Da ich es im Forum nicht mehr finde, hier mal ein Auszug was ein
ADMINISTRATOR darf, aber eine
HAUPTBENUTZER nicht:
- Betriebsystem installieren
- Installation un Konfiguration von Hardware und Treibern, wobei ein Hauptbenutzer aber Drucker installieren darf
- Installation von System Diensten
- Installation von ServicePacks, Hotfixes und Windows Updates
- Upgrade des Betriebsystems
- Reperatur des Betriebsystems
- Installation von Programmen und Änderung der Systemdateien
- Konfiguration der Kennwortrichtlinien
- Konfiguration der Überwachungsrichtlinien
- Verwaltung der Ereignisprotokolle
- Erstellung von Administrativen Freigaben
- Erstellung von weiteren Administrator-Acounts
- Veränderung von Gruppen und Benutzern, die jemand anders erstellt hat
- Remotezugriff auf die Registry
- Stoppen und Starten von Diensten
- Konfiguration von Diensten
- Erhöhung von gesetzten Quotas (Kontingenten)
- Erhöhung von Prozess Prioritäten
- Remote Shutdown eines Systems
- Übernahme des Besitzes beliebiger Objekte
- Zuweisung von Benutzerrechten
- Computer Sperrung aufheben
- Formatierung eines Volumes
- Anpassung systemweiter Umgebungsvariablen
- Zugriff auf privaten (eigene) Dateien eines Benutzers
- Datensicherung und Rücksicherung von Dateien
Hier der Unterschied was ein
HAUPTBENUTZER darf, aber ein
BENUTZER nicht:
- Erstellen von lokalen Gruppen und Benutzern
- Veränderung von Gruppen und Benutzern, die sie selber erstellt haben.
- Erstellen und Löschen von Nicht-Administrativen Freigaben
- Erstellen, verwalten, löschen und freigeben von lokalen Druckern
- Veränderung der Systemzeit (per Default)
- Stoppen und starten von Diensten, die nicht automatisch gestartet werden
- Ändern Recht im Ordner Programme
- Ändern Rechte in diversen Unterschlüsseln von HKEY_LOCAL_MACHINE \Software
- Schreibzugriff auf den meisten Systemverzeichnissen, inkl. %windir% und %windir%\system32.
Durch diese Rechte ergibt sich auch folgendes:
- Installation von diversen Programmen auf dem Lokalen System, die nicht auf Schlüssel unterhalb von HKEY_LOCAL_MACHINE \System zugreifen und dort Veränderungen benötigen
- Ausführen von Anwendungen die benutzerspezifische Daten Computerbezogen speichern, ohne eine Fehlermeldung zu erhalten.
- Deswegen können Hauptbenutzer leider auch Trojaner installieren, die auch unter Administrator und Benutzer Anmeldungen aktiv sind, die wiederum die Systemsicherheit schädigen.
- Durchführen von systemweiten Betriebsystem und Programm Änderungen die sich auf alle Benutzer auswirken.
Ich denke das mit dieser Aufführung auch schnell klar sein dürfte WARUM ein HAUPTBENUTZER
nicht gegen VIREN, TROJANER und WÜRMER das Heilmittel ist wie viele annehmen.
Durch den Zugriff auf bestimmte Systemresourcen gegenüber einem BENUTZER können entsprechend die meisten Schädlinge ihr volles Potenzial ausbreiten.
Sicherlich ist es ein recht administrativer Aufwand, wenn man nur BENUTZER und ADMINISTRATOREN zulässt, allerdings gibt es durchaus auch entsprechende Programme die man nur dann ausführen kann, wenn man HAUPTBENUTZER ist.
Ich persönlich halte es aber immer noch für die beste Möglichkeit um sich ein Haufen arbeit zu ersparen, gerade wenn Benutzer nicht wissen was si da eigentlich machen.
Somit bekommt ein Benutzer nur die Rechte welcher er auch benötigt um mit dem PC und den Programmen korrekt arbeiten zu können.
Dies ist im PRIVATBEREICH zwar nicht immer 100% nachzuvollziehen, aber wenn jemand ADMINISTRATOREN RECHTE hat, dann sollte ihm auch klar sein das man damit die VOLLE KONTROLLE hat, aber auch ABGEBEN kann