UAC vs. omezený účet

Za mňa:
PC používam sám - som jediný užívateľ - admin, UAC zapnuté - default nastavenie. Ak je potrebné, systém sám zobrazí výzvu.
Ako to funguje sa dočítaš tu: malwaretips.com...

Tak to mám taky. Uvažuji ale o zvýšení zabezpečení, čili o posunutí UAC "jezdce" úplně nahoru. Pátrám, zda tohle nastavení může nahradit omezený účet - případně, kde jsou rozdíly.

edit: díky za link, vše kolem UAC je tam pěkně popsáno.

Ak vieš čo robíš, nie si len "klikač" - netreba nastavovať jazdca hore....
Stále tvrdím, že bežný užívateľ, ktorý je len konzument - má mať obmedzený účet.
Inak aj keď si prihlásený ako admin, máš poverenia len ako bežný user. V prípade potreby sa zvýšia poverenia na správcu a prípadne sa zobrazí výzva. Aká výzva, s akými povereniami a kedy - je všetko popísané v mojom linku vyššie...

Já si myslím, že to vyšší zabezpečení (mám to tak - protože to byl default - i ve Vistě) je vhodné, protože musíš potvrdit i změnu nastavení ve Windowsech (co se zas tak často na vyladěném systému nedělá).

Plus "poladit" případně tohle:

(ten článek je opravdu velmi vhodné čtivo!)

Áno, vo Viste to bolo najvyššie zabezpečenie, ktoré fakt otravovalo s neustálymi hláškami. Preto je to v 7 už "umiernené"...
Vidím, že vieš na čo sa máš zamerať (screen), "čtivo" Ti určite pomohlo, myslím, že už si dostatočne uvedomelý.

Tak se mi na první pohled jeví, že změna nastavení Admin Approval Mode for the built-in Administrator account z defaultního disabled na enabled vlastně udělá z admina omezený účet..

ma zmysel,uživatel /aj člen skupiny administratorov/musi zadat heslo administratora,pokial ho nepozna,subory chranene uac nespusti,treba ovšem najprv zapnut učet administrator a zadat mu heslo

Pro ujasnění: píšeš že má "smysl zvýšit zabezpečení UAC"? Nebo že "má smysl mít i omezený účet"?

Ono asi jde o to pověstné jádro pudla. V podstatě se ptáš na to, jestli UAC v defaultním nastavení dokáže zabránit instalaci trojana? Nedokáže. A co vlastně UAC "kontroluje"? Ono to snad v tom default nastavení chrání systém, ale nebrání to např. instalaci a spouštění trojanů. To nejvyšší zabezpečení jsem ještě nezkoušel. Podle tohoto článku to zřejmě dělá úplně něco jiného, než si uživatelé myslí, že to dělá.

UAC má smysl POUZE tehdy, když je použit běžný účet. Pak se jedná o relativně pohodlný způsob používání PC (jakákoli admin změna automaticky ošetří elevaci práv). Obráceně, použití UAC pod adminem je IMHO naopak kontraproduktivní. Člověk má jednak falešnou představu, že je chráněn, a pak je to do té míry obtěžující (a leckdy nefunkční - např. při nastavování výchozích programů pro určité typy souborů), že to doporučuju vypnout, protože user nakonec jen odklikává, "protože, se to musí povolit, jinak by to nefungovalo" - aneb stane se z toho mechanický úkon, nad kterým se user ani nepozastaví a rovnou to bez přemýšlení odklikne).

UAC má smysl POUZE tehdy, když je použit běžný účet.

Obráceně, použití UAC pod adminem je IMHO naopak kontraproduktivní. Člověk má jednak falešnou představu, že je chráněn

Tomuhle nerozumím. Copak není systém pod adminem chráněn? Vždyť se mě to ptá na kdejakou blbinu. Respektive ani po nastavení tohodle?

když budu pod win7 dělat víc administrátorských věcí po sobě, nechám spustit příkazový řádek nebo správce souborů jako správce - 1x si to nechám schválit od uac. z něj už pokračuju stejně jako admin pod xp.
dělám to vědomně jen pro to, co zamýšlím. taky na to windows z záhlaví těch oken upozorňuje, že jsem přihlášen jako admoš.

win7 mám jen v práci a tam jsem admoš - porovnání s omezeným účtem nemám, ale to bude stejné jako xp.

windows se v w7 ptá samo a buď mě pustí nebo ne. ale když vím, že potřebuju po sobě zřetězit několik akcí, dám spustit jako správce sám.
pod vistou to nešlo, ta se neustále dokola pitomě vyptávala, tam šlo jedině uac zakázat

problém je ten, že UAC takto chrání jen %WINDIR% a program files. Naopak s UAC se doplňuje další layer, který ti virtuálně přesměruje HKLM registry a program files do tvého profilu, tj. jakékoli změny, nejsou-li provedeny po elevaci UAC, jsou profile-specific.

