Die Windows Remotehilfe (STRG+Win+Q) ist ein ausgezeichnetes, oft unterschätztes und seit Windows 10 allgegenwärtiges Werkzeug. Der Admin kann damit beliebigen Windows (Clients) direkt Hilfe anbieten, ohne Tools wie Teamviewer oder Anydesk herunterladen zu müssen.
Das einzige Problem ist die Rechteausweitung. Die Windows Remotehilfe kann nicht selbstständig „Erweiterte Rechte“ erlangen, man kann also nicht mal eben Dinge „Als Administrator“ starten. Wenn man das versucht, sieht man auf der Helfer-Seite ein „Pause“ Symbol und auf dem Client den „Secure Desktop“ der die Eingabeaufforderung für Admin-Credentials
Selbst wenn man dann bestimmte Anwendungen als Administrator gestartet hat, zum Beispiel via runas oder minirunas, sind Eingaben in diese Fenster für den Helfenden nicht möglich. Der „Sichere Desktop“ verhindert das ein nicht-admin die Administrator-Fenster bedienen kann. Grundsätzlich sicher eine sichere Idee, aber auch etwas unprkatisch.
Lösung
Um es Admins zu ermöglichen, die Anmeldedaten auch in einer Remotehilfesitzung einzugeben, müssen zwei Dinge geschehen. Erstens muss die UAC-Eingabeauffoderung ohne „Sicheren Desktop“ angezeigt werden und zweitens muss die ganze Benutzersitzung zum „Sicheren Desktop“ wechseln dürfen.
Das geht am einfachsten per Gruppenrichtlinie.
Computerkonfiguration > Richtlinien > Lokale Richtlinien > Sicherheitsoptionen > Benutzerkontensteuerung >
„Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln“: Deaktiviert
(Gleicher Pfad)
„Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind“: Aktiviert
(Gleicher Pfad)
„Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern“: Aktiviert
Nach dem nächsten gpupdate können Admins auch in der Windows Remotehilfe wieder Anmeldedaten „für „Als Administrator“ eingeben.