Eingeschränkte Berechtigung als Standart User

    dann muss ich mir das mal für die Zukunft merken. Ich hatte das bisher immer so geregelt wie zuvor beschrieben.
    Vielen Dank also für die Aufklärung.

    Also für die Zukunft:

    mit "erst " angelegten Benutzer der Mitglied der Gruppe Administratoren ist einen neuen User erstellen welcher dann nur Mitglied der Gruppe "Benutzer " ist. Dieser hat dann von vorn herein keinen Besitz an System Dateien oder Ordnern da er über ACL keine Berechtigungen an diesen bekommt.

    Den Administrator in der Gruppe der Administratoren umbenennen und Passwort vergeben

    täglichen Einsatz am Rechner mit dem User im eingeschränkten Benutzerkonto ausführen

    Installationen ( Software, Updates etc. ) mit dem Administrator oder dem "erst " angelegten Benutzer.


    Eine Frage aber:

    Wenn der Ersteller einer Datei/Ordner sogleich der Besitzer wird, dann wäre doch bei einer FF Installation als Admin auch jener der Besitzer? Dies sollte doch aber der Benutzer mit den eingeschränkten Rechten sein. Ist es dann nicht ratsam die Installation des FF z.B als temporär hochgestufer ( Run As ) Benutzer auszuführen ? Denn somit wäre doch zumindest der Benutzer mit den eingeschränkten Rechten der Besitzer der FF Installations Hierarchie.

    Oder ist es besser wenn ein ADMIN die Installationsroutine abarbeitet. Den FF aber noch nicht startet.
    Ein Benutzer mit eingeschränkten Rechten sich am System anmeldet und dann denn FF startet. Somit würde ja dann ein Profil für genau diesen Benutzer erstellt und er hätte somit nur L/S Rechte an seinem eigenem Profil im FF.

    Zukunft:
    Was das Umbenennen des vordefinierten Kontos "Administrator" und die Vergabe des Paßwortes betrifft: Mit XP Pro kannst du Paßwort bereits bei der Installation vergeben, mit Home geht das erst im nachhinein. Was das Umbenennen betrifft: Mir ist nicht ganz klar, wie du das ausführst. Mit den Gruppenrichtlinien (aufrzurufen, indem du unter Start -> Ausführen eintippst
    gpedit.msc
    ich habe allerdings gerade kein XP Home zur Hand und bin mir nicht sicher, ob das da verfügbar ist) kannst du das unter Windows Einstellungen -> Lokale Richtlinien -> Sicherheitsoptionen durchführen.

    Zur Installation: Nur mit dem benutzerdefinierten Admin-Konto. Laß das vordefinierte Konto völlig in Ruhe, wenn dem System nichts passiert, brauchst du es im Leben nicht. Reserviere dieses Konto für eine einzige Funktion: Erstellen eines neuen Admin-Kontos in dem Fall, daß das alte Benutzerdefinierte Admin-Konto beschädigt und nicht mehr verwendbar ist; installiere mit dem vordefinierten Konto nichts! (Ich hatte übrigens gerade heute in einem anderen Forum einen solchen Fall: Kein benutzerdefiniertes Admin-Konto vorhanden und das einzige verbliebene Administrator-Konto auf Grund eines Fehlers geschrottet. Ende der Fahnenstange.)

    frage:
    Warum sollte der Benutzer Besitzer der FF-Programmdateien sein? Damit wäre der Schutz doch (und das ausgerechnet beim Browser) umgangen. Installier ihn als Admin, und laß den Fuchs auch starten und ein Profil anlegen (dieses Profil ist ausschließlich für den Admin verfügbar). Dieses Profil benötigt keine besondere Pflege (nichts importieren lassen, keine Erweiterungen); es dient nur dem Zweck, daß du mit dem Admin-Konto den Fuchs ausführen kannst um somit ein Online-Update ausführen zu können. (Ich persönlich schalte für den Fall der Fälle alles Sicherheits-relevante im Admin-Profil des Fuchses ab, wie Javascript, Java, für den Update-Prozess wird das nicht benötigt.)

    Wenn du anschließend an die Installation den Fuchs im Benutzerkonto startest, wird (sofern nicht bereits ein Konto existiert) automatisch ein neues Profil für den Benutzer angelegt, das mit dem des Admins nicht das geringste zu tun hat. Und das verwendest und pflegst du wie gewohnt. Starte den Browser (egal welchen) niemals mit temporär erhöhten Rechten des Benutzers, das wäre genau kontraproduktiv und es gibt keinerlei Notwendigkeit dafür.

