PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Vista - Benutzerkontensteuerung etwas entschärfen?


Bandit666
2007-08-27, 10:00:47
Hi!

Weiss jemand wie ma die Benutzerkontensteuerung etwas entschärfen kann?
Ich meine, ist ja alles schön und gut...aber das ich erst drei Sicherheitsabfragen habe wenn ich einen 0815-Ordner auf der Ablage-HDD löschen will, ist langsam nervend.

Wenigstens diese Abfagen beim löschen von unwichtigen Dateien und Ordner würde ich mir "wegwünschen"! Geht da was?


mfg

Gast
2007-08-27, 10:55:24
Wenigstens diese Abfagen beim löschen von unwichtigen Dateien und Ordner würde ich mir "wegwünschen"! Geht da was?
wie unterscheiden sich denn die unwichtigen dateien von den wichtigen?

Monger
2007-08-27, 11:03:22
Im Gegensatz zu XP sind unter Vista die Festplatten nicht standardmäßig für jeden mit vollen Rechten freigegeben. Schau dir mal die NTFS Rechte von einem beliebigen Ordner genau an: dein Benutzer bzw. die User Gruppe ist dort gar nicht eingetragen - es sei denn, es ist einer der reservierten Ordner von "Eigene Dateien".


UAC fragt nur deshalb nach, weil eben dein aktueller Benutzer nicht ausreichend Rechte dafür hat. Das merkst du auch daran, dass du unter "Dokumente" o.ä. beliebig Dateien und Ordner erzeugen und löschen kannst, ohne das nachgefragt wird. Wenn du dir für bestimmte Ordner aber explizit Rechte gibst, verschwindet auch diese Abfrage.

Oder du gewöhnst dir an, deine persönlichen Dokumente konsequent nur unter deinen eigenen Dateien abzulegen.

The Cell
2007-08-27, 12:06:48
So, mal der kurze Rundumschlag zu UAC.

Der erste User, den du bei Vista anlegst, ich gehe einfach mal davon aus, mit diesem arbeitest du gerade, ist in der Benutzergruppe "Administratoren", sollte also erstmal alles dürfen...gäbe es da nicht eine schöne Neuerung.

Selbst als Administrator, hast du nach einem Logon auf deinem System erstmal ein sogenanntes gefiltertes Admin-Token generiert bekommen, es soll heißen, dass alle Dinge, welche die Berechtigungen eines Admins voraussetzen, erstmal auf "deny" sind.

Hier ein Beispiel:

---------------
C:\Users\bla>whoami /ALL /FO List

BENUTZERINFORMATIONEN
---------------------

Benutzername: bla
SID: S-1-5-21-4126034685-911820301-2917642017-1000 <= Admin Konto, da SID auf 1000 endet.


GRUPPENINFORMATIONEN
--------------------

Gruppenname: Jeder
Typ: Bekannte Gruppe
SID: S-1-1-0
Attribute: Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

Gruppenname: Debuggerbenutzer
Typ: Alias
SID: S-1-5-21-4126034685-911820301-2917642017-1001
Attribute: Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe

Gruppenname: Vordefiniert\Administratoren
Typ: Alias
SID: S-1-5-32-544
Attribute: Gruppen, die nur zum Ablehnen verwendet wird <= Deny only!

Gruppenname: VORDEFINIERT\Benutzer
Typ: Alias
SID: S-1-5-32-545
Attribute: Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe <= Unter dieser Gruppe arbeitest du aktuell

etc.
----------------------

Möchtest du weniger UAC elevation Prompts haben, dann hast du folgende Möglichkeit:

-Silent Elevation (Einstellen per Group Policy)

Immer dann, wenn ein Prompt kommt, wird automatisch angenommen, dass die Aktion in Ordnung geht. Das hat den Vorteil, dass UAC noch läuft, du von den Vorteilen wie Integritätsleveln etc. profitierst, aber keinen Prompt mehr siehst.

-Ordner mit den geeigneten Rechten versehene, sprich die ACEs in den ACLs anpassen, so z.B. Schreibrechte auf diesen Ordner explizit für deinen Useraccount.

-UAC ganz deaktivieren (Group Policy)

Definitiv nicht zu empfehlen.

Gruß,
=)

Dudikoff
2007-10-24, 10:54:18
Ich setze mich gerade (erneut) mit Vista auseinander - ich hab meine Platten aufgeräumt und festgestellt, dass ich locker den Platz habe, Vista (Ultimate) parallel zu installieren, um mich dem langsam anzunähern, bis dann der Zeitpunkt eintreten mag, an dem ich mich von XP verabschieden muss.

Bei der UAC gibt es vor allem eine Sache, die ich nicht verstehe: man wird aufgefordert, Admin-Rechte freizugeben - gibt man sie dann frei, hat man mitunter trotzdem keine Rechte und Vista weigert sich stur, auch nur eine Datei umzubenennen. Soweit ich das verstehe und sehen konnte, ist der Vista-Admin alles andere als mit dem Unix-Superuser zu vergleichen - der Vista-Admin hat ebenfalls oft eingeschränkte Rechte(!). Das hat mich massiv verwirrt und verärgert. SUDO z.B. ist eben SUDO und bedeutet, dass man eben wirklich alle Rechte (der Welt, sozusagen) hat, während man unter Vista trotzdem noch vor die Wand fahren kann, trotz aller UAC-Aufforderungen. DAS war der eigentliche, nervigste Knackpunkt für mich.

Dann muss ich sagen, nervt mich die Fenster- und Klickorgie ungemein, wobei ich nicht von dem aufpoppenden Abfragefenster spreche, sondern davon, wenn man die Rechte ändern will. Es ist mehr als verwirrend und provoziert schon Fehler. Hier wäre es sehr praktisch, wenn ich bereits in dem einen "Sicherheits"-Tab im Eigenschaften-Fenster ggfls. den Besitzer per Dropdown-Menü abändern und auch gleich ein Häkchen setzen kann, dass die Änderung auch alle Unterordner/Objekte betrifft, anstatt mich durch mehrere Fenster hindurchzuklicken, die mich ehrlich gesagt mehr verUNsichern. Das ganze Ding ist für mich (noch) nicht wirklich transparent.

Es war wirklich zäh und nervig, bis ich halbwegs verstanden habe, was zu tun ist. Ich hoffe, Microsoft ändert das noch ab und macht das System zugänglicher, ich mag UAC nicht komplett abstellen, sondern mich darauf einlassen.

Monger
2007-10-24, 11:25:06
Soweit ich das verstehe und sehen konnte, ist der Vista-Admin alles andere als mit dem Unix-Superuser zu vergleichen - der Vista-Admin hat ebenfalls oft eingeschränkte Rechte(!).

Natürlich kann man darüber streiten, aber im Grunde halte ich das für eine sinnvolle Maßnahme.
Ursprünglich war der Admin Account nur dazu gedacht, administrative Aufgaben zu übernehmen - daher auch der Name. Der Admin sollte eigentlich nicht mit dem System arbeiten. Jetzt wurde diese Aufteilung unter Windows gar nicht und bei den Unix Derivaten eher halbherzig umgesetzt. Aber an sich ist es richtig, so eine Art "Gewaltenteilung" im Betriebssystem umzusetzen, weil man so einen riesigen Haufen von Exploits systematisch unmöglich macht.



Dann muss ich sagen, nervt mich die Fenster- und Klickorgie ungemein, wobei ich nicht von dem aufpoppenden Abfragefenster spreche, sondern davon, wenn man die Rechte ändern will. Es ist mehr als verwirrend und provoziert schon Fehler. Hier wäre es sehr praktisch, wenn ich bereits in dem einen "Sicherheits"-Tab im Eigenschaften-Fenster ggfls. den Besitzer per Dropdown-Menü abändern und auch gleich ein Häkchen setzen kann, dass die Änderung auch alle Unterordner/Objekte betrifft, anstatt mich durch mehrere Fenster hindurchzuklicken, die mich ehrlich gesagt mehr verUNsichern. Das ganze Ding ist für mich (noch) nicht wirklich transparent.

Aus Microsoft Sicht ist der "Use Case", dass der DAU genau die Ordner benutzt die Microsoft ihm vorgibt. Für Extrawürste soll der Admin sorgen, und der hat dann auch weit mächtigere Tools zur Hand.

Aber hast schon recht: gerade die Dialoge für die Rechtezuteilung sind ja mittlerweile schon hornalt, und könnten dringend eine Generalüberholung gebrauchen.

voodoo69
2007-10-27, 13:27:51
-Silent Elevation (Einstellen per Group Policy)

Immer dann, wenn ein Prompt kommt, wird automatisch angenommen, dass die Aktion in Ordnung geht. Das hat den Vorteil, dass UAC noch läuft, du von den Vorteilen wie Integritätsleveln etc. profitierst, aber keinen Prompt mehr siehst.

-Ordner mit den geeigneten Rechten versehene, sprich die ACEs in den ACLs anpassen, so z.B. Schreibrechte auf diesen Ordner explizit für deinen Useraccount.



gibts ne möglichkeit die "silent elevation" in vista business x86 und home premium x86 zu aktivieren!?

insbesondere gehts mir darum, das nach jedem reboot/ neustart vista fragt, ob xfire tatsächlich ausgeführt werden soll.
bin mit admin konto unterwegs....

Rooter
2007-10-27, 16:09:25
-Silent Elevation (Einstellen per Group Policy)

Immer dann, wenn ein Prompt kommt, wird automatisch angenommen, dass die Aktion in Ordnung geht. Das hat den Vorteil, dass UAC noch läuft, du von den Vorteilen wie Integritätsleveln etc. profitierst, aber keinen Prompt mehr siehst.
Was bringt es denn wenn UAC noch läuft aber trotzdem alles (inkl. Trojanerinstallation...;)) aktzeptiert wird? Ist das nicht so als wenn gar kein UAC vorhanden wäre? :confused:

MfG
Rooter

The Cell
2007-10-27, 16:21:00
Es steht in meinem Posting drinnen.
Stichwort Integritätslevel von Prozessen.

Gruß,
TC

voodoo69
2007-10-27, 16:47:24
Es steht in meinem Posting drinnen.
Stichwort Integritätslevel von Prozessen.

Gruß,
TC
bezieht sich das auch auf meine frage?
wenn ja, kannst du mir das ein bisschen einfacher erklären :confused:
danke

The Cell
2007-10-27, 22:13:34
bezieht sich das auch auf meine frage?
wenn ja, kannst du mir das ein bisschen einfacher erklären :confused:
danke

Dein Problem lässt sich ohne Wissen durch folgendes Tool lösen:

http://www.tweak-uac.com/download/

Ausführen und den Silent Mode wählen.

Viel Erfolg,
TC

voodoo69
2007-10-28, 00:09:40
tjo hab ich gemacht, allerdings bringt mir vista dann die fehlermeldung, dass die benutzerkontensteuerung ausgeschaltet ist.
ist sie uac jetzt aus, oder silent?
os: vista business x86