06.09.2006, 09:56
Ich wollte mal wissen wer mit Windows arbeitet und nur als Eingeschränkter Benutzer arbeitet.
Nachdem mein Pc endlich repariert ist hab ich mich mal dran gemacht und nen älteren c't Artikel rausgekrammt und Arbeite/Zocke jetzt am Rechner ohne Admin Rechte. Und ich muß sagen es geht besser als ich erwartet habe.
Es kommt zwar nicht ganz das Linux Feeling auf. Aber nichts desto Trotz ist es noch machbar. Da man ja nur etwas hin und her machen muß wenn man mal was installieren will wenn man was installieren will bzw nen Treiber installieren will oder sonstiges.
DAS NTSF DATEISYSTEM IST VORRAUSSETZUNG!!!
Das ganze beruht auf ner kleinen Batch datei und 2 Konten. Das erste Konto ist das Arebitskonto welchem man die Rechte entzieht und das 2te Konto ist ein Admin Konto.
Ich schreib hier mal ne kleine Zusammfassung aus dem c't Artikel zum nachmachen.
Zuerst das hier runterladen: Mach mich Admin
Ich geh mal davon aus das es zur Zeit nur 2 Konten gibt das erste ist das Admin Konto was Windows einrichtet es lautet Administrator. Dieses bitte in Ruhe lassen. Das 2te ist das Konto mit dem ihr Arbeitet/Spielt. Ihr müßt nun ein drittes Konto mit beliebigen Namen wählen was ebenfalls Admin Rechte bekommt.
GANZ WICHTIG NACH DEM ERSTELLEN DES NEUEN ADMIN KONTO'S UNBEDINGT EINMAL MIT DEM KONTO ANMELDEN DAMIT DIE REGISTRY ETC GESCHRIEBEN WERDEN. ANDERNFALLS KANN ES ZU PROBLEMEN KOMMEN!!!
Im folgenden nenne ich die Konten Einfach nur noch A, B und C. Spar ich mir etwas Tipparbeit.
Konto A= Das "Administrator Konto"
Konto B= Arbeitskonto
Konto C= Admin Konto
So nun melden wir uns mit unserem Konto B an und entziehen uns die eigenen Admin Rechte. Das geht ganz einfach unter der Kontenverwaltung einfach alle Gruppen rauswerfen und nur Benutzer hinzufügen. Bei XP Bitte ich glaub es ist Verwaltung>ComputerVerwaltung>Konten sich die Rechte wie beschrieben entziehen und nur Benutzer hinzufügen. Aus dem einfachen Grund weil wen man bei XP auif Kontenverwaltung geht nur 2 Punkte zur Auswahl stehen und ich nicht weiß wieviele Rechte der eingeschränkte XP User hat und wir ja das Minimum wollen bitte wie beschrieben vorgehen.
Nachdem die Rechte entzogen wurden bitte einmal neustarten. Und sich jetzt mit Konto B anmelden. Nun schauen wir uns das Skript an was wir heruntergeladen haben. Dieses müssen wir noch etwas verändern. Dies ist relativ einfach und es ist eine Anleitung vorhanden. Einfach an diese halten und das Konto C im Skript eintragen und Speichern.
Jetzt verbauen wir noch jeder Software die Möglichkeit Autostart einträge anzulegen. Dies geht ganz einfach. Ihr startet nun das Skript "Machmich Admin". Dieses fragt nun zuerst nach dem Passwort von Konto C und anschließend von Konto B. Nach Korrekter eingabe beider Passwörter speichert XP eins oder beide Passwörter Win2000 Nutzer wie ich müssen immer beide angeben aber das ist kein Beinbruch.
Es startet nun eine Eingabeaufforderung die Rot hinterlegt ist und als Namen Konto B mit Admin Rechten heißt. Dort zieht ihr per drag & Drop das Programm Kafu hinein. Anschließend ausführen und keine Software kann mehr Autostart einträge anlegen.
So nun könnt ihr noch für den Komfort eine Verknüpfung des Skriptes in den Ordner SendTo setzen. Er befindet sich in \\Dokumente und Einstellungen\\Benutzer\\SendTo. Der Ordner ist versteckt also einfach in der Adresszeile eingeben oder Versteckte Datein anzeigen einstellen.
So ihr Arbeit nun ohne Admin Rechte. Den Unterschied merkt man eigentlich erst wenn man etwas installieren möchte. Hierzu mal ein paar Beispiele.
Command & Conquer Tiberium Sun:
Das Setup wird mit Admin Rechten ausgeführt das kann man ganz einfach machen. Einfach Rechte Maustaste auf's Setup dann Senden an>MachmichAdmin. Natürlich nur wenn ihr auch eine Verknüpfung im sendto Ordner wie beschrieben angelegt habt. Es erscheint eine Eingabe Aufforderung wo das/die Pasw(ö)rt(er) eingegeben werden. Nach Korrekter eingabe Startet das Setup. Es wird ganz Normal installiert. Im Anschluß müßt ihr C&C einmal mit Admin Rechten Starten. Das liegt höchstwahrscheinlich daran das beim ersten Start noch Registry Einträge geschrieben werden die der Normale Nutzer ja nicht machen darf. Im Anschluß könnt ihr C&C ohne Admin Rechte Spielen.
Jetzt mal ein Kniffligeres Beispiel. Das Dosbox Fronted D-Fend. Als erstes Versuchen wir es wie bei C&C und starten es einmal mit Admin Rechten und danach ohne. Wir bekommen Fehlermeldungen. Was machen wir nun? Ganz einfach ihr Braucht die beiden Programme Filemon und Regmon. Beide sind von Sysinternals zu beziehen oder einfach hier klicken.
Regmon
Filemon
Ihr startet nun beide Programme mit Adminrechten wie beschrieben mit dem Skript. Dies ist notwendig da die Programme Admin Rechte benötigen.
Wenn beide Programme laufen D-Fend starten und nachdem die Fehlermeldung erscheinen schnell das Capturen der beiden Programme abschalten. Da die Listen sonst ellen lang werden. Beide Programme sind nun überflutet mit Einträgen. Aber keine Angst beide Programme haben einen Filter. Es sind nur die Einträge mit ACCES DENIED interessant also schreiben wir das ins Feld Highlight und alle Einträge die diesem Kriterium entsprechen schenken wir unsere Aufmerksamkeit.
Uns interessieren nur die ACCES DENIED Meldungen die auch wirklich von D-Fend Stammen also nicht die Vom Explorer oder sontigem die sind egal. Filemon zeigt uns eine Meldung im bezug auf eine Datei Im D-Fend Verzeichnis. Nun verändern wir die Rechte Der datei oder des ganzen D-Fend Ordners. Ich persöhnlich hab einfach Vollzugriff genehmigt das es sich ja nur auf's D-Fend Verzeichnis bezieht und so Vertretbar ist. Damit wäre ein Stein aus dem Weg geräumt nun wenden wir uns Regmon zu.
Dort wird gemekert das im Schlüssel Software/D-Fend Rechte fehlen und Somit der Zugriff verweigert wurde mit dem begriff ACCES DENIED. Win2000 Nutzer starten nun "regedt32!!!" XP Nutzer können direkt einen Doppelklick machen. Und landen somit sofort im besagten Schlüssel Software/D-Fend hier vergeben wir nun immer mehr Rechte bis keine Fehlermeldung mehr erscheint.
NATÜRLICH NUR DIE RECHTE DES SCHLÜSSEL'S SOFTWARE D-FEND!!! AUF KEINEN FALL DER GANZEN REGISTRY ODER EINEM GRÖßEREM ZWEIG WIRKLICH NUR DIESEM EINEM SCHLÜSSEL!!!!!
Der Registry Fehler macht sich erst bemerkbar wenn man den Wizard nutzt um ein Spiel in D-Fend einträgt und es am Ende Speichern möchte.
Ist beides geschafft läuft D-Fend auch mit eingeschränkten Rechten. Dies kann man mit allen Prgrammen und Spielen so machen. Auf den ersten Blick erschlägt einen jetzt diese Anleitung aber wenn man es 1-2 mal gemacht hat ist es ne Arbeit von 2 Minuten und man hat dafür den Vorteil des Eingeschränkten Benutzers der das System nicht zerschießen kann und Viren Trojaner haben es sehr schwer ohne Zugriff auf's Windows Verzeichnis.
Ich hoffe ich hab es ausfürlich genug geschrieben. Wenn da nach Fragen bestehen einfach Fragen dann probier ich's noch ausführlicher zu machen.
Das schöne an dem Skript ist das alle Software die so installiert wird unter Konto B installiert wird. Da das Skript das Konto B von Konto C mit Admin Rechte ausstattet um die Installation durchzuführen und im Anschluß sofort wieder aus der Admin Gruppe wirft. Ähnlich dem sudo/su Befehl von Linux wobei es bei Linux natürlich viel besser umgesetzt wurde. Die Dateien haben also alle schon den Richtigen Eigentümer es mangelt nun immer nur an Rechten de man wie beschreiben nachrüsten muß.
Ich Perönlich find es super so.
Zu guter letzt noch ein paar Tips:
1. Im Explorer unter Extras>Ordneroptionen>Ansicht den Punkt Ordnerfenster in eigem Prozeß starten aktivieren. Damit man ein Explorer Fenster mit Admin Rechten ausstatten kann.
2. In der Systemsteurung kann man alles per Skript mit Admin Rechten starten einfach Rechtsklcik Senden an>MachmichAdmin.
Weitere fallen mir grad nicht ein aber wenn noch was ist einfach Fragen.
Nachdem mein Pc endlich repariert ist hab ich mich mal dran gemacht und nen älteren c't Artikel rausgekrammt und Arbeite/Zocke jetzt am Rechner ohne Admin Rechte. Und ich muß sagen es geht besser als ich erwartet habe.
Es kommt zwar nicht ganz das Linux Feeling auf. Aber nichts desto Trotz ist es noch machbar. Da man ja nur etwas hin und her machen muß wenn man mal was installieren will wenn man was installieren will bzw nen Treiber installieren will oder sonstiges.
DAS NTSF DATEISYSTEM IST VORRAUSSETZUNG!!!
Das ganze beruht auf ner kleinen Batch datei und 2 Konten. Das erste Konto ist das Arebitskonto welchem man die Rechte entzieht und das 2te Konto ist ein Admin Konto.
Ich schreib hier mal ne kleine Zusammfassung aus dem c't Artikel zum nachmachen.
Zuerst das hier runterladen: Mach mich Admin
Ich geh mal davon aus das es zur Zeit nur 2 Konten gibt das erste ist das Admin Konto was Windows einrichtet es lautet Administrator. Dieses bitte in Ruhe lassen. Das 2te ist das Konto mit dem ihr Arbeitet/Spielt. Ihr müßt nun ein drittes Konto mit beliebigen Namen wählen was ebenfalls Admin Rechte bekommt.
GANZ WICHTIG NACH DEM ERSTELLEN DES NEUEN ADMIN KONTO'S UNBEDINGT EINMAL MIT DEM KONTO ANMELDEN DAMIT DIE REGISTRY ETC GESCHRIEBEN WERDEN. ANDERNFALLS KANN ES ZU PROBLEMEN KOMMEN!!!
Im folgenden nenne ich die Konten Einfach nur noch A, B und C. Spar ich mir etwas Tipparbeit.
Konto A= Das "Administrator Konto"
Konto B= Arbeitskonto
Konto C= Admin Konto
So nun melden wir uns mit unserem Konto B an und entziehen uns die eigenen Admin Rechte. Das geht ganz einfach unter der Kontenverwaltung einfach alle Gruppen rauswerfen und nur Benutzer hinzufügen. Bei XP Bitte ich glaub es ist Verwaltung>ComputerVerwaltung>Konten sich die Rechte wie beschrieben entziehen und nur Benutzer hinzufügen. Aus dem einfachen Grund weil wen man bei XP auif Kontenverwaltung geht nur 2 Punkte zur Auswahl stehen und ich nicht weiß wieviele Rechte der eingeschränkte XP User hat und wir ja das Minimum wollen bitte wie beschrieben vorgehen.
Nachdem die Rechte entzogen wurden bitte einmal neustarten. Und sich jetzt mit Konto B anmelden. Nun schauen wir uns das Skript an was wir heruntergeladen haben. Dieses müssen wir noch etwas verändern. Dies ist relativ einfach und es ist eine Anleitung vorhanden. Einfach an diese halten und das Konto C im Skript eintragen und Speichern.
Jetzt verbauen wir noch jeder Software die Möglichkeit Autostart einträge anzulegen. Dies geht ganz einfach. Ihr startet nun das Skript "Machmich Admin". Dieses fragt nun zuerst nach dem Passwort von Konto C und anschließend von Konto B. Nach Korrekter eingabe beider Passwörter speichert XP eins oder beide Passwörter Win2000 Nutzer wie ich müssen immer beide angeben aber das ist kein Beinbruch.
Es startet nun eine Eingabeaufforderung die Rot hinterlegt ist und als Namen Konto B mit Admin Rechten heißt. Dort zieht ihr per drag & Drop das Programm Kafu hinein. Anschließend ausführen und keine Software kann mehr Autostart einträge anlegen.
So nun könnt ihr noch für den Komfort eine Verknüpfung des Skriptes in den Ordner SendTo setzen. Er befindet sich in \\Dokumente und Einstellungen\\Benutzer\\SendTo. Der Ordner ist versteckt also einfach in der Adresszeile eingeben oder Versteckte Datein anzeigen einstellen.
So ihr Arbeit nun ohne Admin Rechte. Den Unterschied merkt man eigentlich erst wenn man etwas installieren möchte. Hierzu mal ein paar Beispiele.
Command & Conquer Tiberium Sun:
Das Setup wird mit Admin Rechten ausgeführt das kann man ganz einfach machen. Einfach Rechte Maustaste auf's Setup dann Senden an>MachmichAdmin. Natürlich nur wenn ihr auch eine Verknüpfung im sendto Ordner wie beschrieben angelegt habt. Es erscheint eine Eingabe Aufforderung wo das/die Pasw(ö)rt(er) eingegeben werden. Nach Korrekter eingabe Startet das Setup. Es wird ganz Normal installiert. Im Anschluß müßt ihr C&C einmal mit Admin Rechten Starten. Das liegt höchstwahrscheinlich daran das beim ersten Start noch Registry Einträge geschrieben werden die der Normale Nutzer ja nicht machen darf. Im Anschluß könnt ihr C&C ohne Admin Rechte Spielen.
Jetzt mal ein Kniffligeres Beispiel. Das Dosbox Fronted D-Fend. Als erstes Versuchen wir es wie bei C&C und starten es einmal mit Admin Rechten und danach ohne. Wir bekommen Fehlermeldungen. Was machen wir nun? Ganz einfach ihr Braucht die beiden Programme Filemon und Regmon. Beide sind von Sysinternals zu beziehen oder einfach hier klicken.
Regmon
Filemon
Ihr startet nun beide Programme mit Adminrechten wie beschrieben mit dem Skript. Dies ist notwendig da die Programme Admin Rechte benötigen.
Wenn beide Programme laufen D-Fend starten und nachdem die Fehlermeldung erscheinen schnell das Capturen der beiden Programme abschalten. Da die Listen sonst ellen lang werden. Beide Programme sind nun überflutet mit Einträgen. Aber keine Angst beide Programme haben einen Filter. Es sind nur die Einträge mit ACCES DENIED interessant also schreiben wir das ins Feld Highlight und alle Einträge die diesem Kriterium entsprechen schenken wir unsere Aufmerksamkeit.
Uns interessieren nur die ACCES DENIED Meldungen die auch wirklich von D-Fend Stammen also nicht die Vom Explorer oder sontigem die sind egal. Filemon zeigt uns eine Meldung im bezug auf eine Datei Im D-Fend Verzeichnis. Nun verändern wir die Rechte Der datei oder des ganzen D-Fend Ordners. Ich persöhnlich hab einfach Vollzugriff genehmigt das es sich ja nur auf's D-Fend Verzeichnis bezieht und so Vertretbar ist. Damit wäre ein Stein aus dem Weg geräumt nun wenden wir uns Regmon zu.
Dort wird gemekert das im Schlüssel Software/D-Fend Rechte fehlen und Somit der Zugriff verweigert wurde mit dem begriff ACCES DENIED. Win2000 Nutzer starten nun "regedt32!!!" XP Nutzer können direkt einen Doppelklick machen. Und landen somit sofort im besagten Schlüssel Software/D-Fend hier vergeben wir nun immer mehr Rechte bis keine Fehlermeldung mehr erscheint.
NATÜRLICH NUR DIE RECHTE DES SCHLÜSSEL'S SOFTWARE D-FEND!!! AUF KEINEN FALL DER GANZEN REGISTRY ODER EINEM GRÖßEREM ZWEIG WIRKLICH NUR DIESEM EINEM SCHLÜSSEL!!!!!
Der Registry Fehler macht sich erst bemerkbar wenn man den Wizard nutzt um ein Spiel in D-Fend einträgt und es am Ende Speichern möchte.
Ist beides geschafft läuft D-Fend auch mit eingeschränkten Rechten. Dies kann man mit allen Prgrammen und Spielen so machen. Auf den ersten Blick erschlägt einen jetzt diese Anleitung aber wenn man es 1-2 mal gemacht hat ist es ne Arbeit von 2 Minuten und man hat dafür den Vorteil des Eingeschränkten Benutzers der das System nicht zerschießen kann und Viren Trojaner haben es sehr schwer ohne Zugriff auf's Windows Verzeichnis.
Ich hoffe ich hab es ausfürlich genug geschrieben. Wenn da nach Fragen bestehen einfach Fragen dann probier ich's noch ausführlicher zu machen.
Das schöne an dem Skript ist das alle Software die so installiert wird unter Konto B installiert wird. Da das Skript das Konto B von Konto C mit Admin Rechte ausstattet um die Installation durchzuführen und im Anschluß sofort wieder aus der Admin Gruppe wirft. Ähnlich dem sudo/su Befehl von Linux wobei es bei Linux natürlich viel besser umgesetzt wurde. Die Dateien haben also alle schon den Richtigen Eigentümer es mangelt nun immer nur an Rechten de man wie beschreiben nachrüsten muß.
Ich Perönlich find es super so.
Zu guter letzt noch ein paar Tips:
1. Im Explorer unter Extras>Ordneroptionen>Ansicht den Punkt Ordnerfenster in eigem Prozeß starten aktivieren. Damit man ein Explorer Fenster mit Admin Rechten ausstatten kann.
2. In der Systemsteurung kann man alles per Skript mit Admin Rechten starten einfach Rechtsklcik Senden an>MachmichAdmin.
Weitere fallen mir grad nicht ein aber wenn noch was ist einfach Fragen.