Computerärger
Am Dienstag bemerkte ich, dass ich auf den DVD Brenner nicht mehr zugreifen konnte. Alle Versuche einen Treiber zu aktualisieren oder zur letzten als funktionierend bekannten Konfiguration zurückzukehren scheiterten. Da das Gerät in Ordnung ist (ich konnte es von DOS aus ansprechen und eine Knoppix CD bootete einwandfrei) habe ich gestern Windows XP neu installiert und dabei auch gleich mich von einigen Programmen getrennt die ich nicht mehr brauchte.
Vorgenommen habe ich mir erstmals die Arbeit mit Benutzerrechten. Bislang war ich immer als Admin tätig. Trotz der immer wieder heraufbeschworenen Gefahren habe ich in den vergangenen 9 Jahren in denen ich Internet benutze keinen Virus oder ähnliches auf dem Rechner gehabt. Einen Virenschutz habe ich erst seit einigen Monaten, seit ich über einen DSL Anschluss ins Netz gehe und dadurch auch länger online bin. Angeschlagen hat er in der Zeit noch nie.
Ein Abend mit Benutzerrechten hat mir dann aber schon gereicht und ich verstehe warum die Leute den Schutz bei Vista das jedesmal nachfragt ob man Root Rechte möchte als löcherig einstufen, weil dauernd Nachfragen kommen. Funktionieren sollte es einfach so: Man meldet sich als Admin an um Programme zu installieren oder Updates einzuspielen. Für die tägliche Arbeit benutzt man Benutzerrechte. Diese schränken nicht nur ein, was man tun darf, sondern auch den Zugriff ins Dateisystem. Man darf beispielsweise im Verzeichnis \Programme nicht mehr schreiben.
Und an diesem Punkt scheitern die meisten Programme. Sie versuchen entweder in ihr Programmverzeichnis zu scheiben oder in die Registry in einen Zweig der ihnen nicht zugänglich ist. Dabei ist die Lösung relativ einfach wenn man sich mit der Problematik beschäftigt hat. Der Benutzer hat ein eigenen Verzeichnis im Unterverzeichnis „Dokumente und Einstellungen“ in denen er schreiben darf. In der Registry ist es der Zweig HKEY_CURRENT_USER. Ich wurde damit konfrontiert als ich vor 3 Jahren anfing n der Hochschule Esslingen zu arbeiten und Programme für den Laborbetrieb schrieb, die dann auch unter Benutzerrechten laufen. Die Lösung war einfach: Ich habe beim Start eine Unit eingebunden, welche die entsprechenden Verzeichnisse und Schlüssel in Variablen abspeichert und bei jeder Datei die gespeichert wurde, wurde dies vorangestellt. So landen alle Einstellungen heute in Anwendungsdaten\BL-Soft\ mit ein paar Unterverzeichnissen.
Doch das scheint die Ausnahme zu sein. Mein gestriger Streifzug zeigte mir, dass viele Programme damit noch nicht klar kommen. Erstaunlicherweise haben die eher größeren Programme kein Problem. Aber die von Hobbyprogrammierer wie mir erstellten. Dabei sind nicht nur alte, sondern auch neue. Wie z.B. der Wood Workshop, ein Programm zum Erstellen von Texturen mit Holzähnlichen Strukturen. Bei der Installation fragt es nach dem .NET Framework 2.0, es muss also jünger als 3 Jahre sein. Trotzdem meckert es dauernd, weil es nicht in sein Programmverzeichnis schreiben kann.
Wer ist dran schuld? Die Programmierer – Ja aber nicht nur. Natürlich ist die Problematik bekannt aber wer als Programmierer arbeitet braucht sehr oft Admin Rechte. Ältere Entwicklungsumgebungen laufen z.B. nicht ohne, weil sie dieselben Probleme haben. Für die aktuellen gilt dies nicht mehr. Wer aber kompiliert erzeugt dauernd Dateien und muss ab und an auch ein Programm installieren und dafür braucht er dann spätestens die Admin Rechte. Doch es würde gehen wenn es auch umständlich ist.
Schuld ist aber vor allem auch Microsoft. Die Windows 3x – 9x Schiene kannte zwar am Schluss mehrere Benutzer, aber jeder konnte ohne Passwort ins System. Jeder war Admin. Rechte sah schon das Filesystem nicht vor. Die NT Schiene kannte dies von Anfang an und setzte dies auch konsequent durch. Nicht umsonst nutzten Firmen eben vor allem NT4 und Windows 2000. Da wollen die Administratoren nicht dauernd Computerprobleme lösen die durch Fehler der Anwender entstehen und die vermeidbar sind.
Mit Windows XP kam der Zusammenschluss und damit die Probleme. Anstatt ein sauberes Konzept zu machen gibt es die schnelle Benutzerumschaltung. Verschlimmert wird dies noch dazu dadurch dass manche Firmen Computer mit Festplatten mit FAT32 Dateisystem ausliefern. Bei dem ist jeder Schutz natürlich hinfällig, da es keine Rechte kennt.
Was wäre eine saubere Lösung? Meiner Ansicht nach folgende:
Man wird gezwungen ein Admin Konto anzulegen und ein Benutzerkonto. In Rechnern in denen nur diese beide Benutzer registriert sind (und das sind die meisten privat genutzten Rechner, da dann nur jeweils eine Person am Rechner ist) wird automatisch der Benutzer angemeldet.
Wenn ein Programm Admin Rechte braucht so wird nachgefragt und man sollte für dieses Programm dann festlegen können dass es dauerhaft mit diesen Rechten läuft anstatt dauernd nachzufragen. Den Schutz sollte man auch um ihn nicht unterwandern zu können gestaffelt machen. Z.B. schreiben viele Programme ins Programmverzeichnis, aber nur wenige ins Windows Verzeichnis. Wenn ein Programm versucht:
- Ins Windows Verzeichnis zu schreiben
- Sich zu registrieren, dass es beim Start ausgeführt wird
- oder auch als Dienst registriert
- So sollte dies nur mit einem Expliziten Einverständnis gehen.
Ein Manko dass ich viel störender beim Arbeiten empfinde ist das Windows nicht daran denkt dass mehrere Benutzer ein und dieselbe Person in verschiedenen Rollen sind. Egal ob ich mich als „rootbl“ oder „Bernd“ anmelde – ich bin immer derselbe. Wenn ich nun wechsele so hole ich mir Programme oft übers Internet, arbeite mit denselben Programmen oder lese meine E-Mails. Bei verschiedenen Benutzeraccounts sind aber die Daten die ich dazu brauche, (Lesezeichen, Mailbox) wie auch Einstellungen für Programme jeweils in den einzelnen Profilen abgelegt – also immer die doppelte Arbeit.
Opera bietet an ein Profil für alle Benutzer eines Computers gemeinsam zu benutzen – scheitert aber in der aktuellen Version 9.23 immer noch daran, dass nicht Administratoren keine Schreibrechte haben. Microsoft hätte die Chance nutzen sollen bei Vista ein solches System einzuführen – Geändert wurde wie üblich aber nur etwas an der Bequemlichkeit.
Ich werde die nächsten Tage mal sehen wie ich mit den eingeschränkten Rechten zurechtkomme – und eventuell eben doch dauerhaft wieder als Administrator arbeiten.
Ich verstehe nicht warum sich Leute über M$-Produkte aufregen bzw. beschweren und trotzdem dafür Geld bezahlen!
Es ist ja nicht so dass es keine Alternativen gibt. Allen Vorurteile gegenüber Linux zum trotz sollten diese Leute z.B. mal nen aktuelles Ubuntu ausprobieren. Auch ein Laie kommt damit wunderbar zurecht. Zugegeben bei manchen (aber immer weniger werdenden) Hardwareeinrichtungsdingen kommt auch ein Profi ins schwitzen. Software gibt es für jeden Anwendungszweck genug und man kann sich seine Favoriten aussuchen (oder alle benutzen ;-). Ok, für Videobearbeitung scheint es nicht soviel zu geben, aber da kenne ich mich auch nicht aus.
Ich habe die Erfahrung gemacht, dass Leute die sich einen neuen Rechner mit Linux drauf holen und vorher noch keinen hatten sehr zufrieden sind. Im Gegenteil, wenn die vielleicht mal in die Gelegenheit kommen Windows zu benutzen sich über viele Dinge (Viren, Softwareinstallation, updates etc…) wundern bzw. nicht verstehen warum das da so kompliziert ist.
Zudem was spricht dagegen beides parallel zu benutzen?
Greez,
with SCMxx
Hallo,
es würde mich interessieren, wie Ihre Erfahrungen mit zwei Benutzerkonten, ein Administrator-Konto und ein Benutzer-Konto, weitergehen. Ich selbst praktiziere diese Lösung schon seit längere Zeit und komme damit sehr gut zurecht.
Viele Grüße
Matthias
Also zu Linux: Bei mir ist es ganz einfach: Ich bin ein Gewohnheitstier. Ich kenne mich in Windows aus, alle PC’s die ich beruflich administrieren muss sind auch Windows PC.
Meine Arbeit am PC’s ist zum einen die Website – das könnte ich sicher auch unter Linux, und dann programmiee ich mit Delphi, und da ist der Linux Port nicht weit gekommen und ich will Programme die teilweise ihre Wurzeln schon in DOS Zeiten haben nicht alle wegwerfen. Daher kommt für mich ein Umstieg nicht in Frage.
Zu den beiden Konten: Wenn man es sauber trennen würde, wäre es sicher ein Lösung. Das Problem ist: Sobald ich mal als Root arbeite, bleibe ich meistens in dem Konto. Was nicht läuft sind viele kleinere Utilities, weniger die bekannten Programme. Leidr benutze ich die ziemlich oft.
Das dümmste ist, dass man praktisch alles doppelt machen muss – Bookmarks pflegen, Passwörter speichern, Mails abchecken. Für mein Mailprgramm werde ich wohl ein bisschen programmieren müssen, damit man die Daten zentral halten kann.
Ich tendiere jetzt dazu nur den Browser unter Benutzerechten (runas) laufen zu lassen, schließlich ist er das Haupteinfaltstor. Aber mal sehen. Ich habe damit ja auch gerade erst begonnen.
Ich verstehe die Kritik nicht. 2001 ging Microsoft den längst überfälligen Schritt und führte ein benutzerrechte-fähiges OS ein, bei XP Home leider noch standardmäßig mit den gewohnten Adminrechten eingerichtet. Gleichzeitig wurde der DOS-Kern und damit auch eine längst veraltete Technologie endgültig aus allen Produkten entfernt.
Daß die eine oder andere Software teilweise noch 5 Jahre danach damit nicht umgehen konnte, ist ein Problem der schlampigen lieblosen Softwareentwicklung und vielleicht auch dem Umstand zu verdanken, daß die meisten heimnutzer eh nur mit Adminrechten unterwegs sind.
Microsoft kann man höchstens vorwerfen, keine Aufklärungskampagne über sinnvolle Nutzung von Benutzerkonten gefahren zu haben.
Vielleicht hätte auch von Anfang an die Funktion von Win 7 dabeisein können, wo bei jeder unberechtigten Aktion ein Anmeldefeld fürs Adminkonto aufpoppt. Oder man hätte sowas wie Runanspc ins System einbetten können, um veraltete Software lauffähig zu machen.
Benutzerkonten sind NICHT kritikwürdig, genauso wie Gurte im Auto.
Daher kann ich über das Gemeckere hier nur kopfschütteln.
Benutzerkonten mit Rechteverwaltung sind einer der Grundbausteine eines modernen Betriebssystems. Da gibt es überhaupt nichts zu diskutieren.