Microsoft overweegt werknemers adminrechten af te nemen

Microsoft staat als grootgebruiker van zijn eigen producten, wat in de engelstalige wereld smakelijk wordt omschreven als het 'eten van je eigen hondenvoer', momenteel voor de keuze of het zal breken met de traditie om zijn eigen werknemers van een administrator-account te voorzien. Nu het bedrijf bezig is om de bedrijfscomputers van het komende besturingssysteem Windows Vista te voorzien, doemt de vraag op welke Microsoft-medewerkers adminaccounts nodig hebben. Hoewel veel grote bedrijven in Windows XP de optie Limited User voor de meeste gebruikers in zouden stellen, zijn er nogal wat applicaties in omloop die voor installatie en/of gebruik adminrechten verlangen. Om deze reden krijgen veel 'gewone' gebruikers toch de volledige rechten toegewezen, met alle veiligheidsgevolgen van dien: niet alleen kunnen deze gebruikers hun systeem makkelijker zelf de soep inrijden, ze zijn tevens kwetsbaarder voor exploits die de administrator-privileges nodig hebben om controle over de pc te verkrijgen.

Vista admin dialogue De man die zich voor de keuze geplaatst ziet is Mark Estberg, die bij Microsoft de leiding heeft over interne veiligheidszaken. Volgens Estberg is het weliswaar duidelijk dat veel Microsoft-medewerkers een adminaccount nodig hebben om hun dagelijkse werk naar behoren uit te kunnen voeren, en zijn er daarnaast wel degelijk 'Limited' accounts voor bijvoorbeeld de receptie in gebruik, maar is er een grote groep in het midden waarvan Estberg minder zeker is. 'We zijn er nog niet uit. We moeten zeker nog scenario's met User Access Control bekijken. Ik wil graag zorgen voor een toegenomen bewustzijn van veiligheidszaken onder de werknemers van het bedrijf', aldus Estman, die daarmee lijkt aan te geven dat de softwaregigant met vergelijkbare problemen kampt als andere bedrijven - zoals gebruikers die maar raak klikken en van alles installeren, inclusief spy- en andere malware. Adminaccounts in Windows Vista kunnen overigens in Protected Administrator-modus gestart worden, waarbij alle programma's standaard met minimale privileges worden gestart en de gebruiker toestemming moet geven voor handelingen die volledige rechten vereisen.

Door Mick de Neeve

Feedback • 24-05-2006 16:35 80

24-05-2006 • 16:35

80

Bron: Ars Technica

Lees meer

Vista 'gehackt' tijdens Blackhat
Vista 'gehackt' tijdens Blackhat Nieuws van 5 augustus 2006
Microsoft deelt Windows Vista uit op hackerbijeenkomst
Microsoft deelt Windows Vista uit op hackerbijeenkomst Nieuws van 4 augustus 2006
Symantec: 'Heel wat potentiële veiligheidsrisico's in Vista'
Symantec: 'Heel wat potentiële veiligheidsrisico's in Vista' Nieuws van 19 juli 2006
'Onvindbare malware mogelijk op AMD x64-systeem'
'Onvindbare malware mogelijk op AMD x64-systeem' Nieuws van 29 juni 2006
Vista als gameplatform onderzocht
Vista als gameplatform onderzocht Nieuws van 1 juni 2006
Drie nieuwe bèta's van Microsoft zien het daglicht
Drie nieuwe bèta's van Microsoft zien het daglicht Nieuws van 24 mei 2006
Ballmer: geen vertraging Vista door Symantec-zaak
Ballmer: geen vertraging Vista door Symantec-zaak Nieuws van 22 mei 2006
Systeemeisen Vista bekendgemaakt
Systeemeisen Vista bekendgemaakt Nieuws van 19 mei 2006
'Irritant' veiligheidspakket Vista leidt tot uitstel-advies
'Irritant' veiligheidspakket Vista leidt tot uitstel-advies Nieuws van 8 mei 2006
Veiligheidsfouten eerder in ontwikkelproces opgelost
Veiligheidsfouten eerder in ontwikkelproces opgelost Nieuws van 5 mei 2006
Windows Vista binnenstebuiten gekeerd
Windows Vista binnenstebuiten gekeerd Nieuws van 1 maart 2006
Microsoft verplicht driversigning voor 64bits-Vista
Microsoft verplicht driversigning voor 64bits-Vista Nieuws van 24 januari 2006
Meer producten en artikelen
Software

Reacties (80)

-Moderatie-faq
80
80
46
21
10
20
Wijzig sortering
Verwijderd 24 mei 2006 16:39
Zou mooi zijn als ze gewoon het probleem oplossen.
Bijv, Adobe Illustrator of Indesign heeft admin rechten nodig om lekker te kunnen werken (of je moet het hele registry overhoop gaan halen), easy way out is dus admin rechten.

Protected Admin mode, prima, maar zonder dat een gebruiker hier last van moet hebben. Anders word die er ook niet blijer van.

Zelfde verhaal met games, sommige vereisen ook admin rechten, kan me niet voorstellen dat iemand z'n kinderen onder een admin account wil laten gamen.

Nu kun je dat probleem ook bij de schrijvers van die software neerleggen, maar goed, ik denk dat MS hier net zo'n groot aandeel in heeft.
Verwijderd @Verwijderd24 mei 2006 17:22
Het grootste aandeel dat MS heeft, is dat het niet afdwingt dat software correct omgaat met user rechten.

Windows levert alles wat nodig is om totaal op userlevel niveau te werken. Er is geen enkele reden waarom Illustrator admin rechten nodig heeft. Maar zolang software onterecht userlevel data in admin level folders wil wegschrijven... Tja....


Het probleem is natuurlijk, dat iedereen moord en brand zou schreeuwen wanneer MS zou afdwingen dat software correct omgaat met user rechten. Dat zag je al met de firewall in SP2. De firewall deed perfect zijn werk, en disabled dus sommige software functionaliteit. Dat wordt dan afgeschildert alsof SP2 niet goed compatible zou zijn met die specifieke software. Nonsense natuurlijk, maar zo werd het wel gebracht...

Vrijwel niemand die gewoon even vertelde dat de firewall correct zijn werk deed, en dat je hetzij je applicatie software moest aanpassen, hetzij even de firewall vertellen dat die software toegelaten kon worden.


Afdwingen van correct gebruik wordt helemaal leuk wanneer zou blijken dat MS software wel goed omgaat met user rechten (Office bijvoorbeeld werkt perfect op userlevel). Dan zou iedereen ook nog eens lopen klagen dat MS andere software probeert te saboteren...
geez @Verwijderd24 mei 2006 17:31
Hier is het andersom; ik geef mijn pa een limited account en ik ben de administrator :D
mawashigeri @geez24 mei 2006 22:52
Tja, 't blijft toch echt een van de bronfouten bij Microsoft.

Ik werk (professioneel) al meer dan 5 jaar op een SUN workstation, en heb in die tijd precies 1x rootrechten nodig gehad om een extra directory aan te maken op een "abnormale" plaats.

Met een brak ontwerp zoals Windows + oneindig terugwerkende compatibiliteit vraag je om gezeur.
Verwijderd @geez24 mei 2006 20:57
Ditto hier :P (Mn pa heeft zelfs zijn eigen windows, die ik beheer)
Ajunne @Verwijderd25 mei 2006 09:49
Het probleem is inderdaad niet zozeer of een bepaalde gebruiker al dan niet admin-rechten nodig heeft. Het probleem zit hem meer in de slechte keuze van verschillende user-klassen in Windows.

De stap tussen normale user (zelfs in het Power User-profiel) en admin is veel te groot. Als je een beetje fatsoenlijke software wil installeren heb je meteen full local admin rechten nodig, met alle veiligheidsgevolgen van dien.

Misschien zouden ze beter leentjebuur spelen bij andere systemen, zoals het al jaren ingeburgerde systeem van "sudo" bij Unix. Voor bepaalde dingen krijg je admin rechten, en de rest moet je maar onder je eigen account installeren, zodat je er niks mee kunt breken. Sysadmins mogen dan nog steeds gerust "sudo su" doen, omdat je er toch nog steeds vanuit gaat dat deze mensen weten wat ze met root moeten/mogen/kunnen doen :)
danielsrje @Ajunne25 mei 2006 10:15
Misschien zit dat wel in Vista :+
Het zou mooi zijn als niet iedere teksteditor meteen in je system32 directory wil gaan zitten grutten om wat idiote logfiles aan te maken :(
mjtdevries @Ajunne25 mei 2006 11:19
Wel eens van "runas" gehoord?
Splorky @mjtdevries25 mei 2006 16:32
dat werkt goed, maar niet handig, de meeste mensen hebben geen zin om iedere keer gebruikersnaam en wachtwoord in te vullen. je kan niet automatisch als een bepaalde user kan inloggen zonder het wahtwoord te hoeven invullen als je het programma start.
alt-92 @mjtdevries25 mei 2006 23:49
Ik moet bij een *nix ook m'n password telkens opgeven.
Er zit wat dat betreft geen verschil in.
Verwijderd @Verwijderd24 mei 2006 17:19
Nee? Ik heb al heel mijn leven gegamed op een admin account en daar heb ik altijd gebruik van gemaakt (admin account) en me vader wist wel degelijk dat hij me ook minder echten had kunnen geven.

Het zou mooi zijn als ze dit oplossen. Die protected admin account zou geweldig zijn voor de meeste gebruikers (niet voor de gemiddelde tweaker).
Stevendefeij @Verwijderd24 mei 2006 20:32
Beheert je vader de computer dan?
Want hier thuis beheer ik de computer en toen ik me vader ze admin rechten ontnomen had kreeg ik allemaal ellende.
Zoals microsoft office ( MICROSOFT eigen product ) die blijkbaar ook niet zonder admin rechten kan.
Tenminste bij ons werkt het niet goed en er zijn nog meer programma's maar ja ik bij office had ik het al opgegeven.
Pietervs @Stevendefeij24 mei 2006 23:08
[off-topic]
Zoals microsoft office ( MICROSOFT eigen product ) die blijkbaar ook niet zonder admin rechten kan.
Vraag ik me toch af hoe je die geinstalleerd hebt. Veel bedrijven, waaronder het bedrijf waar ik bij werk, hebben Office en gebruikers die geen admin-rechten hebben...
[/off-topic]
mjtdevries @Stevendefeij25 mei 2006 11:16
Wellicht een oude versie van Office?
kdekker 24 mei 2006 17:01
Het wordt steeds beter bij onze vrienden in Redmond. Ze scheiden steeds meer. De DLL issues zijn grootdeels met WinSxS opgelost.

Als ze dan ook net als Unix (en ik vermoed ook OSX) user space en system space (nog veel) stricter scheiden, dan heb je wat, waardoor ook de programmeur gedowngen wordt op userspace applicaties te schrijven (en niks stiekum allerlei DLLs in windows\system32 erbij kanllen).

Maar omdat van zoveel onderdelen binnen windows zelf al(IE, registry, windows\system32) nauwelijks te onderscheiden is of het userspace of osspace gaat, moet eerst dit probleem aangepast worden, en het systeem echt multi-user maken. Nu ben je 'verplicht' op in de registry iets met HKLM (globaal) te doen, ipv HKCU (per user), als je voor alle mogelijke users settings 1x globaal wilt vastleggen (als je de registry wilt gebruiken). Alternatief is dan de good-old-win3x .ini files. Wat ik alleen maar wil zeggen is dat het design van windows dit soort problemen zelf uit(ge)lokt (heeft).
Verwijderd 24 mei 2006 20:46
Dus na al die jaren is Microsoft zelf tot het besef gekomen dat hun systeem van user privileges eigenlijk nergens op lijkt en heel hun security model een onbruikbaar iets is ?
Verwijderd @Verwijderd24 mei 2006 21:03
Heel accuraat kort uitgelegd :+
Olaf van der Spek 24 mei 2006 16:41
Volgens Estberg is het weliswaar duidelijk dat veel Microsoft-medewerkers een adminaccount nodig hebben om hun dagelijkse werk naar behoren uit te kunnen voeren,
Met andere woorden, ze hebben het probleem nog steeds niet fatsoenlijk opgelost. :(
procede @Olaf van der Spek24 mei 2006 16:46
Met name als programmeur en tester ontkom je er simpelweg niet aan. Iets als Visual Studio heeft een behoorlijke macht op je OS nodig.
YaPP @procede24 mei 2006 17:55
Iets als Visual Studio heeft een behoorlijke macht op je OS nodig.
Waarvoor dan? Het probleem is juist dat dit nooit anders getest wordt. Op andere OS-en kan ik wel een volledige ontwikkelomgeving met debugger draaien als normale gebuiker.
Wolfboy @YaPP25 mei 2006 00:06
@JP: dat moet geen probleem zijn, _mits_ het alleen bij je eigen processen kan.

Zo gaat het bij unix systemen ook, waarom kan het dan bij Windows niet?
jp @YaPP24 mei 2006 23:56
Je wil met normale rechten niet kunnen inhaken op draaiende processen om iets te kunnen debuggen, bijvoorbeeld :Z
kozue @procede26 mei 2006 14:07
waarom dan? GCC werkt op linux prima onder een user-account, net als iedere IDE die ik ooit heb gebruikt...
DigiK-oz @Olaf van der Spek24 mei 2006 16:53
Probleem ligt voor een deel ook bij 3rd party. Zeg maar een "legacy" die ze meeslepen. OS draait prima limited, maar wil je dan een applicatie installeren, die zijn DLLs per se in windows\system wil mikken...En zijn settings per se in de all_users deel van de registry...

Als ze dit rigoreus dichtzetten, zie ik de posts hier al :

K*T windows, nou kan ik niet eens meer applicatie X gebruiken, die Gates bekijkt het maar, ik draai wel gewoon admin
j.meijers @DigiK-oz24 mei 2006 17:07
Die settings in het All Users deel zetten is overigens om andere redenen heel erg in trek. Het is namelijk zo om als software bedrijf in aanmerking te kunnen komen voor een Microsoft Partnership, je punten moet halen bij MS. Die haal je door bijvoorbeeld een ISV test op je software te doen, waarbij je aan allerhande eisen moet voldoen. Er is echter ook een lijst eisen waarvan je er maar aan 1 hoeft te voldoen en de makkelijkste in die lijst is.... inderdaad, een All User install...

Dus dat ligt heel erg aan Microsoft, maar niet aan de software, maar die policy :)
Verwijderd @Olaf van der Spek24 mei 2006 16:47
Met andere woorden, ze hebben het probleem nog steeds niet fatsoenlijk opgelost
Of je kunt hier lezen. Een groot aantal werknemers heeft Admin rechten nodig omdat ze aan programmeren zijn tegen de core van een systeem of systeem services draaien op hun systemen welke ze moeten starten en stoppen en beheren.

Wat ik wil zeggen is dat een conclusie suggestief is en gebaseerd op wat je zelf wilt zien/lezen en niet is gestoeld op enige kennis van de (specifieke) situatie(s) waarmee Mircrosoft zelf kampt. Ze zijn het allemaal zelf nog aan het uitzoeken en dan komt er hier iemand met een simpele conclusie.
Blackminister 24 mei 2006 16:44
Men moet beginnen bij de bron hé. Als Microsoft zelf inziet hoe admin-rechten verdeeld worden, kunnen ze het misschien zelf ook beter programmeren. Miserie dat ik al gehad heb door niet onder een admin-account te werken thuis (m'n outlook messed up, andere dingen lopen niet jusit, kan ook aan mij liggen natuurlijk) :Y)

Maar hoeveel mensen gebruiken die limited rights in windows? 10%-20% ? Vele gebruikers kennen het bestaan er zelfs niet van :Z
Verwijderd @Blackminister24 mei 2006 17:08
Men moet beginnen bij de bron hé. Als Microsoft zelf inziet hoe admin-rechten verdeeld worden, kunnen ze het misschien zelf ook beter programmeren. Miserie dat ik al gehad heb door niet onder een admin-account te werken thuis (m'n outlook messed up, andere dingen lopen niet jusit, kan ook aan mij liggen natuurlijk)
De bron is al lang boven en bekend. Wanneer ICT'ers er niet mee bekend zijn wordt het eens tijd om wat dieper in het Windows OS te duiken. Security in Windows is geod geregeld als je het maar gebruikt. Het zelfde is al bij een deur met 10 sloten, als je ze allemaal niet op slot doet dan staat je deur ook gewoon open.

Dat andere devellopers zich niet goed bewust zijn van het feit dat hun software moet werken op een "dicht" Windows OS is niet het probleem van Microsoft maar van die ontwikkelaars. De sloten fabrikant is ook niet verantwoordelijk voor het feit dat de gebruiker de deur niet op slot doet. Het is wat anders als het slot niet functioneerd maar dat ben ik persoonlijk zelf bij MS nog nooit tegengekomen (behalve op Windows ME en lager dan).

Windows is net zo veilig als de persoon welke Windows onder beheer heeft op een machine.

Wat Microsoft wel is aan te rekenen dat het standaard geen "goede" tools heeft om wacky software te herkennen en in profielen te gieten. Nu moet je voornamelijk spelen met "SysInternals"-tools (Regmon/Filemon) en bij scripten met Wise/Installshield. Daar laat Microsoft inderdaad een steek vallen, maar gezien de uitdagingen die Microsoft zelf nu voor zich ziet zal het niet lang duren voor er van Microsoft een "goede" tool beschikbaar komt om het één en ander te regelen zodat installatie van wacky software te vergemakkelijken is in combinatie met gebruik van deze wacky software.

Is het fout van Microsoft dat een niet Microsoft programmeur de volgende code schrijft (Pseudocode):

hHandle= OpenMijnTempFile("\\\\?\\C:\\Windows\\TEMP\\TEMPNAME.TMP");

In plaats van:
sTemp= MaakTempFileNaamInUserTEMP();
hHandle= OpenMijnTempFile(sTemp);
Olaf van der Spek @Verwijderd24 mei 2006 20:14
Is het fout van Microsoft dat een niet Microsoft programmeur de volgende code schrijft (Pseudocode):
Ja.
De developer zou onder een niet-admin account moeten werken (maar MS heeft ervoor gekozen gebruikers standaard admin te maken) en C:\Windows\Temp zou dan niet writable zijn.
thegve @Olaf van der Spek24 mei 2006 23:26
Dat probeert DamoSiSocra te zeggen. De programmeurs zouden dus niet in windows\temp moeten schrijven maar in de user temp. Waarnaar verwijst %temp% ook al weer? Naar de user of de windows temp?
SunnieNL @Olaf van der Spek25 mei 2006 11:36
%temp% wordt standaard gerouteerd naar c:\documents and settings\username\local settings\temp
RetepV 24 mei 2006 18:08
Hmm, raar dat een bedrijf dat een beveiligingsomgeving ontwerpt en implementeerd in zijn eigen software eigenlijk zelf niet weet hoe ze het moeten inzetten.

Ze zijn zeker maar wat aan het aanrommelen met die beveiliging van Windows. Wat dingen aan het implementeren die ze een keer ergens gelezen hebben, zonder te begrijpen hoe het zou moeten werken. Verklaart wel het één en ander.

Maar ja, als je ueberhaupt zo stom aan het aanprutsen bent met veiligheid van je operating system moet je ook niet verwachten dat de goede beveiligingsexperts bij JOU komen werken. Natuurlijk niet! Die beveiligingsexperts verdienen juist hun geld aan het feit DAT Windows onveilig is.

Edit:

Overigens voldoet het beveiligingsmodel van Linux blijkbaar ook prima. Het beveiligingsmodel van Windows is echter onmogelijk gecompliceerd. Je hebt al een probleem dat beveiliging op diverse niveau's geregeld worden en dat het ene niveau het andere overruled. Dan kun je aan je beveiligingssettings prutsen wat je wil. Maar als je dat op de verkeerde plaats doet, dan is het allemaal verloren moeite. Maar vinden waar je het dan WEL moet veranderen, dat is ECHT een crime. Ik loop altijd maar systematisch alle plekken af waar beveiliging geregeld wordt, dan zit de goede plek er vast wel tussen.

Ik zeg altijd: hoe simpeler je de beveiliging regelt, des te minder kans je hebt op lekken, des te makkelijker de klant zijn beveiliging kan regelen, en des te meer die klant dan ook echt zijn beveiliging gaat regelen.

Ik snap niet dat ze niet gewoon het Unix model gebruiken. Ok, dat kan ook nog wel wat verbeterd worden, maar het is in ieder geval te begrijpen door een gebruiker, waardoor die gebruiker het dan ook echt regelt.
BertS @RetepV24 mei 2006 19:39
Hmm, raar dat een bedrijf dat een beveiligingsomgeving ontwerpt en implementeerd in zijn eigen software eigenlijk zelf niet weet hoe ze het moeten inzetten
Dat weten ze wel, alleen is het puzzelen hoe ze brakke software van derden daar in kunnen passen. En dat kan inderdaad best lastig zijn.
Je komt nogal trollerig over en dat is mijns inziens niet terecht.

@Teddie:
Wat je zegt is waar. Met brakke software bedoel ik ook niet de software die voor <=Win98 is ontwikkeld, maar ook de software die WinXP vereist. In dat geval is het m.i. wel te wijten aan de ontwikkelaars daarvan.
En we kunnen natuurlijk niet eindeloos blijven zeuren over 'slechte' producten uit het verleden...
dietmertan.com @BertS24 mei 2006 20:45
Brakke software van derden? Als ze nou vanaf de eerste windows versies een root/user model hadden gebruikt zou alle software van derden daar ook op afgestemd zijn. Ze zijn dus zelf begonnen met brakke software en daarom zitten ze nu met de gebakken peren.
FragNeck 24 mei 2006 17:20
Dit is iets waar ik al jaren tegen schop.
Als je applicaties script voor een groot bedrijf, en de PC's betreffen gesloten desktops, dan moet je je applicaties zo maken dat gebruikers van alles kunnen, maar niets mogen.

In windows is dit echter een ramp, vele applicaties hebben een user-configuratie, die de applicatie configureert na de installatie.

Dit is opzich geen probleem, totdatje een pc hebt die half dicht getimmerd is door policies.

Microsoft zou een profiel moeten creeren tussen local admin, en local user in.

Met een separaat register gedeelte.
Pong @FragNeck24 mei 2006 17:29
Hebben ze al: hoofdgebruikers.

Administrators: schrijfrechten op C:\windows en C:\ program files

Hoofdgebruikers/power users: schrijfrechten op C:\program files

Limited users: geen schrijfrechten op een van die twee mappen.

Het probleem spitst zich meer toe op de ontwikkelaars van applicaties, die voor de gebruikers administrator rechten afdwingen. Met slimmer programmeren kom je een heel eind.
Verwijderd 24 mei 2006 20:32
Ik hoop dat de limited users bij MS straks geen CD'tje willen branden. Want dat kan in Windows XP alleen met adminrechten, tenzij je je register wilt hacken met bijvoorbeel Nero BurnRights. Maar om dat te installeren heb je ook adminrechten nodig :Y)
Zwartoog 24 mei 2006 16:40
Hoewel veel grote bedrijven in Windows XP de optie Limited User voor de meeste gebruikers in zouden stellen, zijn er nogal wat applicaties in omloop die voor installatie en/of gebruik adminrechten verlangen.
Misschien nu ze intern met hun neus op de feiten gedrukt worden wordt er misschien ook meer geinvesteerd in een wat beter model, dat je niet admin rechten nodig hebt voor userspace applicaties.
Koffie @Zwartoog24 mei 2006 16:42
Dat ligt meer aan de 3rd party ontwikkelaars dan aan het OS zelf.
Verwijderd @Koffie24 mei 2006 16:45
@Koffie
Onzin, waarom werken diezelfde programma's dan onder bijvoorbeeld Mac OS X wel met beperkte rechten?
Verwijderd @Verwijderd24 mei 2006 17:09
Je geeft nu dus zelf toe dat het toch aan het OS ligt.
Of dat de MAC ontwikkelaars zich meer bewust zijn van security dan de Windows ontwikkelaars.
Verwijderd @Verwijderd25 mei 2006 12:31
Ik ben systeembeheerder bij een accountantskantoor. Bijna alle financiele software vereist admin-rechten op de lokale PC.

Het ligt dus NIET aan Microsoft maar weldegelijk aan de programmeurs van de software. Het gaat soms maar om toegang tot één ini-file (Unit4 Business Suite) in de C:\Windows-directory... en nee, dat bestandje kun/mag je niet verplaatsen

Microsoft Office werkt inderdaad prima op user-rechten. Het kan dus wel...
Koffie @Verwijderd24 mei 2006 16:51
Omdat dat een heel ander OS is 8)7

edit : om maar wat duidelijker te zijn : Men maakt een programma voor 2 verschillende OS'en, logisch dat het dan anders op beide werkt.
De MS Bashers moeten eens achter hun oren krabben met loze uitspraken.
Dat een app alleen onder Full Admin werkt heeft meer met de ontwikkelaars te maken dan met het OS.
Zoetjuh @Verwijderd24 mei 2006 21:19
@DamoSiSocra

Ik denk dat je daar ook zeker een punt hebt. Voor mijn gevoel zijn veel programmeurs voor Windows tools zogenaamde "gemaksprogrammeurs" en houden ze in hun ontwikkelomgeving te weinig rekening met het rechten pakket dat NT levert.
Verwijderd @Verwijderd24 mei 2006 16:55
Omdat dat een heel ander OS is
Je geeft nu dus zelf toe dat het toch aan het OS ligt. :Y)
Daimanta @Verwijderd24 mei 2006 17:14
En laat MS nou net een officepakket aan het ontwikkelen zijn voor OS X. ;)
Verwijderd @Verwijderd24 mei 2006 17:24
Welke programma's? Office werkt perfect op userlevel.

De meeste mensen weten dat nieteens, omdat ze nog nooit op iets anders dan admin hebben gewerkt...
delenn @Verwijderd24 mei 2006 17:35
Hetgeen helemaal niets van doen heeft met de Office voor windows.

Microsoft heeft voor MacOffice een eigen divisie.
Verwijderd @Verwijderd24 mei 2006 20:21
misschien dat ze dat al lang deden voor windows bestond...
84hannes @Verwijderd25 mei 2006 11:24
Adobe's programma's dus
Olaf van der Spek @Koffie24 mei 2006 16:44
Dat ligt meer aan de 3rd party ontwikkelaars dan aan het OS zelf.
Als Windows XP gebruikers standaard geen administrator waren geweest, was het waarschijnlijk een veel kleiner probleem geweest en was 'men' vijf jaar geleden begonnen met een oplossing.
frickY 24 mei 2006 17:10
Snap nietr waarom er geen gulden middenweg beschikbaar is.

Maar heb je direct de mogelijkheid je hele systeem om zeep te helpen, als je alleen de rechten nodig hebt om applicaties te installeren.
Geef schrijfrechten in de programfiels map, schrijfrechten in beperkte sleutels in het register, en je kunt van beide een beetje. Lijkt mij zo.
Verwijderd @frickY24 mei 2006 17:29
Geef schrijfrechten in de programfiels map, schrijfrechten in beperkte sleutels in het register, en je kunt van beide een beetje. Lijkt mij zo.
Procedure is heel erg simpel:
  • Log in als Admin;
  • Installeer de applicatie;
  • Log in als gebruiker;
  • Start Regmon;
  • Start Filemon;
  • Run je applicatie;
  • Verlaat je applicatie;
  • Stop Filmon en Regmon capture;
  • Filter op de exe naam van je applicatie;
  • Maak een lijst van file of folders en register posities waar de applicatie toegang tot nodig heeft. Dit hoeft alleen voor lokaties buiten de user space;
  • Bepaal soort access voor de applicatie (lees/schrijf);
  • Maak twee lokale applicatiegroepen aan, een read groep en een write groep;
  • Geef deze groepen rechten op de gevonden lokaties.
  • Maak de appliatie user lid van deze groepen (rechtstreeks of via AD);
  • En voila, klaar.
Op zich simpel, maar soms best wel wat uitzoekwerk.
hansg @Verwijderd24 mei 2006 19:32
Nog geen 24 uur geleden plaatste iemand een artikel op deze site waarin gemeld werd dat Windows zo vreselijk veel makkelijker was dan Linux. Maar na jouw posting ervaar ik dat toch anders: wat is dit in vredesnaam voor een vreselijke procedure? Verwacht je nou echt dat jan met de pet dit gaat doen voor zijn applicaties, alleen maar om wat extra 'veiligheid' te krijgen?

En wat voor veiligheid gaat het dan over: je moet nog steeds installeren als admin. Dus tijdens de installatie kan de applicatie doen wat hij wil...
BertS @hansg24 mei 2006 19:36
@hansg:
Dit is de procedure voor brakke programma's. Bij goede software kan het in Windows al volgt:
* Log in als limited user
* Rechtsklik op setup en kies 'Run as', en run setup onder Administrator-account
* Start applicatie

Dat lijkt me toch niet zo moeilijk ;)
1Mark @Verwijderd24 mei 2006 18:25
echt heel simpel. zo doet mijn oma het ook altijd ;)
frickY @Verwijderd24 mei 2006 20:40
Ik doe het liever andersom.
Werken onder admin en bepaalde programmas zoals iexplore en msimn starten onder een beperkt account :)
joker1977 @frickY25 mei 2006 12:54
Dat lijkt veilig, maar helaas is het niet veilig. Door die constructie is er altijd een EXPLORER.EXE die met Admin-rechten loopt. Voor malware is het dan uiterst eenvoudig om via het windows messaging-system commandos te geven aan deze applicatie, en zo toch nog admin-rechten te verkrijgen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq