So, erstes Zwischenerkenntnis:
Scheinbar benötigt ein Großteil der installierten Programme bewusst mehr Rechte, als ein Standard-User bekommt. Folglich habe ich, wie angekündigt, mehrere Admin-Konten erstellt und diesen die Zugriffe auf die jeweiligen "Eigene Dokumente" der anderen Admins gesperrt (Sperre schlägt Zugriffsrecht).
@Yuuri: Ja, du hast Recht. Ich bin kein ITler, aber in meinem Unternehmen einer von zwei Personen, für die ein PC kein "Zauberkasten" ist. Ich assemble meine Spiele-PCs selber und wenn ich ein Problem bei der Anwendung habe (so wie hier), weiß ich zumindest, wonach ich suchen muss. Wenn mir dann jemand Schritt-für-Schritt-Anleitungen oder zumindest Schlüsselwörter gibt, dann finde ich mich schon zu recht. Dein Hinweis, dass ich aufpassen soll was ich tue, ist bei mir Grundvoraussetzung, wenn ich an einem PC oder Gerät im Root-Modus arbeite. Dem Hidden-Admin habe ich ein Passwort gegeben und ihn wieder versteckt. (Standardmäßig hat der kein Passwort. Sehr schlau seitens MS.) Den Trusted-Installer habe ich nachgelesen; empfinde ich für 99% der User als sinnvoll, für mich aber als störend und bevormundend. Ich arbeite mit Windows seit zig Jahren und mit jeder Version werde ich mehr und mehr in meinem Handlungsspielraum eingeschränkt.
@Syberdoor: Habe deinen Tipp mit gpedit.msc getestet. (Anm.: Zwischen "Sicherheitseinstellungen" und "Sicherheitsoptionen" war noch ein Unterpunkt "Lokale Richtlinien" ... oder so; weiß es grad nicht auswendig).
Die erste Option habe ich geändert und getestet, ob es erfolgreich war. --> Leider Nein.
Danach die anderen drei Dinge gecheckt, wovon 2 bereits so eingestellt waren, wie vorgeschlagen. --> Immer noch kein Erfolg.
Habe alles wieder rückgängig gemacht...
@miac: Ich gehe einfach davon aus, dass die meisten Programme, die auf dem Rechner laufen, erweiterte Rechte brauchen. Einige reine Lese-Programme (Image-Reader bspw.) machen keine UAC-Probleme. Also liegt es wohl an den Analyse-Programmen udgl.
WEITERGEHENDE FRAGE:
Da der PC jetzt mehrere Admins hat, die allesamt keinen Internet-Zugang haben (der PC hängt wie gesagt weder im Internet noch Intranet) habe ich mir überlegt, für die einzelnen User USB-Ports zu blocken. Dann ist das Installieren von Software auch nicht mehr möglich (außer über CD/DVD; aber das lass ich jetzt mal außen vor) und es wird vermieden, dass Daten falsch aufgespielt werden.
Kann ich mit Win-internen Mitteln die (unbenutzten) USB-Ports für einzelne User (Achtung: Admins) blockieren?
(Also so, wie ich einzelnen Usern den Zugriff auf verschiedene Ordner geblockt habe)
Bei einer ersten Google-Recherche habe ich nur Tools dazu gefunden; will aber eben nichts auf diesen Rechnern installieren, was nicht der Analyse dient.
Das einzige zum Thema GPO war der folgende Link: (Hoffe, das ist forum-regelkonform?)
http://www.petri.com/disable_usb_disks_with_gpo.htm
Das werd ich eben mal testen...
Danke für weitere Tipps; danach geb ich Frieden, versprochen.
