Administratorenrecht

[Evergreen]

Gemäss Empfehlung "Benutzerrechte trennen" auf S. 36 des PCtipp Nr. 10/07 wollte ich ein neues Konto: Computeradministrator einrichten. Dieses Wort ist aber für das Eingabefeld zu lang. Ich kann nur eingeben: Computeradministrato, das fehlende "r" kriege ich da nicht hinein. Dasselbe bei der Eingabe von Ziffern 12345678901234567890, die nächste Ziffer 1 als 21. Zeichen geht nicht. - Ich habe dann die Uebung abgebrochen. Bei meinem aktuellen Benutzernamen steht jetzt noch immer "Computeradministrator"

Gemäss diesem Artikel muss ich zuerst ein neues Konto "Computeradministrator" einrichten, und danach das bestende Konto ändern, damit ein Angreifer auf meinem Computer keine Programme ändern kann.

Was muss ich tun?

Danke für Ihre Antwort

mit freundlichen Grüssen

Evergreen

 

[Flo]

Ich habe den Artikel zwar nicht gelesen, aber ich glaube ich weiss, was du meinst.

1. Erstelle ein zweites Administratorkonto. Nennen kannst du das wie du willst! Z.B. Compiadmin, PC-Administrator oder auch Mr.X;).
2. Du änderst die Berechtigungen deines momentanen Kontos von Administrator auf Eingeschenkt.
Und fertig.

Ich hoffe, dass du das gemeint hast.

Edit: Es empfiehlt sich das Adminkonto mit einem Passwort zu "schützen"

 

[Gaby Salvisberg]

"Scheff" kann auch Administrator sein

Erstelle ein zweites Administratorkonto. Nennen kannst du das wie du willst! Z.B. Compiadmin, PC-Administrator oder auch Mr.X.

Exakt, Flo
Wenn z.B. das eigene Benutzerkonto "Fritzli" heisst, kann man das neue Konto "Fritzliadmin" oder "Adminfritzli" oder "Compi-Boss" oder "Captain Kirk" (oder wie auch immer) nennen. Wichtig ist einfach, dass man immer Bescheid weiss, welches der beiden Konten der Administrator ist.

Gemäss diesem Artikel muss ich zuerst ein neues Konto "Computeradministrator" einrichten, und danach das bestende Konto ändern, damit ein Angreifer auf meinem Computer keine Programme ändern kann.

Richtig. Mit einem "normalen" (dh. eingeschränkten) Benutzerkonto ist die Gefahr kleiner, dass sich eine schädliche Software aufs ganze System (inkl. Programme- und Windows-Ordner) ausbreitet.

Dem neuen Konto (z.B. namens "Adminfritzli") gibst Du gleich beim Einrichten die Rechte eines Computeradministrators. Natürlich braucht das Konto auch ein gutes Passwort, das Du nie vergessen darfst. Sobald das "Adminfritzli"-Konto fertig und als Admin festgelegt ist, loggst Du Dich mit diesem Konto ein und nimmst dem anderen Konto (z.B. Fritzli) die Administrator-Rechte weg, indem Du das "Fritzli"-Konto zu einem reinen Benutzerkonto degradierst.

Jetzt hast Du z.B. folgendes:

• Ein Konto "Adminfritzli", das über die Rechte eines Computeradministrators verfügt. Damit wirst Du in Zukunft nur administrative Aufgaben auf dem PC durchführen, z.B. Programme installieren. Aber mailen, surfen usw. solltest Du damit nicht.
• Das Konto "Fritzli", mit dem Du ganz normal weiterarbeitest (inkl. mailen, surfen, Briefe schreiben usw.).

Falls noch Fragen zu dem Artikel sind: Einfach hier fragen :)

Herzliche Grüsse
Gaby

 

[Flo]

Jetzt hast Du z.B. folgendes:

• Ein Konto "Adminfritzli", das über die Rechte eines Computeradministrators verfügt. Damit wirst Du in Zukunft nur administrative Aufgaben auf dem PC durchführen, z.B. Programme installieren. Aber mailen, surfen usw. solltest Du damit nicht.
• Das Konto "Fritzli", mit dem Du ganz normal weiterarbeitest (inkl. mailen, surfen, Briefe schreiben usw.)

