Zum Inhalt wechseln


Foto

Wieso die tägliche Arbeit unter Administratorrechten keine gute Idee ist!


  • Bitte melde dich an um zu Antworten
40 Antworten in diesem Thema

#16 xyz

xyz

    Newbie

  • 10 Beiträge

 

Geschrieben 28. Juli 2005 - 01:32

Wieso kann man nicht einfach das Gastkonto vorübergehend mit Administaratorrechten ausstatten und nach getaner Arbeit ( Installation) wieder aufheben? Und dann weiter arbeiten mit eingeschränkten Rechten? Ich finde die Möglichkeit mit runas zu arbeiten viel zu umständlich. An eurem thread habe ich bemerkt das ich höchstens Grundkenntnisse im Computerbereich habe. Vielleicht ist meine Äußerung auch zu unqualifiziert und ich bitte dies hiermit zu entschuldigen. Klärt mich mal auf was ihr von meinem Vorschlag haltet? Quasi einen Button zu haben mit dem ich Rechte wahlweise zu- und abschalten kann.

#17 Gadget

Gadget

    Moderator

  • 5.088 Beiträge

 

Geschrieben 28. Juli 2005 - 05:56

Hi xyz,

Vielleicht ist meine Äußerung auch zu unqualifiziert und ich bitte dies hiermit zu entschuldigen. Klärt mich mal auf was ihr von meinem Vorschlag haltet? Quasi einen Button zu haben mit dem ich Rechte wahlweise zu- und abschalten kann.



es ist noch kein Meister vom Himmel gefallen... also schon ok ;)

Ich schließe mal aus deinen Aussagen, dass du von einem Solo-PC sprichst der nicht ans Netzwerk angebunden ist. Falls dies so ist würde ich bei einem Windows XP Computer, der nicht an ein Netzwerk angebunden ist folgende Konfiguration empfehlen:

Diese Konfiguration ist aber nur empfehlenswert wenn allen Personen die physikalisch, Zugriff auf den Rechner erhalten können vertraut werden kann.


Vorbereitung:
1. Standardinstallation "Schnelle Benutzerumschaltung - aktiviert lassen bzw. aktivieren"

2. Erstellung eines Administratorbenutzerkonto´s (z.B. Admin) ohne Passwort

Erläuterung wieso ohne Kennwort...und das soll sicher sein.... wartet zuerst mal ab bevor ihr mich für Verrückt erklärt ;) => Standardmäßig kann ein Account ohne Kennwort nur dazu genutzt werden sich auf der Konsole (also direkt am PC) einzuloggen. Er kann nicht übers Netzwerk oder per Runas genutzt werden. Der Benutzer muss nur auf sein Icon beim Anmeldebildschirm klicken was die Sache auch für Anfänger sehr vereinfacht.

3. Erstellung eingeschränkter Benutzerkonten für jeden der den Computer nutzen soll.

4. Ggf. Aktivierung des Gastaccounts für Besuch der den PC nur mal schnell als Surfstation gebrauchen soll. Z.B. abrufen der E-Mails.


Nutzung:
Nun hat man auf seinem Computer, Benutzerkonten für die ganze Familie erstellt.
Meldet sich per einfachen Klick mit seinem Account an und möchte ein Computerspiel installieren. Also switcht man den Benutzer (nicht abmelden) sondern nur

Windows-Taste + L
und auf den Admin Account klicken.

- Spiel installieren.

- evtl. ein erstesmal starten (kann sein, dass beim ersten Start noch abschließende Installationsschritte vorgenommen werden und dazu noch erhöhte Berechtigungen notwendig sind)

- Mit Adminaccount abmelden und am Anmeldebildschirm wieder auf den eigenen Benutzer klicken.

- Spiel starten ;)

Quellen zum Thema:
Aaron Margosis' Weblog: The easiest way to run as non-admin
http://blogs.msdn.co.../17/158806.aspx

Beschreibung der schnellen Benutzerumschaltung:
http://support.micro...spx?kbid=279765

Behebung von Programmkompatibilitätsproblemen in Windows XP
http://support.micro...spx?kbid=285909

BTW: Falls ich´s zu kompliziert erklärt habe bitte sagen... dann versuch ichs nochmal anders zu formulieren.

Aaron Margosis empfiehlt diese Konfiguration auch bei Installation eines Rechners für Freunde oder Verwandte die sich nicht besonders mit dem Computer auskennen!

LG Gadget "To be continued"

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog


#18 xyz

xyz

    Newbie

  • 10 Beiträge

 

Geschrieben 28. Juli 2005 - 07:59

Wenn ich auf ein Adminkonto ein Spiel installiert habe kann ich nicht auf dem Gastkonto darauf zugreifen. Ich kenn mich auch nicht genügend aus, z. Bsp. weiß ich nicht Mal ob man 2 Admin-kontos erstellen kann und wie die geschützt sind.Das Problem sind doch die Schädlinge aus dem Netz oder? Ich kann doch den Rechner für ein Verändern eines Gastkontos vom Netz nehmen und Installationen tätigen, vorausgesetzt Microsoft erfindet so eine Möglichkeit(Button) der Kontenverwaltung wie ich Sie angedeutet habe. Nach der Installation häng ich die Rechenknechte wieder ans Netz.
Na gut wenn das so einfach wäre dann wären die Leute von Microsoft ja selber draufgekommen denk ich mir mal. Da stecken bestimmt ganz andere Probleme noch zusätzlich dahinter. :cool: :cool: :cool: :cool: :cool:

#19 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 28. Juli 2005 - 08:09

Hi,

Das System, das Kohn beschrieben hat ist genau das was du willst! Allerdings musst du zwei mal klicken! Das Thema ist also schon erfunden :-). Da dieser Beitrag hier jedoch mehr auf Server Administration ausgelegt ist würde ich dich bitten deine Fragen in einen extra Thread zu packen. Sonst ist das etwas verwirend. Danke

Gruß

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#20 paulx

paulx

    Gast

  • 32 Beiträge

 

Geschrieben 12. August 2005 - 19:39

BTW: Falls jemand eine Möglichkeit findet den Parameter /savecred zu unterbinden so, dass runas aber noch läuft. Der würde mir echt ne Freude machen!

Die runas.exe von Windows XP durch die von Windows 2000 ersetzen. Das funktionierte bei meinem Windows XP Pro SP2- System. Die Datei stammte von einem Windows 2000 SP4- System. Ich weiß allerdings nicht, unter welchen Umständen das Kopieren einer Windows 2000- Systemdatei auf ein XP- System legal ist.
70-270 passed

#21 Lian

Lian

    Moderator

  • 19.991 Beiträge

 

Geschrieben 13. August 2005 - 12:38

Danke für Deine Mühe, Kohn

Der Tipp passt von der Thematik gut dazu: http://www.mcseboard...ead.php?t=39276
–––
Microsoft MVP [Cloud and Datacenter Management - High Availability]

#22 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.306 Beiträge

 

Geschrieben 13. August 2005 - 18:20

Die runas.exe von Windows XP durch die von Windows 2000 ersetzen. Das funktionierte bei meinem Windows XP Pro SP2- System. Die Datei stammte von einem Windows 2000 SP4- System. Ich weiß allerdings nicht, unter welchen Umständen das Kopieren einer Windows 2000- Systemdatei auf ein XP- System legal ist.


Das ist unter keinen Umständen legal!
Never argue with an idíot, they drag you down to their level and beat you with experience!

#23 paulx

paulx

    Gast

  • 32 Beiträge

 

Geschrieben 14. August 2005 - 13:13

Wenn das tatsächlich unter keinen Umständen legal sein sollte, könnte man die Lizenzpolitik von MS glatt als äußerst dumm durchgehen lassen. Schließlich hat MS keinen Nachteil davon, wenn man auf seinem XP- System eine Windows 2000- Systemdatei verwendet. Also kann man diese Maßnahme klar in die Kategorie "Probleme schaffen, ohne irgendwelche Probleme zu lösen", einordnen.
Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winh...load.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.
70-270 passed

#24 paulx

paulx

    Gast

  • 32 Beiträge

 

Geschrieben 18. August 2005 - 23:55

Allerdings verstehe ich auch nicht ganz, was an der /savecred- Option so völlig sinnlos sein soll. Dass das nicht so gelungen ist, dass man die Passwörter nicht mit einer klar ersichtlichen Option wieder löschen kann und es Missbrauch ermöglicht, das ist klar. Aber völlig sinnlos ist es deshalb trotzdem nicht.
Ich habe z. B. ein Benutzerkonto erstellt, von dem man sagen kann, dass es sehr, sehr restriktiv konfiguriert ist. Damit surfe ich. Mehr geht damit auch nicht. Ich logge mich mit einem standardmäßig konfigurierten eingeschränkten Benutzerkonto ein und starte meinen Browser mit diesem sehr restriktiv konfigurierten Benutzerkonto. Und zwar mit einer runas /savecred- Verknüpfung. Gut, in diesem Benutzerkonto kann man dadurch Programme mit diesem restriktiv konfigurierten Benutzer starten, ohne das Passwort dieses Benutzers zu wissen. Aber das ist ja nicht so direkt schlimm, weil man dadurch die Rechte nicht erhöhen kann.
70-270 passed

#25 Gadget

Gadget

    Moderator

  • 5.088 Beiträge

 

Geschrieben 29. August 2005 - 20:43

Hi,

nochein kleiner Hinweis zur Verwendung von makemeadmin.cmd von Aaron...

wenn ihr mit Makemeadmin arbeitet solltet ihr unbedingt eine Änderung in der Lokalen Sicherheitsrichtlinie vornehmen:
Computerkonfiguration\Windows-Einstellungen\Sicherheitsoptionen\Systemobjekete: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden.
=> Umstellen von Objektersteller auf Administratorengruppe

da sonst der LUA-Account zuviele Rechte bei Verwendung von Makemeadmin erhält was dem LUA-Prinzip ja widersprechen würde.

@paulx

Ich logge mich mit einem standardmäßig konfigurierten eingeschränkten Benutzerkonto ein und starte meinen Browser mit diesem sehr restriktiv konfigurierten Benutzerkonto. Und zwar mit einer runas /savecred- Verknüpfung.


wenn du dich schon mit einem eingeschränkten Benutzerkonto anmeldest brauchst du Runas nicht nutzen.

LG Gadget

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog


#26 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 30. August 2005 - 19:22

Hi,
Da ich nunmal an meiner Maschine als Admin arbeiten will, finde ich die schon weiter oben erwähnte Lösung mit "dropmyrights.exe" am besten. IE und Outlook starte ich darüber. Funktionelle Einbussen habe ich noch keine festegstellt, bzw. ich kann ja jederzeit die Programme direkt aufrufen.

cu
blub

#27 Wäscherei

Wäscherei

    Member

  • 304 Beiträge

 

Geschrieben 01. September 2005 - 12:34

@kohn und naturlich an alle Beteiligten,

danke für den Threat. Ihr solltet mal überlegen, ob man nicht aus allen sinnvollen Howtos ein Buch schreibt. :jau:
Frust macht unglücklich!

#28 Gadget

Gadget

    Moderator

  • 5.088 Beiträge

 

Geschrieben 08. September 2005 - 07:48

Hi,

heute ist auf Heise.de eine wichtiges Security Advisory herausgegeben worden, dass den Einsatz von Dropmyrights und Runas (Wenn Runas verwendet wird um Prozesse mit geringeren Rechten zu starten) in Frage stellt!

Windows: Flickschusterei bei Benutzerrechten
http://www.heise.de/...s/meldung/63668

Deshalb empfehle ich weiterhin, wie anfangs bereits beschreiben, auf allen Workstations die Verwendung von Administratorkonten zu vermeiden.

Und auf Servern wo dies nicht möglich oder nicht gewünscht ist einen Automatischen Logoff nach einer bestimmten Zeit (2 Min.) z.B. mit Winexit.scr aus dem 2k3 Resource Kit zu konfigurieren. (Natürlich müssen dazu alle benötigen Applikationen als Dienst laufen)

http://support.micro...;314999&sd=tech

LG Gadget

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog


#29 marka

marka

    Moderator

  • 5.201 Beiträge

 

Geschrieben 09. September 2005 - 15:56

Wenn das tatsächlich unter keinen Umständen legal sein sollte, könnte man die Lizenzpolitik von MS glatt als äußerst dumm durchgehen lassen....

Das ist dann hier aber nicht die richtige Stelle, um darüber zu diskutieren.

Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winh...load.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.


Der Unterschied ist, dass die in Deinem Link veröffentlichte Datei auch als offizieller Download von MS direkt publiziert wurde. Anders herum tauschst Du eine Systemdatei von XP gegen eine von 2k. Du änderst also illegalerweise deinen Lieferumfang und machst so dein OS zu einem Windows X2K :suspect:

Viele Grüße von der Nordsee
Markus

 

In einem Forum ist es wie bei einem Fototermin - immer recht freundlich!
Kein Support per PN oder E-Mail, bitte im Forum posten, dann haben alle etwas davon ;)


#30 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.306 Beiträge

 

Geschrieben 11. September 2005 - 15:38

Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winh...load.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.


Langsam! Nur weil es die Datei im Internet zu Download gibt heisst das nicht dass es legal ist! Bei Kazaa und Co. bekommst du auch alles mögliche zum Download und über die "Legalität" der meisten Downloads brauchen wir wohl nicht zu diskutieren.

Lies mal das EULA deiner Windows 2000 Lizenz durch und du wirst mit an Sicherheit grenzender Wahrscheinlichkeit eine Passage finden in der steht dass es nicht erlaubt ist Teile der Lizenz getrennt von der Lizenz zu nutzen, was du allerdings machen würdest.
Never argue with an idíot, they drag you down to their level and beat you with experience!