georg123
Avatar georg123
Themenersteller
Diplomökonom (Pensionär)
Content Halbgott (569 Beiträge)

"Super-Admin" in Windows 7

am 28.04.2011, 19:49 Uhr eröffnete georg123 folgenden Thread
Windows    32858 mal gelesen    13 Antwort(en).

Angeregt durch Matthias hier ein kleiner Besinnungsaufsatz.

Ausgangslage: Beim Einrichten eines neuen Laptop mit Win 7 (Premium Home, OEM) erlebte ich eine frustrierende Ãœberraschung: Der bei Erstinstallation standardmäßig erzeugte erste Benutzer, bei mir war es "Fritz", hat (angeblich...) Administrator-Qualitäten bzw. Rechte, aber eben nur angeblich. Er findet z.B. im Lw C: die Ordner \Programme und \Dokumente und Einstellungen mit einem gelben Vorhängeschloss versehen. Will er dort (nur!) lesen, geschweige hineinkopieren (Dateien per Stick aus dem alten WinXP-Rechner) sagt ihm das Betriebssystem, er hätte keine Zugriffsrechte! Die Installation der Software StarMoney 8.O z.B. scheiterte (zunächst), weil die Datenbank aus dem alten Rechner, inzwischen über das lokale Netz WORKGROUP nach Freigabe, NICHT in das Programm-Unterverzeichnis kopierbar war. Benutzer Fritz war also administrativ deutlich beschränkt, Mensch Fritz, ehemals zertifizierter Microsofti, frustriert :bang:.

Bewertung: Es muss einen "Ober-Admin" geben, der in irgendeiner Ecke von WIN7 schlummert. Ich erinnerte an Vista, was ich nie installiert/benutzt habe: Zu Vista wurde berichtet, es gäbe einen "Power-Admin", der nach-installiert werden muss. Vielleicht auch in WIN 7?

Lösung: Nach Recherchen im Internet und einigen Telefonaten die Lösung: Man gebe in der DOS-Box (cmd) folgenden Befehl ein:

net user administrator /active:yes

Danach Benutzer wechseln, Trommelwirbel: Es gibt einen Benutzer namens "Administrator" den Superadmin, OHNE PASSWORT!!! (eigentlich klar, er muss danach eines bekommen, gell Ralph...)
Mit dem Schalter :no kann er wieder gelöscht werden.

Der Weg zur DOS-Box hat es in sich:
Start-alle Programme, Zubehör, (DOS-)Eingabeaufforderung. Hier RECHTE Maustaste, Als Administrator ausführen. Es öffnet sich die DOS-Box, Befehl eintippen wie oben beschrieben, mit enter abschliessen.
Viel Spass :laugh: den künftigen SUPER-ADMINS wünscht Fritz


http://georg-hh.freimaurerei.de

Freiheit-Gleichheit-Brüderlichkeit, Toleranz und Humanität:
Dafür stehen und danach streben Freimaurer

wmmm
Beginner (25 Beiträge)
am 28.04.2011, 20:36 Uhr schrieb wmmm

georg123 schrieb:


Der Weg zur DOS-Box hat es in sich:
Start-alle Programme, Zubehör, (DOS-)Eingabeaufforderung. Hier RECHTE Maustaste, Als Administrator ausführen. Es öffnet sich die DOS-Box, Befehl eintippen wie oben beschrieben, mit enter abschliessen.
Viel Spass :laugh: den künftigen SUPER-ADMINS wünscht Fritz



oder einfach in die suchleiste "cmd" schreiben und ->enter.

Ansonsten, danke wusst ich nicht


Indikatoren für Metatrader

lwulfe
Avatar lwulfe
Consultant
Content Halbgott (743 Beiträge)
am 28.04.2011, 21:01 Uhr schrieb lwulfe

Prima Georg,

das war mir jetzt auch neu. Bisher habe ich den Superuser noch nicht gebraucht,
aber es kann ja noch kommen. Schöner Tipp!

Grüße
Lutz



gelöschter Benutzer
am 28.04.2011, 21:18 Uhr schrieb

Irgend jemand hier im Forum sagte mal:

Windows ist Sicher, solange der User nicht wieder alle Türen öffnet!



Im Prinzip ist das nix neues, das gibt es schon seit Windows XP, das Passwort für den "Super-Administrator" vergibt man wären der Installation und einloggen konnte man sich wenn man Windows im Abgesicherten Modus startete.

Das wurde aber besser Versteckt, da man sich einfach nicht als "Super-Admin" anmelden soll! In der Linux Welt gibt es das schon länger nur heißt es da nicht "Super-Admin" sondern "root". Und die direkte Anmeldung als root wird schon länger verweigert. Aus dem einfachen Grund "Sicherheitsrisiko", nicht nur vor Viren und ähnlichem sondern viel mehr vor sich selbst.


Schöne Grüße Thomas


lwulfe
Avatar lwulfe
Consultant
Content Halbgott (743 Beiträge)
am 28.04.2011, 22:42 Uhr schrieb lwulfe

Ultima schrieb:

In der Linux Welt gibt es das schon länger nur heißt es da nicht "Super-Admin" sondern "root". Und die direkte Anmeldung als root wird schon länger verweigert. Aus dem einfachen Grund "Sicherheitsrisiko", nicht nur vor Viren und ähnlichem sondern viel mehr vor sich selbst.


Ich habe in der letzten Zeit mehrfach SLES 10 und 11 installiert. Bei der Installation werde ich zwar aufgefordert, einen User anzulegen, kann mich nach der Installation aber ohne Murren als root anmelden. Direkt und ohne "su".
Ich gebe dir aber Recht. Genau so wenig wie man bei Windows als Administrator arbeiten sollte, sollte man bei Linux als root arbeiten.
Ein kleines Beispiel aus der Praxis: ein Kollege wollte eine Datei in "/" löschen. Durch einen Tippfehler und/oder Unwissenheit hat er "rm -r datei *" eingegeben. Das Leerzeichen vor dem "*" wurde dem Server fast zum Verhängnis. Da das SINIX damals maximal 1024 Dateien mit einem "rm" löschen konnte, hatten wir die Chance, das Betriebssystem zu rekonstruieren.

Grüße
Lutz


masa8
Avatar masa8
Selbständig
Content Gott (1001 Beiträge)
am 29.04.2011, 00:19 Uhr schrieb masa8

Danke Fritz!

Das war genau das was ich brauchte.

Gruß Matthias


Mein Blog über Wordpress, SEO, interne Verlinkung und mehr
alles-mit-links
BLACKINK Webkatalog 20-25 Backlinks "Lifetime"

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 29.04.2011, 07:13 Uhr schrieb romacron

Keine Angst vor dem dem Superadmin.

Das in Windows 7 ersteinmal der Root nicht als default User eingetragen ist, halte ich für absolut sinnvoll.
Im täglichen Betrieb braucht es den Root überhaupt nicht. Man verliert auch nicht die Macht über das System nur weil man nicht der "Boss, ich kann alles, hab auf alles zugriff" ist.

So langt es vollkommen wenn man Programme mit einem niedrigeren Userlevel als dem SuperAdmin installiert. So wird in der Zukunft nicht so viel am Hauptsystem kaputt gehen.

@Thomas stimme dir da voll zu!

@fritz wenn das nocht geht "net user administrator /active:yes" dann stimmen die rechte noch nicht so ganz. Sollte logisch sein, dass ein niedrigeres Userlevel nicht den Superadmin aktivieren kann :foto:

Wenn man sich einmal komplett ausgesperrt hat kann man sich mit einer UnixOberfläche beim Bootvorgang Adminrechte verschaffen. Wichtig hierbei nur, die Daten des Benutzers dürfen nicht verschlüsselt sein(die sind sonst futsch).

Fazit: SuperAdmin abstellen stilllegen.


der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 29.04.2011, 09:11 Uhr schrieb der_booker

Ich würde den Systemadministrator schlummern lassen respektive empfehle ich diesen Account(andere Windows-Umgebungen) zu deaktivieren und voerher umzubenennen.

Wenn man etwas installieren möchte, so kann man dies über die rechte Maustaste und "als Administrator ausführen" erledigen, egal wie meine eigenen Userrechte sind. Das ging schon in früheren Windows-Versionen, nur war dies oft hakelig. Damit soll das umständliche Ummelden wegfallen.

Eine andere Methode, um den Admin zu aktivieren:
1. Computerverwaltung -> lokale Benutzer und Gruppen -> Rechtsklick auf Administrator -> Kennwort festlegen <- Kennwort vergeben
(dort befindet sich auch der Haken "deaktiviert", wird er entfernt so kann man sich als Admin anmelden.) --> evtl. hier den Namen umbenennen, Windows reagiert eh nur auf ID\'s und nicht auf Namenübersetzung.

2. secpol.msc ausführen -> Lokale Richtlinien -> Sicherheitsoptionen -> Konten: Administratorkontostatus -> akivieren

Um den Admin allerdings aktivieren zu können, braucht man selber Adminrechte oder führt die von Fritz beschriebene Variante oder meine als Admin aus. (Rechte Maustaste und "als Administrator ausführen").

An dieser Stelle allerdings nochmal der Warnhinweis, das sollten nur Leute tun, die ausreichend Computer- und Microsoft-Kentnisse besitzen.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

georg123
Avatar georg123
Diplomökonom (Pensionär)
Content Halbgott (569 Beiträge)
am 29.04.2011, 09:36 Uhr schrieb georg123

Hallo Forum, mich freut die Beteiligung.

romacron schrieb:
(...)So langt es vollkommen wenn man Programme mit einem niedrigeren Userlevel als dem SuperAdmin installiert. So wird in der Zukunft nicht so viel am Hauptsystem kaputt gehen.


Nach den elementaren Gesetzen der Logik ist eine allgemeine Aussage dann falsch, wenn sie durch auch nur ein konkretes Gegenbeispiel widerlegbar ist. Die Standardsoftware StarMoney z.B. läßt sich vom "einfachen" Admin nur grundinstallieren. Das Portieren/Kopieren der Datenbanksicherung (Datei mit einigen hundert MB) in ein vorgeschriebenes Unterverzeichnis von C:\\Dokumente und Einstellungen erfordert zwingend die Rechte des "wirklichen" Administrators. Das Installationshandbuch der Software schweigt übrigens zu diesem Rechteproblem...

romacron schrieb:
(...)@fritz wenn das nocht geht "net user administrator /active:yes" dann stimmen die Rechte noch nicht so ganz. Sollte logisch sein, dass ein niedrigeres Userlevel nicht den Superadmin aktivieren kann.(...) Fazit: SuperAdmin abstellen stilllegen.


Dein "sollte" zeigt, dass Du meinst- ein Faktum müsste belegt sein: Kannst Du ein Beispiel geben, wann der wie beschrieben installierte "wirkliche" Administrator keine ausreichenden Rechte hat? Meine Beschreibung des Installationsvorganges für den wirklichen Administrator hat keinerlei missionierenden Charakter, "stilllegen" hingen schon. Der mündige WIN 7-Benutzer kann seine Entscheidung frei treffen.
@Thomas: Du irrst mit Deiner Aussage, "im Prinzip" sei das schon bei XP so gewesen. Bei der Grundinstallation von XP entsteht ein erster Benutzer mit freigewähltem Namen, der ohne wenn und aber zur "Gruppe Administratoren", mit allen Rechten, gehört. Darin stecken ohne Zweifel Gefahren für Normalos- und Arbeit für Supporter. Wenn man bei XP diesen ersten Benutzer löscht erscheint im Anmeldemenü AUTOMATISCH ein neuer Benutzer "Administrator", mit allen Rechten- und ohne Passwort!
Weiter viel Spass :laugh: mit dem "Wahren Admin" wünscht Fritz


http://georg-hh.freimaurerei.de

Freiheit-Gleichheit-Brüderlichkeit, Toleranz und Humanität:
Dafür stehen und danach streben Freimaurer


gelöschter Benutzer
am 29.04.2011, 10:11 Uhr schrieb

georg123 schrieb:

@Thomas: Du irrst mit Deiner Aussage, "im Prinzip" sei das schon bei XP so gewesen. Bei der Grundinstallation von XP entsteht ein erster Benutzer mit freigewähltem Namen, der ohne wenn und aber zur "Gruppe Administratoren", mit allen Rechten, gehört. Darin stecken ohne Zweifel Gefahren für Normalos- und Arbeit für Supporter. Wenn man bei XP diesen ersten Benutzer löscht erscheint im Anmeldemenü AUTOMATISCH ein neuer Benutzer "Administrator", mit allen Rechten- und ohne Passwort!



Das ist mal wieder völlig falsch. Der Benutzer "Administrator" entsteht unmittelbar nach der Installation des Grundsystems! Weitere Benutzer kann man nach Abschluss der Windows Installation beim ersten Start anlegen.


romacron
JDev Xer
Content Gott (1224 Beiträge)
am 29.04.2011, 10:13 Uhr schrieb romacron

Das Portieren/Kopieren der Datenbanksicherung (Datei mit einigen hundert MB) in ein vorgeschriebenes Unterverzeichnis von C:\\Dokumente und Einstellungen erfordert zwingend die Rechte des "wirklichen" Administrators.



In diesem Falle wird es wohl notwendig sein, sich als Admin einzuloggen! Ich gehe davon aus, dass dies nicht jeden Tag und permanent geschieht. Ich kann mir vorstellen, dass dies ein wenig Umgewöhnung ist. Unix Nutzer/Parallel-Nutzer sind mit so einem Vorgang vertraut und akzeptieren diesen. Bei Windows ist dies nicht unbedingt der Fall.

Als ich windows 7 in Betrieb nahm, stiess ich auf das SuperAdmin Problem. Da man bereits in den Windows Versionen zuvor gelegentlich einen ausgesperrten Besitzer wieder seines Rechners bemächtigen musste, setzt man einfach neue Passwörter mit einer LinuxConsole beim Booten.
Das geht auch bei windows 7 und war mein erster Task.


praktisches Beispiel, warum ein Superadmin permantent AN keine Lösung darstellt.

Auf meinen Servern bimmelt es permanent, abgewehrte Passwort Bruteforce SSH angriffe.
An sich kein Problem, der Grossteil der Angriffe stammt von Automaten/Bots.
In dem man den Zugriff auf den Server für die Ip sperrt, ist in der Regel ruhe und man ist uninteressant(da Handarbeit für einen erfolgreichen hägg nötig ist).

Nun hatte ich einen Hartnäckigen Kandidaten. Es war sofort ersichtlich, dass er von Hand am Werke war.
Die Ip im Browser aufgerufen.
...und siehe da, der User hatte einen Webserver am laufen.
Wie angenommen, war es ein Xampp-Server Paket.

Und nun der Tricky Punkt. Wenn der Xammp als Superadmin läuft, und etwas bei der php/perl verarbeitung schief läuft, kann der ganze Rechner in Mitleidenschaft gezogen werden....
Wenn der Xammp mit userrechten ausgestattet ist, zerlegts bei einem programmierfehler nicht das ganze System.

Und hier noch der Tip, da viele einen Xampp am laufen haben. Auf keinen Fall, wie in mehreren Foren beschrieben, den Xampp als SuperAdmin auszuführen.

..ist das nachvollziehbar?
kilopost




« zurück zu: Windows

Das Seitenreport Forum hat aktuell 5267 Themen und 36103 Beiträge.
Insgesamt sind 48270 Mitglieder registriert.