Jump to content

Wieso die tägliche Arbeit unter Administratorrechten keine gute Idee ist!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Wieso kann man nicht einfach das Gastkonto vorübergehend mit Administaratorrechten ausstatten und nach getaner Arbeit ( Installation) wieder aufheben? Und dann weiter arbeiten mit eingeschränkten Rechten? Ich finde die Möglichkeit mit runas zu arbeiten viel zu umständlich. An eurem thread habe ich bemerkt das ich höchstens Grundkenntnisse im Computerbereich habe. Vielleicht ist meine Äußerung auch zu unqualifiziert und ich bitte dies hiermit zu entschuldigen. Klärt mich mal auf was ihr von meinem Vorschlag haltet? Quasi einen Button zu haben mit dem ich Rechte wahlweise zu- und abschalten kann.

Link zu diesem Kommentar

Hi xyz,

 

Vielleicht ist meine Äußerung auch zu unqualifiziert und ich bitte dies hiermit zu entschuldigen. Klärt mich mal auf was ihr von meinem Vorschlag haltet? Quasi einen Button zu haben mit dem ich Rechte wahlweise zu- und abschalten kann.

 

es ist noch kein Meister vom Himmel gefallen... also schon ok ;)

 

Ich schließe mal aus deinen Aussagen, dass du von einem Solo-PC sprichst der nicht ans Netzwerk angebunden ist. Falls dies so ist würde ich bei einem Windows XP Computer, der nicht an ein Netzwerk angebunden ist folgende Konfiguration empfehlen:

 

Diese Konfiguration ist aber nur empfehlenswert wenn allen Personen die physikalisch, Zugriff auf den Rechner erhalten können vertraut werden kann.

 

 

Vorbereitung:

1. Standardinstallation "Schnelle Benutzerumschaltung - aktiviert lassen bzw. aktivieren"

 

2. Erstellung eines Administratorbenutzerkonto´s (z.B. Admin) ohne Passwort

 

Erläuterung wieso ohne Kennwort...und das soll sicher sein.... wartet zuerst mal ab bevor ihr mich für Verrückt erklärt ;) => Standardmäßig kann ein Account ohne Kennwort nur dazu genutzt werden sich auf der Konsole (also direkt am PC) einzuloggen. Er kann nicht übers Netzwerk oder per Runas genutzt werden. Der Benutzer muss nur auf sein Icon beim Anmeldebildschirm klicken was die Sache auch für Anfänger sehr vereinfacht.

 

3. Erstellung eingeschränkter Benutzerkonten für jeden der den Computer nutzen soll.

 

4. Ggf. Aktivierung des Gastaccounts für Besuch der den PC nur mal schnell als Surfstation gebrauchen soll. Z.B. abrufen der E-Mails.

 

 

Nutzung:

Nun hat man auf seinem Computer, Benutzerkonten für die ganze Familie erstellt.

Meldet sich per einfachen Klick mit seinem Account an und möchte ein Computerspiel installieren. Also switcht man den Benutzer (nicht abmelden) sondern nur

 

Windows-Taste + L

und auf den Admin Account klicken.

 

- Spiel installieren.

 

- evtl. ein erstesmal starten (kann sein, dass beim ersten Start noch abschließende Installationsschritte vorgenommen werden und dazu noch erhöhte Berechtigungen notwendig sind)

 

- Mit Adminaccount abmelden und am Anmeldebildschirm wieder auf den eigenen Benutzer klicken.

 

- Spiel starten ;)

 

Quellen zum Thema:

Aaron Margosis' Weblog: The easiest way to run as non-admin

http://blogs.msdn.com/aaron_margosis/archive/2004/06/17/158806.aspx

 

Beschreibung der schnellen Benutzerumschaltung:

http://support.microsoft.com/default.aspx?kbid=279765

 

Behebung von Programmkompatibilitätsproblemen in Windows XP

http://support.microsoft.com/default.aspx?kbid=285909

 

BTW: Falls ich´s zu kompliziert erklärt habe bitte sagen... dann versuch ichs nochmal anders zu formulieren.

 

Aaron Margosis empfiehlt diese Konfiguration auch bei Installation eines Rechners für Freunde oder Verwandte die sich nicht besonders mit dem Computer auskennen!

 

LG Gadget "To be continued"

Link zu diesem Kommentar

Wenn ich auf ein Adminkonto ein Spiel installiert habe kann ich nicht auf dem Gastkonto darauf zugreifen. Ich kenn mich auch nicht genügend aus, z. Bsp. weiß ich nicht Mal ob man 2 Admin-kontos erstellen kann und wie die geschützt sind.Das Problem sind doch die Schädlinge aus dem Netz oder? Ich kann doch den Rechner für ein Verändern eines Gastkontos vom Netz nehmen und Installationen tätigen, vorausgesetzt Microsoft erfindet so eine Möglichkeit(Button) der Kontenverwaltung wie ich Sie angedeutet habe. Nach der Installation häng ich die Rechenknechte wieder ans Netz.

Na gut wenn das so einfach wäre dann wären die Leute von Microsoft ja selber draufgekommen denk ich mir mal. Da stecken bestimmt ganz andere Probleme noch zusätzlich dahinter. :cool: :cool: :cool: :cool: :cool:

Link zu diesem Kommentar
  • 3 Wochen später...
BTW: Falls jemand eine Möglichkeit findet den Parameter /savecred zu unterbinden so, dass runas aber noch läuft. Der würde mir echt ne Freude machen!

Die runas.exe von Windows XP durch die von Windows 2000 ersetzen. Das funktionierte bei meinem Windows XP Pro SP2- System. Die Datei stammte von einem Windows 2000 SP4- System. Ich weiß allerdings nicht, unter welchen Umständen das Kopieren einer Windows 2000- Systemdatei auf ein XP- System legal ist.

Link zu diesem Kommentar
Die runas.exe von Windows XP durch die von Windows 2000 ersetzen. Das funktionierte bei meinem Windows XP Pro SP2- System. Die Datei stammte von einem Windows 2000 SP4- System. Ich weiß allerdings nicht, unter welchen Umständen das Kopieren einer Windows 2000- Systemdatei auf ein XP- System legal ist.

 

Das ist unter keinen Umständen legal!

Link zu diesem Kommentar

Wenn das tatsächlich unter keinen Umständen legal sein sollte, könnte man die Lizenzpolitik von MS glatt als äußerst dumm durchgehen lassen. Schließlich hat MS keinen Nachteil davon, wenn man auf seinem XP- System eine Windows 2000- Systemdatei verwendet. Also kann man diese Maßnahme klar in die Kategorie "Probleme schaffen, ohne irgendwelche Probleme zu lösen", einordnen.

Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.

Link zu diesem Kommentar

Allerdings verstehe ich auch nicht ganz, was an der /savecred- Option so völlig sinnlos sein soll. Dass das nicht so gelungen ist, dass man die Passwörter nicht mit einer klar ersichtlichen Option wieder löschen kann und es Missbrauch ermöglicht, das ist klar. Aber völlig sinnlos ist es deshalb trotzdem nicht.

Ich habe z. B. ein Benutzerkonto erstellt, von dem man sagen kann, dass es sehr, sehr restriktiv konfiguriert ist. Damit surfe ich. Mehr geht damit auch nicht. Ich logge mich mit einem standardmäßig konfigurierten eingeschränkten Benutzerkonto ein und starte meinen Browser mit diesem sehr restriktiv konfigurierten Benutzerkonto. Und zwar mit einer runas /savecred- Verknüpfung. Gut, in diesem Benutzerkonto kann man dadurch Programme mit diesem restriktiv konfigurierten Benutzer starten, ohne das Passwort dieses Benutzers zu wissen. Aber das ist ja nicht so direkt schlimm, weil man dadurch die Rechte nicht erhöhen kann.

Link zu diesem Kommentar
  • 2 Wochen später...

Hi,

 

nochein kleiner Hinweis zur Verwendung von makemeadmin.cmd von Aaron...

 

wenn ihr mit Makemeadmin arbeitet solltet ihr unbedingt eine Änderung in der Lokalen Sicherheitsrichtlinie vornehmen:

Computerkonfiguration\Windows-Einstellungen\Sicherheitsoptionen\Systemobjekete: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden. 

=> Umstellen von Objektersteller auf Administratorengruppe

 

da sonst der LUA-Account zuviele Rechte bei Verwendung von Makemeadmin erhält was dem LUA-Prinzip ja widersprechen würde.

 

@paulx

Ich logge mich mit einem standardmäßig konfigurierten eingeschränkten Benutzerkonto ein und starte meinen Browser mit diesem sehr restriktiv konfigurierten Benutzerkonto. Und zwar mit einer runas /savecred- Verknüpfung.

 

wenn du dich schon mit einem eingeschränkten Benutzerkonto anmeldest brauchst du Runas nicht nutzen.

 

LG Gadget

Link zu diesem Kommentar

Hi,

 

heute ist auf Heise.de eine wichtiges Security Advisory herausgegeben worden, dass den Einsatz von Dropmyrights und Runas (Wenn Runas verwendet wird um Prozesse mit geringeren Rechten zu starten) in Frage stellt!

 

Windows: Flickschusterei bei Benutzerrechten

http://www.heise.de/security/news/meldung/63668

 

Deshalb empfehle ich weiterhin, wie anfangs bereits beschreiben, auf allen Workstations die Verwendung von Administratorkonten zu vermeiden.

 

Und auf Servern wo dies nicht möglich oder nicht gewünscht ist einen Automatischen Logoff nach einer bestimmten Zeit (2 Min.) z.B. mit Winexit.scr aus dem 2k3 Resource Kit zu konfigurieren. (Natürlich müssen dazu alle benötigen Applikationen als Dienst laufen)

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;314999&sd=tech

 

LG Gadget

Link zu diesem Kommentar
Wenn das tatsächlich unter keinen Umständen legal sein sollte, könnte man die Lizenzpolitik von MS glatt als äußerst dumm durchgehen lassen....

Das ist dann hier aber nicht die richtige Stelle, um darüber zu diskutieren.

 

Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.

 

Der Unterschied ist, dass die in Deinem Link veröffentlichte Datei auch als offizieller Download von MS direkt publiziert wurde. Anders herum tauschst Du eine Systemdatei von XP gegen eine von 2k. Du änderst also illegalerweise deinen Lieferumfang und machst so dein OS zu einem Windows X2K :suspect:

Link zu diesem Kommentar

Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.

 

Langsam! Nur weil es die Datei im Internet zu Download gibt heisst das nicht dass es legal ist! Bei Kazaa und Co. bekommst du auch alles mögliche zum Download und über die "Legalität" der meisten Downloads brauchen wir wohl nicht zu diskutieren.

 

Lies mal das EULA deiner Windows 2000 Lizenz durch und du wirst mit an Sicherheit grenzender Wahrscheinlichkeit eine Passage finden in der steht dass es nicht erlaubt ist Teile der Lizenz getrennt von der Lizenz zu nutzen, was du allerdings machen würdest.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...