admin rechte komfortabel eingrenzen

  • hallo,

    gibt es ein tool oder addon welches wie bei ubuntu nach einem passwort fragt falls man downloads durchführt und
    diese dann installieren will.

    wäre auch ok wenn das tool auf der ganzen windows ebene arbeitet.

  • Download und installieren sind zwei paar Stiefel. Der erste hat min Admin-Rechten nichts zu tun.

    Zum installieren:
    Die Antwort lautet: In Windows bist du zunächst einmal Admin. Ein idiotischer Design-Fehler, der auch in Win 7 munter weiter existiert.

    Du mußt zunächst einmal ein Konto mit eingeschränkten Rechten erstellen. Als solcher hast du keine Möglichkeit, Programme systemweit zu installieren. Wobei das nicht der alleinige Effekt ist. In Multi-User-Systemen (wie Windows der NT-Reihe - dazu gehören alle aktuellen Windows-Versionen, Unix, Linux) gibt es die Rechte über Dateien und (bei Windows) systemweit gültige Registry-Schlüssel. Und ein Admin hat im allgemeinen alle Rechte - und demzufolge auch jede Software, die in diesem Konto läuft (einschließlich unbemerkt und unwillentlich laufender Schad-Software). Mit einem eingeschränkten Konto (fachchinesisch: LUA = limited user account) sind diese Rechte nicht da und das System kann nicht kompromittiert werden (ist effektiver als jegliche Schutzsoftware, kostet keinen Cent und null Ressourcen).

    Bis hierhin wird keine zusätzliche Software benötigt.

    Viele finden das Arbeiten mit einem eingeschränkten Benutzerkonto als zu unbequem, häufig ist das allerdings nichts als eine faule Ausrede. Aber es gibt natürlich Einschränkungen (sonst wäre der Nutz=Schutz-Effekt nicht möglich).

    Es gibt aber Software, mit der man diese Situation sehr gut in den Griff bekommen kann (ohne wieder Sicherheitslöcher zu reißen). Ich empfehle dir SuRun, ist kostenlos und Open Source (wie dein Browser).

  • Zitat von Cosmo

    In Multi-User-Systemen (...) gibt es die Rechte über Dateien und (bei Windows) systemweit gültige Registry-Schlüssel. Und ein Admin hat im allgemeinen alle Rechte... Mit einem eingeschränkten Konto (...) sind diese Rechte nicht da und das System kann nicht kompromittiert werden.


    Nun also ein Admin unter Windows kann nicht unbedingt alles. Schon mal versucht die Systempartition zu formatieren? Oder etwas einfacheres, ein Systemprozess ab zu schießen? Aber gut, dass gehört ja nun nicht zum Thema.

    Was ich anmerken wollte. Wenn die Systempartition (also meist c:) als FAT32 formatiert ist. Lohnt sich der Aufwand ein eingeschränktes Konto zu nutzen nicht. Da es unter FAT32 keine Zugriffseinschränkungen für Ordner/Dateien gibt. Daher ist das eingeschränkte Konto aus meiner Sicht nur in Verbindung mit NTFS unter Windows sinnvoll. Andernfalls kann doch jedes Programm machen was es will :(

    Zur Handhabung:
    Es gibt die Möglichkeit über das Kontextmenü (rechte Maustaste) auf ein Setup oder allgemeiner formuliert auf ein Programm/Verknüpfung zu einem Programm, dieses mittels "Ausführen als..." unter einem anderen Benutzer zu starten. Man wählt dann dort den Admin aus, tippt sein Passwort vom Admin ein und schon startet der Käse. Einige Installer mögen diese Methode allerdings gar nicht. Da kann es schon mal zu Problemen kommen - ist jedoch ehr die Ausnahme.

    Eine weitere Möglichkeit besteht darin, das Adminkonto auf der XP-Loginseite mit anzuzeigen. Das Arbeitskonto erhält nur Benutzerrechte. So weit so gut... Nun wenn was zu installieren ist, drückt man Windowstaste+L und ist auf der Loginseite (Alle Programme sind noch im Hintergrund geöffnet, es gehen also keine Daten verloren), hier auf der Seite das Adminkonto anklicken Passwort eintippen und schon ist man im Admin drin, kann schön installieren und wechselt anschließend über Windowstaste+L wieder zurück in sein eingeschränktes Konto. Sicherlich nicht so elegant, aber funktioniert und ohne zusätzliche Kosten oder Programmen denen man auch erstmal vertrauen muss.

  • Zitat von dark-freedom


    Nun also ein Admin unter Windows kann nicht unbedingt alles. Schon mal versucht die Systempartition zu formatieren? Oder etwas einfacheres, ein Systemprozess ab zu schießen? Aber gut, dass gehört ja nun nicht zum Thema.


    Wie wahr.

    Da du das schon so schön im Zusammenhang gequotet hast: Unübersehbar hatte ich von Benutzerrechten geschrieben und zum Beispiel die Unmöglichkeit, die Systempartition aus dem laufenden System zu partitionieren hat mit Benutzerrechten nichts zu tun. Das - und es gibt noch mehr - sind andere - aber sehr wohl logisch nachvollziehbare - Einschränkungen. Systemprozesse kann ein Admin dagegen über die Verwaltung sehr wohl beenden. Abschießen (damit ist wohl das Killen im Task Manager gemeint) ist niemals ein gute Idee.

    Zitat von dark-freedom

    Was ich anmerken wollte. Wenn die Systempartition (also meist c:) als FAT32 formatiert ist. Lohnt sich der Aufwand ein eingeschränktes Konto zu nutzen nicht. Da es unter FAT32 keine Zugriffseinschränkungen für Ordner/Dateien gibt. Daher ist das eingeschränkte Konto aus meiner Sicht nur in Verbindung mit NTFS unter Windows sinnvoll. Andernfalls kann doch jedes Programm machen was es will :(


    Anders herum: Sofern es keinen zwingenden Grund gibt, von anderen Betriebssystemen auf die System- (auch andere) Partition zugreifen zu müssen, ist es niemals eine gute Idee, FAT32 statt NTFS zu formatieren. Mit obigem hast du recht, nur der Ansatz für ein sicheres System sieht anders aus. Kommt hinzu, daß NTFS stabiler ist und spätestens, wenn Dateien mit mehr als 4 GB (im Multimediabereich gut möglich) gespeichert werden sollen, ist FAT32 am Ende.

    Zitat von dark-freedom

    Zur Handhabung:
    Es gibt die Möglichkeit über das Kontextmenü (rechte Maustaste) auf ein Setup oder allgemeiner formuliert auf ein Programm/Verknüpfung zu einem Programm, dieses mittels "Ausführen als..." unter einem anderen Benutzer zu starten. Man wählt dann dort den Admin aus, tippt sein Passwort vom Admin ein und schon startet der Käse. Einige Installer mögen diese Methode allerdings gar nicht. Da kann es schon mal zu Problemen kommen - ist jedoch ehr die Ausnahme.


    Richtig. Und da solche Probleme immer dann auftreten (Murphys Gesetz), wenn man sie am wenigsten erwartet und brauchen kann und Otto-Normal-User niemanden findet, der ihm weiterhilft, passiert es. Ich rate davon ab (auch wenn es bequemer weil schneller ist)

    Zitat von dark-freedom

    Eine weitere Möglichkeit besteht darin, das Adminkonto auf der XP-Loginseite mit anzuzeigen. Das Arbeitskonto erhält nur Benutzerrechte. So weit so gut... Nun wenn was zu installieren ist, drückt man Windowstaste+L und ist auf der Loginseite (Alle Programme sind noch im Hintergrund geöffnet, es gehen also keine Daten verloren), hier auf der Seite das Adminkonto anklicken Passwort eintippen und schon ist man im Admin drin, kann schön installieren und wechselt anschließend über Windowstaste+L wieder zurück in sein eingeschränktes Konto. Sicherlich nicht so elegant, aber funktioniert und ohne zusätzliche Kosten oder Programmen denen man auch erstmal vertrauen muss.