    Zur weiteren Verdeutlichung: Die Programmstruktur des FF (unter c:\Programme) hat mit der Profil-Struktur (für jedes Windows-Konto separat und voneinander völlig unabhängig) nicht das geringste zu tun. Mit der obigen Erläuterung hast du die völlige Sicherheit im FF ohne irgendeine Einschränkung bei der Verwendung (außer der hier bereits sattsam diskutierten Selbst-Ohrfeige der Mozilla-Entwickler, durch die eingeschränkte Benutzer keinen automatischen Hinweis erhalten, wenn eine neue Version online steht). Du kannst Erweiterungen, Themes installieren, Einstellungen vornehmen und das alles betrifft das Admin-Profil nicht im geringsten. Plugins werden dagegen zentral,also vom Admin installiert (wie andere Programe auch) und sind dann auch beim Benutzer verfügbar beziehungsweise upgedatet.

    hallo Cosmo,

    danke für die Erläuterung de Ablaufes.

    Was das umbenenne betrifft benötigt man gar keine Einstellung über die MMC. In der Computerverwaltung ---> Lokale Benutzer und Gruppen--->Benutzer kann ich dort den Admin mit der Rechten Maus betätigen und hab die Option zum Umbenennen.

    Für den Nachteil das der eingeschränkte Benutzer keine Information über ein Update erhält.

    Separat habe ich einen Eintrag in der Mailingliste beim Buerger-Cert. Diese Informiert in Abständen über Updates verschiedener Produkte( unter anderen Thunderbird und Firefox ).

    Da die Infos aber manchmal erst Wochen( nicht immer ,sonst sehr zeitnah ) nach der Herausgabe erscheinen,ist dies auch keine optimale Alternative.
    Gibt es da noch einen " Trick" um die Update Infos früh genug zu bekommen ? Man logt sich ja nicht jeden Tag mit den Admin Account ein.

    Wie ist das eigentlich mit Updates installierter Plugins ? werden die zwar gemeldet aber ich muss sie über das Admin Konto installieren ( DivX,Flash..etc. ?

    PS: Wollt dir gerade noch eine PN schicken ... aber war leider bei dir deaktiviert

    gruss Nemisis

    Ich habe die Heise Sicherheits-News abonniert, die sehr zeitnah (typischerweise innerhalb von 24 Stunden) über neue Sicherheitsupdates informieren, und das für viele gängige Programme. Die Mozilla-Produkte sind dort regelmäßig mit aktuellen Infos vertreten, aber auch anderes, was in diesem Zusammenhang wichtig ist, zum Beispiel Flash. (Ich mach das übrigens über Thunderbird (http://www.heise.de/security/news/news.rdf), dort bleiben diese Nachrichten bei mir bis zur Erledigung liegen. Sollte ich mal vergessen haben, abends ein Update durchzuführen, sehe ich es am nächsten Tag automatisch wieder und werde so erinnert. Insofern ist mir Ergebnis diese Art der Information sogar lieber als eine Benachrichtigung im Browser.)

    Nicht zu verwechseln mit den Heise online News, die sind sehr umfangreich und es ist viel aufwendiger, interessantes von irrelevantem zu trennen.

    hab mir meinen TB eben auch mal als RSS Reader mit eingerichtet

    die aktuellen Daten hat er eben beim hinzufügen der heise Adresse mit abgerufen.
    ruft er neue Infos automatisch beim Start mit ab ?

    Das kannst du in den Konteneinstellungen einrichten (ebenso eine automatische Aktualisierung im gewählten Zeitabstand).

    hi Cosmo,


    könntest du mir mal bitte via PN mitteilen, wie ich dich außer hier im Forum noch erreichen kann ? Ich hätte da noch ein paar Fragen die aber nicht direkt hier über das FF Forum zu regeln wären.

    Wäre super nett von dir

    gruss Nemisis

    Wenn ich die CERT-Seite richtig verstanden habe, dann kommen diese News als normale Mail; ist das richtig?

    Die heise-Infos beziehe ich als RSS-Feeds, so daß sie sich nicht mit den Mails im engeren Sinn vermischen; das empfinde ich als übersichtlicher.