- Bearbeitet
Ein sehr gutes deutschsprachiges Forum, das sich mit eingeschränkten Rechten unter Windows befasst findet Ihr unter noadmin.de.
Meine Erfahrungen:
Software, die mit eingeschränkten Rechten nicht läuft, versucht in den meisten Fällen im Programmverzeichnis oder in der Registry zu schreiben. Es kommt auch vor, dass Software eine Datei oder einen Registry-Key mit Schreibrechten öffnen will, obwohl nur gelesen werden muss.
In diesen Fällen kann den Konflikt beheben, wenn man dem Benutzer des Programms Schreibrechte oder Vollzugriff im Programmordner oder dem fraglichen Registry-Key gibt.
Das geht beides relativ leicht:
Dateirechte:
In Windows XP Pro muss man die "Einfache Dateifreigabe" (Explorer->Extras->Optionen->Ansicht) abschalten.
In Windows XP Home braucht man FaJos XP File Security Extension.
In den Sicherheitseinstellungen des fraglichen Ordners (Rechtsklick-> Eigenschaften-> Sicherheit) Vollzugriff für "Benutzer" setzen, bei "Erweitert" noch "Berechtigungen für alle untergeordneten Objekte, sofern anwendbar, ersetzen" aktivieren, <OK>, <OK>, fertig.
Registry
In "SuRun Regedit" Rechtsklick auf den fraglichen Schlüssel-> Berechtigungen-> Hinzufügen: "Benutzer", <OK>, Vollzugriff->Erweitert, "Berechtigungen für alle untergeordneten Objekte, sofern anwendbar, ersetzen" aktivieren, <OK>, <OK>, fertig.
Ganz wichtig ist der Besitzer von Objekten!
Wenn man als Administrator gearbeitet hat oder einfach nur sein frisch installiertes Windows mit vorinstallierten Programmen mit eingeschränkten Rechten benutzen will, kann man sich mit SuRun oder der Benutzerkontenverwaltung der Systemsteuerung zum eingeschränkten Benutzer degradieren.
Man hat die Hoffnung, nichts Wichtiges mehr versehentlich ändern zu können.
Aber das ist Mumpitz.
Das Benutzerkonto, das jetzt eingeschränkt ist, hat immer noch die alte Indentifikationsnummer (SID).
Diese Nummer steht auch in jeder Datei als "Besitzer" drin.
Der Besitzer einer Datei darf damit machen, was er will.
Also kann man trotzt eingeschränkter Rechte weiter munter im System "rumlöschen".
Das kann man nur umgehen, indem man als Besitzer aller wichtigen Dateien die Benutzergruppe "Administratoren" einträgt:
In den Sicherheitseinstellungen des Systemlaufwerks (Rechtsklick-> Eigenschaften-> Sicherheit-> Erweitert-> Besitzer) unter "Aktueller Besitzer dieses Elements" "Administratoren" eintragen, "Besitzer der Objekte und untergeordneten Container ersetzen" aktivieren, <OK>, <OK>, fertig.
Man sollte, wenn man SuRun benutzt, auch dringend die Option "'Administratoren' statt 'Ersteller' als Standard-Besitzer für von Administratoren erstellte Objekte." aktivieren, bzw. ohne SuRun in den Gruppenrichtlinien (gpedit.msc) Richtlinien für Lokaler Computer-> Computerkonfiguration-> Windows-Einstellungen-> Sicherheitseinstellungen-> Lokale Richtlinien-> Sicherheitsoptionen "Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden"-> "Administratorengruppe" aktivieren.
Meine Erfahrungen:
Software, die mit eingeschränkten Rechten nicht läuft, versucht in den meisten Fällen im Programmverzeichnis oder in der Registry zu schreiben. Es kommt auch vor, dass Software eine Datei oder einen Registry-Key mit Schreibrechten öffnen will, obwohl nur gelesen werden muss.
In diesen Fällen kann den Konflikt beheben, wenn man dem Benutzer des Programms Schreibrechte oder Vollzugriff im Programmordner oder dem fraglichen Registry-Key gibt.
Das geht beides relativ leicht:
Dateirechte:
In Windows XP Pro muss man die "Einfache Dateifreigabe" (Explorer->Extras->Optionen->Ansicht) abschalten.
In Windows XP Home braucht man FaJos XP File Security Extension.
In den Sicherheitseinstellungen des fraglichen Ordners (Rechtsklick-> Eigenschaften-> Sicherheit) Vollzugriff für "Benutzer" setzen, bei "Erweitert" noch "Berechtigungen für alle untergeordneten Objekte, sofern anwendbar, ersetzen" aktivieren, <OK>, <OK>, fertig.
Registry
In "SuRun Regedit" Rechtsklick auf den fraglichen Schlüssel-> Berechtigungen-> Hinzufügen: "Benutzer", <OK>, Vollzugriff->Erweitert, "Berechtigungen für alle untergeordneten Objekte, sofern anwendbar, ersetzen" aktivieren, <OK>, <OK>, fertig.
Ganz wichtig ist der Besitzer von Objekten!
Wenn man als Administrator gearbeitet hat oder einfach nur sein frisch installiertes Windows mit vorinstallierten Programmen mit eingeschränkten Rechten benutzen will, kann man sich mit SuRun oder der Benutzerkontenverwaltung der Systemsteuerung zum eingeschränkten Benutzer degradieren.
Man hat die Hoffnung, nichts Wichtiges mehr versehentlich ändern zu können.
Aber das ist Mumpitz.
Das Benutzerkonto, das jetzt eingeschränkt ist, hat immer noch die alte Indentifikationsnummer (SID).
Diese Nummer steht auch in jeder Datei als "Besitzer" drin.
Der Besitzer einer Datei darf damit machen, was er will.
Also kann man trotzt eingeschränkter Rechte weiter munter im System "rumlöschen".
Das kann man nur umgehen, indem man als Besitzer aller wichtigen Dateien die Benutzergruppe "Administratoren" einträgt:
In den Sicherheitseinstellungen des Systemlaufwerks (Rechtsklick-> Eigenschaften-> Sicherheit-> Erweitert-> Besitzer) unter "Aktueller Besitzer dieses Elements" "Administratoren" eintragen, "Besitzer der Objekte und untergeordneten Container ersetzen" aktivieren, <OK>, <OK>, fertig.
Man sollte, wenn man SuRun benutzt, auch dringend die Option "'Administratoren' statt 'Ersteller' als Standard-Besitzer für von Administratoren erstellte Objekte." aktivieren, bzw. ohne SuRun in den Gruppenrichtlinien (gpedit.msc) Richtlinien für Lokaler Computer-> Computerkonfiguration-> Windows-Einstellungen-> Sicherheitseinstellungen-> Lokale Richtlinien-> Sicherheitsoptionen "Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden"-> "Administratorengruppe" aktivieren.