Wieso die tägliche Arbeit unter Administratorrechten keine gute Idee ist!

[xyz 10]

Wieso kann man nicht einfach das Gastkonto vorübergehend mit Administaratorrechten ausstatten und nach getaner Arbeit ( Installation) wieder aufheben? Und dann weiter arbeiten mit eingeschränkten Rechten? Ich finde die Möglichkeit mit runas zu arbeiten viel zu umständlich. An eurem thread habe ich bemerkt das ich höchstens Grundkenntnisse im Computerbereich habe. Vielleicht ist meine Äußerung auch zu unqualifiziert und ich bitte dies hiermit zu entschuldigen. Klärt mich mal auf was ihr von meinem Vorschlag haltet? Quasi einen Button zu haben mit dem ich Rechte wahlweise zu- und abschalten kann.

[Gadget 37]

Hi xyz,

 

Vielleicht ist meine Äußerung auch zu unqualifiziert und ich bitte dies hiermit zu entschuldigen. Klärt mich mal auf was ihr von meinem Vorschlag haltet? Quasi einen Button zu haben mit dem ich Rechte wahlweise zu- und abschalten kann.

 

es ist noch kein Meister vom Himmel gefallen... also schon ok ;)

 

Ich schließe mal aus deinen Aussagen, dass du von einem Solo-PC sprichst der nicht ans Netzwerk angebunden ist. Falls dies so ist würde ich bei einem Windows XP Computer, der nicht an ein Netzwerk angebunden ist folgende Konfiguration empfehlen:

 

Diese Konfiguration ist aber nur empfehlenswert wenn allen Personen die physikalisch, Zugriff auf den Rechner erhalten können vertraut werden kann.

 

 

Vorbereitung:

1. Standardinstallation "Schnelle Benutzerumschaltung - aktiviert lassen bzw. aktivieren"

 

2. Erstellung eines Administratorbenutzerkonto´s (z.B. Admin) ohne Passwort

 

Erläuterung wieso ohne Kennwort...und das soll sicher sein.... wartet zuerst mal ab bevor ihr mich für Verrückt erklärt ;) => Standardmäßig kann ein Account ohne Kennwort nur dazu genutzt werden sich auf der Konsole (also direkt am PC) einzuloggen. Er kann nicht übers Netzwerk oder per Runas genutzt werden. Der Benutzer muss nur auf sein Icon beim Anmeldebildschirm klicken was die Sache auch für Anfänger sehr vereinfacht.

 

3. Erstellung eingeschränkter Benutzerkonten für jeden der den Computer nutzen soll.

 

4. Ggf. Aktivierung des Gastaccounts für Besuch der den PC nur mal schnell als Surfstation gebrauchen soll. Z.B. abrufen der E-Mails.

 

 

Nutzung:

Nun hat man auf seinem Computer, Benutzerkonten für die ganze Familie erstellt.

Meldet sich per einfachen Klick mit seinem Account an und möchte ein Computerspiel installieren. Also switcht man den Benutzer (nicht abmelden) sondern nur

 

Windows-Taste + L

und auf den Admin Account klicken.

 

- Spiel installieren.

 

- evtl. ein erstesmal starten (kann sein, dass beim ersten Start noch abschließende Installationsschritte vorgenommen werden und dazu noch erhöhte Berechtigungen notwendig sind)

 

- Mit Adminaccount abmelden und am Anmeldebildschirm wieder auf den eigenen Benutzer klicken.

 

- Spiel starten ;)

 

Quellen zum Thema:

Aaron Margosis' Weblog: The easiest way to run as non-admin

http://blogs.msdn.com/aaron_margosis/archive/2004/06/17/158806.aspx

 

Beschreibung der schnellen Benutzerumschaltung:

http://support.microsoft.com/default.aspx?kbid=279765

 

Behebung von Programmkompatibilitätsproblemen in Windows XP

http://support.microsoft.com/default.aspx?kbid=285909

 

BTW: Falls ich´s zu kompliziert erklärt habe bitte sagen... dann versuch ichs nochmal anders zu formulieren.

 

Aaron Margosis empfiehlt diese Konfiguration auch bei Installation eines Rechners für Freunde oder Verwandte die sich nicht besonders mit dem Computer auskennen!

 

LG Gadget "To be continued"

[xyz 10]

Wenn ich auf ein Adminkonto ein Spiel installiert habe kann ich nicht auf dem Gastkonto darauf zugreifen. Ich kenn mich auch nicht genügend aus, z. Bsp. weiß ich nicht Mal ob man 2 Admin-kontos erstellen kann und wie die geschützt sind.Das Problem sind doch die Schädlinge aus dem Netz oder? Ich kann doch den Rechner für ein Verändern eines Gastkontos vom Netz nehmen und Installationen tätigen, vorausgesetzt Microsoft erfindet so eine Möglichkeit(Button) der Kontenverwaltung wie ich Sie angedeutet habe. Nach der Installation häng ich die Rechenknechte wieder ans Netz.

Na gut wenn das so einfach wäre dann wären die Leute von Microsoft ja selber draufgekommen denk ich mir mal. Da stecken bestimmt ganz andere Probleme noch zusätzlich dahinter. :cool: :cool: :cool: :cool: :cool:

[nerd 28]

Hi,

 

Das System, das Kohn beschrieben hat ist genau das was du willst! Allerdings musst du zwei mal klicken! Das Thema ist also schon erfunden :-). Da dieser Beitrag hier jedoch mehr auf Server Administration ausgelegt ist würde ich dich bitten deine Fragen in einen extra Thread zu packen. Sonst ist das etwas verwirend. Danke

 

Gruß

[paulx 10]

BTW: Falls jemand eine Möglichkeit findet den Parameter /savecred zu unterbinden so, dass runas aber noch läuft. Der würde mir echt ne Freude machen!

Die runas.exe von Windows XP durch die von Windows 2000 ersetzen. Das funktionierte bei meinem Windows XP Pro SP2- System. Die Datei stammte von einem Windows 2000 SP4- System. Ich weiß allerdings nicht, unter welchen Umständen das Kopieren einer Windows 2000- Systemdatei auf ein XP- System legal ist.

[Lian 2.421]

Danke für Deine Mühe, Kohn

 

Der Tipp passt von der Thematik gut dazu: http://www.mcseboard.de/showthread.php?t=39276

[Dr.Melzer 191]

Die runas.exe von Windows XP durch die von Windows 2000 ersetzen. Das funktionierte bei meinem Windows XP Pro SP2- System. Die Datei stammte von einem Windows 2000 SP4- System. Ich weiß allerdings nicht, unter welchen Umständen das Kopieren einer Windows 2000- Systemdatei auf ein XP- System legal ist.

 

Das ist unter keinen Umständen legal!

[paulx 10]

Wenn das tatsächlich unter keinen Umständen legal sein sollte, könnte man die Lizenzpolitik von MS glatt als äußerst dumm durchgehen lassen. Schließlich hat MS keinen Nachteil davon, wenn man auf seinem XP- System eine Windows 2000- Systemdatei verwendet. Also kann man diese Maßnahme klar in die Kategorie "Probleme schaffen, ohne irgendwelche Probleme zu lösen", einordnen.

Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.

[paulx 10]

Allerdings verstehe ich auch nicht ganz, was an der /savecred- Option so völlig sinnlos sein soll. Dass das nicht so gelungen ist, dass man die Passwörter nicht mit einer klar ersichtlichen Option wieder löschen kann und es Missbrauch ermöglicht, das ist klar. Aber völlig sinnlos ist es deshalb trotzdem nicht.

Ich habe z. B. ein Benutzerkonto erstellt, von dem man sagen kann, dass es sehr, sehr restriktiv konfiguriert ist. Damit surfe ich. Mehr geht damit auch nicht. Ich logge mich mit einem standardmäßig konfigurierten eingeschränkten Benutzerkonto ein und starte meinen Browser mit diesem sehr restriktiv konfigurierten Benutzerkonto. Und zwar mit einer runas /savecred- Verknüpfung. Gut, in diesem Benutzerkonto kann man dadurch Programme mit diesem restriktiv konfigurierten Benutzer starten, ohne das Passwort dieses Benutzers zu wissen. Aber das ist ja nicht so direkt schlimm, weil man dadurch die Rechte nicht erhöhen kann.

