Ich arbeite erst seit einige Tagen intensiv mit Vista und langsam frage ich mich, ob es noch einen Superadministrator gibt. Als lokaler Admin darf ich ja fast gar nichts... ich möchte gerne iexplorer.exe löschen und einem Systemordner spezielle Zugriffsbereichtigungen geben, aber er sagt dann "Zugriff verweigert". Wenn nicht der Admin die Rechte hat, wer dann?

hast du auch gelesen warum der zugriff verweigert wurde? :rolleyes:

1. ich würde es lassen integrale systembestandteile zu löschen
2. der admin hat nur das recht sich alle rechte zu verschaffen ;)

Ich weiß schon was ich tue ;) Windows kontrolliert nicht mich, sondern ich Windows ;) Also, wie bekomme ich alle Rechte?

das könnte dir helfen
http://wiki.winboard.org/index.php/Vista_Benutzerkontensteuerung_(UAC)_für_Admin_ausschalten

oder generell UAC abschalten

Es liegt nicht am Recht, sondern daher das die File verwendet wird bzw von internen Prozessen/Diensten genutzt wird. Das solltest du von Vista eigentlich wissen.

Also, wie bekomme ich alle Rechte?Gar nicht. Das widerspricht dem Design des Betriebssystems.

Wenn du eine Systemdatei löschen willst, musst du dir als Administrator die Rechte für die Datei entsprechend anpassen.

Ich darf mir nichtmal "Vollzugriff" auf die Datei geben. Der Hintergrund ist, dass der User den IE nicht nutzen darf. Ich könnte es auch über GPOs machen, aber das Problem ist etwas komplizierter. Von daher würde ich es gerne auf BS-Ebene lösen. Bei XP habe ich sowas schon erfolgreich gemacht.

dann tust du dir leichter mit der Vista-N Version.
Den Ie kannst du nicht so ohne weiteres komplett aussperren weil extrem tief integriert und verwendet.

Ich darf mir nichtmal "Vollzugriff" auf die Datei geben.Also ich habe es gerade hier auf einem Testrechner mit frisch installiertem Vista ausprobiert. Ich kann den Administratoren problemlos Vollzugriff geben, allerdings nur, wenn die Benutzerkontensteuerung deaktiviert ist.

Hmmmmm ich kenne mich zu wenig mit Vista aus. Habe aber den Zugriff auf den IE nun anders gelöst: Verwaltung / lokale Sicherheitsrichtlinien / Softwarebeschränkungen. Diese Funktion kannte ich auch noch nicht, funktioniert super...

Das andere konkrete Problem ist, dass der VPN-Zugang Adminrechte haben will, weil er Schreibrechte auf den Windows-Order möchte. Daher wollte ich dem User Schreibrechte auf einzelne spezielle Ordner geben, damit er keine kompletten Adminrechte braucht. Aber genau hier weigert sich Vista.

Du musst Besitzer einer Datei sein, damit du alle Rechte erteilen kannst.
Und von Systemdateien ist man Standardmäßig aus gutem Grund kein Besitzer. Wenn du Besitzer bist, solltest du die Rechte ändern können.

Mit UAC hat das nichts am Hut.

@ Starter: Aus dem Grund nutze ich kein Windows mehr

Den Ie kannst du nicht so ohne weiteres komplett aussperren weil extrem tief integriert und verwendet.
Mit nLite und vLite sollte es gehen

Warum es nicht wie iexplorer.exe oder so löschen oder vom user ändern kann kann ich nur eins sagen - TPM - TrustedInstaller

TrustedInstaller hat höhere Rechte.

Warum es nicht wie iexplorer.exe oder so löschen oder vom user ändern kann kann ich nur eins sagen - TPM - TrustedInstaller

TrustedInstaller hat höhere Rechte.
Die Aussage ist Quatsch. Wie ich schon sagte, kann man diesem die Rechte entziehen, wenn man Besitzer der Dateien wird.

Dennoch wäre es dann keine gute Idee, den Internet Explorer komplett zu löschen. Der war schon immer so tief in Windows reingebaut, das andere Programme dann spinnen können.

@ Starter: Aus dem Grund nutze ich kein Windows mehr.

Dann raus aus dem Windows-Board. Was machst Du hier, wenn Du eh kein Windows nutzt? Ich gehe auch nicht in ein Linux-Sub-Forum und sage, dass ich Linux aus Grund XY eh nicht benutze.


Mit nLite und vLite sollte es gehen

Es geht nicht darum, den IE zu löschen, sondern darum, ihn für bestimmte Benutzer(-gruppen) zu sperren. Erst lesen, dann plärren.

Sorry für's Offtopic, aber das ging mir gerade tierisch gegen den Strich. :ubash3:

Das andere konkrete Problem ist, dass der VPN-Zugang Adminrechte haben will, weil er Schreibrechte auf den Windows-Order möchte. Daher wollte ich dem User Schreibrechte auf einzelne spezielle Ordner geben, damit er keine kompletten Adminrechte braucht. Aber genau hier weigert sich Vista.
Welcher 'VPN-Zugang' benötigt Admin-Rechte. Der Vista-Client benötigt keine.

Welcher 'VPN-Zugang' benötigt Admin-Rechte. Der Vista-Client benötigt keine.

openvpn beispielsweise

Ich weiß schon was ich tue ;) Windows kontrolliert nicht mich, sondern ich Windows ;) Also, wie bekomme ich alle Rechte?

So siehts aus ;)

Erst einmal, das klassische Mißverständnis ausräumen:
Der Admin ist NICHT dazu da, um alles zu können! Seine Aufgabe ist es, Rechte zu administrieren.

Dass die laxe Rollenverteilung in der Windows Welt dazu führt, dass der Admin meistens auch gleich sein Recht dazu mißbraucht, um sich selbst alle Rechte zu geben, ist eigentlich eine konzeptionelle Lücke.

Aber richtig unter Vista ist: selbst ein Admin hat keine vollen Admin Rechte. Auch er muss in bestimmten Situationen erst Administratorrechte anfordern - so gesehen gibt es tatsächlich eine "Super-Moderator" Rolle.

Zweitens: der Admin hat nicht für alles volle Rechte. Für verschiedene systemkritische Aufgaben oder Teile des Dateisystems ist er standardmäßig nicht mit Vollzugriffen ausgestattet. Er kann sich diese Rechte zwar selbst verschaffen, aber eben mit etwas Mühe.

Drittens: Es gibt bestimmte System Dienste, die zusätzlich einen Daumen auf die Sicherheit des Betriebssystems selbst haben - wie eben SYSTEM, oder Trusted Installer. Die geben sie selbst an einen Admin nur ungern her

Viertens: es gibt Grenzen im Betriebssystem, die kein Admin überwinden kann. Wie z.B. die Isolierung der einzelnen Sitzungen gegeneinander. Ein Admin kann sich selbst nicht einfach in die SYSTEM Rolle setzen.

Wieso denken eigentlich alle, dass das "Administrator" nichts können sollte und dürfte?
Ich habe echt keinen Plan aus welchem kranken Hirn dies entsprungen ist und sich nun in der Welt festsetzt.

Das "Administrator" sollte/müsste das equivalent vom "root" User auf einem *nix System sein, ansonsten ist das OS nur für Kinderkram und nicht für professionelle Arbeiten geeignet.

Leider hat MS nun den Benutzern nicht beigebracht dass sie halt nicht mehr als "Administrator" arbeiten sollen, sondern einfach dem "Administrator" alle Rechte weggenommen.

Leider hat MS nun den Benutzern nicht beigebracht dass sie halt nicht mehr als "Administrator" arbeiten sollen, sondern einfach dem "Administrator" alle Rechte weggenommen.

was für einen single-user der wesentlich einfachere weg ist.

