hey there

Da ich in absehbarer Zeit meinen Laptop neu aufsetzen werde, stelle ich mir die Frage, ob ich wieder wie bisher unter eingeschränkten Rechten arbeiten soll, was z.T. einige Unannehmlichkeiten mit sich brachte. Ich habe hier mal eine kleine Pro/Kontra-Liste erstellt:

Pro

• Hohe Sicherheit
• Es fällt einem leichter, Anwendungen von vornherein so zu entwickeln, dass sie mit minimalen Rechten auskommen.
• Strikte Trennung von normalen und administrativen Tätigkeiten und dementsprechendes Startmenü/Desktop im jeweiligen Benutzerkonto.

Kontra

• Viele Anwendungen müssen erst noch speziell konfiguriert werden, damit sie (wenn überhaupt) mit eingeschränkten Rechten laufen.
• Explorerfenster, die über "Run as" mit Admin-Rechten laufen, aktualisieren nicht automatisch, was das Handling mit Dateien mühsam macht.
• Wenn das Admin-Konto parallel zum Standard-Konto verwendet werden soll, müssen benutzerspezifische Einstellungen immer an beiden Orten vorgenommen werden (z.B. Ordneroptionen, TouchPad-Konfiguration).
• Da Programm-Installationen immer als Admin durchgeführt werden, ist nicht immer klar, wo die Verknüpfungen angelegt werden (Admin/All Users).

Ich würde nun gerne wissen, wie ihr darüber denkt. Anmerkungen und Ergänzungen zur Liste sind natürlich auch willkommen

Greets
Shaman

Geht. Man muss den Namen im zweifelsfalle nur selbst eintippen. Außerdem muss das Konto passwortgeschützt sein.

Okee, aus der Liste gestrichen
Weitere Bemerkungen?

Punkt zwei und drei bei Kontra sind hinfällig. Das Admin-Konto sollte ja sowieso nur zum Administrieren verwendet werden, also wird damit ja sowieso nicht richtig mit gearbeitet.

Zum letzten Punkt: Alles installieren und einrichten und dann das ganze Startmenü einfach kopieren, fertig.

Moin Daniel,

beim letzten Punkt hast Du ausser Acht gelassen, dass es bei der userspezifischen Installationen nicht nur um die Startmenüeinträge geht.
Es werden, meist, auch Konfigurationsdaten im Userprofil (Dokumente und Einstellungen) bzw. der Registry (HKEY_CURRENT_USER) abgelegt.

Bei Grundinstallationen kann man das so lösen, dass man alles gewünschte mit einem entsprechend berechtigten Installtionsaccount (z.B., auch lokaler Administrator) installiert, und dann einfach das Profil dieses User in das Default-User-Profil kopiert.
Dann würde jeder, der sich erstmalig auf dem Rechner anmeldet, diese Einstellugen in sein persönliches Profil bekommen, da dieses ja initial aus dem Default-User-Profil gebildet wird.

Angesichts der Tatsache, dass auch die meisten Fachzeitschriften usw. empfehlen, nicht als Administrator zu arbeiten, kann ich das auch nur empfehlen.

Wie programmierst (debuggst) du? Und bitte sage mir nicht, dass du die Privilegien des "unprivilegierten Kontos" dazu angepasst hast. Da kannst du naemlich auch gleich als Admin arbeiten

Debugrechte erlauben es dir (und konsequenterweise Malware), dich in privilegierte Prozesse einzuklinken - bspw. in Services. Sobald du dort unter den entsprechenden Rechten Code ausfuehren kannst, koenntest du bspw. eine eigene DLL laden oder aehnliches. "Eigene" koennte natuerlich auch die zu einer Malware gehoerende DLL sein.

Nachdem man in einem SYSTEM-Prozess gelandet ist, kann man sich dann seine eigenen Token basteln und prinzipiell auf alles zugreifen, auch wenn das erstmal alles nciht sooo trivial ist

Jupp, stimme ich zu. Im Zweifelsfall muessen dort aber noch die Rechte auf den Hive-Schluesseln des Profils angepasst werden. Kann aber sein, dass das inzwischen automatisch geschieht. Bei NT4 und W2K mussten wir es damals noch teilweise machen.


Aber:
IMO haengt das alles ganz von der Nutzung des Rechners ab, weshalb man weder pauschale Ratschlaege geben kann noch sollte.
NetEXEC ist ein durchaus respektables Produkt und mag eventuell das Problem beheben, indem du mehrere Desktops auf verschiedenen Privilegstufen laufen laesst.

Zu der Gechichte mit den Profilen, kann ich Reparse-Points empfehlen. Mit einer klitzekleinen Modifikation in der GINA koennte dann die GINA jeweils die Profilrechte (Verzeichnis/Hive) anpassen oder noch besser eine Kopie anlegen bevor der Profil-Hive geladen wird. Damit waere dann auch das Problem geloest, dass man Einstellungen hin- und herkopieren muss. Allerdings nur solange, wie nicht beide Benutzer gleichzeitig (Schnelle Benutzerumschaltung/TS) angemeldet sind. Dafuer ginge dann wohl nur noch eine Loesung mit Treiber (zumindest ab XP).

Zu Hause unter dem eingeschränkten Benutzerkonto. Und geht ohne Probleme, da man eigene Prozesse debuggen kann, zu mindest hatte ich da mit Delphi noch nie Probleme. An der Arbeit arbeite ich als Administrator, weil man da doch mal häufiger was installieren usw. muss.

*g* Offenbar bestehen dann doch unterschiede zwischen Live-KD und normaler Anwendungsentwicklung