UAC-Filter für Windows-Fernwartung abschalten

Die Benutzerkontensteuerung alias User Account Control (UAC) besteht für viele Administratoren vor allem aus einem nervigen Dialog, den sie beim Zugriff auf geschützte System-Ressourcen wegklicken müssen. Tatsächlich implementiert die UAC aber das Prinzip der minimalen Benutzerrechte (least privilege), so dass User nicht mehr lokale Admin-Rechte benötigen, um gängige Tätigkeiten ausführen zu können. Allerdings erschwert die UAC den Fernzugriff, wenn dafür ein lokales Konto mit Administrorrechten benutzt wird.

Die UAC besteht aus mehreren Komponenten, eine davon ist das Protected-Administrator-Konto. In seinem Kontext werden Anwendungen standardmäßig mit den Rechten eines normalen Benutzers ausgeführt. Wenn jedoch höhere Privilegien nötig sind, etwa um ein Setup-Programm auszuführen, verfügt die UAC über einen Auto-Elevation-Mechanismus, der die Rechte des Administrators bei Bedarf erhöht. Bei dieser Gelegenheit präsentiert Windows den häufig kritisierten Dialog, mit dem der Benutzer den Rechtezuwachs für das Programm bestätigt.

Keine lokalen Admin-Rechte über das Netz

Wenn man sich jedoch über das Netz mit einem lokalen Administratorkonto auf einem Windows-PC anmeldet, dann klappt der Auto-Elevation-Mechanismus nicht, die Rechte werden werden weder explizit durch Bestätigung noch stillschweigend durch das Betriebssystem erhöht.

Das macht sich etwa bemerkbar, wenn man auf ein Laufwerk über ein administrative Freigabe wie c$ zugreifen möchte. Die dafür nötigen Rechte werden von der UAC ausgefiltert, ein Befehl wie

net use r: \\remotePC\c$ /user:remotePC\user

kann daher scheitern. Das Problem tritt jedoch nicht auf, wenn man über das Konto einen Domänenadministrators auf den PC zugreift.

Abhilfe schafft der Eintrag eines Schlüssels in die Registrierdatenbank des verwalteten PCs, so dass die Rechte des lokalen Admins auch über das Netz durchgereicht werden. Dazu gibt man am einfachsten in einer Eingabeaufforderung mit Adminstratorrechten den Befehl

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

ein oder erstellt im Registriereditor an dieser Stelle von Hand einen Schlüssel (32-Bit DWORD) namens LocalAccountTokenFilterPolicy mit dem Wert 1.

Google Rezensionen

4

Deluxe IT
Ohmstrasse 6, 8050 Zürich, Switzerland

Bewertung abgeben