Mæster Forum Admin


Joined: 04 Sep 2004 Posts: 2105
|
Posted: 08.12.2006 - 19:43 Post subject: Biet-O-Matic mit eingeschränkten Benutzerrechten |
|
|
Durch Sicherheitslücken vorangetrieben wird das Einrichten von Benutzerkonten mit eingeschränkten Rechten unter Windows XP oder 2000 immer populärer und verbreit sich zunehmend - völlig zu Recht. Nicht selten stöszt der sicherheitsbewuszte, eingeschränkte Benutzer jedoch auf Software, die sich mit den eingeschränkten Rechten schwer tut, weil sie während der Entwicklung nicht dafür ausgelegt wurde.
Im Folgenden wird erklärt, welche Anfangsprobleme beim Betreiben von BOM unter eingeschränkten Rechten auftreten können und es werden entsprechende Lösungsansätze genannt:
Probleme:
Beim Arbeiten mit BOM unter eingeschränkten Rechten stöszt der Benutzer vor allem auf 2 Probleme:
1. BOM wird der schreibende Zugriff auf das eigene Programmverzeichnis verweigert:
2. BOM wird das Einstellen der PC-Systemzeit verweigert:
Lösungsansätze:
Lösungsansatz I:
Ein erster Lösungsansatz könnte sein, BOM auch im eingeschränkten Benutzerkonto mit Administratorrechten zu starten (Rechtsklick auf Verknüpfung von BOM > Ausführen als > Administratorkonto auswählen, usw.)
Das funktioniert und man ist auf einen Schlag alle Quängelei los, schlieszlich darf BOM ja wieder alles. Dummerweise erben jedoch auch alle aus BOM gestarteten Anwendungen ebenfalls diese Administratorrechte, so dasz ein Klick auf die Artikelbeschreibung irgendeines Artikels in BOM dem startenden externen Browser ebenfalls Administratorrechte mit auf den Weg gibt. Und schon browst man unversehens auch unter eingeschränktem Benutzerkonto wieder lustig mit einem Browser, der alles darf - gerade das sollte ja eigentlich vermieden werden.
Fazit: 'BOM starten als Administrator' funktioniert, weicht jedoch den Ansatz der eingeschränkten Rechte auf.
Lösungsansatz II:
Im zweiten Lösungsansatz kümmern wir uns explizit um die oben genannten Probleme:
1) Keine Schreibrechte im BOM-Programmverzeichnis:
Lösung A: Schreibrechte setzen
Unter Windows XP Pro und 2000 kann der Administrator dem eingeschränkten Benutzer explizit Schreibrechte im BOM-Programmverzeichnis einräumen:
Als Administrator anmelden >
Windows Explorer > Extras > Ordneroptionen > Ansicht > Häkchen entfernen vor 'Einfache Dateifreigabe verwenden' > OK
Rechtsklick auf BOM-Programmverzeichnis (z.B. C:\Programme\Biet-O_Matic\) >
Freigabe und Sicherheit ... > Reiter 'Sicherheit' >
in der oberen Hälfte das eingeschränkte Benutzerkonto auswählen (im Beispiel heiszt das Konto 'Eingeschränkt'):
Ist das gewünschte Benutzerkonto nicht auswählbar, weil nicht vorhanden: > Klick auf Schaltfläche 'Hinzufügen ...' > Im erscheinenden Eingabefeld den Namen des eingeschränkten Benutzerkontos eingeben > OK
Nachdem in der oberen Hälfte das richtige Konto ausgewählt wurde, kann man diesem in der unteren Hälfte des Dialogs die entsprechenden Rechte einräumen, in unserem Beispiel z.B. 'Vollzugriff'.
Benutzer von Windows XP Home werden hier ausgebremst, weil der entsprechende Dialog zur ausgeklügelten Rechtevergabe standardmäszig erst einmal fehlt. Dieser kann per Fremdprogramm (Fajo XP FSE - http://www.fajo.de/portal/index.php?option=content&task=view&id=6&Itemid=47) nachgerüstet werden oder Home-Anwender entscheiden sich für den nun beschriebenen alternativen Lösungsweg:
Lösung B: BOM-Programmverzeichnis kopieren
Als eingeschränkter Benutzer anmelden >
komplettes BOM-Programmverzeichnis (z.B. C:\Programme\Biet-O-Matic) in das Verzeichnis 'Eigene Dateien' kopieren >
anschlieszend alle Verknüpfungen von BOM auf dem Desktop, in der Schnellstartleiste oder im START-Menü auf das Verzeichnis anpassen, das man gerade nach 'Eigene Dateien' kopiert hat.
Dabei darauf achten, dasz sowohl der 'Ziel'-Pfad, als auch der 'Ausführen in'-Pfad der Verknüpfungen auf das neue Verzeichnis zeigen.
So verfahren hat der eingeschränkte Benutzer von nun an sein ganz persönliches BOM, das in seinen 'Eigenen Dateien' beheimatet ist und damit auch Vollzugriff auf alle darin enthaltenen Dateien. Sogar alle BOM-Einstellungen und die Artikeldatei gelten von nun an nur für ihn und sind vor den Blicken anderer Windowskonten sicher, die Admin-Konten natürlich ausgenommen.
2) Keine Rechte, die PC-Zeit zu setzen:
Hier habe ich leider derzeit nur eine Lösung für Windows XP Professional und 2000 parat, XP HOME Benutzer müssen aufgrund fehlender Konfigurationsmöglichkeiten nach einer anderen Lösung suchen:
Beispiel: Unter XP Pro eingeschränktem Benutzer das Recht einräumen, die SystemZeit zu ändern:
Als Administrator anmelden >
Systemsteuerung >
Verwaltung >
lokale Sicherheitsrichtlinie >
lokale Richtlinien >
Zuweisen von Benutzerrechten >
Ändern der Systemzeit >
hinzufügen >
Benutzer oder Gruppe hinzufügen >
Als Objektnamen den Namen des Benutzerkontos mit eingeschränkten Rechten eingeben > OK _________________ Grusz,
Mæster. |
|