Administrator-Passwort?

[bongo]

Hallo zusammen,

ich habe auf meinem Laptop zwei Konten. Ein Administratorkonto und ein "normales" Konto. Wenn ich im normalen Konto etwas installieren will, erscheint eine Abfrage nach dem Admin-Passwort. So weit, so gut. Wenn ich allerdings das Logon-Passwort meines Admin-Kontos eingebe, wird das nicht genommen. Muss man noch ein zusätzliches Passwort vergeben?

 

[bisy]

nö, es wird nur das Passwort von dem Admin Account benötigt.

Kannst du dich den ganz normal in dem Admin Konto einloggen?

 

[Nilson]

Der User "Administrator" ist ein anderer als dein User mit Admin-Rechten. Nach was fragt er genau? Deinem Admin-Konto oder dem Administrator-Konto? Was passiert wenn du in dem Fenster einen anderen (deinen) User angibst?

 

[bongo]

D'oh. Das Admin-Konto ist auf deutsch, das normale Konto ist auf englisch. Wenn ich das richtige Passwort mit der englischen Tastaturbelegung eingebe, funktioniert das auch.

Noch eine weitere Frage: Kann man mit Bordmitteln irgendwie ein Einmalpasswort für die Installation vergeben? Der Laptop steht nicht bei mir. Wenn der User irgendwas installieren will und das für mich in Ordnung ist, soll er das können. Wenn ich das Admin-Passwort rausrücke, kann er sich natürlich auch als Admin anmelden...

Oder braucht man dann sowas wie Remote Desktop?

Ein Schlagwort würde mir schon reichen, dann kann ich mir das zusammensuchen.

 

[snaxilian]

Zu den Einmalkennwörtern: Nein, so etwas ist mir nicht bekannt aber es gibt andere Mittel und Wege.

Entweder darf der Endbenutzer in keiner Weise Programme installieren > Dann muss dies eben durch dich geschehen oder du musst ihn dafür irgendwie ermöglichen.

Einfacher wäre es wenn ihr dann einen Pool an relevanten Anwendungen bereit stellt aus dem sich der Endanwender selbst welche zusammen klicken kann. Vorteile für den User: Keine Wartezeit, nicht abhängig davon ob "die IT" Zeit hat. Vorteile für euch: Keine repetitiven Aufgaben für dich/euch. Nachteil für euch: Ihr müsst den firmen-eigenen "App Store" pflegen bei neuen Versionen.

Weitere Variante: Ihr verrammelt mit AppLocker das System, dass der User nur für ihn relevante Anwendungungen starten darf und erlaubt zusätzlich dem User Installationsrechte in ein einzelnes bestimmtes Verzeichnis wie z.B. C:\program files\company-name\. Dann kann er selbst dort installieren was er braucht und auch da ausführen. Potentielle Malware nutzt diverse Systemtools, die er als User aber nicht ausführen darf. Aber Achtung: Manche Schadsoftware lädt weitere Tools nach, solange diese im "Installationsverzeichnis" der Malware landen, darf sich diese auch ausführen. Usability steigt aber eben auch die Angriffsfläche. Es kann Szenarien geben wo was Risiko vertretbar ist weil man sich ernsthaft mit IT-Sicherheit beschäftigt und die durch diese Umsetzung entstehenden Risiken anders abfängt. Ist aber leider selten der Fall.

Die c't hat seit 2017 immer mal wieder Themen und Artikel dazu veröffentlicht wie man manche Funktionen von AppLocker und co auch ohne Win 10 Enterprise Lizenz legal nutzen kann. Gute Übersicht für den Anfang wäre u.a. hier: https://www.msxfaq.de/windows/endpointsecurity/applocker.htm

Aber User sind kreativ, besser wäre ein arbeiten mit ihnen als gegen Sie. Erkundigt euch daher welche gängigen Tools gebraucht werden und bindet diese in eure Installationsimages ein oder rollt diese nach der Installation aus. Also $Browser, evtl. ein PDF Betrachter, ein Entpackungstool, einen Mediaplayer, Office, sonstige in der Firma benötigte Individual- oder Branchensoftware, etc.

 

[bongo]

OK, danke. So kompliziert ist das nicht. Der Laptop steht bei meinem Vater. Ich möchte nur nicht, dass er jeden Scheiß installiert oder Systemeinstellungen ändert, dass irgendwann nichts mehr geht und ich mich dann ins Auto setzen darf und dann das System wieder ans Laufen zu bringen. Von daher wäre ein Remote Zugriff wirklich am besten. Dann muss ich nur dafür sorgen, dass der Laptop ins Netz kommt.