Suchen

Mehr Sicherheit durch weniger Rechte Benutzer ohne Admin-Rechte

Autor / Redakteur: Thomas Joos / Peter Schmitz

Häufig erhalten Benutzer Admin-Rechte auf einem Computer, weil einzelne Programme ansonsten nicht funktionieren. Das ist seit Jahren üblich, bringt aber viele Probleme, wie zum Beispiel ein erhöhtes Malware-Risiko mit sich. Dabei sind die erweiterten Rechte in den meisten Fällen gar nicht notwendig. Windows bietet genug Möglichkeiten, damit Benutzer auch ohne Admin-Rechte mit dem System arbeiten können.

Firma zum Thema

Durch weniger Benutzerrechte erreichen Unternehmen eine höhere Sicherheit im eigenen Netzwerk, ohne die Produktivität negativ zu beeinflussen.
Durch weniger Benutzerrechte erreichen Unternehmen eine höhere Sicherheit im eigenen Netzwerk, ohne die Produktivität negativ zu beeinflussen.
(© flashmovie - stock.adobe.com)

In den meisten Fällen ist es nicht notwendig und auch nicht sinnvoll Benutzern Administrator-Rechte zu geben. Zunächst sollte analysiert werden, warum die Admin-Rechte notwendig sind. Anschließend sollten exakt die Rechte zugewiesen werden, die der Zugriff auf ein bestimmtes Programm erfordern.

Admin-Rechte für einzelne Programme

In Windows steht dazu die Registerkarte „Kompatibilität“ in den Eigenschaften von Verknüp­fungen für Programme zur Verfügung. Durch Aktivieren der Option „Programm als Ad­mi­nis­trator ausführen“ kann festgelegt werden, dass dieses einzelne Programm mit Administrator-Rechten ausgeführt wird. Auf diesem Weg lassen sich also einzelne Programme mit erhöhten Rechten starten, ohne dass ein Benutzer gleich Administratorrechte erhalten muss.

Bildergalerie
Bildergalerie mit 8 Bildern

Erhöhte Rechte durch Gruppenmitgliedschaften

Auch in Windows 10 gibt es noch eine lokale Benutzerkontensteuerung und eine lokale Benutzerverwaltung. Die lokale Benutzerverwaltung wird über „lusrmgr.msc“ im Suchfeld des Startmenüs gestartet. Hier stehen neben der Administratoren-Gruppe auch andere Gruppen zur Verfügung. Diese können auch noch in Windows 10 genutzt werden. Die Gruppe „Hauptbenutzer“ sollte zwar in Windows 10 nicht mehr verwendet werden, bieten aber dennoch erhöhte Reche, ohne gleich komplette Admin-Rechte zu vergeben.

Netzwerk­konfigurations-Operatoren“ dienen zur Delegation von Verwaltungsaufgaben, welche die Netzwerk­konfiguration betreffen. Mitglieder dieser Gruppe haben eingeschränkte administrative Rechte zur Konfiguration des Netzwerks, aber keine umfassenden Rechte für den ganzen PC.

Mitgliedern der Gruppe „Remotedesktopbenutzer“ ist es erlaubt, eine Remotedesktopverbindung zu diesem Computer aufzubauen. Wer in der Gruppe „Replikations-Operator“ Mitglied ist, verfügt über die nötigen Rechte, um den Verzeichnisreplikationsdienst zu starten.

Sicherungs-Operatoren“ können Dateien sichern und wiederherstellen. Die Mitglieder dieser Gruppe besitzen alle Berechtigungen, die für Datensicherungen und die Wiederherstellung von gesicherten Informationen erforderlich sind.

Rechte eines Administrators im Vergleich zu Hauptbenutzern

Die lokale Gruppe „Hauptbenutzer“ auf Arbeitsstationen und Servern hat nahezu ähnlich Rechte zu den lokalen Administratoren. Folgende Rechte bleiben allerdings den Administratoren eines Rechners oder Servers vorbehalten:

  • Ändern von Benutzerrechten
  • Sperrung eines Computers aufheben
  • Erhöhen von Prozess-Prioritäten im Taskmanager
  • Herunterfahren eines Systems über das Netzwerk
  • Übernahme des Besitzes von Objekten
  • Installieren und Konfigurieren von Hardware und Treibern (Hauptbenutzer dürfen allerdings Drucker installieren)
  • Ändern der Systemdateien
  • Ändern der Kennwortrichtlinien
  • Ändern der Überwachungsrichtlinien
  • Konfigurieren der lokalen Ereignisprotokolle
  • Installieren von lokalen System Diensten
  • Installieren von Service-Packs und Patches auf lokalen Maschinen
  • Aktualisierung des Betriebssystems auf eine neue Version
  • Erstellen von Administrativen Freigaben
  • Erstellen von weiteren Administratorkonten
  • Verändern von Gruppen und Benutzern, die nicht selbst erstellt wurden
  • Remotezugriff auf die Registry
  • Stoppen und Starten von Diensten die automatisch gestartet werden
  • Verwalten von Datenträgerkontingenten
  • Datenträger formatieren
  • Systembezogene Umgebungsvariablen anpassen
  • Auf andere Profile zugreifen
  • Sichern und Wiederherstellen von Dateien
Bildergalerie
Bildergalerie mit 8 Bildern

Rechte eines Hauptbenutzers im Vergleich zu Benutzern

Hauptbenutzer haben zwar weniger Rechte als Administratoren, aber deutlich mehr Rechte als normale Benutzer auf einem lokalen System. Hauptbenutzer dürfen folgende Aufgaben durchführen, was normalen Benutzern verwehrt ist:

  • Erstellen von lokalen Gruppen und Benutzern
  • Ändern selbst erstellter Gruppen
  • Erstellen und Löschen von Freigaben (keine administrativen)
  • Erstellen, verwalten, löschen und freigeben von lokalen Druckern
  • Veränderung der Systemzeit
  • Stoppen und starten von Diensten, die nicht automatisch gestartet werden
  • Berechtigung Ändern auf den Ordner Programme
  • Ändern verschiedener Registryschlüssel unter HKEY_LOCAL_MACHINE\Software
  • Schreibzugriff auf die meisten Systemverzeichnisse
  • Installation von Programmen
  • Ändern von Systemeinstellungen wie IP-Adresse und andere systemseitigen Komponenten

Rechte für Verzeichnisse reichen oft aus

Wenn ein Anwender ein bestimmtes Programm nicht öffnen kann, liegt es oft an fehlenden Schreib- oder Leserechten für verschiedene Verzeichnisse. In den meisten Fällen liegt das Problem an Schreibrechten für das Verzeichnis, in dem die Anwendung selbst installiert ist. Dabei handelt es sich meistens um ein Unterverzeichnis in „C:\Programme“, beziehungsweise „C:\Program Files“ Dazu kommt der dazu gehörige Registry-Schlüssel unter HKLM\Software.

Werden hier über das Kontextmenü die Rechte für den entsprechenden Benutzer angepasst, und erhält er Schreibrechte, stellt das Arbeiten mit bestimmten Anwendungen und Verzeichnissen meistens kein Problem mehr dar. Erhalten Benutzer das Rechte „Ändern“ für ein Programmverzeichnis und teilweise noch für das lokale Temp-Verzeichnis, sollte sich das Problem lösen lassen.

Rechte über Gruppenrichtlinien delegieren

Sie können Rechte auch über Gruppenrichtlinien delegieren. Das ist dann sinnvoll, wenn Benutzer für bestimmte Verzeichnisse auf einem Computer Zugriff erhalten sollen. Die entsprechenden Einstellungen sind in der Gruppenrichtlinienverwaltung über „Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen“ zu finden. Hier stehen auch über „Lokale Richtlinien“ zahlreiche Einstellungen zur Verfügung, die dabei helfen Benutzerrechte in Windows zu steuern.

Bildergalerie
Bildergalerie mit 8 Bildern

(ID:45400855)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist