Freigeben über

Benutzerkontensteuerung und WMI

  • Artikel

Die Benutzerkontensteuerung (User Account Control, UAC) wirkt sich auf die WMI-Daten aus, die von einem Befehlszeilentool, einem Remotezugriff und der Ausführung von Skripts zurückgegeben werden. Weitere Informationen zu UAC finden Sie unter Erste Schritte mit der Benutzerkontensteuerung.

In den folgenden Abschnitten wird die UAC-Funktionalität beschrieben:

Benutzerkontensteuerung

Unter UAC verfügen Konten in der lokalen Administratorgruppe über zwei Zugriffstoken, eines mit Standardbenutzerrechten und einer mit Administratorrechten. Aufgrund der UAC-Zugriffstokenfilterung wird ein Skript normalerweise unter dem Standardbenutzertoken ausgeführt, es sei denn, es wird im Modus mit erhöhten Rechten "als Administrator" ausgeführt. Nicht alle Skripts erfordern Administratorrechte.

Skripts können nicht programmgesteuert feststellen, ob sie unter einem Standardbenutzersicherheitstoken oder einem Administratortoken ausgeführt werden. Das Skript schlägt möglicherweise fehl, wenn ein Zugriff verweigert wurde. Wenn für das Skript Administratorrechte erforderlich sind, muss es im Modus mit erhöhten Rechten ausgeführt werden. Der Zugriff auf WMI-Namespaces unterscheidet sich je nachdem, ob das Skript im Modus mit erhöhten Rechten ausgeführt wird. Einige WMI-Vorgänge, z. B. das Abrufen von Daten oder das Ausführen der meisten Methoden, erfordern nicht, dass das Konto als Administrator ausgeführt wird. Weitere Informationen zu Standardzugriffsberechtigungen finden Sie unter Zugriff auf WMI-Namespaces und Ausführen privilegierter Vorgänge.

Aufgrund der Benutzerkontensteuerung muss sich das Konto, das das Skript ausführt, in der Gruppe "Administratoren" auf dem lokalen Computer befinden, damit es mit erhöhten Rechten ausgeführt werden kann.

Sie können ein Skript oder eine Anwendung mit erhöhten Rechten ausführen, indem Sie eine der folgenden Methoden ausführen:

zum Ausführen eines Skripts im Modus mit erhöhten Rechten

  1. Öffnen Sie ein Eingabeaufforderungsfenster, indem Sie im Startmenü mit der rechten Maustaste auf die Eingabeaufforderung klicken und dann auf Als Administrator ausführenklicken.
  2. Planen Sie das Skript für die Ausführung mit erhöhten Rechten mithilfe von Task Scheduler. Weitere Informationen finden Sie unter Sicherheitskontexte für das Ausführen von Aufgaben.
  3. Führen Sie das Skript mit dem integrierten Administratorkonto aus.

Zum Ausführen von WMI-Command-Line-Tools erforderliches Konto

Um die folgenden WMI-Command-Line Toolsauszuführen, muss Sich Ihr Konto in der Gruppe "Administratoren" befinden, und das Tool muss über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt werden. Das integrierte Administratorkonto kann diese Tools auch ausführen.

  • wmic-

    Wenn Sie Wmic nach der Systeminstallation zum ersten Mal ausführen, muss sie über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt werden. Der Modus mit erhöhten Rechten ist möglicherweise nicht für nachfolgende Ausführungen von Wmic erforderlich, es sei denn, die WMI-Vorgänge erfordern Administratorrechte.

  • winmgmt-

  • wmiadap-

Um die WMI-Steuerelement- (Wmimgmt.msc) auszuführen und Änderungen an den Sicherheits- oder Überwachungseinstellungen des WMI-Namespaces vorzunehmen, muss Ihr Konto das Berechtigung "Sicherheit bearbeiten" explizit erteilt oder in der lokalen Gruppe "Administratoren" haben. Das integrierte Administratorkonto kann auch die Sicherheit oder Überwachung für einen Namespace ändern.

Wbemtest.exe, ein Befehlszeilentool, das von den Microsoft-Kundendienstdiensten nicht unterstützt wird, kann von Konten ausgeführt werden, die sich nicht in der lokalen Administratorgruppe befinden, es sei denn, ein bestimmter Vorgang erfordert Berechtigungen, die normalerweise Administratorkonten gewährt werden.

Behandeln von Remoteverbindungen unter UAC

Ob Sie eine Verbindung mit einem Remotecomputer in einer Domäne oder in einer Arbeitsgruppe herstellen, bestimmt, ob die UAC-Filterung erfolgt.

Wenn Ihr Computer Teil einer Domäne ist, stellen Sie mithilfe eines Domänenkontos, das sich in der lokalen Gruppe "Administratoren" des Remotecomputers befindet, eine Verbindung mit dem Zielcomputer her. Dann wirkt sich die Filterung von UAC-Zugriffstoken nicht auf die Domänenkonten in der lokalen Administratorgruppe aus. Verwenden Sie kein lokales, nicht domänenfremdes Konto auf dem Remotecomputer, auch wenn sich das Konto in der Gruppe "Administratoren" befindet.

In einer Arbeitsgruppe ist das Konto, das eine Verbindung mit dem Remotecomputer herstellt, ein lokaler Benutzer auf diesem Computer. Auch wenn sich das Konto in der Gruppe "Administratoren" befindet, bedeutet die UAC-Filterung, dass ein Skript als Standardbenutzer ausgeführt wird. Es wird empfohlen, eine dedizierte lokale Benutzergruppe oder ein dediziertes Benutzerkonto speziell für Remoteverbindungen auf dem Zielcomputer zu erstellen.

Die Sicherheit muss angepasst werden, um dieses Konto verwenden zu können, da das Konto nie über Administratorrechte verfügt. Geben Sie dem lokalen Benutzer Folgendes:

Wenn Sie ein lokales Konto verwenden, entweder weil Sie sich in einer Arbeitsgruppe befinden oder es sich um ein lokales Computerkonto handelt, müssen Sie möglicherweise bestimmten Aufgaben einem lokalen Benutzer zuweisen. Sie können dem Benutzer z. B. das Recht erteilen, einen bestimmten Dienst über den befehl SC.exe, den GetSecurityDescriptor und SetSecurityDescriptor- Methoden von Win32_Serviceoder über Gruppenrichtlinien mithilfe von Gpedit.msc zu beenden oder zu starten. Einige sicherungsfähige Objekte erlauben es einem Standardbenutzer möglicherweise nicht, Aufgaben auszuführen und bietet keine Möglichkeit, die Standardsicherheit zu ändern. In diesem Fall müssen Sie UAC möglicherweise deaktivieren, damit das lokale Benutzerkonto nicht gefiltert wird und stattdessen ein vollständiger Administrator wird. Beachten Sie, dass die Deaktivierung der UAC aus Sicherheitsgründen ein letztes Mittel sein sollte.

Das Deaktivieren von Remote-UAC durch Ändern des Registrierungseintrags, der remote-UAC steuert, wird nicht empfohlen, kann aber in einer Arbeitsgruppe erforderlich sein. Der Registrierungseintrag ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy. Wenn der Wert dieses Eintrags null (0) ist, wird die Filterung des Remote-UAC-Zugriffstokens aktiviert. Wenn der Wert 1 ist, ist das Remote-UAC deaktiviert.

UAC-Effekt auf WMI-Daten, die an Skripts oder Anwendungen zurückgegeben werden

Wenn ein Skript oder eine Anwendung unter einem Konto in der Gruppe "Administratoren" ausgeführt wird, aber nicht mit erhöhten Rechten ausgeführt wird, erhalten Sie möglicherweise nicht alle zurückgegebenen Daten, da dieses Konto als Standardbenutzer ausgeführt wird. Die WMI-Anbieter für einige Klassen geben nicht alle Instanzen an ein Standardbenutzerkonto oder ein Administratorkonto zurück, das aufgrund der UAC-Filterung nicht als vollständiger Administrator ausgeführt wird.

Die folgenden Klassen geben einige Instanzen nicht zurück, wenn das Konto nach UAC gefiltert wird:

Die folgenden Klassen geben einige Eigenschaften nicht zurück, wenn das Konto nach UAC gefiltert wird:

zu WMI-

Zugriff auf sicherungsfähige WMI-Objekte

Ändern der Zugriffssicherheit für sicherungsfähige Objekte