Windows Benzuterkontensteuerung/UAC Einstellungen für Gruppenrichtlinien

Problem

Was sind die besten Benutzerkontensteuerung/UAC Einstellungen?

Lösung

Nun ich musste damit uch länger herumspielen. Besonders wenn man als Administrator nicht in alle Einstellung der "wunderbaren" neuen "Einstellungen-App" kommt. Die folgenden Einstellungen haben sich zumindest bei mir bewährt:

Die Windows UAC ist im Auslieferungszustand für die Built-In Administratoren nicht aktiv. Für zusätzliche (nicht Built-In) Administratoren ist diese aktiv.

Nicht aktiv bedeutet:
Contra: Einige „neue“ Windows Funktionen können nicht geöffnet werden da diese eine UAC benötigen. Bspl. diverse „Anpassung“ in den Einstellungen.
Pro: Manche Funktionen in Windows funktionieren besonders unter dem Built-In und auch anderen Administratoren wie gewohnt und gut.

Aktiv Bedeutet:
Pro: Einige „neue“ Windows Funktionen können jetzt geöffnet werden.
Contra: Manche Funktionen in Windows funktionieren jetzt allerdings nicht mehr korrekt bzw. „eigenartig“. Ein aktuelles Beispiel dafür wäre ein Order/Laufwerk
mit Recht „System Voll, lokale Administratoren Gruppe Voll“. Der Angemeldete User „Administrator“ kann den Ordner dann aber nicht mehr öffnen. Erst wenn dieser
„Namentlich“ in den Rechten hinzugefügt wurde.

Einstellungen

Aus Sicherheitsgründen und Microsoft Empfehlung müsste die UAC für Built-In Admin und Administratoren aktiviert werden. Leider muss aber für alle lokalen Administratoren die UAC oft deaktiviert werden damit Windows sich „normal“ verhält bei Administrativen Tasks. Es geht nicht um das deaktivieren der UAC selbst (EnableLUA) sondern nur das Administrator Token das entsprechend gesetzt werden muss.

Dies sind "meine" Einstellungen:

GPO Einstellungen:

Einstellung

Neues Setting

Standard (Client/Server)

Benutzerkontensteuerung: Administratorengenehmigungsmodus für das integrierte Administratorkonto

Deaktiviert

Deaktiviert

Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen
(Achtung. Diese Option ist EnableLUA).

Auf Server: Deaktiviert

Auf Client: Aktiviert

Aktiviert

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern

Auf Server: Deaktiviert
Auf Client: Aktiviert

Aktiviert

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln

Deaktiviert

Aktiviert

Benutzerkontensteuerung: Datei- und Registrierungssschreibfehler an Einzelbenutzerstandorte virtualisieren

Aktiviert

Aktiviert

Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind

Deaktiviert

Aktiviert

Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind

Deaktiviert

Deaktiviert

Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern

Deaktiviert

Deaktiviert

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus

Erhöhte Rechte ohne Eingabeaufforderung

Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer

Eingabeaufforderung zu Anmeldeinformationen

Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop

Drucken