Frage: Admin oder normalen User nutzen?

Tom2109 schrieb:
Grundsätzlich: Da ein Admin so ziemlich alles auf einem Rechner anstellen kann, was möglich ist, ist die Gefahr bei einer "Fremdübernahme" (Fernzugriff eines Dritten) Deines Rechners im Admin-Betrieb natürlich größer als wenn Du als"Gastnutzer" mit stark eingeschränkten Rechten unterwegs bist.
Zum Vergrößern anklicken....

Dieser Grundsatz ist seit Einführung des sudo-Konzeptes. nciht mehr gülitg. Und das sudo-Konzept ist in macOS schon seit Ewigkeiten verwirklicht.

Der Admin.User unter macOS hat im normalen "Betrieb" keinerlei besonderen Rechte. Um Admin-Rechte zu erlangen, muss immer nochmals das Admin-Passwort eingegeben werden. Insofern ist als eine "normaler" Account und ein Admin-Account identisch: es muss für Admin-Tätigkeiten immer das Admin-Passwort eingegeben werden.
 
lisanet schrieb:
Dieser Grundsatz ist seit Einführung des sudo-Konzeptes. nciht mehr gülitg. Und das sudo-Konzept ist in macOS schon seit Ewigkeiten verwirklicht.

Der Admin.User unter macOS hat im normalen "Betrieb" keinerlei besonderen Rechte. Um Admin-Rechte zu erlangen, muss immer nochmals das Admin-Passwort eingegeben werden. Insofern ist als eine "normaler" Account und ein Admin-Account identisch: es muss für Admin-Tätigkeiten immer das Admin-Passwort eingegeben werden.
Zum Vergrößern anklicken....
Danke - wieder etwas gelernt. Dass "Admin" unter MacOs etwas anderes ist als unter Windows war mir nicht bekannt/bewusst.
 
lisanet schrieb:
Um Admin-Rechte zu erlangen, muss immer nochmals das Admin-Passwort eingegeben werden. Insofern ist als eine "normaler" Account und ein Admin-Account identisch: es muss für Admin-Tätigkeiten immer das Admin-Passwort eingegeben werden.
Zum Vergrößern anklicken....
Was klassischerweise den Unterschied macht. Nämlich daß Normaluser dieses Adminkennwort halt nicht kennt.
Kennt er das, ist er faktisch ein Admin.
Entscheidend sind nicht Titel und Status, sondern das Wissen um Zugangscodes.
 
Schiffversenker schrieb:
Was klassischerweise den Unterschied macht. Nämlich daß Normaluser dieses Adminkennwort halt nicht kennt.
Kennt er das, ist er faktisch ein Admin.
Entscheidend sind nicht Titel und Status, sondern das Wissen um Zugangscodes.
Zum Vergrößern anklicken....

Nachdem der TE offensichtlich für sich selber fragt, bringt ihm die Trennung erst recht nichts.

Und ja, ich habe exakt das geschrieben was du sagst: man muss das Admin-Passwort eingeben (und daher natürlich kennen) Es bleibt also dabei, dass die die "Trennung" in Standard- und Admin-Account keine Vorteile hat. Es geht, immer nur um das Passwort. Darum ist mir nicht ganzb klar, warum du das nochmals so explizit erwähnst.
 
Okay, ich glaubte es verstanden zu haben, aber jetzt frage ich mich: was passiert, wenn ich als Standardnutzer das Admin Passwort eingebe und es kommt zu einer Infektion mit malware; ist dann der Standardnutzeraccount geschädigt, oder das gesamte System inclusive Adminaccount?
Beziehungsweise wäre es aus dem Adminaccount heraus noch möglich, den Standardnutzer von der malware zu befreien, oder geht das nicht, weil durch die Eingabe des Adminpassworts als Standardnutzer auch der Adminaccount infiziert wurde?
 
thogra schrieb:
Okay, ich glaubte es verstanden zu haben, aber jetzt frage ich mich: was passiert, wenn ich als Standardnutzer das Admin Passwort eingebe und es kommt zu einer Infektion mit malware; ist dann der Standardnutzeraccount geschädigt, oder das gesamte System inclusive Adminaccount?
Beziehungsweise wäre es aus dem Adminaccount heraus noch möglich, den Standardnutzer von der malware zu befreien, oder geht das nicht, weil durch die Eingabe des Adminpassworts als Standardnutzer auch der Adminaccount infiziert wurde?
Zum Vergrößern anklicken....
Die Antwort wäre interessant...
 
Tom2109 schrieb:
Dass "Admin" unter MacOs etwas anderes ist als unter Windows war mir nicht bekannt/bewusst.
Zum Vergrößern anklicken....
Auch unter Windows darf ein Admin nicht alles und muss administrative Vorgänge explizit bestätigen.
Ein Admin hat auch nicht alle Rechte, die man theoretisch haben könnte. Er kann sich sie geben, aber das ist dann eine bewusste Tätigkeit, die die meisten User nicht mal kennen.
 
thogra schrieb:
Okay, ich glaubte es verstanden zu haben, aber jetzt frage ich mich: was passiert, wenn ich als Standardnutzer das Admin Passwort eingebe und es kommt zu einer Infektion mit malware; ist dann der Standardnutzeraccount geschädigt, oder das gesamte System inclusive Adminaccount?
Beziehungsweise wäre es aus dem Adminaccount heraus noch möglich, den Standardnutzer von der malware zu befreien, oder geht das nicht, weil durch die Eingabe des Adminpassworts als Standardnutzer auch der Adminaccount infiziert wurde?
Zum Vergrößern anklicken....
Wenn sich ein App im Programme-Ordner installieren will, sehen die Rechte des Programme-Ordners wie folgt aus:
Bildschirmfoto 2022-10-23 um 09.21.06.png

Du musst zum installieren also als Admin arbeiten und dementsprechende Rechte kann dann auch die Software bekommen. Da wäre also auch das ganze System betroffen.
 
Die Frage die sich mir gerade stellt:
Warum gibt es eigentlich noch die Trennung zwischen Admin und Nicht-Admin?

Als Nicht-Admin bekomme ich halt nicht alles angeboten, bzw. kann das Admin-Kennwort nicht eingeben.
Aber wenn ich es eh nicht kenne, dann könnte ich auch als Admin arbeiten und könnte nichts kaputt machen.

D.h. gibt es was was ich als Admin ohne zusätzliche EIngabe des Passworts machen kann, das ein Nicht-Admin nicht kann?
Nur so aus Interesse, ich arbeite eh als Admin und kenne das Passwort ;-)

M.m. hat die Trennung nur noch historische Gründe. Oder man will einem Nicht-Admin nichts anbieten was er eh nicht können wird.
 
Tzunami schrieb:
Du musst zum installieren also als Admin arbeiten und dementsprechende Rechte kann dann auch die Software bekommen. Da wäre also auch das ganze System betroffen.
Zum Vergrößern anklicken....

Nein, das ist so nicht zutreffend.

Die Rechte einer Datei ermöglichen es nicht, dass das Programm/Malware dann Admin-Rechte hätte. Es wird immer das Admin-Passwort benötigt. Die Malware müsste also immer an das Passwort kommen oder einen Sicherheitsfehler ausnutzen können, der die Passwort-Abfrage umgeht.
 
uwolf schrieb:
Als Nicht-Admin bekomme ich halt nicht alles angeboten, bzw. kann das Admin-Kennwort nicht eingeben.
Zum Vergrößern anklicken....

Wenn ein Nicht-Admin das Admin-Passwort kennt, dann braucht er nur noch den Account-Namen des Admins und er kann das Admin-Kennwort eingeben. Der Account-Namen des Admins ist bekannt (sieht man in den Systemeinstellungen)

uwolf schrieb:
D.h. gibt es was was ich als Admin ohne zusätzliche EIngabe des Passworts machen kann, das ein Nicht-Admin nicht kann?
Zum Vergrößern anklicken....

Ja, er kann in Dateien in "Programme" kopieren, also eben Programme dort hinein kopieren (die keine Installationsroutine benötigen)

uwolf schrieb:
M.m. hat die Trennung nur noch historische Gründe. Oder man will einem Nicht-Admin nichts anbieten was er eh nicht können wird.
Zum Vergrößern anklicken....

Yep. Historisch und um einem Nicht-Admin nicht alles zu ermöglichen.
 
lisanet schrieb:
Nein, das ist so nicht zutreffend.

Die Rechte einer Datei ermöglichen es nicht, dass das Programm/Malware dann Admin-Rechte hätte. Es wird immer das Admin-Passwort benötigt. Die Malware müsste also immer an das Passwort kommen oder einen Sicherheitsfehler ausnutzen können, der die Passwort-Abfrage umgeht.
Zum Vergrößern anklicken....
Ich habe nicht über die rechte einer Datei geredet, sondern mit welchen rechten diese ausgeführt wurde.

Wenn ich z.B. ein angebliches Programm im Programme-Ordner installieren soll, verlangt dieses Programm ein Admin Account zum installieren. Jetzt gibst du dein Admin Pass ein und der Installer kann jetzt mit Adminrechten installieren also auch z.B. einen Trojaner in alle Bereiche zu denen der Admin Zugang hat.
 
Tzunami schrieb:
Ich habe nicht über die rechte einer Datei geredet, sondern mit welchen rechten diese ausgeführt wurde.
Zum Vergrößern anklicken....

Sie wird unter der UID eines Admins ausgeführt, hat aber keine Admin-Rechte, da dafür eben das Passwort oder eine Systemlücke benötigt wird.
Sie wird unter der UID des Users ausgeführt, der die Datei (Programm) startet. Auch wenn ein Admin ein Programm startet wird es zwar unter seiner UID ausgeführt, aber es wird immer noch das Admin-Passwort (oder eine Sicherheitslücke) benötigt um derartige Admin-Aufgaben erledigen zu können.

Es ist kein Sicherheitsrisiko, wenn ein Programm als Rechte-owner einen Admin besitzt.
 
Zuletzt bearbeitet:
maba_de schrieb:
Auch unter Windows darf ein Admin nicht alles und muss administrative Vorgänge explizit bestätigen.
Ein Admin hat auch nicht alle Rechte, die man theoretisch haben könnte. Er kann sich sie geben, aber das ist dann eine bewusste Tätigkeit, die die meisten User nicht mal kennen.
Zum Vergrößern anklicken....
Selbst ein DAU kann in Google „Administrator“ und „Windows“ eingeben und erhält aus allen Richtungen eine Anleitung dazu. Oder er liest es in Computerbild, Chip, usw
Und probiert’s dann aus… und vergisst das /active:no zum Schluss genauso wie vorher den Passwortschutz.
 
Gegenfrage: Wofür benötigt man im täglichen Betrieb einen admin-account?

Ja, bei Softwareentwicklern ist das so, dass sie nur auf bestimmte Bibliotheken mit Admin-Rechten zugreifen können. Auch beim Remote Desktop (von Apple) kann man auf fremden Systemen nur bestimmte Sachen machen, wenn man auf dem eigenen System als Admin unterwegs ist.

Aber um E-Mails abzurufen, im Internet zu surfen, Briefe zu schreiben, Fotos bearbeiten, Filme schneiden usw.... Da reicht doch der normale User?

Ich arbeite seit 2003 nur als user - und habe den admin noch nie vermisst. Brauche ich die Rechte, kommt eh die Abfrage.
 
Wenn die Adminrechte haben aber das Passwort nicht wissen …
 
lisanet schrieb:
Darum ist mir nicht ganz klar, warum du das nochmals so explizit erwähnst.
Zum Vergrößern anklicken....
Manchmal wird was überlesen, manchmal hält sich überholtes Wissen hartnäckig.
Gerade du hast doch schon einige Male die Erfahrung gemacht, daß du mehrfach in einem Thread das gleiche schreiben kannst, ohne daß es wirklich berücksichtigt wurde.

Hast doch auch selbst nochmal wiederholt:
Wenn ein Nicht-Admin das Admin-Passwort kennt, dann braucht er nur noch den Account-Namen des Admins und er kann das Admin-Kennwort eingeben. Der Account-Namen des Admins ist bekannt (sieht man in den Systemeinstellungen)
Zum Vergrößern anklicken....
 
Zurück
Oben Unten