Microsoft: UAC voorbeeld voor alle besturingssystemen

Eh, waar kan jij in Windows snel een programma die je als admin moet draaien onder normale user met admin rechten draaien? Nergens. Er is zo'n optie, als je shift ingedrukt houdt, dan rechtermuisknop op bestand, uitvoeren als, maar je krijgt geen melding "wilt u dit bestand met admin rechten uitvoeren? - Ja, Nee". Je krijgt gewoon een foutmelding tijdens install, "setup kan niet verder gaan, er zijn onvoldoende rechten voor deze actie".
Nu met Vista krijg je de melding al direct aan het begin, en vaak zelfs onterecht.

Er wordt wel gezegt dat het verstandig is om niet als default admin te draaien, maar zorg dan op z'n minst ervoor dat de applicaties die je dan onder normale gebruiker draait werken. En dan met name spelletjes. Dat is het grootste probleem, spelletjes MOETEN als admin gerunt worden, en waarom? Omdat er systeembestanden gebruikt worden en alleen admin mag die gebruiken. Wat een onzin. Ik ben net begonnen met Linux en moet zeggen, al heb ik soms wat moeite om wat aan de praat te krijgen, als het eenmaal werkt, is er geen omkijken meer naar.

edit:
@maria:
De reden dat spellen bij systeembestanden moeten komen is misschien vanwege 3D rendering? En laat dat nou net iets wezen wat je niet per direct als low level user mag gebruiken op grote schaal zoals games dat doen. Verder wordt er soms ook wat instellingen weggeschreven die voor het spel gaan gelden, zodat het spel die instellingen niet telkens weer hoeft toe te passen en direct kan oproepen. Dat gebeurt dus in de general settings van DirectX, andere settingslocatie heeft hij niet (buiten de systeeemmappen).

Over programma's, ik kan mij een zeker programma herrinneren die zonder admin geïnstalleerd kon worden, zelfs draaien zou geen probleem moeten zijn, maar eenmaal bij het afsluiten ervan werd er gezeurt dat het niet in zijn eigen install map mocht schrijven. Dat is het punt van MS, een applicatie moet in zijn eigen install map kunnen schrijven. Er moet een keuze zijn om de instellingen globaal te maken en per user. Nou niet gaan zeggen, zet dat in all users, want dan blijf je bezig. Op die manier heb je een programma niet meer op 1 plaats maar verdeelt over je hele systeem. Dat is lekker wil je zeggen.

@FlorisB:

Ooit al eens windows geinstalleerd? De eerste account die je aanmaakt krijgt Administrator-rechten.

Je meent het. Hoe wou je anders meerdere users aanmaken? Met een limited user account?

Er wordt wel gezegt dat het verstandig is om niet als default admin te draaien, maar zorg dan op z'n minst ervoor dat de applicaties die je dan onder normale gebruiker draait werken.

En dat is nu juist wat ze met UAC proberen te bereiken. Programmeurs zijn lui en testen alleen als Admin, als je de ontwikkelingen rond Vista een beetje gevolgd heb zal je gezien hebben dat Microsoft ontwikkelaars nu juist wil 'dwingen' hun applicaties te testen als beperkte gebruiker, zodat er bij normaal gebruik geen UAC prompts voorkomen.

En dan met name spelletjes. Dat is het grootste probleem, spelletjes MOETEN als admin gerunt worden, en waarom? Omdat er systeembestanden gebruikt worden en alleen admin mag die gebruiken. Wat een onzin.

En waarom moeten die spelletjes bij die systeembestanden? Dat zou niet nodig moeten zijn. Het is aan de ontwikkelaar van spellen om te zorgen dat hun software onder een limited user account kan draaien. Bijvoorbeeld door geen onnodig gebruik te maken van allerlei systeembestanden.

@Maria_von_Trapp
Door tijdens de installatie eerst een admin account aan te maken dan de normale user en deze als default instellen.

MS moet nu niet gaan doen of ze het 8ste wereld wonder hebben uitgevonden.

@Maria_von_Trapp
Helemaal niet lullig/verwijtend bedoelt, maar jij snapt duidelijk niet wat er aan dit probleem vooraf gegaan is.

Microsoft heeft backwards-compatibiliteit hoog in t vaandel staan. Ze hebben vanaf t begin een minder goede structuur gebruikt, dit blijkt wel uit alle problemen die er nu zijn. (dus graag geen discussie hierover)

Vanwege de stappen die ze enkele jaren geleden hebben gezet zijn ze nu de lul als het ware. Als je vergelijkt met Mac OS dan hadden ze een beetje hetzelfde probleem eerst, ze zijn hiernaa een compleet nieuw systeem gaan maken gebaseerd op de darwin-mach kernel (Mac OS X). Bovendien hebben ze richtlijnen opgezet voor applicatie-design, waaraan de meeste bedrijven zich houden. (Security, design, etc.)

Ik neem niemand iets kwalijk hier, maar als ik microsoft was zou ik snel met een vernieuwd kernel-design komen en niet weer voorbouwen op dit kernel design.


Als je dit even doorleest snap je ook wel dat al deze maatregelen niet genomen hadden hoeven te worden als ze sneller innovatiever waren geweest. Wat mij betreft een misstap, maar iedereen denkt hier anders over natuurlijk En ik hou jullie daarin niet tegen

@FlorisB: Met alle respect, maar wat een onzin. Ik geef in m'n post gewoon aan hoe de zaken staan, en je verhaal over backwards-compatibility doet niets aan die punten af: applicatie als spellen hebben geen zier te maken met systeembestanden en daar moeten ze dus vanaf blijven. Dat is een fout van de spellenfabrikant, niet van Microsoft. En dat geldt niet alleen voor spellen, maar voor allerlei applicaties: in dagelijks werk zou je geen admin-rechten nodig moeten hebben. Dus laat die softwarefabrikanten ervoor zorgen dat hun software niet onnodig admin-handelingen uit gaat voeren. Door bijvoorbeeld dingen weg te schrijven in de folder van de gebruiker, en niet in Program Files. Allerlei zaken waar netjes guidelines van Microsoft voor te krijgen zijn waar men zich niet aan houdt.

Je argument dat Apple richtlijnen heeft opgesteld doet dan ook niet terzake, want die heeft Microsoft ook. Applicatieontwikkelaars houden zich daar echter niet aan. Maar dat is dan de schuld van Microsoft?

Dat dit al lang aan de gang is, is duidelijk. Maar het is tijd voor een mentaliteitsverandering bij de softwarefabrikant: hou je eens aan de limited-user guidelines en test niet alleen als admin. Op die manier heb je niet eens een kernel-wijziging nodig om gebruikers gewoon als limited user te kunnen laten werken. Dan heb je veiligheid, gebruikersgemak, -en- backwards compatibility. Lijkt mij prettiger dan een heel nieuwe kernel die ervoor zorgt dat je al je duurbetaalde software uit het raam kan mieteren omdat het niet meer compatible is.

Overigens is Microsoft Research bezig met een van nul af opgebouwd OS: Singularity, maar dat terzijde.

@FlorisB: Met alle respect, maar wat een onzin.

Goed, jouw mening

Ik geef in m'n post gewoon aan hoe de zaken staan, en je verhaal over backwards-compatibility doet niets aan die punten af: applicatie als spellen hebben geen zier te maken met systeembestanden en daar moeten ze dus vanaf blijven.

Tsjah, helaas heeft Microsoft dingen zoals DirectX die soms bestanden vereisen die niet bij de standaard installatie zitten.. Hoe wil je die installeren zonder admin rechten? Er zijn een heleboel factoren die hier meespelen die echt absoluut niets te maken hebben met 'het schrijven naar systeembestanden'. Ik wil niet te diep ingaan hierop, maar een game die onderdelen in kernel mode heeft draaien zal per definitie sneller draaien. Dit omdat je hierbij niet van Ring 3 > Ring 0 > Hardware > Ring 0 > Ring 3 moet communiceren, maar gewoon Ring 0 > Hardware > Ring 0. Kijk, ik ben ook geen x86 specialist, maar dit levert wel vergraging op. Games willen we graag zo snel mogelijk hebben draaien.

Ik kan hier niets meer van maken dan dat we dit lekker overlaten aan de kernel/x86 specialisten

Dat is een fout van de spellenfabrikant, niet van Microsoft. En dat geldt niet alleen voor spellen, maar voor allerlei applicaties: in dagelijks werk zou je geen admin-rechten nodig moeten hebben. Dus laat die softwarefabrikanten ervoor zorgen dat hun software niet onnodig admin-handelingen uit gaat voeren. Door bijvoorbeeld dingen weg te schrijven in de folder van de gebruiker, en niet in Program Files. Allerlei zaken waar netjes guidelines van Microsoft voor te krijgen zijn waar men zich niet aan houdt.

