Für so manchen Umsteiger von Windows XP ist die Benutzerkontensteuerung ein Buch mit sieben Siegeln. Da wundern sich die Benutzer, dass sie trotz Anmeldung an einem Administratorenkonto nicht die Berechtigung zum Zugriff auf alle Dateien haben. Oder in der Eingabeaufforderung funktionieren manche Befehle nicht. Andere wundern sich, dass bei der Installation von Anwendungen manchmal die Benutzerkontensteuerung eine Sicherheitsabfrage zeigt, in anderen Fällen aber die Abfrage nicht erscheint und die Installation nicht klappt. Der Beitrag erläutert, was sich hinter der Benutzerkontensteuerung verbirgt und zeigt, wie sich diese Funktion richtig einsetzen lässt.
Werbung
Wo liegt das Problem?
Grundsätzlich ist es wichtig, zu verstehen, wie Windows den Sicherheitskontext eines Benutzerkontos verwaltet.
- Meldet sich ein Standardbenutzer am System an, erhält er ein Sicherheitstoken für Standardnutzer zugewiesen.
- Ein Standardbenutzer kann sich mit Hilfe der Benutzerkontensteuerung ein Sicherheitstoken des Administratorkontos für adminstrative Aufgaben zuteilen lassen.
- Meldet sich ein Administrator am System an, erhält er zwei Tokens. Ein Token steht für normale Benutzerberechtigungen und wird beim Arbeiten unter dem Administratorenkonto standardmäßig verwendet. Das zweite Token besitzt Administratorenrechte, muss aber von der Benutzerkontensteuerung freigegeben werden.
Die Benutzerkontensteuerung besitzt also die Fähigkeit, die Berechtigungen des Administrators (oder eines Standardbenutzerkontos) auf die geforderte Stufe anzuheben.
Damit ist auch klar: Versucht ein Administrator irgend etwas zu erledigen, was Administratorenrechte erfordert, wird dies solange verweigert, bis die Benutzerkontensteuerung dies frei gibt.
Windows greift Ihnen unter die Arme
Bei den meisten Windows-Systemfunktionen erfolgt der Aufruf der Benutzerkontensteuerung automatisch und nach Bestätigung kann der Vorgang durchgeführt werden.
Liefert der Entwickler eines Setup-Programms oder einer Anwendung, die Administratorenrechte benötigt, ein entsprechendes Manifest mit, kann Windows 7 dieses auswerten und automatisch das Dialogfeld der Benutzerkontensteuerung aufrufen.
Aber das klappt nicht immer!
Bei manchen Fremdprogrammen (oder auch bei Anwendungen wie dem Windows Editor oder der Eingabeaufforderung) unterbleibt beim Aufruf die Anfrage der Benutzerkontensteuerung – folglich erhält die Anwendung auch kein Administrator-Token. Dann gibt es natürlich Probleme, wenn Operationen ausgeführt werden sollen, die Administrorrechte benötigen (z.B. die hosts-Datei schreiben, von einem normalen Benutzerkonto auf Registrierungszweige wie HKLM zugreifen, bestimmte Befehle wie Regsvr32.exe in der Eingabeaufforderung eingeben etc.).
Eine Möglichkeit wäre, die Benutzerkontensteuerung abzuschalten und ständig unter einem Administratorenkonto zu arbeiten. Aber dies kann andere Probleme bringen und ist nicht allzu sinnvoll (z.B. Als Administrator ausführen geht dann nicht mehr).
Mein Tipp: Nutzen Sie die Benutzerkontensteuerung beim Arbeiten mit Windows zu Ihrem Vorteil. Installieren Sie eine Anwendung, kann diese über ein in der .exe-Datei abgelegtes Manifest vorgeben, dass Administratorenrechte benötigt werden – Windows ruft die Benutzerkontensteuerung auf.
Ist dies nicht der Fall – z.B. wenn Sie eine Systemdatei wie hosts mit Notepad bearbeiten oder Registrierungseinträge im Zweig HKEY_LOCAL_MACHINE mittels des Registrierungseditors aus einem Standardbenutzerkonto ändern möchten – gibt es zwei Möglichkeiten:
- Sie legen eine Verknüpfung an und setzen deren Eigenschaften auf Als Administrator ausführen.
- Sie klicken die Programmdatei oder den Startmenüeintrag mit der rechten Maustaste an und wählen den Kontextmenübefehl Als Administrator ausführen.
In beiden Fällen erscheint das Dialogfeld der Benutzerkontensteuerung und nach einer Administratorenfreigabe kann Windows die betreffende Anwendung im Administratorenkontext ausführen. Schon klappt es mit der Anwendung – diese wird im Kontext des gewählten Administratorenkontos ausgeführt – komfortabler und sicherer kann man es eigentlich nicht mehr haben….
… dann lassen sich im (von einem Standardbenutzerkonto aufgerufenen) Registrierungseditor z.B. Schlüssel im Zweig HKLM ändern oder die Datei hosts im Notepad editieren und wieder speichern.
Hinweis: Bei älteren Windows-Anwendungen können Sie zudem den Administratorenmodus auf der Registerkarte Kompatibilität erzwingen. Dies bewirkt, dass die Anwendung global auf dem System im Modus Als Administrator ausführen aufgerufen wird.
Zweiter Punkt: Der Windows Explorer lässt sich nicht von Standardbenutzerkonten im Administratorenkontext starten! Der Grund: Die Windows-Shell basiert auf dem Windows Explorer.
Sie können zwar erzwingen, dass neue Instanzen der Explorer.exe als separate Prozesse auszuführen sind. Sie müssen im Ordnerfenster im Menü der Schaltfläche Organisieren den Befehl Ordner- und Suchoptionen wählen. Auf der Registerkarte Ansicht ist die Option Ordnerfenster in einem eigenen Prozess starten zu markieren.
Wenn Sie dann Explorer.exe über den Befehl Als Adminsitrator ausführen starten, erscheint die Benutzerkontensteuerung und fordert die administrative Bestätigung an.
Wer jetzt aber hofft, dass diese von einem Standardkonto gestartete Kopie der Shell im Administratorenkontext läuft, liegt leider falsch. Ein Aufruf des Task-Manager zeigt, dass auch diese separaten Prozesse der Shell im Kontext des aktuellen Benutzerkontos (und mit dem Token für Standardberechtigungen) laufen.
Nur wenn Sie unter einem Administratorenkonto angemeldet sind und den Windows Explorer in separaten Prozessen ausführen lassen, erhält eine über den Befehl Als Administrator ausführen aufgerufene Instanz des Explorers nach der Bestätigung der Benutzerkontensteuerung das Sicherheitstoken mit Administratorenprivilegien.
Um auch unter Standardbenutzerkonten problemlos in den Administratorenkontext des Dateimanager wechseln zu können, sollten Sie einen alternativen Dateimanager, der nicht auf die Windows-Shell aufsetzt (z.B. A43) verwenden. Dieser lässt sich über den Kontextmenübefehl Als Administrator ausführen aufzurufen. Der Prozess läuft dann unter dem Administratorenkonto mit einem Token für Administratorenrechte.
Wird der Registrierungseditor unter einem Administratorenkonto aufgerufen, erhält dieser automatisch die administrativen Privilegien zum Zugriff auf Schlüssel in HKLM bzw. in den Policy-Zweigen von HKCU. Erkennen lässt sich dies daran, dass einer auf dem Desktop angelegte Verknüpfung auf Regedit.exe das administrative Symbol überlagert wird.
Tipp: Manche Anwender berichten, dass Windows den Zugriff auf Ordner wie Dokumente und Einstellungen verweigert, obwohl sie als Administrator angemeldet sind. Des Rätsels Lösung: Es handelt sich um keine Ordner sondern um NTFS-Links (erkennbar am Verknüpfungspfeil in der linken unteren Ecke des Ordnersymbols). Um die Kompatibilität mit älteren Anwendungen zu gewährleisten, verwendet Windows solche NTFS-Links. Die Benutzerordner bzw. das Profil eines Benutzerkontos liegt im Pfad "Benutzer" bzw. "Users". An dieser Stelle mein Tipp, schalten Sie die Anzeige versteckter Systemdateien im Windows Explorer ab. Im Gegensatz zu Windows XP bringt die Anzeige von Systemdateien eigentlich keine Vorteile und birgt die Gefahr, dass sich der Benutzer die beiden Dateien desktop.ini löscht.
Hinweis: Wer in der Eingabeaufforderung "unterwegs ist", findet übrigens englische Ordnerbezeichnungen. Nur in der Windows-Shell werden die Ordnernamen durch die Lokalisierung entsprechend umgesetzt. Ein ganz gut gemachter Hintergrundartikel zum NTFS-Link-Problem findet sich im Blog von Daniel Melanchthon.
Eine schöne Einführung in die Funktionsweise und den Sinn der Benutzerkontensteuerung, samt vielen Informationen, findet sich in der FAQ-o-matic von Nils Kaczenski.
Weitere Hinweise finden sich u. a. in dem Markt+Technik Titel "Magnum Windows 7 Home Premium Tricks" aus meiner Feder, der vieles Interna des Betriebssystems lüftet und einige nette Sachen enthält.
Links zu ähnlichen Artikeln
[1] Windows und die Benutzerkontensteuerung … (Vista)
Weitere Infos zu Windows 7 finden sich in meinen Windows 7-Tricks-Titeln.
(c) by Günter Born www.borncity.de
The source of smart computer books
Schlagworte: Administrator, Benutzerkontensteuerung, UAC, Windows 7
[...] Links: 1: Wissen: Die Benutzerkontensteuerung unter Windows 7 … Günter Born (c) 2007 http://www.borncity.de the source of fine computer books, because technology counts! [...]