Wer arbeitet unter Windows mit eingeschränkten Rechten?

> Oh wow, die checkboxen sind vielleicht cool! Du stehst auf Partys wahrscheinlich nie
> allein in der Ecke!

Tatsächlich gibt es am Strand keine richtigen Ecken, dafür sind die Feten dort aber... subjektiv besser.

> Gabs nen Grund persönlich zu werden?

Nein. Gibt es einen Grund empfindlich zu sein?

> Nein, ich bin kein sysadmin. Ich habe ein Notebook auf dem nur ich arbeite. Und immer
> mal wieder Programme installiere. Und ich hab ehrlich keine Lust jedes Mal wenn ein
> Programm dann doch in seinem eigenen Ordner Dateien anlegt oder verändert für diesen
> Ordner die Einstellungen zu ändern.

Es gibt Lösungen für solche "Probleme". Siehe "MachMichAdmin" Script der ct'.

Normalerweise sollte ein Programm welches Du installierst auch die Rechte haben Verzeichnisse anzulegen und dort zu schreiben, denn genau das verwaltet ja das OS und *nicht* der User. Zum Schreiben auf der Festplatte gibt es das home-verzeichniss.

> Ein Kompromiss aus Sicherheit und Komfort muss
> sein, sonst komm ich ja gar nicht mehr zum arbeiten.

Genau solch ein Kompromiss führt das Sicherheitskonzept ad absurdum. Du gibst potentiell Schädlingen und Einbrechern die Möglichkeit ohne Einschränkungen auf Deiner HDD zu schreiben. Die Einstellungen alles mit dem OS machen zu dürfen hat u.A. zu der massiven Verbreitung von Schädlingen geführt.

Mein ExChef hat uns mal gefragt, ob es irgendeine Absicherung gegen Viren gäbe. Die Antwort von uns war "Nein, aber Unix + Sicherheitskonzept sind schon ziemlich sicher", seine einzige Entgegnung darauf "Das machen wir nicht, dafür gibt es keine NortonFirewall". Als er ging standen wir mit offenem Mund da...
 
Naja, ich find diese checkboxen einfach kindisch und überflüssig. Dieser heise.de Unsinn muss hier echt nicht Einzug halten.

Zur Diskussion:
Was genau tut das MachMichAdmin Script?

Programme installiere ich als Administrator, somit gehört das Programmverzeichnis dem Administrator und falls nicht anders angegeben hat der user da keine Schreibrechte, sondern nur Lese- und Ausführrechte. Ein Programm das völlig auf Multiuser ausgerichtet ist wird also nur ins Homeverzeichnis schreiben. Es gibt aber viele Programme, die eben dies nicht tun.

Natürlich tue ich das Sicherheitskonzept dadurch aufweichen, aber nicht ad absurdum führen. Denn sollte ein Schädling (z. B. ein Trojaner) das System befallen, dann wäre er nur bis zum nächsten Neustart aktiv, weil er keinen Run-Key in der Registry anlegen kann.

Ich sehe meinen Account angesiedelt zwischen Administrator und eingeschränktem Benutzer. Windows 2000 hatte sowas ähnliches glaube ich als "Power-User" eingebaut.

P. S. Dein Ex-Chef war wohl auch kein Sysadmin? ;)
 
> Naja, ich find diese checkboxen einfach kindisch und überflüssig. Dieser heise.de
> Unsinn muss hier echt nicht Einzug halten.

s/heise.de/usenet/
s/Unsinn muss hier echt nicht Einzug halten/Gehabe ist k3wl und l33t/

(Wenn dann richtig :) )

> Zur Diskussion:
> Was genau tut das MachMichAdmin Script?

http://www.heise.de/ct/ftp/05/23/112/

> Programme installiere ich als Administrator, somit gehört das Programmverzeichnis
> dem Administrator und falls nicht anders angegeben hat der user da keine
> Schreibrechte, sondern nur Lese- und Ausführrechte. Ein Programm das völlig auf
> Multiuser ausgerichtet ist wird also nur ins Homeverzeichnis schreiben. Es gibt aber
> viele Programme, die eben dies nicht tun.

Dafür gibt es dann aber workarounds. z.B. Softlinks (gibt es die unter NT?)

> Natürlich tue ich das Sicherheitskonzept dadurch aufweichen, aber nicht ad absurdum
> führen. Denn sollte ein Schädling (z. B. ein Trojaner) das System befallen, dann wäre er
> nur bis zum nächsten Neustart aktiv, weil er keinen Run-Key in der Registry anlegen
> kann.

Ein globaler Zugriff auf die Festplatte *ist* mitunter das größte Sicherheitsloch. Wer sagt denn, daß Trojaner sich nicht in ausführbare Dateien einnisten?

> Ich sehe meinen Account angesiedelt zwischen Administrator und eingeschränktem
> Benutzer. Windows 2000 hatte sowas ähnliches glaube ich als "Power-User" eingebaut.

k.A. Ich hab bisher nur unter "echten" OS und unter XP gearbeitet :)

> P. S. Dein Ex-Chef war wohl auch kein Sysadmin? ;)

Nein. Es gibt da einige "lustige" Anekdoten...
 
Grimreaper hat gesagt.:
Ich sehe meinen Account angesiedelt zwischen Administrator und eingeschränktem Benutzer. Windows 2000 hatte sowas ähnliches glaube ich als "Power-User" eingebaut.
Zum Vergrößern anklicken....
Hier mal die Beschreibung der Gruppe "Power Users" aus Windows 2000:
Windows 2000 hat gesagt.:
Power Users possess most administrative powers with some restrictions. Thus, Power Users can run legacy applications in addition to certified applications
Zum Vergrößern anklicken....
Das ist natuerlich erstmal recht vage, aber ich kann mal gucken ob ich da noch naehere Infos zu der Aussage "most administrative powers with some restrictions" finden kann.
 
Ich arbeite mit dem machmichadim-Script aus der ct. Hat den Vorteil, daß Einstellungen auch in meinem Profil landen und nicht beim administrator. Schreibzugriff auf die gesamte Platte finde ich sehr gefährlich. Viele bösen Buben nisten sich im Windows- bzw. system32-Verzeichnis ein und darauf habe ich als normaler Benutzer keinen Schreibzugriff. Ähnliches gilt auch für das Programme-Verzeichnis.

Für wenige Programme, die ich häufig nutze, habe ich mit regmon und sysmon die Zugriffe beobachtet und dann nur die entsprechenden Verzeichnise bzw. RegKeys angepaßt. Ist nicht sehr aufwendig. Meist sind die Übeltäter schnell entlarvt.

Den Power User gibt es auch unter XP, zumindest in der Prof. Hier heißt er Hauptbenutzer. Ein Unterschied zum Administrator besteht darin, daß er keine Treiber installieren darf. Dann hat er beim Drucker mehr Rechte. Ich glaube, daß er dort auch Druckjobs anderer User löschen darf und Druckeinstellungen verändern. Genaues weiß ich aber leider nicht mehr. Ist zu lange her, als ich das genauer wissen mußte.


bis dann
gorim
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück