Win7: Benutzerkonten: wie geht Ihr damit um?

[MarcusAgrippa]

Als - in der Regel - Alleinnutzer meines TPs habe ich ein Benutzerkonto als Administrator, das ich, wenn es sein muss, mit einem Passwort verschliesse, welches ich zuhause aber wieder lösche (um den PC in einem Rutsch ohne Bestätigung hochfahren lassen zu können).

Wenn mal eine Freundin oder ein Freund seine Emails abruft und dgl, kann ich sicher sein, dass sie mir nicht in meinem PC herumfuhrwerken.

Als Test habe ich mal ein 2. Konto eröffnet, aber Win7 installiert dafür den Ursprungsdesktop, der ganz ohne meine eigenen Einstellungen, Icons, Taskbar etc daherkommt, die ich mit Bedacht eingerichtet habe, um schnell und bequem an das zu kommen, was ich häufig brauche.

Akzeptabel wäre für mich ein 2. Konto, das alle meine individuellen Einstellungen übernähme, nur eben bei bestimmten eingeschränkten Rechten. Nur so würde ich das Admin-Konto permanent mit einem PW versehen.

[Das "Gast"-Konto könnte ich bei Bedarf - für jemand anderen! - jederzeit aktivieren, aber es hat eben auch diese 'langsamen' und gleichzeitig überladenen Einstellungen, die Windows vonhausaus mitbringt]

- Wie haltet Ihr es?

- Was macht Ihr mit gelegentlichen "Gästen", die nicht gleich ein eigenes Konto brauchen, die Ihr aber auch nicht mit der Urfassung abspeisen wollt? (Da muss ich ja selbst zu suchen anfangen (!) oder die richtigen Stichwörter fürs Startfenster flüstern)

- Wie überträgt man - auf einfache Weise - die Einstellungen des Admin-Kontos auf ein anderes, natürlich ohne bestimmte Rechte, sozusagen als Konto für jeden Tag? Also ohne die Vielzahl von Einstellungsoptionen durchkauen zu müssen? Ein solches Konto würde ich eigentlich auch gerne als Gastkonto bereitstellen, mit noch mal eingeschränkten Rechten, was das "Computer-Heiligste" betrifft

 

[Helios]

Hmmm... benutze beim Surfen (normalerweise als Admin) meist Sandboxie. Inwieweit das die Sicherheit steigert, vermag ich aber nicht zu beurteilen. UAC auf maximal.

 

[Carrera124]

Weil ein Browser inkl. Plugins mit beiden Konten mit den gleichen Rechten läuft (unter W7)?

Und warum sollte Windows das machen ?

Denkst du wirklich, Windows führt den Browser+Flash mit vollen Adminrechten aus?

Ja, denke ich. Denn warum sollte es unter Windows dann überhaupt unterschiedliche Typen von Nutzerkonten geben, wenn Windows sowieso macht was es will ?
Oder kann Windows hellsehen ?

 

[Evilandi666]

Interessant, deine Sicherheit basiert also auf Vermutungen...

Das was du sagst gilt für Windows XP vielleicht, aber W7 macht das etwas anders. Ist dir noch nie aufgefallen, dass du ein Programm mit eingeschränkten Rechten öffnest? Und erst wenn du es explizit mit "als Administrator starten" öffnest, UAC dich nervt und es erst dann mit Adminrechten läuft (wobei dann u.U. immernoch MIC die Rechte einschränkt)? Viele Programme können auch Adminrechte anfordern, das merkt man dann, wenn UAC fragt. Wieso denkst du steht bei vielen alten Tools dabei, "unter W7 bitte rechtsklick und als Admin ausführen?" oder "UAC vorher abschalten"?
Du kannst ja gern eine Batchdatei anlegen, format c: (oder ein anderes Laufwerk sollte auch nicht gehen) reinpacken und (in einem Adminkonto) doppelklicken, es wird nicht klappen.*

Ich hab mein letztes Post übrigens nochmal etwas editiert übrigens, hab die neuen nicht gesehen.

*= Kannst es auch so wie ich in einer VM testen Ohne explizites "als admin starten" kommt nicht mal eine UAC Abfrage, Windows führt es nicht mal aus. Erst nachdem man es explizit als Admin ausführt und UAC mit Ja wegnervt kommt überhaupt die y/n Abfrage von format. Scheinbar hat man also nicht durchgängig Adminrechte

Ich will ja nicht behaupten, dass es total für die Katz ist, ein eingeschränktes Konto zu nutzen, es ist insoweit besser, dass man das Admin PW eingeben muss anstatt nur "ok" zu klicken (das hilft v.a. wenn man den Rechner ab und zu mal alleine lässt -> Laptop), aber ansonsten schenkt es sich eigentlich nicht viel und ein "Muss" ist es nicht mehr, finde ich.

 

[Carrera124]

Dann hast du dich offenbar noch nie wirklich mit normalen Benutzerkonten unter Win7 befasst. Denn dass man auch unter einem Adminkonto ein Programm explizit "als Administrator ausführen" kann, ist mir wohlbekannt.

Allerdings gibt es Software, die sich unter einem Adminaccount völlig ohne UAC-Rückfrage installieren lässt, und auch ohne die Funktion "als Administrator ausführen".
Wohingegen die Installation unter einem normalen Benutzerkonto verweigert wird.

Die Funktion "als Administrator ausführen" im Admin-Konto ist also lediglich die allerletzte Sicherheitsschwelle, damit das System auch unter einem Adminkonto nicht gar so sperrangelweit offensteht wie beispielsweise noch bei Windows XP.

Daraus folgern wir: das Adminkonto bietet trotzdem mehr Rechte (und ist deshalb sicherheitskritischer) als das normale Nutzerkonto, selbst wenn man beim Adminkonto das eine oder andere explizit "als Administrator ausführen" muss.

Denn wenn beide Kontentypen identisch wären, hätte sich Microsoft dem Implementierungs-Aufwand ja sparen können, und keine Unterscheidung der Konten nach "Administrator" und "Normaler Benutzer" treffen müssen.