Guten Morgen zusammen,

eigentlich bin ich ja Softwareentwickler, deshalb habe ich mit den Interna von Windows XP nicht so viel am Hut. Also brauche ich Eure Hilfe:

Ich richte für Freunde ihren Rechner (schon wieder) neu ein. Leider schaffen sie es immer wieder, in kurzer Zeit ein neu installiertes Windows XP zu Grunde zu richten. Jetzt würde ich gerne einen Benutzer einrichten, der normal arbeiten kann, aber am System nicht viel verändern darf. Ich habe also unter XP neben dem Admin einen Benutzer angelegt, der auch in der Gruppe "Benutzer" ist. Als dieser Benutzer kann ich aber immer noch z.B. unter C:\WINDOWS Dateien verschieben und löschen. Wenn ich in den Sicherheitseinstellungen das Recht "Schreiben" verweigere, dann kann ich zwar mit dem Benutzer nichts mehr ändern, aber auch mit dem Administrator nicht (ich vermute, Administrator ist auch ein Benutzer und Rechte sperren geht vor Rechte freigeben).

Könnt Ihr mir eine möglichst einfache Möglichkeit sagen, mit der ich diesen Benutzer einschränken kann? Es muss keine 100% Lösung sein (privater Rechner), aber zumindest das Systemverzeichnis "C:\WINDOWS" sollte für den normalen Benutzer tabu sein. Am liebsten wäre mir ein Vorgehen, wie es z.B. bei Ubuntu gelebt wird. Dort habe ich als Benutzer erst mal alle Rechte an meinen Dateien, aber für Änderungen am System muss ich Administrator sein und mich bei jeder Änderung mit meinem Passwort authentisieren.

Vielen Dank schon mal für Eure Hilfe!

Schöne Grüße,

Peter

eigentlich bin ich ja Softwareentwickler, deshalb habe ich mit den Interna von Windows XP nicht so viel am Hut.

*Prust*.. der war gut..

Ungefähr genauso lustig als wenn ein Ingenieur in der Automobilindustrie sagt er kenne sich mit PKWs nicht aus

Wie wäre es, den Benutzer als "Eingeschränkter Benutzer" statt als Hauptbenutzer oder gar Administrator anzulegen?

In deinem Post steht weder XP-Version, noch in welchen Gruppen der User bis jetzt ist.

Grüße

Ripper

Guten Morgen,

nein, das war ernst gemeint. Wenn ein Ingenieur, der Statikberechnungen für Tiefgaragen macht, sagt, er hat mit der Automobilentwicklung nicht viel zu tun, dann nehm ich ihm das ab. Ich bin auf den Betriebssystemen, unter denen ich arbeite, Anwender. Das Systemsetup und auch die -betreuung übernehmen geeignete Stellen.

Aber zum Thema: der Benutzer ist momentan ausschließlich in der Gruppe "Benutzer". Einen "Eingeschränkten Benutzer" habe ich standardmäßig in den Einstellungen nicht gesehen. Muss ich diese Gruppe anlegen und deren Berechtigungen selbst pflegen? Welche Beschränkungen wären das dann?

Welche "Version" musst Du denn wissen? Das SP? Oder den Build? Es handelt sich um ein frisch installiertes XP Professional.

Schöne Grüße,

Peter

Benutzer einen User-Account ohne Admin-rechte Zuweisen. Den Rest kannst du ueber Systemsteuerung >> Verwaltung >> Sicherheitsrichtlinien regeln. Aber bitte mit großer Vorsicht! Genau ueberlegen!

Vielen Dank, das werde ich heute abend ausprobieren!

Schöne Grüße,

Peter

Die Berechtigungen fuer Windows Ordner auf Dateissystemebene bitte nicht veraendern! (Freigaben/ Sicherheitseinstellungen)

Das Systemsetup und auch die -betreuung übernehmen geeignete Stellen.

Narf - deswegen schrieb ich "in der Automobilbranche" - wenn Du natürlich irgendwelche AS/400 Cobol-Apps hackst, brauchst Du dich mit Windows nicht sonderlich auszukennen.

Aber: Grade als Programmierer sollte man sich doch einigermaßen mit seinem Gerät auskennen und ggf. auch mal über den Tellerrand schauen können. Die Entwicklungsumgebung z.B. installiertst Du aber schon selbst, oder muss das ein FISI machen? *bg* (Alles schon gesehen :beagolisc )

der Benutzer ist momentan ausschließlich in der Gruppe "Benutzer". Einen "Eingeschränkten Benu

Was man auf Grund der von Dir bereits geschilderten Rechtevergabe imho ausschließen kann ist dass das Dateisystem falsche ist (FAT32

statt NTFS).

XP Pro also, Gruppe ist die richtige - Wenn der User trozdem auf c:\Windows Schreibzugriff hat bleibt wohl nur die Möglichkeit von falsch gesetzten Rechten.

Wie sehen denn die Berechtigungen auf c:\Windows denn aus? Die Gruppe "Benutzer" sollte nur "Lesen"/"Ausführen"/"Ordnerinhalt anzeigen" haben.

Grüße

Ripper

Also meine Workstations werden mir in der Regel vom Kunden bereitgestellt und sind mit OS und den im Unternehmen sonst üblichen Anwendungen bestückt. Was ich brauche, installiere ich selbst. Und für meine eigenen Sachen reicht das auch völlig aus, weil ich unter Windows mit dem Vollzugriffsuser umgehen kann und unter Linux eh die für mich schöne Beschränkung habe. Mit der Rechtevergabe habe ich mich das letzte Mal in meiner Ausbildung beschäftigt.

Aber das ist genug OT.

Also in den Eigenschaften für den Windows-Ordner waren die Rechte beim Normaluser auf Lesen, Ausführen und Auflisten gesetzt, beim schreibenden Zugriff war weder ein Haken bei "erlaubt", noch bei "verboten". Ich habe dann einen bei "verboten" gesetzt und dann konnte auch der Administrator nicht mehr schreiben. Das ist also nicht das, was ich will. In der Ausgangssituation (kein gesetzter Haken für "Schreiben") konnte der normale Benutzer im WINDOWS-Verzeichnis einen Ordner anlegen (mein Test für schreibenden Zugriff).

Was sagt denn ein nicht gesetzter Haken in den Einstellungen des Verzeichnis WINDOWS für das Schreiben aus? Meine erste Interpretation war, dann darf man nicht schreiben, weil der Haken bei "erlaubt" fehlt. Aber das kann ja nicht stimmen, weil ich schreiben konnte.

Klärt mich auf.

Schöne Grüße,

Peter

1) verwendet man "verboten" besser nie :-) Oder wenn Du genau weißt, was Du tust, sonst kann das kann böse enden.

2) schau doch mal unter den erweiterten Sicherheitseinstellungen nach den "effektiven Berechtigungen" des Benutzers.

3) nur weil kein Haken in den Berechtigungen gesetzt ist, heißt das nicht, daß der Benutzer keine Rechte hat. Sie können vererbt sein.

Ah, das ist ein guter Tipp. Ich habe zwar gesehen, dass es diese "Erweitert" Schaltfläche gibt, habe sie aber erfolgreich ignoriert.

Gestern abend habe ich es eh nicht geschafft, mich dran zu setzen. Mal schauen, wann es diese Woche klappt.

Ich halte Euch dann auf dem Laufenden, was sich tut.

Schöne Grüße,

Peter