Eingeschränkte Berechtigung als Standart User

  • Hallo Com,

    ich abe derzeit ein Problem mit einigen Anwendungen wenn ich FF als Standart User ( keine AdminRechte )auf dem System starte.

    Kleines Beispiel:

    http://www.wieistmeineip.de

    dort kann ich als User in den PulldownMenüs keinen Anwender oder Tarif auswählen weil mir erst gar nicht das Menü angegegben wird.

    oder

    http://www.ebay.de


    dort kann ich wenn ich den Browser als User starte kein Gebot unter " Beobachten " stellen . Der Button dafür wird mir zwar angezeigt aber sobald ich ihn betätige passiert nichts bzw. wird keine Änderung vorgenommen.

    Starte ich den Browser über " Run As " als Admin kann ich auf beiden genannten Seiten alles verwenden und es funktioniert auch so wie es sein soll.

    Da der Standart User aber keine großartigen Brechtigungen am System haben soll, möcht ich auch nicht das er den Browser ständig im ADMIN Mod starten muss damit er online keine starken Einschränkungen hat.

    Gibt es da eine Möglichekite dem Browser so einzustellen das auch eine Stadart User die genannten Probleme umgehen kann ?

  • Sofern ich dein Problem richtig verstanden habe, ist das kein Problem der eingeschränkten Rechte.

    Mit den PulldownMenüs bei wieistmeineip meinst du vermutlich die Auswahl von Provider und Geschwindigkeit beim Speedtest? Um die zu ermöglichen, muß im Browser Javascript erlaubt sein. Deine Beschreibung läßt darauf schließen, daß im Admin-Konto (dessen Benutzer-Kontext du mit "RunAs" aufrufst), das sein eigenes FF-Profil verwendet, Javascript erlaubt ist, im Benutzerkonto beziehungsweise dessen FF-Profil dagegen nicht. Stelle das um - sicherer ist es, mit NoScript das Zulassen von Javascript selektiv vorzunehmen - und es wird funktionieren, wie hier (im eingeschränkten XP-Benutzerkonto) für dich getestet.

  • @ Cosmo,

    danke für deinen Rat.

    Kopmischwerweise funktioniert es jetzt als Standart User auch. Die von dir genannten Einstelleungen waren aber bereits gesetzt und ich habe somit nichts um konfiguriert.
    Ich habe eben einmal nach gesehen. Da der FF ja nur einmal unter dem Stadart User Account installiert wurde , wusste ich nicht das der Admin Account ein vollkommen eigenes Profil verwendet als der "Ersteller " also der Stadart User.

    Ich bin aber erstmal froh,das ich den FF im Standart User Profil nicht mehr über Run As als Admin ausführen muss *G*

    .... aber mal nebenbei ... wenn ich den Browser im ADMIN Mod starte, hat FF doch aber nur Schreibrechte in \Programme\Mozilla Firefox und in \Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla oder hat er noch irgendwo in diesem Fall Schreibrechte ?

    gruss Nemisis

  • Deine Antwort wirft mehr Fragen zwischen den Zeilen auf, als daß ich hier eine einfache Antwort auf die letzte Frage geben könnte.

    Nämlich: Windows-Version, deutsch / englisch (damit die benutzten Begriffe klar werden)?

    Und: wenn Dinge plötzlich funktionieren (oder in anderen Fällen nicht funktionieren), bei den der Benutzer keine Änderung gemacht zu haben glaubt, so gehen bei mir die Alarmglocken an und ich frage mich, was da passiert ist (oder welche dem Benutzer unbekannten Zusammenhänge wirksam geworden sind).

    Grundsätzlich: Programme sollen im Admin-Konto installiert werden; das hat nichts damit zu tun, wer das Programm benutzen kann und auch nichts damit, daß für jedes Windows-Konto ein eigenes Profil angelegt wird (automatisch).

    Um aber dennoch die letzte Frage ansatzweise zu beantworten: Wenn irgend ein Programm als Admin gestartet wird, so hat dieses Programm Admin-Rechte im gesamten System. Startet man aus diesem Programm weitere Programme (das schließt das Starten eines Programms aus den Dialogen Öffnen / Speichern unter ein) so haben auch diese Programme administrative Rechte ohne jede Einschränkung; das ergibt sich aus der (nicht änderbaren) Vererbung von Rechten zwischen Prozessen und ist der Grund, warum man mit einem eingeschränkten Konto arbeiten soll (weil nur so die Shell (die Benutzeroberfäche mit Desktop, Startmenü und allem was dazu gehört) eingeschränkt sind und folglich alle daraus gestarteten Programme.) Somit dürfte (soweit ich dein Szenario richtig verstanden habe) die Antwort auf die letzte Frage lauten: FF hat uneingeschränkte Rechte im gesamten System (und somit auch jede Schad-Software, die über den Browser in das System gelangt und in der Lage ist, sich zu starten - ERGÄNZUNG: auch wenn der Browser zwischenzeitlich geschlossen worden ist und bei entsprechender Programmierung auch nach einem Neustart des Systems).

  • @ Cosmo,

    nein nein ^^ Alarmglocken müssen nicht schellen ^^

    das System ist ganz neu aufgesetzt und hat SP3+alle Service Packs erhalten. Offline Wurde Kaspersky Internet Security10 installiert und dann updatet.
    Das System ist ebenfalls hinter einem Router der sauber konfiguriert ist .

    Ach ja, was für ein System .. ... XP Professional /deutsch

    was die Install Methode betrifft,so habe ich dies meist aus dem "Standart User " mit Run As gestartet ( außer die Patches und SP's !! )

    Oder doch lieber direkt aus den Admin Konto ?

    Allerdings werden einige Programme nicht in jedes Userprofil installiert. Entweder man kann sie " nur für sich " oder " für alle User " installieren.
    Da ich nur mit dem Standart User arbeite, war meine Intention daher sie auch auf diesem User unter RUN AS zu installieren.

    Jetzt weiß ich aber wenigstens, das FF wenn er als Admin gestartet wurde Schreibrechte am ganzen System hat.
    Also kann ich davon ausgehen das FF als Standart User nur in seinem eigenen Ordner wie zuvor genannt L/S hat ?

  • Nemisis fragte Folgendes?

    Zitat

    [...]Also kann ich davon ausgehen das FF als Standard-User nur in seinem eigenen Ordner wie zuvor genannt L/S hat?

    Richtig - sofern Du unter XP „Objektschutz“ (also Zugriffsschutz auf Dateien/Ordner) betreibst, muss auch der FF diesen Systemvorgaben folgen. Der sog. „XP-Standard-User“ (Benutzer) ist jedoch - bezüglich der Ausgestaltung seiner einzelnen Rechte - über die Gruppenrichtlinien individuell definierbar. Das Betriebssystem würde dann zur eindeutigen Konten-Identifikation sog. „Deskriptoren“, sowie auch „Identifikatoren“ verwenden.

    Du bist somit nicht an die vordefinierten XP-Konten-Vorgaben selber gebunden, sondern kannst dem „Hauptbenutzer/Benutzer“ über eine Zugriffskontrolle (ACL) gesonderte Privelegien zuweisen.


    Oliver

  • Zitat von gkam

    Sorry, Leuts,

    Die Threadüberschrift kann nur der TO oder ein Mod ändern. Schreib ihm doch ne PN, wenns dich so doll nervt.
    BTW: In deinem Post hättest du es im Betreff selber ändern können :roll:

  • Die Rechtschreibung ist nicht das wirkliche Problem, weil sie dem Verständnis nichts nimmt.

    Viel entscheidender ist, daß es in XP keine offizielle Bezeichnung "Standart User" gibt, sondern die heißen (eingeschränkte) Benutzer. Deswegen hatte ich auch nach Windows-Version und Sprachversion gefragt, denn solche eigenen Wortschöpfungen sind anderenfalls schnelle die Ursache für völlige Mißverständnisse.

    Zur Frage RunAs oder lieber doch im Admin-Konto anmelden:
    Theoretisch sollte RunAs ebenso gut funktionieren (Windows Update nicht, weil Windows das sogenannte Token des angemeldeten Benutzers prüft), praktisch gibt es dabei immer wieder mal - aber nicht vorhersehbar - Probleme, deswegen verwende ich RunAs nicht zum Installieren; zum Ausführen anderer Aufgaben eignet es sich dagegen sehr gut. Da kein Update so zeitkritisch ist, daß es auf Stunden ankommt verschiebe ich alle administrativen Aufgaben auf das Ende der PC-Sitzung und melde mich beim Adminkonto an (oder mache es am nächsten Morgen).

    Zu dem "einige Programme nicht in jedes Userprofil installiert": Hier liegt ein Mißverständnis vor. Programme werden im System installiert und sind (abgesehen von wenigen Programmen, die grundsätzlich administrative Rechte benötigen) für alle Benutzer ausführbar. Das Problem, aus dem wohl das genannte Mißverständnis folgt, besteht darin, daß einige Programmierer die Unart haben, die Einträge für das Startmenü nicht unter All Users zu installieren, sondern im Startmenü des installierenden Benutzers (das ist übrigens auch bei der RunAs-Methode der Admin, nicht der angemeldete Benutzer); wiederum andere Programme stellen die Frage, wo man die Startmenüeinträge denn nun haben möchte. Aber - dabei geht es tatsächlich nur um die Verknüpfungen, nicht um die Funktionalität des Programms an und für sich.

    Wenn man auf ein solches Problem trifft, ist die Lösung diese: Kopiere(!) die Startmenüeinträge vom betreffenden Konten-Startmenü in das All Users-Startmenü, anschließend können die Einträge im Konten-Startmenü gelöscht werden. Nicht verschieben, weil dadurch durch das Rechtesystem von NTFS neue Probleme entstehen und die Einträge für die Benutzer weiterhin nicht verfügbar oder verwendbar sind!

    Zur letzten Frage: Leserecht (falls das mit L / S gemeint war) hat der Fuchs überall da, wo es der Benutzer hat (also praktisch überall außer in fremden Konten), Schreibrecht hat er da, wo der Benutzer, der ihn gerade ausführt, Schreibrecht hat, beim eingeschränkten Benutzer also im eigenen Profil. (Ach, und vergiß den "Hauptbenutzer", das ist ein Typ, der aus Kompatibilitätsgründen zum alten NT4 geschaffen worden ist und davon abgesehen keine Daseinsberechtigung hat. Ein Hauptbenutzer hat soviel Rechte, daß er das System ebenso effektiv kompromittieren kann wie ein Admin und aus gutem Grund rät MS davon ab, ihn zu verwenden.)

  • Cosmo stellte Folgendes dar:

    Zitat

    [...]Das Problem, aus dem wohl das genannte Mißverständnis folgt, besteht darin, daß einige Programmierer die Unart haben, die Einträge für das Startmenü nicht unter All Users zu installieren[...]

    Unsinn. Installations-Ordner sind auf einem System nur genau dann frei wählbar, sofern so einem Subjekt (also der entsprechende Benutzer / Hauptbenutzer) im Vorfeld bereits die Rechte für so eine (temporäre) Installation von Objekten (Programmen / Anwendungen) eingeräumt wurden. Solche Rechte werden i.d.R. bereits im Vorfeld definiert. Die spätere Zugriffsregelung auf solche Programme / Anwendungen würde dann über eine separate Zugriffsliste (ACL) erfolgen. Programmierer haben mit Deinem genannten Installations-Verfahren nichts zu tun.


    Cosmo erklärte darüberhinaus Folgendes:

    Zitat

    [...](Ach, und vergiß den "Hauptbenutzer", das ist ein Typ, der aus Kompatibilitätsgründen zum alten NT4 geschaffen worden ist und davon abgesehen keine Daseinsberechtigung hat. Ein Hauptbenutzer hat soviel Rechte, daß er das System ebenso effektiv kompromittieren kann wie ein Admin[...]

    Auch das ist falsch. Ein Hauptbenutzer unter XP kann - nach meinem bisherigen Wissen - nur solche Anwendungen installieren, die keine Veränderungen an den Betriebssystemdateien selber vornehmen. Obendrein kann so ein HB - im Gegensatz zum Admin – auch keine System-Updates einspeisen und u.A. auch nicht auf Prozess-Prioritäten des Systems selber einwirken. Es gilt daher immer noch: (XP) Admin > Hauptbenutzer.


    Oliver

  • Bevor du "Unsinn" schrei(b)st, solltest du erst einmal richtig lesen, insbesondere den Text, den zu zitierst. Dort steht unmißverständlich "Einträge für das Startmenü"; was das mit dem "Installations-Ordner" zu tun haben soll, darfst du erst einmal erklären, bis dahin bleibt der Rest im diffusen Nebel.

    Zum zweiten Teil: In dem Zitat ist nichts falsch. Deine Beschreibung soweit zutreffend (rührt daher, daß Benutzer unter NT4 gegenüber dem gleichnamigen Kontentyp gegenüber W2K wesentlich höhere Rechte hatten, ähnlich dem Hauptbenutzer heute), ändert kein Jota daran, daß der Hauptbenutzer ausreichende Rechte hat, um das System zu kompromittieren und MS davon ab rät, den Hauptbenutzer zu verwenden. Das liest sich dann zum Beispiel so (bewußt Originalzitate Microsoft; dein Wohnort legt nahe, daß du das lesen kannst):

    Zitat

    A member of the Power Users group may be able to gain additional rights and permissions on your computer, and may be able to gain complete administrative credentials. A member of the Power Users group may also be able to expose your computer to other security risks, such as running a virus or running a Trojan horse program.

    For example, a member of the Power Users group could install a malicious program or a DLL, and then cause the administrator or a system service to run the malicious program or the DLL. By using this technique or other techniques, the member of the Power Users group may be able to gain additional rights and permissions on your computer, including complete administrative credentials.

    The Power Users group is a built-in local group that primarily provides backward compatibility for running non-certified (or "legacy") programs. However, members of the Power Users group can also change COM object registrations, change file associations, change Start menu shortcuts, and install drivers for hardware devices.

    Schon das Lesen der Artikel in der XP-Hilfe bei Eingabe des Begriffs Hauptbenutzer macht einige Dinge klar. Sei also vorsichtig, wenn du mit deinem "bisherigen Wissen" Sicherheitsratschläge verbreitest und sei noch vorsichtiger, wenn du kategorisch etwas als falsch titulierst, was sich mit wenig Recherche-Aufwand genau so belegen läßt.

    Alleine das Nahelegen des Hauptbenutzers ohne zwingenden Kompatibilitätsgrund (den es für FF nicht gibt) ist eine nicht zu rechtfertigende Falschinformation. Eine Warnung gegen solches Wissen auch noch als "Unsinn" und "auch falsch" zu bezeichnen legt den Verdacht nahe, daß du ohne Rücksicht auf die Fakten dein "bisheriges Wissen" konservierst und verbreitest.

    Sollte sein "bisheriges Wissen" jedoch über Informationen verfügen, die den Informationen von MS entgegen stehen, so wirst du sicherlich in der Lage sein, inhaltlich die Aussagen von MS Punkt für Punkt zu widerlegen.

  • @ gkam

    wie viel Langeweile muss ein Mensch haben um nach Rechtschreibfehlern in einen Sicherheits Thread zu suchen ?? OMG

    Sinnvoller wäre es gewesen wenn du vielleicht etwas zum Thema beigetragen hättest.

    aber um auch dich zufrieden zu stellen hab ich es im Thread geändert

    @ Cosmo und Oliver222

    ja entschuldigt,mit meinem Standard Benutzer wollte ich keine Missverständnisse auf kommen lassen.Natürlich war damit der von Cosmo erwähnte " (eingeschränkte) Benutzer " gemeint . Ich hatte diese Bezeichnung gewählt da ich unter XP Prof immer den ersten erstellten Benutzer aus der Admin Gruppe heraus nehme und ihn nur noch in der Benutzer Gruppe lasse. Der Admin wird dann umbenannt und als einziger in der Gruppe Administratoren belassen.

    Die Hauptbenutzer Gruppe verwende ich eigentlich gar nicht.

    Explizite Sachen an Ordnern oder Dateien regle ich über generell über die ACL

    Wichtig war mir aber zu wissen in wie weit der FF, ausgeführt als " (eingeschränkte) Benutzer " L/S Rechte hat. Da der " (eingeschränkte) Benutzer " ja nur Schreibrechte an seinem Profil hat , ist eine Kompromittierung des Systems ja zumindest schon mal etwas eingedämmt.

  • Zitat von Nemisis

    @ gkam wie viel Langeweile muss ein Mensch haben um nach Rechtschreibfehlern in einen Sicherheits Thread zu suchen ?? OMG Sinnvoller wäre es gewesen wenn du vielleicht etwas zum Thema beigetragen hättest. aber um auch dich zufrieden zu stellen hab ich es im Thread geändert [...]

    Du kennst sicherlich die Bedeutung von Smilies? Ausserdem habe ich nicht gesucht...

    Gruß, Günther

  • Zitat von Nemisis

    unter XP Prof immer den ersten erstellten Benutzer aus der Admin Gruppe heraus nehme und ihn nur noch in der Benutzer Gruppe lasse. Der Admin wird dann umbenannt und als einziger in der Gruppe Administratoren belassen.


    Dazu habe ich 2 Tips für dich und beide fallen in die Kategorie dringend:

    Zitat von Nemisis

    Der Admin wird dann umbenannt und als einziger in der Gruppe Administratoren belassen.


    Ein Spiel mit dem Feuer.

    Der Zweck des vordefinierten Kontos "Administrator" ist genau ein einziger: Sollte das vom Benutzer erstellte und verwendete Admin-Konto einmal beschädigt sein und nicht mehr funktionieren, dient es dazu, ein neues Admin-Konto anlegen zu können. Nur dafür sollte dieses Konto verwendet werden, denn es stellt eine Lebensversicherung für das System dar. Sollte das letzte Admin-Konto beschädigt werden, so kannst du weder den Rechner administrieren noch ein neues Admin-Konto erstellen, das System ist dann reif für eine Neu-Installation, sofern man nicht auf ein Image zurückgreifen kann. Was du tust gleicht einer Bombe mit einer langen Lunte, von der du nicht weist, ob die Lunte lang genug ist. (Das Umbenennen ist dagegen unkritisch.)

    Es wäre interessant zu erfahren, warum du das machst, dann könnte man auf die Überlegungen eingehen.

    Zitat von Nemisis

    unter XP Prof immer den ersten erstellten Benutzer aus der Admin Gruppe heraus nehme und ihn nur noch in der Benutzer Gruppe lasse.


    Auch das sollte unbedingt geändert werden.

    Du verwendest ein eingeschränktes Benutzerkonto zum Arbeiten doch wohl, um die damit verbundene Sicherheit zu haben. Der Knackpunkt ist, daß ein Benutzer (gleichgültig, ob eingeschränkt oder Admin), der ein Objekt (Datei) erstellt, dadurch zum Besitzer dieses Objektes wird, und Besitzer haben (sofern man nicht in den Gruppenrichtlinien spielt, was ich generell nicht empfehle, wenn man nicht genau die Konsequenzen kennt) grundsätzlich Vollzugriff auf ihre eigenen Objekte. Das gilt auch dann, wenn der Kontotyp des betreffenden Benutzers geändert wird. Mit anderen Worten, die von diesem downgegradeten Konto erstellten System- und Programmobjekte sind genauso ungeschützt, als ob du als Admin arbeiten würdest. Folge: Auch Schad-Ware kann mit diesen Objekten machen, was immer sie will: Verändern, Löschen oder allen (inklusive dem System) jegliche Zugriffsberechtigung nehmen (letzteres kann zur Folge haben, daß gar nichts mehr geht).

    Dieses Besitzer-Recht hat übrigens seinen guten Grund: Erstellt man eine Datei unter "Gemeinsame Dateien" (dort hat ja jeder das Recht, neue Dateien und Ordner zu erstellen), so kann nur der Besitzer (und wie üblich Admins) diese Datei ändern oder löschen, andere Benutzer (wenn es mehrere Benutzerkonten gibt) dagegen nicht. Am Besitz erkennt Windows, wer Schreib- und sonstige Zugriffe außer Lesen auf ein Objekt hat.

    Ich empfehle deswegen dringend, beides zu ändern, wobei es sich in deinem Fall anbietet, beide Änderungen miteinander zu verbinden. Das heißt, mach dein Benutzerkonto wieder zum Admin (damit ist Punkt 1 erledigt) und erstelle ein neues eingeschränktes Benutzerkonto. Natürlich wirst du deine Benutzerdokumente (Eigene Dateien, FF-Profil u. a.) in das neue Konto übernehmen wollen. Dabei darfst du jedoch nicht hingehen, und sie einfach in das neue Konto verschieben, du würdest damit neue Probleme generieren.

    Da es wenig effektiv ist, hier eine vollständige Hilfestellung zu schreiben, solange ich nicht weiß, ob du meiner Empfehlung folgen willst, stelle ich das bis zu einer entsprechenden Rückmeldung zurück. Wenn du das tun willst, werde ich dir mit Rat zur Seite stehen.

  • Cosmo erklärte Folgendes:

    Zitat

    [...]daß einige Programmierer die Unart haben, die Einträge für das Startmenü nicht unter All Users zu installieren, sondern im Startmenü des installierenden Benutzers (das ist übrigens auch bei der RunAs-Methode der Admin, nicht der angemeldete Benutzer).[...]

    Startmenü-Einträge stellen bloss Verknüpfungen zu sog. „Objektdeskriptoren“ (Anwendungen) dar, welche auf einem NTFS-System durch die entsprechenden Gruppenrichtlinien (Eigentümer / Objekttyp / Zeitstempel / etc.) - über „Zugriffslisten“ - definiert werden. Der Installationsort selber, hat deshalb nichts mit den Unarten einzelner Programmierer, sondern eher mit den Domänen neu eingerichteter Anwender zu tun. Aus diesen Sicherheits-Gründen gibt es auch keinen „XP-Haupt-Benutzer“, der gleichzeitig in der Domain bzw. der ADS definiert wäre.


    Cosmo stellte Folgendes i.F.:

    Zitat

    [...]ändert kein Jota daran, daß der [XP]-Hauptbenutzer ausreichende Rechte hat, um das System zu kompromittieren und MS davon ab rät, den Hauptbenutzer zu verwenden.[...]

    Noch einmal. Der eigentliche XP-Systembereich (über Admin), bleibt vor dem „Hauptbenutzer“ (Power-User) geschützt. (s.u.).


    Oliver


    http://www.microsoft.com/resources/docu…t_settings.mspx

  • Zitat von Oliver222

    Cosmo erklärte Folgendes:

    Startmenü-Einträge stellen bloss Verknüpfungen zu sog. „Objektdeskriptoren“ (Anwendungen) dar, welche auf einem NTFS-System durch die entsprechenden Gruppenrichtlinien (Eigentümer / Objekttyp / Zeitstempel / etc.) - über „Zugriffslisten“ - definiert werden. Der Installationsort selber, hat deshalb nichts mit den Unarten einzelner Programmierer, sondern eher mit den Domänen neu eingerichteter Anwender zu tun. Aus diesen Sicherheits-Gründen gibt es auch keinen „XP-Haupt-Benutzer“, der gleichzeitig in der Domain bzw. der ADS definiert wäre.


    Und immer noch wird nicht klar, warum du dich auf Installationsorte beziehst und meine Aussage als Unsinn deklarierst hast, obwohl ich ausdrücklich über die Startmenüeinträge geschrieben hatte und den Grund, warum bei manchen Programmen andere Benutzer diesen Startmenüpunkt nicht finden und nutzen können. Damit ist obiges weder relevant für das, worauf du dich bezogen hattest noch zielführend (und mit eigenwilligen Wortkonstruktionen wie "Domänen eingerichteter Anwender" völlig unverständlich; was so etwas bezwecken soll, laß ich mal offen).

    Zitat von Oliver222

    Cosmo stellte Folgendes i.F.:

    Noch einmal. Der eigentliche XP-Systembereich (über Admin), bleibt vor dem „Hauptbenutzer“ (Power-User) geschützt. (s.u.).
    http://www.microsoft.com/resources/docu…t_settings.mspx


    Der alte Spruch "Wer lesen kann ist klar im Vorteil." Durch Lesen genau des Artikels, den du dir selber ausgesucht hattest, wärst du auf diese Warnung gestoßen (die genau dem entspricht, worauf ich bereits verwiesen hatte):

    Zitat

    The same default permissions that allow Power Users to run legacy programs also make it possible for a Power User to gain additional privileges on the system, even complete administrative control. Therefore, it is important to deploy certified Windows 2000 or Windows XP Professional programs in order to achieve maximum security without sacrificing program functionality. Programs that are certified can run successfully under the Secure configuration provided by the Users group. For more information, see the Security page on the Microsoft Web site.

    Since Power Users can install or modify programs, running as a Power User when connected to the Internet could make the system vulnerable to Trojan horse programs and other security risks.

    .
    Die Hervorhebungen, insbesondere für das Wort "system" stammen von mir, der Text unmodifiziert von Microsoft aus dem von dir selbst verlinkten Artikel. Übrigens, die Information, daß die Gruppe der Power-Users (in deutschen Systemen Hauptbenutzer) primär aus Gründen der Kompatibilität zu NT4 existiert, findet sich in diesem Artikel ebenfalls. Und die Warnung vor den Risiken beim Einsatz von Hauptbenutzern war MS offensichtlich so wichtig, daß sie sich innerhalb dieses Artikels gleich zweimal befindet (was gleichzeitig nahe legt, daß du diese Warnung gleich zweimal ignoriert oder gar nicht erst gelesen hast).

    Deine inhaltliche Punkt für Punkt Auseinandersetzung steht weiterhin aus, wenn du versuchen solltest, das Nahelegen des Hauptbenutzers noch irgendwie zu begründen. Das ist tatsächlich nicht zu rechtfertigen, das umso mehr, wenn man Artikel wie den von dir verlinkten kennt und in einem Forum, bei dem es um das Internet (ich verweise auf den zweiten zitierten Absatz von MS oben) und um einen Browser geht, der Hauptbenutzer-Privilegien nicht benötigt. (Übrigens: Der zweite MS-Absatz und meine Aussage, die du zitiert hattest, besagen trotz unterschiedlicher Formulierung haargenau dasselbe. Nur bezweifle ich, daß du tatsächlich einen Artikel zur Argumentation heranziehen wolltest, der das tut. "Noch einmal": Erst lesen, dann anderen Leuten Unsinn vorwerfen wollen.)

  • Cosmo stellte Folgendes dar:

    Zitat

    [...]Deine inhaltliche Punkt für Punkt Auseinandersetzung steht weiterhin aus, wenn du versuchen solltest, das Nahelegen des Hauptbenutzers noch irgendwie zu begründen.

    Du hast Dir gerade widersprochen. Es geht bei der Rechteverteilung auf einem XP-System - meiner Ansicht nach - nicht um die einzelnen Kontenklassen (Hauptbenutzer vs. Admin), sondern eher um die Interaktion des Anwenders i.B. auf nicht zertifizierte MS-Anwendungen. Dabei sollte generell gelten:


    a. „Gehärtete“ PW´s für alle Accounts einer Gruppenrichtlinie (Zugriffsrechte auf einzelne Objekte (also Anwendungen) über ACL´s).

    b. „Sensibilisierte“ Anwender i.B. auf sog. „Legacy-Installationen“ (abwärtskompatible Installationen: Basic / Compat / Secure / HiSec).

    c. „Sicherheitsvorlagen“ (Security Templates), welche von MS als „proprietärer“ Industrie-Standard spezifiziert wurden.


    Solche Sicherheitsvorlagen stellen eine Besonderheit dar, wobei es dennoch dem einzelnen Anwender vorbehalten bleibt, auf solche Installations-Fehlermeldungen (mit einem kurzfristigen Konten-Upgrade) zu reagieren. Dieses Verfahren unterliegt deshalb auch keiner automatischen Verschaffung (engl. gain) von höheren Anwender-Privilegien. Der Vorgang ist aktiv, nicht passiv.


    Cosmo erklärte Folgendes:

    Zitat

    [...]Der alte Spruch "Wer lesen kann ist klar im Vorteil."[...]

    Es geht nicht um das Lesen, sondern um das Verstehen. Solltest Du damit Probleme haben, zögere nicht hier zu Fragen...


    Oliver


    O.T.
    Unter Windows NT/2000 kommen - meines Wissens nach - zwei Algorithmen zum Einsatz, um die Menge der Zugriffsrechte auf ein Objekt (Anwendung / Datei) zu bestimmen. Zum einen erfolgt eine Rechteprüfung so eines Prozesses in Bezug zu einem spezifischen Objekt über den Funktionsaufruf: „GetEffectiveRightsFromACL-Operation“, welcher dann wiederum über einen sog. „AccessCheck“ (Berechtigungskontrolle) des zugreifenden Subjektes (Anwender) gegengeprüft wird.

