Logo faq-o-matic.net
Logo faq-o-matic.net

UAC: Den Explorer mit Admin-Rechten starten

von veröffentlicht am8. November 2010, 11:42 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Gruppenrichtlinien, Sicherheit, Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

imageNach einer langen Phase der Kritik haben sich die meisten Windows-Admins und -Anwender an die Benutzerkontensteuerung (User Account Control, UAC) gewöhnt. Das Sicherheitsfeature moderner Windows-Versionen leistet einen durchaus sinnvollen Beitrag zum Schutz des Betriebssystems. An einigen Stellen erhöht es – verglichen mit den Vorgängern Windows XP und Windows Server 2003 – sogar den Bedienkomfort, wenn man ohne Administratorrechte angemeldet ist.

Natürlich gibt es dabei auch einige Dinge, die weniger befriedigend sind. Dazu zählt die Arbeit mit dem Windows-Explorer, wenn man Dateien in geschützten Systembereichen bearbeiten muss. Der Explorer ist nämlich der erste Anwenderprozess, den das System bei der Anmeldung startet, denn er stellt die Benutzeroberfläche dar. Alle weiteren Explorer-Fenster sind dann “Kind-Prozesse” und erben somit die Berechtigungen des “Ur-Explorer”. Die Folge: Aus dem Explorer kann man keine Prozesse mit erhöhten Rechten starten.

Die eingebaute Abhilfe ist wenig überzeugend: Versucht man, als Administrator unter UAC-Schutz auf einen geschützten Speicherbereich (wie etwa das System- oder das Programme-Verzeichnis) zuzugreifen, so bietet der Explorer an, höhere Rechte bereitzustellen. Im Hintergrund erledigt er das aber auf unerwartete Weise, denn er fügt das gerade angemeldete Benutzerkonto mit vollen Zugriffsrechten der Berechtigungsliste des Ordners bzw. der Datei hinzu. Das führt schnell zu unübersichtlichen Rechtestrukturen und liegt i.d.R. nicht in der Absicht des Admins.

Wenn man nun versucht, den Explorer per Rechtsklick ausdrücklich als Administrator zu starten, erhält man zwar eine UAC-Abfrage, aber der Vorgang ist wirkungslos. Auch ein derart gestartetes Explorer-Fenster ist in Wirklichkeit nämlich ein “Kind-Prozess” des ersten Explorers, der nun mal ohne Adminrechte läuft.

Thomas Vuylsteke hat nun eine Methode vorgestellt, mit der sich das Problem umgehen lässt. Es ist allerdings normalerweise nicht für Client-Rechner geeignet, sondern zielt eher auf Server, an denen Admins direkt etwas durchführen müssen. Auch dort hat das Vorgehen seine Schattenseiten, die man kennen sollte.

Windows bietet schon lange die Möglichkeit, Explorer-Fenster in einem eigenen Prozess zu starten. Sie verbirgt sich in den “Ordner- und Suchoptionen” des Explorers:

image_thumb[1]

Wer dies allerdings aktiviert und nun erwartet, einzelne Explorer-Fenster mit Administratorrechten starten zu können, sieht sich getäuscht. Denn diese Einstellung funktioniert anders, als viele es erwarten. Es ist eine Grundsatzeinstellung, die im Wesentlichen den “Ur-Explorer” (also den Explorer-Prozess, der bei der Anmeldung die Bedienoberfläche darstellt) einerseits und alle danach geöffneten Explorer-Fenster andererseits voneinander trennt. In der Folge gibt es dann genau zwei Explorer-Prozesse: Der erste stellt das GUI dar und läuft ohne Adminrechte. Den zweiten Prozess erzeugt Windows, wenn der Anwender nach der Anmeldung das allererste Mal ein Explorer-Fenster öffnet. Alle danach folgenden Explorer-Instanzen leiten sich dann von diesem ersten manuell gestarteten Explorer ab und übernehmen dessen Prozessberechtigungen.

Wer also diese Einstellung setzt, muss danach zuerst alle offenen Explorer-Fenster schließen. Dann kann er per Rechtklick einen neuen Prozess mit Adminrechten starten – und siehe da, alle folgenden Explorer haben nun auch Adminrechte.

Vorsicht aber: Das bedeutet, dass auch alle Prozesse, die man von diesem Admin-Explorer aus startet, über volle Adminrechte verfügen! Effektiv bedeutet das, dass man auf diese Weise sehr weitgehend auf den Schutz durch UAC verzichtet. Als Standard-Maßnahme ist dies also nicht geeignet!

Für ein bestimmtes Einsatz-Szenario ist diese Technik aber eben gut geeignet: Für Administratoren, die auf Dateiservern Berechtigungen ändern müssen. Um den Vorgang für diesen Fall zu erleichtern, hat Thomas ein pfiffiges Verfahren entwickelt, das mit Hilfe von Group Policy Preferences die Voreinstellung automatisch ausrollt. Näheres siehe in seinem Posting:

[Using Windows Explorer together with UAC | ADdict]
http://setspn.blogspot.com/2010/11/using-windows-explorer-together-with.html

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!