[ShadowHunter]

Wunderbar schöne Antwort 8) Dennoch hack ich weiter nach:

zu 1.:
Also soll ich sie weiterhin unter D:\Programme installieren oder doch wie manche vorschlagen unter C:\Programme oder C:\Dokumente und Einstellungen\User...

zu 2./4.:

Zitat

Man startet die Programme, stellt den Filter auf ACCESS DENIED ein und startet das zu untersuchende Programm. Dann passt man wie gehabt die Rechte für die speziellen Dateien/Registryeinträge an.

Meinst du damit die Rechte über den Reiter Sicherheit in Windows? oder etwas anderes?
Also mir gehts drum wie ich die Rechte eben genau anpasse

zu 3.:

Zitat

Bei mir landet alles in den Eigenen Dateien des Benutzers, da der Administrator-Account an sich ja keinen Arbeitsaccount darstellt und somit auch keine eigenen Dateien benötigt.

Ok so ist es momentan bei mir auch, der Admin hat ja auf diesen Ordner ja ebenso vollen Zugriff.
Ich hab jetzt noch eine weiter Platte im Rechner auf der auch Daten liegen, speziell jetzt Videos, Images!
Dort hat ja der Benutzer nicht die gleichen Rechte wie unter seinen Eigenen Dateien. Da es sich bei der 2.Platte ja nur um Daten in dem Sinne handelt, kann ich da doch bedenkenlos die rechte wie mit Eigene Dateien anpassen oder?

zu TS-Login:
Ok soweit kapiert und wie verwirkliche ich dies 8)?

Dann werde ich weiterhin bei der GUI bleiben, habe damit jetz vorläufig noch "Mirc" über Adminrechte gestartet bis ich einen schönen ALternativclient hab (Chatzilla und X-Chat konnten mich noch nicht begeistern)

[Graumagier]

ShadowHunter sagte:

Also soll ich sie weiterhin unter D:\Programme installieren oder doch wie manche vorschlagen unter C:\Programme oder C:\Dokumente und Einstellungen\User...

Ich würde weiterhin im Programme-Ordner installieren. Der Tipp mit der Installation unter %USERPROFILE funktioniert ja nur, weil du dort eben erweiterte Rechte hast. Wenn du wie gehabt im Programme-Ordner installierst und die Rechte bei Bedarf anpasst, macht es keinen Unterschied - außer dass es übersichtlicher ist.

ShadowHunter sagte:

Meinst du damit die Rechte über den Reiter Sicherheit in Windows

Ja.

ShadowHunter sagte:

Da es sich bei der 2.Platte ja nur um Daten in dem Sinne handelt, kann ich da doch bedenkenlos die rechte wie mit Eigene Dateien anpassen oder?

Ja, du könntest dem User sogar die Ausführen-Rechte nehmen (auch in den Eigenen Dateien).

ShadowHunter sagte:

zu TS-Login:
Ok soweit kapiert und wie verwirkliche ich dies

Gar nicht, ich nehme nicht an dass du das benötigst

ShadowHunter sagte:

Dann werde ich weiterhin bei der GUI bleiben, habe damit jetz vorläufig noch "Mirc" über Adminrechte gestartet bis ich einen schönen ALternativclient hab

Schau dir mal HydraIRC an. Aber wirf bitte mIRC weg

[ShadowHunter]

Und bei Gelegenheit schreiben wir ein HowTo daraus 8)

Danke dir.

Dann kann ich nämlich jetzt erstmal alles beim alten lassen, finde es so übersichtlicher und von der Sicherheit her sollte es so auch passen.

Reichen der Reiter Sicherheit im Windows Explorer und die Änderungen in regedit dann aus?
Die Analyse mach ich ja im Benutzerprofil, die Einstellung im Adminkonto, gleich mal anhand von Mirc mit den 2 Programmen testen.

Zitat

Ja, du könntest dem User sogar die Ausführen-Rechte nehmen (auch in den Eigenen Dateien).

