Userrechte

08/12/2008 - 11:52 von Helmuth Welser | Report spam
Win XP Prof. SP2

Hallo zusammen,

einem User, der bisher als "Hauptbenutzer" eingetragen ist, soll die
Möglichkeit gegeben werden auf seinem Rechner die Defragmentierung
durchführen zu können aber auch Updates für die installierten SW-Programme
machen zu können.

Mit welchen Benutzerrechten (ausser Admin + Hauptbenutzer) ist das zu
machen?
Über Gruppenrichtlinie? Wenn ja, wo dort?

Danke und Gruß
Helmuth
 

Lesen sie die antworten

#1 Thomas Leube
08/12/2008 - 14:38 | Warnen spam
Hallo Helmuth,

Am 08.12.2008 11:52 schrieb Helmuth Welser:
einem User, der bisher als "Hauptbenutzer" eingetragen ist, soll die
Möglichkeit gegeben werden auf seinem Rechner die Defragmentierung
durchführen zu können aber auch Updates für die installierten SW-Programme
machen zu können.

Mit welchen Benutzerrechten (ausser Admin + Hauptbenutzer) ist das zu
machen?



Das was du vorhast und auch das was du tust (Hauptbenutzer verwenden)
ist, ist - mit Verlaub - widersinnig.

Die Trennung zwischen verschiedenen Rechten der Benutzergruppen dient
dazu, das System gegen Angriffe zu schützen. Du willst diesen Schutz
aufheben beziehungsweise empfindlich aufweichen, aber unter Umgehung des
Admin-Kontos.

Der Hauptbenutzer ist ein Gruppe, die nicht verwendet werden sollte,
weil sie den Selbstschutz durch Rechtetrennung wirkungsvoll untergràbt,
ohne aber alle Admin-Rechte zu haben. Ob die Rechte eines Hauptbenutzers
zur Installation / Updates ausreichen, kann deswegen in den meisten
Fàllen niemand beantworten, weil es auch der Hersteller in der Regel
nicht weiß. Wenn die Installation erfolglos verlaufen ist, weißt du es,
doch bei Updates kann das bedeuten, daß sich das betreffende Programm
überhaupt nicht mehr verwenden lassen, ohne es komplett zu
deinstallieren und neu zu installieren (und bei mehr Pech klappt es auch
dann nicht).

Der Hauptbenutzer ist aus Gründen der Kompatibilitàt mit der
Benutzergruppe von NT 4 erschaffen worden. Es dürfte heutzutage im
Promillebereich noch erforderlich sein.

Der Hauptbenutzer kann dazu mißbraucht werden, um die Rechtetrennung
komplett zu unterlaufen. (http://support.microsoft.com/?id‚5069).
Microsoft empfiehlt in erster Linie, den Hauptbenutzer nicht zu verwenden.

Zusammengefaßt: Hauptbenutzer haben genug Rechte, um ein System zu
kompromittieren, können aber von dem, wozu man erhöhte Rechte benötigt,
nichts zuverlàssig.

Du hast folgende Möglichkeiten:

Du kannst über "Ausführen als" Programme im Kontext eines anderen Kontos
(hier: Admin-Konto) ausführen. Für die Defragmentierung ist das sehr
empfehlenswert, bei Installation / Updates kann es vereinzelt allerdings
nach meiner Erfahrung auch hierbei zu Problemen kommen, deswegen
empfehle ich hier immer den Weg über die Anmeldung als Admin. Programme,
die nur entzippt werden, kann man dagegen problemlos auf diesen Weg
installieren / updaten.

Verwende SuRun (http://kay-bruns.de/wp/software/surun/), das es erlaubt,
einzelne Programme aus dem eingschrànkten Benutzerkonto mit den eigenen
Anmeldedaten (im Unterschied zu "Ausführen als") mit Admin-Rechten
auszuführen. Ich empfehle SuRun nicht für die vorgenannten Aufgaben,
aber es ist hervorragend geeignet, wenn man Einstellungen für das eigene
Benutzerkonto àndern will, die man nur mit erhöhten Rechten àndern kann.
SuRun bietet eine Option, den Windows-eigenen Dialog "Ausführen als" zu
ersetzen und das Kennwort des betreffenden Kontos zu speichern.
Thomas

Ähnliche fragen