"administrator" aktivieren oder Adminkonto anlegen

[c-mate]

Hi,

ich soll das Notebook für meine Nichte (12 Jahre) einrichten (Windows 10 Home), das habe ich soweit alles erledigt, jetzt überlege ich nur noch bzgl. Profil einrichten.
Für sie habe ich ein Profil ohne Adminrechte eingerichtet und jetzt brauche ich ja aber noch ein Konto mit Adminrechten.
Aktiviere ich dafür am besten das "echte" administrator Konto oder lasse ich das besser deaktiviert und lege ein neues Konto mit Adminrechten an (oder ist das völlig schnuppe)?

Was meint ihr?
THX

 

[Evil E-Lex]

Du legst ein weiteres Konto an und gibst diesem Adminrechte. Das integrierte Administratorkonto zu aktivieren ist nicht vorgesehen und kann insbesondere bei Upgrades unangenehme Nebeneffekte haben.

 

[Yuuri]

Es gibt keinen PC ohne initiales Adminkonto. Du kannst also nicht ein Konto ohne Adminrechte anlegen, wenn du kein Konto ohne Adminrechte hast. Lass den User aktiviert, unter dem du den PC eingerichtet hast und gut ist. Nix mit "echtes" Adminkonto, das ist alles gröbster Unfug.

 

[RadicalEd]

Du legst ein weiteres Konto an und gibst diesem Adminrechte. Das integrierte Administratorkonto zu aktivieren ist nicht vorgesehen und kann insbesondere bei Upgrades unangenehme Nebeneffekte haben.

Ich würde auch ein extra Konto anlegen, aber das mit dem integrierten Admin Konto ist leider nicht so korrekt. Bei einem Rechnerpark mit über 1.000 Geräten konnte ich die Problematik noch nicht bemerken. Und auch meinen PC betreibe ich so.

Es gibt keinen PC ohne initiales Adminkonto. Du kannst also nicht ein Konto ohne Adminrechte anlegen, wenn du kein Konto ohne Adminrechte hast. Lass den User aktiviert, unter dem du den PC eingerichtet hast und gut ist. Nix mit "echtes" Adminkonto, das ist alles gröbster Unfug.

Es geht hier darum, das er den initial angelegten Benutzer runterstufen möchte. Was ja auch sinnvoll ist bei einem Kind was gerade 12 Jahre alt ist. Von daher mehr als Sinnvoll.

----

Nach meiner Meinung nach ist es halt wirklich Schnuppe was du machst. Du kannst den Build-In Administrator Account auch sogar umbenennen wenn du lustig bist. Die meisten Programme, welche auf den Administrator Account referenzieren, nutzen die SID.

 

[c-mate]

Es gibt keinen PC ohne initiales Adminkonto. Du kannst also nicht ein Konto ohne Adminrechte anlegen, wenn du kein Konto ohne Adminrechte hast. Lass den User aktiviert, unter dem du den PC eingerichtet hast und gut ist. Nix mit "echtes" Adminkonto, das ist alles gröbster Unfug.

Klar hat das Profil für meine Nichte im Moment noch Adminrechte, darüber habe ich ja auch eingerichtet und installiert.
Aber diesem werde ich die Adminrechte entziehen und dann benötige ich ein zweites Konto mit Adminrechten.

Und mit "echtes" Administrator Konto ist das Konto "administrator" gemeint, denn es gibt ja schon Unterschiede zwischen dem Konto "administrator" und einem Konto mit Adminrechten.

Dann werde ich den "administrator" deaktiviert lassen und ein neues Konto mit Adminrechten anlegen.

 

[valnar77]

Der Unterschied ist lediglich der, dass beim "echten (built in)" Administratorkonto die UAC deaktiviert ist, und man sich bei Unachtsamkeit noch schneller was einfangen kann. Daher lasse es einfach deaktiviert und lege dir ein Weiteres an.
Für die Funktion ist es egal.

P.S.: Zumindest war es auf einem Serverlehrgang mal so, bin mir grad nicht sicher obs auch auf einen Hoome-Client zutrifft.

 

[RadicalEd]

Da hast du recht, die SID ist in der Ausnahme für UAC.

 

[Evil E-Lex]

Ich würde auch ein extra Konto anlegen, aber das mit dem integrierten Admin Konto ist leider nicht so korrekt. Bei einem Rechnerpark mit über 1.000 Geräten konnte ich die Problematik noch nicht bemerken. Und auch meinen PC betreibe ich so.

Wenn ich fragen darf, warum? Man gewinnt dadurch nichts. Es ist nur ein Sicherheitsrisiko. Hat MS das irgendwo mal als Best-Practise empfohlen, oder gesagt, dass es supported ist? Ich glaube eher nicht.

 

[RadicalEd]

Zeig mir doch erstmal das es nicht supported ist?

Du hast glaube ich noch nie in Firmen Umgebungen gearbeitet. Gerade bei per Deployment erstellten Systemen ist lediglich der "Default Admin" aktiv, da man den OOBE überspringt. Und man ist auf einen lokalen Administrator angewiesen, falls es Probleme bei der LDAP Verbindung gibt.
Und jetzt kommt es, bei den Server Varianten von Windows wird man sogar direkt in den Built-In Admin Account geleitet. Crazy!

 

[Evil E-Lex]

Zeig mir doch erstmal das es nicht supported ist?

Du hast glaube ich noch nie in Firmen Umgebungen gearbeitet.

Du kennst mich nicht, also sei vorsichtig mit solchen Unterstellungen. Wenn ich ein System per Sysprep vorbereite, dann ist der Built-In Admin aktiv, ja. Wenn das System aber dann ausgerollt wurde nicht mehr. Du hast übrigens meine Frage nicht beantwortet. Wozu genau brauchst du auf den Clients den Built-In Administrator? Was bringt dir das?

 

[RadicalEd]

Du hast doch direkt unterstellt das ich mit Informationen um mich werfe welche nicht "supported" wären ohne einen Beweis dafür zu liefern. Da waren wir doch direkt im Bereich der Unterstellung.

Wie beschrieben braucht man einen lokalen Admin falls die AD Anbindung mal nicht funktioniert. Natürlich kann man dafür auch einen per OOBE erstellen Account benutzen. Hier besteht aber die Problematik das dieser User immer eine Zufalls SID hat. Wenn ich nun aber mit Softwareprodukten arbeite, wie z.B. ein Tool zur Limitierung von USB Ports, welches mit dem Windows Rechte Managment Arbeitet, so kann ich für diese per OOBE erstellen Benutzer keine Ausnahme definieren. Solche Zuweisungen basieren immer auf der SID und nicht auf den "Namen". Die SID des lokalen Admins ist immer die Gleiche (S-1-5-*-500). Diese Rechte Zuweisung wird seitens der Active Directory gesteuert und weißt Rechte lokalen Benutzern zu. Das funktioniert aber nur bei so genannten Well-Known SIDs, sprich SIDs die von System zu System gleich sind. Möglich wäre natürlich auch, das ich der lokalen Administratoren Gruppe ein solches Recht zuweise. Das ist aber problematisch, da unter Umständen Anwender Administratoren Rechte benötigen, jedoch trotzdem nicht die gleichen Rechte haben sollen wie der integrierte Administrator.

Und wie gesagt, bei uns kommt es nach dem Deployment gar nicht erst zur Erstellung von Benutzern, da "Sysprep" mit einer Antwortdatei genutzt wird. Sprich es ist alles automatisiert und man kommt gar nicht erst zum Dialog wo man einen User anlegen kann.

 

[Evil E-Lex]

Du hast doch direkt unterstellt das ich mit Informationen um mich werfe welche nicht "supported" wären ohne einen Beweis dafür zu liefern. Da waren wir doch direkt im Bereich der Unterstellung.

Ich habe nicht dir das unterstellt, sondern unterstellt dass MS das nicht supportet. Da mag ich durchaus danebenliegen, gebe ich zu. Es gibt sicherlich Situationen, wo ein aktiviertes lokales Built-In-Admin Konto sinnvoll ist, diese sehe ich aber bei keinem Rechner der zuhause steht. MS hat sich aus gutem Grund entschieden, das Konto zu deaktivieren. Diese Gründe sollte man nicht außer acht lassen, wenn man einem potenziell unerfahrenen Anwender diesen Rat gibt.
Ich habe schon mit Netzen zu tun gehabt, da war der lokale Administratoraccount aus Sicherheitsgründen deaktiviert (eben wegen der Well-Known-SID), noch bevor MS das mit Vista zum Standard gemacht hat.

 

[RadicalEd]

Es kommt halt auf den Einsatzzweck an. Aber es ist halt nicht "schlimm" den Built-In Administrator Account zu nutzen (Wenn man weiß was man tut). Oben hatte ich ja auch geschrieben das ich für die Zweck trotzdem einfach einen eigenen erstellen würde. Mir ging es halt nur um die Aussage, das die Nutzung des Built-In Administrator Accounts zu Problemen führen kann bei Upgrades. Das ist halt nicht der Fall. Solche Aussagen sind halt problematisch in einer Forum für IT erfahrene Leute.

valnar77 hat eigentlich den eigentlichen wichtigsten Punkt genannt, warum der Builtin Account nicht genutzt werden sollte: Dieser ist nämlich in der Ausnahmeliste für UAC.

Ich möchte mich für die vorherige Aussage entschuldigen, ich bin etwas allergisch gegen Aussagen ohne direkten Beleg xD