Gastkonto für Internet?

    Bitte Bitte.
    Nein ich habe dem Internetuser noch nie Adminrechte gegeben, von daher bin ich mir sicher das ich den Account unter Benutzer löschen konnte.
    Aber noch eine Frage, ich denke das wird so ein Never Ending Story Thread :wink: , wie kann ich als Benutzer Zugriff auf Doku/Einstellung/Admin erhalten ? Ich möchte da manchmal rein um Datenmüll zu entfernen. Mit Shift-r.Klick ausführen als geht da nichts. Und kennst du noch eine Möglickkeit beim Arbeitsplatz mit rechtsklick in die Verwaltung mit Adminrechten zu kommen ohne der Verwaltung bei Programme oder die Verwaltung bei Systemsteuerung. Beim rechtsklick auf Arbeitsplatz kann man gleich auf einmal alles darstellen und muß sich nicht mühsam jedesmal druchklicken wie bei Verwaltung unter Starmenü/Programme oder Syssteuerung.

    mfG Andreas
    Go through life with honesty

    Hallo Andreas,


    das war doch nur eine Vermutung. Ist mir (und anderen) schon selber passiert.


    Zur anderen Frage:


    Wenn Du inzwischen bei allen möglichen Benutzern den Explorer so eingestellt hast und auch die Startikone auf dem jeweiligen Desktop plaziert hast - wie oben beschrieben - dann sollte das über den Explorer überhaupt kein Problem sein.


    Rechter Mausklick auf die Explorer-Ikone, Ausführen als anwählen, Benutzer wählen und Passwort eingeben und schon hast Du Zugriff auf fast alles, was Dein Herz begehrt.


    im Windowslaufwerk:
    - Dokumente und Einstellungen


    Weiter unten unter dem/den Laufwerk(en)
    - Systemsteuerung
    - Netzwerkeinstellungen
    - Drucker
    - Verwaltung


    usw. und alles mit den rechten des jeweils definierten Benutzers. Alles was dann vom Explorer aus gestartet wird, läuft mit Adminrechten.


    Klappt denn das inzwischen?


    Wenn Du was anderes starten willst, geht das z.B. über "Start" - "Ausführen" zusammen mit vorangestelltem "RunAs" z.B.:


    runas /user:administrator regedit
    usw.


    Dann geht ein Befehlsfenster auf und fragt nach dem Passwort und anschliessend wird der Registry-Editor gestartet.


    Am Anfang ist das alles noch etwas schwer verständlich ud undurchschaubar (und vor allem lästig), aber nach kurzer Gewöhnungszeit geht das locker von der Hand - wenn man sich daran gewöhnt hat, das man icht mehr einfach "nur so" an alles herankommt.


    Gerade unter Ubuntu-Linux ist das ziemlich perfekt umgesetzt. Da ist jeder Benutzer grundsätzlich nur Benutzer. Mit einem vorangestelltem "sudo" (vergleichbar "RunAs") bekommt man "root" (Administrator)-Privilegien auf alles.


    Linux läuft bei mir jetzt bevorzugt bei allen Aktivitäten, wo ich keine spezielle nur unter Windows verfügbare Software brauche auf mehreren Rechnern - und seit einigen Tagen auch auf dem Notebook


    Aber dazu will ich Dich keinesfalls "überreden" - weil unter der Desktop-Oberfläche ist das ein vollkommen anderes System - aber dafür ein von Hause aus ziemlich vollständiges für den normalen Anwender.

    Noch ein Nachtrag:


    Unter \WINNT\System32 findest Du (vorher nach Typ sortieren im Explorer) einige "Microsoft Common Console Dokumente) mit der Dateiendung: *.msc.


    Bei XP wäre das in \Windows\System32 zu finden. Aber Vorsicht, bei XP Professional ist das wie bei w2k und teilweise besser, bei XP Home ist die Benutzerverwaltung erheblich abgespeckt und es ist verdammt schwierig, die von w2k bzw. XP Prof. gewohnten Benutzerverwaltungsthemen nach zu empfinden.
    Mit Vista werde ich mich nicht befassen.


    Genau diese Konsolen-Programme brauchst Du und kannst Dir von dort aus eine Verknüfpung auf den Desktop legen (der dann vom Administrator-Desktop auf den Benutzer-Desktop zu kopieren ist - ggf. vor dem Kopieren Rechte ändern wegen späterer Editierbarkeit nicht vergessen - oder so lassen, dann kanns nur der Admin verändern oder löschen - was manchmal auch erwünscht ist).


    - compmgmt.msc = Verwaltung
    - lusrmgr.msc = Benutzerverwaltung
    - services.msc = Diensteverwaltung
    - devmgmt.msc = System (Geräteverwaltung)
    - gpedit.msc = Gruppenpolicy-Editor
    - diskmgmt.msc = Festplattenverwaltung


    usw. All diese "Dinger" habe ich als Ikone auf dem Desktop und kann diese per Rechtsklick als Admin nach Admin-Passworteingabe vom Benutzerdesktop starten. Per Normalklick halt nur mit Benutzerrechten. Das erleichtert vieles ungemein.


    Vielleicht hilft Dir (und anderen - immerhin lesen über 300 andere noch mit :D ) das weiter. Das ist nämlich sehr praktisch.


    Weiter viel Erfolg auf dem Weg zum sicheren System.

    Alles klar , werde das mal durchtesten.
    Ich denke auch das das noch etwas dauern wird bis das auch 100%ig verinnerlicht ist. Aber es wird immer besser und ich brauche mich schon fast nicht mehr ummelden. :headbanger:


    edit: Ich muß dir nochmal Blumen schicken, hat alles super hingehauen. Gerade gestestet und läuft super.Habe den Explorer immer mit der rechten Maustaste auf Start gestartet und da geht es nicht. Wenn ich aber den Explorer vom Sartmenü/Programme/Zubehör mit Shift+r.Maust. starte geht es. Besten dank.

    Zitat

    Wenn ich aber den Explorer vom Startmenü/Programme/Zubehör mit Shift+r.Maust. starte geht es.


    Super.


    Genau dieses Icon solltest Du Dir von dort mit der rechten Maustaste auf den Desktop ziehen. Das legt dann eine Verknüpfung auf dem Desktop an. Damit ersparst Du Dir "lange" Wege. Dann in den Eigenschaften das Häkchen bei "Unter anderem Benutzer ausführen" (oder so ähnlich) setzen.


    P.s. Ich habe mir angewöhnt diese "administrativen Icons" auf der rechten Desktophälfte zu plazieren. Wenn diese Dinge alle im Zugriff sind, kann man fast ebenso flott "mal eben" was ändern, wie früher. Nur die Passworteingabe ist dann noch der große Unterschied.

    Martin, soweit so gut aber mit der Registry hätte ich noch fragen. Ich kann da einfach keinen richtigen Zusammenhang feststellen, habe schon Stunden hin und her probiert. Also folgendes:


    1.Wenn ich den EasyCleaner mit Adminrechten und als Admin eingewählt durchlaufen lasse, bekomme ich keine Einträge die überflüssig sind.


    2. Wenn ich den EasyCleaner jedoch mit Adminrechten als Benutzer eingewählt durchlaufen lasse bekomme ich immer so ca. 2 Einträge die als überflüssig erkannt werden.


    3. Wenn ich den EasyCleaner jetzt mit Benutzerrechten und als Benutzer eingewählt durchlaufen lasse bekomme ich jede Menge Einträge.


    Kannst du dir da irgendeine Vorstellung machen was da genau vor sich geht. Ich dachte schon das ich als Benutzer vielleicht Einträge bekomme die als Admin eingewählt nicht überflüssig erkannt werden, aber als Benutzer dann nicht nicht nötig währen. Ich kann da rumtesten wie ich will und komme auf keine grünen Zweig. Wie würdest du die Registry sauber halten, denke selber es wäre vielleicht als Admin eingewählt und Adminrechte am sinnvollsten aber dann bleibt als Benutzer eingewählt vieles stehen was ich nicht möchte. Wie würdest du das Handln oder hast vielleicht eine Vorstellung. Wäre coll wenn du deine Meinung dazu posten könntest.

    mfG Andreas
    Go through life with honesty

    Ich bin jetzt gerade unter Linux unterwegs. Ich schaue heute abend noch mal.


    So ist mir das jedenfalls bislang noch nicht aufgefallen.


    Was mir aber aufgefallen ist, das da gelegentlich auch Einträge dabei sind, die man besser nicht "eliminieren" sollte.


    Ansonsten ist aufräumen sicher gut, sollte bei der Registry aber auch nicht überbewertet werden.

    Ich mache das immer folgendermaßen, ich lösche nach dem ersten mal alles was das Tool findet und hebe mir diese Datei auf. Wenn dann Wochenlang alles gut läuft lösche ich immer alles was das Tool findet und dann auch die Backup. Bisher konnte ich noch nie etwas negatives feststellen.
    Das neue jv16Powertools z.B. findet bei jedem Programmstart immer wieder die gleichen Einträge , aber nur bei der intensiv Suche. Von daher denke ich das wirklich was dabei ist was immer wieder neu erstellt wird wenn man div. Programme aufmacht.
    Aber ich bin mir jetzt wirklich nicht sicher ob ich bei jedem Beispiel oben beschrieben alles löschen kann. Die meisten Einträge sind unter LokalUser und werden wahrscheinlich tatsächlich nur freigegeben bzw. gefunden wenn man mit dem jeweiligen Benutzer unterwegs ist.
    Ich möchte da wirkich eine gerade Linie finden wo ich sagen kann das auch alles super sauber ist. Mein InternetRechner mit W2k ist nämlich schon lange lange nicht mehr Up to Date.

    mfG Andreas
    Go through life with honesty

    Hallo Andreas,


    das scheint auch Tool-abhängig zu sein.


    Ich benutze den RegCleaner und hatte gerade wegen was anderem den Notebook aufgemacht unter XP.


    Bei der Funktion: Verwaiste Registry-Einträge hatte ich da als normaler User nur eine handvoll Einträge, als Administrator gab es mehrere Bildschirmseiten - wobei es überwiegend um sogenannte MRU-Einträge ging - wo festgehalten wird, welches Programm welche Dateien geöffnet hat - was meist eher nützlich ist auf dem eigenen Rechner.


    Hingegen sind Irritationen möglich, wenn mehrer Menschen diesen Rechner nutzen, weil eben vieles nachträglich nachvollziehbar wird.


    Viel wichtiger sind mir die diversen RUN-Einträge in Registry und Windows-INI-Dateien für oft nicht nötige Progrämmchen, die einem angeblich das Leben erleichtern und sich vielfach (nicht immer) in der Taskbar unten rechts zeigen.


    Aber immer reduzieren diese Dinger die Performance und den Arbeitsspeicher alleine durch das pure Vorhandensein.


    Wenn Office auf dem Rechner ist, dann ist z.B. fast immer auch CFTMON.EXE und OSA.EXE im Start. Das eine ist für die Umschaltung der Tastatur in andere Sprachen zuständig, das andere lädt größere Teile von Office beim Rechnerstart in den Arbeitsspeicher, damit dann ein ggf. 2x wöchentlich gebrauchtes Word eine Sekunde schneller startet :(


    Dann kommen noch Hilfsprogramme für Drucker, Scanner, Mäuse, Grafikkarten, Messenger & Co. (und was weiss ich noch alles) hinzu, die den verfügbaren Arbeitsspeicher reduzieren und Performance kosten.

    Martin, den RegCleaner als Free in der letzten Version? Den habe ich auch installiert, der findet aber nicht so viele Einträge als der EasyCleaner.Und unten rechts in der Taskbar sind ja meist die Autostartobjekte verantwortlich, da mißte ich sowieso immer gleich nach dem installieren aus.


    Ich sitzte schon wieder voll vor dem PC und bin mir nicht schlüssig wie ich alles regeln soll. Ich mache es jetzt mal so das ich alle Programme als Benutzer mit ausführen als Admin starte, da komme ich nicht durcheinander mit den ganzen Einstellungen die ja je nach Programm immer wo anders hinterlegt werden, und jedes Programm ist dann so eingestellt wie immer. Den RegCleaner bzw. EasyCleaner starte ich dann auch so. Was hälts du von dieser Methode um den Überblick nicht zu verlieren?

    Ich bin etwas abgeschweift und habe weiter ausgeholt - als ich ursprünglich wollte :)


    Nun ja - das ist auch ein Lösung :)
    Dann hättest Du ja beinahe alles lassen können, wie es war ... oder meinst Du mehr die Verwaltungsprogramme?


    Die Basisfrage ist und bleibt. Wogegen (wovor) will (kann) ich mich (und andere) mit welchem Aufwand schützen und was ist es mir wert (Komfortverlust, Aufwand und ggf. Kosten) und wer soll an einem Rechner was dürfen. Soll Sohnemann oder die liebe Gattin eine nicht veränderbare, sich wiederherstellende Oberfläche bekommen mit reduzierten Rechten?


    Eine wesentliche Frage dabei ist dann, was tun diese Programme überhaupt und zu welchem Zweck werden diese gestartet (brauche ich das überhaupt) - und welche Sicherheitslücken könnten die aufreissen.


    Bei MSP7/8 z.B. sicher relativ vernachlässigbar, beim ständig aktiven Messenger (und vielen anderen) hätte ich erhebliche Bauchschmerzen ebenso wie bei den diversen Playern, die ständig den Kontakt zur Heimat suchen - ebenso wie manche "Hilfsprogramme" von Mäusen & Co.


    Alles was, als normaler Benutzer funktioniert, sollte auch so betrieben werden.
    Systemverwaltung benötigt fast immer Adminrechte. Das ist auch klar.


    Und nun kommen die Programme, die direkt oder indirekt Kontakt zur Aussenwelt haben und/oder dazu Teile des Explorer bzw. Teile des Internetexplorers nutzen - und das sind mehr als man glaubt. Die mauscheln sich dann als internet-Explorer "verkleidet" durch die Firewalls.


    Ich selbst habe einige Zeit gebraucht, heraus zu finden, wo welche Programme im Benutzermodus klemmen, um das zu beseitigen. Hier war die Seite "NoAdmin.de" sehr hilfreich und auch die kleinen Progrämmchen RegMon.exe und FileMon.exe von Sysinternals haben da gut geholfen bei der Erkennung.


    Mein HP-Scannerprogramm möchte z.B. im Programmverzeichnis schreiben und ebenso in der Registry in einem dafür nicht vorgesehenen Bereich. Ähnlich verhält sich mein Quicken und ältere T-Onlineversionen. Gleiches gilt für viele ältere Programme.


    Dann kommt noch das, was über Webseiten und Mails auf den Rechner will. Und da sind IE und Outlook vielfach äusserst empfängnis- und anzeigefreudig.


    Oft hilft ein anderer Browser wie z.B. der Firefox mehr als viele andere Massnahmen. Im Zusammenspiel mit redizierten Benutzerrechten, aktuellen Patches, sichereren Browser- und Emailprogrammen, überlegtem Surfen und Emailbearbeiten im Textmodus kann man sich von Hause aus viel Stress ersparen.


    Dazu kommen einige im Normalfall nicht benötigte Windows-Dienste und TCP-IP Ports, die keinen Kontakt zur Aussenwelt bekommen sollten - es sei denn, jemand aus Timbuktu darf bei Dir drucken oder auf die Platte schauen (Ports 135-138 und 445). Da kann man vielfach schon im DSL-Router Abhilfe schaffen und/oder diese Dienste abschalten bzw. Microsoft Client und Druckdienste deaktivieren. Z.B. der Microsoft Dienst "Server" wird auf einem alleinstehenden Rechner selten benötigt, Telnet nicht usw. - was aber immer auf den speziellen Einzelfall ankommt.


    Vielleicht auch interessant:
    Bundestrojaner: Geht was -- was geht
    Sieh mal, wer da horcht
    Wie Skype & Co. Firewalls umgehen
    Know-how (heise security)


    Wer sich zwecks Fernwartung schon mal mit entsprechender Hilfssoftware auseinandersetzen musste - spontan fallen mir da DeskShare und TeamViewer als typische Vertreter ein - die sich sozusagen durch fast alles erfolgreich "durchbohren", kommt da bei einigen Sicherheitsbemühungen von Anwendern/Firmen bezüglich Firewalls & Co. echt ins Grübeln.


    Da kommt es schlussendlich nur noch auf den jeweiligen Benutzerstatus bezüglich der Rechte an, was dann geht oder nicht. Die Dinger sind inzwischen so gut, dass man Remote einen Rechner neu starten kann und sitzt während des Startens, aber spätestens bei der Loginmaske schon wieder drauf. Und das mit nur ein paar hundert KB an Software, die für rudimentäreres nicht mal installiert, sondern nur gestartet sein muss.

    Mein Hauptaugenmerk ist momentan das Surfen im Internt, weil ich keinen Router verwende. Deswegen wollte ich jetzt mal anfangen und mich da etwas einarbeiten. Wenn ich meinen Sohn an den PC lasse denke ich werden am Anfang Gast Rechte reichen und diese Einstellungen verflüchtigen sich ja beim neu starten wieder, wie ich festgestellt habe.


    Was ich aber noch zur Registry sagen wollte, kann es vielleicht sein das die Programme bei jedem User nur die eigenen Einstellungen in HKLokalUser suchen um Müll aufzuspüren, und die anderen User gar nicht beachten. Habe gestern noch etwas rumprobiert aber so richtig schlau wird man da nicht.


    Es gibt ja auch Programme die hinterlegen die ganzen Einstellparameter in den eigenen Programmordner in eine .ini Datei. Wird da bei jedem Benutzer der sich sein Programm individuell einstellen will eine solche Datei angelgt? Ich habe nämlich Programme die sich nach beendigung melden das sie keine schreibrechte auf den Ordner haben und die Einstellungen nicht gespeichert werden. Da blickt man wirklich nur sehr träge durch.

    mfG Andreas
    Go through life with honesty

    Andreas,


    Programme, die mit *.ini (oder ähnlichem) im eigenen Programmordner schreiben wollen, sind die gesuchten.


    Hier hilft dann nur, entweder die Grundeinstellungen mit zugeschalteten Adminrechten zu machen und dann alles zu lassen wie es ist, oder aber dem Programm bzw. dem Benutzer die Schreib-/Änderungsrechte auf diese bewusste Datei zu geben oder auf den ganzen betreffenden Ordner.


    Bei letzerem aber dann wirklich auf den betreffenden Unterordner gehen (denn die Rechte vererben sich nach unten)


    Zur Registry-Bereinigung kann ich nicht allzuviel sagen - ausser das die Programme natürlich im Normalfall immer nur die Rechte haben können, die der jeweilige Benutzer auch hat.

    Alles klar Martin. Ich werde jetzt mal eine Weile so arbeiten und ich denke dann kommt man auch von alleine irgendwann dahinter wie das alles abläuft. Melde mich aber wie immer wenn ich was von dir wissen will, nicht das du glaubst du hast jetzt von mir Ruhe. :shake:

    mfG Andreas
    Go through life with honesty

    Martin, eine Frage. Ich habe beim WinNT Ordner unter Win2k Zugriffsberechtigung auf Jeder stehen. Diese Einstellung ist Standard, sollte ich diesen Ordner nicht einschränken damit vielleicht nur die Admins Zugriffsberechtigung haben? Und nochwas, ich habe eine eigene Partition wo ich die ganzen wichtigen Daten gespeichert habe , sollte ich diese vielleicht auch einschränken damit nur Admins Zugriffsberechtigung haben. Ich weis wirklich nicht warum Standard der NT Ordner so angelegt ist, ist das eh normal. Was ich auch nicht verstehe, es gibt da Einstellungen die das schreiben verhindern aber wiederum gibt es auch noch eine Einstellung mit ändern. Sollte schreiben und ändern nicht das gleiche bewirken?

    Hallo Andreas,


    im Standard sind unter NT, w2k und XP alle Systemordner wie Programme, WINNT (und alles darunter) für Benutzer nur mit Leserechten versehen.
    Sogenannte Hauptbenutzer dürfen mehr. Der Admin darf alles (bzw. sich die Rechte dafür setzen).


    Auf das Wurzelverzeichenis "\" darf aber Jeder zugreifen und z.B. auch Ordner anlegen und darin lesen, schreiben und ändern.


    Schreiben und Ändern sind zwei verschiedene Paar Schuhe.


    Schreiben bedeutet, das jemand eine neue Datei anlegen darf, diese aber nicht mehr verändern kann. Das geht erst, wenn die Rechte auch "'Ändern" erlauben.


    Trotzdem kann es sein, dass bei "\" alle Rechte auf den ersten Blick da sind, aber in einem Unterverzeichnis wieder andere Bedingungen herrschen.


    Diese ganze Rechte-Mimik macht es eben meist sinnvoll, Rechte im Normalfall nicht nach Benutzern <Username>, sondern eben nach Benutzergruppen <Benutzer> (der dann die einzelnen <Usernamen> zugeordnet sind zu vergeben - was man aber erst mal durchschauen muss.


    Zusätzlich können dann der Gruppe Benutzer über die lokalen Richtlinien weitere Rechte (z.B. Druckereinrichtung/-Verwaltung, Netzwerkeinrichtung usw.) verpasst werden. Oder eben bezogen auf einen bestimmten <Username>, wenn die anderen Benutzer eben diese spezifischen Rechte nicht haben sollen.


    Wenn man direkt aus Urschleimzeiten vorhandener Adminkonten als Standard kommt, ist da oft vieles schon "verbogen" - wobei einem die Windows-Vererbungslehre auf untergeordnete Verzeichnisse und Dateien einem gelegentlich ins Knie schiesst, wenn man nicht höllisch aufpasst.


    Wenn z.B. auf "\" stehend die "Jeder"-Rechte mit angeklicktem "Unterverzeichnisse und Dateien einbeziehen" vergeben wurden (obwohl wirklich nur "\" gemeint war), dann war es das dann.


    Deshalb ist es meist sinnvoll, Rechtevergaben immer in der tiefstnötigen Ebene des Verzeichnisbaumes bis hin zur einzelnen Datei in Angriff zu nehmen - was natürlich ggf. oft ein mühsames Unterfangen sein kann.

    Wie würdest du es machen? Ich bin mir sicher das ich da nie was verstellt habe und habe aber Zugriff auf Jeder und alles ist erlaubt.
    Aber mir geht es jetzt mal um den Ordner WinNT , sollte ich den schützen? Ich glaube auch warum das so ist zu wissen, weil beim NT Ordner das Häckchen unten bei "vererbare Überordner" angekreuzt ist und da hat ja jeder Zugriff auf C: , denke das kommt von dem.
    Ich möchte auch nicht zu sehr jetzt rumprobieren nicht das ich mich als Admin selber aussperre, falls das gehen sollte.

    mfG Andreas
    Go through life with honesty

    Hallo Andreas,


    bei mir gibt es für den Ordner WINNT folgende Benutzer und Rechte:


    Administratoren - Alles
    Hauptbenutzer - Alles ausser Vollzugrif
    Benutzer - Lesen, Ausführen, Ordner auflisten, Lesen
    Ersteller-Besitzer - Nichts
    Jeder - wie Benutzer
    SYSTEM - Alles


    Und bei "Programme" ist es ebenso.


    Bei Vererbung jeweils kein Häkchen.
    So würde ich das einstellen.



    Ach ja - unter Erweitert sieht man (noch) mehr.
    Kein Häkchen unten bei Vererbung und Berechtigungen


    Bei "Anzeigen/Bearbeiten" kommt man dann zur "Feindosierung".
    Hier muss man ganz genau wissen, was man tut. Also ganz vorsichtig. Denn an dieser Stelle kann man sich als Administrator oder das System wirklich aussperren, wenn man kein zweites "Service-Windows" auf dem Rechner hat.

    Guten Morgen Martin. Bei mir ist es im Programmordner genau wie du es schreibst nur das Jeder da nicht drinnen steht aber alles andere ist genau so. Ich werde mir dann mal das genauer anschauen beim Programmordner und den WinNT Ordner mal probieren genau so zu machen.


    Aber würdest du die Partition wo meine Daten gesichert sind auch sperren?



    Noch etwas , ich habe bei der WindowsHilfe gelesen wenn man was nicht zulassen möchte sollte man extra das häckchen setzten und nicht einfach vebieten und rechts kein häckchen machen. Bei mir ist das aber bei keinem Ordner so. Sind da bei dir extra Häckchen gesetzt oder einfach freigelassen?