Windows-Installation zum Arbeiten ohne Administrator-Rechte
Stand: 15.5.2006 (noch stark im Aufbau!)
Dieser Text soll helfen, einen Windows-PC so einzurichten, daß man anschließend ohne Administrator-Rechte trotzdem komfortabel die normalen Aufgaben erledigen kann, und sich die Administrator-Rechte nur für die Situationen gezielt selbst erteilt, in denen dies notwendig ist.
Das Konzept hält sich dabei sehr stark an das in der Computerzeitschrift "c´t" vorgestellte. Die Artikelserie beginnt hier, ist aber nicht komplett online zu erreichen.
Übersicht:
- 1. Einleitung
- 2. Konzept
- 3. Voraussetzungen
- 4. Installationsanleitung
- 10.
1. Einleitung
Seit Windows-NT (2000, XP) kennt Windows ein Rechte-Management, in welchem man unterschiedlichen Nutzern unterschiedliche Rechte im Umgang mit dem Betriebssystem einräumen kann. Grob gesagt kann man zwischen Administrator- und Benutzerrechten unterscheiden. Mit Benutzerrechten sollte man normal am Rechner arbeiten können, jedoch keine Veränderungen am Betriebssystem vornehmen können. Die ist der ideale Modus, um sicher im Netzwerk arbeiten zu können. Administratorrechte gibt man sich nur, um neue Software zu installieren, oder Veränderungen an den Systemeinstellungen vorzunehmen.
Leider haben viele Programmierer von Anwendungsprogrammen 10 Jahre nach Einführung von Windows-95 immer noch nicht verstanden, ihre Programme an die Gegebenheiten mehrerer Benutzer (Multuiser) sowie an die eventuell eingeschränkten Rechte anzupassen, so daß einige (wenige) Programme in diesem Modus nicht auf Anhieb laufen.
Man kann dieses Ziel sicher auf verschiedenen Wegen erreichen, ich jedoch bevorzuge den Weg den die Computerzeitschrift c´t vorgestellt hat. Dieses Konzept führt zu den wenigsten Problemen, bei gleichzeitig maximalem Komfort.
Desweiteren zielt dieses Konzept auch auf ein später noch aufzusetzendes Backup-Konzept hin bzw. legt dessen Grundlagen.
2. Konzept, Begründung dieser Variante
- Man könnte einfach mit 2 Usern arbeiten, einem User mit Benutzerrechten und einem Admin mit Administratorrechten. Dann muß man sich nur unter dem jeweils nötigen Account am System anmelden. Dieses Verfahren hat jedoch den Nachteil, daß manche (wenige) Programme nur unter dem User laufen, unter dem sie installiert wurden. Hier also nur unter Admin, nicht unter User. Dies liegt einzig an der Unfähigkeit der jeweiligen Programmierer und deren Setups, nicht am Windows. Hintergrund ist die Anlage von Registry-Keys im Zweig HKCU durch das Setup-Programm.
- Aus dem selben Grund scheidet auch der eingebaute User Administrator aus. Diesen administrativen Account sollte man sich als Backup-Zugang zum System offenhalten, und ihn nicht zum Arbeiten benutzen.
Sie sicherste Methode ist es deshalb, mit dem Arbeitsaccount User zum Erledigen von administrativen Aufgaben in die Gruppe der Administratoren umzuziehen, und danach wieder zurück zu Benutzerrechten.
Mit Windows-Bordmitteln ist dies recht umstädlich. Sie müssten sich am System abmelden und als Admin wieder anmelden. Dann den User User in die Gruppe der Administratoren aufnehmen. Dies kann er ohne Adminrechte ja nicht selbst tun. Dann wieder als User anmelden, die administrativen Dinge erledigen (z.B Installieren von Software), und die Adminrechte wieder entziehen. Dies geht diesmal auch als User.
Nach dem c´t-Konzept funktioniert dies auch genau so. Im Grunde genommen nehmen nur zwei Skripte diese umständliche Arbeit ab:
- Das Skript Gruppenwechsel erledigt obigen Wechsel des eigenen Accounts in die Gruppe der Administratoren automatisch im Hintergrund, einfach durch Doppelklick eines Icon auf dem Desktop. Leider ist dies mit dem Abmelden vom Windows verbunden, was das Script aber bereits selbst erledigt. Nur neu Anmelden müssen Sie sich wieder.
Ein weiterer Doppelklick macht alles wieder rückgängig. Auch hierbei ist wieder ein Neuanmelden nötig.
- Das zweite und intelligentere Skript dagegen ist MachMichAdmin. Dies startet ein einzelnes Programm (z.B. Setup.exe) unter dem Account User, jedoch mit Administratorrechten. Und dies ohne Ab- und Neuanmeldung. Das "restliche" Windows arbeitet weiterhin mit Benutzerrechten, nur das per MachMichAdmin gestartete Programm (und alle weiteren von diesem Programm aus gestarteten Programme) haben Adminrechte.
Man zieht am einfachsten das zu startende Programm (z.B. Setup.exe) aus dem Explorer per Drag&Drop auf das Skript-Icon. Fertig!
Ein direkter Skriptaufruf startet eine Eingabeshell (Cmd.exe), aus der man dann z.B. die Systemsteuerung (Control.exe) aufrufen kann.
Desweiteren bevorzuge ich die Trennung von (Betriebs-)System und (User-)Daten in zwei getrennten Festplatten-Partitionen. Dabei wird das System noch soweit umgebaut, daß die "administrativen" User Admin und Administrator ihre Profile (wie bei jeder normalen Windows-XP-Installation) in der Systempartition unter "C:\Dokumente und Einstellungen\..." haben, die "echten" Benutzer User etc. dagegen in der Datenpartition. Ich verwende hier einen gleichlautenden Ordner "D:\Dokumente und Einstellungen\...", dieser kann aber auch anders heißen.
Für diese Änderung ist ein Registry-Eingriff per Hand nötig. Mit Windows-Bordmitteln kann man nur den Ordner "Eigene Dateien" verschieben. Dies ist aber inkonsequent, da in den restlichen Ordnern im Profil solche Dinge liegen wie Favoriten, Browsereinstellungen, Email (Outlook(s), Mozilla(s)), Programmeinstellungen. Diese gehören eindeutig zu den Userdaten und nicht zum System, und damit auf die Datenpartition.
Ein später noch aufzusetzendes Backup-Konzept sieht dann Images von der Systempartition vor, von der Datenpartition hingegen ein echtes (Hardlink-)Backup.
...to be continued...
3. Voraussetzungen
Voraussetzung für dieses Konzept ist ein Windows-NT basiertes Betriebssystem, also ein Windows-NT, Windows-2000, Windows-XP oder Server-2003. Ein Windows-XP-Home eignet sich bedingt (weniger Komfort), ein Windows-95, 98 oder Me hingegen wegen der fehlenden Rechteverwaltung gar nicht.
Als Dateisystem ist NTFS von Nöten, das ältere FAT32 macht im Hinblick auf ein sicheres System keinen Sinn.
Eine in zwei (oder mehr) Partitionen unterteilte Festplatte ist hilfreich, vor allem im Hinblick auf ein einfaches Backup-System (C: als System- , D: als Datenpartition).
10.
...to be continued...