Ich mache alles mit dem eingeschränkten Konto und wenn Adminrechte verlangt werden, dann kann man das Passwort unkompliziert eingeben (Vista). Ist das genau so sicher?

 

[Gaby Salvisberg]

Admin unter Vista

Ich mache alles mit dem eingeschränkten Konto und wenn Adminrechte verlangt werden, dann kann man das Passwort unkompliziert eingeben (Vista). Ist das genau so sicher?

Ja, dieses Vorgehen unter Windows Vista ist meiner Meinung nach genauso sicher, da man ja das Admin-Kennwort kennen muss. Allerdings hast Du auch da im Prinzip eben den eingeschränkten Account (mit dem Du arbeitest) und einen Admin-Account, dessen Passwort Du bei administrativen Aufgaben eingeben musst.

Z.B. auch unter Ubuntu Linux hat sich ein ganz ähnliches Konzept bisher recht gut bewährt: Wenn etwa Updates anstehen, lassen sich diese erst nach Passworteingabe installieren. Auch nach Eingabe des sudo-Befehls, mit dem in der Konsole Anwendungen mit root-Rechten gestartet werden können, wird immer das Kennwort verlangt.

Gaby

 

[DaveT]

hallo
gibt es ein "Befehl" dass mein PC immer mit dem Eingeschränkten Konto startet, sodass ich das auswählen der verschiedenen Konten sich erübrigt?
D.H. ich habe nur 2 Benutzer Admin und Dave. ich arbeite mit Dave Admin brauche ich eig. nie...

 

[Frager]

Admin. Rechte eingeschränkt

Ich habe den Artikel zwar nicht gelesen, aber ich glaube ich weiss, was du meinst.

1. Erstelle ein zweites Administratorkonto. Nennen kannst du das wie du willst! Z.B. Compiadmin, PC-Administrator oder auch Mr.X;).
2. Du änderst die Berechtigungen deines momentanen Kontos von Administrator auf Eingeschenkt.
Und fertig.

Ich hoffe, dass du das gemeint hast.

Edit: Es empfiehlt sich das Adminkonto mit einem Passwort zu "schützen"

Grüezi
Auch ich habe den Artikel gelesen und war überzeugt. Ich übe schon seit einiger Zeit aber eingeschränkt zeigt Norton Internet Security beim IE 7 im roten Balken "Engine Fehler" und "Sicheheitsrisko Überwachung nicht aktiv. System XP Home. Jetzt betreibe ich beide Konten mit Admin. Rechten und es funktioniert normal, aber ich denke, dies macht wenig Sinn.
Was mache ich falsch? Besten Dank für einen Tipp
Frager

 

[Masche]

Was mache ich falsch?

Falsch ist, dass Du Norton verwendest....

Es wurde hier im Forum nämlich auch schon erwähnt, dass Norton bei Benutzerkonten nicht korrekt funktioniert.

Nach meiner eigenen Definition kann man Programme, welche nicht ordnungsgemäss in einem Benutzerkonto (mit den auf das notwendige eingeschränkten Rechten) funktionieren, gar nicht als 100%-ig Windows XP-kompatibel bezeichnen. Also Hände weg von inkompatiblen Programmen. Es gibt genügend gute Alternativen.

Exakt, Flo
Wenn z.B. das eigene Benutzerkonto "Fritzli" heisst, kann man das neue Konto "Fritzliadmin" oder "Adminfritzli" oder "Compi-Boss" oder "Captain Kirk" (oder wie auch immer) nennen. Wichtig ist einfach, dass man immer Bescheid weiss, welches der beiden Konten der Administrator ist.

"Exakt" ist ein klein wenig übertrieben.

In der Regel funktioniert es so. Bei einem meiner PCs, einem Medion mit vorinstalliertem Windows XP, war es aber nicht das gleiche, ob ich Konto A als Administrator und Konto B als Benutzer definierte oder umgekehrt. Das heisst, der Tipp von PCTipp war für mich nicht anwendbar.

Bei mir hatte nämlich der Administrator A (der von Medion vordefinierte) mehr Rechte, als das von mir angelegte Konto B, selbst, wenn ich diesem Administratorenrechte gab. Ich vermutete schon so was wie einen Superadministrator.

Die Lösung fand ich nach langem Suchen und schliesslich mit Hilfe des SD Manager, den es bei PCTipp unter Wecode 24173 gibt. Der Grund lag bei den Zugriffsrechten der Verzeichnisse. Sind diese nämlich namentlich vergeben, so beisst sich selbst der Administrator vergebens daran die Zähne aus. Dies war bei meinem Medion der Fall.

Möglicherweise ist dies aber eher die Ausnahme. Es ist aber gut, dies zu wissen, wenn man ein neues Konto anlegt und plötzlich der neue Administrator weniger Rechte hat als der ursprüngliche.

 

[Frager]

Falsch ist, dass Du Norton verwendest....

Es wurde hier im Forum nämlich auch schon erwähnt, dass Norton bei Benutzerkonten nicht korrekt funktioniert.

Nach meiner eigenen Definition kann man Programme, welche nicht ordnungsgemäss in einem Benutzerkonto (mit den auf das notwendige eingeschränkten Rechten) funktionieren, gar nicht als 100%-ig Windows XP-kompatibel bezeichnen. Also Hände weg von inkompatiblen Programmen. Es gibt genügend gute Alternativen.

Danke Masche
Ich gehe wieder zurück und passe selber auf

Liebe Grüsse
Frager

 

[Michel.Eichelberger]

Danke Masche
Ich gehe wieder zurück und passe selber auf

Liebe Grüsse
Frager

das liest sich als ob du keinen schutz mehr haben willst :P

falls ernst gemeint, nimm einfach ein anderes... wurde ja nur von Norton abgeraten... Kaspersky ist sehr gut (auch wenige kosten; 49.- für das Antivirus für ein jahr)...

 

[Redhead]

Administratorenrechte

Ich habe mich nach langem hin und her entschieden, dass ich auf meinem Notebook mit XP Pro SR2, ein neues Administratorenkonto eröffne und mein altes Konto nur noch als Benutzerkonto weiterführe.

Erfolg der Übung, ich kann auf meinen Ehemaligen Adminkonto, jetzt Benutzerkonto in den Eigenen Dateien auf divere Ordner nicht mehr zugreifen, ich bekomme die Meldung, dass mir der Zugriff verweigert werde, da ich nicht die Berechtgung habe.

Was ist hier falsch gelaufen und was kann ich das ändern.

 

[Michel.Eichelberger]

Ich habe mich nach langem hin und her entschieden, dass ich auf meinem Notebook mit XP Pro SR2, ein neues Administratorenkonto eröffne und mein altes Konto nur noch als Benutzerkonto weiterführe.

Erfolg der Übung, ich kann auf meinen Ehemaligen Adminkonto, jetzt Benutzerkonto in den Eigenen Dateien auf divere Ordner nicht mehr zugreifen, ich bekomme die Meldung, dass mir der Zugriff verweigert werde, da ich nicht die Berechtgung habe.

Was ist hier falsch gelaufen und was kann ich das ändern.

man sollte "NIE" das Adminkonto auf benutzer umstellen... es gibt gründe, warum das admin konto drauf ist... nun aber zum problem:

Versuche in den Benutzerkonten deine Rechte zurückzustellen, ansonsten versuche im abgesicherten Modus anzumelden und gehe dann unter Systemsteuerungen/Benutzerkonten auf das Adminprofil und ändere die eigenschaften...

 

[Frager]

das liest sich als ob du keinen schutz mehr haben willst :P

falls ernst gemeint, nimm einfach ein anderes... wurde ja nur von Norton abgeraten... Kaspersky ist sehr gut (auch wenige kosten; 49.- für das Antivirus für ein jahr)...

Entschuldigung, dies war ein Missverständnis. Ich meinte zu den früheren Einstellungen zurückgehen und mit dem Umgang der Internetseiten aufpassen.
Trotzdem danke schön
Frager

 

[Redhead]

Wieso ist dies eigentlich schlecht, dass bestehende Adminkonto mit allen Daten, nachdem ich ein neues Adminkonto erstellt habe, in ein Benutzerkonto umzuwandeln? Es würde dem Vorgehen entsprechen, dass in verschiedenen Artikeln von PCtipp vorgeschlagen wurde.

 

[Michel.Eichelberger]

Wieso ist dies eigentlich schlecht, dass bestehende Adminkonto mit allen Daten, nachdem ich ein neues Adminkonto erstellt habe, in ein Benutzerkonto umzuwandeln? Es würde dem Vorgehen entsprechen, dass in verschiedenen Artikeln von PCtipp vorgeschlagen wurde.

ich würde es eher so sehen, dass man einen 2. Benutzer installiert, anstatt den Administrator zu entkraften...

 

[Flo]

Aber was ist den so schlimm daran, wenn man Konto B erstellt, dies zu einem Admin macht und dem Konto A die Adminrechte entzieht?

 

[Gaby Salvisberg]

Zumindest unter XP Home ist es ja leider so, dass man standardmässig als Admin arbeitet. Der erste eingerichtete Account ist automatisch Admin; und man wird bei der Installation/Inbetriebnahme nicht darauf aufmerksam gemacht, dass man aus Sicherheitsgründen nicht damit arbeiten sollte.

Wenn man dies später ändern will, muss man alle Einstellungen (Anpassen der Oberfläche usw.) nochmals vornehmen. Schlimmer noch: Auch die bisher erstellten Lesezeichen/Favoriten, die ganzen Mails, das Adressbuch, die Dokumente, Vorlagen, Bilder usw. müsste man verschieben. Und spätestens dies stellt den durchschnittlichen User definitiv vor grössere Probleme.

Nach meinen Erfahrungen hat es immer gut geklappt, einen neuen Admin-Account zu erstellen und den bisherigen auf "Eingeschränkt" zurückzustufen. Das hat den Vorteil, dass man nicht alle Einstellungen, Mails, Bookmarks usw. zügeln muss. Aber es setzt voraus, dass man in diesem (bisherigen) Admin-Account nur ordentliche Software verwendet hat. Also eine, die brav die User-Daten ins Profil schreibt.

Ich habe jedenfalls nie erlebt, dass durchs "Zurückstufen" das Schreibrecht auf typische User-Ordner dieses Kontos ("Eigene Dateien" oder das Firefox/Thunderbird-Profil) tangiert wurde.

Gaby

 

[abu]

Aber was ist den so schlimm daran, wenn man Konto B erstellt, dies zu einem Admin macht und dem Konto A die Adminrechte entzieht?

Wirklich schlimm ist es in der Tat nicht, aber es ist ein wenig ein "Murks". Allerdings wird man leider ja fast dazu genötigt, da MS es versäumt hat, diese Dinge ordentlich festzulegen. Also lieber ein entmachtetes Admin-Konto als mit einem "scharfen" Admin-Konto arbeiten.

Ich habe jedenfalls nie erlebt, dass durchs "Zurückstufen" das Schreibrecht auf typische User-Ordner dieses Kontos ("Eigene Dateien" oder das Firefox/Thunderbird-Profil) tangiert wurde.

Ich schon. Allerdings ging es dabei um Zugriffsrechte innerhalb der Registry. Dies zu bereinigen dürfte dann für einen Normal-User eine weitere Herausforderung darstellen.

 

[Juan]

Habe versucht, Gabi Salvisbergs Verfahren anzuwnden, den Admin zu "entmachten". Habe bei allen Kontoen, aber nicht beim Konto "Administrator" die Wahlmöglichkeit "Kontotyp ändern" ! Es geht also nicht; was stimmt hier nicht?

 

[Gaby Salvisberg]

Das Konto, welches sowohl "Administrator" heisst, als auch ein Administrator ist, kann man nicht entmachten.

Aber z.B. auf Windows XP Home das erste erstellte Konto (z.B. Fritzli), welches ein Administrator ist, könnte man nachträglich entmachten. Natürlich sollte man vorher ein Konto "Fritzliadmin" oder ähnlich erstellen, dem man Admin-Rechte geben muss.

Gaby