Forum>Software>Admin oder nicht

Admin oder nicht

jensche16.04.1213:46
Hallo zusammen

Immer wieder liest man das es nicht optimal wäre mit dem Admin User zu arbeiten. Sprich man sollten 2 User haben, einen Admin und einen Arbeitsuser ohne Admin Rechte. Dies wegen der Sicherheit.

Was ist nun richtig/gut/empfehlenswert?

0
Umfrage

Was ist besser?

  • Mit dem Adminuser arbeiten
    52,1 %
  • 2 User zu haben (Admin und Arbeitsuser ohne Adminrechte)
    47,9 %

Kommentare

Marcel Bresink16.04.1214:16
Diese Umfrage ist ohne Angabe von Betriebssystem und Betriebssystemversion nicht sinnvoll.

In Mac OS X Snow Leopard und Windows Vista ist es z.B. empfehlenswert, nicht als Admin zu arbeiten. In Mac OS X Lion und Windows 7 ist dies viel weniger wichtig.
0
Duck Dodgers
Duck Dodgers16.04.1214:37
Recht hast du. Aber trotzdem macht es für einen Normal-User Sinn, immer in einem Standard-Account zu arbeiten.
„The difference between men and boys is the price of the toys.“
0
jensche16.04.1214:44
ah... sorry...

OS X Lion.
0
fabisworld
fabisworld16.04.1214:52
Marcel Bresink
In Mac OS X Snow Leopard und Windows Vista ist es z.B. empfehlenswert, nicht als Admin zu arbeiten. In Mac OS X Lion und Windows 7 ist dies viel weniger wichtig.

Marcel
Interessant! Verrätst Du den weniger fachkundigen Mitlesenden wie mir auch noch kurz, warum Du das so siehst?

Ich frage nur deshalb, weil bisher doch wohl die folgende "Regel" als Empfehlung galt: Grundsätzlich ist auch bei Mac OS X ein Standard-Benutzer einem Benutzer mit administrativen Rechten für die alltägliche Arbeit vorzuziehen!
0
Marcel Bresink16.04.1215:40
Vorweg: Auch in Lion ist es grundsätzlich "sicherer", nicht als Admin zu arbeiten. Es gibt aber Bugs (z.B. in Xcode), die es manchmal unausweichlich machen, einen Administrator-Account zu verwenden, und dann muss man abwägen, was in der Praxis für die persönliche Umgebung am sichersten ist.

Die größte Gefahr beim Arbeiten mit einem Admin-Account lag früher darin, dass der Benutzer und die vom ihm gestarteten Programme das Recht hatten, systemweite Einstellungen oder installierte Programme zu ändern. Diese Gefahr besteht ab Lion nicht mehr, da Administratoren nicht mehr das Recht haben, in die rechnerbezogene Library, in vorinstallierte (oder AppStore-installierte) Programme oder in den obersten Ordner der Systemplatte zu schreiben. Dieses Recht kann nur kurzzeitig und vorübergehend durch zusätzliche Eingabe eines Administratorkennworts erlangt werden.
0
Hot Mac
Hot Mac16.04.1216:33
Ich verwende seit ewigen Zeiten nur den Admin Account.
Bin damit bislang gut gefahren.
„Champagne for my real friends, real pain for my sham friends!“
0
Waldi
Waldi16.04.1217:25
Ich bin mein eigener und einziger Admin.
0
KarstenM
KarstenM16.04.1217:27
@Waldi
Ich auch.
0
Tuco16.04.1218:21
Selbstverständlich ohne Adminrechte.
0
Sascha7716.04.1219:49
Nachteil von Standardaccounts: Softwareaktualisierung meldet sich nicht automatisch.
0
Boedefeld16.04.1219:52
Ich nutze bei mir auch den Adminaccount und bin bisher gut damit gefahren.
0
dom_beta16.04.1220:28
Marcel Bresink
Vorweg: Auch in Lion ist es grundsätzlich "sicherer", nicht als Admin zu arbeiten.

Redest du jetzt von admin oder root?
„...“
0
jensche17.04.1209:12
ich kenne auch nur das arbeiten im Admin Modus...
0
Marcel Bresink17.04.1209:29
Redest du jetzt von admin oder root?

Wenn ich Admin sage, meine ich das auch.
0
Sagrido
Sagrido17.04.1211:54
Blöde Frage - der Systemassistent richtet einen Admin-Account für den Computer-Besitzer ein und so ist es auch per Design gedacht.
Benutzeraccounts ohne Admin-Rechte sind für Mitbenutzer gedacht.
0
Marcel Bresink17.04.1212:11
Sagrido
Ja, das ist die einfache Standard-Art, das zu konfigurieren. Man kann aber nicht sagen, dass andere Arten falsch, oder "von Apple nicht so gedacht" wären.

Was in diesem Thread diskutiert wird, ist die folgende Situation: Man legt sofort nach der Erstinstallation des Computers einen zweiten Benutzer ohne Adminrechte an und arbeitet danach auch als "Besitzer" nur noch mit diesem zweiten Account. Der Admin-Account wird nur für Notfälle benutzt. Diese Konfiguration ist sicherer, und bei den Systemen vor Lion sogar "viel sicherer".

In großen Schulen oder Firmen ist die Situation natürlich wieder ganz anders: Da hat man dann vielleicht 3 Administratoren und mehrere tausend Benutzer. Die werden natürlich nicht lokal angelegt, sondern über einen Netzwerkverzeichnisdienst dazugeschaltet.

Für alle diese Beispiele ist Mac OS X ab Werk ausgelegt. Welche Art der Einrichtung die beste ist, hängt ganz von Situation und Bedürfnissen ab.
0
buck
buck17.04.1217:35
Ich denke, dass das auch von Wissensstand des Benutzers und der installierten firewall abhängt.
Wenn man nicht genau weiß was man so alles macht sollte man (meiner Meinung nach) lieber mit 2 Accounts arbeiten. Da ist die Gefahr, dann doch mal Sachen zu machen/erlauben die nicht so gut sind, eben geringer.
Mir persönlich wäre es zu umständlich immer wieder mal die Admindaten einzugeben.
0
Marcel Bresink17.04.1217:57
Ich denke, dass das auch von [...] der installierten firewall abhängt.

Wie das? Zwischen Benutzerrechten und den üblichen Paketfilter-Firewalls gibt es überhaupt keinen technischen Zusammenhang. Die Firewall steuert nur, welche Dienste über die Netzwerkschnittstelle hinweg kommunizieren dürfen. Sie hat mit Benutzerrechten nichts zu tun.

Und die Vorstellung, dass eine konventionelle Firewall vor Schadsoftware schützt, ist falsch. Dazu bräuchte man schon gut gewartete, inhaltsbasierte Firewall-Systeme, die jenseits der 700-EUR-Marke liegen.
Mir persönlich wäre es zu umständlich immer wieder mal die Admindaten einzugeben.

Diese Argumentation ergibt keinen Sinn. Um "gefährliche" Dinge zu tun, müssen die Admindaten in Mac OS X immer noch einmal extra eingegeben werden, egal ob man gerade Admin ist oder nicht. Ein Nicht-Admin muss für diese Dinge halt zwei Namen und Kennworte kennen, seine eigenen Anmeldedaten und die eines Admins.
0
buck
buck17.04.1218:10
Marcel Bresink
Wie das? Zwischen Benutzerrechten und den üblichen Paketfilter-Firewalls gibt es überhaupt keinen technischen Zusammenhang. Die Firewall steuert nur, welche Dienste über die Netzwerkschnittstelle hinweg kommunizieren dürfen. Sie hat mit Benutzerrechten nichts zu tun.

Und die Vorstellung, dass eine konventionelle Firewall vor Schadsoftware schützt, ist falsch. Dazu bräuchte man schon gut gewartete, inhaltsbasierte Firewall-Systeme, die jenseits der 700-EUR-Marke liegen.
Das ist schon klar. Das hätte ich wohl genauer schreiben sollen. Ich meinte damit auch nur, dass man sich ja auch "unsichere" Installationen / Dateien über das Netz einfangen kann und da kann mir eben die Firewall helfen / Hinweise geben.
Diese Argumentation ergibt keinen Sinn. Um "gefährliche" Dinge zu tun, müssen die Admindaten in Mac OS X immer noch einmal extra eingegeben werden, egal ob man gerade Admin ist oder nicht. Ein Nicht-Admin muss für diese Dinge halt zwei Namen und Kennworte kennen, seine eigenen Anmeldedaten und die eines Admins.
Genau das meine ich. Dann muss ich ja immer noch die Anmeldedaten des Admin zusätzlich eingeben und das ist mir zu umständlich.

Ich arbeite aber auch fast ausschließlich alleine an meinem Rechner und mit vertrauenswürdigen Programmen bzw. Programmen von bekannten, vertrauenswürdigen Herstellern wie z.B. TinkerTool
0
Marcel Bresink17.04.1218:21
Ich meinte damit auch nur, dass man sich ja auch "unsichere" Installationen / Dateien über das Netz einfangen kann und da kann mir eben die Firewall helfen / Hinweise geben.

So habe ich das auch verstanden, deshalb sage ich ja, dass das ein Trugschluss ist: Eine konventionelle Paketfilter-Firewall kann da weder helfen, noch Hinweise geben.
Dann muss ich ja immer noch die Anmeldedaten des Admin zusätzlich eingeben und das ist mir zu umständlich.

Das Kennwort muss immer zusätzlich eingegeben werden. Die einzige Arbeitserleichterung besteht darin, dass ein Admin seinen eigenen Namen nicht noch ein zweites Mal tippen muss.
0
Marcel_75@work
Marcel_75@work18.04.1213:33
Sascha77
Nachteil von Standardaccounts: Softwareaktualisierung meldet sich nicht automatisch.

Da hast Du recht und ich werde noch einmal explizit darauf hinweisen (denn ich hatte es hier "vergessen" zu erwähnen):

Marcel Bresink:

Aber ist es nicht auch noch bei Lion so, dass ein "privilege escalation" dazu führen kann, dass ein Prozess eines Admin-Accounts theoretisch an root-Rechte kommen könnte (da er ja Mitglied in der sudoers-Liste ist) und dies bei einem Standard-Account NIE möglich wäre, da er ja gar nicht Mitglied in der sudoers-Liste ist?

Sonst müsste ich meinen Artikel (siehe Link) noch einmal entsprechend anpassen …

Danke für Aufklärung.
0
Marcel Bresink18.04.1214:43
Wenn die privilege escalation über sudo erfolgt, dann schützt natürlich eine Nichtmitgliedschaft in der sudoer-Liste.

Wenn aber die privilege escalation anders erfolgt, dann ist es eigentlich egal, ob man sudoer ist oder nicht.
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen