Ja, man kann natürlich in den NTFS-Rechten sagen, dass einem bestimmten Benutzer mit Adminrechten der Zugriff verweigert wird. Aber das kann der ja wieder aufheben.

Mein Szenario: Ich habe einen Laptop den ich verleihen möchte. Der ausleihende soll einen Account bekommen. Und da er auch Software installieren können soll, braucht er ja Administratorrechte. Er sollte aber nicht in meinem Benutzerordner herumwühlen können.

Ja, ich weiß dass das kein "echter" Schutz ist, es geht nur darum, es zu erschweren. Geht das überhaupt? Kann mir hier die mysteriöse Benutzergruppe (lusrmgr.msc) "Hauptbenutzer" weiterhelfen?

Nein.

Ein Admin hat vielleicht nicht alle Rechte, er hat aber das Recht, sich alle Rechte zu verschaffen. Wenn deine Daten privat bleiben sollen, verschlüssele oder lösche sie.

Stimmt, aus Sicht des Dateisystems kann man jedem über die Dateisystemrechte alles verweigern,

Und über die Benutzerrechte kann ihm auch noch das Recht nehmen, die Dateisystemrechte zu übernehmen und zurückzusetzen.
> Besitz übernehmen (Besitzer der Datei/Verzeichnis auf sich ändern)
> als Besitzer hat man wieder mehr Rechte und könnte die Zugriffsrechte ändern, da man dann das Recht hat (Zugriffs)Rechte zu Ändern.

Im Grunde kann man dem Benutzer "Administrator" oder der Gruppe "Administratoren" alles verbieten, so daß er am Ende sogar weniger dürfte, als ein einfacher Benutzer/Gast.

Mein Tipp: Verleih dein Laptop nicht. Denn besser wird es dadurch garantiert nicht.
Aber wenn Du z.B. unter Androhung von Bierkästen o.ä. dazu gezwungen wirst: Sichere alles Persönliche und lösche den Ordner. Dann ist Ruhe.

Lustig wird das, wenn Du deinen Laptop verseucht zurück bekommst. Ich hab das mal mit meiner Tochter gemacht.
Neeeein, ich hab nicht [b]sie[/s] verliehen, sondern ihr den Laptop.
Und auch nicht [b]sie[/s] kam verseucht zurück, sondern der Laptop.

Ich weiß also, wovon ich spreche.

Ich hab mich noch nie intensiv damit beschäftigt, aber mglw. wären die Policies ein Hebel. Mit den Policies kann man ein Windows System ziemlich vernageln, evtl. das "Besitz übernehmen" verbieten.
Sinnvoll könnte es auch sein, den fraglichen Account als normalen User einzurichten, der "alles darf" was die eben so dürfen und für Installationszwecke einen separaten Admin Account anzulegen, den der normale User dann verwenden muss. Dann muss natürlich dieser Account weitgehend eingeschränkt werden.
Die 2 Account Technik verhindert jedenfalls erstmal unbeabsichtige Infektionen oder Drag and Drop Kamikaze wenn man sich morgens den heißen Kaffee in der Linken über den rechten Unterarm schüttet.

Problematik mit den Policies ist allerdings, dass man dass vielleicht nicht mal eben an einem Tag sauber- also wasserdicht- hinbekommt.

Viel zu viel Aufwand ... so wie die Vorredner geschrieben haben: Daten sichern, Daten löschen und gut ist. Hauptsache man erwischt dann alle persönlichen Dinge (habe selber auch Dokumenten-Ordner von der SSD weg auf die Platte gelegt und somit sind sie nicht mehr im User-Directory).

Verleih ihn mit einer anderen Festplatte/SSD (klonen und Deinen Account inkl. Daten löschen).

Die ursprüngliche Frage ist aber interessant. Meine Halbwüchsigen haben auch bemerkt dass ich als Administrator auf deren persönliche Daten zugreifen kann. Das ändern des Passworts würden sie ja bemerken. Das andere aber nicht.

Danke für die zahlreichen Rückmeldungen.

. Um ... Software installieren zu können? Oder geht das auch ohne?

Ja, die Frage ist nur was beim Installationsvorgang so alles abläuft.
Die Haupthindernisse sind die fehlenden Schreibrechte für %programme% und ebenso für HKEY_LOCAL_Machine. Solange die Installatiom sich daran nicht stört ist alles im grünen Bereich.

Übrigens, das mit der Tochter und der Seuche hat mir gefallen, vielleicht ein wenig drastisch aber nicht sooo weit weg.

Gruß
K-H

Jain.
http://www.gruppenrichtlinien.de/art...-installieren/
www.youtube.com/watch?v=axNQsWM8w2Q

Man muß dem Konto nur erlauben in die nötigen Verzeichnisse (Dateisystem und Registry) schreiben zu dürfen.

Einziges Problem sind Programme/Installer mit "schrottigem" Prüfcode.
* Bin ich Admin?
anstatt
* Hab ih die nötigen Rechte?



Es geht auch andersrum.
Adminkonto einrichten und ihm das Schlimmste verbieten.
* Rechte andern
* Besitz übernehmen
* usw.
Aber lieber (erstmal) zu wenig freigeben, als zu wenig zu sperren.


Alternativ:
Keine Rechte zum Installieren geben und das immer nur selber machen.
Kann man auch via RDP/TeamViewer machen, oder das Installieren freischalten.