[ShadowHunter]

Zitat (Rika: 12.04.2006, 18:18)

@ShadowHunter: Photoshop ist immer ein riesiges Problem, weil der AdobeLM-Dienst ein Privilege Escalation ermöglicht und ohne den PS gar nicht läuft. Hier hilft nur ein geeigneter verifizierter *****, der per ** angefragt werden kann.

ohne ***** wäre es wohl klarer, d.h konkret, mit eingeschränktem benutzer garnichts machbar oder?

[Rika]

Machbar schon, aber unsicher, weil Adobe sich zu schade ist, eine riesige Schlamperei zu korrigieren.

[ShadowHunter]

und welche methode würdest du empfehlen in diesem fall?

desweitern brauche ich noch eine lösung wie ich es schaffe, dass ati tray tools auch im eingeschränkten benutzer in den autostart darf 8)

auch pgp funktioniert nicht mehr irgendwie, im key managment von thunderbird sind meine keys weg, neue erstellen klappt auch nicht und winpt läuft auch nicht so wie ich will.
Also komfortabel ist es ja wirklich 0
Wegen jedem Programm Benutzer wechseln, davor natürlich alles schliessen und dann wieder neu starten (nicht den pc die programme wenn ich in mein benutzerprofil wieder zurückkehre)

was mich auch noch intressieren würde, habt ihr irgendwo für dateien wie bilder, videos und sowas einen ordner oder bereich indem auch der benutzer vollen zugriff hat? oder wechselt ihr jedesmal wenn ihr eure mp3 oder video sammlung anpassen wollt, umbennen verschieben oder so in das Administratorkonto?
Habe z.b eine Platte DATEN2 mit Videos, Images, Bildern, Musik etc. auf die atm nur der Admin vollen Zugriff hat aber man möchte ja auch als Nutzer dort manchmal alte bilder löschen und verschieben oder umbenennen, kann ich für solche ordner/laufwerke ruhigen gewissens dem benutzer mehr rechte geben?

ik viele viele fragen aber ich brauch halt die antworten 8)

Dieser Beitrag wurde von ShadowHunter bearbeitet: 12. April 2006 - 19:12

[Rika]

Zitat

und welche methode würdest du empfehlen in diesem fall?

Halt einen *****. Installation geht, wenn sie denn geht, mit Adminrechten und bis auf die AdobeLM-Geschichte läuft's einwandfrei mit eingeschränkten Rechten.

Zitat

desweitern brauche ich noch eine lösung wie ich es schaffe, dass ati tray tools auch im eingeschränkten benutzer in den autostart darf 8)

Also sowas in den Autostart zu packen ist ja nun wirklich keine Kunst.

[ShadowHunter]

Zitat

Halt einen *****. Installation geht, wenn sie denn geht, mit Adminrechten und bis auf die AdobeLM-Geschichte läuft's einwandfrei mit eingeschränkten Rechten.

Jetz ist mir auch klar was du mit dem ***** meintest sorry stand aufm schlauch 8)

Zitat

Also sowas in den Autostart zu packen ist ja nun wirklich keine Kunst.

Ich habe sie unter dem Adminkontot installiert dort starten sie auch im Autostart.
Ich habe sie auch im Benutzerkonto gestartet, dort starten sie jedoch nicht im Autostart, ich schätze,
da ich die Kafu ausgeführt habe, die eben verhindert, dass der Benutzer Autostarteinträge ändern kann.
Deswegen frage ich mich ja

[Graumagier]

ShadowHunter sagte:

ich schätze,
da ich die Kafu ausgeführt habe, die eben verhindert, dass der Benutzer Autostarteinträge ändern kann.

Es gibt bei Windows nicht den Autostart, sondern IIRC deren fünf. Der Benutzer darf per Default nur Autostarts über den gleichnamigen Ordner im Startmenü bzw. unter %USERPROFILE%\Startmenü\Programme\ sowie in der Registry unter HKCU\Software\Microsoft\Windows\CurrentVersion\(Run|RunOnce) anlegen.

Dieser Beitrag wurde von Graumagier bearbeitet: 12. April 2006 - 19:44

[ShadowHunter]

geht beides nicht 8) aber ich geb mir einfach die rechte für diesen ordner wieder bzw. in der registry, ist ja dann nur der autostart des users hier betroffen!

so am rande, die schnelle benutzerumschaltung ist die sicherheitsrelevant? wäre praktisch wenn ich admin und benutzer wechseln kann und wenn ich beim benutzer wieder bin mit meinen programmen weiter arbeiten kann!

Dieser Beitrag wurde von ShadowHunter bearbeitet: 12. April 2006 - 19:46

[Graumagier]

ShadowHunter sagte:

geht beides nicht

Das ist aber nicht normal...

[ShadowHunter]

wie gesagt über das "kafu" tool sind meiner meinung nach die rechte ja entzogen worden.
was z.b auch nicht geht ist "ausführen als" udn dann admin incl. passwort.
egal bei welchem programm es kommt immer:

"Auf das angegebene Gerät, bw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können."

-> dieses Problem hab ich gelöst auch wenn etwas merkwürdig. Ich habe ein weiteres Adminkonto erstellt wieder mit Kennwort, wenn ich sag "Ausführen als" und dieses Konto und Passwort nehme dann gehts, beim anderen nicht (obwohl ich das pw wirklihc richtig eingegeben hab)

Das komische ist, das andere Adminkonto kann ich nicht über die Willkommensseite aufrufen nur über die klassische Anmeldung. Es taucht auch bei meinem 2.Adminkonto unter Benutzer garnicht auf.
Das 1.Adminkonto hieß "Administrator" das 2.Adminkonto heißt jetzt "LokalerAdmin", den lokalen Admin seh ich immer nur den Administrator nicht. Frag mich was an dem 1.Adminkonto anders ist.

Dieser Beitrag wurde von ShadowHunter bearbeitet: 12. April 2006 - 20:09

[Rika]

@Graumagier: Es gibt deren nicht 5, sondern eher 50.

Zitat

so am rande, die schnelle benutzerumschaltung ist die sicherheitsrelevant?

Jein. DDE-fähige Programme können über die TerminalServer-Schnittstelle hinweg miteinandern kommunizieren.

Zitat

Frag mich was an dem 1.Adminkonto anders ist.

Es ist das vordefinierte.

[ShadowHunter]

Zitat

Jein. DDE-fähige Programme können über die TerminalServer-Schnittstelle hinweg miteinandern kommunizieren.

Danke, wirklich bedenklich dann? Ich finde es halt angenehm recht schnell wechseln zu können ohne immer erst Trillian, IRC etc. schliessen zu müssen, dann zum Adminkonto zu gehen, dann wieder zurück und alles neu öffnen muss. Ist halt wieder Komfort oder Sicherheit 8(
Könnte ich diese "Lücke" evtl. schliessen und trotzdem noch die schnelle Benutzerumschaltung nutzen?

Zitat

Es ist das vordefinierte.

Ah erklärt so einiges 8) kann ich dieses zu einem "normalen" ändern? wohl eher nicht oder?

[Graumagier]

ShadowHunter sagte:

Danke, wirklich bedenklich dann?

Nicht wirklich, zumindest überwiegt der Nutzen hier bei weitem.

ShadowHunter sagte:

Ah erklärt so einiges 8) kann ich dieses zu einem "normalen" ändern? wohl eher nicht oder?

Ja, das funktioniert. Schau mal bei Google. Bei mir wurde es zu einem regulären Konto, als ich mit dem Winfuture XP ISO-Builder eine angepasste Installations-CD erstellt habe und als zu erstellenden Account "Administrator" angegeben habe.

Dieser Beitrag wurde von Graumagier bearbeitet: 12. April 2006 - 21:28

[Rika]

@ShadowHunter: Normalerweise ist es kein Problem, aber du kannst ja auch mit Superior SU direkt einen TS-Login machen.

Wenn es nur um's schnelle Ausführen einer administrativen Tätigkeit geht, dann hast du ja Runas.

[ShadowHunter]

Ok werd ich mal suchen 8)
Wobei deine Methode ja eine Neuinstallation nötig machen würde für mich.
Ich kann aber gut auf diesen ja auch verzichten, da ich einen weiteren nun aktiv habe und zurnot kann ich ja wieder darauf zugreifen.

Möchte aber dennoch ein paar restliche Fragen zusammenfassen, damit ich weiss wie ich in Zukunft gleich von Beginn aus vorgehe:

1. Programminstallationen unter dem Adminkonto. Wohin am besten installieren? (bitte genaue Pfadangabe)

2. Programme werden im Benutzer ausgeführt und dort genutzt, was bei Problemfällen machen? Mache es bisher über "Ausführen als" Admin, was manche ja wiederum für ein Sicherheitsrisiko halten

3. Wie geht ihr mit der Dateiverwaltung um? Ich meine damit Bilder, Installationsprogramme, Images, Musik etc., habt ihr da einen Ordner auf den auch der Benutzer Vollzugriff hat oder verwaltet ihr diese auch nur über den Admin

4. Richtet sich am ehesten an Rika: Es wurden Filemon und Regmon erwähnt um Programme zur Funktionstüchtigkeit zu "prügeln" wie funktioniert das genau?

5. Wieder an Rika:

Zitat

@ShadowHunter: Normalerweise ist es kein Problem, aber du kannst ja auch mit Superior SU direkt einen TS-Login machen.

Superior Su = ?
TS-Login = ?

Zitat

Wenn es nur um's schnelle Ausführen einer administrativen Tätigkeit geht, dann hast du ja Runas.

Ist es dabei egal ob ich das über die Konsole oder über "rechtsklick" mache? Waren da nicht Sicherheitsbedenken?

Ansonsten schonmal Vielen Dank, ich weiss die Fragen wurden teilweise in euren Augen schon beantwortet nur eben nicht klar genug für mich.

[Graumagier]

ShadowHunter sagte:

1. Programminstallationen unter dem Adminkonto. Wohin am besten installieren? (bitte genaue Pfadangabe)

Wie gehabt, Rechte können bei Bedarf angepasst werden.

ShadowHunter sagte:

2. Programme werden im Benutzer ausgeführt und dort genutzt, was bei Problemfällen machen?

Filemon und Regmon von Sysinternals verwenden und die Rechte für die entsprechenden Dateien/Registryeinträge anpassen.

ShadowHunter sagte:

3. Wie geht ihr mit der Dateiverwaltung um? Ich meine damit Bilder, Installationsprogramme, Images, Musik etc., habt ihr da einen Ordner auf den auch der Benutzer Vollzugriff hat oder verwaltet ihr diese auch nur über den Admin

Bei mir landet alles in den Eigenen Dateien des Benutzers, da der Administrator-Account an sich ja keinen Arbeitsaccount darstellt und somit auch keine eigenen Dateien benötigt.

ShadowHunter sagte:

Es wurden Filemon und Regmon erwähnt um Programme zur Funktionstüchtigkeit zu "prügeln" wie funktioniert das genau?

Man startet die Programme, stellt den Filter auf ACCESS DENIED ein und startet das zu untersuchende Programm. Dann passt man wie gehabt die Rechte für die speziellen Dateien/Registryeinträge an.

ShadowHunter sagte:

Superior Su = ?

Der SYSTEM-Benutzer (unter Windows).

ShadowHunter sagte:

TS-Login = ?

Terminalserver-Login.

ShadowHunter sagte:

Ist es dabei egal ob ich das über die Konsole oder über "rechtsklick" mache? Waren da nicht Sicherheitsbedenken?

Über die Konsole mit runas /savecred ist problematisch, über die GUI gibt es IMHO keine Probleme.

Dieser Beitrag wurde von Graumagier bearbeitet: 12. April 2006 - 21:48