Verwaltung von Benutzerrechten – Anwendungsbeispiele

Für die Verwaltung von Benutzerrechten gibt es zahlreiche Anwendungsbeispiele. Sie löst Probleme, die Unternehmen bislang nicht bewältigen konnten. Nachfolgend sind einige Szenarien aufgeführt:

  • Unternehmen, die lokale Administratorkonten für ihre Benutzer verwenden, können bestimmte Elemente des Desktops sperren, z. B. die Systemsteuerungskomponenten "Hardware hinzufügen", "Programme hinzufügen/entfernen" bzw. "Programme und Funktionen". Durch dynamisches Herunterstufen des Benutzerkontos von der Administratorebene auf ein Standardbenutzerkonto für bestimmte Kontrollen, kann der Benutzer bestimmte Kontrollen nicht aufrufen und keine unerwünschten Aufgaben ausführen.
  • Für einige Anwendungen sind Administratorrechte erforderlich, weil die Anwendung mit bestimmten Bereichen des Desktopbetriebssystems oder der Registrierung interagiert. Das Unternehmen möchte dem Benutzer jedoch keine uneingeschränkten Administratorrechte einräumen. Mithilfe der Verwaltung von Benutzerrechten können die Rechte des Benutzers für die benannte Anwendung auf Administratorebene erhöht werden. Auf diese Weise kann der Benutzer die Anwendung nutzen, ohne dass der Schutz des Desktops aufgehoben werden muss.
  • Gewisse Elemente automatischer Updates erfordern bei manchen Anwendungen Administratorrechte, damit bestimmte Updateaktionen durchgeführt werden können. Diese Elemente funktionieren daher außerhalb des Kontexts eines Standardbenutzers. Mithilfe der Verwaltung von Benutzerrechten kann die benannte Anwendung im Kontext eines Administratorkontos ausgeführt werden, während alle anderen Anwendungen im Kontext eines Standardbenutzers verbleiben.
  • Mobile Benutzer müssen gelegentlich ihre IP-Adresse manuell ändern, ein Wireless-Netzwerk konfigurieren oder Datums- und Uhrzeiteigenschaften ändern und benötigen dafür Administratorrechte.
  • Mithilfe der Verwaltung von Benutzerrechten können die Rechte des Benutzers für bestimmte Aufgaben auf Administratorebene erhöht werden, sodass der Benutzer die erforderlichen Änderungen vornehmen kann.

Erhöhen von Benutzerrechten zum Ausführen von Anwendungen

Benutzer brauchen zum Ausüben ihrer Tätigkeit oft Administratorrechte. Mithilfe der Verwaltung von Benutzerrechten können Sie die Rechte eines Benutzers so erhöhen, dass er für bestimmte Anwendungen über Administratorrechte verfügt. Zum Erhöhen von Benutzerrechten müssen Sie zuerst eine Richtlinie erstellen und diese dann auf eine Regel anwenden.

  1. Navigieren Sie zum Knoten Bibliothek > Richtlinien für Benutzerrechte.
  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Richtlinie hinzufügen aus.
  3. Markieren Sie die neue Richtlinie, klicken Sie mit der rechten Maustaste darauf und wählen Sie Umbenennen aus.
  4. Weisen Sie der Richtlinie einen intuitiven Namen zu, z. B. Auf Adminrechte erhöhen.

  5. Wählen Sie die neue Richtlinie aus und klicken Sie im Menüband "Berechtigungsverwaltung" auf Gruppenaktion hinzufügen.

    Das Dialogfeld "Kontoauswahl" wird angezeigt.

  6. Navigieren Sie zu der Gruppe, die Sie zur Richtlinie hinzufügen möchten, und wählen Sie sie aus.

  7. Die Gruppe wird auf der Registerkarte "Gruppenmitgliedschaft" des Arbeitsbereichs "Richtlinie für Benutzerrechte" aufgeführt.

    Stellen Sie sicher, dass in der Spalte "Aktion" die Option Mitgliedschaft hinzufügen festgelegt ist. Dadurch können Benutzer eine Anwendung so ausführen, als wären sie Mitglied der Gruppe.