[Gadget 37]

Hi,

 

nochein kleiner Hinweis zur Verwendung von makemeadmin.cmd von Aaron...

 

wenn ihr mit Makemeadmin arbeitet solltet ihr unbedingt eine Änderung in der Lokalen Sicherheitsrichtlinie vornehmen:

Computerkonfiguration\Windows-Einstellungen\Sicherheitsoptionen\Systemobjekete: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden. 

=> Umstellen von Objektersteller auf Administratorengruppe

 

da sonst der LUA-Account zuviele Rechte bei Verwendung von Makemeadmin erhält was dem LUA-Prinzip ja widersprechen würde.

 

@paulx

Ich logge mich mit einem standardmäßig konfigurierten eingeschränkten Benutzerkonto ein und starte meinen Browser mit diesem sehr restriktiv konfigurierten Benutzerkonto. Und zwar mit einer runas /savecred- Verknüpfung.

 

wenn du dich schon mit einem eingeschränkten Benutzerkonto anmeldest brauchst du Runas nicht nutzen.

 

LG Gadget

[blub 115]

Hi,

Da ich nunmal an meiner Maschine als Admin arbeiten will, finde ich die schon weiter oben erwähnte Lösung mit "dropmyrights.exe" am besten. IE und Outlook starte ich darüber. Funktionelle Einbussen habe ich noch keine festegstellt, bzw. ich kann ja jederzeit die Programme direkt aufrufen.

 

cu

blub

[Wäscherei 11]

@kohn und naturlich an alle Beteiligten,

 

danke für den Threat. Ihr solltet mal überlegen, ob man nicht aus allen sinnvollen Howtos ein Buch schreibt. :jau:

[Gadget 37]

Hi,

 

heute ist auf Heise.de eine wichtiges Security Advisory herausgegeben worden, dass den Einsatz von Dropmyrights und Runas (Wenn Runas verwendet wird um Prozesse mit geringeren Rechten zu starten) in Frage stellt!

 

Windows: Flickschusterei bei Benutzerrechten

http://www.heise.de/security/news/meldung/63668

 

Deshalb empfehle ich weiterhin, wie anfangs bereits beschreiben, auf allen Workstations die Verwendung von Administratorkonten zu vermeiden.

 

Und auf Servern wo dies nicht möglich oder nicht gewünscht ist einen Automatischen Logoff nach einer bestimmten Zeit (2 Min.) z.B. mit Winexit.scr aus dem 2k3 Resource Kit zu konfigurieren. (Natürlich müssen dazu alle benötigen Applikationen als Dienst laufen)

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;314999&sd=tech

 

LG Gadget

[marka 584]

Wenn das tatsächlich unter keinen Umständen legal sein sollte, könnte man die Lizenzpolitik von MS glatt als äußerst dumm durchgehen lassen....

Das ist dann hier aber nicht die richtige Stelle, um darüber zu diskutieren.

 

Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.

 

Der Unterschied ist, dass die in Deinem Link veröffentlichte Datei auch als offizieller Download von MS direkt publiziert wurde. Anders herum tauschst Du eine Systemdatei von XP gegen eine von 2k. Du änderst also illegalerweise deinen Lieferumfang und machst so dein OS zu einem Windows X2K :suspect:

[Dr.Melzer 191]

Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre.

 

Langsam! Nur weil es die Datei im Internet zu Download gibt heisst das nicht dass es legal ist! Bei Kazaa und Co. bekommst du auch alles mögliche zum Download und über die "Legalität" der meisten Downloads brauchen wir wohl nicht zu diskutieren.

 

Lies mal das EULA deiner Windows 2000 Lizenz durch und du wirst mit an Sicherheit grenzender Wahrscheinlichkeit eine Passage finden in der steht dass es nicht erlaubt ist Teile der Lizenz getrennt von der Lizenz zu nutzen, was du allerdings machen würdest.