das mit dem Administrator ist so ne Sache...
angenommen Du hast ein (Windows)Programm, das Adim-Rechte fordert:
- dann kommt auf jeden Account eine Admin-Meldung, egal ob Du da nun
mit Benutzer oder mit Benutzer-Admin Account werkelst
- dann hast Du aber nur eine Leasing-Timeout, sprich: wenn Du nach 30 Minuten
das selbe Programm starten möchtest, erscheint die gleiche Meldung (mit Key
abfrage)
das ähnliche ist, wenn Du einen Virenscanner wie A-Vast oder dem Defender ein
neues Programm unterjubbeln willst - dann kommt einmalig eine Meldung, und in
der restlichen Zeit merkt sich Avast oder Defender den Ort + Datum + Hash der
Datei.
Sollte dann an dieser Datei eine Änderung vorgenommen werden, dann wird der alte
berechnete Hash überschrieben. Und beim (neu)starten der Anwendung erscheint wieder
die der Dialog mit Admin + Key ...
Man kann das aber auf den Entwicklungs-Rechner so lösen, das man spezielle Ausnahmen
dem Avast oder dem Defender beibringt.
Das können zum Beispiel nur einzelne Executable-Dateien oder aber auch ganze
Verzeichnisse sein.
Auf einen produktiv-System hingegen würde ich nicht mit den installierten Admin-Account
die Programme freischalten, weil es auch dort den Key erfordert.
Eine Möglichkeit wäre, sich in den Richtlinien des Computers sich:
1. eine Organization anlegen (OU = Orgranization
Unit)
das hat den Vorteil, dass das vorliegende Setup nicht durch Experiemente an den
Richtlienen der jeweiligen Organization (hier: default) kaputt macht.
2. einen oder mehrere Admin-Benutzer-Account's anlegen (und ggf. abmelden und mit den
gewünschten Admin-Account weiter machen.
Passwort natürlich ändern.
3. eine oder mehrere Benutzergruppe anlegen
4. in den Benutzergruppen dann Mitglieder aufnehmen (normale Benutzer Account's)
5. den Benutzergruppen den Admin-Account als "Member of" hinzufügen
Dann könnte man sich an die Login-Zeiten und/oder Verzeichnis-Rechte heran tasten,
so dass nur bestimmte Gruppen oder Benutzer Zugriff auf veerbte oder statisch erstellte
Objekte zugreifen können.
Wenn sich nun ein Admin-Benutzer sich in das System einloggt, dann kann dieser Benutzer
mit seinen "Eigenen" Passwort das Programm starten, ohne dabei ab Super-Admin-Rechte zu
gelangen.
Das ganze kann man fast unendlich weiter treiben (zum Beispiel mit ActiveDirectory, wo
dann Domains mit Domains untereinander kommunizieren können (oder Beschränkungen unter-
liegen, die dann weiter eingeschränkt werden können,
ansonsten, das übliche weiter im Konzert (was bereits geschrieben wurde).
etc. pp... blah bla...