Wie macht ihr das mit eurem eingeschränkten Nutzerkonto?

K

klotieftaucher

Enthusiast
Thread Starter
Mitglied seit
16.07.2009
Beiträge
148
Hallo zusammen,

die meisten von euch werden wohl einen administrator (mit allen rechten) und einen "user" (mit eingeschränkten rechten) erstellt haben. surfen, spielen, programmieren usw. werdet ihr dann wohl mit dem "user" account. so habe ich es zumindest gemacht.

ich habe zwei partitionen:
C: (windows + programme) und D: (meine persönlichen daten)

nun wollte ich es gerne so einstellen, dass "user" keinerlei schreibrechte auf C: und D: hat. er soll nur schreibrechte im ordner D:\Downloads haben. ich denke, dass ich auf diese weise maximale sicherheit erhalte, oder?

das problem ist nun, dass ich "user" die schreibrechte auf C: nicht verweigern kann. genauer gesagt, kann ich "user" die schreibrechte für folgende ordner und dateien nicht verweigern:

C:\Windows
C:\Program Files (x86)
C:\Program Files
C:\hiberfil.sys
C:\pagefile.sys

es kommt einfach eine meldung, die besagt, dass ein entziehen der schreibrechte für oben genannte ordner und dateien nicht möglich ist.

unter xp hatte ich dieses problem nicht. was mache ich nun? habt ihr vielleicht vorschläge wie ich das problem lösen kann, oder vorschläge was ich alternativ machen kann, oder ist mein "sicherheitskonzept" vollkommen für den eimer? tipps? anregungen?

ich habe bisher keine tutorials dazu finden können. vielleicht habe ich auch einfach nicht den richtigen suchbegriff in google eingetippt.

danke
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallöchen,

also ich muss ehrlich sagen, dass mir ein User vollkommen reicht, und der hat Admin-Rechte :d Ist fraglich, ob ein Eingeschränktes Nutzerkonto beim Zocken oder ähnlichem irgendetwas bewirkt...

Wie hast du denn versucht, die Zugriffe zu verweigern?
 
Auch administratoren sind mitglied der benutzergruppe, es ist also ganz gut dass, das nicht durchgeführt wird was du da machen willst?!

ich sehe auch kein vorteil explizit zu verweigern...willst du dass nicht jeder neue dateien erstellen kann?
Entfern die ersteller/besitzer rechte, einen nutzen davon sehe ich aber nicht denn benutzer können zumindest unter vista unter den aufgeführten orten eh keine dateien erstellen....(grad kein win7 system zur hand...hät jetzt aber auf anhieb gesagt dass ist genauso)

wie du dein ziel auf d erreichst...gib der benutzergruppe auf laufwerksebene leserechte und auf dem ordner noch zusätzlich änderungsrechte, fertig
 
Fallballa schrieb:
Hallöchen,

also ich muss ehrlich sagen, dass mir ein User vollkommen reicht, und der hat Admin-Rechte :d Ist fraglich, ob ein Eingeschränktes Nutzerkonto beim Zocken oder ähnlichem irgendetwas bewirkt...

Wie hast du denn versucht, die Zugriffe zu verweigern?
Zum Vergrößern anklicken....

rechtsklick auf ordner oder partition ---> sicherheit. hier kannst du nun rechte für gruppen oder einzelne nutzer vergeben.
ein eingeschränktes nutzerkonto ist auch mit spielen kompatibel. ich spiele aber nicht :)

0711 schrieb:
Auch administratoren sind mitglied der benutzergruppe, es ist also ganz gut dass, das nicht durchgeführt wird was du da machen willst?!

ich will lediglich dem standard user die schreibrechte entziehen nicht dem administrator. man kann nämlich auch einzelnen benutzern die rechte entziehen, nicht bloß benutzerGRUPPEN.[/COLOR]

ich sehe auch kein vorteil explizit zu verweigern...willst du dass nicht jeder neue dateien erstellen kann?

der standard user soll keine schreibrechte auf C: haben. das bedeutet er soll keine dateien verändern/umbennen/erstellen/löschen/etc können. ich verspreche mir dadurch halt, dass viren weniger chancen haben.

Entfern die ersteller/besitzer rechte, einen nutzen davon sehe ich aber nicht denn benutzer können zumindest unter vista unter den aufgeführten orten eh keine dateien erstellen....(grad kein win7 system zur hand...hät jetzt aber auf anhieb gesagt dass ist genauso)

ob das auch unter win7 so ist, wäre schon wichtig zu wissen, da ich genau das haben will.

wie du dein ziel auf d erreichst...gib der benutzergruppe auf laufwerksebene leserechte und auf dem ordner noch zusätzlich änderungsrechte, fertig

auf D: habe ich es schon umgesetzt.
Zum Vergrößern anklicken....

ich habe die artikel in deiner sig gelesen. hast du nicht vielleicht auch links parat, die sich mit dem thema beschäftigen, welches ich hier gerade anspreche? irgendwelche tutorials? ich habe bisher nichts gutes finden können unter google. ich würde halt gerne wissen, wie man die schreib- und leserechte für den standard user vergeben sollte, sodass ein hohes maß an sicherheit entsteht und ich nicht alle 3monate formatieren muss wegen malware.

danke
 
So, danke, jetzt weiß ich auch wie das funktioniert oO

Wenn du das unbedingt machen willst, dann solltest du nicht der Nutzergruppe die Rechte geben, sondern explizit dem Nutzer - das geht unter Sicherheit-->Erweitert-->Nutzer hinzufügen.

Das du das mit dem normalen Windows7 Admin nicht machen kannst, liegt daran, dass das Systemordner/Dateien sind und du dafür einen richtigen Admin brauchst, den du dir im CMD freischalten kannst...dennoch sehe ich keinen wirklichen Grund.

Das bedeutet auch, dass, wenn du als Nutzer ohne Schreibrechte eingeloggt bist, das System möglicherweise nicht mehr ganz so rund läuft - man sollte genau wissen, was man unterdrückt. Den kompletten Windows-Ordner zu sperren macht vllt Sinn, wenn du wirklich viele Nutzer an deinem System hast, wenn du aber damit zur Sicherheit gegen Bedrohungen aus dem Netz vorgehen willst - lass es bleiben und besorg dir ne vernünftige Firewall ;)
 
klotieftaucher schrieb:
rechtsklick auf ordner oder partition ---> sicherheit. hier kannst du nun rechte für gruppen oder einzelne nutzer vergeben.
ein eingeschränktes nutzerkonto ist auch mit spielen kompatibel. ich spiele aber nicht :)
Zum Vergrößern anklicken....

klotieftaucher schrieb:
ich will lediglich dem standard user die schreibrechte entziehen nicht dem administrator. man kann nämlich auch einzelnen benutzern die rechte entziehen, nicht bloß benutzerGRUPPEN
Zum Vergrößern anklicken....
macht man i.d.R. nicht, wenn dann bau eine 2. benutzergruppe, explizite verweigerungen empfehlen sich aber seltenst
klotieftaucher schrieb:
der standard user soll keine schreibrechte auf C: haben. das bedeutet er soll keine dateien verändern/umbennen/erstellen/löschen/etc können. ich verspreche mir dadurch halt, dass viren weniger chancen haben.
Zum Vergrößern anklicken....
Direkt auf C darf der Benutzer keine dateien verändern, umbennen oder löschen wenn es nicht seine eigenen sind.
Ändern darf er eigene Dateien.
-> "eigene" definiert sich über den Besitzer der Datei/Ordner
Direkt auf C darf ein Benutzer Dateien und Ordner anlegen
-> sind dann seine eigene Dateien/Ordner

Unter %programfiles% + %programfiles% (x86) darf ein Benutzer nur eigene Dateien und Ordner ändern/löschen/umbennen aber keine neuen anlegen
-> normalzustand ist dass er dort kein besitzer eines ordners oder einer datei ist, er darf hier also nichts machen

Unter %windir% ist es ähnlich, nur dass es dort unterordner mit noch eingeschränkteren rechten gibt wo benutzer nichtmal lesen dürfen (z.B.)

klotieftaucher schrieb:
ob das auch unter win7 so ist, wäre schon wichtig zu wissen, da ich genau das haben will.
Zum Vergrößern anklicken....
siehe punkt zuvor -> entspricht dem w7 rechtekonzept das sich im wesentlichen nicht von vista unterscheidet
klotieftaucher schrieb:
ich habe die artikel in deiner sig gelesen. hast du nicht vielleicht auch links parat, die sich mit dem thema beschäftigen, welches ich hier gerade anspreche? irgendwelche tutorials? ich habe bisher nichts gutes finden können unter google. ich würde halt gerne wissen, wie man die schreib- und leserechte für den standard user vergeben sollte, sodass ein hohes maß an sicherheit entsteht und ich nicht alle 3monate formatieren muss wegen malware.
Zum Vergrößern anklicken....
sagen wir mal so...mit einem normalen benutzeraccount bist du da schon recht weit und ich würde hier auch die ntfs rechte nicht weiter einschränken. Eine kleine erweiterung/verbesserung diesbezüglich wäre der gast account...mit einem eingeschränkten Account versagt schon die meiste Schadsoftware und du bekommst fast alles eigentlich mit löschen des Profils los ;)

Wenn du max sicherheit willst beschäftige dich lieber mit folgendem (Sinnvoll nutzbar erst mit Win7 Prof):
- Applocker AppLocker Documentation for Windows 7 and Windows Server 2008 R2
- Richtlinien für Softwareeinschränkungen SO WIRD'S GEMACHT: Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003
und lass darüber nur dir bekannte Programme für Benutzer zu. Damit bist du Sicherheitstechnisch deutlich weiter als mit den NTFS Rechten je kommen könntest.

Meine Empfehlung hierfür, aktivier Applocker für Alles (ausführbare, installer, skripts + dll`s!) und benutze die Standardregeln, die sind in kombination mit einem eingeschränkten Benutzeraccount schon sehr sicher und schützen auch vor schadsoftware die im kontext des angemeldeten Benutzers laufen kann. Mir ist noch keine schadsoftware unter gekommen die dies umgehen könnte und ich kenne auch keine vom hören sagen.

Du musst aber nicht die standardregeln nutzen und kannst eigene setzen, ich empfehle das aber ausdrücklich nicht, denn du kannst damit definitiv dein system lahm legen (und dir selber fesseln anlegen die du nicht mehr weg bekommst), auch ist bei nicht nutzung der standardregeln ein recht hohes verwaltungsaufkommen nötig (und je nachdem wie restriktiv du die regeln setzt erhöht sich halt das verwaltungsaufkommen). Wie gesagt, empfehlung sind die standardregeln, damit hast du wenig verwaltungsaufwand aber ein sehr hohes maß an sicherheit.

Richtlinien für Softwareeinschränkungen würde ich aussen vor lassen, ist eine veraltete technik aber mit der ist ähnliches prinzipiell auch möglich (ist quasi das gleiche - nur etwas eingeschränkter - aus "win xp" zeiten).


wenn du deine benutzer aber noch erziehen wilslt nur auf d daten abzulegen
Gruppenrichtlinie
Benutzerkonfiguration
- Admin Vorlagen
- Windows komp
- Windows Explorer
-> "Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen"
Das ist nur zur erziehung und wenig sicherheitsrelevant
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

Netter-Mann
[User-Review] Lesertest Netac ZX20L "Die portable SSD für Unterwegs"
Antworten
0
Aufrufe
181
Netter-Mann
Netter-Mann
F
[User-Review] Lesertest: be quiet! Dark Rock Pro 5 & BQ DC2 (Pro) vs BQ DRP4 vs Arctic Freezer 36 A-RGB
Antworten
0
Aufrufe
772
Finnschi
F
R
[User-Review] MSI MPG 271QRXDE QD-OLED im Lesertest
Antworten
6
Aufrufe
677
Robert_JJ4
R
J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
178
justinh999
J
M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
1K
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh