Installationsprobleme in XP-Benutzerkonto ohne Administrator

  • Hallo :?


    habe das Problem, das ich unter einem als nicht Admin geschaltetem Benutzerkonto kein TB einrichten kann, was dann auf ein gemeinsames Profil zurückgreift. Habe schon alle Hinweise des Forum von Toolman im Nov.06 bezügl. Änderung der profile.ini, prefs.js sowie Anlage der Profile in einem für alle möglichen Zugangsbereich(z.Bsp. unter C\Progamme\Thunderbird ) durchgespielt. Sobald das Benutzerkonto Admin-Rechte hat, funktioniert alles 1A aber sobald diese unter XP-Home eingeschränkt werden, kann ich zwar im Profil-Manager das entsprechende Profil für den gemeinsamen Zugriff auswählen, aber sofort erscheint die Meldung das das entsprechende Profil schon benutzt wird, obwohl keine Awendung offen ist. Sollte es am XP-Home liegen oder existiert ein Weg dieses Problem zu umgehen.
    Mit Hoffnung auf Hilfe


    mailslave :?:

  • Hallo mailslave,


    das funktioniert normalerweise einwandfrei - auch mit xp home. Allerdings ist dieses Verzeichnis

    "mailslave" schrieb:

    ... sowie Anlage der Profile in einem für alle möglichen Zugangsbereich(z.Bsp. unter C\Progamme\Thunderbird )


    nun keine gute Wahl für ein Profil, weil dort standardmäßig bereits das Programm liegt.

    Zitat

    ... Sobald das Benutzerkonto Admin-Rechte hat, funktioniert alles 1A aber sobald diese unter XP-Home eingeschränkt werden ... aber sofort erscheint die Meldung das das entsprechende Profil schon benutzt wird.


    Sofern das Profil wirklich nicht mehr in Benutzung ist (erkennbar an der Datei parent.lock), ist dies ein sehr deutliches Anzeichen, dass dieser Anwender eben doch keinen Zugriff auf das Verzeichnis bzw. die Dateien hat. Irgendetwas stimmt mit Ihrer Konfig bzw. Rechtevergabe nicht. Was, das ist so remote schwer zu sagen.

    Es gibt unter xp einen Ort, der explizit für die gemeinsame Verwendung vorgesehen ist. Er heißt auch passend "Gemeinsame Dokumente". Versuchen es einmal mit diesem Ordner. Zuvor sollten Sie aber prüfen, ob Ihre bisherige Wahl Ihnen nicht den Programmordner durcheinander gebracht hat.

  • Hallo mailslave,


    mit der Home Edition kann das nicht funktionieren (zumindest nicht ohne Kenntnisse über Tweaks, die ich hier einmal als nicht vorhanden vermute). Alles was im Programme-Ordnerzweig liegt, ist für eingeschränkte Benutzer nicht schreibbar (und unsauber von der Struktur darüber hinaus). Zwar deutet die Fehlermeldung auf ein anderes Problem hin, kann aber trotzdem (ohne hier auf die technischen Hintergründe einzugehen) damit im Zusammenhang stehen.
    Der Weg, den Solaris aufgezeigt hat, ist hier richtig, dabei ist jedoch darauf zu achten, daß das Profil vom eingeschränkten Benutzer in einem von ihm selbst erstellten Unterordner angelegt wird; nur so wird er zum Ersteller und damit Besitzer der erstellten Dateien und hat die erforderlichen Rechte. Daraus ergibt sich wiederum, daß das ganze (mit der Home Edition) nur mit einem eingeschränkten Benutzerkonto geht, die Zahl der Administratoren spielt dagegen keine Rolle. Außerdem sollte nicht verschwiegen werden, daß es gleichwohl Probleme geben kann, wenn im Verlauf des Umgangs mit dem Profil neue Dateien erstellt werden, die vom Administrator erstellt worden sind (der damit deren Ersteller und Besitzer wird).


    Je nachdem, was dein Ziel ist, würde ich mir also überlegen, ob sich statt dieser Konstruktion nicht eine andere Lösung findet. Mal angenommen, du willst das Profil primär von deinem Benutzerkonto nutzen, aber als dein eigener Aministrator die Möglichkeit haben, die Mails auch vom Administratorkonto lesen / bearbeiten zu können, so würde ich ganz normal ein Profil im Benutzerkonto anlegen und dann im Admin-Konto mitverwenden.

  • Hallo Cosmo, Hallo Solaris :? ,
    danke für die Infos. Mein grundsätzliches Ziel ist es mit meinem Mail und Internetaccount weg vom Admin -Konto zu kommen. Jedoch ist eine Installation z.B. meiner Finanzsoftware -Star money nicht ohne Admin Rechte möglich, so daß ich also immer auf die Nutzung beider Benutzerkonten angewiesen bin. Ich versuche nun zunächst einmal ein Profil im Benutzerkonto ohne Admin rechte anzulegen. Sollte das funktionieren, dann bin ich damit auch zufrieden. Dane erstmal, ich melde mich wieder wenn Probleme weiterbestehen. MfG mailslave :wink:

  • Hallo mailslave,


    "mailslave" schrieb:

    ... Mein grundsätzliches Ziel ist es mit meinem Mail und Internetaccount weg vom Admin -Konto zu kommen. ...


    Dieser Schritt ist aus meiner Sicht absolut richtig, denn schon allein dadurch ist der Rechner vor vielen "bösen Dingen" geschützt - teilweise effektiver als durch Virenscanner und personal firewall.
    Ich verfahren schon seit Jahren so, auch unter xp home. Dazu noch einige Hinweise aus meiner Erfahrung damit unter xp home:

    - Sie können die Rechte unter xp home detaillierter vergeben, als es auf den ersten Blick scheint. Siehe dazu auch Aus XP Home wird XP Pro, insbesondere die Seiten 6 und 7.
    Zugegeben, cacls ist nicht jedermanns Sache, weil es über die Konmmandozeile bedient wird (ich mag das wiederum sehr). Allerdings werden Sie die Rechte ja nicht jeden Tag neu vergeben. Für die wesentlichen Dinge des Alltags gibt es noch eine weitere "Hintertür", die der o.g. Artikel nicht erwähnt: Der gute alte Filemanager (winfile.exe) aus dem NT4 funktioniert auch unter xp home. Den Filemanager gibt es im Netz zu Download, einfach mal googlen.

    - Den Admin Account benutze ich nur, um systemnahe Dinge zu erledigen, wie z.B. Patches einzuspielen, die Hardware zu konfigurieren usw. .

    - Normale Software-Installationen führe ich mit den Account des eingeschränkten Users durch. Dazu mache ich ich ihn für die Installation kurzzeitig zum Administrator und entziehe die Rechte anschließend wieder.

    - Es gibt einige wenige, meist ältere Programme, die zur Laufzeit Adminrechte benötigen. Für diese Fälle gibt es zwei Möglichkeiten:


    1. Sie führen diese Programme per "ausführen als ..." als Admin aus.


    2. Bei Sysinternals gibt es Tools, mit denen Sie nachverfolgen können, welcher konkrete Zugriff scheitert. Mit diesem Wissen können Sie dem User dann explizit das fehlende Recht einräumen, ohne ihn gleich zum Admin machen zu müssen.
    Dieser Fall ist bei mir nur ein mal aufgetreten, beim Nero 5 (aus 2001). Mit Nero 7 (wohl auch 6) ist das kein Thema mehr. Alle anderen Programme, die ich benutze, funktionieren auch mit dem eingeschränkten Account wunderbar.


    Das klingt jetzt vielleicht ein wenig aufwendig, ist es aber gar nicht.

  • Hallo mailslave,

    "mailslave" schrieb:

    ... Mein grundsätzliches Ziel ist es mit meinem Mail und Internetaccount weg vom Admin -Konto zu kommen. ...


    Das befürworte ich auch. Was Thunderbird betrifft: Gar kein Problem. Thunderbird im Administratorkonto installieren, gegebenenfalls auch das deutsche Wörterbuch (und gegebenenfalls weitere nach Bedarf) im Administratorkonto installieren und dann kannst du den Rest (inklusive der INstallation von Erweiterungen) problemlos im Benutzerkonto durchführen.


    Zusatz: Um die Wörterbücher zu installieren, mußt du den TB im Admin-Konto starten, wobei die Aufforderung zur Datenübernahme und / oder zum Anlegen eines Kontos erscheinen. Einfach abbrechen, wenn im Administratorkonto kein E-Mail-Konto benötigt wird.


    Hallo Solaris,


    wir sind uns offensichtlich grundsätzlich einig, aber in diesem Punkt möchte ich abraten:

    "Solaris" schrieb:

    Normale Software-Installationen führe ich mit den Account des eingeschränkten Users durch. Dazu mache ich ich ihn für die Installation kurzzeitig zum Administrator und entziehe die Rechte anschließend wieder.


    Der Grund ist, daß unter XP - anders als unter W2k - standardgemäß der Ersteller von Dateien auch deren Besitzer wird, auch wenn er keine Adminstratorrechte mehr hat. Das läßt sich zwar in XP Pro in den lokalen Sicherheitseinstellungen ändern (Lokale Einstellungen - Sicherheitsoptionen - Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden), aber eben nicht in der Home Edition; außerdem ist das Spielen mit den lokalen Sicherheitsrichtlinien IMO nicht wirklich jedem Computerbesitzer zu empfehlen. Die beschriebene Methode unterläuft also zumindest teilweise genau die Sicherheitsvorteile, die das Konzept der Trennung zwischen Administration und Benutzung eines Rechners mit sich bringen soll.


    Zu den weiteren Aspekten werde ich später noch ein paar Tips folgen lassen (muß gleich was erledigen).


    Gruß


    Thomas

  • Fortsetzung:


    Zunächst noch ein Nachtrag zu dem vorher geschriebenen: Dieses Problem mit den haften bleibenden Rechten ist es auch, warum ich es für gar keine gute Idee halte, wenn ich folgendes lese: Benutzer hat sich seinen Rechner aufgebaut, jedoch nur ein einziges Konto (zwangsläufig mit Admin-Rechten). Jetzt hat er gelesen, daß man zur Erhöhung der Sicherheit den Rechner mit Benutzerkonten betreiben soll. Natürlich ist es lästig, sich in einem zweiten Konto die Konfigurationen zum großen Teil wieder erstellen zu müsssen, also kommt die großartige Idee (oder der Tip), ein neues Admin-Konto zu erstellen und das vorhandene in ein eingeschränktes Benutzerkonto umzuwandeln; und prompt schlägt die Falle (wie oben beschrieben) zu.


    Solaris hatte schon geschrieben, daß man Programme, die sich nur mit Admin-Rechten ausführen lassen, mit dem Befehl "Ausführen als ..." im Kontextmenü (oder mit dem Befehlszeilenprogramm runas) starten kann. Nur leider ist das ganze alles, nur nicht wirklich komfortabel. Mein Tip hierzu: WinSUDO. Der Administrator legt fest, welche Programme Benutzer mit einem anderen (Admin-)Konto ausführen dürfen und die Benutzer benötigen kein Admin-Passwort und hantieren nicht mit umständlichen (und für Unerfahrene unverständlichen) Dialogboxen.


    Die ebenfalls von Solaris genannte Alternative, eben die Rechte für einzelne Dateien auszuweiten, macht in der Home-Edition wieder den Einsatz des Befehlszeilenprogramms cacls.exe erforderlich; für den Erfahrenen Benutzer sehr mächtig, dürfte der unerfahrene Benutzer - der schon genug damit zu kämpfen hat, die richtigen Rechte zu ändern - das eher weniger sexy sehen. Hierzu stellt die FaJo File Security Extension eine Alternative dar, die die Registerkarte Sicherheit unter XP Home verfügbar macht, ohne Windows erst im abgesicherten Modus starten zu müssen.


    Ich hoffe, daß diese kleine Aufstellung für den einen oder anderen hilfreich ist, seine Probleme ohne Verletzung der Sicherheit in den Griff zu bekommen.


    Gruß


    Thomas

  • "Cosmo" schrieb:

    ... Der Grund ist, daß unter XP - anders als unter W2k - standardgemäß der Ersteller von Dateien auch deren Besitzer wird, auch wenn er keine Adminstratorrechte mehr hat.

    U.a. deshalb mache ich das ja so :-)

    Zitat

    ... außerdem ist das Spielen mit den lokalen Sicherheitsrichtlinien IMO nicht wirklich jedem Computerbesitzer zu empfehlen. ...


    Da sind wir uns wieder absolut einig.

    Zitat

    ... Die beschriebene Methode unterläuft also zumindest teilweise genau die Sicherheitsvorteile, die das Konzept der Trennung zwischen Administration und Benutzung eines Rechners mit sich bringen soll. ...


    Ja, auch da stimme ich zu. Aus diesem Grund beschränke ich diese Vorgensweise auf die Applikationen.
    Mir geht mir hierbei auch nicht um eine strikte Benutzerverwaltung und dem Schutz vor lokalem Missbrauch, also z.B. Schutz meiner Daten vor den Kindern, oder darum, dass manche Benutzer gewisse Programme nicht sollen ausführen dürfen.
    Auf meinem PC gibt es zwar mehrere Benutzerkonten, aber nur einen Benutzer, nämlich mich.
    Es geht mir vordergründig um den Schutz vor der "bösen Welt", die über das Internet nach meinem PC greift, mir Würmer und Viren schickt (was in all den Jahren nur ein einziges mal vorkam). Also z.B. darum, dass der eingeschränkte Benutzer keinen Zugriff auf das Systemverzeichnis, die Registry usw. bekommt.

  • Hallo Solaris, Hallo Cosmo,
    habe mittlerweile erfolgreich TB als Nutzer ohne Admin-rechte installiert und die ehemals admin geschützten Profildateien nach vorheriger Sicherung einfach einkopiert. Alles läuft jetzt gut.


    An Cosmo die Frage was es mit dem Programm WINSODU auf sich hat. Wie genau funktioniert es. Ich habe nämlich schon seit einiger Zeit das Problem, das ich das StarMoey-Programm nur über ausführen als... in der Anwenderebene zum starten bekomme. Wenn ich dann aber updates des Kreditinstitutes herunterlade, was ca, 1xwöchentlich nötig ist, scheiteret das ganze wegen teilweise fehlender admin-Rechte. Ich würde dieses alte Problem, das wohl wie ich in verschiedenen Foren lesen konnte, auch bei anderen auftritt, gern lösen und habe noch nie von Winsodu gehört. Ohne entsprechende Empehlung von fachkundiger Seite möchte ich dies jedoch bei Kapitalverwaltungssoftware nicht ausprobieren.


    Danke schonmal vorweg



    mailslave :D

  • Hallo Mailslave,


    Winsodu kenne ich nicht aus eigener Erfahrung. Was es aber letztendlich macht ist, dass es bestimmte, von Ihnen konfigurierte Programme mit Admin-Rechten ausführt, also z.B. Ihr Finanzprogramm.
    Gleiches erreichen Sie, wenn Sie das Programm, wie oben beschrieben, über die rechte Maustaste per "Ausführen als ..." starten. Der Unterschied ist der, dass Sie bei Winsodu nicht jedesmal das Admin-Passwort eingeben müssen sondern dies nur einmal konfigurieren müssen.
    Die Nachteile sind aus meiner Sicht, dass Sie mit Winsodu


    a) ein weiteres (fremdes) Programm benötigen
    b) Dieses Programm oder ein Dienst stets im Hintergrund mitläuft
    c) Dies per se ein weiteres Sicherheitsrisiko darstellt, weil hier ein Programm läuft, das quasi selbst Adminrechte hat bzw. sich diese verschaffen kann. Außerdem würde dann künftig zum Starten Ihrer Finanzverwaltung das Passwort des eingeschränkten Anwenders genügen.


    Es läuft wohl daraus hinaus, wie oft Sie das Programm benutzen und ob es zu mühsam ist, ein Passwort einzugeben. Den Klick mit der rechten Maustaste können Sie sich übrigens einparen, wenn Sie auf dem Desktop eine Verknüpfung anlegen und dort unter Eigenschaften -> Verknüpfung -> Erweitert gleich einstellen, dass Sie dieses Programm als Admin starten wollen. Es bleibt dann lediglich die Passworteingabe.
    Aus meiner Sicht ist dies die einfachste Möglichkeit, Ihr Ziel,zu erreichen. Keine Tools, keine zusätzliche Rechtevergabe, lediglich eine Verknüpfung erstellen.


    Als weitere Erläuterung zu oben: Wenn Sie etwas Erfahrung im Umgang mit Windows haben und sich eine detailliertere Rechteverschaltung zutrauen, dann schauen Sie sich alternativ einmal die erwähnten Tools (z.B. Filemon, Regmon, Processexplorer oder ProcessMonitor) von Microsoft/Sysinternals an, mit denen Sie in Echtzeit sehen können, ob und welcher Zugriffsversuch des Finanzprogrammes fehlschlägt.


    Sie können dann dem eingeschränkten Anwender dann genau diese Rechte zusätzlich erteilen. Das entspräche dann im Prinzip der Winsodu-Lösung, ohne dass Sie jedoch ein zusätzliches Programm laufen lassen müssten.
    Vorteil: Sie müssen dem jeweiligen Programm keine vollständigen Adminrechte einräumen, sondern nur ganz gezielte "Portionen".
    Nachteil: Es ist aufwendig und benötigt Erfahrung. Wer unsicher ist, sollte die Finger davon lassen.


    Die FaJo File Security Extension kenne ich ebenfalls nicht aus eigener Erfahrung. Laut der genannten Webseite können Sie damit auf sehr einfache Weise die Berechtigungen auf Dateiebene einstellen.
    Das können Sie aber, wie erwähnt, ebenso einfach auch mit dem NT-Filemanager vornehmen.
    Nachteil: Die Rechte werden nicht gleich im Tab dargestellt sondern im Menüpunkt "Sicherheit" des Filemanagers.
    Vorteil: Der Filemanager ist von Microsoft und in all den Jahren seit NT4 millionenfach erprobt.

  • Hallo mailslave,


    zu deiner Frage betreffend WinSudo:
    WinSudo ist die Umsetzung einer Lösung, die aus der Unix-Welt kommt (daher auch der Name SUDO), wo es getrennte Benutzerkonten ja schon länger als Windows NT gibt. Letztlich geht es darum, daß wie beim Befehl Ausführen als ein Programm mit den Rechten eines anderen Kontos (sinnigerweise in der Regel Admin-Konto) ausführt. Insofern ist Solaris' Analyse richtig und im Ergebnis macht WinSUDO also bei der Ausführung nichts anders, als den Aufruf mit einem anderen Konto komfortabler und flexibler zu machen.


    Es gibt zum einen ein Konfigurationsprogramm, daß nur mit Admin-Rechten ausgeführt werden kann. Hier trägt der Admin (zusammen mit dem Blowfish-verschlüsselten Password) für jeden Benutzer (oder für alle) die Programme ein, die er mit den erweiterten Rechten ausführen darf. Ausgeführt werden diese Freigaben (in WinSudo Aliase genannt) wahlweise mit einem Befehlszeilenprogramm (in diesem Fall gibt es gar kein residentes Programm) oder über ein Systemtray-Utility (kein Dienst), das der Benutzer bei Bedarf (oder bei häufigem Gebrauch wahlweise per Autostart) in den Info-Bereich neben die Uhr legt (und auch jederzeit wieder schliessen kann). Der Komfort besteht nun darin, daß der Benutzer aus dem Kontextmenü die freigegebenen Programme ganz einfach wie jedes andere Programm startet. Die Flexibilität besteht darin, daß auf einem Rechner mit mehreren Benutzerkonten der Admin für jeden Benutzer jeweils die Programme freigibt, die der einzelne auch tatsächlich ausführen können soll und das der Benutzer - da er ja kein Paßwort einzugeben braucht - dieses Admin-Paßwort (mit dem er ja auch gleich in das Admin-Konto gelangen kann) nicht zu kennen braucht. Wahlweise kann für einen Benutzer WinSudo auch so konfiguriert werden, daß sich jedes beliebige Programm mit Admin-Rechten ausgeführt werden kann. Damit kann man es sich in vielen Fällen ersparen, sich jedesmal erneut als Admin anmelden zu müssen, um sagen wir mal die Platte zu defragmentieren, Rechte zu ändern und was auch immer. Hat man das Problem, daß auch Unberechtigte den Rechner mit dem Benutzerkonto starten können, kann man - mit logischerweise ein klein wenig Mehraufwand - die Nutzung der WinSUDO-Freigaben auch einfach mit Admin-Rechten sperren und nur für den legitimen Bedarf freischalten.


    Ich benutze WinSudo seit einem guten Jahr und habe keine Probleme damit festgestellt. Auf Grund dieser Erfahrung und des technischen Hintergrundes seiner Funktionsweise ist mein Vertrauen in dieses Programm auf dem gleichen Niveau wie bei Thunderbird und es hat deswegen meine volle Empfehlung. Unter anderem benutze ich es, um das Sicherungsprogramm für die Windows-Registrierung ERUNT zu starten, das sich nur mit Admin-Rechten verwenden läßt und ohne WinSUDO (oder ein vergleichbares Tool) gar nicht sinnvoll verwenden läßt. Ich sehe also nicht die geringsten Bedenken, WinSUDO zum Starten von Star-Money einzusetzen. Der Speicherverbrauch des residenten Tools (sofern gestartet) liegt bei mir bei etw 2 MB und rangiert in der Prozeßliste meines Rechners im untersten Bereich.


    Gruß


    Thomas


    P.S. FaJo schaltet laut Hersteller auch nur die Rechteverwaltung, die Microsoft in der Home Edition gesperrt hat (und im übrigen ja auch in der XP Professional Edition erst in den Ordneroptionen freigschaltet werden muß), wieder frei, die Rechtevergabe geschieht folglich auch mit den Bordmitteln des Betriebssystems. Da ich selber die Pro Version habe, ist es bei mir nicht im Einsatz. Ich hatte aber die Möglichkeit, mich von der Funktionsweise in einer Test-Installation der Home Edition zu überzeugen.