Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Gezielt Benutzerrechte vergeben

Abyss1 am 22.02.2006, 09:37 / 6 Antworten / Baumansicht

Hi! Ich habe die Antwort auf meine Frage noch nirgends gefunden. Überall wird verlautet. dass man - insbesondere unter XP Prof. - nur ein eingeschränktes Konto erstellen muß, um vor schädlichen Scripts usw. sicher zu sein. Es werden ausführlichste, narrensichere Anleitungen für ein relativ triviales, quasi selbsterklärendes Thema geschrieben. Nur: Wenn man nun mit diesem eingeschränkten Benutzerkonto irgendetwas tun will, insbesondere im Internet surfen, kommt eine Fehlermeldung, dass man nicht genügend Rechte besitzen würde... Toll, und da hört es dann auf. Mit einer banalen Aussage "Ja, Du mußt dem Programm Rechte einräumen" kann man in der Regel nichts anfangen. Das WIE, darauf kommt es an. Wo muß man da reingehen?
Wie kann ich einem Programm unter einem eingeschränkten Benutzerkonto Rechte einräumen / vergeben, ausgeführt zu werden? Ich fand das noch nirgends!!!

Gruß,

Abyss, der Verzweifelte

    
        Andreas42 Abyss1 „Gezielt Benutzerrechte vergeben“
      
        22.02.2006, 10:21 Optionen
      
          Hi!

          Ich hab' leider im Moment nicht die Zeit um das Thema ausführlich zu erklären, deshalb kommt's jetzt etwas kanpp rüber...

          Die Rechtebeschränkungen setzen an zwei Stellen an:

          1. Zugriffsrechte auf Dateien und Verzeichnisse

          2. Zugriffsrechte auf Registryzweige

          (Es ist also nicht möglich einfach das Programm als komplettes Objekt zu betrachten und zu sagen "der User hat auf das Programm Zugriffsrechte".)

          Der erste Schritt/Test wäre also einem eingeschränkten User Zugriffsrechte auf das Installationsverzeichnis der Anwendung zu geben, die er nicht ausführen kann.

          Wenn's jetzt knallt, muss man im Ereignisprotokoll nach hinweisen suchen, wo es "klemmt" und dann dort entsprechende Rechte verteilen.

          Kommt man so nicht weiter, muss man mit Tools wie Regmon und Filemon die Registryzugriffe und die Dateizugriffe protokolieren und dann dort nahc den Fehlkerursachen suchen.

          Das kann von Einfach bsi sehr kompliziert werden. Alternativ kann man natürlich im Internet suchen, ob dort schon informationen zu dem betroffenen Programm zu finden sind.

          Bis dann

          Andreas
        
        K-F Andreas42 „Hi! Ich hab leider im Moment nicht die Zeit um das Thema ausführlich zu...“
      
        23.02.2006, 12:44 Optionen
      
          Hallo Abyss1,

          zunächst einmal: Es gibt ja die unterschiedlichsten Formen von "Benutzer-Konten", deren Rechte jweils anders ausgestattet sind. Und nun zu Deiner Bemerkung: ...insbesondere im Internet surfen...

          Zum Besuch des Internets sind, wie Du sagst, Konten mit "eingeschränkten Rechten" unbedingt zu empfehlen.

          In Frage kommen da das sog. "Benutzerkonto mit eingeschränkten Rechten" und das "Gast-Konto", das die wenigsten Rechte genießt - und von daher für das Internet wohl am geeignetsten ist.

          Das Benutzerkonto mit eingeschränkten Rechten hat (indirekten) Zugriff auf den RAS-Dienst - also den Verbindungsaufbau ins Netz - das Gast-Konto nicht.

          Dennoch kannst Du mit dem Gast-Konto ins Netz gehen, wenn Du einen Trick anwendest: Du stellst im Admin-Konto die DfÜ-Verbindung her, meldest das Admin-Konto ab - und das Gast-Konto an. Damit bei diesem Vorgang die DfÜ-Verbindung nicht zusammenbricht (Normalzustand), mußt Du einen neuen Registry-Eintrag anlegen:

          Schlüssel: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

          Befehl (String): KeepRASConnections (Schreibweise beachten!)

          Wert: 1

          Neustart.

          Damit kannst Du auch im Gast-Konto surfen - ich mache es seit langem so. Daß Du mittels der Konten mit eingeschränkten Rechten nicht alles darfst - vor allem keine Installationen vornehmen - ist, Andreas hat es erläutert, normal und, vor allem, ja der SINN dieser Konten. Trotzdem kannst Du aus dem Netz auch im Gast-Konto jedes Programm downloaden und zunächst mal speichern - installierden tust Du es danach im Admin-Konto...

          Gruß! K-F.

          [Diese Nachricht wurde nachträglich bearbeitet.]
        
        Brueti K-F „Hallo Abyss1, zunächst einmal: Es gibt ja die unterschiedlichsten Formen von...“
      
        23.02.2006, 14:43 Optionen
      
          Hallo K-F.

          Gute Idee, aber noch eine Frage.

          Wenn ich das mit KeepRASConnections Wet 1 gemacht habe, kann ich nicht nach dem booten einfach mit dem Gast-Konto starten? Nach dem Hochfahren des PC-s startet (jetzt noch) die Internetverbindung (W-LAN) automatisch.

          Muß (danach) unbedingt erst mit Admin-Konto die Verbindung hergestellt werden?

          Gruß Brueti
        
        K-F Brueti „Hallo K-F. Gute Idee, aber noch eine Frage. Wenn ich das mit KeepRASConnections...“
      
        23.02.2006, 15:38 Optionen
      
          Hallo Brueti,

          ...kann ich nicht nach dem booten einfach mit dem Gast-Konto starten?... das geht leider nicht, da das Gastkonto keinerlei Zugriff zu den RAS/DfÜ-Diensten hat. (Merkwürdigerweise - denn Microsoft schreibt in seinen Hilfe-Dateien ausdrücklich, daß es für e-mail- und Internet-Ausflüge für Gäste gedacht sei.) Du mußt also immer erst in einem "berechtigten" Konto die DfÜ-Verbindung herstellen - und dann in das Gastkonto wechseln.

          Ein "berechtigtes" Konto, ausser dem Admin-Kto, wäre z.B. das von mir erwähnte "Benutzerkonto mit eingeschränkten Rechten". Dieses Kto ist, wie der Admin, ebenfalls in der Lage eine DfÜ-Verbindung aufzubauen. Auch hier müßtest Du anschliessend ins Gast-Kto wechseln - sofern Du partout das Gast-Kto benutzen möchtest (wie ich z.B.).

          Im Übrigen ging es mir wie Dir und Abyss1; ich habe viel Zeit auf diesem und vielen anderen Boards zugebracht, um herauszufinden, wie man es anstellen könnte, mit "Gast" DIREKT ins Netz zu kommen - aber ohne Erfolg. Mit sog. "Rechtezuweisungen" ging nichts, ich habe mich auch schon an den "Gruppenrichtlinien" versucht; ebenfalls nichts - bis ich irgendwo auf diesen Trick mit der Registry stieß. Der funktiomiert wenigstens. Ist doch immerhin etwas. (Wie sagt man so schön: "Unter Blinden ist der einäugige König!")

          Gruß! K-F.
        
        Brueti Andreas42 „Hi! Ich hab leider im Moment nicht die Zeit um das Thema ausführlich zu...“
      
        23.02.2006, 14:56 Optionen
      
          Hi Andreas.

          Habe das gleiche Problem wie Abbys.

          Ich (wir ) wären sehr dankbar wenn Du mal Zeit hättest um die Vorgehensweise zu erklären.

          Ich (Admin) gehe zurzeit über W-LAN (nur 1 PC am Router) ins Internet.

          Möcht aber gerne in Zukunft mit eigeschränktem Konto surfen, ebenso weiter Familienmitglieder wenn ich nicht Zuhause bin.

          Mein Ziel:

          Adminkonto mit Passwort für mich und ein zweites, eingeschränktes Konto für alle anderen zum surfen.

          Suche, wie auch Abbys, seit Wochen in allerhand Foren. Habe allerhand schon ausprobiert. Funzt nicht.

          Hoffentlich hören wir bald was von Dir.

          Gruß Brueti

        K-F Brueti „Hi Andreas. Habe das gleiche Problem wie Abbys. Ich wir wären sehr dankbar wenn...“
      
        23.02.2006, 15:56 Optionen
      
          Hallo Brueti,

          in dem von Dir dargestellten Sinne kämst Du mit einem "Benutzerkonto mit eingeschränkten Rechten" m.E. am ehesten zurecht. Es darf zwar deutlich mehr als das Gast-Kto - ist aber immer noch wesentlich "sicherer" als das Admin-Kto im Netz.

          Nebenbei: Wenn Du (Ihr) ein Benutzer-Kto eingerichtet habt und wollt dessen Rechte-Zuweisung ändern, so geht das (nur im Admin-Kto) so: Start / Ausführen / (Eingabe) control userpasswords2 / O.K. In dem Menü, das sich öffnet, dann Doppelklick auf das entsprechende Konto.....

          Gruß! K-F.