Ervaringen: Niet inloggen als administrator onder Windows XP - Windows clients

dinsdag 19 oktober 2004 13:59

Acties:

0 Henk 'm!

Verwijderd

Toevallig ben ik net bezig 2 pc's thuis opnieuw te installeren e.d. Ik ga nu voor de Familie een user account maken en een admin* account aanmaken zodat het moeilijk word om spyware e.d. te installeren.

*of administrator zodra ik weet hoe ik die in het welkomsscherm tevoorschijn kan toveren. Is er ook een manier om bijvoorbeeld in te stellen dat een User zelfs de achtegrond niet kan wijzigen?

[ Voor 16% gewijzigd door Verwijderd op 19-10-2004 14:00 ]

dinsdag 19 oktober 2004 14:16

Acties:

0 Henk 'm!

mduijvendijk

Flying Rukia ^_^

2 Weken geleden heb ik op de pc die door het hele gezin wordt gebruikt, iedereen voor het eerst Gebruiker in plaats van Administrator (wat ze altijd waren) gemaakt.

Kort samen gevat:
- Het is een ramp

- ik moet nog steeds als administrator inloggen om updates af te ronden voor oa de virus scanner, terwijl ik nooit op de pc werk
- Gebruikers moeten meer rechten krijgen op mappen van spellen en Winamp
- Ik moet gebruikers tijdelijk Administrator rechten geven omdat sommige software de installatie onder die specifieke gebruiker anders niet wil afronden
- Mijn moeder kan niet even een mailtje sturen onder mijn vaders naam, omdat de bijlage in haar documenten staat (waar mijn vader dus niet bij kan)

Sometimes human's are...

dinsdag 19 oktober 2004 15:04

Acties:

0 Henk 'm!

curry684

left part of the evil twins

elevator schreef op 19 oktober 2004 @ 10:33:
[...]

Dat is echt een veel te algemene opmerking Natuurlijk zijn er een (boel/aantal) dingen die als 'regular user' misschien niet zo fijn werken (device drivers maken wordt idd vrij lastig zonder admin rechten ) - maar ik kan me niet voorstellen dat voor het maken van een web applicatie je per se altijd moet werken onder een admin account (dat is overigens wat anders dan geen admin rechten hebben )

Webapplicaties kun je tegenwoordig debuggen middels een 'Debugger User' group op je user te zetten. Echter, je ramt nog wel eens een infinite loop in een pagina, en dan moet je dus aspnet_wp.exe redelijk snel af kunnen schieten. Services managen/developen lukt je ook niet als user. Sowieso heb je per definitie de groep 'VS Developer' nodig. Als je dat al optelt ben je al zowat admin, doe me dan maar gewoon administrator.

Ik blijf sowieso bij de statement die ik vaker op dit gebied heb gemaakt: iemand met verstand van zaken werkt beter, sneller en effectiever met administratorrechten. Vergelijk het met auto's: ik ben blij dat ik het materiaal niet heb om ze te repareren, want dan zou ik in de verleiding komen het te doen en dat komt nooit goed. Voor een ervaren automonteur is het echter geen probleem om in een onveilige auto rond te gaan rijden met alle tools op zak want hij krijgt 'm op de vluchtstrook wel weer aan de praat als het fout gaat. Op deze manier voel ik me na 20 jaar terecht veilig met administratorrechten op een willekeurige computer. Mensen moeten zichzelf net zo hard afvragen of het wel verstandig is voor hun om met administratorrechten het de digitale snelweg op te gaan als met een afgeragde auto op de analoge

Professionele website nodig?

dinsdag 19 oktober 2004 15:23

Acties:

0 Henk 'm!

MOmax

Elevator: bedankt voor 't starten van dit topic.

In de C'T NL van deze maand (oktober 2004) staan aardige artikelen ter ondersteuning van van jouw topic.

Momenteel is mijn account thusi en op 't het werk ingesteld als "Power user". Run as... wordt heel af en toe gebruikt... natuurlijk.

Dan nu mijn veiligheidstip:
Laatst heb ik een "Adminstrator" passwd gekraakt met Pro-Active Windows Sec. etc. van Elcomsoft. Dat was niet heel moeilijk! Conclusie: zorg er voor dat je admin-passwd langer is als 14 karakters, liefst met vreemde tekens (anders dan cijfer/letters) en schakel het oudere LM-authenticatie protocol uit. Alleen dan is je admin-apsswd redelijk onkraakbaar.

dinsdag 19 oktober 2004 15:35

Acties:

0 Henk 'm!

Beaves

Usque ad Finem

tommie-boy schreef op 17 oktober 2004 @ 17:14:
Goede post! Ik werk zelf al wat langer niet meer met volledige administrator rechten, ik moet zeggen dat het me erg goed bevalt, voor programma's als Nero heb je soms wat extra rechten nodig, zodat Nero ook blijft werken.

Voor Nero is er een tool ("Nero BurnRights"), wat je kan downloaden op deze pagina. Daarmee kan je opgeven welke groepen gebruikers brand rechten hebben.

Schotlandofiel | Godzijdank ben ik atheïst
Canon 7D / 20D / 300D + glas | Just Light | Flickr

dinsdag 19 oktober 2004 15:44

Acties:

0 Henk 'm!

mutsje

Certified Prutser

MOmax schreef op 19 oktober 2004 @ 15:23:
Elevator: bedankt voor 't starten van dit topic.

In de C'T NL van deze maand (oktober 2004) staan aardige artikelen ter ondersteuning van van jouw topic.

Momenteel is mijn account thusi en op 't het werk ingesteld als "Power user". Run as... wordt heel af en toe gebruikt... natuurlijk.

Dan nu mijn veiligheidstip:
Laatst heb ik een "Adminstrator" passwd gekraakt met Pro-Active Windows Sec. etc. van Elcomsoft. Dat was niet heel moeilijk! Conclusie: zorg er voor dat je admin-passwd langer is als 14 karakters, liefst met vreemde tekens (anders dan cijfer/letters) en schakel het oudere LM-authenticatie protocol uit. Alleen dan is je admin-apsswd redelijk onkraakbaar.

Men raad aan om ALT+cijferbombo te gebruiken zodat je vreemde tekens krijgt. Programma's als Lohptcrack en dergelijke vinden dit niet fijn maar zullen het uiteindelijk wel kraken.

Verder kun je IPSEC nog inrichten NTLM uitschakelen alleen Kerberos aan ofwel de machine helemaal dichttimmeren maar begin dan met een simpele firewall te activeren....

Vaak wordt local administrator gewoon uit pure luiheid niet omgezet.

dinsdag 19 oktober 2004 16:43

Acties:

0 Henk 'm!

ronny

Trotse vader

leon1e schreef op 19 oktober 2004 @ 13:48:
[...]

Deze post was ook niet zo zeer gericht aan jou, maar meer voor algemeen gebruik . Verder ben ik het compleet met je eens dat dit niet de schuld van Microsoft is dat deze applicaties niet werken, de makers van de software zouden hier veel meer aandacht aan moeten besteden.

Dat is natuurlijk ook wel weer lekker makkelijk.
Tuurlijk kan MS er wel meer aan doen als ze dat willen.
Op allerlei andere gebieden kunnen ze ook heel erg strenge eisen stellen als ze dat willen.
Het makkelijkste wat ze kunnen doen is het niet eerder afgeven van het walgelijke *(designed voor Windows 2k of XP logo).

Maar ontopic. Ik werk zelf als ik onder Windows zit wel als Power User. Dat is idd gewoon gemakzucht. Ik ben er bij andere mensen al wel toe overgegaan om hun zo ver te krijgen dat ze over gaan naar beperkte accounts om zo een boel problemen te voor komen.
Mijn vrouw (eindelijk) logt helemaal niet in (win98

) die drukt altijd op anuleren .
Maar zodra ik dat een keer overzet naar win2k gaat daar idd een beperkt account op.
Maar onder linux vind ik het helemaal nog niet vervelend om af en toe mijzelf te su'en of als root een prog op te starten.

* sorry dat is meer een persoonlijke vete. Ik krijg kriebels als op een compu staat dat het voor 1 OS ontwikkeld zou zijn. want veel hardware bestond al voor Bill wist dat hij met bv XP ging ontwikkelen. Een logo geschikt voor Windows XP is meer op zijn plaats.

specs werkpaard Youngtimer Touring Car Campionship

dinsdag 19 oktober 2004 20:10

Acties:

0 Henk 'm!

TromboneFreakus

Ergo

mduijvendijk schreef op 19 oktober 2004 @ 14:16:
2 Weken geleden heb ik op de pc die door het hele gezin wordt gebruikt, iedereen voor het eerst Gebruiker in plaats van Administrator (wat ze altijd waren) gemaakt.

Kort samen gevat:
- Het is een ramp
- ik moet nog steeds als administrator inloggen om updates af te ronden voor oa de virus scanner, terwijl ik nooit op de pc werk

Norton heeft daar geen probleem mee, met McAfee die door XS4ALL gratis wordt aangeboden ervaar ik het probleem inderdaad helaas ook.

- Gebruikers moeten meer rechten krijgen op mappen van spellen en Winamp

WinAmp snap ik niet, dat moet gewoon goed werken. Heb je wel eraan gedacht dat op al je mappen nu waarschijnlijk staat ingesteld dat de groep 'Administrators' hier het volledig beheer over heeft? Tot deze groep behoort nu bijna niemand meer!

Vaak als je instelt bij spellen dat iedereen van de groep Gebruikers er in kan schrijven - en ervoor zorgt dat dit bij alle mappen zo opnieuw wordt ingesteld!!! - dan moet dit prima werken. Evenzo geldt dit soms voor andere software, kortweg alle software die bestanden ergens anders dan in de submap c:\documents and settings\[username] wil wegschrijven....

- Ik moet gebruikers tijdelijk Administrator rechten geven omdat sommige software de installatie onder die specifieke gebruiker anders niet wil afronden

Doe dat nu niet, dan wennen ze nooit. Leer ze het truukje van 'Uitvoeren als...'.

- Mijn moeder kan niet even een mailtje sturen onder mijn vaders naam, omdat de bijlage in haar documenten staat (waar mijn vader dus niet bij kan)

Ik kan niet de auto van de buren pakken om even mee te rijden, want ik heb geen sleutel....

dinsdag 19 oktober 2004 21:08

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

mduijvendijk schreef op 19 oktober 2004 @ 14:16:
- ik moet nog steeds als administrator inloggen om updates af te ronden voor oa de virus scanner, terwijl ik nooit op de pc werk

Dan moet je denk ik eens kijken ofdat je virusscanner daar geen oplossing voor heeft

Heel het systeem van services werkt er namelijk mee dat je bepaalde services onder een account met meer rechten kan starten juist om hetgene wat jij hier zegt te voorkomen

- Mijn moeder kan niet even een mailtje sturen onder mijn vaders naam, omdat de bijlage in haar documenten staat (waar mijn vader dus niet bij kan)

Dat lijkt me ook niet meer dan normaal - als je wilt dat je als familie de documenten deelt kan je toch een gezamenlijke map aanmaken waar die gegevens inzitten?

curry684 schreef op 19 oktober 2004 @ 15:04:
Webapplicaties kun je tegenwoordig debuggen middels een 'Debugger User' group op je user te zetten. Echter, je ramt nog wel eens een infinite loop in een pagina, en dan moet je dus aspnet_wp.exe redelijk snel af kunnen schieten.

Dat zou je toch vrij gemakkelijk kunnen oplossen met een batchfiletje dat met 'runas' dat process afschiet?

Services managen/developen lukt je ook niet als user.

Jawel hoor - met 'subinacl' kan je op specifieke services rechten geven - en dus ook je het recht geven om een specifieke service of services te stopppen e.d.

Sowieso heb je per definitie de groep 'VS Developer' nodig. Als je dat al optelt ben je al zowat admin, doe me dan maar gewoon administrator.

Ik ken de specfieke rechten van 'VS Developer' niet - maar ik kan me niet per se voorstellen dat deze 'Full Control' heeft over heel je HKLM of %Systemroot%?

Ik blijf sowieso bij de statement die ik vaker op dit gebied heb gemaakt: iemand met verstand van zaken werkt beter, sneller en effectiever met administratorrechten.

Dat ben ik niet (meer) met je eens - al hoewel het misschien gemakkelijker is, is het kans op fouten (danwel bewust doordat je iets echt fout doet, danwel onbewust door een virus, spyware, e.d.) een stuk groter

Waarom zou je dat risico nemen - mits je op een adequate manier je werk kan uitvoeren zonder die extra rechten?

Dan nog even mijn ervaringen tot nu toe

ICQ wilde niet meer starten - maar met de hulp van deze post:

quote: http://web.icq.com/help/b...?tid=7291&topic_id=451753
[list]• Set the permissions to the "C:\Program...\ICQ" folder to "FULL CONTROL" to USER
• run regedt32.exe
• Set the permissions to HKEY_LOCAL_MACHINE\Software\Mirabilis to "FULL CONTROL" to USER
• Open key HKEY_CLASSES_ROOT\CLSID
• Create the key with name {F04F50AF-8379-40B0-B22B-A60CB82E0DA3}
• Open key HKEY_CLASSES_ROOT\CLSID\{F04F50AF-8379-40B0-B22B-A60CB82E0DA3}
and create the String value with name "Default"
• Go to the security (permissions) dialog for key {F04F50AF-8379-40B0-B22B-A60CB82E0DA3} and append USER.
• Set to USER only "read" permission.
• Go to the "Advanced..." button and set ALL the permissions except "Delete".

Werkt het zonder problemen

Verder kwam ik erachter dat als je security log vol zit je niet meer via 'Remote Desktop' in kan loggen erg vervelend maar wel op te lossen door je eventlog wat anders in te stellen.

Daarnaast liep ik tegen het standaard probleem aan dat een Citrix client geen permissies heeft op de registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing waardoor je niet in kan loggen

dinsdag 19 oktober 2004 21:11

Acties:

0 Henk 'm!

GH45T

Ik log nu inmiddels ook al een dik jaar in altijd als user en niet als administrator. Dit werkt op zich helemaal fantastisch maar ik heb wel nog 1 puntje van kritiek voor Microsoft: Waarom is het niet mogelijk om een Explorer venstertje (ook wel bekend onder verkenner

) als andere gebruiker uit te voeren? Als dit het geval was zou je even snel wat noodzakelijke dingetjes kunnen veranderen op je hd en ondertussen al je andere programma's lekker in je user accountje door laten draaien.

Wat ik bijvoorbeeld gemerkt heb als voordelen is dat je eigelijk helemaal geen virusscanner of spyware killer meer nodig hebt puur en alleen maar omdat het geen enkele kans maakt. ik voer zelf wel nog altijd windows update uit en heb een goede software firewall draaien achter mijn 3 routers (paranoia

) en ik heb sinds dat ik standaard user ben nergens meer last van. Ook blijven pc's op deze manier langer snel en slippen ze niet zo snel dicht. Als je programma's hebt die niet standaard werken als je user bent kun je dit vaak omzeilen door de map van het programma in c:\program files\ de user full rights te geven. Alleen programma's als Nero krijg je zonder hulpmiddelen niet aan de gang (heeft denk ik iets met de imapi burnengine te maken)

Ik heb dit al zo vaak tegen vrienden / bekenden gezegd maar ze staan altijd maar wat te lachen met mijn uitvoeren als; maar blijkbaar zijn er dus meer mensen die hier iets in zien

dinsdag 19 oktober 2004 21:24

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

GH45T schreef op 19 oktober 2004 @ 21:11:
Waarom is het niet mogelijk om een Explorer venstertje (ook wel bekend onder verkenner ) als andere gebruiker uit te voeren? Als dit het geval was zou je even snel wat noodzakelijke dingetjes kunnen veranderen op je hd en ondertussen al je andere programma's lekker in je user accountje door laten draaien.

Ik vermoed dat dit te maken heeft met het punt dat Windows standaard maar 1 process per explorer.exe gebruikt en dus je originele explorer.exe op zoekt

Ik heb dit bij mij al aan staan (en bij mij start explorer.exe ook gewoon in een apart process?) - dus je zou eens kunnen proberen om dit aan te zetten (My Computer -> Tools -> Folder Options -> Launch Folder Window in Seperate Processes) ?

dinsdag 19 oktober 2004 21:31

Acties:

0 Henk 'm!

Verwijderd

elevator schreef op 19 oktober 2004 @ 21:24:
[...]

Ik vermoed dat dit te maken heeft met het punt dat Windows standaard maar 1 process per explorer.exe gebruikt en dus je originele explorer.exe op zoekt

I

exact. je kan ook iexplore gebruiken als explorer. kijk ook eens even naar http://blogs.msdn.com/aaron_margosis/

dinsdag 19 oktober 2004 21:37

Acties:

0 Henk 'm!

GH45T

elevator schreef op 19 oktober 2004 @ 21:24:
[...]

Ik vermoed dat dit te maken heeft met het punt dat Windows standaard maar 1 process per explorer.exe gebruikt en dus je originele explorer.exe op zoekt

Ik heb dit bij mij al aan staan (en bij mij start explorer.exe ook gewoon in een apart process?) - dus je zou eens kunnen proberen om dit aan te zetten (My Computer -> Tools -> Folder Options -> Launch Folder Window in Seperate Processes) ?

Vraag me niet waarom maar Windows XP maakt blijkbaar gebruik van 2 verschillende "Explorers":P 1 is de explorer.exe (welke volgens mij het visuele aan windows regelt) en 1 is de explorer (zonder extensie en hij regelt volgens mij het hele verkenner gebeuren) Als ik de door jouw aangeboden optie gebruik krijg ik ieder mapje wat ik dubbel aanklik in een nieuw venstertje te zien. Als ik dit zou doen zou ik gauw genoeg door de explorer venstertjes gek worden

Ik heb zelf nog snel een manier bedacht hoe dit te omzeilen. Ik dacht er opeens aan dat Internet Explorer ook gebruikt kan worden als een explorer voor bestanden en mappen. Internet Explorer is wel als Administrater uit te voeren als je met rechts er op klikt dus heb ik een shortcut op mijn desktop geplaatst met daarin

code:

1	"C:\Program Files\Internet Explorer\IEXPLORE.EXE" C:\

Dit werkt ook perfect; enige nadeel wat er aan kleeft is dat je na alles wat je doet op F5 moet duwen om je wijziging te zien

maar goed ik vind dat niet erg; anders was ik vaak tussen gebruikers aan het switchen om even wat rechten op een mapje te verkrijgen of om even een bestandje te verwijderen. Dit is hiermee opgelost

edit:

Je moet in de internet explorer die je hebt uitgevoerd als administrator natuurlijk niet gaan internetten als het niet nodig is (lees: windows update) anders heb je er nog niets aan om als user in te loggen

[ Voor 8% gewijzigd door GH45T op 19-10-2004 21:40 ]

dinsdag 19 oktober 2004 21:49

Acties:

0 Henk 'm!

alt-92

ye olde farte

GH45T schreef op 19 oktober 2004 @ 21:37:
Vraag me niet waarom maar Windows XP maakt blijkbaar gebruik van 2 verschillende "Explorers":P 1 is de explorer.exe (welke volgens mij het visuele aan windows regelt) en 1 is de explorer (zonder extensie en hij regelt volgens mij het hele verkenner gebeuren) Als ik de door jouw aangeboden optie gebruik krijg ik ieder mapje wat ik dubbel aanklik in een nieuw venstertje te zien. Als ik dit zou doen zou ik gauw genoeg door de explorer venstertjes gek worden

* alt-92 gebruikt liever een commander-achtig ding + runas dan.
Bijkomend voordeel is ook dat je geen scriptable windowsshel meuk kan runnen omdat het een compleet standalone app is.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 19 oktober 2004 22:01

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Verwijderd schreef op 19 oktober 2004 @ 21:31:
exact. je kan ook iexplore gebruiken als explorer. kijk ook eens even naar http://blogs.msdn.com/aaron_margosis/

Ik heb inderdaad die blog wel gezien (was ook mijn aanleiding om dit topic te starten eigenlijk) - maar ik heb schijnbaar volledig over dat artikel heen gekeken, maar het valt allemaal dus ook logisch te berenederen

dinsdag 19 oktober 2004 22:05

Acties:

0 Henk 'm!

GH45T

BackSlash32 schreef op 19 oktober 2004 @ 21:49:
[...]

* GH45T gebruikt liever een commander-achtig ding + runas dan.
Bijkomend voordeel is ook dat je geen scriptable windowsshel meuk kan runnen omdat het een compleet standalone app is.

Ja; daar heb je in principe wel gelijk in maar ik kan echt wel verstandig mijn bestanden verkennen hoor

Ik heb dan 1 process administrator rechten gegeven en zolang ik dat proces van internet af houd kan het in principe weinig kwaad of ik moet een beetje gare bestanden gaan openen maar dat is niet mijn essentie; Ik weil gewoon wat shares en dergelijke kunnen maken terwijl ik geen administrator ben; ook wil ik af en toe een mapje verwijderen of hernoemen of wat dan ook; dan hoef ik me in principe niet zo druk te maken om onveilige scripts die mijn pc binnen komen dringen of zie ik iets over het hoofd?

woensdag 20 oktober 2004 11:15

Acties:

0 Henk 'm!

Verwijderd

GH45T schreef op 19 oktober 2004 @ 21:37:

edit:

Je moet in de internet explorer die je hebt uitgevoerd als administrator natuurlijk niet gaan internetten als het niet nodig is (lees: windows update) anders heb je er nog niets aan om als user in te loggen

Is er geen mogelijkheid om iexplore in een aparte mode op te starten (dmv command argumenten).
Rechts folder i.p.v. Niks of in mijn geval favorieten en dan natuurlijk in offline mode.
Zodat je niet opeens kan internetten zonder melding?

woensdag 20 oktober 2004 22:45

Acties:

0 Henk 'm!

beascob

vervolg WXP Home bak omzetten.
vandaag mijn [admin] account omgezet naar nieuwe gebruiker zoals TS aangeeft.
systeem wordt 1,0 Gb groter....; De file en settingstransferwizard geeft netjes aan wat niet gelukt is...;(
maar het lijkt helemaal mijn oude settings, tot ik mijn niet MS programma's start.
een borland data engine weigert, hijackthis en spybot hebben geen rechten,en meer...
Dan maar uitzoeken en sleutelen aan de rechten van onder andere de gebruikersgroep op de C:program files en Doc/usersettings.

2 uur later ... de image er maar weer opgezet.

wat heb ik geleerd?

Ghost werkt in ieder geval uitstekend en WXP eigenlijk ook wel.
maar terug naar een gewoon account?
Bij mijn volgende verse installatie zal ik het vanaf het begin moeten opzetten.
Niet achteraf dus.

gewaarwordingshorizon

woensdag 20 oktober 2004 23:00

Acties:

0 Henk 'm!

GH45T

beascob schreef op 20 oktober 2004 @ 22:45:
vervolg WXP Home bak omzetten.
vandaag mijn [admin] account omgezet naar nieuwe gebruiker zoals TS aangeeft.
systeem wordt 1,0 Gb groter....; De file en settingstransferwizard geeft netjes aan wat niet gelukt is...;(
maar het lijkt helemaal mijn oude settings, tot ik mijn niet MS programma's start.
een borland data engine weigert, hijackthis en spybot hebben geen rechten,en meer...
Dan maar uitzoeken en sleutelen aan de rechten van onder andere de gebruikersgroep op de C:program files en Doc/usersettings.

2 uur later ... de image er maar weer opgezet.

wat heb ik geleerd?

Ghost werkt in ieder geval uitstekend en WXP eigenlijk ook wel.
maar terug naar een gewoon account?
Bij mijn volgende verse installatie zal ik het vanaf het begin moeten opzetten.
Niet achteraf dus.

Je zult inderdaad wat moeite moeten doen om er aan te wennen; en het zal ook niet meteen allemaal lukken maar als je het eenmaal onder de knie hebt zul je zeer tevreden zijn met een user accountje en geen administrator rechten; je kunt werkelijk op de meest ongure websites rondsurfen zonder dat een virus of spyware programma enig vat krijgt op je computer. Je zult versteld staan hoe soepel een computer draait als je altijd als user inlogt.

woensdag 20 oktober 2004 23:21

Acties:

0 Henk 'm!

Verwijderd

MOmax schreef op 19 oktober 2004 @ 15:23:
Dan nu mijn veiligheidstip:
Laatst heb ik een "Adminstrator" passwd gekraakt met Pro-Active Windows Sec. etc. van Elcomsoft. Dat was niet heel moeilijk! Conclusie: zorg er voor dat je admin-passwd langer is als 14 karakters, liefst met vreemde tekens (anders dan cijfer/letters) en schakel het oudere LM-authenticatie protocol uit. Alleen dan is je admin-apsswd redelijk onkraakbaar.

niet enkel uitschakelen, maar de hashes ook nog een verwijderen:
www.toolcrypt.org - thrashlm

http://www.toolcrypt.org/tools/thrashlm/index.html

donderdag 21 oktober 2004 08:44

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

beascob schreef op 20 oktober 2004 @ 22:45:
maar het lijkt helemaal mijn oude settings, tot ik mijn niet MS programma's start.
een borland data engine weigert, hijackthis en spybot hebben geen rechten,en meer...
Dan maar uitzoeken en sleutelen aan de rechten van onder andere de gebruikersgroep op de C:program files en Doc/usersettings.

De File and Transfer settings wizard copieert je profiel - en dat je systeem dus groter wordt is inderdaad logisch (het is ook de manier om ervoor te zorgen dat je geen data verliest

)

Daarnaast - dat Spybot en Hijackthis geen rechten meer hebben -- dat is volgens mij het hele idee achter niet meer inloggen als administrator? Dat je minder rechten hebt

donderdag 21 oktober 2004 10:20

Acties:

0 Henk 'm!

Verwijderd

Thuis log ik gewoon in als admin,

en de andere gebruikers thuis ook, heb wel een poosje de admin rechten weg gehaald, maar dat vonden ze toch niet zo leuk.

en poweruser zie ik alleen maar op mijn werk, voor mensen die het echt nodig hebben om bijvoorbeeld een software pakket te installeren wat wij zelf niet uitrollen.
Zodra dit gedaan is, zijn ze weer normale users.

ik zie er gewoon geen nut in, om thuis als normale user in te loggen, wat schiet ik er mee op?
Het is alleen maar vervelen als ik iets wil installeren (kan via runas, maar dit wil ook niet met elk softwarepakket)

donderdag 21 oktober 2004 10:41

Acties:

0 Henk 'm!

blizt

Wannabe-geek

Wat je er mee opschiet is vaak zat genoemd in dit topic njh....
Minder kans op spyware etc., zeker op 'n familiepc kan dat prettig zijn.

Overigens, vrijdag haal ik m'n nieuwe 200GB HD op - dus ook nieuwe install XP, dan ga ik ook vanaf het begin als user werken... Of misschien gebruik ik gewoon weer lekker Windows 2000 (denk het niet echter, gezien de boottijd vooral

).

United we stand, and divided we fall

donderdag 21 oktober 2004 13:07

Acties:

0 Henk 'm!

BadVibes

:D

Ik gebruik al jaren (sinds begindagen win2k) niet meer het Administrator account voor 'normaal' gebruik. Een paar shortcuts die met "Run as..." onder het Admin account gestart kunnen worden is voldoende voor wat IIS en Computer onderhoud. Programma's installeer ik 99% als Aministrator.

Nog een leuke en veilige tip (heb topic wat snel doorgelopen, weet niet zeker of ie langs is gekomen);

Je kan bij het login scherm (met alle namen/iconen van gebruikers) het Administrator account verbergen zodat niemand dit account ziet en dus ook niet bijv. het wachtwoord kan gokken.

Je gaat hiervoor naar de reg sleutel:

- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ SpecialAccounts \ UserList \,
- Kiest nieuwe DWORD waarde,
- De waarde moet exact de Administrator accountnaam zijn (bij voorkeur niet standaard "Administrator".)
- en zet de waarde ervan op "0".

Start je computer opnieuw op en je Admin account (of ieder ander account) zal verborgen blijven.

Twee keer "Ctrl + Alt + Delete" zorgt ervoor dat je de standaard login box te zien krijgt, dan kun je dus als Admin inloggen.

donderdag 21 oktober 2004 15:15

Acties:

0 Henk 'm!

Verwijderd

je kan ook gewoon bij control panel>>user accounts use logon screen en fast user switching uitzetten, en dan in de "Local Security Policy" "disable CTRL+ALT+DEL requirement for logon" op disable zetten.

zet ook even "do not display last user name in logon screen" op enable,
en rename de administrator naam.

en ik heb in 1 maand misschien 1 spyware item, aangezien ik mozilla firefox gebruik.

donderdag 21 oktober 2004 16:39

Acties:

0 Henk 'm!

tweak_dude

Ik probeer het draaien als normale user nu ook uit. Grotendeels werkt dit ook goed. 1 programma heb ik echter nog niet werkend gekregen: uIce, voor mijn afstandbediening. Dit programma laadt bij het starten een driver. Nu ik echter als user draai lukt dat niet meer. Reinstal onder user account (setup wel als admin moeten draaien) gedaan. Ook heb ik in de security policy editor de rechten voor het starten en stoppen van drivers toegevoegd aan mijn account. Dit helpt helaas niet. De enige manier waarop ik het programma aan de gang heb gekregen is door het als admin uit te laten voeren. Nadeel hiervan is dat ik iedere keer het admin wachtwoord op moet geven (wat opzich ook wel logisch is). Heb ik iets overzien of zit dit programma zo dwars dat ik wel admin moet draaien?

vrijdag 22 oktober 2004 15:03

Acties:

0 Henk 'm!

DefaultUser

tweak_dude schreef op 21 oktober 2004 @ 16:39:
Ik probeer het draaien als normale user nu ook uit. Grotendeels werkt dit ook goed. 1 programma heb ik echter nog niet werkend gekregen: uIce, voor mijn afstandbediening. Dit programma laadt bij het starten een driver. Nu ik echter als user draai lukt dat niet meer. Reinstal onder user account (setup wel als admin moeten draaien) gedaan. Ook heb ik in de security policy editor de rechten voor het starten en stoppen van drivers toegevoegd aan mijn account. Dit helpt helaas niet. De enige manier waarop ik het programma aan de gang heb gekregen is door het als admin uit te laten voeren. Nadeel hiervan is dat ik iedere keer het admin wachtwoord op moet geven (wat opzich ook wel logisch is). Heb ik iets overzien of zit dit programma zo dwars dat ik wel admin moet draaien?

Je zou eens met FILEMON en/of REGMON kunnen kijken wat dat programma allemaal wilt en niet kan als je het als normale user start...
Te downloaden bij http://www.sysinternals.com/.

Als ik maar een beetje kan computeren

maandag 1 november 2004 20:03

Acties:

0 Henk 'm!

Motrax

Profileert

Vandaag de boel omgezet van admin naar gewone gebruiker, vanwege de veiligheid (laptop om mee te werken).

Op zich bevalt het wel, maar het volgende niet:
- Outlook, een standaard Office gebeuren moest handmatig worden overgezet qua e-mail enz. en alle instellingen en accounts

- Instellingen in heel Office terug naar af
- Zelf gemaakte sjablonen van o.a. Word zijn niet meegenomen

Dat is iets om in de gaten te houden
- Sommige programma's even opnieuw moeten installeren
- Met Gebruikersaccounts moest ik eerst een nieuw admin aanmaken, vervolgens kon ik pas een normale gebruiker aanmaken. Met 'lusrmgr.ms' heb ik dit kunnen oplossen, maar dit was dus niet hetzelfde (wist ik niet

). Met lusrmgr.msc kan je ook de standaard 'Administrator' account een andere naam geven, met Gebruikersaccounts dus niet.
- Programma's installeren werkt goed met 'Run as', maar vergeet niet dat het met het deinstalleren ook moet, je kan de meest wazige foutmeldingen hiermee krijgen
- Met het overzetten van instellingen en bestanden werd verklaard dat Acrobat opnieuw moest worden geinstalleerd, maar het werkte gewoon goed.

Kortom: voor normaal gebruik en normale programma's is ingelogt zijn als normale gebruiker heel goed te doen.
Voor de uitzonderingen 'Run as' of even omloggen als admin (gaat snel met m'n laptopje

)

Verder moet ik nog even uitzoeken hoe het met de netwerkinstellingen gaat, want ik zit zoooo vaak op andere netwerken enz. (draadloos, utp, routers, crosscable enz enz).

[ Voor 9% gewijzigd door Motrax op 01-11-2004 20:04 ]

maandag 1 november 2004 21:19

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Motrax schreef op 01 november 2004 @ 20:03:
- Outlook, een standaard Office gebeuren moest handmatig worden overgezet qua e-mail enz. en alle instellingen en accounts
- Instellingen in heel Office terug naar af
- Zelf gemaakte sjablonen van o.a. Word zijn niet meegenomen Dat is iets om in de gaten te houden

Je hebt naast de standaard Transfer Settings Wizard ook een Office transfer settings wizard - ik vermoed dat als je die gebruikt had dat je dat een boel werk had gescheeld?

maandag 1 november 2004 21:25

Acties:

0 Henk 'm!

Motrax

Profileert

Wel snotverdriedubbeltjes... zoiets ja...

Nog nooit gezien. Weer wat geleerd. In Office 2003 heet het overigens 'Mijn instellingen opslaan' Nederlands natuurlijk.
Dat zou heeeel wat tijd hebben gescheeld...

Van netwerk veranderen of instellen is als normale gebruiker trouwens niet te doen. Misschien een run-as, of op een bepaalde service admin-rechten geven, maar daar heb ik geen verstand van...

maandag 1 november 2004 21:29

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Je kan een en ander automatiseren door middel van 'netsh' - als je dat koppelt in een batchfiletje (runas met de optie /savecred) kan je als het goed is vrij gemakkelijk switchen

woensdag 3 november 2004 10:43

Acties:

0 Henk 'm!

Verwijderd

@motrax:

onder administrative tools>>Computer Management>>Local users and groups kan je ook een user aanmaken (en als je wilt lid maken van administrators), en eventueel administrator hernoemen naar iets anders

woensdag 3 november 2004 10:57

Acties:

0 Henk 'm!

0siris

Als gewone gebruiker kun je toch ook met shift-rechtermuisknop op een .exe klikken, dan kiezen voor "run as" / "uitvoeren als" en daar administrator credentials ingeven?
_{Of werkt dit alleen in een netwerk met een AD enzo ?}

ach...in een volgend leven lach je er om!

woensdag 3 november 2004 11:27

Acties:

0 Henk 'm!

Verwijderd

0siris schreef op 03 november 2004 @ 10:57:
Als gewone gebruiker kun je toch ook met shift-rechtermuisknop op een .exe klikken, dan kiezen voor "run as" / "uitvoeren als" en daar administrator credentials ingeven?
_{Of werkt dit alleen in een netwerk met een AD enzo ?}

dit is ook mogelijk als er geen AD gebruikt wordt

woensdag 3 november 2004 13:03

Acties:

0 Henk 'm!

blizt

Wannabe-geek

Osiris: bedankt!

Ik heb hier "net" 'n 2k-bak geïnstalleerd en ik wist echt gewoon niet meer hoe je dan "run as" kon doen, had alleen nog geen zin/tijd gehad om te googlen.
Was dus gewoon shift ;x

United we stand, and divided we fall

donderdag 4 november 2004 22:41

Acties:

0 Henk 'm!

Wimmel

Hello

Ik draai al enige tijd als non-admin. De rest van de familie is het nog nooit geweest tot Sims2 uitkwam. Zowel met regmon als met filemon gezocht, maar het niet zonder admin rechten aan de praat gekregen.

Oplossing:
Ik heb een nieuwe admin gebruiker aangemaakt. Dmv een aangepaste snelkoppeling wordt sims2 nu in een admin-context opgestart zonder dat de ingelogde gebruiker admin rechten heeft. Eventueel kun je met gpedit de rechten van dit account nog inperken.

Maak een snelkoppeling met een aangepast target (doel ?):

%systemroot%\system32\runas.exe /user:computernaam\adminusernaam /savecred "pad naar Sims2.exe"

De eerste keer dat je deze snelkoppeling gebruikt dien je het wachtwoord op te geven, daarna wordt dit onthouden door het systeem. Mijn familie weet dus niet het wachtwoord van een admin account.

Op deze wijze heb ik ook een 'admin explorer' en 'admin cmd-box' gemaakt, waardoor ik indien nodig vrij gemakkelijk systeemwijzigingen kan doorvoeren.

Men are from Mars, women are meteors crashing into Mars.
Discogs

vrijdag 5 november 2004 16:33

Acties:

0 Henk 'm!

SaURoN

mja ik werk als domein user gewoon maar wel me zelf als local admin ingesteld

en ja ben zelf systeembeheerder

als ik admin nodig heb log ik dan wel weer in

thuis wel aparte account met admin rechten..Dit meer omdat ik nu eenmaal hele rechten structuur heb en geen zin heb het om te bouwen

vrijdag 5 november 2004 16:40

Acties:

0 Henk 'm!

Verwijderd

ja psies,

maar ik ben ook systeembeheerder (tenminste in opleiding)
en als ik steeds zou moeten switchen tussen user account om bijvoorbeeld een user aan te maken, ben ik verkeerd bezig.

Als lokale admin kan je gewoon geen user accounts aanmaken in de nds

(dit kan zover ik weet ook niet onder AD

)

vrijdag 5 november 2004 20:29

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Verwijderd schreef op 05 november 2004 @ 16:40:
maar ik ben ook systeembeheerder (tenminste in opleiding)
en als ik steeds zou moeten switchen tussen user account om bijvoorbeeld een user aan te maken, ben ik verkeerd bezig.

Dat is natuurlijk een wel erg luie instelling

Als het goed is zit jij niet de hele dag users aan te maken dus heb ik persoonlijk veel twijfels erbij ofdat je echt wel het meerendeel van je tijd echt admin rechten nodig hebt

Maar goed - daar gaat dit topic dan ook over he - probeer het gewoon eens uit en ga eens op zoek naar manieren (scripts, registry aanpassingen, e.d.) die het leven als non-admin user bijna bet zo gemakkelijk maken als admin user. Maar dan wel met alle voordelen van geen admin user zijn

vrijdag 5 november 2004 21:10

Acties:

0 Henk 'm!

Verwijderd

Wimmel schreef op 04 november 2004 @ 22:41:
Ik draai al enige tijd als non-admin. De rest van de familie is het nog nooit geweest tot Sims2 uitkwam. Zowel met regmon als met filemon gezocht, maar het niet zonder admin rechten aan de praat gekregen.

Oplossing:
Ik heb een nieuwe admin gebruiker aangemaakt. Dmv een aangepaste snelkoppeling wordt sims2 nu in een admin-context opgestart zonder dat de ingelogde gebruiker admin rechten heeft. Eventueel kun je met gpedit de rechten van dit account nog inperken.

Maak een snelkoppeling met een aangepast target (doel ?):

%systemroot%\system32\runas.exe /user:computernaam\adminusernaam /savecred "pad naar Sims2.exe"

De eerste keer dat je deze snelkoppeling gebruikt dien je het wachtwoord op te geven, daarna wordt dit onthouden door het systeem. Mijn familie weet dus niet het wachtwoord van een admin account.

Op deze wijze heb ik ook een 'admin explorer' en 'admin cmd-box' gemaakt, waardoor ik indien nodig vrij gemakkelijk systeemwijzigingen kan doorvoeren.

krijg je specifieke foutmeldingen als je het als gewone user probeert te draaien? het is namelijk wel opletten met de savecred switch: eenmaal deze ingegeven, kan de user daarna eender welk commando uitvoeren als administrator zonder het paswoord te hoeven ingeven.

ik gebruik deze switch ook, maar enkel voor users met nog minder rechten dan de gewone user (bv bij p2p programma's)

zaterdag 6 november 2004 22:50

Acties:

0 Henk 'm!

TromboneFreakus

Ergo

Wimmel schreef op 04 november 2004 @ 22:41:

Maak een snelkoppeling met een aangepast target (doel ?):

%systemroot%\system32\runas.exe /user:computernaam\adminusernaam /savecred "pad naar Sims2.exe"

Op deze wijze heb ik ook een 'admin explorer' en 'admin cmd-box' gemaakt, waardoor ik indien nodig vrij gemakkelijk systeemwijzigingen kan doorvoeren.

Bedankt voor de tip. Aangezien velen - vooral dankzij de search - later nog op dit topic zullen terugkomen voor tips voor de helderheid de volgende aanvulling:

Maak een snelkoppeling naar

%systemroot%\system32\runas.exe /user:computernaam\adminusernaam /savecred "%systemroot%\system32\mmc.exe compmgmt.msc"

Voor eenvoudig computerbeheer. Bijna alles kun je hier al mee instellen: hardware, schijfbeheer, gebruikersbeheer, servicebeheer. De meeste probleemgevallen los je zo goed en veilig op.

De koppeling naar de commandprompt is erg handig, aangezien je op die prompt alle programma's kunt starten als Administrator met het commando 'start'. Dus bijv:

start explorer

Maak dezelfde snelkoppeling aan voor programma's als Ad Aware, Spybot Search & Destroy en andere spywaregerelateerde programma's. Dat maakt het verwijderen vermoedelijk net wat makkelijker, aangezien die software anders in een Administrator-user geladen wordt (terwijl S&D bezig is...). Overigens krijg je geen spywate als je consequent als gebruiker met beperkte rechten werkt....

Vult iemand even aan hoe je het softwareoverzicht oproept, dat is dan handig om omgewenste software snel te kunnen verwijderen....

zaterdag 6 november 2004 23:14

Acties:

0 Henk 'm!

Verwijderd

het softwareoverzicht roep je op met 'control appwiz.cpl' in een runas, ofwel simpelweg control om het volledige controlpanel op te roepen

zaterdag 6 november 2004 23:23

Acties:

0 Henk 'm!

TromboneFreakus

Ergo

Wat trouwens wel handig is: om problemen met de standaard administrator te voorkomen is het denk ik verstandig bij het 'run as' idee niet Administrator als gebruiker in te vullen, maar de naam van de door jezelf aangemaakte adminaccount. Gaat er immers iets mis met die account, dan kun je altijd nog met 2x ctrl-alt-del inloggen met de user Administrator.....

zaterdag 6 november 2004 23:42

Acties:

0 Henk 'm!

Verwijderd

elevator schreef op 05 november 2004 @ 20:29:
[...]

Dat is natuurlijk een wel erg luie instelling Als het goed is zit jij niet de hele dag users aan te maken dus heb ik persoonlijk veel twijfels erbij ofdat je echt wel het meerendeel van je tijd echt admin rechten nodig hebt

Maar goed - daar gaat dit topic dan ook over he - probeer het gewoon eens uit en ga eens op zoek naar manieren (scripts, registry aanpassingen, e.d.) die het leven als non-admin user bijna bet zo gemakkelijk maken als admin user. Maar dan wel met alle voordelen van geen admin user zijn

is denk ik niet een luie instelling, maar een tijdbesparende

als ik moet inloggen om een user zijn wachtwoord te wijzigen ben ik gewoon te veel tijd kwijt!

Ik heb de hele dag rechten nodig om taken uit te kunnen voeren (in en uitloggen is ook niet echt efficient)

zondag 7 november 2004 15:13

Acties:

0 Henk 'm!

TromboneFreakus

Ergo

Moderators: zien we het resutlaat van de discussie uiteindelijk terug in een van de FAQs of Howto's? Beveiliging van de pc's is immers telkens belangrijker.

En zonder mezelf op de brost te kloppen, wellicht ook iets doen met: Ervaringen: leken-proof installatie van Windows
??

zondag 7 november 2004 18:30

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Nee dat is niet de bedoeling dat het in de FAQ komt

dinsdag 23 november 2004 08:19

Acties:

0 Henk 'm!

Shaidar



Ik ben van plan volgend weekend m'n XP SP2 systeem opnieuw te installeren.

Nu log ik aan op XP met een user die administrator is (niet administrator zelf). Ik wil wel eens proberen om m'n PC als user (of poweruser) te gebruiken, en de administratie als administrator te doen (programma's installeren en dergelijke). Ik merk dat eens al m'n programma's geinstalleerd zijn, dat er daarna maar weinig meer bijkomt, en dat het vooral gebruik van de computer is... (office, communicatie, games, films/audio ...)

Dus: 'administrator' -> spreekt voor zich
en 'gewone user' -> kan programma's opstarten, games spelen, muziek luisteren,...

Nu had ik hierover enkele vragen:

- Zijn er mensen hier die op deze manier met hun PC werken? Wat zijn jullie ervaringen daaromtrend?

- Ik gebruik de Fast user switching mogelijkheid van XP. Stel dat ik aangelogd ben met m'n user, treden er dan problemen op als ik "fast switch" naar administrator, een programma installeer, daarna terug "fast switch" naar m'n gewone user, en het programma installeer?

- Kan er mij iemand zeggen wat de uiteindelijke bedoeling is van de "run as service"? Is dit bedoelt om programma's te installeren met administrative rights als je als gewone user bent aangelogd? (of heeft deze service geen echt doel?)

- Staat de NTFS security voor gewone users default al goed voor bijvoorbeeld de windows directory (ik denk aan alleen leesrechten, en geen schrijfrechten)? Of moet dat manueel nog allemaal in orde gezet worden?

 iPhone 12 Pro 128GB  MacBook Pro (13-inch, 2020, i7, 16GB, 1TB)

dinsdag 23 november 2004 08:28

Acties:

0 Henk 'm!

schnitzelcore

Lees deze eens door...
Ervaringen: Niet inloggen als administrator onder Windows XP

Windows is exiting. Is this OK?

dinsdag 23 november 2004 08:32

Acties:

0 Henk 'm!

G33rt

Twee replies gemerged met het andere topic

dinsdag 23 november 2004 09:11

Acties:

0 Henk 'm!

Verwijderd

Leuk Topic!

Ik ben in XP net geswitched van admin naar poweruser. Ik heb alleen één groot probleem. Mijn run as werkt niet!! Als ik rechtermuisknop doe en dan run as, krijg ik mooi het venstertje met de mogelijkheid om als admin de toepassing uit te voeren. Als ik gewoon admin aanvink en password invul, krijg ik een melding dat de service niet geinstalleerd is. Hoe kan dit?

Voor de rest vind ik het helemaal niet slecht bevallen. Ik moet nu alleen eerst afmelden en dan weer inloggen als admin.

dinsdag 23 november 2004 10:47

Acties:

0 Henk 'm!

Verwijderd

de service "secondary logon" moet gestart zijn.

dinsdag 23 november 2004 10:51

Acties:

0 Henk 'm!

Bart©

Ik snap eigenlijk niet waarom je een gebruiker ineens niet meer als Administrator in zou laten loggen. In eerdere versies van Windows (95,98 en ME) had men geen rechten en was iedere gebruiker 'administrator', of tenminste, een gebruiker kon alles en dat bleek (bijna) altijd goed te gaan. Ik zie de logica wel in een netwerkomgeving maar voor alle stand-alone thuis gebruikers is dat niet echt noodzakelijk, toch?

dinsdag 23 november 2004 13:16

Acties:

0 Henk 'm!

schnitzelcore

Als je verbonden bent met internet zit je toch ook in een netwerkomgeving?

Windows is exiting. Is this OK?

dinsdag 23 november 2004 13:26

Acties:

0 Henk 'm!

Gerco

Professional Newbie

Sierra-NL schreef op dinsdag 23 november 2004 @ 10:51:
Ik snap eigenlijk niet waarom je een gebruiker ineens niet meer als Administrator in zou laten loggen. In eerdere versies van Windows (95,98 en ME) had men geen rechten en was iedere gebruiker 'administrator', of tenminste, een gebruiker kon alles en dat bleek (bijna) altijd goed te gaan.

In 98 hadden we nog geen spyware-explosie meegemaakt

Als gewone user kun je het systeem niet slopen, je kunt (bijna) geen virussen en/of spyware krijgen omdat je alleen read-only toegang hebt tot de belangrijke systeemgebieden.

Tot zover de theorie, helaas werkt het niet altijd even fijn en vereisen redelijk wat programmas admin rechten of iig rechten op bepaalde plaatsen in de registry en in hun eigen appdir. Met wat gepiel zijn de meeste dingen echter wel werkend te krijgen.

1 van de dingen die ik hinderlijk vond aan het werken als niet-admin op Windows t.o.v op *nix is dat je in *nix even een nieuwe terminal opent, su't en je kan alles. In Windows moet je echt stoppen met je werkzaamheden, uitloggen, inloggen als Admin, werken en weer de andere kant op. Shortcuts naar een admin cmd prompt en fast user switching lossen daar een hoop van op, maar toch laat het gevoel me niet los dat het met Windows niet de bedoeling van MS is geweest om met beperkte rechten te werken en op *nix is dat vanaf het begin de bedoeling geweest.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

dinsdag 23 november 2004 13:32

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Gerco schreef op dinsdag 23 november 2004 @ 13:26:
Shortcuts naar een admin cmd prompt en fast user switching lossen daar een hoop van op, maar toch laat het gevoel me niet los dat het met Windows niet de bedoeling van MS is geweest om met beperkte rechten te werken en op *nix is dat vanaf het begin de bedoeling geweest.

Ik ben bang dat het niet zo zeer te maken heeft met 'de bedoeling van MS' - maar meer met het feit dat veel applicaties er niet voor geschikt zijn (waaronder een boel MS applicaties natuurlijk)

Het OS zelf (Windows) is wel degelijk hierop gemaakt (denk aan Terminal Services wat in feite hetzelfde is)

[ Voor 9% gewijzigd door elevator op 23-11-2004 13:32 ]

dinsdag 23 november 2004 13:45

Acties:

0 Henk 'm!

jordan2k

Zeker intresant topic.

hier op mn werk draait iedereen local admin rechten op zijn of haar pc omdat het ERP pakket en lotus notes niet opstart zonder deze rechten...

Thuis heb ik het netjes verdeeld in wat men echt nodig heeft. je kan eigenlijk voor iedere gebruiker andere rechten uitdelen.

dinsdag 23 november 2004 13:47

Acties:

0 Henk 'm!

Gerco

Professional Newbie

elevator schreef op dinsdag 23 november 2004 @ 13:32:Ik ben bang dat het niet zo zeer te maken heeft met 'de bedoeling van MS' - maar meer met het feit dat veel applicaties er niet voor geschikt zijn (waaronder een boel MS applicaties natuurlijk)

Wat ik bedoelde was meer de admin tools en dergelijke. Alles gaat er vanuit dat je echt als een admin account inlogd en je admin werk gaat doen ipv 1 app opstart onder een admin context vanuit een beperkte account.

Ik weet dat daar goede voorzieningen voor zijn dmv shortcuts en dergelijke, maar dat blijven voor mij als workarounds aanvoelen. Het voelt alsof ik dan "eromheen" zit te werken, "het werkt wel, maar". Echt een feitelijke basis heeft het niet meer denk ik, waarschijnlijk een overblijfsel uit het verleden, toen het allemaal half werkte.

Nu heb ik al een tijdje geen Windows bak meer beheerd aangezien ik plm een jaar geleden op desktop linux ben overgestapt. Op mn werk nog wel Windows, maar daar verander ik eigenlijk nooit iets aan de settings van de bak. Ik restart de webserver en sql server regelmatig, maar daar blijft het wel bij, ik ben btw wel local admin op die computer.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

dinsdag 23 november 2004 13:49

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op dinsdag 23 november 2004 @ 10:47:
de service "secondary logon" moet gestart zijn.

Oke bedankt, die heb ik er met n-lite uitgesloopt.

Trouwens zomaar een idee wat bij me op kwam op het gebied van spyware-bestrijding. Is het niet handig om gewoon als admin of poweruser in te loggen en dan IE te runnen als gebruiker met beperkte rechten?

zaterdag 12 februari 2005 11:22

Acties:

0 Henk 'm!

Zaggy

Hallo, ik ben op de frontpage dit verhaal tegengekomen

Gepost door Fonk - zaterdag 12 februari 2005 - 05:41 Score: 1
Ik weet dat het een beetje off topic is.. maar ik las net iets over Admin rechten

Zelf heb ik daar ook vaak last van.. maar als het mag wil ik graag een tip delen.

Als je in het start menu namelijk naar de dos prompt gaat en gaat op die link staan (in het start menu dus niet uitvoeren nog) dan rechter knop en uitvoeren als....

Dan type je Administrator en je pass in.. als je command dan opend.. heb je een console (dos) in admin draaien.

Waarom ik dit een handig iets vind is omdat als ik naar bijv C:\Program files\Internet Explorer ga.. en dan gewoon iexplorer.exe in die dos box sleep

Dan start Internet Explorer onder Admin, maar het mooie is dan als je bij adres : Deze Computer ingeeft.. je dus gewoon in explorer zit MET Admin.

Handig toch? om te installeren zonder alles te moeten invullen als Run As...

Tuurlijk weet ik niet of als je een dosbox op deze manier als admin draait, je dan erg vatbaar bent voor de gevaren die je met een full admin account hebt.

Geen idee.. soms heb ik zo iets van pfff.. ik log gewoon als Admin in.. Maar de dos box tip is misschien voor wat tweakers een idee

En je kan dan checken als er bij explorere dus Deze Computer boven aan staat - Internet Explorer dan weet je dus dat DAT je Admin versie is.

Je kan ook de dos box rood maken, zodat je dsan weet van okee.. das Admin

En dan gewoon minimalizeren en klaar.

Meestal zet ik heb weer uit .. gewoon /Exit. Het enige wat je moet hebben draaien is natuurlijk Secondairy logon service.

Maar als je die service op Manual zet.. start ie dus op met de dosbox truck o.a.

Je kan hem daarna niet stoppen denk ik als user.. in services.. maar ik geloof dat secondairy logon niet zo schadelijk is voor aanvallen.

//

Probleem met Adaware is dat veel mensen het installeren terwijl als je erg goed oplet.. en je virusscanner op 100% kracht zet.. je soms geen eens adaware nodig hebt.

Ik draai altijd en al jaren AVP Monitor, zelfs op Windows server.. nog nooit last gehad van spyware.

Ondanks alles is het wel een vervelende zaak weer om dit te moeten lezen.

En het werkt perfect, en het lijkt me handig als ik dit scherm steeds bij het opstarten geminimaliseerd krijg

, heeft iemand een idee hoe ik dit zou kunnen doen.

[ Voor 4% gewijzigd door Zaggy op 12-02-2005 11:27 ]

zaterdag 12 februari 2005 11:45

Acties:

0 Henk 'm!

Verwijderd

Misschien zit ik te

Waarom start ie niet gewoon iexplore.exe met RunAs?

zaterdag 12 februari 2005 11:48

Acties:

0 Henk 'm!

Zaggy

Mja bijvoorbeeld

, maar is er een commando om een programma met admin rechten op te starten?

zaterdag 12 februari 2005 11:49

Acties:

0 Henk 'm!

Verwijderd

runas onder cmd ?

zaterdag 12 februari 2005 11:50

Acties:

0 Henk 'm!

Zaggy

zaterdag 12 februari 2005 11:53

Acties:

0 Henk 'm!

Greenstick

Groen als gras

Zaggy schreef op zaterdag 12 februari 2005 @ 11:48:
Mja bijvoorbeeld , maar is er een commando om een programma met admin rechten op te starten?

Je hebt er een scriptje in VBscript voor, dat staat hier wel ergens op het forum. Ik geloof in een topic over The Sims 2, want die moet je als administrator draaien, en aangezien velen de kinders niet als administrator op het systeem willen toelaten, komt dat nogal van pas

.
Maar je kunt het dus ook gewoon handmatige met Runas doen

- 01000111 01101111 01010100 -
We love to think about the way things were,
but the time has come and I'm glad it's over

zaterdag 12 februari 2005 11:57

Acties:

0 Henk 'm!

Verwijderd

Ben op een idee gebracht!!!

Doe het volgende: maak een snelkoppeling en start als programma:
runas /noprofile /user:[compunaam]\administrator "C:\Program Files\Internet Explorer\iexplore.exe"

Noem 'm Admin Internet Explorer en draai 'm

Je krijgt nu een dos box waarin je het admin password inklopt en daarna start iexplore met admin rechten en je dos box is weer pleite!

Nice

[ Voor 7% gewijzigd door Verwijderd op 12-02-2005 11:59 . Reden: Volledig pad van iexplore dient opgenomen te worden ]

zaterdag 12 februari 2005 12:00

Acties:

0 Henk 'm!

Greenstick

Groen als gras

Verwijderd schreef op zaterdag 12 februari 2005 @ 11:57:
Ben op een idee gebracht!!!

Doe het volgende: maak een snelkoppeling en start als programma:
runas /noprofile /user:[compunaam]\administrator iexplore.exe

Noem 'm Admin Internet Explorer en draai 'm

Je krijgt nu een dos box waarin je het admin password inklopt en daarna start iexplore met admin rechten en je dos box is weer pleite!

Nice

Hmm ja, maar dat kan dus ook met een scriptje (dat werkt dus ook met RunAs) zodat je je admin password niet eens meer hoeft op te geven (want die zet je in de code)

- 01000111 01101111 01010100 -
We love to think about the way things were,
but the time has come and I'm glad it's over

zaterdag 12 februari 2005 12:00

Acties:

0 Henk 'm!

3dfx

Greenstick schreef op zaterdag 12 februari 2005 @ 11:53:
Ik geloof in een topic over The Sims 2, want die moet je als administrator draaien, en aangezien velen de kinders niet als administrator op het systeem willen toelaten, komt dat nogal van pas .

Sims 2 is inmiddels ook als 'gewone' user te spelen als je de patch/update van EA installeert.

zaterdag 12 februari 2005 12:03

Acties:

0 Henk 'm!

Verwijderd

Greenstick schreef op zaterdag 12 februari 2005 @ 12:00:
[...]
zodat je je admin password niet eens meer hoeft op te geven (want die zet je in de code)

Waarom geef jij je Admin eigenlijk een wachtwoord?

zaterdag 12 februari 2005 12:03

Acties:

0 Henk 'm!

Zaggy

Greenstick schreef op zaterdag 12 februari 2005 @ 12:00:
[...]

Hmm ja, maar dat kan dus ook met een scriptje (dat werkt dus ook met RunAs) zodat je je admin password niet eens meer hoeft op te geven (want die zet je in de code)

Welk script?

runas /user:hostname\username cmd

werkt goed, maar ik te ben lui word moe er van steeds dat wachtwoord invoeren.

zaterdag 12 februari 2005 12:06

Acties:

0 Henk 'm!

Greenstick

Groen als gras

Verwijderd schreef op zaterdag 12 februari 2005 @ 12:03:
[...]

Waarom geef jij je Admin eigenlijk een wachtwoord?

...waarna je hem versleuteld

Nog even de code:

code:

On Error Resume Next
dim WshShell,oArgs,sUser,sPass,sCmd,ProcessName
' ----------------------------
' configuratie variabelen
' ----------------------------
' sUser = Account
' sPass = Wachtwoord
' sCmd =  Pad naar commando bijv. cmd, mmc, regedit etc.
' ----------------------------
sUser="Administrator"
sPass="het administrator wachtwoord"
sCmd="Sims2.exe"
' ----------------------------
' Uitvoering
' ----------------------------
set oArgs=wscript.Arguments
set WshShell = CreateObject("WScript.Shell")
set WshEnv = WshShell.Environment("Process")
WinPath = WshEnv("SystemRoot")&"\System32\runas.exe"
set FSO = CreateObject("Scripting.FileSystemObject")
if FSO.FileExists(winpath) then
'wscript.echo winpath & " " & "verified"
else
wscript.echo "!! Foutmelding !!" & VBCRLF & "Kan " & winpath &" niet 
vinden of verifieren." & VBCRLF & "Je moet minstens Windows 2000 draaien 
anders werkt dit script niet."
set WshShell=Nothing
set WshEnv=Nothing
set oArgs=Nothing
set FSO=Nothing
wscript.quit
end if
rc = WshShell.Run("runas /user:" & sUser & " " & CHR(34) & sCmd & CHR(34), 2, FALSE)
wscript.Sleep 100    'even wachten tot het scherm geopend is
WshShell.AppActivate(WinPath) 'dos-prompt window activeren
wscript.Sleep 100       'nog even wachten..
WshShell.SendKeys sPass & "{ENTER}" 'Wachtwoord naar dos-prompt sturen
'set WshShell=Nothing
'set oArgs=Nothing
'set WshEnv=Nothing
'set FSO=Nothing
'wscript.quit

Je past even de waardes in de code aan (je eigen admin ww enzo

) en dan test je hem. Als hij werkt, dan versleutel je het script met Script Encoder

[ Voor 81% gewijzigd door Greenstick op 12-02-2005 12:21 ]

- 01000111 01101111 01010100 -
We love to think about the way things were,
but the time has come and I'm glad it's over

zaterdag 12 februari 2005 12:17

Acties:

0 Henk 'm!

Verwijderd

Greenstick schreef op zaterdag 12 februari 2005 @ 12:06:
[...]
...waarna je hem versleuteld

Hoe doe je dat dan, met de sleutel van de huidige gebruiker, waarmee ie dus ook weer te decrypten is?

zaterdag 12 februari 2005 12:22

Acties:

0 Henk 'm!

Greenstick

Groen als gras

Lees even het topic de post hierboven opnieuw

[ Voor 16% gewijzigd door Greenstick op 14-02-2005 20:55 ]

- 01000111 01101111 01010100 -
We love to think about the way things were,
but the time has come and I'm glad it's over

zaterdag 12 februari 2005 12:25

Acties:

0 Henk 'm!

Zaggy

Ik vond net dit: http://www.jobmanager.com...nagerUnderUserAccount.zip

zit progje in dat wachtwoord kan doorpipen.

zaterdag 12 februari 2005 12:28

Acties:

0 Henk 'm!

Verwijderd

Greenstick schreef op zaterdag 12 februari 2005 @ 12:22:
Lees even het topic hierboven opnieuw

Je had dus kunnen volstaan met een link naar de encryptie tool....

zaterdag 12 februari 2005 12:35

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Even twee topics samengevoegd

maandag 14 februari 2005 20:46

Acties:

0 Henk 'm!

GH45T

In dit topic zou best meer te doen mogen zijn; Dit topic was eigenlijk al lang doodgebloed.

pas als je het een lange tijd probeert merk je wat de voordelen zijn van onder user draaien in Windows. In feite heb je niet eens meer een virusscanner/adware programma nodig; veel virussen/adware programma's krijgen namelijk sowieso al geen kans (Veel is niet alle

)

En na verloop van tijd zul je merken dat het werken als User echt niet beperkend hoeft te zijn; maak een Runas met Savecred snelkoppeling aan en je kunt elk willekeurig programma als administrator draaien. Ideaal; surfen en onbetrouwbare programma's hebben weinig rechten en die programma's die het nodig hebben hebben toch genoeg toegang.

Ik zou dus voor erg veel mensen kunnen aanraden: probeer het eens; maak een testuser aan en ga er eens mee aan de slag; leg niet meteen het bijltje erbij neer maar denk aan de voordelen

[ Voor 4% gewijzigd door GH45T op 14-02-2005 20:48 ]

maandag 14 februari 2005 21:27

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Wat trouwens nog een leuke tip is waar ik zondag achterkwam:

Ga naar regedit en voer deze even uit onder een account met administrative rechten
Navigeer naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
Maak hierin een nieuwe value, type DWORD, met de naam: RunAsOnNonAdminInstall en de waarde 1 aan.

Elke keer als je nu IE op start, zal hij vragen om onder een andere account te starten - nou is dit voorbeeld niet zo zinvol - maar je kan van die iexplore.exe in principe elke willekeurige executable maken, en op die manier het allemaal nog net iets vanzelfsprekender maken voor een user

maandag 14 februari 2005 22:03

Acties:

0 Henk 'm!

GH45T

Hmmm; handig; werkt dit ook echt met alle executables? dus ook die waar je het gehele pad in browse moet intikken? of alleen maar dingen als IEXPLORE.EXE; WINWORD.EXE; enz?

Als dat zo is dan stel ik voor dat iedere programmeur van software welke admin rechten nodig heeft dit zelf veranderd in het register... scheelt wel zo veel werk

Overigens vind ik de Runas via de snelkoppeling toch nog altijd wat makkelijker werken; vooral als je savecred gebruikt zodat je maar 1 keer je wachtwoord in hoeft te vullen.

maandag 14 februari 2005 22:30

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Nou, het leuke is dat die 'App Paths' in je registry, er ook voor zorgt dat je applicaties als winword, en iexplore zo kan uitvoeren zonder de volledige path in te geven - '(Default)' en 'Path' zorgen daar voor.

Op deze manier kan je het dus extra gemakkelijk voor jezelf maken

dinsdag 15 februari 2005 08:15

Acties:

0 Henk 'm!

Shaidar



Ik gebruik nu nog altijd gewoon een account met administrative rechten ... maar het wordt eens tijd dat ik m'n XP opnieuw installeer. Ik denk dat ik dan van dag 1 met een user account ga werken, en alle installaties als admin of met de 'runas' functie ga gebruiken ...

Ik pen m'n bevindingen hier wel neer!

 iPhone 12 Pro 128GB  MacBook Pro (13-inch, 2020, i7, 16GB, 1TB)

dinsdag 15 februari 2005 10:22

Acties:

0 Henk 'm!

Verwijderd

deze blog heeft ook een hoop zeer goede informatie:
http://weblogs.asp.net/aaron_margosis/

En in Longhorn schijnen er ook veranderingen te komen met betrekking tot het runnen als non admin:
http://www.microsoft.com/...ws/articles/lpuseacc.mspx

maandag 21 februari 2005 17:18

Acties:

0 Henk 'm!

AlterEgo

Heeft iemand een idee of (en zo ja hoe

) je F-prot kan gebruiken (en laten updaten) als normale user? Installeren gaat prima.
Een uur prutsen met filemon en regmon en google heeft niets gebracht: ik kan c:\proga~1\FSI en alles wat daaronder ligt niet writeable maken voor de normale user.

[edit]
ik ga proberen om de updater als scheduled task te laten draaien.
[edit 2]
Dat gaat niet werken: de realtime-protector weigert zonder de updater @ startup. Dus je moet altijd een schermpje wegklikken en de protector vervoglens starten -> niet acceptabel.
Met Antivir werkt hetzelfde geintje prima

[ Voor 37% gewijzigd door AlterEgo op 21-02-2005 21:01 ]

dinsdag 22 februari 2005 20:57

Acties:

0 Henk 'm!

Verwijderd

voor degenen die perse als administrator willen blijven werken, kan het aangeraden zijn internettoepassingen met verminderde rechten te laten lopen:
http://msdn.microsoft.com...e/html/secure11152004.asp
http://msdn.microsoft.com...e/html/secure01182005.asp

dinsdag 19 juli 2005 18:02

Acties:

0 Henk 'm!

Motrax

Profileert

Na lange tijd als gewone gebruiker te hebben gewerkt, loop ik toch tegen iets aan:
Als een programma tijdelijk moet draaien onder admin-rechten en dit programma wil iets schrijven in je profiel, wordt dit geschreven naar je adminprofiel. Allemaal leuk en aardig, maar dat moet je normale gebruikersprofiel. Zo kwam ik er recentelijk achter dat op mijn admin-bureaublad de setupbestanden stonden van Firefox 1.0 t/m 1.04. Ook de 'mijn documenten' is een probleem. Om dit allemaal te verplaatsen log ik het liefst in als admin om dit allemaal recht te zetten, maar dit is wat omslachtig.

Heeft iemand hier een oplossing voor of moet dit altijd handmatig worden overzet?

dinsdag 19 juli 2005 18:22

Acties:

0 Henk 'm!

Verwijderd

wat je kan doen is tijdelijk de gewone gebruiker toevoegen aan de admingroep, zo blijft alles netjes binnen je profiel. de blog van margosis (zie link wat hoger) geeft enkele handige tips als je dit vaker wil doen (maar uit het hoofd:in de commandprompt:net localgroup /add administrators "gebruiker" en zijn /delete equivalent uiteraard om de rechten daarna te ontnemen)

dinsdag 19 juli 2005 19:16

Acties:

0 Henk 'm!

TromboneFreakus

Ergo

Motrax schreef op dinsdag 19 juli 2005 @ 18:02:
Heeft iemand hier een oplossing voor of moet dit altijd handmatig worden overzet?

Ik voer installaties eigenlijk altijd uit via 'uitvoeren als...' en start een geinstalleerd programma daarna een keer, zodat ik zeker weet dat alle waardes in bijv. hkey_local_machine geschreven kunnen worden. Daarna direct afsluiten, geen enkele wizard die gebruikersinstellingen wil maken volgen en daarna alsnog het programma starten (dat is dan dus in je eigen gebruiker). Gaat allemaal prima.

Mijn documenten heb ik voor iedere user op een aparte partitie staan, dat is veel makkelijker mocht je Windows moeten herinstalleren.

dinsdag 19 juli 2005 21:41

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Motrax schreef op dinsdag 19 juli 2005 @ 18:02:
Ook de 'mijn documenten' is een probleem. Om dit allemaal te verplaatsen log ik het liefst in als admin om dit allemaal recht te zetten, maar dit is wat omslachtig.

De 'Mijn Documenten' zou je kunnen verplaatsen (via een Policy), maar ik kan me eigenijk niet voorstellen dat applicaties naar je my documents schrijven als ze ook nog admin rechten nodig hebben

dinsdag 19 juli 2005 23:02

Acties:

0 Henk 'm!

Motrax

Profileert

elevator schreef op dinsdag 19 juli 2005 @ 21:41:
[...]

De 'Mijn Documenten' zou je kunnen verplaatsen (via een Policy), maar ik kan me eigenijk niet voorstellen dat applicaties naar je my documents schrijven als ze ook nog admin rechten nodig hebben

Nee, nee, dat is het niet

. Programma's worden tijdelijk met run as geïnstalleerd. Hierbij wordt bijvoorbeeld een map aangemaakt in de "Mijn documenten" van de admin-account of iets in de "Documents and settings". Maar dat moet niet, ik draaide tijdelijk 'run-as' en wil dat het gehele programma ook bij een normale gebruiker te gebruiken is. Hiervoor moet ik handmatig vanuit het adminprofiel de geïnstalleerde bestanden kopiëren naar mijn normale profiel. Is het zo wel te volgen

De tip van _heretic_ is nog het handigst. Dat lost namelijk ook andere problemen op waar ik tegen aanliep. Als normale gebruiker mag ik namelijk bepaalde energiebeheer instellingen niet wijzigen. Met 'run-as' lukt dit wel, maar heb ik de instellingen gewijzigd voor de adminaccount en niet voor mijn normale gebruiker

'run-as' geeft je niet alleen de rechten van een admin, maar laat programma's e.d. dergelijke draaien onder je adminaccount, dus lokale instellingen ook...

[ Voor 27% gewijzigd door Motrax op 19-07-2005 23:05 ]

dinsdag 19 juli 2005 23:25

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

http://blogs.msdn.com/aar...ve/2005/02/09/370263.aspx behandelt je specifieke probleem wat betreft power-savings settings

Daarnaast lijkt mij deze optie: http://runasadmin.sourceforge.net/ een erg interessante maar ik heb er zelf nog niet mee kunnen spelen

Verder weet ik wel wat je bedoelt, maar doel ik meer op het punt dat als programmas daadwerkelijk user based settings aanmaken o.a. in de MyDocs folder dat ik eigenlijk van die programma's ook verwacht dat ze dat gewoon her-doen op het moment dat ze detecteren dat die directory niet meer bestaat

[ Voor 36% gewijzigd door elevator op 19-07-2005 23:26 ]

woensdag 20 juli 2005 10:17

Acties:

0 Henk 'm!

Jake

Op de befaamde weblog staat natuurlijk heel veel, maar:

Makemeadmin (opent aparte dosprompt, waarnaar je het te runnen bestand kunt slepen, of gewoon inkloppen): http://blogs.msdn.com/aar...ve/2004/07/24/193721.aspx

In combinatie met:

Privbar (geeft met een kleurtje aan of je explorer als User of Admin runt): http://blogs.msdn.com/aar...ve/2004/07/24/195350.aspx

is toch wel het handigst.

Als je (veel) 'makemeadmin' gebruikt, dan is het handig als (zeg maar gerust: noodzakelijk dat) je ook dit doet:

3. Objects created while running with elevated privilege

Normally, when a user creates a securable object, such as a file, folder, or registry key, that user becomes the “owner” of the object and by default is granted Full Control over it. Prior to Windows XP, if the user was a member of the Administrators group, that group, rather than the user, would get ownership and full control. The user still had ownership and control over the object by being a member of Administrators. But if you created objects while a member of Administrators and then were removed from the group, your subsequent use of those objects could be limited or completely denied. Windows XP introduced a configurable option whether ownership and control of an object created by an administrator would be granted to the specific user or to the Administrators group. The default on XP is to grant this to the object creator; the default on Windows Server 2003 is to grant it to the Administrators group.

I’m not on the Windows team and was not party to the thinking that went into exposing this option and establishing its defaults. My guess is that it was that on the server, all admins are equal. If I’m an admin on a server and I create an object and am later reassigned or leave the company, any other admin should be able to access and manage the objects I created without any trouble. A workstation, however, is more likely to be a single-user device. Objects I create on my computer, such as documents, should remain under my control even if I change myself from a Computer Administrator to a Limited User (to use XP Home Edition’s terminology). I think this makes a lot of sense.

However, MakeMeAdmin changes things. If I use MakeMeAdmin to install programs, my normal account will be granted ownership and full control over the installation folder, the program executable files, and any registry keys the installation program creates. Those access rights will remain even when I am no longer running with administrator privileges. That’s not what I want at all. I want to be able to run the app, create and modify my own data files, but not to retain full control over the program files after I have installed it. For this reason, I changed the “default owner” setting on my computer to “Administrators group”.

To view or change this setting, open “Local Security Policy” in Administrative Tools, or run secpol.msc. You need to be an admin to use this tool. In the left pane, browse to Security Settings \ Local Policies \ Security Options. The policy name is “System objects: Default owner for objects created by members of the Administrators group”. The allowable settings are “Administrators group” or “Object creator”.

Als je dat niet doet dan worden de systeembestanden namelijk door je limited user gemaakt (die is dan owner), zodat die ze ook kan wijzigen en deleten. Iets wat je niet wilt!

vrijdag 29 juli 2005 21:12

Acties:

0 Henk 'm!

hneel

denkt er het zijne van

Sinds vanmiddagg heb ik op mn werk-pc alleen nog maar user-rechten ipv admin rechten. Resultaat: vrijwel niets werkt meer.

Het grootste probleem lijkt er in te zitten dat een user geen schrijf-rechten heeft (behalve in "My Documents'). En aangezien zowat elke applicatie die ik gebruik wel ergens settings of tijdelijke files in zijn eigen install-dirtecory bewaart, geven die allemaal problemen. Sommigen starten niet eens op, en met anderen kan je nog wel werken, maar niks saven of geen enkele optie veranderen.

Ik heb nu vakantie, maar als dat voorbij is moet er echt iets aan veranderen. Ik ben software+hardware ontwikkelaar, en dat gaat blijkbaar niet samen met werken als 'user'.

zaterdag 30 juli 2005 00:43

Acties:

0 Henk 'm!

Verwijderd

hneel schreef op vrijdag 29 juli 2005 @ 21:12:
Sinds vanmiddagg heb ik op mn werk-pc alleen nog maar user-rechten ipv admin rechten. Resultaat: vrijwel niets werkt meer.

dat zou inderdaad problematisch kunnen zijn. sommige programma's dienen geïnstalleerd te worden met de nodige voorbereiding om als niet-admin te draaien, vaak is er een keuze om alleen voor de huidige gebruiker of voor alle gebruikers te installeren. wanneer dan oorspronkelijk enkel voor admin is geïnstalleerd, en daarna de nodige rechten ontnomen worden, kan het foutlopen.

Het grootste probleem lijkt er in te zitten dat een user geen schrijf-rechten heeft (behalve in "My Documents'). En aangezien zowat elke applicatie die ik gebruik wel ergens settings of tijdelijke files in zijn eigen install-dirtecory bewaart, geven die allemaal problemen. Sommigen starten niet eens op, en met anderen kan je nog wel werken, maar niks saven of geen enkele optie veranderen.

zie m'n commentaar boven. wanneer het programma instellingen bewaart in z'n installatiemap, kunnen er eenvoudig schrijfrechten tot deze map toegekend worden.

Ik heb nu vakantie, maar als dat voorbij is moet er echt iets aan veranderen. Ik ben software+hardware ontwikkelaar, en dat gaat blijkbaar niet samen met werken als 'user'.

dat zou toch niet zo'n probleem mogen vormen. ontwikkeltools zoals visual studio, vs .NET, eclipse, dreamweaver (PHP ontwikkeling) draaien allemaal prima onder beperkte gebruiker. over de hardwarekant van ontwikkeling kan ik minder meepraten.

[ Voor 6% gewijzigd door Verwijderd op 30-07-2005 00:46 ]

woensdag 3 augustus 2005 11:39

Acties:

0 Henk 'm!

Tomsworld

officieel ele fan :*

Wij zijn hier nu ook mee bezig, tot nu toe heb ik al veel gehad aan deze tips en zijn een hoop problemen van de baan, explorer onder andere user kan.

Maar nu moeten er meerdere drives op een server gemapped worden onder verschillende users en dat wil niet.

t: \\server\share1 als user
u: \\server\share2 als admin

C:\temp>net use u: \\server\share2 /user:DOMEIN\Admin
System error 1219 has occurred.

Multiple connections to a server or shared resource by the same user, using more
than one user name, are not allowed. Disconnect all previous connections to the
server or shared resource and try again..

"De kans dat een snee brood op een nieuw tapijt valt met de beboterde zijde onderaan, is recht evenredig met de prijs van het tapijt"

woensdag 3 augustus 2005 11:49

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Als je op IP connect kan je er om heen werken

maandag 15 augustus 2005 14:55

Acties:

0 Henk 'm!

Tomsworld

officieel ele fan :*

Ik start nu explorer onder meerdere processen, zo kan je eentje starten als admin zijnde.

Daarin werkt de autorefresh niet als je een bestand ergens paste moet je manueel refreshen, is er een setting waar ik over zie die dat wel weer aanzet, zoals bij de normale explorers.

"De kans dat een snee brood op een nieuw tapijt valt met de beboterde zijde onderaan, is recht evenredig met de prijs van het tapijt"

maandag 15 augustus 2005 15:14

Acties:

0 Henk 'm!

Gerco

Professional Newbie

Ik heb een vraagje over OpenOffice 1.1.4, maar eigenlijk gaat het om alle programmas die file extentions registreren. Ik installeer OOo voor alle users met "setup -alluser" en dat werkt prima. Het probleem wat ik nu heb is dat alleen bij de admin user de .doc, .xls etc extensies geregged zijn voor OOo en voor geen enkele andere user.

Is er een manier om die instellingen makkelijk te kopieren naar de rest van de users of moet ik gewoon zelf een registry export van HKEY_CLASSES_ROOT doen en importeren in de andere users?

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

maandag 15 augustus 2005 15:22

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Je HKEY_CLASSES_ROOT is globaal, als daar de extenties in geregistreerd zijn (en leesbaar zijn voor de users) dan zou het moeten werken.

Je hebt een "override" in HKEY_CURRENT_USER\Software\Classes - als OOo zich daarin registreerd zou je die inderdaad wel moeten exporteren

maandag 15 augustus 2005 16:40

Acties:

0 Henk 'm!

Gerco

Professional Newbie

Blijkbaar gebruikt OOo dan die "override" aangezien het alleen werkt voor de user die het installed heeft en niet voor de rest. Vreemd, want de -alluser switch heeft als omschrijving "Use HKEY_LOCAL_MACHINE instead of HKEY_CURRENT_USER", blijkbaar is dat niet helemaal netjes doorgevoerd

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!