Ervaringen: Niet inloggen als administrator onder Windows XP - Windows clients

zaterdag 12 februari 2005 12:22

Acties:

0 Henk 'm!

Greenstick

Groen als gras

Lees even het topic de post hierboven opnieuw

[ Voor 16% gewijzigd door Greenstick op 14-02-2005 20:55 ]

- 01000111 01101111 01010100 -
We love to think about the way things were,
but the time has come and I'm glad it's over

zaterdag 12 februari 2005 12:25

Acties:

0 Henk 'm!

Zaggy

Ik vond net dit: http://www.jobmanager.com...nagerUnderUserAccount.zip

zit progje in dat wachtwoord kan doorpipen.

zaterdag 12 februari 2005 12:28

Acties:

0 Henk 'm!

Verwijderd

Greenstick schreef op zaterdag 12 februari 2005 @ 12:22:
Lees even het topic hierboven opnieuw

Je had dus kunnen volstaan met een link naar de encryptie tool....

zaterdag 12 februari 2005 12:35

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Even twee topics samengevoegd

maandag 14 februari 2005 20:46

Acties:

0 Henk 'm!

GH45T

In dit topic zou best meer te doen mogen zijn; Dit topic was eigenlijk al lang doodgebloed.

pas als je het een lange tijd probeert merk je wat de voordelen zijn van onder user draaien in Windows. In feite heb je niet eens meer een virusscanner/adware programma nodig; veel virussen/adware programma's krijgen namelijk sowieso al geen kans (Veel is niet alle

)

En na verloop van tijd zul je merken dat het werken als User echt niet beperkend hoeft te zijn; maak een Runas met Savecred snelkoppeling aan en je kunt elk willekeurig programma als administrator draaien. Ideaal; surfen en onbetrouwbare programma's hebben weinig rechten en die programma's die het nodig hebben hebben toch genoeg toegang.

Ik zou dus voor erg veel mensen kunnen aanraden: probeer het eens; maak een testuser aan en ga er eens mee aan de slag; leg niet meteen het bijltje erbij neer maar denk aan de voordelen

[ Voor 4% gewijzigd door GH45T op 14-02-2005 20:48 ]

maandag 14 februari 2005 21:27

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Wat trouwens nog een leuke tip is waar ik zondag achterkwam:

Ga naar regedit en voer deze even uit onder een account met administrative rechten
Navigeer naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
Maak hierin een nieuwe value, type DWORD, met de naam: RunAsOnNonAdminInstall en de waarde 1 aan.

Elke keer als je nu IE op start, zal hij vragen om onder een andere account te starten - nou is dit voorbeeld niet zo zinvol - maar je kan van die iexplore.exe in principe elke willekeurige executable maken, en op die manier het allemaal nog net iets vanzelfsprekender maken voor een user

maandag 14 februari 2005 22:03

Acties:

0 Henk 'm!

GH45T

Hmmm; handig; werkt dit ook echt met alle executables? dus ook die waar je het gehele pad in browse moet intikken? of alleen maar dingen als IEXPLORE.EXE; WINWORD.EXE; enz?

Als dat zo is dan stel ik voor dat iedere programmeur van software welke admin rechten nodig heeft dit zelf veranderd in het register... scheelt wel zo veel werk

Overigens vind ik de Runas via de snelkoppeling toch nog altijd wat makkelijker werken; vooral als je savecred gebruikt zodat je maar 1 keer je wachtwoord in hoeft te vullen.

maandag 14 februari 2005 22:30

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Nou, het leuke is dat die 'App Paths' in je registry, er ook voor zorgt dat je applicaties als winword, en iexplore zo kan uitvoeren zonder de volledige path in te geven - '(Default)' en 'Path' zorgen daar voor.

Op deze manier kan je het dus extra gemakkelijk voor jezelf maken

dinsdag 15 februari 2005 08:15

Acties:

0 Henk 'm!

Shaidar



Ik gebruik nu nog altijd gewoon een account met administrative rechten ... maar het wordt eens tijd dat ik m'n XP opnieuw installeer. Ik denk dat ik dan van dag 1 met een user account ga werken, en alle installaties als admin of met de 'runas' functie ga gebruiken ...

Ik pen m'n bevindingen hier wel neer!

 iPhone 12 Pro 128GB  MacBook Pro (13-inch, 2020, i7, 16GB, 1TB)

dinsdag 15 februari 2005 10:22

Acties:

0 Henk 'm!

Verwijderd

deze blog heeft ook een hoop zeer goede informatie:
http://weblogs.asp.net/aaron_margosis/

En in Longhorn schijnen er ook veranderingen te komen met betrekking tot het runnen als non admin:
http://www.microsoft.com/...ws/articles/lpuseacc.mspx

maandag 21 februari 2005 17:18

Acties:

0 Henk 'm!

AlterEgo

Heeft iemand een idee of (en zo ja hoe

) je F-prot kan gebruiken (en laten updaten) als normale user? Installeren gaat prima.
Een uur prutsen met filemon en regmon en google heeft niets gebracht: ik kan c:\proga~1\FSI en alles wat daaronder ligt niet writeable maken voor de normale user.

[edit]
ik ga proberen om de updater als scheduled task te laten draaien.
[edit 2]
Dat gaat niet werken: de realtime-protector weigert zonder de updater @ startup. Dus je moet altijd een schermpje wegklikken en de protector vervoglens starten -> niet acceptabel.
Met Antivir werkt hetzelfde geintje prima

[ Voor 37% gewijzigd door AlterEgo op 21-02-2005 21:01 ]

dinsdag 22 februari 2005 20:57

Acties:

0 Henk 'm!

Verwijderd

voor degenen die perse als administrator willen blijven werken, kan het aangeraden zijn internettoepassingen met verminderde rechten te laten lopen:
http://msdn.microsoft.com...e/html/secure11152004.asp
http://msdn.microsoft.com...e/html/secure01182005.asp

dinsdag 19 juli 2005 18:02

Acties:

0 Henk 'm!

Motrax

Profileert

Na lange tijd als gewone gebruiker te hebben gewerkt, loop ik toch tegen iets aan:
Als een programma tijdelijk moet draaien onder admin-rechten en dit programma wil iets schrijven in je profiel, wordt dit geschreven naar je adminprofiel. Allemaal leuk en aardig, maar dat moet je normale gebruikersprofiel. Zo kwam ik er recentelijk achter dat op mijn admin-bureaublad de setupbestanden stonden van Firefox 1.0 t/m 1.04. Ook de 'mijn documenten' is een probleem. Om dit allemaal te verplaatsen log ik het liefst in als admin om dit allemaal recht te zetten, maar dit is wat omslachtig.

Heeft iemand hier een oplossing voor of moet dit altijd handmatig worden overzet?

dinsdag 19 juli 2005 18:22

Acties:

0 Henk 'm!

Verwijderd

wat je kan doen is tijdelijk de gewone gebruiker toevoegen aan de admingroep, zo blijft alles netjes binnen je profiel. de blog van margosis (zie link wat hoger) geeft enkele handige tips als je dit vaker wil doen (maar uit het hoofd:in de commandprompt:net localgroup /add administrators "gebruiker" en zijn /delete equivalent uiteraard om de rechten daarna te ontnemen)

dinsdag 19 juli 2005 19:16

Acties:

0 Henk 'm!

TromboneFreakus

Ergo

Motrax schreef op dinsdag 19 juli 2005 @ 18:02:
Heeft iemand hier een oplossing voor of moet dit altijd handmatig worden overzet?

Ik voer installaties eigenlijk altijd uit via 'uitvoeren als...' en start een geinstalleerd programma daarna een keer, zodat ik zeker weet dat alle waardes in bijv. hkey_local_machine geschreven kunnen worden. Daarna direct afsluiten, geen enkele wizard die gebruikersinstellingen wil maken volgen en daarna alsnog het programma starten (dat is dan dus in je eigen gebruiker). Gaat allemaal prima.

Mijn documenten heb ik voor iedere user op een aparte partitie staan, dat is veel makkelijker mocht je Windows moeten herinstalleren.

dinsdag 19 juli 2005 21:41

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Motrax schreef op dinsdag 19 juli 2005 @ 18:02:
Ook de 'mijn documenten' is een probleem. Om dit allemaal te verplaatsen log ik het liefst in als admin om dit allemaal recht te zetten, maar dit is wat omslachtig.

De 'Mijn Documenten' zou je kunnen verplaatsen (via een Policy), maar ik kan me eigenijk niet voorstellen dat applicaties naar je my documents schrijven als ze ook nog admin rechten nodig hebben

dinsdag 19 juli 2005 23:02

Acties:

0 Henk 'm!

Motrax

Profileert

elevator schreef op dinsdag 19 juli 2005 @ 21:41:
[...]

De 'Mijn Documenten' zou je kunnen verplaatsen (via een Policy), maar ik kan me eigenijk niet voorstellen dat applicaties naar je my documents schrijven als ze ook nog admin rechten nodig hebben

Nee, nee, dat is het niet

. Programma's worden tijdelijk met run as geïnstalleerd. Hierbij wordt bijvoorbeeld een map aangemaakt in de "Mijn documenten" van de admin-account of iets in de "Documents and settings". Maar dat moet niet, ik draaide tijdelijk 'run-as' en wil dat het gehele programma ook bij een normale gebruiker te gebruiken is. Hiervoor moet ik handmatig vanuit het adminprofiel de geïnstalleerde bestanden kopiëren naar mijn normale profiel. Is het zo wel te volgen

De tip van _heretic_ is nog het handigst. Dat lost namelijk ook andere problemen op waar ik tegen aanliep. Als normale gebruiker mag ik namelijk bepaalde energiebeheer instellingen niet wijzigen. Met 'run-as' lukt dit wel, maar heb ik de instellingen gewijzigd voor de adminaccount en niet voor mijn normale gebruiker

'run-as' geeft je niet alleen de rechten van een admin, maar laat programma's e.d. dergelijke draaien onder je adminaccount, dus lokale instellingen ook...

[ Voor 27% gewijzigd door Motrax op 19-07-2005 23:05 ]

dinsdag 19 juli 2005 23:25

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

http://blogs.msdn.com/aar...ve/2005/02/09/370263.aspx behandelt je specifieke probleem wat betreft power-savings settings

Daarnaast lijkt mij deze optie: http://runasadmin.sourceforge.net/ een erg interessante maar ik heb er zelf nog niet mee kunnen spelen

Verder weet ik wel wat je bedoelt, maar doel ik meer op het punt dat als programmas daadwerkelijk user based settings aanmaken o.a. in de MyDocs folder dat ik eigenlijk van die programma's ook verwacht dat ze dat gewoon her-doen op het moment dat ze detecteren dat die directory niet meer bestaat

[ Voor 36% gewijzigd door elevator op 19-07-2005 23:26 ]

woensdag 20 juli 2005 10:17

Acties:

0 Henk 'm!

Jake

Op de befaamde weblog staat natuurlijk heel veel, maar:

Makemeadmin (opent aparte dosprompt, waarnaar je het te runnen bestand kunt slepen, of gewoon inkloppen): http://blogs.msdn.com/aar...ve/2004/07/24/193721.aspx

In combinatie met:

Privbar (geeft met een kleurtje aan of je explorer als User of Admin runt): http://blogs.msdn.com/aar...ve/2004/07/24/195350.aspx

is toch wel het handigst.

Als je (veel) 'makemeadmin' gebruikt, dan is het handig als (zeg maar gerust: noodzakelijk dat) je ook dit doet:

3. Objects created while running with elevated privilege

Normally, when a user creates a securable object, such as a file, folder, or registry key, that user becomes the “owner” of the object and by default is granted Full Control over it. Prior to Windows XP, if the user was a member of the Administrators group, that group, rather than the user, would get ownership and full control. The user still had ownership and control over the object by being a member of Administrators. But if you created objects while a member of Administrators and then were removed from the group, your subsequent use of those objects could be limited or completely denied. Windows XP introduced a configurable option whether ownership and control of an object created by an administrator would be granted to the specific user or to the Administrators group. The default on XP is to grant this to the object creator; the default on Windows Server 2003 is to grant it to the Administrators group.

I’m not on the Windows team and was not party to the thinking that went into exposing this option and establishing its defaults. My guess is that it was that on the server, all admins are equal. If I’m an admin on a server and I create an object and am later reassigned or leave the company, any other admin should be able to access and manage the objects I created without any trouble. A workstation, however, is more likely to be a single-user device. Objects I create on my computer, such as documents, should remain under my control even if I change myself from a Computer Administrator to a Limited User (to use XP Home Edition’s terminology). I think this makes a lot of sense.

However, MakeMeAdmin changes things. If I use MakeMeAdmin to install programs, my normal account will be granted ownership and full control over the installation folder, the program executable files, and any registry keys the installation program creates. Those access rights will remain even when I am no longer running with administrator privileges. That’s not what I want at all. I want to be able to run the app, create and modify my own data files, but not to retain full control over the program files after I have installed it. For this reason, I changed the “default owner” setting on my computer to “Administrators group”.

To view or change this setting, open “Local Security Policy” in Administrative Tools, or run secpol.msc. You need to be an admin to use this tool. In the left pane, browse to Security Settings \ Local Policies \ Security Options. The policy name is “System objects: Default owner for objects created by members of the Administrators group”. The allowable settings are “Administrators group” or “Object creator”.

Als je dat niet doet dan worden de systeembestanden namelijk door je limited user gemaakt (die is dan owner), zodat die ze ook kan wijzigen en deleten. Iets wat je niet wilt!

vrijdag 29 juli 2005 21:12

Acties:

0 Henk 'm!

hneel

denkt er het zijne van

Sinds vanmiddagg heb ik op mn werk-pc alleen nog maar user-rechten ipv admin rechten. Resultaat: vrijwel niets werkt meer.

Het grootste probleem lijkt er in te zitten dat een user geen schrijf-rechten heeft (behalve in "My Documents'). En aangezien zowat elke applicatie die ik gebruik wel ergens settings of tijdelijke files in zijn eigen install-dirtecory bewaart, geven die allemaal problemen. Sommigen starten niet eens op, en met anderen kan je nog wel werken, maar niks saven of geen enkele optie veranderen.

Ik heb nu vakantie, maar als dat voorbij is moet er echt iets aan veranderen. Ik ben software+hardware ontwikkelaar, en dat gaat blijkbaar niet samen met werken als 'user'.

zaterdag 30 juli 2005 00:43

Acties:

0 Henk 'm!

Verwijderd

hneel schreef op vrijdag 29 juli 2005 @ 21:12:
Sinds vanmiddagg heb ik op mn werk-pc alleen nog maar user-rechten ipv admin rechten. Resultaat: vrijwel niets werkt meer.

dat zou inderdaad problematisch kunnen zijn. sommige programma's dienen geïnstalleerd te worden met de nodige voorbereiding om als niet-admin te draaien, vaak is er een keuze om alleen voor de huidige gebruiker of voor alle gebruikers te installeren. wanneer dan oorspronkelijk enkel voor admin is geïnstalleerd, en daarna de nodige rechten ontnomen worden, kan het foutlopen.

Het grootste probleem lijkt er in te zitten dat een user geen schrijf-rechten heeft (behalve in "My Documents'). En aangezien zowat elke applicatie die ik gebruik wel ergens settings of tijdelijke files in zijn eigen install-dirtecory bewaart, geven die allemaal problemen. Sommigen starten niet eens op, en met anderen kan je nog wel werken, maar niks saven of geen enkele optie veranderen.

zie m'n commentaar boven. wanneer het programma instellingen bewaart in z'n installatiemap, kunnen er eenvoudig schrijfrechten tot deze map toegekend worden.

Ik heb nu vakantie, maar als dat voorbij is moet er echt iets aan veranderen. Ik ben software+hardware ontwikkelaar, en dat gaat blijkbaar niet samen met werken als 'user'.

dat zou toch niet zo'n probleem mogen vormen. ontwikkeltools zoals visual studio, vs .NET, eclipse, dreamweaver (PHP ontwikkeling) draaien allemaal prima onder beperkte gebruiker. over de hardwarekant van ontwikkeling kan ik minder meepraten.

[ Voor 6% gewijzigd door Verwijderd op 30-07-2005 00:46 ]

woensdag 3 augustus 2005 11:39

Acties:

0 Henk 'm!

Tomsworld

officieel ele fan :*

Wij zijn hier nu ook mee bezig, tot nu toe heb ik al veel gehad aan deze tips en zijn een hoop problemen van de baan, explorer onder andere user kan.

Maar nu moeten er meerdere drives op een server gemapped worden onder verschillende users en dat wil niet.

t: \\server\share1 als user
u: \\server\share2 als admin

C:\temp>net use u: \\server\share2 /user:DOMEIN\Admin
System error 1219 has occurred.

Multiple connections to a server or shared resource by the same user, using more
than one user name, are not allowed. Disconnect all previous connections to the
server or shared resource and try again..

"De kans dat een snee brood op een nieuw tapijt valt met de beboterde zijde onderaan, is recht evenredig met de prijs van het tapijt"

woensdag 3 augustus 2005 11:49

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Als je op IP connect kan je er om heen werken

maandag 15 augustus 2005 14:55

Acties:

0 Henk 'm!

Tomsworld

officieel ele fan :*

Ik start nu explorer onder meerdere processen, zo kan je eentje starten als admin zijnde.

Daarin werkt de autorefresh niet als je een bestand ergens paste moet je manueel refreshen, is er een setting waar ik over zie die dat wel weer aanzet, zoals bij de normale explorers.

"De kans dat een snee brood op een nieuw tapijt valt met de beboterde zijde onderaan, is recht evenredig met de prijs van het tapijt"

maandag 15 augustus 2005 15:14

Acties:

0 Henk 'm!

Gerco

Professional Newbie

Ik heb een vraagje over OpenOffice 1.1.4, maar eigenlijk gaat het om alle programmas die file extentions registreren. Ik installeer OOo voor alle users met "setup -alluser" en dat werkt prima. Het probleem wat ik nu heb is dat alleen bij de admin user de .doc, .xls etc extensies geregged zijn voor OOo en voor geen enkele andere user.

Is er een manier om die instellingen makkelijk te kopieren naar de rest van de users of moet ik gewoon zelf een registry export van HKEY_CLASSES_ROOT doen en importeren in de andere users?

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

maandag 15 augustus 2005 15:22

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Je HKEY_CLASSES_ROOT is globaal, als daar de extenties in geregistreerd zijn (en leesbaar zijn voor de users) dan zou het moeten werken.

Je hebt een "override" in HKEY_CURRENT_USER\Software\Classes - als OOo zich daarin registreerd zou je die inderdaad wel moeten exporteren

maandag 15 augustus 2005 16:40

Acties:

0 Henk 'm!

Gerco

Professional Newbie

Blijkbaar gebruikt OOo dan die "override" aangezien het alleen werkt voor de user die het installed heeft en niet voor de rest. Vreemd, want de -alluser switch heeft als omschrijving "Use HKEY_LOCAL_MACHINE instead of HKEY_CURRENT_USER", blijkbaar is dat niet helemaal netjes doorgevoerd

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!