"Super-Admin" in Windows 7

georg123 schrieb:


Der Weg zur DOS-Box hat es in sich:
Start-alle Programme, Zubehör, (DOS-)Eingabeaufforderung. Hier RECHTE Maustaste, Als Administrator ausführen. Es öffnet sich die DOS-Box, Befehl eintippen wie oben beschrieben, mit enter abschliessen.
Viel Spass :laugh: den künftigen SUPER-ADMINS wünscht Fritz

oder einfach in die suchleiste "cmd" schreiben und ->enter.

Ansonsten, danke wusst ich nicht

Prima Georg,

das war mir jetzt auch neu. Bisher habe ich den Superuser noch nicht gebraucht,
aber es kann ja noch kommen. Schöner Tipp!

Grüße
Lutz

Irgend jemand hier im Forum sagte mal:

Windows ist Sicher, solange der User nicht wieder alle Türen öffnet!

Im Prinzip ist das nix neues, das gibt es schon seit Windows XP, das Passwort für den "Super-Administrator" vergibt man wären der Installation und einloggen konnte man sich wenn man Windows im Abgesicherten Modus startete.

Das wurde aber besser Versteckt, da man sich einfach nicht als "Super-Admin" anmelden soll! In der Linux Welt gibt es das schon länger nur heißt es da nicht "Super-Admin" sondern "root". Und die direkte Anmeldung als root wird schon länger verweigert. Aus dem einfachen Grund "Sicherheitsrisiko", nicht nur vor Viren und ähnlichem sondern viel mehr vor sich selbst.


Schöne Grüße Thomas

Ultima schrieb:

In der Linux Welt gibt es das schon länger nur heißt es da nicht "Super-Admin" sondern "root". Und die direkte Anmeldung als root wird schon länger verweigert. Aus dem einfachen Grund "Sicherheitsrisiko", nicht nur vor Viren und ähnlichem sondern viel mehr vor sich selbst.

Ich habe in der letzten Zeit mehrfach SLES 10 und 11 installiert. Bei der Installation werde ich zwar aufgefordert, einen User anzulegen, kann mich nach der Installation aber ohne Murren als root anmelden. Direkt und ohne "su".
Ich gebe dir aber Recht. Genau so wenig wie man bei Windows als Administrator arbeiten sollte, sollte man bei Linux als root arbeiten.
Ein kleines Beispiel aus der Praxis: ein Kollege wollte eine Datei in "/" löschen. Durch einen Tippfehler und/oder Unwissenheit hat er "rm -r datei *" eingegeben. Das Leerzeichen vor dem "*" wurde dem Server fast zum Verhängnis. Da das SINIX damals maximal 1024 Dateien mit einem "rm" löschen konnte, hatten wir die Chance, das Betriebssystem zu rekonstruieren.

Grüße
Lutz

Danke Fritz!

Das war genau das was ich brauchte.

Gruß Matthias

Keine Angst vor dem dem Superadmin.

Das in Windows 7 ersteinmal der Root nicht als default User eingetragen ist, halte ich für absolut sinnvoll.
Im täglichen Betrieb braucht es den Root überhaupt nicht. Man verliert auch nicht die Macht über das System nur weil man nicht der "Boss, ich kann alles, hab auf alles zugriff" ist.

So langt es vollkommen wenn man Programme mit einem niedrigeren Userlevel als dem SuperAdmin installiert. So wird in der Zukunft nicht so viel am Hauptsystem kaputt gehen.

@Thomas stimme dir da voll zu!

@fritz wenn das nocht geht "net user administrator /active:yes" dann stimmen die rechte noch nicht so ganz. Sollte logisch sein, dass ein niedrigeres Userlevel nicht den Superadmin aktivieren kann :foto:

Wenn man sich einmal komplett ausgesperrt hat kann man sich mit einer UnixOberfläche beim Bootvorgang Adminrechte verschaffen. Wichtig hierbei nur, die Daten des Benutzers dürfen nicht verschlüsselt sein(die sind sonst futsch).

Fazit: SuperAdmin abstellen stilllegen.

Ich würde den Systemadministrator schlummern lassen respektive empfehle ich diesen Account(andere Windows-Umgebungen) zu deaktivieren und voerher umzubenennen.

Wenn man etwas installieren möchte, so kann man dies über die rechte Maustaste und "als Administrator ausführen" erledigen, egal wie meine eigenen Userrechte sind. Das ging schon in früheren Windows-Versionen, nur war dies oft hakelig. Damit soll das umständliche Ummelden wegfallen.

Eine andere Methode, um den Admin zu aktivieren:
1. Computerverwaltung -> lokale Benutzer und Gruppen -> Rechtsklick auf Administrator -> Kennwort festlegen <- Kennwort vergeben
(dort befindet sich auch der Haken "deaktiviert", wird er entfernt so kann man sich als Admin anmelden.) --> evtl. hier den Namen umbenennen, Windows reagiert eh nur auf ID\'s und nicht auf Namenübersetzung.

2. secpol.msc ausführen -> Lokale Richtlinien -> Sicherheitsoptionen -> Konten: Administratorkontostatus -> akivieren

Um den Admin allerdings aktivieren zu können, braucht man selber Adminrechte oder führt die von Fritz beschriebene Variante oder meine als Admin aus. (Rechte Maustaste und "als Administrator ausführen").

An dieser Stelle allerdings nochmal der Warnhinweis, das sollten nur Leute tun, die ausreichend Computer- und Microsoft-Kentnisse besitzen.

Hallo Forum, mich freut die Beteiligung.

romacron schrieb:
(...)So langt es vollkommen wenn man Programme mit einem niedrigeren Userlevel als dem SuperAdmin installiert. So wird in der Zukunft nicht so viel am Hauptsystem kaputt gehen.

Nach den elementaren Gesetzen der Logik ist eine allgemeine Aussage dann falsch, wenn sie durch auch nur ein konkretes Gegenbeispiel widerlegbar ist. Die Standardsoftware StarMoney z.B. läßt sich vom "einfachen" Admin nur grundinstallieren. Das Portieren/Kopieren der Datenbanksicherung (Datei mit einigen hundert MB) in ein vorgeschriebenes Unterverzeichnis von C:\\Dokumente und Einstellungen erfordert zwingend die Rechte des "wirklichen" Administrators. Das Installationshandbuch der Software schweigt übrigens zu diesem Rechteproblem...

romacron schrieb:
(...)@fritz wenn das nocht geht "net user administrator /active:yes" dann stimmen die Rechte noch nicht so ganz. Sollte logisch sein, dass ein niedrigeres Userlevel nicht den Superadmin aktivieren kann.(...) Fazit: SuperAdmin abstellen stilllegen.

Dein "sollte" zeigt, dass Du meinst- ein Faktum müsste belegt sein: Kannst Du ein Beispiel geben, wann der wie beschrieben installierte "wirkliche" Administrator keine ausreichenden Rechte hat? Meine Beschreibung des Installationsvorganges für den wirklichen Administrator hat keinerlei missionierenden Charakter, "stilllegen" hingen schon. Der mündige WIN 7-Benutzer kann seine Entscheidung frei treffen.
@Thomas: Du irrst mit Deiner Aussage, "im Prinzip" sei das schon bei XP so gewesen. Bei der Grundinstallation von XP entsteht ein erster Benutzer mit freigewähltem Namen, der ohne wenn und aber zur "Gruppe Administratoren", mit allen Rechten, gehört. Darin stecken ohne Zweifel Gefahren für Normalos- und Arbeit für Supporter. Wenn man bei XP diesen ersten Benutzer löscht erscheint im Anmeldemenü AUTOMATISCH ein neuer Benutzer "Administrator", mit allen Rechten- und ohne Passwort!
Weiter viel Spass :laugh: mit dem "Wahren Admin" wünscht Fritz

georg123 schrieb:

@Thomas: Du irrst mit Deiner Aussage, "im Prinzip" sei das schon bei XP so gewesen. Bei der Grundinstallation von XP entsteht ein erster Benutzer mit freigewähltem Namen, der ohne wenn und aber zur "Gruppe Administratoren", mit allen Rechten, gehört. Darin stecken ohne Zweifel Gefahren für Normalos- und Arbeit für Supporter. Wenn man bei XP diesen ersten Benutzer löscht erscheint im Anmeldemenü AUTOMATISCH ein neuer Benutzer "Administrator", mit allen Rechten- und ohne Passwort!

Das ist mal wieder völlig falsch. Der Benutzer "Administrator" entsteht unmittelbar nach der Installation des Grundsystems! Weitere Benutzer kann man nach Abschluss der Windows Installation beim ersten Start anlegen.

Das Portieren/Kopieren der Datenbanksicherung (Datei mit einigen hundert MB) in ein vorgeschriebenes Unterverzeichnis von C:\\Dokumente und Einstellungen erfordert zwingend die Rechte des "wirklichen" Administrators.

In diesem Falle wird es wohl notwendig sein, sich als Admin einzuloggen! Ich gehe davon aus, dass dies nicht jeden Tag und permanent geschieht. Ich kann mir vorstellen, dass dies ein wenig Umgewöhnung ist. Unix Nutzer/Parallel-Nutzer sind mit so einem Vorgang vertraut und akzeptieren diesen. Bei Windows ist dies nicht unbedingt der Fall.

Als ich windows 7 in Betrieb nahm, stiess ich auf das SuperAdmin Problem. Da man bereits in den Windows Versionen zuvor gelegentlich einen ausgesperrten Besitzer wieder seines Rechners bemächtigen musste, setzt man einfach neue Passwörter mit einer LinuxConsole beim Booten.
Das geht auch bei windows 7 und war mein erster Task.


praktisches Beispiel, warum ein Superadmin permantent AN keine Lösung darstellt.

Auf meinen Servern bimmelt es permanent, abgewehrte Passwort Bruteforce SSH angriffe.
An sich kein Problem, der Grossteil der Angriffe stammt von Automaten/Bots.
In dem man den Zugriff auf den Server für die Ip sperrt, ist in der Regel ruhe und man ist uninteressant(da Handarbeit für einen erfolgreichen hägg nötig ist).

Nun hatte ich einen Hartnäckigen Kandidaten. Es war sofort ersichtlich, dass er von Hand am Werke war.
Die Ip im Browser aufgerufen.
...und siehe da, der User hatte einen Webserver am laufen.
Wie angenommen, war es ein Xampp-Server Paket.

Und nun der Tricky Punkt. Wenn der Xammp als Superadmin läuft, und etwas bei der php/perl verarbeitung schief läuft, kann der ganze Rechner in Mitleidenschaft gezogen werden....
Wenn der Xammp mit userrechten ausgestattet ist, zerlegts bei einem programmierfehler nicht das ganze System.

Und hier noch der Tip, da viele einen Xampp am laufen haben. Auf keinen Fall, wie in mehreren Foren beschrieben, den Xampp als SuperAdmin auszuführen.

..ist das nachvollziehbar?
kilopost