xyz 10 Geschrieben 28. Juli 2005 Melden Teilen Geschrieben 28. Juli 2005 Wieso kann man nicht einfach das Gastkonto vorübergehend mit Administaratorrechten ausstatten und nach getaner Arbeit ( Installation) wieder aufheben? Und dann weiter arbeiten mit eingeschränkten Rechten? Ich finde die Möglichkeit mit runas zu arbeiten viel zu umständlich. An eurem thread habe ich bemerkt das ich höchstens Grundkenntnisse im Computerbereich habe. Vielleicht ist meine Äußerung auch zu unqualifiziert und ich bitte dies hiermit zu entschuldigen. Klärt mich mal auf was ihr von meinem Vorschlag haltet? Quasi einen Button zu haben mit dem ich Rechte wahlweise zu- und abschalten kann. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 28. Juli 2005 Autor Melden Teilen Geschrieben 28. Juli 2005 Hi xyz, Vielleicht ist meine Äußerung auch zu unqualifiziert und ich bitte dies hiermit zu entschuldigen. Klärt mich mal auf was ihr von meinem Vorschlag haltet? Quasi einen Button zu haben mit dem ich Rechte wahlweise zu- und abschalten kann. es ist noch kein Meister vom Himmel gefallen... also schon ok ;) Ich schließe mal aus deinen Aussagen, dass du von einem Solo-PC sprichst der nicht ans Netzwerk angebunden ist. Falls dies so ist würde ich bei einem Windows XP Computer, der nicht an ein Netzwerk angebunden ist folgende Konfiguration empfehlen: Diese Konfiguration ist aber nur empfehlenswert wenn allen Personen die physikalisch, Zugriff auf den Rechner erhalten können vertraut werden kann. Vorbereitung: 1. Standardinstallation "Schnelle Benutzerumschaltung - aktiviert lassen bzw. aktivieren" 2. Erstellung eines Administratorbenutzerkonto´s (z.B. Admin) ohne Passwort Erläuterung wieso ohne Kennwort...und das soll sicher sein.... wartet zuerst mal ab bevor ihr mich für Verrückt erklärt ;) => Standardmäßig kann ein Account ohne Kennwort nur dazu genutzt werden sich auf der Konsole (also direkt am PC) einzuloggen. Er kann nicht übers Netzwerk oder per Runas genutzt werden. Der Benutzer muss nur auf sein Icon beim Anmeldebildschirm klicken was die Sache auch für Anfänger sehr vereinfacht. 3. Erstellung eingeschränkter Benutzerkonten für jeden der den Computer nutzen soll. 4. Ggf. Aktivierung des Gastaccounts für Besuch der den PC nur mal schnell als Surfstation gebrauchen soll. Z.B. abrufen der E-Mails. Nutzung: Nun hat man auf seinem Computer, Benutzerkonten für die ganze Familie erstellt. Meldet sich per einfachen Klick mit seinem Account an und möchte ein Computerspiel installieren. Also switcht man den Benutzer (nicht abmelden) sondern nur Windows-Taste + L und auf den Admin Account klicken. - Spiel installieren. - evtl. ein erstesmal starten (kann sein, dass beim ersten Start noch abschließende Installationsschritte vorgenommen werden und dazu noch erhöhte Berechtigungen notwendig sind) - Mit Adminaccount abmelden und am Anmeldebildschirm wieder auf den eigenen Benutzer klicken. - Spiel starten ;) Quellen zum Thema: Aaron Margosis' Weblog: The easiest way to run as non-admin http://blogs.msdn.com/aaron_margosis/archive/2004/06/17/158806.aspx Beschreibung der schnellen Benutzerumschaltung: http://support.microsoft.com/default.aspx?kbid=279765 Behebung von Programmkompatibilitätsproblemen in Windows XP http://support.microsoft.com/default.aspx?kbid=285909 BTW: Falls ich´s zu kompliziert erklärt habe bitte sagen... dann versuch ichs nochmal anders zu formulieren. Aaron Margosis empfiehlt diese Konfiguration auch bei Installation eines Rechners für Freunde oder Verwandte die sich nicht besonders mit dem Computer auskennen! LG Gadget "To be continued" Zitieren Link zu diesem Kommentar