    Ein ganz schlechter Rat. Das vordefinierte Konto "Administrator" (und ich habe dich so verstanden, daß du das meinst), hat genau einen Zweck: Es ist eine Versicherung einzig für den Fall, daß das vom Benutzer erstellte Admin-Konto kaputt geht. In dem Fall wird es übrigens automatisch in der Willkommensseite eingeblendet und nach Erstellung eines neuen Benutzer-definierten Admin-Kontos ebenso automatisch wieder ausgeblendet. Sein einziger Zweck besteht darin, in einem solchen Fall ein neues Admin-Konto erstellen zu können. Sollte das letzte Admin-Konto kaputt gehen, gibt es an einer kompletten Neuinstallation keinen Weg vorbei (Ausnahme: Man hat ein aktuelles Image). Das benutzerdefinierte Admin-Konto braucht nicht eingeblendet zu werden, es ist dort ohne zutun sichtbar.

    Ist aber auch nicht ganz das Thema.Ich hatte dargestellt, daß das Konto, daß man zwingend nach der Installation (oder der ersten Inbetriebnahme eines frischen Systems) anlegen muß, ein Admin-Konto ist. Dieses anzulegen ist also keine zusätzliche Arbeit, weil es unvermeidlich ist. Erst danach kann ein LUA-Konto angelegt werden.

    Das Vorgehen über die schnelle Benutzerumschaltung Programme zu installieren, funktioniert natürlich auch damit. Aber auch das ist nicht ohne Restrisiko, wenn man nämlich übersieht, daß eine der Dateien im Gebrauch ist oder überraschenderweise (wenngleich heutzutage selten) dann doch ein Neustart erforderlich ist. Mein Rat: Administrative Aufgaben für das Ende des Tages aufschieben oder am nächsten Morgen als erstes erledigen.

  • hallo,

    ich habe jetz ein konto mit eingeschränkten rechten erstellt und surun vorher als admin installiert.

    allerdings muss ich z.b. den browser auf dem portableapps stick admin rechte zuteilen da eine meldung kommt
    dass die sicherheitsknoten oder irgendsowas nicht initialisiert werden konnten.

    weiterhin kann ich mit surun zwar auswählen, dass ich auf die systemsteuerung zugreifen kann..dann aber wiedrrum kann ich mit surun wohl nicht
    einfache dinge wie verknüpfungen auf dem desktop vernichten.

  • Den portablen FF verwend ich nicht, da müssen andere sagen, ob der administrative Rechte braucht. Ich glaube das aber nicht und mit "...knoten oder so was" kann man nicht viel anfangen.

    Verknüpfungen löscht man ja (auch als angemeldeter Admin) nicht in der Systemsteuerung.
    Du kannst aber den Explorer oder jeden anderen Dateimanager als SuRunner starten und damit zum Desktop gehen, dann kannst du die Symbole löschen (oder neue erstellen, was immer du willst).

  • das programm ist wirklich top..
    vielen dank für diesen hinweis,

    kleiner nachteil ist dass ich alle windows spezifischen einstellungen meines admin kontos wieder einstellen muss.
    wie thumbs nicht zwischenspeichern etc.

    ich kann mir zwar vorstellen, dass irgendein schädlinge diesen schutz wieder umgehen können
    um doch an die admin rechte zu kommen. aber für die grundabsicherung reicht es auf jedenfall.


    wenn firefox im zusammenhand mit portableapps ohne admin rechte starten will dann kommt dieser hinweis:

  • Zitat von Cosmo

    Da du das schon so schön im Zusammenhang gequotet hast: Unübersehbar hatte ich von Benutzerrechten geschrieben und zum Beispiel die Unmöglichkeit, die Systempartition aus dem laufenden System zu partitionieren hat mit Benutzerrechten nichts zu tun. Das - und es gibt noch mehr - sind andere - aber sehr wohl logisch nachvollziehbare - Einschränkungen. Systemprozesse kann ein Admin dagegen über die Verwaltung sehr wohl beenden. Abschießen (damit ist wohl das Killen im Task Manager gemeint) ist niemals ein gute Idee.


