WinFuture-Forum.de: Installieren von Software unter Standardusern - WinFuture-Forum.de

Hiho
auf dem PC den meine Familie zusammen verwendet, habe ich alle Benutzerkonten als Standarduser eingerichtet.
Wenn nun jemand etwas installieren möchte, kommt jedesmal die UAC von Windows und fragt nach dem Adminpasswort, welches ich aber natürlich nicht rausgeben möchte.
Die Benutzerkonten wurden mit dem Admin erstellt, welchen man erst in der Computerverwaltung aktivieren muss. Sprich es gibt nur diese Standarduser, keinen weiteren Admin.
Ich habe bereits die UAC soweit abgeschaltet, dass eigentlich nicht mehr danach gefragt werden dürfte, aber es kommt weiterhin.
Kann mir jemand sagen wie ich es ermöglichen kann?

Also wenn du bereit bist, die UAC abzuschalten und das System so konfigurierst, damit ein x-beliebiger User ohne Passwortabfrage Adminaufgaben wie Programminstallationen ausführen kann, dann kannst du auch das Adminpasswort rausrücken.

Am Anfang fand ich das bei Linux verwirrend aber bei solchen Problemen lob ich mir die sudoers auf meinem Debianrechner, damit lässt sich das sicherer lösen. Darum warten wir mal auf einen Win7-Experten, vielleicht gibt es ja in Win7 etwas Ähnliches, was ich auch noch nicht kenne.

Ich würde die UAC auch lieber anlassen, die Hauptsache ist, dass es möglich ist, dass User Software installieren können.
Es geht mir viel mehr um die Systemsteuerung, dass da nicht jeder rummachen kann wie es passt wie zb. Kennwörter von anderen Accounts zu löschen.

Besitz von Dateien und Verzeichnissen übernehmen / Berechtigungen ändern!
Klick
Ich hoffe es hilft!

Zitat (username1: 23. Februar 2013 - 17:25)

Das ist der Sinn der UAC.

Zitat (username1: 23. Februar 2013 - 17:25)

Nun, sollen die User etwas installieren dürfen, oder nicht?

In jeder normalen Umgebung entscheidet der Admin, was die Benutzer dürfen und was nicht.

Dürfen sie es, können sie auch das System zerschiessen, dürfen sie es nicht, weil sie unbedarft sind, so haben sie den Admin, in dem Fall Dich, darum zu bitten, die Software zu installieren.

Du mußt entscheiden, ob sie es dürfen.

Du kannst alternativ, sollte ein erlesener Kreis es dürfen, einen zweiten Adminaccount mit einem anderern Standardpasswort einrichten und das Passwort dann entsprechend verteilen.

Du als "Admin" entscheidest" was gewollt ist.

Wenn sie es alle sowieso dürfen, gib allen das zweite Adminpassowrt und der Adminstrationsaufwand im Falle eines zerstörten Systems liegt dann sowieso bei Dir.

Je nachdem wie z.B Images konfiguriert sind ist eine mögliche option zu ziehen.


Eine andere Option wäre noch virtuelle Maschinen für die Benutzer einzurichten in denen sie volle Rechte haben, ist das virtuelle System zerstört, kann der Schmerz über dessen Verlust den Wunsch nach einem Adminpasswort reduzieren und das Hauptsystem bleibt zudem von dem Problem des zerstörenden unberüht.

Zitat (doll-by-doll: 23. Februar 2013 - 18:19)

Ich glaube eher nicht

Dieser Beitrag wurde von Candlebox bearbeitet: 23. Februar 2013 - 19:13

@Candlebox
So lange der Fragesteller den Unterschied zwischen Benutzer(Gast) und Administrator nicht bekannt ist nutzt auch keine Hilfestellung.
Dieser link hier ist gar nicht so schlecht.
Klick
Ein bisschen Windowskenntnisse sollte der Fragesteller schon mitbringen!

Zitat (doll-by-doll: 23. Februar 2013 - 19:18)

Sorry, aber ich finde seine Fragestellung klar verständlich. Und ohne böse, Deinen Besitzrechte-Übernehmen-Link finde ich fehl am Platze, da er mehr verwirrt und mehr zerstört als er hilft, denn noch macht die UAC das was sie soll.

Er hat alle Benutzer wie es sich gehört zu Standardkonten verdonnert. Er ist der Admin, er hatte die Arbeit, sein Konto ist das Adminkonto, und seine Familie soll den PC benutzen.
Benutzen heißt nicht Administrationsaufgaben übernehmen, wozu installieren von Software gehört. Er muß jetzt entscheiden und kundtun was er möchte.

Dieser Beitrag wurde von Candlebox bearbeitet: 23. Februar 2013 - 19:25

Je nach Software ist es durchaus möglich, diese ohne Admin-Rechte zu installieren - wenn sie dem Least-Privilege Prinzip folgt.


Einfach irgendwo unter %USERPROFILE%\ installieren. Oder in ein definiertes Verzeichnis, für welches a) die Nutzergruppe Schreibrechte hat und das b) NICHT unter %PROGRAMFILES% (oder der x86-Variante) liegt.


Wie gesagt, das geht (bzw. scheint) nicht bei jedem Setup zu funktionieren; grundsätzlich klappt es nicht, wenn das Setup in die Registry nach HKLM\* schreiben will (wozu nur Admins das Recht haben).

@doll-by-doll; also um ehrlich zu sein, weiß ich nicht in welchem Bezug mir Ordnerberechtigungen hierbei helfen soll. Ich nehme an du beziehst es wie RaplhS auf das Freigeben des Zielinstallationsordners? - Das Problem hierbei ist, dass, wie RalphS schon schrieb, sobald Registryeinträge gesetzt werden das Adminpw abgefragt wird.

Das ganze Problem trat auf, als versucht wurden, Treiber/Software für Kamera und Camcorder zu installieren. Da ich zu diesem Zeitpunkt nicht zu Hause war das Ganze etwas schlecht.
-- ich weiß, dass solche Situationen nicht oft vorkommen, würde sie aber gerne dennoch vorbeugen.

@Candlebox; Wenn das System zerschossen werden würde, wäre es kein Problem. Wichtige Daten werde täglich gesichert, ein Image wäre innerhalb einer halben Stunde eingespielt.

Es geht mir hauptsächlich darum, dass die Enduser jegliche Software installieren können, aber keinen Zugriff auf die Systemsteuerung, insbesondere der Benutzerkontenverwaltung (außer der eigenen natürlich), haben. Sobald ich aber einen Adminaccount einrichte, ist es wiederum möglich, auf die Benutzerkontenverwaltung zuzugreifen, was ich aber unterbinden möchte.

Dieser Beitrag wurde von username1 bearbeitet: 24. Februar 2013 - 15:54

Also verallgemeinert betrachtet finde ich das mehr als inkonsequent, was die Behandlung des Sicherheitskonzeptes angeht. Der Enduser soll sämtliche Software installieren dürfen und es ist auch kein Problem, wenn er dabei mal das System zerschießt. Er soll aber keinen Zugriff auf die Benutzerverwaltung haben.

Das ist für mich als schickt man jemanden los der keinen Waffenberechtigungsschein hat, gibt dem aber eine Vollmacht mit der er sämtliche Waffen einkaufen darf und erlaubt ihm, Andere zu erschießen wenn es mehr oder weniger aus Versehen passiert. Erhebt dann aber den Zeigefinger "Ausweise von Fremden kontrollieren darfst du aber nicht!"

Ich weiß nicht wo das Problem ist.
Ich will unterbinden, dass Accountpasswörter gelöscht werden um mal eben nachzuschauen was der andere treibt, und ich nicht wegen jeder kleinen Softwareinstallation rennen muss.

Zitat (username1: 24. Februar 2013 - 16:15)

Wenn User1 Adminrechte hat und das Passwort von User2 ändern oder löschen will, dann muß er ja das aktuelle Passwort von User2 eintippen. Wenn er also das Passwort von User2 sowieso hat, dann könnte er sich ja gleich als User 2 anmelden und alles ändern. Hat User1 das Passwort von User2 nicht, kann er das auch mit seinen Adminrechten nicht ändern oder löschen.
Trotz alledem sollte der Enduser keine Adminrechte haben und selbst der Admin also als Person sollte für die normale Arbeit ein Standardkonto benutzen.

Zitat (username1: 24. Februar 2013 - 16:15)

Das ist aber die Aufgabe eines verantwortungsbewußten Administrators.

Zitat (Holger_N: 24. Februar 2013 - 16:32)

Muss er eben nicht, Administratoren können jederzeit das Passwort von anderen (Benutzer)Accounts löschen. Des Weiteren kann der Admin, welcher bei der Installation von Windows angegeben wurde, jedes Passwort löschen (auch von anderen Admins). Nur nachträglich erstellte Adminaccounts können die Passwörter nicht löschen. (Admin2 kann PW von Admin3 ohne Eingabe dessen PWs nicht löschen)

Dieser Beitrag wurde von username1 bearbeitet: 24. Februar 2013 - 16:50

Zitat (username1: 24. Februar 2013 - 16:41)

Wenn du jetzt einen Adminaccount erstellst, der dann für die Endnutzer für deren Programminstallationen vorgesehen ist, ist das dann kein "nachträglich erstellter Adminaccount" ?

Zitat (Holger_N: 24. Februar 2013 - 16:32)

Nö.

Zitat (Holger_N: 24. Februar 2013 - 16:32)

Natürlich kann ich mich als Administrator/Admin in das Konto eines Benutzerkontos einloggen bzw dieses ändern.
Deswegen bin ich ja der Admin.
Der Benutzer könnte ja auch sein Passwort ändern, sofern die Rechte vorhanden sind und sagen: Ätschebätsch du bekommst das PW nicht und Nänänänänä .... Hätte ich kein Zugriff darauf, wäre das ja auch fatal, wenn er als User der keine Ahnung hat, mich um Hilfe bittete.

Nein. control userpasswords2 unter Ausführen mit Adminrechten, erlaubt mir als Admin, jeden Benutzer oder Admin zu löschen, das PW zu ändern und mich dann entsprechend einzuloggen ohne bekanntsein irgendwelcher anderer Passwörter. Ich brauche nur mein AdminPW.

Es sei denn, ich verweigere als Admin1 den Zugriff generell für entsprechende Admins den Zugriff auf die Dateien, die mir eine Änderung ermöglichen.

Zitat (Holger_N: 24. Februar 2013 - 16:32)

+++

Zitat (username1: 24. Februar 2013 - 16:41)

Soweit ja.

Zitat (username1: 24. Februar 2013 - 16:41)

Nein.
Da du von Win7 redest, ist der Admin den man bei der Installation angibt, auch nur ein popeliger UAC-Admin den man nicht mit dem integrierten Administratorkonto verwechseln darf.

username1 sagte:

Kann ich als Admin immer, das ist der Sinn des Admins.

username1 sagte:

Dafür gibt es z.B die RDP, vnc oder jedmögliche andere Fernwartungsprogramme.

Ein Admin darf EBEN ALLES.

Wenn es hier nur darum geht, daß die Benutzer sich untereinader nicht ausspionieren können sollen, ist das Sache des Benutzers daß er sein Passwort geheim hält.

Dieser Beitrag wurde von Candlebox bearbeitet: 24. Februar 2013 - 17:48