Es wird rege diskutiert über die Benutzerkontosteuerung (User Account Control). Oft wird kritisiert, das der Benutzer “bevormundet” wird und das Windows Vista immer wieder nachfragt, ob man wirklich diese Einstellungen vornehmen möchte oder nicht. Ich persönlich finde, das die UAC der Schritt in die richtige Richtung ist, obwohl es sicherlich noch vieles zu verbessern gibt. Aber es ist das erste mal, das Microsoft auch den Administratoren nicht die vollen Rechte am System zugesteht.
In der Systemsteuerung (unter Systemsteuerung -> Benutzerkonten -> Benutzerkontosteuerung ein- und ausschalten) kann man zwar die UAC ein- bzw. ausschalten, weitere Konfigurationen kann man dort nicht vornehmen. Daher bevorzuge ich die Konfiguration direkt über die GPO (Group Policy Object).
GPO Einstellungen finden
Die Objekte für die Konfiguration findet man unter:
- Computerkonfiguration
- Windows-Einstellungen
- Sicherheitseinstellungen
- Lokale Richtlinien
- Sicherheitsoptionen
Verfügbare GPO Einstellungen
Folgende GPO Einstellungen kann man konfigurieren:
- Administratorbestätigungsmodus für das integrierte Administratorkonto
- Alle Benutzer (inkl. Administratoren) als Standardbenutzer ausführen.
- Anwendungsinstallationen erkennen und erhöhte Rechte anfordern
- Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln
- Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren
- Nur ausführbare Dateien heraufstufen, die signiert und validiert sind
- Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren Orten installiert sind
- Verhalten der Benutzeraufforderung mit erhöhten Rechten für Standardbenutzer
- Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus
Genauere Erklärungen zu den einzelnen Punkten gibt’s direkt bei den Einstellungen der Objekte.
Empfehlungen gebe ich hier keine ab, da es sehr auf die eigene Bedürfnisse ankommt. Die Einstellungen sollten aber wohl gewählt sein, gerade wenn mehrere Benutzer am selben Rechner arbeiten kann man die Benutzer sehr stark einschränken.
{ 1 trackback }