UAC vs. omezený účet
Je schopno UAC ve W7 nahradit zabezpečení ve formě omezeného účtu? Předpokladem je myslící uživatel, ne yes_yes_yes klikač.
UAC je ve W7 defaultně nastaveno na druhou nejpřísnější možnost (=neupozorňovat, pokud změním nastavení Windows). Je možno nastavit i přísnější nastavení, kdy upozorňováno je (potvrzování nevadí) - má to smysl?
Osobně mě UAC neobtěžuje.
Díky.
UAC má smysl POUZE tehdy, když je použit běžný účet. Pak se jedná o relativně pohodlný způsob používání PC (jakákoli admin změna automaticky ošetří elevaci práv). Obráceně, použití UAC pod adminem je IMHO naopak kontraproduktivní. Člověk má jednak falešnou představu, že je chráněn, a pak je to do té míry obtěžující (a leckdy nefunkční - např. při nastavování výchozích programů pro určité typy souborů), že to doporučuju vypnout, protože user nakonec jen odklikává, "protože, se to musí povolit, jinak by to nefungovalo" - aneb stane se z toho mechanický úkon, nad kterým se user ani nepozastaví a rovnou to bez přemýšlení odklikne).
Tomuhle nerozumím. Copak není systém pod adminem chráněn? Vždyť se mě to ptá na kdejakou blbinu. Respektive ani po nastavení tohodle?
když budu pod win7 dělat víc administrátorských věcí po sobě, nechám spustit příkazový řádek nebo správce souborů jako správce - 1x si to nechám schválit od uac. z něj už pokračuju stejně jako admin pod xp.
dělám to vědomně jen pro to, co zamýšlím. taky na to windows z záhlaví těch oken upozorňuje, že jsem přihlášen jako admoš.
win7 mám jen v práci a tam jsem admoš - porovnání s omezeným účtem nemám, ale to bude stejné jako xp.
windows se v w7 ptá samo a buď mě pustí nebo ne. ale když vím, že potřebuju po sobě zřetězit několik akcí, dám spustit jako správce sám.
pod vistou to nešlo, ta se neustále dokola pitomě vyptávala, tam šlo jedině uac zakázat
problém je ten, že UAC takto chrání jen %WINDIR% a program files. Naopak s UAC se doplňuje další layer, který ti virtuálně přesměruje HKLM registry a program files do tvého profilu, tj. jakékoli změny, nejsou-li provedeny po elevaci UAC, jsou profile-specific.
Takže: reálná bezpečnost: stejná, jako by UAC nebyl vůbec; UAC chrání jen samotný OS, nikoli celý diskový prostor. A rozdíl mezi Adminem a neadminem je právě v tom, jaká práva nad filesystémem jsou defaultně aplikována (admin může i bez UAC všude, kromě czích profilů, běžný user jen do svého profilu, případně tam, kde je creator owner.)
Respektive, když udělám tohle: http://pc.poradna.net/a/comments/470679-upravujeme -windows7-vista-k-obrazu-svemu-jak-nastavit-vychoz i-profil-uzivatele po instalaci množství prorgamů a her (v adminovi), vytvořím "Omezence", budu mít prakticky identické nastavení (snad!). Kde (admin, omezenec) pak ale případně instalovat další programy, aby byly u obou účtů dostupné? Nebo je to jedno (v UAC u omezence přece instalaci "administrátorsky" odsouhlasím)?
Díky.
když zkopíruješ profil, tak ano, nebude problém, resp. bude/může být s jen některými programy, které sahají kam nemají.
Obecně se ale doporučuje spíše dvojí řešení:
- buď si nechat účet, ale snížit mu práva (a předtím si vytvořit nový admin účet)
- nebo si tedy zkopírovat profil (je tam pár záludností, ale nic zásadně problematického). obecně se ovšem nedoporučuje kopírovat do defaultního profilu profil, který obsahuje osobní informace a data, protože při vytvoření dalšího účtu se stane to, že i tento účet bude mít tato data.
Tohle mě vůbec nenapadlo, přitom je to geniálně jednoduché. Vytvořit "záložního" admina, současného ponížit, vše dělat z něj - a pouze to, co se nedaří (nějaká instalace, nastavení) udělat po přepnutí do toho nového admina.
Předpokládám snad správně, že ponížení současného účtu nijak neohrozí moje požadavky na LAN, jak popisuju tady: http://pc.poradna.net/q/view/1106792-w7-domaci-sku pina-ma-smysl
ne. Síťové věci jsou poplatné právům na cílových strojích (lokálně můžeš být user, ale na vzdáleném PC klidně admin).
Já už su tak zmatený, že nevím, zda tvé "ne" platí na "Předpokládám snad správně" (tedy bohužel nepředpokládám) či na "neohrozí moje požadavky" (tedy neohrozí, bude to fungovat). Raději se už budu dnes věnovat jen účtování.
----
jednoduše tvá mašina neco chce na jiné mašině, takže spíš bude záležet na druhé mašině, jestli ti povolí přístup, nebo ne. ty sám můžeš požadovat přístup k jinému stroji.
je to něco jako žebrání po našich protějškách. já vždycky říkám: když já bych chtěl, strašně moc bych chtěl.
Předpokládáš správně a NEohrozí to tvé požadavky
Jediný možný problém je u lokálních tiskáren a DOSových programů (což tě asi bude zajímat
) - std. user nemůže mapovat na LPT1/2/3: na sám sobě nasdílenou tiskárnu), ale lze to namapovat ještě pod admin účtem, a poté si jej odebrat, mapování by se mělo zachovat.
Tohle bude phase two, za a) sdílená či za b) na MikroTiku vystrčená ("b" bude priorita!) USB laserovka pro 25 let staré DOSovské programy ve virtuálních ixspéčkách :)
Zatím se mi vždy zadařilo. Latin-2/Kameníci, sdílení i pro XP mode. Tentokrát to budu mít akorát vše double.