Regelung der Programminstallation in unterschiedlichen Benutzerkontentypen

macke · 30.01.2010

Hi zusammen!

Könntet Ihr mir bitte bei folgendem Problem behilflich sein?

Bislang waren auf meinem System 2 Benutzerkonten eingerichtet; mein eigenes (Administratorkonto) sowie das meiner Freundin (eingeschränktes Konto).

Aus Sicherheitsgründen wollte ich nun mein System (Windows XP Home inkl. SP3) unter der Verwendung dreier Benutzerkonten neu aufsetzen, und zwar so:

1.) Administratorkonto Administration
2.) mein Konto (eingeschränkt)
3.) Konto meiner Freundin (ebenfalls eingeschränkt)

Um auf beiden eingeschränkten Konten diverse Programme als Administrator ausführen zu können, wollte ich zudem die Software SuRunhttp://kay-bruns.de/wp/software/surun/ nutzen.

Jetzt zur eigentlichen Frage:

Kurz nach der Neuinstallation werden ja die benötigten Programme über das angelegte Administratorkonto (nicht das, was nur im abgesicherten Modus sichtbar ist!) installiert.

Wenn ich z.B. als Internetbrowser den Firefox 3.6 installiere, so wird dieser auch automatisch auf den beiden eingeschränkten Konten mit installiert. Auch ein Icon wird automatisch auf dem jeweiligen Desktop erstellt!

Als ich jedoch das Reinigungstool CCleaner installierte und dort während der Installation auch anhakte, dass eine Verknüpfung im Startmenü erstellt werden solle, so musste ich nach einem Wechsel in ein eingeschränktes Konto feststellen, dass diese Verknüpfung dort im Startmenü fehlte. Auch ein entsprechendes Icon auf dem Desktop fehlte in beiden Konten!

Lediglich die Einträge im Kontextmenü des Papierkorbes (Starte CCleaner bzw. Öffne CCleaner...) waren vorhanden.

Wie kommt so etwas und wie kann man das lösen?

Es gibt ja mitunter Programme, die während der Installationsroutine nachfragen, ob das Programm von allen Usern genutzt werden soll, oder nicht.

Aber manche Programme fragen das eben nicht.

Bei der Firefox-Installation wurde jedoch auch nicht gefragt und dennoch wurde das Programm für die eingeschränkten Konten mitinstalliert.

Wie mache ich das nun bei Programmen, die nicht nachfragen und hinterher auch nicht in den eingeschränkten Konten auftauchen?

Muss ich da nun in jedem Konto für jedes Programm eine manuelle Verknüpfung zum jeweiligen Programmordner erstellen? Oder geht das irgendwie anders?

Kann mir darüber hinaus jemand erklären, warum z.B. beim CCleaner kein Startmenüeintrag sowie kein Desktopicon in den eingeschränkten Konten vorhanden ist, jedoch die Kontextmenüeinträge des Papierkorbs?

Gruß,

Macke

mav1976 · 31.01.2010

Ich bin der Meinung, daß CCCleaner nur mit Administratorenrechten arbeitet und somit den eingeschränkten Konten erst gar keinen Zugriff gewährt.

Du mußt übrigens nicht extra eine Software installieren, um Programme aus dem eingeschränkten Konto als Administrator laufen zu lassen. Das kannst du bequem auch über das Kontextmenü Ausführen als....

macke · 31.01.2010

mav1976 schrieb:
Ich bin der Meinung, daß CCCleaner nur mit Administratorenrechten arbeitet und somit den eingeschränkten Konten erst gar keinen Zugriff gewährt.

Es gibt meiner Meinung nach aber auch Programme, die ebenfalls ausschließlich (oder teilweise) mit Administratorrechten arbeiten aber dennoch im Startmenü der eingeschränkten Konten vorhanden sind, oder täusche ich mich da prinzipiell?

Meine Frage war nun aber, wie ich CCleaner (und anderen Programmen) im eingeschränkten Konto Zugriff gewähren kann. Ich kann ja nun nicht jedes Mal, um eine Reinigung auf einem der eingeschränkten Konten durchzuführen, in das Administratorkonto wechseln; wie aufwendig soll das denn werden?

Im Übrigen konnte ich in den eingeschränkten Konten eine Desktop-Verknüpfung zur ccleaner.exe im CCleaner Programmordner erstellen und das Programm danach komplett ausführen! Wenn CCleaner nur mit Administratorrechten ausführbar wäre, hätte dieser Schritt ja schon gar nicht möglich sein können oder dürfen, oder nicht?

mav1976 schrieb:
Du mußt übrigens nicht extra eine Software installieren, um Programme aus dem eingeschränkten Konto als Administrator laufen zu lassen. Das kannst du bequem auch über das Kontextmenü Ausführen als....

Siehe Abschnitt im oben von mir angegebenen Link:

Warum keine Windows Bordmittel?

Der Windows Explorer hat einen “Ausführen als…” Befehl. Der ist allerdings nicht praktikabel! Schadsoftware kann sich damit nämlich mit einfachsten Mitteln ein Administratoren-Kennwort besorgen. Als Demonstration dafür kann man einfach AutoHotkey benutzen. AutoHotkey loggt alle Tastendrücke mit und man kann sich das Passwort im LOG ansehen.

Mit dem Windows Kommandozeilenprogramm „RunAs“, oder dem MachMichadmin Script ist es nicht viel anders. Auch wenn da ein normaler Keylogger nicht reicht, kann man diese Programme missbrauchen, um unbemerkt an ein Administrator-Kennwort zu gelangen.

Aber auch, wenn ich das Windows-Boardmittel nutzen würde: Wenn ich im Kontext-Menü Ausführen als... wählen sollte, dann muss ich mich doch auf dem Desktop-Symbol des betreffenden Programms befinden und mit der Maus rechtsklicken, oder nicht?

Das jeweilige Icon ist aber doch, wie ich oben beschrieben habe, gar nicht angelegt worden...

ebrus · 31.01.2010

Hallo,
du brauchst nur eine Verknüpfung erstellen und diese dann auf den Desktop ziehen und schon ist das Icon da. Wenn Programme Admin-Rechte verlangen sollte das ausführen als.. genügen, auch zum installieren von Anwendungen. Aber immer Vorsicht walten lassen! CCleaner geht auch unter eingeschränten Rechten aber nicht alle Funktionen.
Grüße

macke · 31.01.2010

ebrus schrieb:
Hallo,
du brauchst nur eine Verknüpfung erstellen und diese dann auf den Desktop ziehen und schon ist das Icon da.

Also so, wie ich es oben beschrieben hatte?

Muss ich da nun in jedem Konto für jedes Programm eine manuelle Verknüpfung zum jeweiligen Programmordner erstellen? Oder geht das irgendwie anders?

bzw.

Im Übrigen konnte ich in den eingeschränkten Konten eine Desktop-Verknüpfung zur ccleaner.exe im CCleaner Programmordner erstellen und das Programm danach komplett ausführen!

Das ist dann aber sehr umständlich, wenn man mehrere Programme nutzt, die ebenso verfahren und nicht im Startmenü der eingeschränkten Konten aufgeführt werden.

Bitte beantwortet mir dazu noch die folgenden Fragen:

Es gibt ja Programme (wie ja auch den Firefox), welche nach der Installation im Administratorkonto ebenfalls in den eingeschränkten Konten zu finden sind, und zwar sowohl im Startmenü als auch als Destop-Icon!

Bedeutet dies nun, dass diese dann auch mit Administratorrechten ausgeführt werden? Oder anders gefragt (falls das nicht so sein sollte): Wann macht es Sinn, den Firefox, Thunderbird, etc. im eingeschränkten Konto über Ausführen als... mit Administratorrechten auszuführen?

Für die Installation von Plugins, Erweiterungen, etc. ?

Oder werden diese auch im eingeschränkten Modus installiert?

Gruß,

Macke

ebrus · 31.01.2010

Hallo, welche Programme und wie diese im Startmenü, bei der Installation, eingefügt werden liegt an den Programmierern.
Bei manchen werden während der Installation entsprechende Fragen gestellt, bei anderen eben nicht. Die evtl. fehlenden Verknüpfungen kann doch jeder Nutzer selbst anlegen wenn sie gebraucht werden.
Programme sollten immer als Admin installiert werden damit auch wirklich alle notwendigen Daten an die richtige Stelle kommen und eine Deinstallation so sauber es geht gemacht werden kann. Wenn Programme zur Nutzung für ALLE installiert werden, brauchen diese zum ausführen keine Admin-Rechte.
Aktualisierungen oder auch Plugin's können zB. beim Firefox von jedem Nutzer selbst installiert werden. Sie stehen nur u.U. nicht allen zur Verfügung. Wobei eine wirkliche Systempflege nur dem Admin vorbehalten ist.
Grüße

mav1976 · 03.02.2010

Wenn es dich so nervt, für administrative Dinge jedes Mal ins Konto des Administrators zu wechseln, warum legst du dann überhaupt ein eingeschränktes Konto für dich an?

Ein eingeschränktes Konto hat nun einmal den Vorteil/Nachteil (je welche Sichtweise genommen wird), daß es den eingeschränkten Nutzern schwer macht, administrative Dinge zu erledigen.

Das mit Firefox oder anderen Browsern ist auch so, daß diese abprüfen, ob es mehrere Konten gibt und sich dann nach Rückfrage auch dorthin verknüpfen. Bei Browsern macht dies auch Sinn, oder nicht?

macke · 03.02.2010

mav1976 schrieb:
Wenn es dich so nervt, für administrative Dinge jedes Mal ins Konto des Administrators zu wechseln, warum legst du dann überhaupt ein eingeschränktes Konto für dich an?

Ein eingeschränktes Konto hat nun einmal den Vorteil/Nachteil (je welche Sichtweise genommen wird), daß es den eingeschränkten Nutzern schwer macht, administrative Dinge zu erledigen.

Achso...und das muss jetzt aber zwangsläufig bedeuten, dass man für jedes Programm manuelle Verknüpfungen erstellen muss, oder wie? Ich habe die eingeschränkten Konten aus Sicherheitsgründen angelegt und zwar vorrangig deshalb, weil ich nicht möchte, dass potentielle Schädlinge (auch wenn ich einigermaßen durch Kaspersky geschützt bin) direkt allerhand Rechte erhalten und somit noch mehr Schaden anrichten. Zudem wollte ich nicht, dass meine Freundin unter Umständen irgendetwas herunterlädt und irrtümlicher Weise installiert. Ich hatte jedoch NICHT beabsichtigt, nun für nahezu jedes Programm manuelle Verknüpfungen zu erstellen! Ausserdem gibt es ja Programme (ausser Firefox), die diese Verknüpfungen dennoch automatisch anlegen; aber eben nicht alle.

mav1976 schrieb:
Das mit Firefox oder anderen Browsern ist auch so, daß diese abprüfen, ob es mehrere Konten gibt und sich dann nach Rückfrage auch dorthin verknüpfen. Bei Browsern macht dies auch Sinn, oder nicht?

Und warum sollte dies nur bei Browsern Sinn machen, bitte? Wenn man mit CCleaner in einem eingeschränkten Konto eh nicht alle Funktionen ausführen kann, wie etwä Änderungen an der registry, frage ich mich, warum es so gefährlich sein sollte, automatisch Verknüpfungen im Startmenü oder auf dem Desktop anzulegen, damit der eingeschränkte User wenigstens mal temporäre Dateien, etc. löschen kann.

Nur weil es in Deinen Augen Sinn macht, dass ein Browser jedes Benutzerkonto erkennt, um dorthin seine Verknüpfung zu legen (in diesem Zusammenhang frage ich mich allerdings, was Du mit nach Rückfrage meinst; bei meiner Installation wurde nicht gefragt, ob FF auch auf den eingeschränkten Konten zur Verfügung stehen soll), heißt das noch lange nicht, dass derartige Verknüpfungen nun automatisch sicherer sind als Verknüpfungen zu anderen installierten Programmen.

Der Zugang zum Internet stellt ja wohl noch mit die größte Gefahrenquelle dar. Laut der Programmierer des CCleaner (und einiger anderer Programme) könnte es zu gefährlich sein, dass eingeschränkte User Ihre eigenen Dateien, etc. shreddern aber man darf ruhig jegliche Schädlinge aus dem Internet laden, oder wie?

Finde ich wenig logisch.[br][br]Erstellt am: 03.02.10 um 10:11:06

[br]

ebrus schrieb:
Aktualisierungen oder auch Plugin's können zB. beim Firefox von jedem Nutzer selbst installiert werden. Sie stehen nur u.U. nicht allen zur Verfügung.

Bist Du Dir da wirklich ganz sicher? Ich meine, als mein Konto noch ein Administratorkonto war und lediglich das meiner Freundin eingeschränkt musste immer ich für die Aktualisierung des FF sorgen. Sobald ich auf eine neuere Version upgedatet hatte, war auch automatisch ihre FF-Version upgedatet.

Oder täusche ich mich da? Kann jeder eingeschränkte User den Firefox updaten?

Gruß,

Macke

Shinezumi · 03.02.2010

macke schrieb:
Kurz nach der Neuinstallation werden ja die benötigten Programme über das angelegte Administratorkonto (nicht das, was nur im abgesicherten Modus sichtbar ist!) installiert.

Wenn ich z.B. als Internetbrowser den Firefox 3.6 installiere, so wird dieser auch automatisch auf den beiden eingeschränkten Konten mit installiert. Auch ein Icon wird automatisch auf dem jeweiligen Desktop erstellt!

Das ist nicht ganz richtig. Diese Programme (FF, TB und andere) werden bei diesem Verfahren nicht im Administrator-Konto installiert, sondern im Konto->Default User'
Auf dieses Konto hat jeder Zugriff und kann sich auf leichte Art und Weise das Start-Icon eines Programmes entweder erstellen oder es kopieren und es auf seinen eigenen Desktop schieben. Die Zugriffsrechte bleiben dabei erhalten.

Was CCCleaner angeht, arbeitet das Programm auch in eingeschränkten Konten, kann da aber verständlicherweise nicht jede Funktion ausführen, weil manche davon einfach Admin-Rechte erfordern. Die fallen dann zwangsläufig unter den Tisch.
Dafür hilft dann (in Ausnahmefällen)->Ausführen als'

mav1976 · 03.02.2010

Moin Macke,

macke schrieb:
Und warum sollte dies nur bei Browsern Sinn machen, bitte?

ich muß hier nicht über den Sinn von irgendeiner Software diskutieren. Du wolltest Hilfe bzw. Antworten bzgl. deiner Anfrage. Ich habe lediglich darauf aufmerksam gemacht, daß man nicht unbedingt eine Software installieren muß, um an Administratorenrechte zu gelangen.

Um temporäre Dateien zu löschen benötigst du nicht einmal CCleaner. Das kannst du mittels einfachen Boardmitteln (cleanmgr.exe oder Batchdateien) selbst lösen. Auch als Nutzer mit eingeschränkten Rechten.

macke schrieb:
Nur weil es in Deinen Augen Sinn macht, dass ein Browser jedes Benutzerkonto erkennt, um dorthin seine Verknüpfung zu legen (...), heißt das noch lange nicht, dass derartige Verknüpfungen nun automatisch sicherer sind als Verknüpfungen zu anderen installierten Programmen.

Ich habe nicht behauptet, daß solche Verknüpfungen sicherer sind. Ehrlich verstehe ich auch nicht den Zusammenhang, wie du zu dieser Erkenntnis kommst.

Ich werde mich aus der Diskussion aber jetzt raushalten.

Regelung der Programminstallation in unterschiedlichen Benutzerkontentypen

macke

mav1976

macke

ebrus

macke

ebrus

mav1976

macke

Shinezumi

mav1976

Regelung der Programminstallation in unterschiedlichen Benutzerkontentypen

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums