|
| Password på et bib ??? Fra : *gavtyven* |
Dato : 16-06-03 16:02 |
|
Hej
Er det muligt at have et Bib på sin pc,Hvor der er et Password på. Sådan at
jeg evt kan gemme Mit helt egne billeder-dokumenter-osv osv.
Uden at der er andre bruger på den Pc der har mulighed for at komme ind i
det bib UDEN mit Password ??
Bruger Xp
Mvh
Henrik Olesen
Randers
| |
Madsen (16-06-2003)
| Kommentar Fra : Madsen |
Dato : 16-06-03 17:29 |
|
*gavtyven* skrev:
> Bruger Xp
Home eller Pro?
--
Med venlig hilsen
Madsen.
| |
*gavtyven* (16-06-2003)
| Kommentar Fra : *gavtyven* |
Dato : 16-06-03 18:25 |
|
XP PRO
"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns939CBC101C146.thomas@madsen.tdcadsl.dk...
> *gavtyven* skrev:
>
> > Bruger Xp
>
> Home eller Pro?
>
> --
> Med venlig hilsen
> Madsen.
| |
Morten Seeberg (16-06-2003)
| Kommentar Fra : Morten Seeberg |
Dato : 16-06-03 21:07 |
|
> Er det muligt at have et Bib på sin pc,Hvor der er et Password på. Sådan
at
> jeg evt kan gemme Mit helt egne billeder-dokumenter-osv osv.
> Uden at der er andre bruger på den Pc der har mulighed for at komme ind i
> det bib UDEN mit Password ??
Konverter dine drev til NTFS, fjern rettigheder til biblioteket, så kun din
bruger kan se det. Lad være med at give andre administrator rettigheder på
din maskine.
| |
jens (17-06-2003)
| Kommentar Fra : jens |
Dato : 17-06-03 00:16 |
|
"Morten Seeberg" <Xmorten@seeberg.dk> skrev i en meddelelse
news:7spHa.22533$Jp3.958662@news010.worldonline.dk...
>
> Konverter dine drev til NTFS, fjern rettigheder til biblioteket, så kun
din
> bruger kan se det. Lad være med at give andre administrator rettigheder på
> din maskine.
Hvis rettighedden er sat til personen, og ejerskabet er overtaget af
personen, og "arvede rettighedder" slås ihjel, kan andre med adminret
forsøge alt det de vil....
Hvis de ikke er den indbyggede Administrator med password får de ikke
adgang.
Kun den indbyggede Administrator er pr default godkendt til at kunne åbne
andres personlige data, medmindre det er en domæne maskine, så flyttes den
ret til den lokale domainadmin konto.
Mvh Jens
| |
*Gavtyven* (17-06-2003)
| Kommentar Fra : *Gavtyven* |
Dato : 17-06-03 01:45 |
|
Jeg Takker for svarene !!
MEN jeg ville gerne hvis det er muligt-have det sådan at man kan sætte et
password eller gøre det umuligt for andre at komme i et eller flere bib.
UDEN at skulle skifter "bruger"
Da jeg her snakker om en arbejds Pc der sidder flere forsk. personer ved i
løbet af dagen da den køre nogle programmer til div maskiner.
"jens" <mkg@jellingnet.dk> skrev i en meddelelse
news:bclj33$g2h$1@news.net.uni-c.dk...
>
> "Morten Seeberg" <Xmorten@seeberg.dk> skrev i en meddelelse
> news:7spHa.22533$Jp3.958662@news010.worldonline.dk...
> >
> > Konverter dine drev til NTFS, fjern rettigheder til biblioteket, så kun
> din
> > bruger kan se det. Lad være med at give andre administrator rettigheder
på
> > din maskine.
>
> Hvis rettighedden er sat til personen, og ejerskabet er overtaget af
> personen, og "arvede rettighedder" slås ihjel, kan andre med adminret
> forsøge alt det de vil....
> Hvis de ikke er den indbyggede Administrator med password får de ikke
> adgang.
>
> Kun den indbyggede Administrator er pr default godkendt til at kunne åbne
> andres personlige data, medmindre det er en domæne maskine, så flyttes den
> ret til den lokale domainadmin konto.
>
> Mvh Jens
>
>
>
>
>
| |
Madsen (19-06-2003)
| Kommentar Fra : Madsen |
Dato : 19-06-03 14:04 |
|
Madsen skrev:
[Adobe Type Manager]
> Det er ret træls at man bliver nødt til at starte det program ved at
> højreklikke på det, vælge 'Run As:', klikke på 'The following user:,
> vælge administratorkontoen og skrive kodeordet og specielt når man
> fyrer op for det mange gange hver dag.
Jeg har lige opdaget at det kører uden problemer på en konto med power
user-rettigheder (superbruger), så det kunne nu godt være at jeg skulle
gå et trin op, som du foreslog tidligere.
--
Med venlig hilsen
Madsen.
| |
jens (19-06-2003)
| Kommentar Fra : jens |
Dato : 19-06-03 14:35 |
|
"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns939F994E37E7B.thomas@madsen.tdcadsl.dk...
> Madsen skrev:
>
> så det kunne nu godt være at jeg skulle
> gå et trin op, som du foreslog tidligere.
Det er en mulighed, men jeg kikker lige på den engang.
Idag er det vist maildag tror jeg.
Forstået på den måde at jeg har problemet med CCkunder, sol.dk adresser og
en (holdnufast) privat.dk adresse, som jo er en tdc.
sol.dk og privat.dk er nok sendt via webmail, altså http af en art.
Mvh Jens
| |
Madsen (17-06-2003)
| Kommentar Fra : Madsen |
Dato : 17-06-03 02:13 |
|
*Gavtyven* skrev:
> MEN jeg ville gerne hvis det er muligt-have det sådan at man kan
> sætte et password eller gøre det umuligt for andre at komme i et
> eller flere bib. UDEN at skulle skifter "bruger"
Log på administratorkontoen og sørg for at de mapper som der ikke
skal være adgang til på den konto der bliver brugt til daglig, er
spærret (Deny Access).
Fra administratorkontoen kan du højreklikke på en hvilken som helst
mappe, vælge fanebladet Security og fjerne adgangen til mappen på
den konto som ikke skal have adgang. Det kræver dog at 'Simple file
sharing' er slået fra, så vidt jeg ved. (Control Panel > Folder
Options > View og fjern så flueben ved 'Use simple file sharing').
Jeg er f.eks. pt. logget ind på en konto som ikke har adgang til
visse mapper på harddisken. Hvis jeg kender kodeordet til
administratorkontoen kan jeg få adgang til dem, men ellers ikke.
--
Med venlig hilsen
Madsen.
| |
jens (17-06-2003)
| Kommentar Fra : jens |
Dato : 17-06-03 07:01 |
|
"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
>Hvis jeg kender kodeordet til
> administratorkontoen kan jeg få adgang til dem, men ellers ikke.
Det behøvs ikke være administratorkontoen alene, en hvilken som helst konto
som har ret til at åbne mappen kan bruges hvis man kender bruger og pass.
Det kræver selvfølgeligt at den bruger har fået ret til at åbne mappen.
Så vidt jeg husker kan man nøjes med at afvise "vis" i rettigheddderne, så
ser brugeren kun en tom mappe, men programmer kan stadig bruge filerne i
mappen..............
Mvh Jens
Mvh Jens
| |
Madsen (17-06-2003)
| Kommentar Fra : Madsen |
Dato : 17-06-03 08:08 |
|
jens skrev:
> Det kræver selvfølgeligt at den bruger har fået ret til at åbne
> mappen.
I mit tilfælde har jeg fjernet alle andre end den brugerkonto jeg
bruger og så administratorkontoen, men som standard har du ret i
at der er flere der har adgang til den, hvis kodeordet til kontoen
kendes og kontoen er aktiv.
--
Med venlig hilsen
Madsen.
| |
Madsen (17-06-2003)
| Kommentar Fra : Madsen |
Dato : 17-06-03 22:35 |
|
jens skrev:
> Det behøvs ikke være administratorkontoen alene, en hvilken som
> helst konto som har ret til at åbne mappen kan bruges hvis man
> kender bruger og pass.
Jeg kom til at lukke mig selv ude fra min eksterne NTFS-disk her i
dag og det gav faktisk sved på panden. Heldigvis fik jeg overtaget
over skidtet igen, men man kan da vist godt komme i klemme hvis man
ikke ser sig godt for.
Det er vist på tide at man dykker ned i hjælpefilen for i denne
situation kan jeg tilsyneladende ikke lære at mestre det blot ved
at prøve mig frem.
--
Med venlig hilsen
Madsen.
| |
jens (17-06-2003)
| Kommentar Fra : jens |
Dato : 17-06-03 22:44 |
|
"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns939DEFF6644A4.thomas@madsen.tdcadsl.dk...
> jens skrev:
>
> Jeg kom til at lukke mig selv ude fra min eksterne NTFS-disk her i
> dag og det gav faktisk sved på panden.
Hvordan ?
> Heldigvis fik jeg overtaget
> over skidtet igen, men man kan da vist godt komme i klemme hvis man
> ikke ser sig godt for.
Neeej, man skal bare være lidt på fornavn med ntfs...
> Det er vist på tide at man dykker ned i hjælpefilen
"Hjælpefilen" ?, ?? hvem er det ?
Mvh Jens
| |
Madsen (17-06-2003)
| Kommentar Fra : Madsen |
Dato : 17-06-03 23:46 |
|
jens skrev:
> Hvordan ?
Jeg er faktisk ikke helt klar over det hvis jeg skal være ærlig.
Har slået simpel fildeling fra og har en administratorkonto og en
almindelig brugerkonto. Brugerkontoen bruger jeg til daglig og vha.
administratorkontoen har jeg lukket af for nogle mapper som den
almindelige brugerkonto ikke skal have adgang til. Det har jeg gjort
ved at logge ind på administratorkontoen, højreklikke på pågældende
mappe, vælge fanebladet 'Security' og placeret et flueben ved 'Deny'
udfor 'Full Control' så der automatisk står 'Deny' hele vejen ned.
Det har virket fint i nogle dage. Hvis jeg absolut vil have adgang
til mapperne fra brugerkontoen så kan jeg komme ind i dem ved at
køre et program med administratorrettigheder da jeg jo kender
kodeordet til administratorkontoen, men pludselig var der nogle filer
i en af de mapper som jeg havde lukket af for, som pludselig heller
ikke kunne åbnes fra administratorkontoen. Først troede jeg at nu
var filsystemet igen brændt sammen, for det så mystisk ud at jeg
kunne tilgå nogle af filerne i mappen, men ikke alle. Jeg har jo
ikke været helt nede på filniveau og sætte adgang. Har kun lukket
af for hele mappen.
Hvis jeg loggede mig ind på administratorkontoen og højreklikkede på
mappen så var der fuld adgang til mappen, men højreklikkede jeg på
de filer som ikke kunne åbnes, så stod der slet ingen brugere i
feltet under 'Group or user names'. Sært, men efter et par timer fik
jeg tilføjet bruger- og administratorkontoen igen og fik derefter
øje på knappen 'Replace owner on subcontainers and objects' inde
under 'Owner'-fanebladet og så virkede det heldigvis igen.
> Neeej, man skal bare være lidt på fornavn med ntfs...
Åbenbart.
> "Hjælpefilen" ?, ?? hvem er det ?
En eller anden som engang var tilgængelig i Start-menuen, men som
jeg for længe siden har kvalt da jeg aldrig kigger i den, men den
skulle efter sigende være rimelig god i WinXP og måske man skulle
kigge lidt på den. Jeg synes bare at 'prøve sig frem metoden' er
meget sjovere. Det er farligt, men alligevel sjovere. ;)
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 00:08 |
|
"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns939E7D62D53D.thomas@madsen.tdcadsl.dk...
> jens skrev:
>
>
>[...................., men ikke alle. Jeg har jo
> ikke været helt nede på filniveau og sætte adgang. Har kun lukket
> af for hele mappen.
>
> Hvis jeg loggede mig ind på administratorkontoen og højreklikkede på
> mappen så var der fuld adgang til mappen,
Når der bruge "deny", så sørg altid for at der er adgang med en konto som
ejer mappen, og undermapperne.
_Og_ sørg for at ejeren ikke er medlem af den gruppe som bliver denyèt
Deny overruler allow, og det er ikke bare lige at ændre på igen, men.....
Den konstruktion du bruger, betyder at det altid er muligt at gå ind på en
mappe nærmere roden af drevet, og overtage og ændre tilladelser der, på
mapper og undermapper.
Derfor kan du altid rode dig ud af det, hvis du gør Administrator til ejer,
og lader være med at bruge den til daglig. (som du jo gør
>
> Åbenbart.
Prøv at styre tilladelserne med NTFS ret isteddet, så er det slut med at
ændre rettighedder, selvom man er admin, eller endda Administrator....
(la vær hvis ikke du ved hvordan du får den fra det igen, og det er noget
med at importere fremmede diske som så skal undeletes igen i værste fald)
> > "Hjælpefilen" ?, ?? hvem er det ?
>
> men den
> skulle efter sigende være rimelig god i WinXP
Niksen jeg har prøvet den enkelte gange, men det man skal bruge er aldrig
forrest.
>Jeg synes bare at 'prøve sig frem metoden' er
> meget sjovere. Det er farligt, men alligevel sjovere. ;)
Ja, Det er spændende sommetider.
Jeg sidder lige med en nyerhvervet blærbar... som jeg ikke kender
adminkontoen på, og som er en xp pro Overstallet på en W2k pro, som ligger
blødt ovenpå en W98 SE. (700mb fri af 12gb disc......)
2* ctrl+alt+del, er den åbenbart blevet vaksineret mod, hvad så ?
Mvh jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 01:47 |
|
jens skrev:
> Når der bruge "deny", så sørg altid for at der er adgang med en
> konto som ejer mappen, og undermapperne.
Ejeren er jo så administratorkontoen i dette tilfælde.
> _Og_ sørg for at ejeren ikke er medlem af den gruppe som bliver
> denyèt
Det er han vel heller ikke hvis jeg kun har oprettet en brugerkonto
og derudover har en administratorkonto som er ejer af disken, eller?
Alle andre konti er der slukket for, for jeg har ikke noget at bruge
dem til.
> Deny overruler allow, og det er ikke bare lige at ændre på igen,
> men..... Den konstruktion du bruger, betyder at det altid er
> muligt at gå ind på en mappe nærmere roden af drevet, og overtage
> og ændre tilladelser der, på mapper og undermapper.
Ja og det er egentlig det jeg ønsker, men hvordan nogle filer i
en mappe pludselig bliver utilgængelige for administratorkontoen
forstår jeg ikke, men jeg må have pillet ved noget som jeg ikke
skulle have pillet ved. :)
> Derfor kan du altid rode dig ud af det, hvis du gør Administrator
> til ejer, og lader være med at bruge den til daglig. (som du jo
> gør
Ja, jeg bruger ikke administratorkontoen til daglig. Indtil for
nylig brugte jeg en konto med administratorrettigheder, men den
konto har jeg så sidenhen ændret til kun at have rettigheder på
brugerniveau af sikkerhedsmæssige årsager.
> Jeg sidder lige med en nyerhvervet blærbar... som jeg ikke kender
> adminkontoen på, og som er en xp pro Overstallet på en W2k pro,
> som ligger blødt ovenpå en W98 SE. (700mb fri af 12gb disc......)
Er det ikke en lidt hjernelam opsætning, eller?
> 2* ctrl+alt+del, er den åbenbart blevet vaksineret mod, hvad så ?
Det tør jeg godt nok ikke sige.
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 06:13 |
|
"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns939E1C417EB11.thomas@madsen.tdcadsl.dk...
> jens skrev:
>
> Ejeren er jo så administratorkontoen i dette tilfælde.
Ja, og det er godt nok....
> > _Og_ sørg for at ejeren ikke er medlem af den gruppe som bliver
> > denyèt
>
> Det er han vel heller ikke hvis jeg kun har oprettet en brugerkonto
> og derudover har en administratorkonto som er ejer af disken, eller?
> Alle andre konti er der slukket for, for jeg har ikke noget at bruge
> dem til.
Jo, du skal vende den rundt engang, lad væe med at denyè en gruppe som
brugeren er medlem af.....
Default er "Alle" i rettighedslisten, den er også administratoren medlem af
jo.
Ligesom enhver anden bruger eller gruppe er det, altså, sæt ikke deny på
"alle", det kan gå galt, jeg har prøvet at sætte deny på
"skriverettighedden" til alle engang, og så kunne jeg jo ikke "viske" det
"v" ud igen uanset hvem jeg udgav mig for at være......
>[....................overtage
> > og ændre tilladelser der, på mapper og undermapper.
>
> Ja og det er egentlig det jeg ønsker, men hvordan nogle filer i
> en mappe pludselig bliver utilgængelige for administratorkontoen
> forstår jeg ikke, men jeg må have pillet ved noget som jeg ikke
> skulle have pillet ved. :)
Det hat noget med regbasen, og brugerpolitikken at gøre.
Brugerpolitikken opdateres ("refreshes") hvert 20. minut pr default, når du
sætter deny, går der op til 20 minnutter inden basen opdager ændringen i
politikken, hvorefter basen opdateres med de oplysninger, efter
20minutter....
Derfor kan en ændring som har indflydelse på flere ting godt tage en dags
tid inden den er effektiviseret i pcèns lille hukommelse, og så opdager du
ikke med det samme hvis en ændring har en "skæv" indflydelse.
> Ja, jeg bruger ikke administratorkontoen til daglig. Indtil for
> nylig brugte jeg en konto med administratorrettigheder, men den
> konto har jeg så sidenhen ændret til kun at have rettigheder på
> brugerniveau af sikkerhedsmæssige årsager.
Du kan gøre livet meget lettere for dig selv ved at sætte din daglige
brugerkonto til at være "superbruger". ("poweruser" i den engelske udgave).
Superbrugere kan installere, og afstallere programmer, det kan brugere ikke,
de kan kun køre installerede programmer, medmindre de er ejere af c drevet,
så kan de installere....... det er noget farligt rod.
> > [..........(700mb fri af 12gb disc......)
>
> Er det ikke en lidt hjernelam opsætning, eller?
Det er ikke den mest hensigts mæssige installation jeg har set da....
> > 2* ctrl+alt+del, er den åbenbart blevet vaksineret mod, hvad så ?
>
> Det tør jeg godt nok ikke sige.
Det gør jeg...... boot w98, i dos, fdisk part væk, genstart, fdisk nye
parter, og start winnt.exe i mappen I386 på en xp/w2k cd..... installing ny
windows.
Mvh Jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 01:53 |
|
jens skrev:
> Prøv at styre tilladelserne med NTFS ret isteddet, så er det slut
> med at ændre rettighedder, selvom man er admin, eller endda
> Administrator.... (la vær hvis ikke du ved hvordan du får den fra
> det igen, og det er noget med at importere fremmede diske som så
> skal undeletes igen i værste fald)
Hov, det fik jeg ikke svaret på.
Jeg tror liiiige jeg venter lidt før jeg roder mig ud i sådan noget.
Når jeg kan lave kage i rettighederne så skal jeg også nok få lavet
kage i det andet og hvis jeg ikke kan få adgang til skidtet igen uden
at skulle slette indholdet af disken, eller hvad man nu end gør, så
ville det sjove gå af det.
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 06:15 |
|
"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
>
>[...................., så ville det sjove gå af det.
>
Ja.... ))
Jeg har prøvet "nogen gange...........".
Mvh Jens
| |
M.Kay (18-06-2003)
| Kommentar Fra : M.Kay |
Dato : 18-06-03 08:28 |
|
I know it's awful, but Madsen wrote to everybody in dk.edb.system.ms-windows
saying:
> jens skrev:
>
>> Prøv at styre tilladelserne med NTFS ret isteddet, så er det slut
>> med at ændre rettighedder, selvom man er admin, eller endda
>> Administrator.... (la vær hvis ikke du ved hvordan du får den fra
>> det igen, og det er noget med at importere fremmede diske som så
>> skal undeletes igen i værste fald)
>
> Hov, det fik jeg ikke svaret på.
> Jeg tror liiiige jeg venter lidt før jeg roder mig ud i sådan noget.
> Når jeg kan lave kage i rettighederne så skal jeg også nok få lavet
> kage i det andet og hvis jeg ikke kan få adgang til skidtet igen uden
> at skulle slette indholdet af disken, eller hvad man nu end gør, så
> ville det sjove gå af det.
>
Hmmm i hvilken situation kan rettighederne ikke reddes fra administrator
kontoen? Efter min overbevisning kan administrator altid tage ejerskab af en
hvilken som helst NTFS fil i pc'en. Kun hvis der er tale om NTFS kryptering
fra en anden pc/installation kan administrator ikke overtage ejerskab, og
ændre alle rettigheder. Det er i hvert fald hvad jeg troede, indtil jeg så
denne diskussion.
--
Mkay
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 08:44 |
|
M.Kay wrote:
> I know it's awful, but Madsen wrote to everybody in
> dk.edb.system.ms-windows saying:
>
>
> Hmmm i hvilken situation kan rettighederne ikke reddes fra
> administrator kontoen?
Hvis du med Quota styring på ntfs, fratager administrator skrive
rettighedden på disken........
Og hvis du "denyer" "administrators" at skrive i en mappe.
Deny overruler allow, administrator er medlem af administrators, hvis der er
deny på administrators er der deny for administrator.
Ntfs quota rettighedder går også forud for brugerrettighedder......
> altid tage ejerskab af en hvilken som helst NTFS fil i pc'en. Kun
> hvis der er tale om NTFS kryptering fra en anden pc/installation kan
> administrator ikke overtage ejerskab, og ændre alle rettigheder. Det
> er i hvert fald hvad jeg troede, indtil jeg så denne diskussion.
Administrator kan ikke, men ejeren af pcèn kan, der er bare det ved det, at
det er en ret flygtig størelse.
En bruger er verificeret udfra det nr han nu får, hvis pc navn,
arbejdsgruppe navn, eller domæne navn ændres, dannes et nyt nummer.....
Man kommer ikke tilbage til detoprindelige nummer på under en uge.
Men det kan gøres hvis man kender tidligere navne, og har ret til at rode
lidt i gruppepolitikken.
(Den ret mister administrator ved domæneskift, og pc`navne ændring.)
Så kan kun ejeren, men det kræver at man ved hvem det er, eller kan tildele
ejerskabet til en med admin ret.
Der er iøvrigt ingen problemer i at overtage en fremmed ntfs disk, danne en
cryptnøgle på den oprindelige som flyttes over via Adrevet....
Mvh Jens
| |
M.Kay (19-06-2003)
| Kommentar Fra : M.Kay |
Dato : 19-06-03 08:14 |
|
I know it's awful, but jens wrote to everybody in
dk.edb.system.ms-windows saying:
> M.Kay wrote:
>> I know it's awful, but Madsen wrote to everybody in
>> dk.edb.system.ms-windows saying:
>>
>>
>> Hmmm i hvilken situation kan rettighederne ikke reddes fra
>> administrator kontoen?
>
> Hvis du med Quota styring på ntfs, fratager administrator skrive
> rettighedden på disken........
> Og hvis du "denyer" "administrators" at skrive i en mappe.
> Deny overruler allow, administrator er medlem af administrators, hvis
> der er deny på administrators er der deny for administrator.
> Ntfs quota rettighedder går også forud for brugerrettighedder......
Tjae quotastyring vil jeg ikke udtale mig om, men når jeg giver alle brugere
på min pc full deny til alle rettigheder på en mappe og underobjekter, er
der absolut ingen problemer ved at gå tilbage og sætte til allow full
control. Jeg tror ikke vi taler om det samme.
>> altid tage ejerskab af en hvilken som helst NTFS fil i pc'en. Kun
>> hvis der er tale om NTFS kryptering fra en anden pc/installation kan
>> administrator ikke overtage ejerskab, og ændre alle rettigheder. Det
>> er i hvert fald hvad jeg troede, indtil jeg så denne diskussion.
>
> Administrator kan ikke, men ejeren af pcèn kan, der er bare det ved
> det, at det er en ret flygtig størelse.
> En bruger er verificeret udfra det nr han nu får, hvis pc navn,
> arbejdsgruppe navn, eller domæne navn ændres, dannes et nyt nummer.....
> Man kommer ikke tilbage til detoprindelige nummer på under en uge.
> Men det kan gøres hvis man kender tidligere navne, og har ret til at
> rode lidt i gruppepolitikken.
> (Den ret mister administrator ved domæneskift, og pc`navne ændring.)
Det her fænomen med en administrator der ikke kan gennemtvinge ejerskab på
ntfs objekter er det en domæne-ting?
> Så kan kun ejeren, men det kræver at man ved hvem det er, eller kan
> tildele ejerskabet til en med admin ret.
> Der er iøvrigt ingen problemer i at overtage en fremmed ntfs disk,
> danne en cryptnøgle på den oprindelige som flyttes over via Adrevet....
Jeg tænkte nu på den situation hvor den oprindelige pc er crashed beyond
repair ;)
--
mkay
| |
jens (19-06-2003)
| Kommentar Fra : jens |
Dato : 19-06-03 11:10 |
|
"M.Kay" <G.i.n@ping.dk> skrev i en meddelelse
news:Xns939F5DEC29F3DMkaymaildk@130.133.1.4...
>
> Tjae quotastyring vil jeg ikke udtale mig om, men når jeg giver alle
brugere
> på min pc full deny til alle rettigheder på en mappe og underobjekter, er
> der absolut ingen problemer ved at gå tilbage og sætte til allow full
> control. Jeg tror ikke vi taler om det samme.
Enten er dit c drev et fat32, eller din konto med adminret er ikke "gyldig".
Forstået på den måde at den ikke har ret til at gennemtvinge et deny
>>har ret til at
> > rode lidt i gruppepolitikken.
> > (Den ret mister administrator ved domæneskift, og pc`navne ændring.)
>
> Det her fænomen med en administrator der ikke kan gennemtvinge ejerskab på
> ntfs objekter er det en domæne-ting?
Nej, det sker ved omdøbninger af maskinen, eller arbejdsgruppen, eller andre
tåbelige ting.
> Jeg tænkte nu på den situation hvor den oprindelige pc er crashed beyond
> repair ;)
Ok, men den kan også reddes, forudsat den pc den sad i ikke er brugt sådan
at xp/w2k på den er registreret ved M$, Med HardWare opsætning.
(Hvilket xp bliver hver gang med activeringen)
Mvh Jens
| |
M.Kay (19-06-2003)
| Kommentar Fra : M.Kay |
Dato : 19-06-03 14:56 |
|
I know it's awful, but jens wrote to everybody in
dk.edb.system.ms-windows saying:
>
> "M.Kay" <G.i.n@ping.dk> skrev i en meddelelse
> news:Xns939F5DEC29F3DMkaymaildk@130.133.1.4...
>
>>
>> Tjae quotastyring vil jeg ikke udtale mig om, men når jeg giver alle
>> brugere på min pc full deny til alle rettigheder på en mappe og
>> underobjekter, er der absolut ingen problemer ved at gå tilbage og
>> sætte til allow full control. Jeg tror ikke vi taler om det samme.
>
> Enten er dit c drev et fat32, eller din konto med adminret er ikke
> "gyldig". Forstået på den måde at den ikke har ret til at gennemtvinge
> et deny
Nah, det er bestemt NTFS og admin er gyldig nok.
>>>har ret til at
>> > rode lidt i gruppepolitikken.
>> > (Den ret mister administrator ved domæneskift, og pc`navne ændring.)
>>
>> Det her fænomen med en administrator der ikke kan gennemtvinge
>> ejerskab på ntfs objekter er det en domæne-ting?
>
> Nej, det sker ved omdøbninger af maskinen, eller arbejdsgruppen, eller
> andre tåbelige ting.
Ja det tænkte jeg nu nok. Men i praksis har der aldrig været problemer for
mig selv om jeg flytter diske med alle mulige sære rettigheder mellem
arbejdspc og privat hjemmepc.
>> Jeg tænkte nu på den situation hvor den oprindelige pc er crashed
>> beyond repair ;)
>
> Ok, men den kan også reddes, forudsat den pc den sad i ikke er brugt
> sådan at xp/w2k på den er registreret ved M$, Med HardWare opsætning.
> (Hvilket xp bliver hver gang med activeringen)
Heh' det havde været rart at vide for et par måneder siden.
Nå men jeg tror ikke der er mening i at fortsætte debatten yderligere. dog
hvis jeg en dag kommer i en situation hvor du får ret, så kaster jeg mig
straks i støvet og ruller om på ryggen. :)
--
Mkay
| |
jens (19-06-2003)
| Kommentar Fra : jens |
Dato : 19-06-03 15:25 |
|
"M.Kay" <G.i.n@ping.dk> skrev i en meddelelse
news:Xns939FA2173469DMkaymaildk@130.133.1.4...
>
> Ja det tænkte jeg nu nok. Men i praksis har der aldrig været problemer for
> mig selv om jeg flytter diske med alle mulige sære rettigheder mellem
> arbejdspc og privat hjemmepc.
LoL
Og det er ikke noget du mener har indflydelse overhovedet ?
Mvh Jens
| |
M.Kay (19-06-2003)
| Kommentar Fra : M.Kay |
Dato : 19-06-03 16:16 |
|
I know it's awful, but jens wrote to everybody in
dk.edb.system.ms-windows saying:
>
> "M.Kay" <G.i.n@ping.dk> skrev i en meddelelse
> news:Xns939FA2173469DMkaymaildk@130.133.1.4...
>>
>> Ja det tænkte jeg nu nok. Men i praksis har der aldrig været
>> problemer for mig selv om jeg flytter diske med alle mulige sære
>> rettigheder mellem arbejdspc og privat hjemmepc.
>
> LoL
>
> Og det er ikke noget du mener har indflydelse overhovedet ?
Jo præcis, det skulle gøre chancen for at støde ind i en situation, hvor
jeg ikke kunne erhverve mig rettighederne større. Men derudover er det da
langt fra det eneste sted jeg med held ændrer rettigheder efter
forgodtbefindende. Men glem det nu bare.
--
MKay - mkay[a]mail.dk
- If we stop voting, will they all go away? -
| |
jens (19-06-2003)
| Kommentar Fra : jens |
Dato : 19-06-03 17:17 |
|
"M.Kay" <G.i.n@ping.dk> skrev i en meddelelse
news:Xns939FAFA3CB59EMkaymaildk@130.133.1.4...
>
> Jo præcis, det skulle gøre chancen for at støde ind i en situation, hvor
> jeg ikke kunne erhverve mig rettighederne større.
Din opsætning og brug fordrer netop at du har mulighedden, derfor er den
tilpasset så du kan, og ikke som default..... som vi snakkede om tidligere.
< Men derudover er det da
> langt fra det eneste sted jeg med held ændrer rettigheder efter
> forgodtbefindende.
Det tror jeg gerne, hvis de har været i berøring med et firmanet, som
kompromiterer de privatejede pcèr sikkerhed.
>Men glem det nu bare.
Gerne.
Mvh Jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 12:33 |
|
jens skrev:
> Jo, du skal vende den rundt engang, lad væe med at denyè en gruppe
> som brugeren er medlem af.....
Det vil altså sige at hvis man skal gøre det rigtigt, så skal
brugeren og administratoren være medlem af forskellige grupper?
Jeg kan umiddelbart ikke få øje på hvordan jeg skulle få dem til
at være det.
> Default er "Alle" i rettighedslisten, den er også administratoren
> medlem af jo.
Det er rigtigt. Jeg troede bare at hvis jeg ændrede i rettighederne
på en konto, så havde det ikke nogen indflydelse på de andre.
> Ligesom enhver anden bruger eller gruppe er det, altså, sæt ikke
> deny på "alle", det kan gå galt, jeg har prøvet at sætte deny på
> "skriverettighedden" til alle engang, og så kunne jeg jo ikke
> "viske" det "v" ud igen uanset hvem jeg udgav mig for at
> være......
Jeg har heller ikke sat deny på alle. Jeg har højreklikket på en
mappe (imens jeg er logget ind på administratorkontoen), valgt
fanebladet Security, markeret brugerkontoen i feltet: 'Group or
user names:' og derefter klikket på 'Deny' ud for 'Full Control'
nede i feltet: 'Permissions for {navn på brugerkonto}'.
Du mener altså at hvis jeg gør det, så kan jeg risikere at
administratorkontoen også bliver lukket ude fordi at brugeren og
administratoren tilhører den samme gruppe? Hvis det er tilfældet
så har jeg total misforstået brugen af Security-fanebladet er jeg
bange for.
> Du kan gøre livet meget lettere for dig selv ved at sætte din
> daglige brugerkonto til at være "superbruger". ("poweruser" i den
> engelske udgave).
Indtil nu går har det egentlig gået fint nok med brugerrettigheder
alene, men det kunne da godt være at man skulle gå et trin op hvis
det bliver for bøvlet på et tidspunkt.
Jeg har et par programmer som ikke kan køre under en almindelig
brugerkonto. Et af dem er ATM (Adobe Type Manager) og den bruger
jeg meget. Der går sjældent en dag hvor jeg ikke har åbnet op for
den, men den nægter altså at køre på brugerkontoen da den ikke
kan få adgang til den del af registreringsdatabasen som den skal
bruge. < http://home18.inet.tele.dk/madsen/winxp/atm_no_deal.png>.
Det er sådan noget der for få uger siden ville gøre mig gal i
skralden og bruge en konto med administratorrettigheder så man
er fri for den slags bøvl i det daglige, men efter at have lært
det med at man kan lave en *.bat-fil som sparker ATM i gang med
administratorrettigheder selvom man er logget ind på brugerkontoen,
så gør det mig ikke noget længere. Det er en del mere praktisk end
at skulle sidde og højreklikke og vælge 'Run As:' hele tiden og
så igen. Når man gør det med *.bat-filen så skal kodeordet kun
indtastes første gang man starter filen. Fremover husker Windows
selv kodeordet (jeg gad dog godt at vide hvor Windows gemmer det).
> Superbrugere kan installere, og afstallere programmer, det kan
> brugere ikke, de kan kun køre installerede programmer, medmindre
> de er ejere af c drevet, så kan de installere....... det er noget
> farligt rod.
Jeg har prøvet at installere et par programmer fra brugerkontoen
og hver gang har jeg fået at vide at jeg ikke kan installere fordi
at jeg kun har brugerrettigheder. Så er det jo ingen sag at vide
hvad der er galt og hvordan man skal undgå det. Det er straks værre
når man bare får en eller anden meget mærkelig fejlmeddelelse og så
samtidig har glemt at man pt. kun har brugerrettigheder.
Egentlig så ser jeg det som en fin sikkerhed at jeg ikke kan få
lov til at installere noget som helst. Hvis jeg skulle være uheldig
at få et eller andet farligt stykke spyware, virus eller andet snavs
ind, så vil det vel heller ikke have flere rettigheder end den konto
det kommer ind på. Det er sådan set den eneste grund til at jeg ikke
kører med administratorrettigheder længere. Hvis jeg går et trin op
på superbrugerniveau, så går jeg vel samtidig også et trin ned rent
sikkerhedsmæssigt(?).
[Blærbar]
> Det er ikke den mest hensigts mæssige installation jeg har set
> da....
Det lyder også lidt rodet i mine ører.
> Det gør jeg...... boot w98, i dos, fdisk part væk, genstart, fdisk
> nye parter, og start winnt.exe i mappen I386 på en xp/w2k cd.....
> installing ny windows.
Den ville jeg også have valgt. :)
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 13:09 |
|
Madsen wrote:
> jens skrev:
>
>> Jo, du skal vende den rundt engang, lad væe med at denyè en gruppe
>> som brugeren er medlem af.....
>
> Det vil altså sige at hvis man skal gøre det rigtigt, så skal
> brugeren og administratoren være medlem af forskellige grupper?
Ikke nødvendigvis, man skal bare vælge at denyè den rigtige konto.
>
>> Default er "Alle" i rettighedslisten, den er også administratoren
>> medlem af jo.
>
>
> Jeg har heller ikke sat deny på alle. Jeg har højreklikket på en
> mappe (imens jeg er logget ind på administratorkontoen), valgt
> fanebladet Security, markeret brugerkontoen i feltet: 'Group or
> user names:' og derefter klikket på 'Deny' ud for 'Full Control'
> nede i feltet: 'Permissions for {navn på brugerkonto}'.
Jeps, men har du været i lokal brugerpolitikken først, og give
administratoren lov til at sætte/bestemme rettighedder ?
> Du mener altså at hvis jeg gør det, så kan jeg risikere at
> administratorkontoen også bliver lukket ude fordi at brugeren og
> administratoren tilhører den samme gruppe?
Ja, hvis ikke du sikrer dig at admin kontoen specifikt _må_ åbne mappen.
Hvis xp/w2k kommer i tvivl er det deny der gælder....
Du bliver jo en såkaldt "interaktiv" bruger.......
> Indtil nu går har det egentlig gået fint nok med brugerrettigheder
> alene, men det kunne da godt være at man skulle gå et trin op hvis
> det bliver for bøvlet på et tidspunkt.
Superbrugere kan skifte himmel på xp, det kan en bruger ikke.
Superbrugere kan ikke ændre lanforbindelses indstillinger, men godt
indstille explode til at bruge en tilsteddeværende lanforbindelse.
> det med at man kan lave en *.bat-fil som sparker ATM i gang med
> administratorrettigheder
Kan den ikke køres i "forfatter" tilstand direkte ?
> Fremover husker Windows
> selv kodeordet (jeg gad dog godt at vide hvor Windows gemmer det).
Nej det tror jeg ikke du gad......
Jeg har set lokationen i w2k, mener jeg det var, jeg skal lige se om den er
at finde igen....
>
> Jeg har prøvet at installere et par programmer fra brugerkontoen
> og hver gang har jeg fået at vide at jeg ikke kan installere fordi
> at jeg kun har brugerrettigheder. Så er det jo ingen sag at vide
> hvad der er galt og hvordan man skal undgå det. Det er straks værre
> når man bare får en eller anden meget mærkelig fejlmeddelelse og så
> samtidig har glemt at man pt. kun har brugerrettigheder.
Men en bruger kan normalt ikke selv ændre sin status til admin, og så er det
jo lige gyldigt.
Det er nok bedre at den meddelelse bliver sendt ud, end at der er opstået en
intern fejl.
Hvad vil du have lego`s system admin skal sige til frk. henriksen når hun
får en eller anden "fatal error" ?
(Fatal Error og General failure logger jævnligt på mine maskiner uden at
have fået lov til det)
> Egentlig så ser jeg det som en fin sikkerhed at jeg ikke kan få
> lov til at installere noget som helst. Hvis jeg skulle være uheldig
> at få et eller andet farligt stykke spyware, virus eller andet snavs
> ind, så vil det vel heller ikke have flere rettigheder end den konto
> det kommer ind på.
Kan du med sikkerhed sige at et program ikke kan indeholde et script i stil
med en batfil ?
Mvh jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 13:33 |
|
jens skrev:
> Madsen wrote:
>
>> Det vil altså sige at hvis man skal gøre det rigtigt, så skal
>> brugeren og administratoren være medlem af forskellige grupper?
>
> Ikke nødvendigvis, man skal bare vælge at denyè den rigtige konto.
Nå ok. Det holder jeg også øje med om jeg gør, men et eller andet
må der jo være gået galt sidst. :)
> Jeps, men har du været i lokal brugerpolitikken først, og give
> administratoren lov til at sætte/bestemme rettighedder ?
Næ. Det troede jeg at administratoren havde lov til som standard.
> Ja, hvis ikke du sikrer dig at admin kontoen specifikt _må_ åbne
> mappen.
Det må den for den står til 'Allow' hele vejen ned inde under
Security-fanebladet.
>> det med at man kan lave en *.bat-fil som sparker ATM i gang med
>> administratorrettigheder
>
> Kan den ikke køres i "forfatter" tilstand direkte ?
Hvad mener du med "forfatter" tilstand ?
>> Fremover husker Windows selv kodeordet (jeg gad dog godt at vide
>> hvor Windows gemmer det).
>
> Nej det tror jeg ikke du gad......
Jo.
> Jeg har set lokationen i w2k, mener jeg det var, jeg skal lige se
> om den er at finde igen....
Det eneste jeg sådan set bare er nysgerrig på er sikkerheden i
det. Hvis kodeordet til administratorkontoen bare bliver gemt i en
*.ini-fil ukrypteret et sted, så ryger sikkerheden ved den metode
jo ligesom fløjten. :)
> Men en bruger kan normalt ikke selv ændre sin status til admin, og
> så er det jo lige gyldigt.
Man kan højreklikke på en Setup.exe og vælge 'Run As:' hvorefter
man kan vælge at installere programmet med administratorrettigheder
selvom man er logget ind på brugerkontoen.
> Det er nok bedre at den meddelelse bliver sendt ud, end at der er
> opstået en intern fejl.
Ja, det her er jo da til at forstå skulle jeg mene:
< http://home18.inet.tele.dk/madsen/winxp/stop.png>
> Hvad vil du have lego`s system admin skal sige til frk. henriksen
> når hun får en eller anden "fatal error" ?
Netop, men hvis "systemadminen" ikke kan forklare Frk. Henriksen
hvad ovenstående meddelelse betyder, så ved jeg snart ikke hvem
der er dummest af de to.
> Kan du med sikkerhed sige at et program ikke kan indeholde et
> script i stil med en batfil ?
Næ, men jeg kan vel være ret sikker på at det script ikke kan
indeholde kodeordet til administratorkontoen når jeg kun har den
i mit hoved, medmindre at ham der har skrevet scriptet har hacket
min *.ini-fil som Windows gemmer den i. ;)
Hvis scriptet ikke har adgang til andet end den brugerkonto det
er sluppet løs på, så er det vel begrænset hvor meget skade det
kan lave.
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 13:55 |
|
Madsen wrote:
> jens skrev:
>
>> Jeps, men har du været i lokal brugerpolitikken først, og give
>> administratoren lov til at sætte/bestemme rettighedder ?
>
> Næ. Det troede jeg at administratoren havde lov til som standard.
Nope, ...
>
> Det må den for den står til 'Allow' hele vejen ned inde under
> Security-fanebladet.
Men den indstilling bliver ikke bekræftet af GPOèn, og dermed afvist i
sidste ende som falsk.
>
> Hvad mener du med "forfatter" tilstand ?
At i w2k kan man vælge at køre som en anden bruger, som administrator, eller
i "forfatter tilstand"
Feks. med mmc.exe, er det en fordel at køre i forfatter tilstand da det
giver et par ekstra mulighedder.......
Men xp har ikke den mulighed har jeg lige set.....
>
> Det eneste jeg sådan set bare er nysgerrig på er sikkerheden i
> det. Hvis kodeordet til administratorkontoen bare bliver gemt i en
> *.ini-fil ukrypteret et sted, så ryger sikkerheden ved den metode
> jo ligesom fløjten. :)
Ja, men det gør den nu ikke, den ligger en en datatbase fil i dokuments and
settings, om det er i "sam" filen er jeg ikke sikker på ( hat ikke under
søgt det endnu da jeg har fået 2 bærbare at lege lidt med.....)
> Man kan højreklikke på en Setup.exe og vælge 'Run As:' hvorefter
> man kan vælge at installere programmet med administratorrettigheder
> selvom man er logget ind på brugerkontoen.
Ja.... , hvis man kender en konto med admin ret, det er der nok ikke mange
på et firma net der gør.......
> Ja, det her er jo da til at forstå skulle jeg mene:
> < http://home18.inet.tele.dk/madsen/winxp/stop.png>
Ja... (den sidste boks jeg så af den slags er 10 minutter siden, der stod :
"Your girlfriend is pregnant".......... og så var der 3 knapper :
"LUK COMPUTEREN" , "Ignore" , og "format c drive"
> Netop, men hvis "systemadminen" ikke kan forklare Frk. Henriksen
> hvad ovenstående meddelelse betyder, så ved jeg snart ikke hvem
> der er dummest af de to.
Njae, det er jo et udbredt problem at de sysadminner, som virkelig ved
noget, enten ikke evner at forklare tingene på frk. henriksensk, eller mener
at de bærer rundt på store hemmelighedder. (begge dele kan være tilfældet)
> Næ, men jeg kan vel være ret sikker på at det script ikke kan
> indeholde kodeordet til administratorkontoen når jeg kun har den
> i mit hoved, medmindre at ham der har skrevet scriptet har hacket
> min *.ini-fil som Windows gemmer den i. ;)
Ini fil ?....... i xp ?
> Hvis scriptet ikke har adgang til andet end den brugerkonto det
> er sluppet løs på, så er det vel begrænset hvor meget skade det
> kan lave.
Nae, det er der vist delte meninger om.
Har du "AciveX scripting slået til i explode ?
(nederst i den alen lange liste med ubhagelighedder i explores
indstillinger)
Mvh Jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 15:23 |
|
jens skrev:
> Men den indstilling bliver ikke bekræftet af GPOèn, og dermed
> afvist i sidste ende som falsk.
Hvad er GPO'en?
>> Hvad mener du med "forfatter" tilstand ?
>
> At i w2k kan man vælge at køre som en anden bruger, som
> administrator, eller i "forfatter tilstand"
Er det ikke det samme som 'Run As:' ?
> Feks. med mmc.exe, er det en fordel at køre i forfatter tilstand
> da det giver et par ekstra mulighedder.......
> Men xp har ikke den mulighed har jeg lige set.....
Hmm...
>> Man kan højreklikke på en Setup.exe og vælge 'Run As:' hvorefter
>> man kan vælge at installere programmet med
>> administratorrettigheder selvom man er logget ind på
>> brugerkontoen.
>
> Ja.... , hvis man kender en konto med admin ret, det er der nok
> ikke mange på et firma net der gør.......
Nå nej, men nu snakker jeg heller ikke om firmanet. Jeg snakker
om en enkeltstående PC som jeg gerne vil gøre så sikker som mulig,
men alligevel ikke så sikker at de programmer man bruger nægter at
køre på normal vis.
> Njae, det er jo et udbredt problem at de sysadminner, som virkelig
> ved noget, enten ikke evner at forklare tingene på frk.
> henriksensk, eller mener at de bærer rundt på store
> hemmelighedder. (begge dele kan være tilfældet)
Tja. Der er jo nogen der insisterer på at holde deres viden tæt ind
til kroppen. Det er også ofte samme personer som bliver direkte sure
hvis man nægter at hjælpe dem med et eller andet. Jeg kender godt
typen.
> Ini fil ?....... i xp ?
Det var blot et eksempel. Og helt ærligt; når man ikke engang har
mulighed for at højreklikke på en programfil og vælge et faneblad
hvor der står noget i retning af 'Kør dette program under andre
rettigheder' _og_ 'Skriv kodeordet til administratorkontoen så du
er fri for at indtaste den hver eneste gang du vil køre programmet',
men i stedet er nødt til at lave en gammeldaws *.bat-fil for at få
det ønske opfyldt, så ved man nu altså aldrig hvor gennemtænkt XP
er på andre områder, som f.eks. hvordan den holder styr på kode-
ordene.
>> Hvis scriptet ikke har adgang til andet end den brugerkonto det
>> er sluppet løs på, så er det vel begrænset hvor meget skade det
>> kan lave.
>
> Nae, det er der vist delte meninger om.
Sikkert.
> Har du "AciveX scripting slået til i explode ?
Du mener i IExplorer? Nej.
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 16:10 |
|
Madsen wrote:
> jens skrev:
>
>> At i w2k kan man vælge at køre som en anden bruger, som
>> administrator, eller i "forfatter tilstand"
>
> Er det ikke det samme som 'Run As:' ?
Nej, run as er at køre som en bruger, forfatertilstand, er at brugeren kører
som en service........ , der er en lille forskel, da det gør brugeren medlem
af "ntautority" gruppen, som blandt andet har brugeren "System" som medlem..
>> Ja.... , hvis man kender en konto med admin ret, det er der nok
>> ikke mange på et firma net der gør.......
>
> Nå nej, men nu snakker jeg heller ikke om firmanet. Jeg snakker
> om en enkeltstående PC som jeg gerne vil gøre så sikker som mulig,
> men alligevel ikke så sikker at de programmer man bruger nægter at
> køre på normal vis.
Du kan jo bare sætte et hegn omkring dit lan, og så stole på det.
Den største sikkerheds risiko idag er de 10 pølser som tripper rundt 10 cm
fra skærmen.
>> Njae, det er jo et udbredt problem at de sysadminner, som virkelig
>> ved noget,..............]
> Tja. Der er jo nogen der insisterer på at holde deres viden tæt ind
> til kroppen. Det er også ofte samme personer som bliver direkte sure
> hvis man nægter at hjælpe dem med et eller andet. Jeg kender godt
> typen.
Det er da også hamrende irriterende, når det en sjælden gang er
nødvendigt.....
>> Ini fil ?....... i xp ?
>
>_og_ 'Skriv kodeordet til administratorkontoen så du
> er fri for at indtaste den hver eneste gang.......................]
Nu er det jo dig der er urimelig hihihihihihi
>> Har du "AciveX scripting slået til i explode ?
>
> Du mener i IExplorer?
Ja
> Nej.
Ok, det er ellers ikke ret tit man møder sådan en.....
Mvh Jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 15:51 |
|
Madsen skrev:
> Hvad er GPO'en?
Group Policy velsagtens.
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 15:57 |
|
Madsen wrote:
> Madsen skrev:
>
>> Hvad er GPO'en?
>
> Group Policy velsagtens.
Group Policy Opject,..... det er en Active Directory ting.
Mvh Jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 16:29 |
|
jens skrev:
> Group Policy Opject,..... det er en Active Directory ting.
Ja, så er jeg stået af, men hovedsagen er også at det virker som det
står lige nu. :)
--
Med venlig hilsen
Madsen.
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 16:55 |
|
jens skrev:
> Nej, run as er at køre som en bruger, forfatertilstand, er at
> brugeren kører som en service........ , der er en lille forskel,
> da det gør brugeren medlem af "ntautority" gruppen, som blandt
> andet har brugeren "System" som medlem..
Var det mon en metode jeg kunne bruge med de programmer som nægter
at køre på brugerkontoen, eller?
> Du kan jo bare sætte et hegn omkring dit lan, og så stole på det.
En firewall, eller hvad mener du? Jeg gider ikke at køre med
softwarefirewalls længere. Så hellere kvæle unødvendige services
og dermed få lukket for åbne porte.
> Den største sikkerheds risiko idag er de 10 pølser som tripper
> rundt 10 cm fra skærmen.
Det er der noget om, men jeg vil nu heller ikke just sige at
standardopsætningen i Windows er speciel fornuftig i alle henseender.
Se bare på den kørende Messenger-service som får mange til at tage
en skriger når den første popup med en eller anden reklame kommer
op på skærmen, for slet ikke at tale om de 10-20 porte som står
pivåbne på en standardinstallation.
>> _og_ 'Skriv kodeordet til administratorkontoen så du er fri for at
>> indtaste den hver eneste gang.......................]
>
> Nu er det jo dig der er urimelig hihihihihihi
Jamen hvorfor egentlig ikke? Hvorfor laver man en /savecred-funktion
som tilsyneladende kun fungerer via en *.bat-fil når man lige så
godt kunne implementere det direkte? Der er jo allerede lavet en
'Run As:'. Hvorfor så ikke gå hele vejen og lave en mulighed for at
gemme det skide kodeord så det bliver bare en smule nemmere at få
folk til at køre under andet end adminrettigheder i det daglige?
Jeg vil gætte på at 80-90 % af private som kører Win2000 eller XP
er logget ind på adminkontoen eller en konto med adminrettigheder
i det daglige for alt andet er for bøvlet. De bruger vel bare den
konto som Windows opretter under installationen og tænker aldrig
over at den som standard har administratorrettigheder.
[Active Scripting On]
>> Nej.
>
> Ok, det er ellers ikke ret tit man møder sådan en.....
Næ. Det er heller ikke ret tit man møder en som _ikke_ kører med
standardopsætningen i OE ;)
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 17:12 |
|
Madsen wrote:
> jens skrev:
>
>
> Var det mon en metode jeg kunne bruge med de programmer som nægter
> at køre på brugerkontoen, eller?
Nej det tror jeg ikke.
>> Du kan jo bare sætte et hegn omkring dit lan, og så stole på det.
>
> En firewall, eller hvad mener du? Jeg gider ikke at køre med
> softwarefirewalls længere. Så hellere kvæle unødvendige services
> og dermed få lukket for åbne porte.
Jeg mener ikke softwalls.
>> Den største sikkerheds risiko idag er de 10 pølser som tripper
>> rundt 10 cm fra skærmen.
>
> Det er der noget om, men jeg vil nu heller ikke just sige at
> standardopsætningen i Windows er speciel fornuftig i alle henseender.
> Se bare på den kørende Messenger-service som får mange til at tage
> en skriger når den første popup med en eller anden reklame kommer
> op på skærmen, for slet ikke at tale om de 10-20 porte som står
> pivåbne på en standardinstallation.
Det er vel et spørgsmål om at opveje ulemper og fordele...... for M$.