  • Fabuliere weiter.

    Die Warnung vor dem Einsatz des Hauptbenutzers sollte jeder verstanden haben, der es nicht krampfhaft vermeidet zu verstehen; insofern ist der Zweck erfüllt. Ich werde hier Schluß machen und nicht auf etwas warten, was du nicht begründen kannst und willst. Offensichtlich beharrst du auf deinen unverantwortlichen Ratschlag, wobei die simpelsten Fragen und Hinweise mit der Taktik zusammenhangloser Begriffe umgangen werden. Auf das fragwürdige "Angebot" dich irgend etwas zu fragen werde ich nicht eingehen, da du ja schon wiederholt Fragen schlichtweg ignoriert hast, damit entlarvt sich solche Worthülse von allein.

    EOD

  • Hallo Cosmo und Oliver222,

    sorry das ich erst so spät neues Feedback gebe aber ich war bis heute privat verhindert.


    Meine Intention mit dem downgrade des automatischen Benutzerkontos war wie du schon richtig erkannt hast, " um die damit verbundene Sicherheit zu haben " .

    Wenn das Konto erstellt wird, werden diesem ja dazugehörigen Rechte vergeben je nachdem in welcher Benutzergruppe das Konto eingestuft wird.
    Da man nach dem ersten Start,mit dem ersten Benutzerkonto, was ja zunächst Mitglied der Administratoren Gruppe ist, noch keine Ordner oder Strukturen erstellt,die später in seinem Besitz sind,sollte dieser User noch keine "eigenen " Besitzansprüche haben. Somit bin ich davon ausgegangen das sobald er über das Administrator Konto die Rechte am System verliert ( Gruppen Entzug ) er auch nur die Rechte verliert an denen er Zugriff über die ACL hatte. Wenn er jetzt nur noch Mitglied in der Gruppe Benutzer ist, sollte ihm doch auch keine System Ordner oder Dateien gehören bzw.er einen Besitz darauf haben.
    Daher bin ich jetzt ein wenig verwundert das du mit geschrieben hast " mit anderen Worten, die von diesem downgegradeten Konto erstellten System- und Programmobjekte sind genauso ungeschützt, als ob du als Admin arbeiten würdest"
    Denn der erste User hat doch noch gar nichts erstellt ?

    Was das übernehmen der Eigenen Dateien oder FF Profile betrifft...
    Hier müsste ich doch zunächst erst einmal mit dem ehemaligen Benutzerkonto (was nach deiner Aussage wieder Admin werden sollte ) die Daten an das neue Benutzerkonto übergeben. Sprich, ihm die Berechtigung geben " Besitz übernehmen " ...soweit richtig ?

  • Was an System- und Programmdateien und System-Einstellungen (diese nicht vergessen) genau im Detail im Besitz des zu Beginn erstellten Kontos ist, hängt natürlich davon ab, wie schnell man dessen Kontotyp ändert.

    Aber ich hatte dir ja auch geschrieben, daß und warum ein Benutzer-Admin-Konto verwendet werden soll und die standardmäßige Verwendung des vordefinierten Kontos "Administrator" einer Zeitbombe gleichkommt. Insofern ist die Frage des Umfangs der betroffenen Objekte (übrigens: nicht nur im Dateisystem, sondern auch in der Registrierung) IMO akademisch.

    Zur Frage der Übernahme der Dateien aus dem "alten" in das neue Konto:
    Die Generallinie ist die, daß die die betreffenden Dateien / Ordner mit dem Admin-Konto an einen Festplattenort kopierst (nicht: verschiebst), wo sie der Benutzer lesen kann (im Konto des Admins kann er nämlich nicht). Und dann mit dem Konto des Benutzers(!) diese Objekte an ihren neuen Zielort kopierst(!). Kopieren bewirkt im NTFS-Dateisystem dasselbe wie das gänzlich neue Erstellen von Objekten: Der Ausführende wird der Besitzer und ist uneingeschränkt (wieder) Herr seiner Dokumente (hier gemeint: einschließlich Mozilla-Profile etc.).

    Weitere Hilfen gern auf Anforderung.