    Das man den sauberen Weg über die Verwaltung als Admin gehen kann und sollte - nach Möglichkeit -, ist mir wohl bekannt, aber es ging um den Kill eines Prozesses und das wird gerne verweigert. Im übrigen bezogen sich meine Zeilen auf folgenden Satz von dir: "Und ein Admin hat im allgemeinen alle Rechte." Was - aus meiner Sicht - nur die halbe Wahrheit ist.

    Zitat von Cosmo

    Anders herum: Sofern es keinen zwingenden Grund gibt, von anderen Betriebssystemen auf die System- (auch andere) Partition zugreifen zu müssen, ist es niemals eine gute Idee, FAT32 statt NTFS zu formatieren. Mit obigem hast du recht, nur der Ansatz für ein sicheres System sieht anders aus. Kommt hinzu, daß NTFS stabiler ist und spätestens, wenn Dateien mit mehr als 4 GB (im Multimediabereich gut möglich) gespeichert werden sollen, ist FAT32 am Ende.


    Ich fürchte nun habe ich einen Glaubenskrieg angefangen. Ich wollte nicht sagen das FAT32 toll ist, Verzeihung wenn dies so rüber gekommen sein sollte. Ich habe jedoch schon gesehen - das bei vorinstallierten Systemen gerne FAT32 genutzt wird (ja auch heute noch). Deswegen wollte ich darauf hinweisen, dass - sollte FAT32 zum Einsatz kommen - sich die Arbeit eines eingeschränkten Kontos nicht lohnt, da es keinen wirklich mehr Wert bringen würde. Die Nachteile wie Stabilität und die Größenbeschränkung der Dateien unter FAT32 habe ich nicht erwähnt, weil es nichts mit dem eigentlichen Thema zu tun hat.

    Zitat von Cosmo

    Richtig. Und da solche Probleme immer dann auftreten (Murphys Gesetz), wenn man sie am wenigsten erwartet und brauchen kann und Otto-Normal-User niemanden findet, der ihm weiterhilft, passiert es. Ich rate davon ab (auch wenn es bequemer weil schneller ist)


    Mhmm also ich habe bislang noch keinen Otto-Normal-User - also jemand der sich auch so gar nicht für Computer interessiert und bis auf die alltäglichen Handgriffe gar keine Ahnung davon hat - gesehen, der sein Admin-Konto gegen ein eingeschränktes Konto tauschen will, um mehr Sicherheit zu haben. Lieber wird eine andere Suite installiert als vorher. Der Vorschlag es über "Ausführen als..." zu lösen, würde dem Wunsch "...nach einem passwort fragt..." am ehesten entsprechen (von den Standardmitteln gesehen).

    Zitat von Cosmo

    Ein ganz schlechter Rat. Das vordefinierte Konto "Administrator" (und ich habe dich so verstanden, daß du das meinst), hat genau einen Zweck: Es ist eine Versicherung einzig für den Fall, daß das vom Benutzer erstellte Admin-Konto kaputt geht. ... Das benutzerdefinierte Admin-Konto braucht nicht eingeblendet zu werden, es ist dort ohne zutun sichtbar.


    Gut hier habe ich mich ungeschickt ausgedrückt. Ich sollte doch immer alles tippen was ich so vor dem geistigen Auge habe. Nein ich meinte ein extra Konto bzw. das erste angelegte Konto. Mir ist klar, dass es i.d.R. ohne zutun sichtbar werden sollte. Ich hatte aber auch schon andere Fälle. Und da es ohne Sichtbarkeit nur schwerlich geht, wollte ich darauf hinweisen, es sichtbar zu machen. Ich werde mich bemühen immer alles ausführlich zu tippen. (Fange glaube im nächsten Beitrag mit an.)

    Zitat von Cosmo

    Ist aber auch nicht ganz das Thema.


    Nicht? Es wurde doch nach Möglichkeiten gefragt....

    Zitat von Cosmo

    Ich hatte dargestellt, daß das Konto, daß man zwingend nach der Installation (oder der ersten Inbetriebnahme eines frischen Systems) anlegen muß, ein Admin-Konto ist. Dieses anzulegen ist also keine zusätzliche Arbeit, weil es unvermeidlich ist. Erst danach kann ein LUA-Konto angelegt werden.


    Dem habe ich auch nicht widersprochen, auch wenn es evtl. so rüber kam. Wie oben schon gesagt, war keine Absicht es so unverständlich zu beschreiben.

    Zitat von Cosmo

    Das Vorgehen über die schnelle Benutzerumschaltung Programme zu installieren, funktioniert natürlich auch damit. Aber auch das ist nicht ohne Restrisiko, wenn man nämlich übersieht, daß eine der Dateien im Gebrauch ist oder überraschenderweise (wenngleich heutzutage selten) dann doch ein Neustart erforderlich ist. Mein Rat: Administrative Aufgaben für das Ende des Tages aufschieben oder am nächsten Morgen als erstes erledigen.


    Ein Restrisiko besteht immer und auch bei jeder angewendeten Methode. Dateien können immer irgendwie im Gebrauch sein, dafür gibt es auch den dezenten Hinweis über die noch in Verwendung befindliche Datei. Gerade dies kann wie gesagt immer passieren, unabhängig wie man es lösen bzw. handhaben mag. Was die Sache mit dem Neustart angeht, so kenne ich spontan nur eine "Anwendung" die ohne Rücksicht auf Verluste einen vom Benutzer nicht ausdrücklich abgesegneten Neustart durchführt und das ist das Windowsupdate (wie war das, 2min Zähler?). Alle anderen Anwendungen - die ich so in den letzten Jahren gesehen habe - fragen sehr deutlich nach, so dass man seine Daten und Programme etc.pp. in seinem eingeschränkten Konto noch zuvor speichern bzw. beenden könnte, bevor man dem Neustart zustimmt.

    Der Rat Aufgaben für den Admin auf Anfang oder Ende des Tages zu schieben ist sicherlich für den Arbeitsfluss besser. Jedoch war dies nicht Thema ;) Es ging darum, wie man eine Datei, die man eben heruntergeladen hat am einfachsten als Admin ausführen kann, wenn man ein eingeschränktes Konto benutzt. So gesehen, war dein Vorschlag mit SuRun - aus meiner Sicht - sinniger.

  • nochmal eine wichtige frage in bezug auf surun.

    ich habe jetzt am anderen pc die vorgeschlagene lösung zum komfortablen administrieren in einem eingeschränkten konto
    durchgeführt.

    nun musste ich feststellen, dass im eingeschränkten modus etliche anwendung keine daten vorweisen können.

    z.b. picasa oder der lokal installierte thunderbird client..

    da wurde wohl bei der installation als admin angegeben, dass nur der admin das programm verwalten darf.

    kann ich irgendwo noch einstellen, dass die daten des admin kontos auf das eingeschränkte übertragen werden?

  • Hallo Kontrollstelle,

    zu deinen Problemen und Fragen:

    zunächst einmal zu dem Screenshot wg. FF (damit wird die Sache schon klar).
    Ich vermute mal, daß du nach dem Anlegen des neuen Kontos die Benutzerdaten (FF-Profil, Eigene Dateien usw.) in das neue Konto verschoben hast. Und genau da liegt der Knackpunkt. Und wir sind schon wieder bei den Benutzerrechten.

    Kleiner Exkurs, der dir hoffentlich das Verständnis erleichtert. Zu den Dateien im eigenen Benutzerkonto hat der Benutzer uneingeschränkte Rechte. Aber, wenn man Dateien aus Konten verschiebt - egal wohin, also in deinem Fall vom alten Adminkonto in das neue Benutzerkonto -, so werden die Rechte der Dateien beibehalten. Das heißt in diesem Fall, nur der Admin hat irgendwelche Rechte darauf und andere (dein neues Benutzerkonto) nicht. Kopiert man Dateien statt dessen, so werden die Rechte neu vergeben, und im Benutzerkonto hat dann der Benutzer die vollen Rechte.

    Gehe jetzt folgendermaßen vor (das betrifft dein FF-Profil, aber auch andere Anwendungen): Starte den Explorer als SuRunner (Kontextbefehl: Starte als Administrator), verschiebe die Dateien an einen temporären Ort, zu dem du als normaler Benutzer Leserecht hast (das ist fast über all so nur nicht in anderen Konten). Jetzt kopierst du die Dateien als normaler Benutzer wieder an den richtigen Ort. Anschließend noch einmal Explorer als SuRunner, um die temporär verschobenen Dateien zu löschen.

    Zu dem Problem in deinem letzten Beitrag: Ja, deine Vermutung trifft sicherlich in vielen Fällen zu, aber es gibt auch etliche dumme Installationsprogramme (von etlichen dummen Programmieren geschrieben) die auch ungefragt die Einträge im Startmenü des installierenden Admins speichern. Der richtige Ort ist das Startmenü von All Users (nicht des betreffenden Benutzers). Aus den gleichen Gründen wie vorgenannt kopierst du die dort fehlenden Startmenüeinträge vom Adminkonto zu All Users, anschließend kannst du sie im Adminkonto löschen (ist aber nur eine Frage der Übersichtlichkeit).

    Ich hoffe, ich konnte es verständlich rüberbringen.

  • Zitat von Cosmo

    Viele finden das Arbeiten mit einem eingeschränkten Benutzerkonto als zu unbequem, häufig ist das allerdings nichts als eine faule Ausrede. Aber es gibt natürlich Einschränkungen (sonst wäre der Nutz=Schutz-Effekt nicht möglich).


    Bequemlichkeit geht mit Faulheit oft Hand in Hand.
    Und am Rechner möchte ich mit den Dingen arbeiten, um die es bei der Arbeit geht, nicht arbeiten möchte ich am Rechner selbst, da soll alles möglichst schön bequem gehen! Deswegen nutze ich schon ewig keine Schreibmaschine mehr, obwohl das Sicherheitskonzept bezüglich Malware dort noch besser als bei Linux ist!
    Deshalb nervt mich aktuell der eingeschränkte Nutzer unter Linux wieder enorm.

    Windows 7 hat das imho ganz gut gelöst mit der skalierbaren UAC!
    Wobei ich die auch nicht unbedingt bräuchte. Hier nervt sie aber wenigstens nicht!

  • hallo,, danke nochmal für den hinweis mit surun..

    ich hätte wirklich nicht gedacht, dass die open source soviel anbietet..

    habe weiterhin von dreamweaver auf kompozer portable umgestellt.

    bin sehr zufrieden und werde auch in kürze ubuntu eee auf meinem neuen usb stick installieren..

    leider hat surun anscheinend einen bug.

    wenn ich mit admin rechte im explorer navigiere dann kann ich zwar admin operationen als eingeschränkter user durchführen
    doch leider werden die aktionen nicht zeitnah aktualisiert.

    wenn ich daher etwas lösche oder umbenenne dann muss ich erst f5 drücken.

    vielleicht wird das ja repariert...

  • Das Problem mit dem Aktualisieren ist bekannt, aber es ist kein SuRun-Bug, deshalb wird es auch kein SuRun-Fix geben.

    Das Problem ist, daß in dieser Konfiguration der eine WE (Windows Explorer) Prozess nicht mitbekommt, was der andere gemacht hat. Es gibt andere Dateimanager, die das besser machen als WE.