Bei XP konnte man wenn man als Benutzer angemeldet war den Explorer als Administrator starten (http://www.forum-3dcenter.org/vbulletin/showpost.php?p=4708427&postcount=5). Dazu musste man einstellen das die Explorer-Fenster in einem separaten Prozess starten.

Unter Vista scheint das nicht zu funktionieren. Wenn man den Explorer als Admin starten will geschieht gar nichts. Gibt's da irgend eine Lösung dieses Problems? Würde das Umloggen auf Admin noch seltener machen.

Bei XP konnte man wenn man als Benutzer angemeldet war den Explorer als Administrator starten (http://www.forum-3dcenter.org/vbulletin/showpost.php?p=4708427&postcount=5). Dazu musste man einstellen das die Explorer-Fenster in einem separaten Prozess starten.

Unter Vista scheint das nicht zu funktionieren. Wenn man den Explorer als Admin starten will geschieht gar nichts. Gibt's da irgend eine Lösung dieses Problems? Würde das Umloggen auf Admin noch seltener machen.

Die Option "in eigenem Prozess" starten muss aktiv sein, dann kann man einfach rechts auf das Explorer Icon clicken und "Als Administrator starten" wählen.

Die Option "in eigenem Prozess" starten muss aktiv sein
Ja, das ist sie auch sowohl beim Benutzeraccaunt als auch beim Admin.
dann kann man einfach rechts auf das Explorer Icon clicken und "Als Administrator starten" wählen.
Dann muss ich das Admin Passwort eingeben und dann geschieht nichts. Im Task Manager erscheint kurz der Prozess dllhost.exe und verschwindet dann wieder.

Ja, das ist sie auch sowohl beim Benutzeraccaunt als auch beim Admin.

Dann muss ich das Admin Passwort eingeben und dann geschieht nichts. Im Task Manager erscheint kurz der Prozess dllhost.exe und verschwindet dann wieder.

Bei mir gehts. Admin User, UAC ist aktiv.

Als nicht Admin zu arbeiten macht unter Vista bei seinem eigenen Rechner recht wenig Sinn. Gerade dafür gibt's ja UAC.

Als nicht Admin zu arbeiten macht unter Vista bei seinem eigenen Rechner recht wenig Sinn. Gerade dafür gibt's ja UAC.
Ich finde so so ein separater Adminaccount schon praktisch damit man nicht immer bestätigen muss wenn man mal ein bisschen mehr "administrieren" muss.

Was mich auch noch interessieren würde ist ob es (wie bei XP) die run as Funktion noch gibt. Also z.B. wenn ich als Admin angemeldet bin ein einzelnes Programm mit Benutzer-Rechten ausführen. Es gibt ja nur noch Run as administrator.

Ich finde so so ein separater Adminaccount schon praktisch damit man nicht immer bestätigen muss wenn man mal ein bisschen mehr "administrieren" muss.

Ach so, Du hast UAC gar nicht aktiv... Na dann kann ich wenig zu sagen. Verstehen tu ich's aber nicht.

Ist es nicht einfacher, temporär UAC abzuschalten, wenn Du wirklich mal mehr als Admin machen möchtest? Auch wenn ich das nicht ganz nachvollziehen kann: Jedes Tool, das einmal Admin Rechte hat, behält diese auch. Wenn man also nicht immer wieder ständig alles zumacht, halten sich die UAC Nachfragen doch in Grenzen.

Was mich auch noch interessieren würde ist ob es (wie bei XP) die run as Funktion noch gibt. Also z.B. wenn ich als Admin angemeldet bin ein einzelnes Programm mit Benutzer-Rechten ausführen. Es gibt ja nur noch Run as administrator.

Nicht das ich wüsste. Nur runas als Kommando kannst Du zu diesem Zweck nutzen.

Abgesehen davon, dass bei aktiviertem UAC grundsätzlich jedes Programm erst mal mit eingeschränkten Rechten läuft, auch wenn man es als Admin startet.

Ach so, Du hast UAC gar nicht aktiv... Na dann kann ich wenig zu sagen. Verstehen tu ich's aber nicht.
:confused: UAC ist aktiv.
Ist es nicht einfacher, temporär UAC abzuschalten, wenn Du wirklich mal mehr als Admin machen möchtest? Auch wenn ich das nicht ganz nachvollziehen kann: Jedes Tool, das einmal Admin Rechte hat, behält diese auch. Wenn man also nicht immer wieder ständig alles zumacht, halten sich die UAC Nachfragen doch in Grenzen.
Wenn man den Admin passwortgeschützt haben will dann geht das nicht anders als mit getrenntem User/Admin. Da nützt auch UAC deaktivieren nichts weil man dann gar nichts mehr als Admin starten kann (als User). Deshalb währe ein als Admin gestarteter Explorer sehr praktisch.
Nicht das ich wüsste. Nur runas als Kommando kannst Du zu diesem Zweck nutzen.
thx
Abgesehen davon, dass bei aktiviertem UAC grundsätzlich jedes Programm erst mal mit eingeschränkten Rechten läuft, auch wenn man es als Admin startet.
Wenn man als Administrator angemeldet ist nicht oder ist beim Adminaccount UAC im "quiet mode"?

Guten Abend!

Wenn man sich mal im Process Explorer die Tasks ansieht, erkennt man recht schnell, dass man keine elevated Explorer-Sitzung starten kann.
Die einzige Explorer-Instanz wird direkt nach dem Start automatisiert gestartet und die Admin-Gruppe im SecToken auf "deny" gesetzt.
Selbst das "Als Administrator ausführen" ist beim Explorer ein Dummy-Knopf, der nichts bewirkt. Die Sitzung, die erzeugt wird, bleibt nicht privilegiert.

Gruß,
TC

Guten Abend!

Wenn man sich mal im Process Explorer die Tasks ansieht, erkennt man recht schnell, dass man keine elevated Explorer-Sitzung starten kann.
Die einzige Explorer-Instanz wird direkt nach dem Start automatisiert gestartet und die Admin-Gruppe im SecToken auf "deny" gesetzt.
Selbst das "Als Administrator ausführen" ist beim Explorer ein Dummy-Knopf, der nichts bewirkt. Die Sitzung, die erzeugt wird, bleibt nicht privilegiert.

Ich bin nicht zu hause und kann es gerade nicht verifizieren. Aber ich bin mir eigentlich recht sicher, dass mir genau das bereits gelungen ist.

Aber eben nur dann, wenn man die Option, dass jedes Explorer Fenster einen eigenen Prozess startet, aktiviert hat.

:confused: UAC ist aktiv.

Dann verstehe ich Dein Problem nicht so ganz.

Es sei denn, Du hast den Quiet Modus aktiviert. Das ist aber Quatsch, dann kannst Du es auch gleich ganz auslassen.

Wenn man den Admin passwortgeschützt haben will dann geht das nicht anders als mit getrenntem User/Admin. Da nützt auch UAC deaktivieren nichts weil man dann gar nichts mehr als Admin starten kann (als User). Deshalb währe ein als Admin gestarteter Explorer sehr praktisch.

Das mit dem PW-Schutz macht nur dann Sinn, wenn man nicht alleiniger Nutzer des Rechners ist und einen anderen Nutzer nicht die Möglichkeit geben will, Admin-Rechte zu erlangen.

Nochmal: Das normale UAC Prompt ist auf einem geschütztem Desktop, kann also nicht durch Manipulation eines Programms ohne Mitwirkung des Anwenders bestätigt werden. Das ist also mindestens genau so sicher, wie eine Passwortabfrage, so lange sichergestellt ist, dass nur ein berechtigter Anwender vor dem Rechner sitzt.

Wenn man UAC auf quiet stellt, bringt die Funktion freilich gar nichts mehr, denn dann kann jedes Programm unbemerkt Admin-Rechte erlangen (wenn der User selbst in der Admin-Gruppe ist). Das unterscheidet sich dann kaum noch von XP als Admin.

Wenn man als Administrator angemeldet ist nicht oder ist beim Adminaccount UAC im "quiet mode"?

Als Zusammenfassung:

- UAC an, User in der Admin-Gruppe, KEIN Quiet Modus:

Alle Programme laufen zunächst in einem eingeschränkten Userkontext ohne Adminrechte. Programme können selbst Adminrechte "beantragen" oder der User kann Programmen mit "Als Admin starten" Adminrechte geben, beides muss aber immer über die Abfrage im geschützten Desktop bestätigt werden.

- Wie oben, aber im Quiet Modus:

Es gilt prinzipiell das gleiche wie eben gesagt, nur dass Programme ohne Mitwirkung des Anwenders Admin-Rechte erlangen können. Damit ist der Sinn und Zweck von UAC komplett unterlaufen.

- UAC an, User NICHT in der Admin Gruppe:

Wie im ersten Fall, nur dass jetzt, wenn ein Programm Admin-Rechte braucht, Username und Passwort eines berechtigten Users (also einen, der in der Admin Gruppe ist) angefordert wird. Auch dies geschieht über den geschützten Desktop.

- UAC aus:

Wie XP.


Ich hoffe, das stellt die Dinge etwas klarer...

Die Option "in eigenem Prozess" starten muss aktiv sein, dann kann man einfach rechts auf das Explorer Icon clicken und "Als Administrator starten" wählen.

Oha, das Posting habe überlesen. Mea maxima culpa. Das ist die Option, die gesetzt werden muss, damit man einen elevated Explorer bekommt.

Gruß,
TC

Nun auchmal von mir etwas zu UAC in der DEAFULT-Konfiguration:

Du installierst ein Vista, es werden folgende Accounts angelegt, wobei ich den ersten Useraccount Bärbel nenne:

1. Administrator (automatisch und wird direkt deaktiviert)
2. Bärbel (ebenfalls in der Gruppe der Administratoren)

Nun bewirkt UAC mitunter (nicht nur), dass Bärbel, die in der Gruppe der Administratoren ist, sich anmelden, aber erstmal keine administrativen Tätigkeiten (das sind die Dinge, deren Icons unter Vista mit einem Schild versehen sind) ausüben kann. Möchte Bärbel dies, so bekommt diese den sogenannten Elevation prompt, in der sie nochmal abnickt, dass sie für diese Tätigkeit in den Admin Modus wechselt. Das ist der Punkt, der von fast allen an UAC kritisiert wird und nicht wirklich gutes Marketing für UAC ist.
An dieser Stelle ist das Defaultverhalten: Keine Passworteingabe im Secure Desktop nötig. Einfach ein Klick und weiter geht es.

Nun kann in den lokalen Gruppenrichtlinien eingestellt werden, wie UAC dem User entgegentritt:

Einmal kann man erzwingen, dass man keinen Prompt bekommt, resp. dieser automatisiert abgenickt wird, aber UAC trotzdem aktiv ist. Das ist von allen Möglichkeiten, das angebliche Nervpotential von UAC einzuschränken die sinnvollste. Ich sehe es anders als Grestorn, da UAC auch von MS nicht als Admin-Firewall gesehen wird und der elevation prompt keine Sicherheitsgrenzen definiert. Der Mehrwert von UAC liegt in der Verzeichnisvirtualisierung und in dem Integritätslevelkonzept.
Ferner kann man erzwingen, dass kein normaler Benutzer mehr zum Administrator werden kann, der User Bärbel bleibt aber davon unberührt. Zuletzt kann man UAC ganz deaktivieren, was im Hinblick auf den quiet elevation Mode ziemlicher Unsinn wäre, da man ALLE Features von UAC deaktiviert, nicht nur die manche nervende Abnickerei von Admin-Tätigkeiten.

IceLord, was du beschreibst kommt dann, wenn ein 3. User (der erstmal nur in der Gruppe "Benutzer" ist, also keine Adminrechte hat) eine Admintätigkeit ausführen möchte.
Gib mal in der Kommandozeile den Befehl "WHOAMI /ALL /FO LIST" ein und poste die Ausgabe.

Viele Grüße,
TC

Einmal kann man erzwingen, dass man keinen Prompt bekommt, resp. dieser automatisiert abgenickt wird, aber UAC trotzdem aktiv ist. Das ist von allen Möglichkeiten, das angebliche Nervpotential von UAC einzuschränken die sinnvollste. Ich sehe es anders als Grestorn, da UAC auch von MS nicht als Admin-Firewall gesehen wird und der elevation prompt keine Sicherheitsgrenzen definiert. Der Mehrwert von UAC liegt in der Verzeichnisvirtualisierung und in dem Integritätslevelkonzept.

Das sehe ich etwas anders.

Warum schränke ich mich denn ein und arbeite nicht permanent als Admin?

Aus drei Gründen: 1. Um mich selbst vor eigenen Fehlern zu bewahren, 2. um zu verhindern, dass fehlerhafte Programme das System trashen und 3. um Angreifern das Eindringen ins System über fehlerhafte Programme zu erschweren.

Der erste Grund ist zumindest für erfahrene Anwender ziemlich unwichtig und auch durch die Einfachheit, mit dem man Admin-Rechte erlangen kann, recht akademisch.

Der zweite Grund wird tatsächlich auch durch ein "Quiet" UAC noch weitestgehend erfüllt.

Der dritte Grund ist für mich der Hauptgrund, warum es ratsam ist, nicht permanent mit Admin-Rechten zu arbeiten. Und genau dieser Vorteil ist aber Makulatur, wenn UAC im Quiet Modus läuft. Denn der Angreifer hat dann kein Problem ohne Wissen des Users wieder volle Admin-Rechte zu erhalten und damit ins System einzudringen.

Huhu, ich bin auf dem Sprung in ein Meeting, deswegen die Kurzversion.

Der dritte Grund ist für mich der Hauptgrund, warum es ratsam ist, nicht permanent mit Admin-Rechten zu arbeiten. Und genau dieser Vorteil ist aber Makulatur, wenn UAC im Quiet Modus läuft. Denn der Angreifer hat dann kein Problem ohne Wissen des Users wieder volle Admin-Rechte zu erhalten und damit ins System einzudringen.

Das ist vom Ansatz her ein richtiger Gedanke, wären wir bei XP und nicht bei Vista.

Du hast unter Vista Features wie Adress Space Layout Randomization, eine verbesserte Data Execution Prevention und die wichtigesten Neuerungen, die eine komplette Systemverseuchung verhindern (sollen): Mandatory Integrity Controll und Service Hardening.

Selbst wenn man eine Anwendung dazu bringt, Schadsoftware auf den PC zu laden und auszuführen, dann verhindern die beiden letzten Features eine systemweite Ausdehnung des Schadens.

So, muss weg. ;)

Gruß,
TC