Bei Installationsfiles ja noch nachvollziehbar 8) aber bei BIldern? will die doch anschaun ^^

Zitat

Gar nicht, ich nehme nicht an dass du das benötigst wink.gif

Wenn ich bedenklos weiter so mit dem Wechsel agieren kann is das auch passend so

Zitat

Schau dir mal HydraIRC an. Aber wirf bitte mIRC weg grin.gif

Das ging sogar jo mal neuinstallieren und anpassen 8) nnscript zu mirc hatte halt nen schönes Theme, schön kleine schrift, schwarzer hintergrund und schriftart und farben genau wie ichs wollte ^^ werds vermissen, musste bei Trillian ja auch auf schönes schwarz verzichten gab keinen guten Skin und Miranda bin ich noch am arbeiten, kommt alles nachm Abi. Erstmal Sicherheit!

Hoff der Linksys is bald da, dann kommt mein nächster Thread zu dem seiner Einrichtung und Firmware etc. ^^

[Graumagier]

ShadowHunter sagte:

Reichen der Reiter Sicherheit im Windows Explorer und die Änderungen in regedit dann aus?

Ja.

ShadowHunter sagte:

Bei Installationsfiles ja noch nachvollziehbar 8) aber bei BIldern? will die doch anschaun ^^

Seit wann sind Bilder denn ausführbare Dateien?

[ShadowHunter]

ok wenn mans aus der sicht sieht sind sies natürlich nicht, dachte der begriff ausführen ist da allgemein gemeint, ich führe den doppelklick auf .jpg aus und dann wird mir das bild angezeigt.

nun noch eine frage was du mir da empfiehlst.
Auf E: hab ich meine SPiele wie Warcraft, World of Warcraft, Blitzkrieg 2 etc.
z.b bei WC3 wenn ich meine Customkeys.txt anpassen will, sollte ich für solche dinge auch immer zum Adminkonto wechseln oder meiner Spiele Partition auch im Benutzer Konto volle rechte geben? Solangs nur Original Spiele sind und alles doch unbedenklich oder bist du/seid ihr anderere Meinung?

[Graumagier]

ShadowHunter sagte:

z.b bei WC3 wenn ich meine Customkeys.txt anpassen will, sollte ich für solche dinge auch immer zum Adminkonto wechseln oder meiner Spiele Partition auch im Benutzer Konto volle rechte geben?

Nein, du wirst eh merken wenn du die Änderungen nicht speichern kannst. Meistens sollte es aber funktionieren, ansonsten tut's auch ein runas /user:$BENUTZERNAME notepad.exe.

[Rika]

Zitat

1. Programminstallationen unter dem Adminkonto. Wohin am besten installieren? (bitte genaue Pfadangabe)

Meine Präferenz: reine Adminprogramme unter %userprofile%\bin des Admins, Programme für alle unter %allusersprofile%\bin und für einzelne Benutzer halt unter dem jeweiligen %userprofile%\bin. %programfiles% wird nur dann angetastet, wenn's wirklich nötig ist.
Ich habe zudem %programfiles% nach "%systemroot%\program files" verschoben, weil es effektiv da auch hingehört.

Zitat

3. Wie geht ihr mit der Dateiverwaltung um? Ich meine damit Bilder, Installationsprogramme, Images, Musik etc., habt ihr da einen Ordner auf den auch der Benutzer Vollzugriff hat oder verwaltet ihr diese auch nur über den Admin

Das landet bei mir alles in \usr\%username%.

Zitat

Ist es dabei egal ob ich das über die Konsole oder über "rechtsklick" mache? Waren da nicht Sicherheitsbedenken?

Prinzipiell lässt sich die Konsole auch scripten, aber das ist wesentlich schwieriger und würde sofort auffallen.

Also ich mach mir 'ne Konsole auf und mache dann entweder "su" oder "sudo explorer".

Zitat

Superior Su = Der SYSTEM-Benutzer (unter Windows).

Ähm... nö.

Zitat

Über die Konsole mit runas /savecred ist problematisch, über die GUI gibt es IMHO keine Probleme.

Außer daß er einen den deaktivierten Admin-Account andrehen will, anstatt 'root' (mit Adminrechten) anzubieten. Bei einem su/sudo-Script kann man das besser festlegen, auch kann man die Übernahme von Umgebungsvariablen und Benutzerprofil regeln.