Goed, zelfde verhaaltje als hierboven. Het gaat niet alleen om de map program files.

Dat dit al lang aan de gang is, is duidelijk. Maar het is tijd voor een mentaliteitsverandering bij de softwarefabrikant: hou je eens aan de limited-user guidelines en test niet alleen als admin. Op die manier heb je niet eens een kernel-wijziging nodig om gebruikers gewoon als limited user te kunnen laten werken. Dan heb je veiligheid, gebruikersgemak, -en- backwards compatibility. Lijkt mij prettiger dan een heel nieuwe kernel die ervoor zorgt dat je al je duurbetaalde software uit het raam kan mieteren omdat het niet meer compatible is.

Hartstikke leuk allemaal, maar microsoft heeft wat mij betreft een grote fout gemaakt met het inbouwen van win98 support in hun NT kernel.

Overigens is Microsoft Research bezig met een van nul af opgebouwd OS: Singularity, maar dat terzijde.

Ja dat weet ik, gelukkig zijn we niet afhankelijk van microsoft voor andere systemen.


Het gaat hier om behoorlijk specialistische dingen waar wij absoluut niet in kunnen kijken met onze kennis, ik wil daarom deze discussie een beetje afsluiten. Ik zeg alleen dat het ook anders kan zoals linux/unix/os x

DirectX is een onderdeel van je systeem. Als een spel tijdens de installatie een update van DirectX doet, dan is het logisch en het terecht dat daarvoor administrator rechten nodig zijn.

Tijdens het spelen heeft het spel geen enkele reden om in het systeem rond te klooien, en zou het gewoon op user-level moeten kunnen werken. Als het dat niet kan, is het gewoon slecht geprogrammeerd. Spellen vereisen geen administrator rechten.

@Maria_von_Trapp: Met alle respect, maar wat een onzin. Ik geef in m'n post gewoon aan hoe de zaken staan, en je verhaal over backwards-compatibility doet niets aan die punten af: applicatie als spellen hebben geen zier te maken met systeembestanden en daar moeten ze dus vanaf blijven. Dat is een fout van de spellenfabrikant, niet van Microsoft.

Geen onzin. Je kunt de gevolgen van het continu opnieuw hetzelfde wiel uitvinden door Microsoft, waardoor er inmiddels honderden methoden voor hetzelfde doel op de markt zijn, niet afschuiven als software vendor fout.
Windows heeft zich ontwikkeld van een uiterst amateuristisch (windows 3.11 windows 95), tot redelijk professioneel (Vista) systeem. De weg die ze bewandelde was verre van consistent, met alle gevolgen van dien.

De registry (erfenis van Windows 95) is gewoon een hele zwakke plek van Windows, omdat daar werkelijk alles in staat. In plaats van die op te delen en de systeem settings goed te beveiligen, is die zelfs in Vista nog met een enkele druk op de (allow) knop, voor alle software toegankelijk.
Natuurlijk is het niet handig dat software vendors daar gaan schrijven, maar dat is wel een ervenis van het Windows verleden.

De registry (erfenis van Windows 95) is gewoon een hele zwakke plek van Windows, omdat daar werkelijk alles in staat. In plaats van die op te delen en de systeem settings goed te beveiligen, is die zelfs in Vista nog met een enkele druk op de (allow) knop, voor alle software toegankelijk.

Als je nou eerst eens een beetje meer kennis van windows vergaart voor je gaat blaten!

De registry is wel degelijk opgedeeld. Het HKLM gedeelte is alleen met full admin rechten toegankelijk.
Het user gedeelte voor gewone users.

Juist die deling (die er al vanaf het allereerste moment in zit) is de reden dat veel spellen full admin rechten vereisen. Ze schrijven namelijk in het verkeerde gedeelte van de registry.

De werkelijke ervenis is niet de manier waarop windows in elkaar zit, maar de manier waarop mensen er mee werken.
De werkelijke ervenis, is dat iedereen altijd als administrator zat te werken, en dat daardoor de software makers er ook vanuit zijn gegaan dat hun programma's altijd admin rechten hebben.

WIndows en backward compatabilety laat me niet lachen.
propte ik partition magic op mijn laptop om ruimte te maken voor linux. restart ik Beng chkdsk weg. Mijn partition magic was niet XPsp2 compatible. win95 games doen het niet meer. lak een oude linux source code. compile it en het draait.

*offtopic*
Ok for the last time: gebruik geen woorden als je niet weet hoe je die moet schrijven!

het is COMPATIBILITY
*/offtopic*

En wat heeft partition magic te doen met de windows backward compatibiliteit?

Incorrect (m'n 3e reactie nu al). Als je gaat rommelen in C:\ of C:\windows of whatever is het logisch dat Windows klaagt... dit is juist veiligheid! Ga maar naar jouw documenten, kun je alles doen zonder dat UAC je lastig valt.

Ja, goh dat je gewoon bij je eigen bestanden kan. Ze hadden ook gewoon met KOEIELETTERS op kunnen schrijven 'Pas op, dit kan je pc in de vernieling helpen'

TIP TIP TIP: je moet maar eens zoeken naar TweakUAC. Dan kun je UAC tijdelijk uitschakelen als je zelf aan het rotzooien bent in je C:\, of C:\windows.... bijvoorbeeld.

Lachwekkend, je kan zo de beveiliging uitschakelen. Ik voorzie malware die UAC (met onoplettend ja geklikte toestemming) uitschakelt en langzaam je hele pc overneemt

@martijnvanegdom
Het feit dat je tijdens de gehele resterende sessie root blijft is dus een groot veiligheidsrisico. Stel je voor dat een gebruiker in explorer een bestand wat beveiligd is zou willen wijzigen en gaat dus onder root draaien. Vervolgens blijft deze gebruiker deze sessie gebruiken om andere dingen te doen... Meeste gebruikers sluiten niet een applicatie maar laten deze actief staan.

Gevolg is dat daarna dus alle acties onder root uitgevoerd worden.

@hiostu

Alleen dat ene programma draait als root.

daar ben ik het toch niet echt mee eens:

1) sudo in een terminal is geldig voor 15 minuten

2) start je een applicatie met rootrechten dan is dit moedwillig voor een systeeminstelling aan te passen of software te installeren. Als je een deur opendraait moet je ze ook terug toedoen, dus is het eveneens jouw verantwoordelijkheid geen systeemvensters open te laten staan (iets wat me evident lijkt). En neen, dat is niet te moeilijk voor de gewone gebruiker, of neen dat is niet de schuld in de schoenen van de gebruiker schuiven... dit systeem werkt op ubuntu, omdat elke systeeminstelling goed afgesloten is en je je er goed bewust van bent dat wanneer je in de systeeminstellingen zit je meer schade kan doen, dat is gewoon altijd zo geweest, niets nieuws onder de zon. Windows daarentegen heeft zijn verleden tegen: men is gewoon .exe 's te dubbelklikken en klakkeloos te doorlopen (liefst zo snel mogelijk). Je hebt miljoenen gebruikers dat deze weg van installeren gewoon zijn en het paswoord gaan invullen om zo snel mogelijk door te installatie te geraken en dan toch terug het oude doorklikken-zonder-nadenken gaan gebruiken. Fout van de gebruiker? Neen, fout van de voorgaande windows-versies!

3) screensavers met korte idle time en paswoord horen tot de standaard veiligheidssetting van iedere systeembeheerder, just in case je toch vergeetachtig bent.

@Sjaaksken

Alleen punt 1 vind ik valide, maar je andere punten vind ik zo kinderachtig.

Omdat ubuntu iets open laat staan moet de gebruiker het maar goed doen en afsluiten. Maar als je bij windows elke keer een vraag krijgt en de gebruiker klikt door, dan ligt het aan windows en niet aan de gebruiker....

Als je gaat rommelen in C:\ of C:\windows of whatever is het logisch dat Windows klaagt...

als je je versnellingsbak gaat aanpassen heb je ook kans dat je het verkloot, toch komt de auto niet zeiken!

als je in c:\windows gaat kloten, weet je het resultaat al, en moet je ook niet komen zeveren. dit ligt niet aan ms, of aan wie dan ook.
het engiste dat ms kan doen, is admin rechten vereisen op c:\windows, en zo de gebruiker er uit houden.
maar als de "admin" dan gaat rommelen isset nog steeds verkl***.

zo is de wereld nu eenmaal, en meer hoeft daar niet aan gedaan te worden.

logica lost 50% van de problemen op, firefox de andere 50% ^^