695628

Admin-Arbeiten sicher erledigen

01.08.2008 | 11:34 Uhr |

Anders als Windows besitzen Unix-Betriebssysteme und ihre Verwandten wie zum Beispiel Linux mit dem Befehl "sudo" einen mächtigen Mechanismus: Er erlaubt es normalen Benutzern, administrative Aufgaben wie die Installation von Software durchzuführen, ohne das Passwort des Administrators zu kennen. Der Administrator (root) legt fest, wer diese Rechte innehat und ob er sein eigenes Passwort eingeben muss. Damit lässt sich sicherstellen, dass es auch wirklich der angemeldete Benutzer ist und keine zufällig vorbei gekommene Person. Unter XP lässt sich diese Funktion mit einem kostenlosen Tool nachrüsten. Wir zeigen Ihnen, wie es funktioniert.

Anforderung:

Fortgeschrittener

Zeitaufwand:

Mittel

Lösung:

Das englischsprachige Programm Sudown löst diese Aufgabe unter Windows. Sein Name setzt sich zusammen aus "sudo" und "down". Es räumt nicht nur Benutzern die Möglichkeit ein, einzelne Aufgaben mit erhöhten Privilegien durchzuführen, sondern degradiert auch das Administrator-Konto so weit, dass Eingriffe ins System eine nochmalige Passwort-Eingabe verlangen.

Tool einsetzen: Nach der Installation müssen Sie den Rechner neu starten. Das Administrator-Konto unterliegt sofort den neuen Regeln - für Systemeingriffe fehlen die Privilegien. Um ein Programm mit erhöhten Rechten zu starten, klicken Sie mit der rechten Maustaste auf die EXE-Datei oder seine Verknüpfung und wählen aus dem Kontextmenü den Punkt, der mit "# sudo" beginnt. Aus einer Eingabeaufforderung heraus oder unter "Start, Ausführen" stellen Sie für diesen Zweck einem beliebigen Befehl das Kommando "sudo" voran. Nachdem Sie Ihr Anmelde-Passwort noch einmal eingegeben haben, startet das Programm mit den gewünschten Privilegien. Das Passwort wird fünf Minuten im Cache gespeichert, danach müssen Sie es für einen eventuellen nächsten sudo-Befehl erneut eingeben. Wenn das Passwort noch im Cache ist, sehen Sie dies an einem Schlüssel-Symbol im Infobereich, der außerdem per Sprechblase verkündet, welches Programm gerade privilegiert ausgeführt wird.

Mehr Rechte: Um auch normalen Benutzern zu gestatten, Programme mit höheren Privilegien auszuführen, müssen sie vom Administrator in die Gruppe "sudoers" aufgenommen werden. Dazu rufen Sie als Administrator in einer Eingabeaufforderung folgenden Befehl auf:

net localgroup sudoers <Benutzername> /add

Ersetzen Sie <Benutzername> durch den Anmeldenamen. Um einen Benutzer wieder aus der Gruppe "sudoers" zu entfernen, ersetzen Sie in obigem Befehl den Parameter /add durch /del. Um die geänderte Gruppenmitgliedschaft wirksam werden zu lassen, muss sich der Benutzer jeweils ab- und wieder anmelden.

Übrigens: Anders als "runas" schaltet "sudo" Sie nicht auf die Identität des Administrators um. Dateien, die Sie in diesem Modus erstellen, gehören dem ursprünglichen Benutzer, nicht dem Administrator.

0 Kommentare zu diesem Artikel
695628