Zitat

Ich hab jetzt noch eine weiter Platte im Rechner auf der auch Daten liegen, speziell jetzt Videos, Images!
Dort hat ja der Benutzer nicht die gleichen Rechte wie unter seinen Eigenen Dateien. Da es sich bei der 2.Platte ja nur um Daten in dem Sinne handelt, kann ich da doch bedenkenlos die rechte wie mit Eigene Dateien anpassen oder?

Beste Lösung: Mounte doch zusätzlich die Festplatte im Profil des Benutzers (bzw. in seiner Datenablage, bei mir sind \usr\%username% und \home\%username% (==%userprofile%) zwei verschiedene Dinge.

Zitat

Ja, du könntest dem User sogar die Ausführen-Rechte nehmen (auch in den Eigenen Dateien).

Das ist Blödsinn, weil er dort Schreibrechte hat und daher einfach durch Umkopieren eine neue Datei erhält, bei der er der Besitzer ist und daher sich auch wieder Execute-Rechte geben kann.

[ShadowHunter]

Zitat

Nein, du wirst eh merken wenn du die Änderungen nicht speichern kannst. Meistens sollte es aber funktionieren, ansonsten tut's auch ein runas /user:$BENUTZERNAME notepad.exe.

habs grade getestet stimmt

zu mirc: also file monitor zeigt mir nix an, aber regmon extrem viel die ganzen reg einträge zu bearbeiten is ja krank 8( verständlich warum ihr so gegen mirc seid.

Zitat

Meine Präferenz: reine Adminprogramme unter %userprofile%\bin des Admins, Programme für alle unter %allusersprofile%\bin und für einzelne Benutzer halt unter dem jeweiligen %userprofile%\bin. %programfiles% wird nur dann angetastet, wenn's wirklich nötig ist.
Ich habe zudem %programfiles% nach "%systemroot%\program files" verschoben, weil es effektiv da auch hingehört.

Das landet bei mir alles in \usr\%username%.

Beste Lösung: Mounte doch zusätzlich die Festplatte im Profil des Benutzers (bzw. in seiner Datenablage, bei mir sind \usr\%username% und \home\%username% (==%userprofile%) zwei verschiedene Dinge.

Ok da ich nur einen normalen Benutzer hab erübrigt sich das Teilweise, aber diese Ordner sind ja alle unter C: hast du dann alles unter C:?
Wie geht das verschieben nochmal? entstehen dadurch keine Probleme?

\usr\%username% = welcher Ordner wenn mans ausformuliert? weiss nicht welchen du meinst

Wie funktioniert das mounten und wie unterscheiden sich dein urs und home? Wenn du das mit genauen Pfadangaben sagen könntest würde ich es glaub besser verstehen 8) z.b C:\DokundEinst\...

Zitat

Also ich mach mir 'ne Konsole auf und mache dann entweder "su" oder "sudo explorer".

und weiter? kann mir grad nicht vorstellen wie die methode über su gehen sol, denke aber die jetzige ist wohl immer noch die bequemere 8)

Dieser Beitrag wurde von ShadowHunter bearbeitet: 12. April 2006 - 22:44

[Rika]

Zitat

hast du dann alles unter C:?

Nein, unter D:. Wobei das sowieso egal ist, denn andere Mountpoints sehe ich direkt gar nicht.

Zitat

usr\%username% = welcher Ordner wenn mans ausformuliert?

D:\usr\work für den Benutzer work, D:\usr\root für den Benutzer root, ...

Zitat

Wie funktioniert das mounten

direkt in der Laufwerksverwaltung

Zitat

und wie unterscheiden sich dein urs und home?

In \home\%username% liegt das Benutzerprofil inklusive Desktop, in \usr\%username% die Dateien des Benutzers.

Zitat

C:\DokundEinst\.

= D:\home

[ShadowHunter]

Zitat

Nein, unter D:. Wobei das sowieso egal ist, denn andere Mountpoints sehe ich direkt gar nicht.

wie ist das zu verstehen?

das "home" und "usr" ist das von dir selber so eingestellt oder bei der englischen version von haus aus so?
wenn eingestellt dann wie?

[Rika]

Der Explorer zeigt nur "harddisk" ohne D: an, auf C: gibt's keinen Zugriff und der Rest in in Ordner gemountet (\cdrom, \bin\swap, \floppy, \backup).

Zitat

das "home" und "usr" ist das von dir selber so eingestellt oder bei der englischen version von haus aus so?

Das "home" ist selbst eingestellt (simples Search & Replace über die Registry), das "usr" ist nix weiter als ein normaler Ordner.

[ShadowHunter]

Zitat

Der Explorer zeigt nur "harddisk" ohne D: an, auf C: gibt's keinen Zugriff und der Rest in in Ordner gemountet (\cdrom, \bin\swap, \floppy, \backup).

wie meinst du der zeigt nur "harddsik" an?
Wieso auf C: keinen Zugriff?
Also das sind Ordner die für Laufwerke stehen oder?

Zitat

Das "home" ist selbst eingestellt (simples Search & Replace über die Registry), das "usr" ist nix weiter als ein normaler Ordner.

Sind das viele Einträge oder nur ein paar wenige?

so ganz genau kann ich mir das immer noch nicht vorstellen wie das im Explorer aussieht 8)
klingt aber sehr intressant

[Rika]

Zitat

wie meinst du der zeigt nur "harddsik" an?

Normalerweise zeigt der Explorer "Laufwerksname (X:)" an.

Zitat

Wieso auf C: keinen Zugriff?

Gegenfrage: Warum? Dort liegt nur der Bootloader und die Recovery Console.

Zitat

Also das sind Ordner die für Laufwerke stehen oder?

Ja normal.

Zitat

Sind das viele Einträge oder nur ein paar wenige?

Viele. Generell sollte es aber ausreichend, einfach sämtliche Profilpfade zu verlegen.

Zitat

so ganz genau kann ich mir das immer noch nicht vorstellen wie das im Explorer aussieht 8)

etwa so:

Dieser Beitrag wurde von Rika bearbeitet: 13. April 2006 - 01:49

[ShadowHunter]

Zitat

Gegenfrage: Warum? Dort liegt nur der Bootloader und die Recovery Console.

Damit meine Frage ja beantwortet wusste dies ja nicht 8)

Zitat

Viele. Generell sollte es aber ausreichend, einfach sämtliche Profilpfade zu verlegen.

Wäre doch über eine *.reg file machbar oder? Müsste ich nur noch rausfinden wo dies überall geändert werden muss. Wobe ich dies ja für mich nicht unbedingt brauche

Danke das Bild hat mir da sehr weitergeholfen, so geht es aber nur wenn man eine Platte verwendet oder? das 2 Festplatten unter Harddisk laufen wird wohl schlecht gehen.

Werde das mit dem mounten mal probieren alles weitere ist Spielerei die ich erstmal an einem Testsystem probieren werde sieht aber intressant aus

Eine andre Frage noch zu dem "kafu" tool, das ändert ja in 3 Reg Einträgen die Rechte des Benutzers und im Autostart die Rechte, damit Schädlinge nicht sich in den Autostart reinschreiben können. Reicht es wenn ich jetzt z.b meine Ati Tray Tools nutzen möchte diese einfach in den Autostart Ordner zu verschieben während ich kurzzeitig dort schreibrechte habe und dann diese wieder wegnehme? Will das bei den Leuten denen ich die PC's einrichte ja auch übernehmen nur werden die sich aufregen warum denn manche Programme nicht im Autostart landen und muss ihnen einen möglichst einfachen Weg zeigen 8)

[Win-Fan]

@ShadowHunter

Vielleicht hilft dir das ja auch noch etwas weiter.
Least Privileges � Es geht auch ohne Administratorrechte!

Hier vielleicht auch nochmal was zum Thema:
Festlegen, Einsehen, Ändern und Löschen von speziellen Datei- und Ordnerberechtigungen in Windows XP
und
Definition von Systempartition and Startpartition (da Rika wohl diesen Unterschied der Partitionsarten, in bezug auf nur den Bootloader, gemeint haben dürfte)

Dieser Beitrag wurde von Win-Fan bearbeitet: 13. April 2006 - 02:20