    • Auf der Registerkarte "Gruppenmitgliedschaft" werden die Anmeldinformationen festgelegt, mit denen eine Anwendung ausgeführt werden darf.
    • Die Registerkarte "Berechtigungen" ermöglicht die Festlegung einer granularen Kontrolle über die Berechtigungen, die der Benutzer zum Ausführen einer Anwendung besitzt.
    • Über die Registerkarte "Eigenschaften" wird die Integritätsstufe festgelegt. Anwendungen mit einer niedrigen Integritätsstufe können nicht mit Anwendungen mit hoher Integritätsstufe interagieren.
  1. Wählen Sie im Navigationsbereich die Option Regeln > Gruppe > Jeder > Benutzerrechte aus.
  2. Wählen Sie im Menüband "Berechtigungen" den Dropdownpfeil Element hinzufügen aus, markieren Sie Anwendung und wählen Sie dann Datei oder Ordner oder Signatur oder Gruppe aus.
  3. Wählen Sie das hinzuzufügende Element aus.
  4. Setzen Sie die Richtlinie für Benutzerrechte auf die im Schritt Erstellen einer Richtlinie für Benutzerrechte oben erstellte Richtlinie.
  5. Wählen Sie den Knoten Jeder aus.
  6. Schieben Sie den Schieberegler für Sicherheit auf Uneingeschränkt, damit Application Control nichts blockieren kann.
  7. Speichern Sie die Konfiguration.

Das Ereignis 9018 prüft, wenn sich die Benutzerrechte für eine Anwendung ändern.

Beispiel: Zulassen, dass Benutzer Visual Studio ausführen und Fehler bei Anwendungen beheben

Benutzer benötigen oft Administratorrechte, beispielsweise zum Ausführen von Visual Studio und zum Beheben von Fehlern bei Anwendungen. Mithilfe der Verwaltung von Benutzerrechten können Sie die Rechte eines Benutzers so erhöhen, dass er für bestimmte Anwendungen über Administratorrechte verfügt.

Zum Erhöhen von Benutzerrechten müssen Sie zuerst eine oder mehrere wiederverwendbare Richtlinien erstellen und diese dann auf eine Regel anwenden.

  1. Wählen Sie den Knoten Bibliothek > Richtlinien für Benutzerrechte aus.
  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Richtlinie hinzufügen aus.
  3. Markieren Sie die neue Richtlinie, klicken Sie mit der rechten Maustaste darauf und wählen Sie Umbenennen aus.
  4. Weisen Sie der Richtlinie einen intuitiven Namen zu, z. B. Erhöhen für Visual Studio.

  5. Klicken Sie im Menüband "Berechtigungsverwaltung" auf Gruppenaktion hinzufügen.

    Das Dialogfeld "Kontoauswahl" wird angezeigt.

  6. Navigieren Sie zu der Gruppe, die Sie zur Richtlinie hinzufügen möchten, und wählen Sie sie aus.

    Die Gruppe wird zur Registerkarte "Gruppenmitgliedschaft" des Arbeitsbereichs hinzugefügt.

  7. Stellen Sie sicher, dass in der Spalte "Aktion" die Option "Mitgliedschaft hinzufügen" festgelegt ist.

    Dadurch können Benutzer eine Anwendung so ausführen, als wären sie Mitglied der Gruppe.

  1. Wählen Sie den Knoten Bibliothek > Richtlinien für Benutzerrechte aus.
  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Richtlinie hinzufügen aus.
  3. Markieren Sie die neue Richtlinie, klicken Sie mit der rechten Maustaste darauf und wählen Sie Umbenennen aus.
  4. Weisen Sie der Richtlinie einen intuitiven Namen zu, z. B. Fehlerbehebung durchführen.

  5. Wählen Sie die Registerkarte "Berechtigungen" aus.

    Der Arbeitsbereich Berechtigungen wird angezeigt.

  6. Wählen Sie in der Spalte "Aktion" das Dropdownmenü für die Fehlerbehebungsberechtigung aus und dann die Option Aktivieren.
  1. Wählen Sie im Navigationsbereich Regeln > Gruppe aus.

  2. Wählen Sie in der Dropdownliste Regel hinzufügen des Menübands "Regeln" die Option Gruppenregel aus.

    Das Dialogfeld "Gruppenregel hinzufügen" wird angezeigt.

  3. Geben Sie in das Feld "Konto" den Domänennamen ein.
  4. Klicken Sie auf Hinzufügen.

  1. Wählen Sie den Knoten Benutzerrechte unterhalb der von Ihnen erstellten Regel aus.

    Der Arbeitsbereich "Benutzerrechte" wird angezeigt.

  2. Wählen Sie im Menüband "Berechtigungsverwaltung" Element hinzufügen > Anwendung > Datei aus.
    Das Dialogfeld "Datei für die Verwaltung von Benutzerrechten hinzufügen" wird angezeigt.
  3. Navigieren Sie zur Visual Studio-Anwendungsdatei und wählen Sie sie aus.
  4. Wählen Sie die Option Richtlinie auf untergeordnete Prozesse anwenden aus.

  5. Klicken Sie auf Hinzufügen.

    Der Dateipfad und der Name der ausführbaren Datei wird zur Registerkarte "Anwendungen" des Arbeitsbereichs hinzugefügt.

  6. Wählen Sie auf der Registerkarte in der Spalte "Richtlinie für Benutzerrechte" die Richtlinie Erhöhen für Visual Studio aus. Dies ist die Richtlinie, die Sie in Schritt 1 erstellt haben.

  1. Wählen Sie im Arbeitsbereich "Benutzerrechte" die Option Element hinzufügen > Anwendungsdatei > Datei im Menüband "Berechtigungsverwaltung" aus.

    Das Dialogfeld "Datei für die Verwaltung von Benutzerrechten hinzufügen" wird angezeigt.

  2. Geben Sie in das Feld "Datei" einen * ein. Damit lassen Sie alle Fehlerbehebungsanwendungen zu.
  3. Klicken Sie auf Hinzufügen.

  4. Wählen Sie in der Spalte "Richtlinie für Benutzerrechte" die Richtlinie Fehlerbehebung durchführen aus.

    Dies ist die Richtlinie, die Sie in Schritt 4 erstellt haben.

Speichern Sie die Konfiguration.

Erhöhen von Benutzerrechten zum Ausführen von Systemsteuerungskomponenten

Viele Roamingbenutzer müssen Aufgaben durchführen, die als Administrator ausgeführt werden müssen, z. B.:

  • Installieren von Druckern
  • Ändern von Netzwerk- und Firewalleinstellungen
  • Ändern von Datum und Uhrzeit
  • Hinzufügen und Entfernen von Programmen

Alle diese Aufgaben erfordern, dass bestimmte Komponenten als Administrator ausgeführt werden.

Mithilfe der Verwaltung von Benutzerrechten lassen sich Berechtigungen für einzelne Komponenten erhöhen. So kann ein Standardbenutzer, der kein Administrator ist, die Änderungen vornehmen, die zum Ausüben seiner Rolle erforderlich sind.

Erhöhen von Berechtigungen für eine Komponente

  1. Wählen Sie den Knoten Benutzerrechte unterhalb des betreffenden Knotens "Regeln" aus, z. B. den Knoten Gruppe > Jeder.

  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Element hinzufügen > Komponente hinzufügen aus.

    Das Dialogfeld "Komponenten auswählen" wird angezeigt.

  3. Wählen Sie eine oder mehrere zu erhöhende Komponenten aus und klicken Sie auf OK.

    Verwenden Sie den Filter oben im Dialogfeld "Komponenten auswählen", um die Komponenten nach Betriebssystem zu filtern.

    Die Komponente wird nun auf der Registerkarte "Komponenten" im Arbeitsbereich "Richtlinie" aufgeführt.

  4. Stellen Sie sicher, dass in der Spalte "Richtlinie für Benutzerrechte" die Richtlinie "Integrierte Erhöhung" ausgewählt ist.
  5. Speichern Sie die Konfiguration.

Das Defragmentieren von Datenträgern erfordert Administratorrechte und wird von einer bestimmten Komponente gesteuert. Mithilfe der Verwaltung von Benutzerrechten können Sie die Benutzerrechte für diese Komponente erhöhen und Benutzern dadurch das Defragmentieren von Datenträgern erlauben.

  1. Wählen Sie den betreffenden Knoten "Regeln" aus, z. B. den Knoten Gruppe > Jeder.

  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Element hinzufügen > Komponente hinzufügen aus.

    Das Dialogfeld "Komponenten auswählen" wird angezeigt.

  3. Wählen Sie die Komponente "Defragmentieren" aus und klicken Sie auf OK.

    Verwenden Sie den Filter oben im Dialogfeld "Komponenten auswählen", um die Komponenten nach Betriebssystem zu filtern.

    Die Komponente wird zur Registerkarte "Komponenten" im Arbeitsbereich der Regel hinzugefügt.

  4. Wählen Sie in der Spalte "Richtlinie für Benutzerrechte" den Dropdownpfeil aus und dann die Richtlinie Integrierte Erhöhung.
  5. Speichern Sie die Konfiguration.

Die Fähigkeit zum Durchführen von Microsoft Windows-Updates wird von einer bestimmten Komponente gesteuert. Mithilfe der Verwaltung von Benutzerrechten lassen sich die Berechtigungen für diese Komponenten erhöhen. So kann ein Standardbenutzer, der kein Administrator ist, die Änderungen vornehmen, die zum Ausüben seiner Rolle erforderlich sind.

So erhöhen Sie die Berechtigungen für das Applet:

  1. Wählen Sie den betreffenden Knoten "Regeln" aus, z. B. den Knoten Gruppe > Jeder.

  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Element hinzufügen > Komponente hinzufügen aus.

    Das Dialogfeld "Komponenten auswählen" wird angezeigt.

  3. Wählen Sie die Komponente "Automatisches Update\Windows-Update" aus und klicken Sie auf OK.

    Verwenden Sie den Filter oben im Dialogfeld "Komponenten auswählen", um die Komponenten nach Betriebssystem zu filtern.

    Die Komponente wird zur Registerkarte "Komponenten" im Arbeitsbereich der Regel hinzugefügt.

  4. Wählen Sie in der Spalte "Richtlinie für Benutzerrechte" den Dropdownpfeil aus und dann die Richtlinie Integrierte Erhöhung.
  5. Speichern Sie die Konfiguration.

Reduzieren von Berechtigungen zum Einschränken von Anwendungsberechtigungen

Durch Ausführen bestimmter Anwendungen als Administrator kann der Benutzer unerwünschterweise Einstellungen ändern, Anwendungen installieren und gegebenenfalls den Desktop mit dem Internet verbinden. Mithilfe der Verwaltung von Benutzerrechten können Sie unterbinden, dass ein Benutzer auf Administratorebene beispielsweise Internet Explorer im Standardbenutzermodus ausführt und so den Desktop schützen.

Zum Erhöhen von Benutzerrechten müssen Sie zuerst eine Richtlinie erstellen und diese dann auf eine Regel anwenden.

  1. Navigieren Sie zum Knoten Bibliothek > Richtlinien für Benutzerrechte.
  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Richtlinie hinzufügen aus.
  3. Markieren Sie die neue Richtlinie, klicken Sie mit der rechten Maustaste darauf und wählen Sie Umbenennen aus.
  4. Weisen Sie der Richtlinie einen intuitiven Namen zu, z. B. Adminrechte reduzieren.
  5. Wählen Sie die neue Richtlinie aus und klicken Sie im Menüband "Berechtigungsverwaltung" auf Gruppenaktion hinzufügen.
    Das Dialogfeld "Kontoauswahl" wird angezeigt.

  6. Navigieren Sie zu der Gruppe, die Sie zur Richtlinie hinzufügen möchten, und wählen Sie sie aus. Dies sind die Anmeldeinformationen des Kontos zum Ausführen der Anwendung. Klicken Sie auf Hinzufügen.

    Die Gruppe wird auf der Registerkarte "Gruppenmitgliedschaft" des Arbeitsbereichs "Richtlinie" aufgeführt.

  7. Wählen Sie in der Spalte "Aktion" die Option Mitgliedschaft beenden aus.
    • Auf der Registerkarte "Gruppenmitgliedschaft" werden die Anmeldinformationen festgelegt, mit denen eine Anwendung ausgeführt werden darf.
    • Die Registerkarte "Berechtigungen" ermöglicht die Festlegung einer granularen Kontrolle über die Berechtigungen, die der Benutzer zum Ausführen einer Anwendung besitzt.
    • Über die Registerkarte "Eigenschaften" wird die Integritätsstufe festgelegt. Anwendungen mit einer niedrigen Integritätsstufe können nicht mit Anwendungen mit hoher Integritätsstufe interagieren.
  1. Navigieren Sie zum Knoten Regeln > Gruppe > Jeder > Benutzerrechte.
  2. Wählen Sie im Menüband "Berechtigungsverwaltung" den Dropdownpfeil Element hinzufügen aus, zeigen Sie auf Anwendung und wählen Sie dann eines der folgenden Elemente aus:
    • Datei
    • Ordner
    • Signatur
    • Gruppe
  3. Wählen Sie das hinzuzufügende Element aus.
  4. Setzen Sie die Richtlinie für Benutzerrechte auf die in Schritt 1 erstellte Richtlinie.
  5. Wählen Sie den Knoten Jeder aus.
  6. Ziehen Sie den Schieberegler für die Sicherheitsstufe zu Eingeschränkt.
  7. Speichern Sie die Konfiguration.

Das Ereignis 9018 prüft, wenn sich die Benutzerrechte für eine Anwendung ändern.

Reduzieren von Benutzerrechten für das Ausführen von Komponenten

Mithilfe der Verwaltung von Benutzerrechten lassen sich Berechtigungen für einzelne Komponenten einschränken. So wird verhindert, dass ein Standardbenutzer, der kein Administrator ist, bestimmte Änderungen vornehmen kann.

Reduzieren der Berechtigungen für eine Komponente

  1. Wählen Sie den Knoten Benutzerrechte unterhalb des betreffenden Knotens "Regeln" aus, z. B. den Knoten Gruppe > Jeder.

  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Element hinzufügen > Komponente hinzufügen aus.

    Das Dialogfeld "Komponenten auswählen" wird angezeigt.

  3. Wählen Sie eine oder mehrere zu reduzierende Komponenten aus und klicken Sie auf OK.

    Verwenden Sie den Filter oben im Dialogfeld "Komponenten auswählen", um die Komponenten nach Betriebssystem zu filtern.

    Die ausgewählte Komponente wird nun auf der Registerkarte "Komponenten" im Arbeitsbereich aufgeführt.

  4. Wählen Sie in der Spalte "Richtlinie für Benutzerrechte" den Dropdownpfeil aus und dann die Richtlinie Integrierte Einschränkung.
  5. Speichern Sie die Konfiguration.

Dienste ist eine Komponente der Systemsteuerung.Mithilfe der Verwaltung von Benutzerrechten lassen sich die Berechtigungen für die Komponente "Dienste" einschränken. So wird verhindert, dass ein Standardbenutzer, der kein Administrator ist, Dienste starten oder stoppen kann.

  1. Wählen Sie den Knoten Benutzerrechte unterhalb des betreffenden Knotens "Regeln" aus, z. B. den Knoten Gruppe > Jeder.

  2. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Element hinzufügen > Komponente hinzufügen aus.

    Das Dialogfeld "Komponenten auswählen" wird angezeigt.

  3. Wählen Sie die Komponente Dienste aus und klicken Sie auf OK.

    Verwenden Sie den Filter oben im Dialogfeld "Komponenten auswählen", um die Komponenten nach Betriebssystem zu filtern.

