Administrator-Konto vs. Konto der Administratoren-Gruppe

Question

Hallo zusammen

Ich würde bei diesem Thema unter Windows 7 gerne mal durchblicken, mir ist zwar schon vieles bekannt, aber einiges, was ich an verschiedenen Orten schon gelesen habe, macht für mich (noch) nicht so Sinn.

Im folgenden werde ich diese Abkürzungen verwenden:
Adm = das eingebaute (spezielle) Administratorkonto (habe ich aktiviert)
A = ein Benutzerkonto mit Adminrechten (der Gruppe "Administrators")
U = ein Benutzerkonto mit Standardrechten (der Gruppe "Users")

Wenn ich mich mit U anmelde und ein Programm starte, geschieht dies ja mit Standardrechten. Falls es Adminrechte braucht, kommt die UAC, wo ich Adm oder A dazu auswählen kann (sogar wenn diese leere Passwörter haben!)
Haben diese jedoch ein Passwort, das ich nicht kenne, kann ich das Programm nicht mal mit eingeschränkter Funktionalität starten. Bei komplett deaktivierter UAC kann ich es auch starten, das Programm läuft einfach nur mit Standardrechten, aber es läuft.
Das ist doch irgendwie ein Widerspruch?

Wenn ich mich mit A anmelde und ein Programm starte, geschieht dies scheinbar nur mit Standardrechten. (das habe ich mal gelesen, geht somit nicht mehr nach dem Motto "Programme haben immer so viele Rechte wie der Benutzer.") Ein Programm läuft von A her gesehen quasi mit "erniedrigten" Rechten und muss Adminrechte speziell anfordern, was mit und ohne UAC problemlos geht, und natürlich immer ohne Passworteingabe.

Wenn ich mich mit Adm anmelde, scheint die UAC grundsätzlich deaktiviert zu sein, und alle Programme laufen mit Adminrechten. (der Rechtsklick als Admin starten ist in dem Sinn überflüssig)

Jetzt hätte ich ein paar konkrete Fragen:
- Adm und A gehören beide zu "Administrators" und trotzdem haben sie Unterschiede, was die Ausführung von Programmen betrifft. Gibt es noch andere Unterschiede?
- Was bringt mir A für Vorteile im Gegensatz zu U, wenn ja die Programmausführung doch gleich ist und mich die UAC im Falle von Adminrechten temporär umschalten lässt?
- Wäre es theoretisch möglich, nur mit einem Konto U zu arbeiten (A würde nie erstellt oder gelöscht, Adm deaktiviert), wenn einen die Windows-Erstinstallation nicht zwingen würde, ein Konto mit Adminrechten zu erstellen?

Und noch speziell diese Frage:
-Vor ein paar Monaten konnte ich noch mit Adm und A auf Standardfreigaben (C$, D$, ...) zugreifen, neuerdings geht das nur noch mit Adm, das dazu natürlich aktiviert und passwortgeschützt sein muss. Hat Microsoft das mit irgend einem Update geändert? Und lassen sich die Freigabeberechtigungen für diese Freigaben irgendwo einstellen wie bei normalen Freigaben? (In der Computerverwaltung geht es leider nicht.)

Danke für eure Antworten und ggf Korrekturen meiner Aussagen! (und fürs Lesen meines etwas langen Beitrages ;-) )

Gruss Manuel

Answer 1

Hallo Manuel,

mit einem Standardkonto können z.B. keine wichtigen (System-)Dateien gelöscht und auch keine Änderungen vorgenommen werden, welche sich auf andere Benutzerkonten auswirken könnten. Deshalb sind für solche Aktionen die Berechtigungen eines Administratorkontos erforderlich, welchen man in der von dir geschilderten Art temporär aufrufen kann. Dass die Sache auch dann klappt wenn kein Kennwort vergeben wurde finde ich eigentlich anwenderfreundlich, da dies einen schnellen Wechsel in erhöhte Rechte ermöglicht. (Dafür mussten unter XP noch zusätzliche Tools bemüht werden.) Gibt es mehrere Benutzer des Rechners und sollen denen nur die ihnen eingeräumten Standardrechte zur Verfügung stehen, muss man lediglich ein Admin-Kennwort vergeben, welches man dann allerdings auch künftig selbst eingeben muss. Das ist aber immer noch bequemer als komplett den Benutzer zu wechseln.

Administratorkonten laufen üblicherweise mit der Berechtigung von Standardkonten was bei den o.a. Aktionen dann zu Rückfragen führt, ob diese auch tatsächlich ausgeführt werden sollen. Bei entsprechender Bestätigung erhält das Administratorkonto dann seine eigenen vollen Rechte und die Aktion wird ausgeführt. Die Eingabe eines (vergebenen) Kennwortes wird dabei aber nicht gefordert, da man unter diesem Profil ja bereits angemeldet ist. Die 'Empfindlichkeit' der UAC lässt sich für ein Administratoren-Konto unterschiedlich einstellen, von 'Bei jedem Sch... melden' bis 'Schn... halten'.

Ein auswählbares Konto 'Administrator' wird nur unter Win7 Professional und Ultimate angezeigt, unter Home jedoch nicht. Man kann also im Prinzip unter Home auch kein Administrator-Kennwort einstellen, woraus sich wiederum ergibt, dass hier zwingend mindestens ein auswählbares Benutzerkonto in der Gruppe Administratoren' existieren muss. Ob man darauf unter Professional/Ultimate verzichten könnte, kann ich dir nicht sagen, aber auch bei Win 7 gilt, dass jedes sich gerade im Zugriff befindliche Benutzerprofil auch zerschossen werden kann und so würde ich den 'Admininistrator' nur dann bemühen, wenn es unbedingt erforderlich ist.

Deine 'spezielle Frage' dürfte kaum mit einem Update zusammenhängen, hier muss es andere Ursachen geben. Mangels vergleichbarer Erfahrungen kann ich nicht mal vermuten, wo diese liegen könnten.

Gruß
Kalle

Answer 2

Hallo Kalle

Danke dir für deine ausführliche Antwort. Jetzt verstehe ich einiges besser.

Etwas würde ich gerne noch fragen: Wenn ich mit einem Administratorkonto arbeite und auf einen Ordner zugreife, bei dem mein Benutzer nicht explizit Zugriffsrecht hat, aber sehr wohl die Gruppe "Administrators", zu der ich ja gehöre, kommt die UAC und bietet mir die Möglichkeit, "dauerhaft" Zugriff zu erhalten. Das heisst, für mein Konto wird dauerhaft bei allen Dateien in diesem Ordner Zugriffsrecht eingeräumt (was bei vielen Unterordnern und Dateien manchmal etwas dauern kann). Ich möchte als Admin aber nur einmal schnell Zugriff haben, also nur temporär, nicht dauerhaft und die Rechte in alle Dateien schreiben. Den Explorer als Admin auszuführen habe ich versucht, hat leider nichts gebracht.
Wie kann ich das bewerkstelligen?

Gruss Manuel