Administratorstatus loswerden
Um zu testen, was ich meiner Verwandschaft demnächst zumute, wenn ich Ihnen empfehle ohne Administrator-Rechte ihren PC zu benutzen, habe ich diese mir selbst entzogen.
Mein Programmierrechner ist ca. sieben Jahre alt (nicht die Hardware 😉 ). Das Betriebssystem wurde Anfang 2000 installiert und hieß Windows 98se. Dann habe ich es irgendwann auf Windows XP „upgedated“ (Dass’n Denglisch!). Windows XP hat mir automatisch ein „Vordefiniertes Konto für die Verwaltung des Computers bzw. der Domäne“, kurz ein fest eingebautes Administrator-Konto zugewiesen. [Das hat mich bisher nicht gestört. Ich hatte in den letzten Jahren ganze zwei Viren und die auch nur ein paar Minuten lang. Es schien mir blöd, mir den Rechner von der Systemwiederherstellung, dem Sicherheitscenter und einem Virenscanner permanent ausbremsen zu lassen.]
Die Microsoft Sicherheitsstrategen hatten 2001 dieses Upgrade-Missgeschick wohl nicht bemerkt.
Das Dumme an dem eingebauten Administrator-Konto ist, dass man es nicht zum normalen Benutzer degradieren kann. Sowas muss man von Hand machen, indem man das Konto kopiert. Um nicht zu vergessen, wie das geht, schreibe ich es hier auf:
Grob:
- Benutzerverzeichnis kopieren, Vollzugriff setzen, Benutzerverzeichnis-Namen im Dateisystem Suchen/Ersetzen
- User-Registry mounten, Vollzugriff setzen, Benutzerverzeichnis-Namen in der User-Registry Suchen/Ersetzen
Detailliert:
- Neues Administrator-Konto (U1) anlegen.
- Es wird temporär ein drittes Administrator-Konto (TA) benötigt.
- Als eingebauter Administrator (EA) anmelden, „cmd“ starten, „set“ tippen, das EA Benutzerverzeichnis der Variablen %HOMEDRIVE% %HOMEPATH% merken und wieder abmelden.
- Als U1 anmelden, „cmd“ starten, „set“ tippen, das U1 Benutzerverzeichnis der Variablen %HOMEDRIVE% %HOMEPATH% merken und wieder abmelden.
- TA anmelden.
- Das U1 Benutzerverzeichnis löschen.
- Das EA Benutzerverzeichnis in das U1 Benutzerverzeichnis kopieren. Wenn das mit Explorer gemacht werden soll, muss man in der Ordneransicht alle Dateien anzeigen lassen. Ich nehme dazu SpeedCommander.
- Die Berechtigungen von U1 im Benutzerverzeichnis hinzufügen. (Unter Windows XP home braucht man dazu FaJos „XP File Security Extension“.) „Datei“, „Eigenschaften“, „Sicherheit“, „Hizufügen“, „<U1>“, „OK“, „Vollzugriff“ anklicken, „Erweitert“, „Berechtigungen für alle untergeordneten Objekte durch die angezeigten Einträge, sofern anwendbar, ersetzen“, „OK“, „OK“.
- Die User-Registry von U1 in Regedit laden:
- KEY_USERS auswählen.
- Datei“->“Struktur laden“, Benutzerverzeichnis (U1)\NTUSER.DAT
- Die Rechte der eingebundenen Registry verändern. U1 muss Vollzugriff auf alle Schlüssel und Unterschlüssel haben.
- Rechtsklick auf Registry Zweig, „Berechtigungen“, „hinzufügen“, „<U1>“, „OK“, „Vollzugriff“ anklicken, „Erweitert“, „Berechtigungen für alle untergeordneten Objekte durch die angezeigten Einträge, sofern anwendbar, ersetzen“, „OK“, „OK“.
- Regedit meckert immer, dass nicht alle Berechtigungen gesetzt werden konnten. Mit Sysinternals AccessChk kann man sehen, woran es hängt: „accesschk -k -n -w -s <U1> HKU\<U1>“ listet die Einträge, bei denen U1 keine Schreibrechte hat. Bei mir war das z.B. HKU\<U1>\Software\Classes.
- Suchen vom EA Unterverzeichnis-Namen und ersetzen durch den U1 Unterverzeichnis-Namen im geladenen U1 Registry Zweig. (z.B. „C:\Dokumente und Einstellungen\Administrator“ durch „C:\Dokumente und Einstellungen\Kay“, dann „\Administrator“ durch „\Kay“). Dazu kann man sehr gut RedEdt33 benutzen.
- U1 Registry entladen. Regedit, „Datei“, „Struktur entfernen“.
- Suchen und Ersetzen des EA Unterverzeichnis-Namens in den Einstellungen von Programmen im U1 Benutzerverzeichnis. Ich habe dazu die „Suche in Dateien“ von Total Commander benutzt. Wichtig ist, dass man zweimal sucht, einmal als normaler Text, einmal als Unicode.
- Suchen des EA Benutzerverzeichnis-Namens in allen Laufwerken auf denen Software installiert ist und nur wenn nötig Ersetzten durch das U1 Benutzerverzeichnis. (Wieder Unicode und Text)
- Das Konto U1 von Administrator in Eingeschränkter Benutzer wandeln. Wenn man SuDown benutzt, kann man sich auch als U1 anmelden und „sudo cmd“ starten. SuDown trägt dann U1 in die Gruppe Sudoers ein und entfernt den Administrator-Status von U1 beim Abmelden.
- TA abmelden und ggf. löschen.
Das war’s an sich. 🙂 Ich hoffe, nichts vergessen zu haben. 😉
Bei mir hat das eine knappe Stunde gedauert. Das ist besser, als ein neues System zu installieren.
uf meinem System hatte ich dann noch Schwierigkeiten mit einigen installierten Programmen, die in Ihr Programmverzeichnis oder die Registry (HKLM) schreiben wollten, aber nicht mehr durften. Dort musste ich Vollzugriff für „Benutzer“ im Installationsverzeichnis („C:\Programme\…“) und manchmal in der Registry setzen. StrokeIt und GuildFTPd als Beispiel speichern ihre Einstellungen im Programmverzeichnis ab. EzDesk z.B. versucht zum Lesen des Lizenzschlüssels, den Registry Key mit Schreibzugriff zu öffnen… Dumm 🙄
Bei mir liefen folgende Programme wegen solcher Probleme nicht vollständig:
- EzDesk
- GuildFTPd
- Media Player Classic
- Rocket Dock
- StrokeIt
- Visual Assist
- WinAmp
- WndTabs
Blöd ist, dass auch trotz Hilfen, wie SuDown nicht alles Reibungslos funktioniert. Man muss immer noch wissen, warum bestimmte Programme ihren Dienst versagen.
Das ist nix für Omma on Oppa! Da muss man denen wohl doch Ubuntu oder Vista über helfen. 😉
Am 19. Oktober 2008 um 01:16 Uhr
Da hab‘ ich noch einen Tipp dazu…
Die Vorgehensweise funktioniert sicher, ist aber unnötig umständlich. Schon seit NT4 gibt es in den Eigenschaften des Arbeitsplatzes die Möglichkeit, Benutzerprofile zu kopieren. Dabei kann man auch gleich automatisch die Rechte korrigieren lassen. Die Vorgehensweise wird dadurch einfacher.
Einzig den zusätzlichen Interims-Adminaccount braucht man in diesem Spezialfall trotzdem, da man das Profil eines angemeldeten Benutzers nicht kopieren kann. Man braucht also ein zusätzliches Admin-Konto, wenn der Admin der zu kopierende Benutzer ist. Außerdem empfiehlt es sich, vor dem eigentlichen Kopieren den Rechner einmal durchzustarten, damit alle Dateien im Profil des zu kopierenden Benutzers sicher geschlossen sind.
Das Vorgehen ist dann: Anlegen eines neuen Administrators und des Ziel-Benutzers -> Ziel-Benutzer an- und wieder abmelden (damit das Profil angelegt wird – ohne funktioniert es nicht!) -> Interims-Admin anmelden -> Arbeitsplatz Rechtsklick -> Eigenschaften -> Erweitert -> Benutzerprofile -> Quellprofil auswählen -> Kopieren nach -> Zielpfad eingeben (das frisch angelegte Profil des Zielbenutzers) und bei den Berechtigungen den Zielbenutzer auswählen. Ggf. noch bestätigen, daß man das bestehende Profil überschreiben will. Testen und danach dann den Interims-Admin wieder löschen.
Die ganze Registry-Bearbeiterei und das Rechtegebastel spart man sich dabei, der Kopier-Dialog macht beides vollautomatisch. Es werden sowohl die Verzeichnisrechte als auch die Rechte für die Benutzer-Registry in der NTUSER.DAT angepaßt.
Wenn alles funktioniert, empfiehlt es sich, das Profil des Administrators einmal komplett zu beseitigen (es reicht, den Ordner zu löschen). So verhindert man unnötige Autostarts und hat einen „sauberen“ Admin-Account wenn man sich als selbiger anmeldet.
Am 19. Oktober 2008 um 11:37 Uhr
…jepp, das ist einfacher!
Danke 🙂