Leider hat MS nun den Benutzern nicht beigebracht dass sie halt nicht mehr als "Administrator" arbeiten sollen, sondern einfach dem "Administrator" alle Rechte weggenommen.
das stimmt nicht

der built in admin ist weiterhin das equivalent zu dem unixpendant root...der built in admin wird auch von uac nicht eingeschränkt....

was für einen single-user der wesentlich einfachere weg ist.
das erklär mir bitte....

Das Konzept, dass der Admin in irgendeiner Form eingeschränkt wird, ist falsch. Und das wird er, indem Rechte von vornherein nicht gesetzt sind. Ich bin mir nicht sicher, ob das in Linux so überhaupt möglich wäre. Microsoft verfolgt einen Konsens, den keiner wollte.

Das Konzept, dass der Admin in irgendeiner Form eingeschränkt wird, ist falsch. Und das wird er, indem Rechte von vornherein nicht gesetzt sind. Ich bin mir nicht sicher, ob das in Linux so überhaupt möglich wäre. Microsoft verfolgt einen Konsens, den keiner wollte.
Blödsinn. Dieses Rechtekonzept stammt ja gerade eben ursprünglich aus der Unix Welt. In Multi-User Umgebungen ist es völlig selbstverständlich, dass es irgendwo eine Rolle gibt die für nichts anderes da ist als andere Rollen zu definieren.
Den Konsens den Microsoft gerade verfolgt, war mindestens zehn Jahre überfällig.

In kenne nur BSD und Linux, bin aber noch nie an Grenzen mit sudo gestoßen, daher hätte ich deine Aussage gern näher erläutert. Ich sehe keinen Zusammenhang mit der Unixwelt. Dort kann man als root alles machen.

Microsoft geht nur den Weg des geringsten Widerstands und stopft die schreienden Mäuler, die Microsofts allzugängliches Standardsystem und deren offensichtliche Schwächen kritisiert haben.

In kenne nur BSD und Linux, bin aber noch nie an Grenzen mit sudo gestoßen, daher hätte ich deine Aussage gern näher erläutert. Ich sehe keinen Zusammenhang mit der Unixwelt. Dort kann man als root alles machen.
ich glaube du verwechselst generell ein bisschen die mitglieder der administratorengruppe (welche z.B. durch uac eingeschränkt wird) und den built in administrator (equivalent zu root)

es stimmt zwar das der administrator (built in) nicht alle privilegien/rechte hat (was meines wissens aber auch bei nutzung von selinux so ist), da der admin aber eben rollen, privilegien und rechte nach belieben setzen kann, kann er faktisch alles machen....das ist aber bereits seit den nt anfangszeiten so und absolut nichts neues

Microsoft verfolgt einen Konsens, den keiner wollte.würde ich so definitiv nicht unterschreiben...

Ich kann die Begriffe nicht einordnen, die Du aufgezählt hast. Was ist der Unterschied zwischen 'Administrator (built-in)' und einem beliebigen Benutzer der Administratorengruppe unter Berücksichtigung der NTFS Rechte ohne UAC?

Mit UAC ist ein User der zur Gruppe der Administratoren gehört automatisch nur mit Benutzerrechten ausgestattet. Erst durch den UAC popup steigt er auf.

In der Sticky Übersicht wärst du auch auf folgendes gestossen:
Wissenswertes zu Vistas Benutzerkontensteuerung UAC (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=390042)

Was das UAC macht, weiß ich selbst. Es geht um den Administrator ohne UAC (oder mit bestätigter UAC Aufforderung). Dieser hat per NTFS keine Rechte auf verschiedene Dateien. Das ist nur in Vista so. Eine höhere Instanz gibt es nicht. Der Administrator muss sich diese Rechte erstmal selbst erteilen.

Was das UAC macht, weiß ich selbst. Es geht um den Administrator ohne UAC. Dieser hat per NTFS keine Rechte auf verschiedene Dateien. Das ist nur in Vista so.

Stichwort ist Trusted Installer, der mit Vista eingeführt wurde. Google sollte dir dazu einiges sagen können. Ist sozusagen nur ein weiterer Schutz von Systemdateien an denen man normalerweise nichts ändern sollte. Du kannst aber indem du den Besitz der Dateien übernimmt, dir die nötigen Rechte selbst geben.



Wie kann man das UAC konfigurieren? Sagen wir ich möchte eine Textdatei schreibschützen und nur mit UAC Zustimmung Schreibzugriff erlauben? Geht das und unter welchem Security Token läuft das?

? Einfach rechte entziehen und danach den Besitz abgeben.

Richtig, u.a. durch den TrustedInstaller ist der Administrator nicht mehr König und unterscheidet sich vom root, bzw. driftet vom Unixrechtesystem ab. Das wäre aber nicht nötig, wenn man gar nicht erst Administrator (in welcher Form auch immer) wäre und diesen als Superuser mit allen Rechten in Reserve (auf Abruf) hätte, damit man bei Bedarf vollen Zugriff hat.

Die Leute, die mit Unix arbeiten, kennen sich in der Regel mit Rechten und deren Folgen aus. Von den Windowsnutzern ist das nur ein verschwindend geringer Teil der Anwender. Jahrelang hat die Windowswelt nach einem sichereren Betriebssystem gerufen. Da blieb Microsoft gar nichts anderes übrig, als den User zu entmündigen. Gäbe es einen Superuser, dann wäre das sofort unter Tipps & Tricks auf allen Windows-"Experten" Seiten zu lesen gewesen. Das hätte aber das Konzept der Benutzerkontensteuerung oder des Trusted Installers ad absurdum geführt.

man kann sich so die Rechte für alle Systemdateien geben:
http://www.wintotal.de/Tipps/index.php?id=1325

aber wie gesagt, nicht empfohlen


Als Admin hat man also durchaus die Möglichkeit die Systemdateien zu verändern. Aber da viele User aus Gewohnheit als Admin surfen, finde ich es schon gut dass man nicht "einfach so" die Systemdateien löschen kann

Was das UAC macht, weiß ich selbst. Es geht um den Administrator ohne UAC (oder mit bestätigter UAC Aufforderung). Dieser hat per NTFS keine Rechte auf verschiedene Dateien. Das ist nur in Vista so. Eine höhere Instanz gibt es nicht. Der Administrator muss sich diese Rechte erstmal selbst erteilen.
seit der nt anfangszeit hatten mitglieder der administratorengruppe und der administrator noch nie uneingeschränkten zugriff alles (das ältereste und bekannteste privileg diesbezüglich ist wohl das debugging), desweiteren gab es bei moderneren NT versionen (2000 aufwärts) auch im dateisystem diverse einschränkungen und ist absolut nichts neues (abgesehen von der ausprägung)

nichtsdestotrotz hat jeder der gruppe administratoren die MÖGLICHKEIT sich selbst gewünschte oder benötigte rechte zu verschaffen

das erklär mir bitte....


es geht wesentlich schneller und simpler und einfacher wenn man als einziger user auf einem system arbeitet, wenn man höhere rechte braucht einen UAC-dialog zu bestätigen als sich andauernd mit sudo und root-passwort herumschlagen zu müssen.

bei MS ist es auch deutlich einfacher gelöst, wenn man als von UAC eingeschränkter admin etwas machen will, wofür man höhere rechte braucht kommt einfach der UAC-dialog.

unter linux sagt er mir lediglich, dass ich nicht ausreichende rechte habe, dann muss ich den ganzen befehl mit einem sudo davor neu eingeben und um an höhere rechte zu gelangen erstmal das rootpasswort eingeben.