Windows 10 Home: Benutzerkontensteuerung per Registry einstellen

win10logoBeinahe schon traditionell verwehrt Microsoft Benutzern der Home-Edition den Zugriff auf Gruppenrichtlinien und damit auch auf das individuelle Anpassen der Benutzerkontensteuerung. Glücklicherweise lassen sich diese Einstellungen auch direkt in der Registry vornehmen. Hier lesen Sie, wo und wie.

Ganz tief in den Systemeinstellungen verbergen sich einige Rädchen, an denen man drehen kann, um die Benutzerkontensteuerung ggf. ein wenig zu optimieren. Eigentlich geht das sogar recht bequem per Gruppenrichtlinieneditor. Leider gehört dieser spezielle Editor bei der Home-Edition nicht zum Lieferumfang und lässt sich auch nicht nachrüsten. Allerdings lassen sich fast alle dessen Einstellungen auch über Parameter in der Registry verändern. So auch die Optionen für die Benutzerkontensteuerung. Die Vorgehensweise ist dabei wie folgt:

  1. w10UAC01Geben Sie im Eingabefeld der Taskleiste den Befehl regedit ein und drücken Sie [Eingabe]. Damit rufen Sie den Registrierungs-Editor auf.
  2. Öffnen Sie im Registrierungs-Editor den Schlüssel HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Policies \System.
  3. w10UAC02In der rechten Hälfte des Programmfensters werden nun eine Reihe von Einstellungen angezeigt, mit denen Sie das Verhalten der Benutzerkontensteuerung beeinflussen können.
  4. w10UAC03Wie bei Registry-Einstellungen üblich doppelklicken Sie auf einen Eintrag in der Liste. Sie erhalten dann einen Dialog für diesen Eintrag, wo Sie die Konfiguration per Option oder per Auswahlfeld verändern können.

Welche Anpassungsmöglichkeiten Ihnen die Einstellungen bieten, beschreiben die nachfolgenden Abschnitte. Berücksichtigen Sie dabei aber bitte, dass bei allen Einstellungen „ab Werk“ die sicherste Option gewählt ist. Änderungen daran machen Ihren PC also ggf. komfortabler, aber eben auch etwas unsicherer.

Tipp: Sollte Ihnen der Umgang mit der Registry nicht so recht vertraut sein, werfen Sie ggf. einen Blick in meinen kleinen Registry-Workshop.

Das Umschalten auf den sicheren Desktop bei Rückfragen vermeiden

Wann immer Windows eine Rückfrage wegen eines sicherheitsrelevanten Vorgangs anzeigt, schaltet es dazu auf den so genannten sicheren Desktop um. Dabei wird die gesamte Benutzeroberfläche ausgeblendet und nur das Rückfragefenster angezeigt. Das geschieht, um auszuschließen, dass die Benutzerkontensteuerung umgangen werden kann, indem z. B. ein Programm den Mausklick auf die Fortsetzen-Schaltfläche ausführt. Das Rückfragefenster kann nur von einem menschlichen Benutzer bedient werden. Wenn Sie das Umschalten aber stört oder falls Ihre Grafikkarte mit dem Wechsel Probleme haben sollte, können Sie den sicheren Desktop vermeiden. Das Rückfragefenster wird dann einfach auf dem normalen Desktop angezeigt und alle anderen Programmfenster sind währenddessen ebenfalls zugänglich. Bearbeiten Sie dazu den Wert PromptOnSecureDesktop. Standardmäßig ist der sichere Desktop aktiviert (Registrywert = 1). Ändern Sie die Einstellung auf 0, wird der sichere Desktop deaktiviert.

Administratorbenutzer von Rückfragen verschonen

Eine Möglichkeit der Anpassung besteht darin, die Benutzer der Administratorgruppe von den ständigen Warnhinweisen und Bestätigungen zu verschonen. Dies lässt sich über die Einstellung ConsentPromptBehaviorAdmin erreichen:

  • Keine Aufforderung: Mit der Einstellung 0 bzw. Erhöhte Rechte ohne Eingabeaufforderung unterdrücken Sie die Sicherheitshinweise vollständig. In diesem Fall gelten die Rückfragen allerdings automatisch als bestätigt. Eine Anwendung, die höhere Rechte einfordert, bekommt diese also automatisch und ohne Rückfrage zugeteilt. Dies entspricht fast dem Zustand bei Windows XP und sollte mit entsprechender Vorsicht verwendet werden.
  • Aufforderung zur Eingabe der Anmeldeinformationen: Der Wert 1 ist die sicherste Wahl für diese Option. Wenn eine Anwendung höhere Rechte einfordert, muss der Administratorbenutzer dies nicht nur per Fortsetzen bestätigen, sondern mit seinem Kennwort autorisieren. Diese Variante kann in Situationen sinnvoll sein, wo die Gefahr besteht, dass jemand unberechtigt Zugriff auf einen PC hat, auf dem der Administrator angemeldet ist. Selbst dann können ohne Kenntnis von dessen Passwort keine Manipulationen am System erfolgen.
  • Aufforderung zur Eingabe der Zustimmung: Der Wert 2 ist die Standardeinstellung für diese Option. Das Erteilen höherer Rechte muss der Administratorbenutzer per Klick auf Fortsetzen bestätigen.

 

[windowspb]

Aus Administratorbenutzern echte Systemadministratoren machen

Zum Grundprinzip der Benutzerkontensteuerung gehört, dass selbst Benutzer der Administratorgruppe nur als Standardbenutzer arbeiten, solange keine höheren Rechte erforderlich sind. Dieses Verhalten können Sie mit der Einstellung EnableLUA steuern:

  • Aktiviert: 1 entspricht der Standardeinstellung, d. h., die Administratoren arbeiten als Standardbenutzer. Wichtig: Diese Wahl ist die sicherere!
  • Deaktiviert: Manche Situationen können es erfordern, diese neue Funktion mit 0 abzuschalten. Dann arbeiten alle Benutzer mit einem Administratorkonto genau wie der lokale Systemadministrator selbst mit völlig uneingeschränkten Rechten und ohne jede Rückfrage.

Das Deaktivieren dieser Einstellung ist prinzipiell nicht zu empfehlen, denn es setzt das Sicherheitskonzept von Windows praktisch schachmatt. Wenn Sie allerdings massive Probleme mit älteren Anwendungen haben, die mit der Benutzerkontensteuerung überhaupt nicht zurechtkommen, kann diese Variante sinnvoll sein. Da alles, was Sie dann tun, mit vollen Administratorrechten erfolgt, gilt dies auch für die Problemprogramme, die dann störungsfrei laufen sollten. Eine dauerhafte Lösung sollte das aus Sicherheitsgründen aber nicht sein.

Keine Rückfragen für Standardbenutzer

Auch für die Standardbenutzer lässt sich das Verhalten der Benutzerkontensteuerung einstellen. Mit der Einstellung ConsentPromptBehaviorUser regeln Sie, was passieren soll, wenn eine Anwendung bei einem Standardbenutzer höhere Rechte einfordert:

  • Aufforderung zur Eingabe der Anmeldeinformationen: Der Wert 1 ist die Standardeinstellung für diese Option. Dann wird ein Hinweisdialog eingeblendet, in dem ein Administratorkennwort eingegeben werden muss, um den Vorgang zu autorisieren.
  • Keine Aufforderung: Wollen Sie solche Rückfragen bei Standardbenutzern vermeiden, wählen Sie stattdessen den Wert 0 für dieser Option. Die Benutzerkontensteuerung verzichtet dann auf den Hinweis. Allerdings gibt es einen wichtigen Unterschied zur gleichen Option für Administratorbenutzer: Dem Programm werden die höheren Rechte in diesem Fall stillschweigend verweigert! Ist die Anwendung tatsächlich auf Administratorrechte angewiesen, wird sie also nicht korrekt funktionieren können. Diese Option bietet sich für unerfahrene Standardbenutzer an, die keinesfalls irgendwelche Änderungen an der Systemkonfiguration vornehmen sollen und die durch die Rückfragen der Benutzerkontensteuerung nur unnötig verwirrt würden.

Softwareinstallationen automatisch mit höheren Rechten versehen

Bei der Installation von Software sind fast immer Administratorrechte erforderlich, sei es, um Einträge in der Registry vorzunehmen, oder weil Dateien ins Programme-Verzeichnis kopiert werden müssen. Windows ist (meistens) in der Lage, Installationsprogramme anhand einer Heuristikfunktion automatisch zu erkennen und sie dementsprechend mit höheren Rechten auszuführen. Auch dann ist allerdings eine Bestätigung bzw. Autorisierung durch den Benutzer erforderlich. Mit der Einstellung EnableInstallerDetection steuern Sie die heuristische Erkennung von Installationsprogrammen. Standardmäßig ist diese Funktion mit 1 aktiviert, was auch sinnvoll ist. Mit dem Wert 0 deaktivieren sollte man sie nur, wenn Anwendungen dadurch Probleme verursachen, z. B. weil die Heuristikfunktion nicht präzise genug arbeitet.

8 Antworten

  1. Wolfram sagt:

    @Petra:
    Rechtsklick auf den Eintrag „regedit“, dann „Als Administrator ausführen“ wählen und das Passwort des Administratorkontos eingeben.

  2. Petra sagt:

    Und was tue ich wenn ich bei der Eingabe des Wortes regedit die Antwort kriege, sorry Sie haben keine Adminrechte?

  3. Wolfram sagt:

    @taraz:
    Wenn alle drei PCs dasselbe Microsoft-Konto zur Anmeldung nutzen, werden zumindest alle benutzer-basierten Einstellungen automatisch zwischen den PCs synchronisiert. Wenn man also beispielsweise auf einem PC ein neues Hintergrundbild wählt, würde dies automatisch auch auf den anderen beiden PCs verwendet.

  4. taraz sagt:

    hallo ,
    ich habe 3 Rechner zu Hause im netzwerk und dömian , sie habe alle Windows 10 pro ,ich möchte die einstellung von windows auf alle Benutzer ausführen .

  5. Wolfram sagt:

    @H.Köhler:
    Ah, jetzt verstehe ich das Problem etwas besser. Ein volles Administratorkonto kann normalerweise keine Apps installieren und ausführen. Das ist kein Fehler, sondern so beabsichtigt.
    Man kann das lösen, etwa so wie hier beschrieben:
    http://www.deskmodder.de/wiki/index.php?title=Windows_Store_und_Apps_starten_im_Administrator_Konto

    Dabei aber bitte die Hinweise in der Beschreibung beachten.

  6. Hartmut Köhler sagt:

    Sehr geehrter Herr Gieseke,

    VIELEN Dank dafür, dass Sie mir antworten.
    UpGegraded habe ich Win 10 unter einem lokalen Benutzer-Konto ´Alles´ von Win 8.1, das Administrator-Rechte hatte ohne Kenn-Wort-Abfrage, aber nicht das volle Administrator-Benutzer-Konto war. Das gab es noch daneben.
    Wenn ich mich richtig erinnere, habe ich beim UpGrade die Frage mit ´Nein´ beantwortet, ob die Win 10 Apps auch für andere Benutzer zugänglich sein sollten. Jetzt kann ich alle Win 10 Apps nur unter dem lokalen Win 10 Konto ´Reduziert´ verwenden, in das ich das alte, auf Win 10 über-tragene Konto ´Alles´ um-benannt habe, weil ´Reduziert´ nur ein lokales Konto ohne Administrator-Rechte und ohne Kenn-Wort-Abfrage sein sollte. Daneben habe ich mit ´net user admininistrator /active: yes´ das volle Administrator-Konto (lokal) errichtet.
    Wenn ich auf diesem Apps zu starten versuche, erhalte ich die Fehler-Meldung ´Auf diesem integrierten Konto können keine Apps aktiviert werden.´
    Der ´Microsoft Answer Desk´ hat mir telefonisch gesagt, ich müsse zu Win 8.1 zurück-kehren und neu upgraden.
    Aber vielleicht wissen die nicht genug.

    Sollten auch Sie keinen Rat wissen, belasse ich es beim jetzigen Zustand. Ich bin mir zwar nicht sicher, aber es könnte sein, dass bei Benutzung von Apps mit Inter-Net-Surfen ein erhöhtes Sicherheits-Risiko besteht wegen der un-ein-geschränkten Administrator-Rechte, auch wenn ich Norton Security benutze.

    MfG

    Hartmut Köhler

  7. Wolfram sagt:

    @H.Köhler:
    Ich bin mir nicht sicher, ob ich das Problem verstehe.
    Wenn Benutzer A eine App XYZ aus dem Store installiert, steht sie immer nur dem Benutzer A zur Verfügung.
    Will Benutzer B sie ebenfalls nutzen, muss er die App seinerseits auch aus dem Store installieren, damit er sie nutzen kann.
    Es gibt die App XYZ dann quasi „zweimal“ auf dem PC, was aber auch beabsichtigt ist, da beide Benutzer sie mit eigenen Einstellungen nutzen oder beispielsweise bei einem Spiel jeweils ihren eigenen Spielstand haben können.

  8. hartmut köhler sagt:

    Hallo,
    beim UpGrade auf Windows 10 habe ich un-wissender-weise verfügt, dass Apps anderen Benutzern nicht verfügbar sein sollen. Jetzt laufen alle Apps nur in dem Benutzer-Konto, dass beim UpGrade verwendet wurde.
    Kann ich irgendwie in der registry diese un-günstige Verfügung auf-heben? Vielleicht über die obige Methode?
    Dann würde ich mir 50 bis 60 Stunden erneute Ein-Richtungs-Arbeit ersparen, die sonst bei einem Zurück-Gehen auf Windows 8.1 und erneutem UpGrade nötig wären.
    Mit freundlichen Grüßen
    Hartmut Köhler

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schließen