen und ignoriere auch schon mal einen Kommentar, den ich trotzdem freischalte. Aber das lasse ich jetzt nicht so einfach stehen.
Zum Zweiten: Ich habe mir die Stelle mal angesehen. Wer also meint, an der Benutzerkontensteuerung oder der Registrierung rumfummeln zu müssen, sollte nach meiner Einschätzung einen Satz der Art ""Wird der Registrierungseditor unter einem Administratorenkonto aufgerufen, erhält dieser automatisch die administrativen Privilegien zum Zugriff auf Schlüssel in HKLM" verstehen können! Sonst wäre mein Rat "Finger weg!". Und was man erwarten könnte, wäre, dass Du dir die Mühe machst, ggf. zu recherchieren, was die Sachen bedeuten könnten. Eine schnelle Recherche hätte dir wohl gezeigt, dass HKLM für den Hauptzweig HKey_Local_Machine steht. Und die Policy-Zweige in HKCU (HKey_Current_User) sind ebenfalls geschützt. Es gibt Leute, die das nicht ganz verstehen und sich ggf. eines der verlinkten Bücher besorgt haben – da ist es kleinteiliger erläutert.
Was in meinen Augen gar nicht geht: Nichts wissen, aber in den Innereien von Windows auf dieser Basis wühlen wollen und dann hier rum prollen. Geh die Beiträge im Blog durch – Artikel die Profis ansprechen, sind auch im Sprachduktus so abgefasst (ggf. mit Verweisen auf andere Artikel mit Hintergrund-Infos). Beiträge im Blog, die konkrete Ratschläge zu allgemeineren Problemen geben, enthalten auch kleinteilige Handlungsanweisungen. Ein Artikel, der sich mit den Feinheiten der Benutzerkontensteuerung unter Windows befasst, ist nichts für die Allgemeinheit – da sollte und kann man etwas Vorwissen voraussetzen.
Von daher von mir, im Sinne von Franz Müntefehring: "deutliche Kante". Und noch etwas, die Spitze kann ich mir jetzt nicht verkneifen: Viel Spass mit deinem Linux! Wenn Du in deren Communities so ankommst, wirst Du dein blaues Wunder erleben ;-).
wenn du verärgert über Microsoft bist, dann solltest dich dorthin wenden.
Aber wahrscheinlich ist es einfach die eigene Unwissenheit die einen zu so einem posting hinreißen lässt. In der Regel sind es XP Umsteiger, die den Faden zum OS verloren haben und es sich selbst nicht eingestehen können.
Ein DAU-freundliches Betriebssystem gibt es nicht und die trotzige Haltung wie ein Kleinkind ist ja fast schon wieder goldig und einen mademyday bekommt es dann, wenn die MS abtrünnige in den Foren auflaufen und nicht wissen wie das Linux upzudaten ist oder hilfeschreiend nach Treiber betteln.
Alle OS haben eine Daseinsberechtigung, nur in jedes muss man sich einarbeiten, selbst wenn man den Bogen weiter aufspannt Richtung Mac/iOS.