• Startseite
• Aktuell
• Inhalte
• Links
• Kontakt
• Impressum
• Änderungen
• Gästebuch

RSS Feed

Powered by PmWiki

Position: Inhalt >> WindowsKH

Windows Know-How

Programminstallation bei eingeschränkten Benutzerrechten (W2K/XP-Prof)

Permalink

Eine sichere Windows-Konfiguration verlangt, dass der normale Benutzer keine Adminrechte hat. Nur so lässt sich verhindern, dass Schadsoftware sich ungehindert einnisten kann. Überhaupt werden versehentliche Veränderungen des Systems verhindert und das führt zu einem wesentlich stabileren System.

Wenn man nun Software installieren will, braucht man Adminrechte. Eine Möglichkeit ist, sich als Administrator einzuloggen und dort die Installation vorzunehmen. Nach der Installation loggt man sich wieder als normaler Benutzer ein und kann dann dort das Programm nutzen. Sauber programmierte Software sollte hiermit auch keine Probleme haben. Leider gibt es heutzutage immer noch jede Menge Software, die diesen Vorgang nicht vernünftig handhaben kann.

Ein häufiges Problem ist, dass die Software nach der Installation noch auf Systemressourcen schreiben möchte, auf die der normale Benutzer keinen Schreibzugriff hat. Wenn so ein Schreibzugriff nur einmal direkt nach der Installation erfolgt, hilft es, dem normalen Benutzer kurzfristig Adminrechte zu verpassen. Dies geht so:

• Man loggt sich als Administrator ein
• Dort Start > Einstellungen > Systemsteuerung > Verwaltung > Computerverwaltung aufrufen
• In der Baumstruktur der Computerverwaltung System > Lokale Benutzer und Gruppe > Benutzer auswählen und dort den normalen Benutzer Doppelklicken, dem man die Adminrechte verpassen möchte. Der Dialog "Eigenschaften von user" öffnet sich.
• Reiter Mitgliedschaft auswählen und dort Hinzufügen... wählen. Dort die Gruppe Administratoren hinzufügen. Mit OK alle Fenster schließen und die Computerverwaltung ebenfalls beenden.
• Nun hat der Benutzer Adminrechte. Man loggt sich nun mit Start > Beenden > "Administrator abmelden" aus, um sich dann wieder als normaler Benutzer einzuloggen.
• Nun startet man die problematische Software und checkt, ob alles läuft.
• Jetzt gilt es wieder, dem Benutzer die Adminrechte zu entziehen. Das ist ganz wichtig!!! Sonst würde man ständig mit Adminrechten weiterarbeiten, womit sich Viren problemlos in's System einnisten können.
• Also wieder Start > Beenden > "User abmelden" wählen und wieder als Administrator einloggen.
• Wieder wie oben beschrieben, die Eigenschaften des Benutzers auswählen und dort dann die Gruppe Administratoren Entfernen. Alles mit OK bestätigen und beenden.
• Nun wieder als normaler Benutzer einloggen und testen, ob das Problem-Programm jetzt auch mit eingeschränkten Rechten läuft.

Wenn das nicht reichen sollte und das Programm immer noch Probleme macht, könnte es sein, dass das Programm in sein Verzeichnis schreiben möchte. Um dies herauszufinden, gibt man dem Verzeichnis einfach mal Schreibrechte für den normalen Benutzer. Das geht als Administrator im Datei-Explorer, in dem man auf das entsprechende Verzeichnis mit der rechten Maustaste klickt, dort Eigenschaften und Sicherheitseinstellungen. Dem entsprechenden Benutzer gibt man dann zusätzlich die Rechte Ändern und Schreiben.

Wenn das auch nicht zum Erfolg führt, muss man in der Registry die Rechte erweitern. Hier sollte man aber wirklich nur rummfummeln, wenn man weiß, was man tut. Unter Start > Ausführen startet man regedt32. Dort im Hauptbaum HKEY_LOCAL_MACHINE (HKLM) > Software sucht man die entsprechende Software und gibt diesen ganzen Pfad auch für Benutzer schreibbar frei. Wenn auch das nicht zum Erfolg führt, kann es sein, dass das Programm andere Bereiche des Betriebssystems schreiben will, dann hilft nur noch mit Programmen wie regmon oder filemon zu überwachen, worauf das Programm zugreifen will, um dann die entsprechenden Ressourcen freizugeben, was natürlich immer ein Sicherheitsrisiko darstellt. Eigentlich sollte man Software, die sowas für den normalen Betrieb fordert, wenn es irgendwie geht, nicht einsetzen.

Sinnvolle Defaultkonfiguration (XP)

Permalink

Nach der Standard-Installation sollten einige Parameter konfiguriert werden:

• Fehlerberichterstattung zu Microsoft abschalten: Dies ist sinnvoll, weil hier auch vertrauliche Daten übertragen werden könnten. Zu finden unter Arbeitsplatz (rechte Maustaste) > Eigenschaften > Erweitert > Fehlerberichterstattung.
• Ballon-Tipps evtl. abschalten, wenn sie nerven: http://support.microsoft.com/?kbid=307729
• Messenger deinstallieren, wenn nicht benötigt: Start > Ausführen: RunDll32 advpack.dll,LaunchINFSection \INF\msmsgs.inf,BLC.Remove

Stand: 14.05.2007 14:06 Uhr
© Winfried Mueller, www.reintechnisch.de

Ändern | Historie