“user normalverbraucher” braucht keine administrativen rechte auf dem pc, um ein wenig zu surfen oder ein office-dokument zu erstellen. in der unixwelt war die abgrenzung der userprivilegien von anfang an sehr konsequent umgesetzt, was dazu führte, dass bis heute das klischee “unix == sicher” herrscht. aber auch microsoft haben in den vergangenen jahren dazu gelernt und fragen mittlerweile zumindest nach, wenn eine potenziell systemkritische aktion ausgeführt werden muss, ebenso wie es osx und verschiedene linux-distributionen seit jahren machen.
das lustige ist, dass sich genau die über jahre vom schlechten sicherheitskonzept ihres produktes gebeutelte windowswelt heute oft über die “nagscreens” à la “wollen sie wirklich…” beschweren. und leider lässt sich das feature auch nur global für den benutzer oder sogar das gesamte windows-vista- bzw. windows-7-system deaktivieren: und zwar, indem man…
- …in den einstellungen des entsprechenden benutzerkontos auf “benutzerkontensteuerung ein- oder auschalten” klickt und nach einer letzten eingabe des adminpasswortes den haken im kontrollkästchen “verwenden sie die benutzerkontensteuerung, um zum schutz des computers beizutragen” entfernt.
- …die systemkonfiguration über den befehl
msconfigstartet, den reiter “tools” wählt, den punkt “uac-einstellungen ändern” doppelklickt, den regler ganz nach unten zieht und das ganze mit “ok” bestätigt.
- …den windows-registry-editor mit dem befehl
regeditöffnet, zum registryschlüssel “hkey_local_machine\ software\ microsoft\ windows\ currentversion\ policies\ system” navigiert und dort zwei d-word-schlüssel mit den namen “EnableLUA” und “ConsentPromptBehaviorAdmin”, jeweils mit dem wert “0″, erstellt.
reboot natürlich nicht vergessen. 
insgesamt eine ziemliche dampfhammermethode, die beweist, dass microsoft nach wie vor nicht wirklich gut im abkupfern von ideen geworden sind … unter allen mir bekannten unix-varianten gibt es -zumindest, so lange ich damit arbeite- eine viel flexiblere und feiner granulierbare lösung: sudo. klar, unter windows existiert der befehl runas. hier wird aber die passwortlose anhebung der benutzerrechte (nach einmaligem einsatz des parameters /savecred) global ermöglicht und nicht befehlsbezogen – was den einsatz des parameters zu einem ernsthaften sicherheitsloch mutieren lassen kann. 
nundenn, wie gesagt: unix kann das besser. ich beziehe mich im folgenden auf meine lieblings-linux-distribution “ubuntu” – das prinzip ist jedoch überall das gleiche und wird -wenn überhaupt- nur minimal abweichen. der befehl sudo wird einem systemkritischen befehl (z.b. fdisk) vorangestellt und erlaubt es nach der eingabe des root-passwortes, diesen auch als unprivilegierter benutzer auszuführen.
um sudo nutzen zu können, muss man in der konfigurationsdatei /etc/sudoers eingetragen sein. unter ubuntu genügt die mitgliedschaft in der gruppe “admin”, was mit den befehlen useradd -G admin $BENUTZERNAME oder usermod -aG admin $BENUTZERNAME schnell erledigt ist. soll der unprivilegierte benutzer einen speziellen befehl ohne eingabe des root-passwortes erledigen dürfen, z.b. den pc mit dem befehl halt herunterzufahren, so erledigt man das ebenfalls in /etc/sudoers, und zwar durch hinzufügen einer zeile nach folgendem muster:
meszi ALL=NOPASSWD: /sbin/halt
nun kann ich den pc ohne eingabe des root-passwortes herunterfahren.
