Problem
Was sind die besten Benutzerkontensteuerung/UAC Einstellungen?
Lösung
Nun ich musste damit uch länger herumspielen. Besonders wenn man als Administrator nicht in alle Einstellung der "wunderbaren" neuen "Einstellungen-App" kommt. Die folgenden Einstellungen haben sich zumindest bei mir bewährt:
Die Windows UAC ist im Auslieferungszustand für die Built-In Administratoren nicht aktiv. Für zusätzliche (nicht Built-In) Administratoren ist diese aktiv.
Nicht aktiv bedeutet:
Contra: Einige „neue“ Windows Funktionen können nicht geöffnet werden da diese eine UAC benötigen. Bspl. diverse „Anpassung“ in den Einstellungen.
Pro: Manche Funktionen in Windows funktionieren besonders unter dem Built-In und auch anderen Administratoren wie gewohnt und gut.
Aktiv Bedeutet:
Pro: Einige „neue“ Windows Funktionen können jetzt geöffnet werden.
Contra: Manche Funktionen in Windows funktionieren jetzt allerdings nicht mehr korrekt bzw. „eigenartig“. Ein aktuelles Beispiel dafür wäre ein Order/Laufwerk
mit Recht „System Voll, lokale Administratoren Gruppe Voll“. Der Angemeldete User „Administrator“ kann den Ordner dann aber nicht mehr öffnen. Erst wenn dieser
„Namentlich“ in den Rechten hinzugefügt wurde.
Einstellungen
Aus Sicherheitsgründen und Microsoft Empfehlung müsste die UAC für Built-In Admin und Administratoren aktiviert werden. Leider muss aber für alle lokalen Administratoren die UAC oft deaktiviert werden damit Windows sich „normal“ verhält bei Administrativen Tasks. Es geht nicht um das deaktivieren der UAC selbst (EnableLUA) sondern nur das Administrator Token das entsprechend gesetzt werden muss.
Dies sind "meine" Einstellungen:
GPO Einstellungen:
|
Einstellung |
Neues Setting |
Standard (Client/Server) |
|
Benutzerkontensteuerung: Administratorengenehmigungsmodus für das integrierte Administratorkonto |
Deaktiviert |
Deaktiviert |
|
Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen |
Auf Server: Deaktiviert Auf Client: Aktiviert |
Aktiviert |
|
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern |
Auf Server: Deaktiviert |
Aktiviert |
|
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln |
Deaktiviert |
Aktiviert |
|
Benutzerkontensteuerung: Datei- und Registrierungssschreibfehler an Einzelbenutzerstandorte virtualisieren |
Aktiviert |
Aktiviert |
|
Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind |
Deaktiviert |
Aktiviert |
|
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind |
Deaktiviert |
Deaktiviert |
|
Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern |
Deaktiviert |
Deaktiviert |
|
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus |
Erhöhte Rechte ohne Eingabeaufforderung |
Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien |
|
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer |
Eingabeaufforderung zu Anmeldeinformationen |
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop |