[[windows:arbeiten-mit-eingeschränkten-benutzerrechten]]

Arbeiten mit eingeschränkten Benutzerrechten

Um Viren, Trojaner usw. wirksam entgegenzutreten empfielt es sich als eingeschränkter Benutzer zu arbeiten. Dann kann sich (theoretisch) kein Schädling dauerhaft einnisten.

Für Verwaltungsaufgaben

  • Programme installieren
  • in das Windows-Verzeichnis schreiben
  • und auf manche Schlüssel in der Registrierdatenbank zugreifen: HKEY_LOCAL_MACHINE und HKEY_CURRENT_USER des Admins)

braucht man Admin-Rechte. Bei Versionen ab Vista reicht es nicht zur Gruppe der Administratoren zu gehören, das Programm muss sich auch über die Benutzerkontensteuerung (UAC) die erhöhten Rechte anfordern bzw. bei älteren Programme gleich als Administrator (aus dem Kontextmenu) gestartet werden.

Man muss man sich entweder

  1. als Administrator anmelden
  2. ein Programm über „Ausführen als…“ in Kontextmenu (alternativ auf der Eingabeaufforderung ein Programm mit „runas“)ausführen und es dann als Admin laufen lassen
  3. seinen Benutzer temporär als Admin hochstufen und dann wieder beschränken.

Die 1. Möglichkeit ist umständlich, da man erst die Benutzer wechseln bzw. sich ausloggen und als Admin einloggen muss um Aufgaben zu erledigen.

Die 2. Möglichkeit erledigt dies schneller. Man benötigt das Passwort des Benutzer unter dem man das Programm laufen lassen will. Wenn dieser Benutzer kein Passwort gesetzt hat, muss man manuell eine Einstellung in der Registrierdatenbank ändern, da das ausführen mit „runas“ den Wechsel zu einem Benutzer ohne Passwort nicht zulässt. Dazu muss man unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa den Schlüssel „LimitBlankPasswordUse“ auf „0“ (als DWORD-Wert) setzen.

Es kann allerdings auch vorkommen, dass ein Installationsprogramm so schlecht geschrieben ist, dass es die zu installierende Software nur für den aktuellen Benutzer einrichtet, was dann in diesem Fall der Admin ist. Das hat zur Folge, dass eingeschränkte Benutzer das Programm nicht verwenden können, da sie keine ausreichenden Rechte auf Schlüssel der Registrierdatenbank haben, die aber das Programm unter Umständen zum Start benötigt.

In diesem Fall muss man auf die 3. Variante zurückgreifen. Schneller als über Systemsteuerung Benutzer hoch- und wieder herunterzustufen geht es mit dem Skript MachMichAdmin der Zeitschrift c´t. Zusatzprogramme finden sich beim Software-Link zum Artikel. Diesen findet man auch im empfehlenswerten hSonderheft "XP Praxis".