Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Ja, man kann natürlich in den NTFS-Rechten sagen, dass einem bestimmten Benutzer mit Adminrechten der Zugriff verweigert wird. Aber das kann der ja wieder aufheben.

Mein Szenario: Ich habe einen Laptop den ich verleihen möchte. Der ausleihende soll einen Account bekommen. Und da er auch Software installieren können soll, braucht er ja Administratorrechte. Er sollte aber nicht in meinem Benutzerordner herumwühlen können.

Ja, ich weiß dass das kein "echter" Schutz ist, es geht nur darum, es zu erschweren. Geht das überhaupt? Kann mir hier die mysteriöse Benutzergruppe (lusrmgr.msc) "Hauptbenutzer" weiterhelfen?

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Nein.

Ein Admin hat vielleicht nicht alle Rechte, er hat aber das Recht, sich alle Rechte zu verschaffen. Wenn deine Daten privat bleiben sollen, verschlüssele oder lösche sie.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Stimmt, aus Sicht des Dateisystems kann man jedem über die Dateisystemrechte alles verweigern,

Und über die Benutzerrechte kann ihm auch noch das Recht nehmen, die Dateisystemrechte zu übernehmen und zurückzusetzen.
> Besitz übernehmen (Besitzer der Datei/Verzeichnis auf sich ändern)
> als Besitzer hat man wieder mehr Rechte und könnte die Zugriffsrechte ändern, da man dann das Recht hat (Zugriffs)Rechte zu Ändern.

Im Grunde kann man dem Benutzer "Administrator" oder der Gruppe "Administratoren" alles verbieten, so daß er am Ende sogar weniger dürfte, als ein einfacher Benutzer/Gast.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Mein Tipp: Verleih dein Laptop nicht. Denn besser wird es dadurch garantiert nicht.
Aber wenn Du z.B. unter Androhung von Bierkästen o.ä. dazu gezwungen wirst: Sichere alles Persönliche und lösche den Ordner. Dann ist Ruhe.

Lustig wird das, wenn Du deinen Laptop verseucht zurück bekommst. Ich hab das mal mit meiner Tochter gemacht.
Neeeein, ich hab nicht [b]sie[/s] verliehen, sondern ihr den Laptop.
Und auch nicht [b]sie[/s] kam verseucht zurück, sondern der Laptop.

Ich weiß also, wovon ich spreche.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Ich hab mich noch nie intensiv damit beschäftigt, aber mglw. wären die Policies ein Hebel. Mit den Policies kann man ein Windows System ziemlich vernageln, evtl. das "Besitz übernehmen" verbieten.
Sinnvoll könnte es auch sein, den fraglichen Account als normalen User einzurichten, der "alles darf" was die eben so dürfen und für Installationszwecke einen separaten Admin Account anzulegen, den der normale User dann verwenden muss. Dann muss natürlich dieser Account weitgehend eingeschränkt werden.
Die 2 Account Technik verhindert jedenfalls erstmal unbeabsichtige Infektionen oder Drag and Drop Kamikaze wenn man sich morgens den heißen Kaffee in der Linken über den rechten Unterarm schüttet.

Problematik mit den Policies ist allerdings, dass man dass vielleicht nicht mal eben an einem Tag sauber- also wasserdicht- hinbekommt.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Viel zu viel Aufwand ... so wie die Vorredner geschrieben haben: Daten sichern, Daten löschen und gut ist. Hauptsache man erwischt dann alle persönlichen Dinge (habe selber auch Dokumenten-Ordner von der SSD weg auf die Platte gelegt und somit sind sie nicht mehr im User-Directory).

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Einfache Lösung:
* BIOS/EFI/UEFI absichern (damit man z.B. die Bootreihen nicht ändern und so ein externes LiveOS starten kann)
* Und im Windows dem "Gast" nur die nötigen Rechte geben. :stupid:

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Naja, die eigene Datensicherung byw. das *vollständige" Entfernen ist schon für sich ein Aufwand (jenachdem wie man so Ordnung hält), gespeicherte Passwörter im Browser nutzt usw. usf.
Gelöst ist dann immer noch nicht, wie und ob der Ausleiher den Rechner verseucht.
Das Internet bietet auf die Schnelle folgenden Vorschlag für die Nutzung der Policies. Ist zwar für XP, aber da kann man sicher noch mehr finden je nach benötigter OS Version und gewünschtem Absicherungslevel.
http://www.wikihow.com/Disable-Take-...-in-Windows-XP

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

eigenes Benutzerkonto für den Ausleiher > eigene Browsereinstellungen > getrennte Paswortlisten usw.
> automatisch gesperrte Verzeichnisse in den Standardbenutzerverzeichnissen (unter C:\Users)

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Das Problem ist doch nicht das neue Konto, klar dass das eigene (Browser)Pw hat- wär ja sonst auch ne Katastrophe-, sondern dass dieses neue Konto auch Admin sein soll. Der kann das PW des Verleiher Kontos ändern und sich dann dort anmelden.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Die Frage ist eher: Warum muß das ein Administratorkonto sein?
Man kann auch ein normales Gast- oder Benutzerkonto erstellen und wenn wirklich zusätzlichr Rechte nötig sind, dann gibt man sie für diesen Benutzer einzeln frei.

Nur weil jemand die Merkel in einer bestimmten Sache vertreten soll, macht man ihn/sie nicht gleich ganz zum/zur Bundeskanzler(in), sondern gibt ihm/ihr einfach nur die nötigen Befugnisse.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Ja meinetwegen, das ist aber nicht ganz die Frage des TE.
Und wenn man nun so verfahren würde, unterscheidet sich das dann in der Komplexität von dem Policy Verfahren?

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Verleih ihn mit einer anderen Festplatte/SSD (klonen und Deinen Account inkl. Daten löschen).

Die ursprüngliche Frage ist aber interessant. Meine Halbwüchsigen haben auch bemerkt dass ich als Administrator auf deren persönliche Daten zugreifen kann. Das ändern des Passworts würden sie ja bemerken. Das andere aber nicht.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Danke für die zahlreichen Rückmeldungen.

. Um ... Software installieren zu können? Oder geht das auch ohne?

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

OT
Dann lernen sie auf dem Weg schonmal wie google, facebook & co das machen. Ist doch super!
Für Eltern ist das doch ein starkes Argument: "Was darf google, was ich nicht dürfen sollte..?!"

oder

"Luke, .. ich bin schließlich Dein Vater.."
;)

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Ja, die Frage ist nur was beim Installationsvorgang so alles abläuft.
Die Haupthindernisse sind die fehlenden Schreibrechte für %programme% und ebenso für HKEY_LOCAL_Machine. Solange die Installatiom sich daran nicht stört ist alles im grünen Bereich.

Übrigens, das mit der Tochter und der Seuche hat mir gefallen, vielleicht ein wenig drastisch aber nicht sooo weit weg.

Gruß
K-H

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

@Jobo:

Na klar sind die "Verseuchungsprobleme" damit nicht gelöst, aber der schöne Günther wollte ja ursprünglich nur keinen Zugriff auf seine persönlichen Daten ermöglichen. :?

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Jain.
http://www.gruppenrichtlinien.de/art...-installieren/
www.youtube.com/watch?v=axNQsWM8w2Q :lol:

Man muß dem Konto nur erlauben in die nötigen Verzeichnisse (Dateisystem und Registry) schreiben zu dürfen.

Einziges Problem sind Programme/Installer mit "schrottigem" Prüfcode.
* Bin ich Admin?
anstatt
* Hab ih die nötigen Rechte?



Es geht auch andersrum.
Adminkonto einrichten und ihm das Schlimmste verbieten.
* Rechte andern
* Besitz übernehmen
* usw.
Aber lieber (erstmal) zu wenig freigeben, als zu wenig zu sperren.


Alternativ:
Keine Rechte zum Installieren geben und das immer nur selber machen.
Kann man auch via RDP/TeamViewer machen, oder das Installieren freischalten.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

All das schützt nicht davor, dass der Nutzer sich ein Live-System schnappt und die Rechte dort anpasst und/oder Dateien dort ausliest. Klar, ist mehr Aufwand, als das direkt im Windows zu machen, aber die Leute sind manchmal unglaublich neugierig und erfinderisch... Daten werden nur geschützt, wenn sie nicht da oder verschlüsselt sind.

MfG Dalai

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

[pingelmode]Es ging auch um Administratorrechte.
[/pingelmode]
Der Hinweis von Dalai topt leider alles.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Hi,

sieh dir mal "RunAs SPC" (www.robotronic.de/runasspc.html) an.
U.U. ist das was für dich. Privat kann man das für umme einsetzen.

Gruß
Gerald

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

verschlüsselte Daten kann man auch löschen:mrgreen:

Das ist Realismus pur.

Gruß
K-H

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Siehe Punkt 1 in Post #3.

Aber ja, vermutlich wird es immer irgendwo eine Möglichkeit geben und sei es die Festplatte auszubauen und die Daten direkt dort auszulesen.
Mit genügend Aufwand/Zeit kann man auch das Verschlüsselte entschlüsseln.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Die Frage ist da, ob es genügend Ressourcen gibt, um das zu tun. Und nach heutigen Erkenntnisstand ist das eher ein nein.
Aber Dalai hat recht: Eine verschlüsselte Datei nützt dir nichts, wenn sie gelöscht wurde.

Im Grunde ist es eine Vertrauensfrage: Vertraust du dem Nutzer, dass er nicht besonderen Aufwand betreibt, um dich zu schädigen?
Wenn ja: Super, dann braucht du nur die Gelegenheitsschnüffelei unterbinden.
Wenn nein: Bau eine andere Festplatte ein.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Hallo,

interessanter Thread mit noch interessanteren Antworten. Dann gebe ich auch mal meine 2 cents dazu. Wenn ich (m)einen Schlappi ausleihen würde, egal wem, ob meiner Frau, meinem Sohn, meiner Tochter oder einem guten Freund, ich würde mir mit Acronis ein Image auf eine USB-Platte ziehen, die Daten die Andere nichts angehen löschen, und wenn der Schlappi wieder zurück kommt, würde ich das Image wieder drüber bügeln.

(+1) Das ist zeilich gesehen effektiv, weil dauert nicht viel länger als irgendwelche Sicherungsmechanismen die eh nichts helfen einzubauen, und schont und beruhigt zudem meine Nerven

(+1) Ich habe damit definitiv nicht das Problem, dass meine persönlichen Daten Dritten zugänglich sind

(+1) So nebenbei ist auch mal wieder eine Datensicherung gemacht, der Schlappi ist nicht verseucht wenn ich ihn wieder in Betrieb nehme usw.

Also mindestens 3 Plus...und wo wären die Nachteile?

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Ich denke da liegt der Hase im Pfeffer, ich war letzt sehr erstaunt was mein PC noch alles wußte, auf welchen Seiten ich war, was für Dateien ich mal hatte usw.
Was viel schlimmer war, dabei gab es Adressen, die nie im Leben bewußt von mir angewählt worden sind.
Und das alles obwohl ich versuche allen überflüssigen Müll sofort wieder zu löschen.
Neugierigen CT-Lesern würd ich meinen PC niemals in die Hand drücken.

Gruß
K-H

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Reden wir gerade über c't 20/2014? :wink:

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

+1 :thumb:

[off topic] Die ct ist sowieso eine der wenigen noch einigermaßen interessanten Zeitschriften [/off topic]

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Eigentlich wollte ich den Zugriff nur etwas erschweren. Der Explorer fragt einen Administrator ja nur einmal, ob man sich den Zugriff auf den Ordner eines anderen Benutzers verschaffen möchte.

Aber gut dass wir über alles gesprochen haben :-)

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Der Spruch könnte von meinem Psychiater sein :wink:

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Alternativ nach dem Backup das Windows einfach neu installieren. (Statt Acronis kann man zum Beispiel auch HDClone verwenden, Auswahl gibt es bei solchen Programmen ja doch ;) )

Gruß,
Sven

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Um mal noch etwas Konkretes beizutragen: Ich empfehle ebenfalls, dem Nutzer keine Administratorrechte zu geben und stattdessen mit RunAsSpc (Freeware) oder RunAs Professional (Löhnware für 10 EUR) irgendein Programm zu starten, über das Installationen mit Adminrechten ausgeführt werden können. "Irgendein Programm" sollte man natürlich sehr genau überlegen und aussuchen; Explorer geht z.B. nur über Umwege und ist sicher auch nicht gerade sinnvoll.

Das ist übrigens auch genau der Weg, den ich bei meinen Kunden gehe: Adminrechte haben die keine, das Passwort des Admins haben sie ebenfalls nicht, aber sie können über ein von mir entwickeltes Programm Software installieren/deinstallieren oder Systemeinstellungen ändern. Die Benutzung dieses Programms wird protokolliert, so dass ich nachvollziehen kann, wann und wie oft davon Gebrauch gemacht wurde, um dann ggf. zu sagen: "Selber schuld" ;).

MfG Dalai

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

@Dalai: Und wo sind die Zugangsdaten hinterlegt? Oder wie funktioniert dein Programm?

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Die liegen (symmetrisch) verschlüsselt in einer INI, die zum Programm gehört. Ja, ich weiß, ist nicht so besonders toll sicher, aber für den Einsatzzweck reicht das, um die Schwelle für den normalen Nutzer deutlich höher zu legen (man müsste erstmal rausfinden, womit das Passwort verschlüsselt ist). Die von mir o.g. besonders neugierigen und findigen Nutzer wird man damit u.U. nicht abhalten können, aber mit denen hat man eh andere Probleme ;).

MfG Dalai

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Wenn ich das hier richtig verstehe, könnte auch sowas wie funktionieren, in Analogie zum simplen auf Linux (und ähnlichen Dateien bei anderen unixoiden Systemen.) - hab gerade kein Windows zur Hand zum Testen, aber fände ich sehr cool wenn das ginge.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Ich weiß nicht ob die Frage noch aktuell ist oder schon beantwortet wurde, aber der Typ der noch mehr Rechte als Administrator hat, der nennt sich System. Also es ist nicht ganz einfach als System zu arbeiten, aber auch nicht unmöglich. Und wenn der dem Admin die Rechte nimmt, dann kann der Admin sich meiner Kenntnis nach auch nicht so einfach die holen. Das ist so weit ich aber weiß kein regulärer weg, denn eigentlich ist der System nicht dazu gedacht damit zu arbeiten. Ich hab aber mal darüber gelesen, dass man sich Zugriff drauf holen kann. Und da das System noch vor dem Admin steht, kann ich mir vorstellen, dass der den Admin beschränken kann.

Aber meiner Kenntnis nach muss nicht so weit gehen. Soviel ich weiß gibt es unter Windows das Recht des Hauptbenutzers. Hauptbenutzer kann mehr als ein normaler Nutzer, aber nicht so viel wie der Admin. Soviel ich weiß kann er Programme installieren. Das ist also das was er mehr als der normaler Nutzer kann. Er kann sich aber nicht mehr Rechte geben.

Der Hauptbenutzer könnte das sein was du suchst.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Danke für den Hinweis.
Ich hatte es auch so in Erinnerung, ich glaube unter XP könnte es sogar so oder so ähnlich gewesen sein. Mittlerweile scheint das aber nicht mehr zu funktionieren, auch der Hauptbenutzer wird nach einem Admin-Login gefragt wenn er ein Programm installieren möchte.

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Nein, du verstehst das nicht richtig. Die DosDevices, die in dem Link beschrieben sind, sind überhaupt dafür da, dass bei dir ein C: im Windows Explorer auftaucht. Der normale Pfad im NT Namespace ist nämlich \Devices\Harddisk1\HarddiskVolume0 (oder welche Indizes auch immer).
Unabhängig davon würde das aber auch nicht funktionieren, da "copy" nur mit Dateien arbeitet, du möchtest aber eine Kopie der gesamten Festplatte, was
1. die Dateien beinhaltet, die aktuell im Zugriff sind
2. die Metadaten aller Dateien (Zugriffsrechte, Alternate Data Streams, etc.)
3. die Metadaten des Dateisystems
Backupprogramme wurden nicht ohne Grund entwickelt...

@Der schöne Günther: Eine weitere Idee, die du probieren könntest, bei der ich allerdings nicht weiß, wie gut sie unter nem UAC System wie Windows 7 oder Windows 8 funktioniert: es gibt die Gruppe Power Users, welche Programme installieren darf und auch Accounts anlegen/ändern darf, letzteres aber nur bei Accounts, die selbst angelegt wurden. Benutzer dieser Gruppe dürfen auch nicht einfach Dateien in Besitz nehmen, wie es ein Administrator kann. Du könntest also nun einen normalen Benutzeraccount erstellen und diesen der Gruppe der Power User zuweisen. Aber bitte erst testen, wie gut sich das mit der UAC verträgt ;) (und es hindert auch niemanden dran das System zum Beispiel mit nem Linux zu starten und auf deine Dateien zuzugreifen oder die Festplatte auszubauen und über ein anderes System zu gehen...)

Gruß,
Sven

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

Diese Gruppe "Power Users" hört sich genau nach dem an, was ich will. Aber anscheinend gibt es die seit nach Windows XP nicht mehr:

http://serverfault.com/q/525880
http://en.wikipedia.org/wiki/Power_u...administration

AW: Kann man einem Administrator den Zugriff auf ein Verzeichnis verweigern?
 

IIRC konnte man zumindest unter Vista noch einen Hauptbenutzer anlegen, allerdings stand dort schon der Hinweis "Nur aus Kompatibilitätsgründen vorhanden" oder so ähnlich.