Auf der anderen Seite: Was spricht wirklich gegen die Aufteilung auf 2 Benutzerkonten?
Es ist umständlicher.
Spätestens dann, wenn ich Systemeinstellungen ändern will, die eben nicht mit einem RunAs oder einem "Als Administrator ausführen" verfügbar sind. Dann muss man sich nämlich für irgendwelchen Kleinkrams extra mit dem zweiten Konto anmelden.
Würde ich ja einsehen, wenn es denn einen wirklich sinnvollen Sicherheitsgewinn mitbringen würde. Aber das tut es ja wie gesagt in der Praxis gar nicht.
Ich verfahre seit Ewigkeiten so.
Ja, "hab ich immer so gemacht" ist wohl auch das einzige Argument, was für die Aufteilung in zwei Konten spricht. ;-)
Seit Win10 ist es ein Account mit administrativen Rechten für die Verwaltung und Installationsarbeiten, dem ich auch mein MS-Konto zugeordnet habe. Für das tägliche Arbeiten ist es ein rein lokaler Benutzer ohne weitere Rechte.
Aber bei vielen Leuten, die das MS-Konto als solches nutzen, ist das nun grad nicht sinnvoll. Denn man will ja die Anbindung an Office, OneDrive, Teams und Co. nun grad nicht im an sich nie genutzten Admin-Account haben, sondern im täglich verwendeten Benutzer-Account.
Andererseits braucht man z.B. für die Speicherung von Bitlocker-Keys im Konto dieses mit Adminrechten. Klassisches Dilemma.
Und vermutlich kommen jetzt ganz viele Leute hier, die sowieso nie ein MS-Konto, geschweige denn irgendeine der genannten Funktionen verwenden würden. Aber das ist hier vielleicht auch nicht so ganz das typische Benutzer-Umfeld.
Falls beim normalen Arbeiten dennoch (für was auch immer) höhere Rechte benötigt werden, poppt ja ein entsprechendes Fenster auf, wo ich immer noch entscheiden kann ob ich den Admin-Account auswähle und das Passwort eingebe oder den Vorgang abbreche.
Ja, kann ich mit einem normalen Benutzer, welcher zum Admin werden kann, exakt genau so. Ich muss dann kein Passwort mehr eingeben, aber ich habe genau den gleichen Dialog zur Zustimmung.
Insgesamt fühle ich mich so etwas wohler, falls der Arbeits-Account aus irgendeinem Grund doch mal abspacken sollte, habe ich immer noch einen Zugang zum Rechner über meinen Admin-Account.
Den hättest du ansonsten über den abgesicherten Modus und den nur dort aktivierten lokalen Administrator. Dafür ist der nämlich eigentlich da.
Noch kurz zu deiner Frage zu. Win11: Ich wüsste nicht, was sich bei Win11 bzgl. der verschiedenen Accounts geändert hat.
Die Änderung kam ja auch früher. Zuletzt war man mit Windows XP mit einem Konto, welches in der Administratoren-Gruppe ist, immer Administrator. Dort war die Trennung zwischen Benutzer- und Administrator-Konten sinnvoll.
Bei verwalteten PCs ist die Trennung natürlich auch sinnvoll. Der Benutzer hat kaum Rechte und kann daher wenig kaputtmachen. Benutzer und Admin sind nicht eine Person und haben daher auch nicht die selben Rechte.
Seit Vista kam die Benutzerkontensteuerung, die genau das Problem anging, dass unter XP eben grad im Heim-Umfeld jeder als Admin gearbeitet hat. Im Prinzip bist du mit deiner Arbeitsweise also noch in der Zeit vor 2007. Ist nicht böse gemeint... ;-)
Bei einem normalen Account ist es halt ein zusätzliches Fenster, wo ein Account mit Admin-Rechten ausgewählt und das Passwort eingetippt werden. Arbeitstechnisch macht das natürlich keinen großen Unterschied außer einer marginalen Bequemlichkeit.
Es hält einen aber auch nicht davon ab, eventuell heruntergeladene Malware auszuführen. Denn wenn man sie heruntergeladen hat, will man sie ja ausführen. Einem wurde weisgemacht, dass man sie auszuführen hat. Ob man dann die Ausführung noch mal so bestätigt oder mit einem anderen Konto bestätigt, ist letztlich egal.
Es gibt also schlicht keinerlei Vorteile. Warum sollte ich dann eine, wenn auch deiner Meinung nur "marginale", Verschlechterung der Bedienung hinnehmen?
Hat man aber 2 Accounts, ist so nur der Arbeits-Account betroffen und ich habe immerhin noch die Möglichkeit, mit einem nicht betroffenen Account am System etwas machen zu können.
Da man, wenn Schadsoftware aktiv wurde, das System sowieso von einem sauberen Backup zurückspielt oder sauber neu installiert, ist das aber kein relevantes Szenario.
In dem Moment weiß ich nämlich nicht, ob die Malware nur meine Daten verschlüsselt hat, nur meinen eigenen Benutzer befallen hat, oder das komplette System kompromittiert wurde. Insofern muss ich zwingend letzteres annehmen.
Ich muss dann also schlicht nichts mehr machen, was einen zweiten Account auf dem Rechner erforderlich machen würde.