    Die ausgewählte Komponente wird nun auf der Registerkarte "Komponenten" im Arbeitsbereich aufgeführt.

  4. Wählen Sie in der Spalte "Richtlinie für Benutzerrechte" den Dropdownpfeil aus und dann die Richtlinie Integrierte Einschränkung.
  5. Speichern Sie die Konfiguration.

Sichern allgemeiner Dialogfelder

Ein Administrator kann unter Verwendung von Application Control und der Berechtigungsverwaltung die Berechtigungen eines Standardbenutzers auf die eines Administrators erhöhen. Durch Zuweisen von Administratorrechten erhält der Benutzer Zugriff auf alle Dateien, darunter auch wichtige Systemdateien, und er hat die Möglichkeit, diese zu löschen oder umzubenennen. Durch solche Aktionen kann ein System nachhaltig beschädigt werden.

Application Control und Berechtigungsverwaltung bieten daher eine Funktion zum Sichern allgemeiner Dialogfelder. Diese verhindert das Manipulieren von Dateien durch die Benutzer. Die Dialogfelder können nach wie vor geöffnet werden und bieten Zugriff auf die Dateien. Allerdings können die Dateien nicht gelöscht oder umbenannt werden.

Application Control schränkt nicht den Zugriff auf Bereiche ein, auf die der Benutzer üblicherweise zugreifen kann.

Erhöhen auf Administratorrechte und Sichern allgemeiner Dialogfelder

Szenario

  • Angenommen, Sie sind IT-Administrator.
  • Sie möchten eine neue Richtlinie für Benutzerrechte erstellen.

Vorgehensweise

  1. Navigieren Sie zum Knoten Bibliothek > Richtlinien für Benutzerrechte und wählen Sie Richtlinie hinzufügen im Menüband Berechtigungsverwaltung aus.

    Eine neue Richtlinie wird erstellt.

  2. Klicken Sie mit der rechten Maustaste auf die neue Richtlinie und wählen Sie Umbenennen aus.
  3. Weisen Sie der Richtlinie einen intuitiven Namen zu, z. B. Erhöhen auf Administrator.

  4. Wählen Sie die neue Richtlinie aus und klicken Sie im Menüband "Berechtigungsverwaltung" auf Gruppenaktion hinzufügen.

    Das Dialogfeld "Kontoauswahl" wird angezeigt.

  5. Geben Sie das Administratorkonto in das Feld "Konto" ein oder verwenden Sie die Schaltfläche Durchsuchen, um nach dem Konto zu suchen. Klicken Sie auf Hinzufügen.
  6. Stellen Sie sicher, dass in der Spalte "Aktion" die Option Mitgliedschaft hinzufügen festgelegt ist. Dies ist die Standardeinstellung. Wenn die Option "Mitgliedschaft hinzufügen" aktiviert ist, können Benutzer eine Anwendung so ausführen, als wären sie Mitglied der Gruppe. Die Option "Mitgliedschaft beenden" verhindert das Ausführen einer Anwendung durch den Benutzer.
  7. Wählen Sie den Knoten Benutzerrechte für die jeweilige Gruppe aus, z. B. die Gruppe "Jeder".
  8. Wählen Sie im Menüband "Berechtigungsverwaltung" Element hinzufügen > Anwendung > Datei aus.
  9. Das Dialogfeld Datei für die Verwaltung von Benutzerrechten hinzufügen wird angezeigt.
  10. Geben Sie den Namen der Anwendung ein, deren allgemeine Dialogfelder Sie sichern möchten, oder verwenden Sie die Schaltfläche Durchsuchen, um zur Anwendung zu navigieren.
  11. Stellen Sie sicher, dass die Option Auf allgemeine Dialogfelder anwenden ausgewählt ist.
  12. Klicken Sie auf Hinzufügen.
  13. Stellen Sie sicher, dass in der Spalte "Richtlinie für Benutzerrechte" die Richtlinie ausgewählt ist, die Sie in den Schritten 1 bis 6 erstellt haben.
  14. Speichern Sie die Konfiguration.