Takže: reálná bezpečnost: stejná, jako by UAC nebyl vůbec; UAC chrání jen samotný OS, nikoli celý diskový prostor. A rozdíl mezi Adminem a neadminem je právě v tom, jaká práva nad filesystémem jsou defaultně aplikována (admin může i bez UAC všude, kromě czích profilů, běžný user jen do svého profilu, případně tam, kde je creator owner.)

Respektive, když udělám tohle: http://pc.poradna.net/a/comments/470679-upravujeme -windows7-vista-k-obrazu-svemu-jak-nastavit-vychoz i-profil-uzivatele po instalaci množství prorgamů a her (v adminovi), vytvořím "Omezence", budu mít prakticky identické nastavení (snad!). Kde (admin, omezenec) pak ale případně instalovat další programy, aby byly u obou účtů dostupné? Nebo je to jedno (v UAC u omezence přece instalaci "administrátorsky" odsouhlasím)?

Díky.

když zkopíruješ profil, tak ano, nebude problém, resp. bude/může být s jen některými programy, které sahají kam nemají.

Obecně se ale doporučuje spíše dvojí řešení:

- buď si nechat účet, ale snížit mu práva (a předtím si vytvořit nový admin účet)
- nebo si tedy zkopírovat profil (je tam pár záludností, ale nic zásadně problematického). obecně se ovšem nedoporučuje kopírovat do defaultního profilu profil, který obsahuje osobní informace a data, protože při vytvoření dalšího účtu se stane to, že i tento účet bude mít tato data.

buď si nechat účet, ale snížit mu práva (a předtím si vytvořit nový admin účet)

Tohle mě vůbec nenapadlo, přitom je to geniálně jednoduché. Vytvořit "záložního" admina, současného ponížit, vše dělat z něj - a pouze to, co se nedaří (nějaká instalace, nastavení) udělat po přepnutí do toho nového admina.

Předpokládám snad správně, že ponížení současného účtu nijak neohrozí moje požadavky na LAN, jak popisuju tady: http://pc.poradna.net/q/view/1106792-w7-domaci-sku pina-ma-smysl

ne. Síťové věci jsou poplatné právům na cílových strojích (lokálně můžeš být user, ale na vzdáleném PC klidně admin).

Já už su tak zmatený, že nevím, zda tvé "ne" platí na "Předpokládám snad správně" (tedy bohužel nepředpokládám) či na "neohrozí moje požadavky" (tedy neohrozí, bude to fungovat). Raději se už budu dnes věnovat jen účtování.

viz. ještě mé pm se startrekovským obrázkem- je toho moc.
----
jednoduše tvá mašina neco chce na jiné mašině, takže spíš bude záležet na druhé mašině, jestli ti povolí přístup, nebo ne. ty sám můžeš požadovat přístup k jinému stroji.

je to něco jako žebrání po našich protějškách. já vždycky říkám: když já bych chtěl, strašně moc bych chtěl.

Předpokládáš správně a NEohrozí to tvé požadavky

Jediný možný problém je u lokálních tiskáren a DOSových programů (což tě asi bude zajímat ) - std. user nemůže mapovat na LPT1/2/3: na sám sobě nasdílenou tiskárnu), ale lze to namapovat ještě pod admin účtem, a poté si jej odebrat, mapování by se mělo zachovat.

Tohle bude phase two, za a) sdílená či za b) na MikroTiku vystrčená ("b" bude priorita!) USB laserovka pro 25 let staré DOSovské programy ve virtuálních ixspéčkách :)

Zatím se mi vždy zadařilo. Latin-2/Kameníci, sdílení i pro XP mode. Tentokrát to budu mít akorát vše double.