[Kristallprinz]

Hallo liebe Forengemeinde,
nachdem ich mich die letzten Tage fast totgesucht habe via Google und einigen Foren, versuche ich mal mein Glück hier. Das Problem ist ein fehlende/s Eingabefenster/zeile, wenn man das Administratorkennwort eingeben muss.
Aber erstmal von Anfang an, habe mehrere PCs und ein Notebook mit WIN 7 bzw. VISTA Betriebssystemen. Seit Win XP Tagen habe ich bei Installationen keine Administratorkennwörter vergeben und auch die Benutzerkonten blieben ohne Kennwörter. Warum auch, war ja alleine dran. Dies hat sich auch bei den jetzigen WIN 7 und VISTA Installationen auch nicht geändert, nur habe ich hier nun mehrere Benutzerkonten auf einem PC und auf dem Notebook, alle anderen haben nur eins, da sie verkauft werden sollen. Mittlerweile hatten alle Benutzerkonten Kennwörter, da ich nicht mehr allein dran saß.
Der PC und das Notebook sollten nun ein Administratorkennwort erhalten, während alle anderen Benutzerkonten auf Standard gesetzt werden – eine Sicherheitsregel der ich jetzt erst bewusst werde. Gesagt, getan und erstmal alle Konten, bis auf das in dem ich arbeitete, auf Standard gesetzt. Dann musste ich allerdings das Administratorkonto sichtbar/active (cmd.exe) machen, um das letzte “normale“ Konto auf Standard zu setzen, dann wieder in ein Standardkonto, um das Administratorkonto wieder unsichtbar zu machen.
So jetzt kommt dann das was ich nicht ganz verstehe, bei sichtbarem Administratorkonto öffnete sich das Benutzerkontensteuerungsfenster korrekt. Also bei Systemeingreifenden Aktionen, De- bzw. Installation oder „als Administrator ausführen“ Aktion, Administratorkennwortabfrage . Wenn ich aber das Administratorkonto wieder verstecke, macht sich zwar das Benutzerkontensteuerungsfenster auf, aber man kann kein Kennwort eingeben – es fehlt die Eingabezeile! Glück im Unglück, das in dem Fall im abgesicherten Modus das Administratorkonto sichtbar ist.
Was mache ich falsch?
Oder muss ein “normales“ Benutzerkonto Administratorrechte behalten?
Muss ich noch einige Rechte korrigieren?

MfG
Thomas

[Sturmovik]

Es muss eigentlich ein sichtbares Konto mit Administratorrechten verbleiben, die UAC funktioniert nicht mit versteckten Konten.

Es gibt allerdings noch die Möglichkeit, von einem Benutzerkonto aus den versteckten Administrator zu aktivieren, wenn man ihn mal braucht. Dazu reicht (glaube ich) der "net user" Befehl in der cmd-Shell.

Dieser Beitrag wurde von Sturmovik bearbeitet: 13. April 2014 - 00:28

[timmy]

Das Adminkonto, mit dem du hantiert hast, ist wohl eher der "echte" Admin.
Den solltest du einfach vergessen und ein Benutzeradminkonto mit Passwort anlegen.
Dazu dann noch die normalen Benutzerkonten und fertig.

[Holger_N]

Zitat

…Seit Win XP Tagen habe ich bei Installationen keine Administratorkennwörter vergeben und auch die Benutzerkonten blieben ohne Kennwörter. Warum auch, war ja alleine dran…

Ich glaube es gibt hier auch noch Mißverständnisse über den Sinn der Benutzerkontensteuerung. Es geht nicht nur darum, dass für unterschiedliche Personen verschiedene Konten eingerichtet werden können, sondern vor Allem auch, dass man als Benutzer bei der normalen Bedienung nicht mit vollen Adminrechten unterwegs ist, auch wenn man als Person selber der Admin ist. Auch das ist Teil des Sicherheitskonzeptes und nicht nur, dass ein Dritter irgendwas machen könnte.

[Kristallprinz]

Hallo,
erstmal vielen Dank für die Antworten.

Zitat (Sturmovik: 13. April 2014 - 00:27)

Es muss eigentlich ein sichtbares Konto mit Administratorrechten verbleiben, die UAC funktioniert nicht mit versteckten Konten.

Es gibt allerdings noch die Möglichkeit, von einem Benutzerkonto aus den versteckten Administrator zu aktivieren, wenn man ihn mal braucht. Dazu reicht (glaube ich) der "net user" Befehl in der cmd-Shell.

Das dachte ich mir schon, nur immer umschalten wenn es gefordert wird?! Aber wenn ich sowieso ein sichtbares AdminKonto haben muss, wechsel ich eher dorthin, um die administratorischen Aufgaben zu erledigen oder halt wie üblich "als Administrator ausführen" in den Standardkonten zu nutzen.

Zitat (timmy: 13. April 2014 - 15:33)

Das Adminkonto, mit dem du hantiert hast, ist wohl eher der "echte" Admin.
Den solltest du einfach vergessen und ein Benutzeradminkonto mit Passwort anlegen.
Dazu dann noch die normalen Benutzerkonten und fertig.

Ja diesen Gedanken bekam ich nach dem Chaos auch, allerdings eher ein neues Benutzerkonto mit Adminrechten anlegen und nur nutzen wenn nötig.

Zitat (Holger_N: 13. April 2014 - 15:44)

Ich glaube es gibt hier auch noch Mißverständnisse über den Sinn der Benutzerkontensteuerung. Es geht nicht nur darum, dass für unterschiedliche Personen verschiedene Konten eingerichtet werden können, sondern vor Allem auch, dass man als Benutzer bei der normalen Bedienung nicht mit vollen Adminrechten unterwegs ist, auch wenn man als Person selber der Admin ist. Auch das ist Teil des Sicherheitskonzeptes und nicht nur, dass ein Dritter irgendwas machen könnte.

Ja das ist mir schon klar geworden, steht ja auch im Text. Hatte dahingehend auch nie einen Befall meines PCs gehabt, da die Sicherheitssoftware immer mal eingegriffen hatte.

Nachtrag:
Was ich vergaß zu erwähnen, die Motivation nur Standardkonten sichtbar zu haben, war der Verkäufer meines letzten Notebooks Anfang des Jahres. Er hat ein WIN 7 BS aufgespielt und letztendlich hat es NUR 3 Benutzerkonten - Administrator - User - Gast. Administrator und Gast wie üblich deaktiviert/unsichtbar, während seltsamerweise das Benutzerkonto NUR ein STANDARDKONTO ist!
Daher wird mir wohl nicht anderes übrig bleiben als nochmal Kontakt aufzunehmen.

[RalphS]

Was mir grad nicht ganz klar ist: muß das Konto deaktiviert werden? Oder genügt es, es zu verstecken?

Falls letzteres, kommt man auch so zum Ziel.

Wie schon erwähnt, sollte man den Windows-eigenen Administratoraccount NICHT verwenden - und ihn auch deaktiviert lassen, was das angeht, auch wenn das stets und ständig irgendwo angepriesen wird.

Das ist ein Sicherheitsleck, und zwar ein schwerwiegendes.

Übrigens genügt es, wenn man seinen Benutzer einfach in die 'Administratoren'-Gruppe steckt. Beim nächsten Anmeldevorgang hat der Benutzer dann Adminrechte.

Und wenn es darum geht, mit dem Benutzer einfach nur etwas "Als Admin aus(zu)führen", kann man in den Sicherheitsrichtlinien (gpedit.msc) auch die 'Interaktive Anmeldung' deaktivieren. Dann funktioniert die Anmeldung am Willkommensbildschirm nicht mehr.

Dieser Beitrag wurde von RalphS bearbeitet: 14. April 2014 - 07:23

[Kristallprinz]

Zitat (RalphS: 14. April 2014 - 07:22)

Was mir grad nicht ganz klar ist: muß das Konto deaktiviert werden? Oder genügt es, es zu verstecken?

Falls letzteres, kommt man auch so zum Ziel.

Wie schon erwähnt, sollte man den Windows-eigenen Administratoraccount NICHT verwenden - und ihn auch deaktiviert lassen, was das angeht, auch wenn das stets und ständig irgendwo angepriesen wird.

Das ist ein Sicherheitsleck, und zwar ein schwerwiegendes.

Übrigens genügt es, wenn man seinen Benutzer einfach in die 'Administratoren'-Gruppe steckt. Beim nächsten Anmeldevorgang hat der Benutzer dann Adminrechte.

Und wenn es darum geht, mit dem Benutzer einfach nur etwas "Als Admin aus(zu)führen", kann man in den Sicherheitsrichtlinien (gpedit.msc) auch die 'Interaktive Anmeldung' deaktivieren. Dann funktioniert die Anmeldung am Willkommensbildschirm nicht mehr.

Hallo,
deaktiviert und unsichtbar ist meiner Ansicht das was Sie als versteckt verstehen, denn über die CMD Konsole muss ja der net user administrator /active:no gesetzt werden oder ist es von der Erstinstallation an. Den Administrator zu deaktivieren wie Sie es verstehen, also ganz weg, geht eventuell nur mit der Kontolöschung. Das Wort deaktivieren benutze ich, weil die net user Ausführung ...active:no eingedeutsch ja eigentlich deaktiviert heißt.
Ich fand nur den Aufbau des Systems des Notebooks (nur ein sichbarer User im Startbildschirm der auch nur mit Standardrechten online ist) interessant und wollte meine Rechner ebenso aufbauen, was aber wie ich nun merkte ein besonderer Clou zu sein scheint. Systemeingreifende Aktionen können hier dann nur über "als Administrator ausführen" erledigt werden - es sein dennn man gibt relevanten Programm sofort Adminrechte. Es soll ja nicht in das Administratorkonto gegangen werden.

[Sturmovik]

Die Idee ist ja eigentlich ganz gut, scheitert aber leider daran, dass man ein aktives Administratorkonto benötigt, um per Kontextmenüeintrag die administrativen Rechte zu holen.
Das kann der eingebaute Administratoraccount sein oder irgendein anderer, aber einer muss aktiv sein.

Übrigens: wir duzen uns hier eigentlich

[RalphS]

Das haut alles nicht ganz hin.


Warum eigentlich so umständlich?

1. Das (bzw. die) windows-eigene Konto/-en NICHT ändern (außer man weiß ganz genau, was man da tut. Sonst funktioniert im schlimmsten Fall gar nichts mehr).
2. Ein dediziertes Konto anlegen und diesem Administratorrechte geben.
3. Weitere Benutzerkonten anlegen mit Berechtigungen je nach Bedarf.

Wenn man das eben eingerichtete Benutzerkonto vom Willkommensbildschirm verstecken möchte (sodaß es wie der Windows-eigene Administrator dort nicht auftaucht) führt der Weg über die Registry, wie oben verlinkt. Wenn man es aber deaktiviert (zB mit dem net... /active:no Befehl oder über die Benutzerkonten in der Systemsteuerung) dann ist es halt deaktiviert und kann für nichts mehr verwendet werden.

[Kristallprinz]

Zitat (Sturmovik: 14. April 2014 - 21:34)

Die Idee ist ja eigentlich ganz gut, scheitert aber leider daran, dass man ein aktives Administratorkonto benötigt, um per Kontextmenüeintrag die administrativen Rechte zu holen.
Das kann der eingebaute Administratoraccount sein oder irgendein anderer, aber einer muss aktiv sein.

Übrigens: wir duzen uns hier eigentlich

Yo dann werd' ich mal auf's Du gehen
Na wie gesagt das scheint wohl ein Kniff des Verkäufers vom Notebook zu sein. Er hat es so jedenfalls hinbekommen, muss da doch mal wieder umbauen und genauer checken. Warte dahingehend immer noch auf Antwort.

Zitat (RalphS: 15. April 2014 - 07:29)

Das haut alles nicht ganz hin.


Warum eigentlich so umständlich?

1. Das (bzw. die) windows-eigene Konto/-en NICHT ändern (außer man weiß ganz genau, was man da tut. Sonst funktioniert im schlimmsten Fall gar nichts mehr).
2. Ein dediziertes Konto anlegen und diesem Administratorrechte geben.
3. Weitere Benutzerkonten anlegen mit Berechtigungen je nach Bedarf.

Wenn man das eben eingerichtete Benutzerkonto vom Willkommensbildschirm verstecken möchte (sodaß es wie der Windows-eigene Administrator dort nicht auftaucht) führt der Weg über die Registry, wie oben verlinkt. Wenn man es aber deaktiviert (zB mit dem net... /active:no Befehl oder über die Benutzerkonten in der Systemsteuerung) dann ist es halt deaktiviert und kann für nichts mehr verwendet werden.

Wie ich schon Sturmovik sagte, da muss mir der Spezi helfen der es auf dem erworbenen Notebook hinbekommen hat und da ist die Antwort noch ausstehend!

Werde aber noch mal Screenshot's machen.