xyz 10 Geschrieben 28. Juli 2005 Melden Teilen Geschrieben 28. Juli 2005 Wenn ich auf ein Adminkonto ein Spiel installiert habe kann ich nicht auf dem Gastkonto darauf zugreifen. Ich kenn mich auch nicht genügend aus, z. Bsp. weiß ich nicht Mal ob man 2 Admin-kontos erstellen kann und wie die geschützt sind.Das Problem sind doch die Schädlinge aus dem Netz oder? Ich kann doch den Rechner für ein Verändern eines Gastkontos vom Netz nehmen und Installationen tätigen, vorausgesetzt Microsoft erfindet so eine Möglichkeit(Button) der Kontenverwaltung wie ich Sie angedeutet habe. Nach der Installation häng ich die Rechenknechte wieder ans Netz. Na gut wenn das so einfach wäre dann wären die Leute von Microsoft ja selber draufgekommen denk ich mir mal. Da stecken bestimmt ganz andere Probleme noch zusätzlich dahinter. :cool: :cool: :cool: :cool: :cool: Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 28. Juli 2005 Melden Teilen Geschrieben 28. Juli 2005 Hi, Das System, das Kohn beschrieben hat ist genau das was du willst! Allerdings musst du zwei mal klicken! Das Thema ist also schon erfunden :-). Da dieser Beitrag hier jedoch mehr auf Server Administration ausgelegt ist würde ich dich bitten deine Fragen in einen extra Thread zu packen. Sonst ist das etwas verwirend. Danke Gruß Zitieren Link zu diesem Kommentar
paulx 10 Geschrieben 12. August 2005 Melden Teilen Geschrieben 12. August 2005 BTW: Falls jemand eine Möglichkeit findet den Parameter /savecred zu unterbinden so, dass runas aber noch läuft. Der würde mir echt ne Freude machen! Die runas.exe von Windows XP durch die von Windows 2000 ersetzen. Das funktionierte bei meinem Windows XP Pro SP2- System. Die Datei stammte von einem Windows 2000 SP4- System. Ich weiß allerdings nicht, unter welchen Umständen das Kopieren einer Windows 2000- Systemdatei auf ein XP- System legal ist. Zitieren Link zu diesem Kommentar
Lian 2.441 Geschrieben 13. August 2005 Melden Teilen Geschrieben 13. August 2005 Danke für Deine Mühe, Kohn Der Tipp passt von der Thematik gut dazu: http://www.mcseboard.de/showthread.php?t=39276 Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. August 2005 Melden Teilen Geschrieben 13. August 2005 Die runas.exe von Windows XP durch die von Windows 2000 ersetzen. Das funktionierte bei meinem Windows XP Pro SP2- System. Die Datei stammte von einem Windows 2000 SP4- System. Ich weiß allerdings nicht, unter welchen Umständen das Kopieren einer Windows 2000- Systemdatei auf ein XP- System legal ist. Das ist unter keinen Umständen legal! Zitieren Link zu diesem Kommentar
paulx 10 Geschrieben 14. August 2005 Melden Teilen Geschrieben 14. August 2005 Wenn das tatsächlich unter keinen Umständen legal sein sollte, könnte man die Lizenzpolitik von MS glatt als äußerst dumm durchgehen lassen. Schließlich hat MS keinen Nachteil davon, wenn man auf seinem XP- System eine Windows 2000- Systemdatei verwendet. Also kann man diese Maßnahme klar in die Kategorie "Probleme schaffen, ohne irgendwelche Probleme zu lösen", einordnen. Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre. Zitieren Link zu diesem Kommentar
paulx 10 Geschrieben 18. August 2005 Melden Teilen Geschrieben 18. August 2005 Allerdings verstehe ich auch nicht ganz, was an der /savecred- Option so völlig sinnlos sein soll. Dass das nicht so gelungen ist, dass man die Passwörter nicht mit einer klar ersichtlichen Option wieder löschen kann und es Missbrauch ermöglicht, das ist klar. Aber völlig sinnlos ist es deshalb trotzdem nicht. Ich habe z. B. ein Benutzerkonto erstellt, von dem man sagen kann, dass es sehr, sehr restriktiv konfiguriert ist. Damit surfe ich. Mehr geht damit auch nicht. Ich logge mich mit einem standardmäßig konfigurierten eingeschränkten Benutzerkonto ein und starte meinen Browser mit diesem sehr restriktiv konfigurierten Benutzerkonto. Und zwar mit einer runas /savecred- Verknüpfung. Gut, in diesem Benutzerkonto kann man dadurch Programme mit diesem restriktiv konfigurierten Benutzer starten, ohne das Passwort dieses Benutzers zu wissen. Aber das ist ja nicht so direkt schlimm, weil man dadurch die Rechte nicht erhöhen kann. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 29. August 2005 Autor Melden Teilen Geschrieben 29. August 2005 Hi, nochein kleiner Hinweis zur Verwendung von makemeadmin.cmd von Aaron... wenn ihr mit Makemeadmin arbeitet solltet ihr unbedingt eine Änderung in der Lokalen Sicherheitsrichtlinie vornehmen: Computerkonfiguration\Windows-Einstellungen\Sicherheitsoptionen\Systemobjekete: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden. => Umstellen von Objektersteller auf Administratorengruppe da sonst der LUA-Account zuviele Rechte bei Verwendung von Makemeadmin erhält was dem LUA-Prinzip ja widersprechen würde. @paulx Ich logge mich mit einem standardmäßig konfigurierten eingeschränkten Benutzerkonto ein und starte meinen Browser mit diesem sehr restriktiv konfigurierten Benutzerkonto. Und zwar mit einer runas /savecred- Verknüpfung. wenn du dich schon mit einem eingeschränkten Benutzerkonto anmeldest brauchst du Runas nicht nutzen. LG Gadget Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 Hi, Da ich nunmal an meiner Maschine als Admin arbeiten will, finde ich die schon weiter oben erwähnte Lösung mit "dropmyrights.exe" am besten. IE und Outlook starte ich darüber. Funktionelle Einbussen habe ich noch keine festegstellt, bzw. ich kann ja jederzeit die Programme direkt aufrufen. cu blub Zitieren Link zu diesem Kommentar
Wäscherei 11 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 @kohn und naturlich an alle Beteiligten, danke für den Threat. Ihr solltet mal überlegen, ob man nicht aus allen sinnvollen Howtos ein Buch schreibt. :jau: Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 8. September 2005 Autor Melden Teilen Geschrieben 8. September 2005 Hi, heute ist auf Heise.de eine wichtiges Security Advisory herausgegeben worden, dass den Einsatz von Dropmyrights und Runas (Wenn Runas verwendet wird um Prozesse mit geringeren Rechten zu starten) in Frage stellt! Windows: Flickschusterei bei Benutzerrechten http://www.heise.de/security/news/meldung/63668 Deshalb empfehle ich weiterhin, wie anfangs bereits beschreiben, auf allen Workstations die Verwendung von Administratorkonten zu vermeiden. Und auf Servern wo dies nicht möglich oder nicht gewünscht ist einen Automatischen Logoff nach einer bestimmten Zeit (2 Min.) z.B. mit Winexit.scr aus dem 2k3 Resource Kit zu konfigurieren. (Natürlich müssen dazu alle benötigen Applikationen als Dienst laufen) http://support.microsoft.com/default.aspx?scid=kb;en-us;314999&sd=tech LG Gadget Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 9. September 2005 Melden Teilen Geschrieben 9. September 2005 Wenn das tatsächlich unter keinen Umständen legal sein sollte, könnte man die Lizenzpolitik von MS glatt als äußerst dumm durchgehen lassen.... Das ist dann hier aber nicht die richtige Stelle, um darüber zu diskutieren. Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre. Der Unterschied ist, dass die in Deinem Link veröffentlichte Datei auch als offizieller Download von MS direkt publiziert wurde. Anders herum tauschst Du eine Systemdatei von XP gegen eine von 2k. Du änderst also illegalerweise deinen Lieferumfang und machst so dein OS zu einem Windows X2K :suspect: Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 11. September 2005 Melden Teilen Geschrieben 11. September 2005 Ich glaube allerdings nicht, dass das illegal ist. Man kann völlig legal etwa die msconfig.exe aus XP über das Internet für Win 2000- User verbreiten, wie man unter http://download.winhelpline.info/dlm_download.php?id=329 sieht. Ich würde kaum annehmen, dass die Sache umgekehrt illegal wäre. Langsam! Nur weil es die Datei im Internet zu Download gibt heisst das nicht dass es legal ist! Bei Kazaa und Co. bekommst du auch alles mögliche zum Download und über die "Legalität" der meisten Downloads brauchen wir wohl nicht zu diskutieren. Lies mal das EULA deiner Windows 2000 Lizenz durch und du wirst mit an Sicherheit grenzender Wahrscheinlichkeit eine Passage finden in der steht dass es nicht erlaubt ist Teile der Lizenz getrennt von der Lizenz zu nutzen, was du allerdings machen würdest. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.