Mange klager over besværlighedder opvejes måske af lidt færre klager over
sikkerhed. (eller manglende sikkerhed)
En bruger som ikke kan få MSN igang, skal nok brokke sig et eller andet
sted, men en bruger som måske har 50 spy`s 15 trojanere og et par
virusser....., det er ikke sikkert de udløser samme karm hos supporten.
> [........ Hvorfor så ikke gå hele vejen og lave en mulighed for at
> gemme det skide kodeord så det bliver bare en smule nemmere at få
> folk til at køre under andet end adminrettigheder i det daglige?
Det er lavet, men det kræver at WIN xp eller w2k ligger på NTFS.
(Derfor var du urimelig)
> Jeg vil gætte på at 80-90 % af private ...........]
nærmere 99%
> Næ. Det er heller ikke ret tit man møder en som _ikke_ kører med
> standardopsætningen i OE ;
Hmmm, jeg kører netop med standard opsætningen.
Men jeg har en idè om at en vis hr w2k3 servers standard OE opsætning
overrules mine xpèrs OE... jeg er ved at kigge under hjelmen.
Mvh Jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 18:10 |
|
jens skrev:
> Jeg mener ikke softwalls.
Ok.
> Det er vel et spørgsmål om at opveje ulemper og fordele...... for
> M$. Mange klager over besværlighedder opvejes måske af lidt færre
> klager over sikkerhed. (eller manglende sikkerhed)
Det har du sikkert ret i.
[Køre et program under andre rettigheder uden at skulle indtaste
kodeordet hver gang]
> Det er lavet, men det kræver at WIN xp eller w2k ligger på NTFS.
> (Derfor var du urimelig)
Hvordan fungerer det hvis Windows ligger på NTFS?
>> Næ. Det er heller ikke ret tit man møder en som _ikke_ kører med
>> standardopsætningen i OE ;
>
> Hmmm, jeg kører netop med standard opsætningen.
Så ville der ikke stå tegnsætsangivelse i headeren af dit indlæg
for det indsætter OE ikke som standard.
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 18:30 |
|
"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns939EC30BFF6D.thomas@madsen.tdcadsl.dk...
>
> Hvordan fungerer det hvis Windows ligger på NTFS?
Hvis XP og w2k ligger på en NTFS system part, kravler de et sikkerheds nivea
op, og anser hver enkelt brugers mappe som personlig, (hvilket de i høj grad
også er), når NT OSèrne anser en brugers data for sikre, "impersonater" de
dem ikke, det er lidt kringlet, men den korte version er, at hvis xp ligger
på fat32, er det "all users" eller "default users" mappen som bruge data
hentes fra, alt efter om der er password på adminkontoen eller ej.
Hvis der er pass på admin, _og_ det er en ntfs part, benyttes "brugernavn"
mappen, og det er den DAT fil som ligger deri paswords gemmes i, krypterre
med 64 eller 128 bit nøgle og alt muligt andet underligt.
> Så ville der ikke stå tegnsætsangivelse i headeren af dit indlæg
> for det indsætter OE ikke som standard.
Jeps der ville i dette tilfælde.
Jeg har afstalleret det fix igen, da det var for avanceret for mig, og et
unødvendigt ekstraprogram. (Adaware fandt 9 komponenter, jeg scannede sidst
lige inden jeg lagde fixet på,.... det kan skyldes en lidt giftig side, men
jeg ved ikke af at jeg har været på sådan en idag.)
W2k3 serveren er jo en ammerican dream..... QP og 1292, alle de
indstillinger som var forkerte i wes.. her.
Mvh Jens som tror det er endnu en AD og GPO ting.
Ps: de 2 xpEr er i en arbejdsgruppe, som ikke er det samme som serverens
domæne, dog er xpèrne oprettet på serveren som computere.
Så snart jeg satte serveren til west, og mime. = none, var problemet væk på
den maskine som ikke havde QFèt på, (QFèt virkede ikke på denne mere )
Mvh Jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 20:14 |
|
jens skrev:
> det er lidt kringlet, men den korte version er, at hvis xp ligger
> på fat32, er det "all users" eller "default users" mappen som
> bruge data hentes fra, alt efter om der er password på
> adminkontoen eller ej. Hvis der er pass på admin, _og_ det er en
> ntfs part, benyttes "brugernavn" mappen, og det er den DAT fil som
> ligger deri paswords gemmes i, krypterre med 64 eller 128 bit
> nøgle og alt muligt andet underligt.
Jeg kan bare ikke se hvordan det skulle hjælpe med til at jeg -
logget ind på en konto med kun brugerrettigheder - kan få lov til
at køre et program med administratorrettigheder uden at skulle
indtaste kodeordet for administratorkontoen hver gang programmet
skal startes og uden at gå via bat-filen med savecred-parametret.
Kommer der et ekstra faneblad når man højreklikker på en program-
fil med nogle nye muligheder, eller noget i den stil? Altså noget
ala 'Run this program under different credentials', med en save
password-mulighed.
Grunden til jeg spørger er at hvis det faktisk kan lade sig gøre
uden brug af en bat-fil, som jeg synes virker lidt gammeldags
efterhånden, så kunne jeg måske finde på at starte forfra på rene
NTFS-partitioner, for det er jo sikkert ikke nok bare at konvertere
skidtet til NTFS.
--
Med venlig hilsen
Madsen.
| |
jens (18-06-2003)
| Kommentar Fra : jens |
Dato : 18-06-03 20:35 |
|
"Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns939ED7EC2B2A7.thomas@madsen.tdcadsl.dk...
> jens skrev:
>
>
> Jeg kan bare ikke se hvordan det skulle hjælpe med til at jeg -
> logget ind på en konto med kun brugerrettigheder - kan få lov til
> at køre et program med administratorrettigheder uden at skulle
> indtaste kodeordet for administratorkontoen hver gang programmet
> skal startes og uden at gå via bat-filen med savecred-parametret.
Det skal sættes op mens man er logget på som administrator.....
> Grunden til jeg spørger er at hvis det faktisk kan lade sig gøre
> uden brug af en bat-fil, som jeg synes virker lidt gammeldags
> efterhånden, så kunne jeg måske finde på at starte forfra på rene
> NTFS-partitioner, for det er jo sikkert ikke nok bare at konvertere
> skidtet til NTFS.
Det er ret sikkert ikke nok at konvertere nej.
Jeg vil gerne undersøge det i løbet af ugen.
Jeg kan jo bruge en wp6.1 som forsøgskanin måske. (sorry R.
hvilke funktioner var det programmet havde ?
Mvh Jens
| |
Madsen (18-06-2003)
| Kommentar Fra : Madsen |
Dato : 18-06-03 21:53 |
|
jens skrev:
> Jeg vil gerne undersøge det i løbet af ugen.
Hvis du har tid engang så må du meget gerne, men det haster ikke.
> Jeg kan jo bruge en wp6.1 som forsøgskanin måske. (sorry R.
Grrr... ;)
> hvilke funktioner var det programmet havde ?
Det er en fontmanager. Altså et program som du kan slukke og tænde
fonte eller hele fontsæt med. Jeg bruger det fordi at min PC ville
være uhyggelig langsom hvis alle fontene bare var tændt hele tiden,
så jeg tænder kun dem jeg har brug for til en given opgave.
Det er ret træls at man bliver nødt til at starte det program ved at
højreklikke på det, vælge 'Run As:', klikke på 'The following user:,
vælge administratorkontoen og skrive kodeordet og specielt når man
fyrer op for det mange gange hver dag.
Derfor bruger jeg pt. en *.bat-fil med dette indhold:
C:
CD\
CD Program Files\Adobe\Adobe Type Manager
Runas /env /savecred /user:{navn på adminkonto} "atmfm.exe"
--
Med venlig hilsen
Madsen.
| |
|
|