Computerärger

Am Dienstag bemerkte ich, dass ich auf den DVD Brenner nicht mehr zugreifen konnte. Alle Versuche einen Treiber zu aktualisieren oder zur letzten als funktionierend bekannten Konfiguration zurückzukehren scheiterten. Da das Gerät in Ordnung ist (ich konnte es von DOS aus ansprechen und eine Knoppix CD bootete einwandfrei) habe ich gestern Windows XP neu installiert und dabei auch gleich mich von einigen Programmen getrennt die ich nicht mehr brauchte.

Vorgenommen habe ich mir erstmals die Arbeit mit Benutzerrechten. Bislang war ich immer als Admin tätig. Trotz der immer wieder heraufbeschworenen Gefahren habe ich in den vergangenen 9 Jahren in denen ich Internet benutze keinen Virus oder ähnliches auf dem Rechner gehabt. Einen Virenschutz habe ich erst seit einigen Monaten, seit ich über einen DSL Anschluss ins Netz gehe und dadurch auch länger online bin. Angeschlagen hat er in der Zeit noch nie.

Ein Abend mit Benutzerrechten hat mir dann aber schon gereicht und ich verstehe warum die Leute den Schutz bei Vista das jedesmal nachfragt ob man Root Rechte möchte als löcherig einstufen, weil dauernd Nachfragen kommen. Funktionieren sollte es einfach so: Man meldet sich als Admin an um Programme zu installieren oder Updates einzuspielen. Für die tägliche Arbeit benutzt man Benutzerrechte. Diese schränken nicht nur ein, was man tun darf, sondern auch den Zugriff ins Dateisystem. Man darf beispielsweise im Verzeichnis \Programme nicht mehr schreiben.

Und an diesem Punkt scheitern die meisten Programme. Sie versuchen entweder in ihr Programmverzeichnis zu scheiben oder in die Registry in einen Zweig der ihnen nicht zugänglich ist. Dabei ist die Lösung relativ einfach wenn man sich mit der Problematik beschäftigt hat. Der Benutzer hat ein eigenen Verzeichnis im Unterverzeichnis „Dokumente und Einstellungen“ in denen er schreiben darf. In der Registry ist es der Zweig HKEY_CURRENT_USER. Ich wurde damit konfrontiert als ich vor 3 Jahren anfing n der Hochschule Esslingen zu arbeiten und Programme für den Laborbetrieb schrieb, die dann auch unter Benutzerrechten laufen. Die Lösung war einfach: Ich habe beim Start eine Unit eingebunden, welche die entsprechenden Verzeichnisse und Schlüssel in Variablen abspeichert und bei jeder Datei die gespeichert wurde, wurde dies vorangestellt. So landen alle Einstellungen heute in Anwendungsdaten\BL-Soft\ mit ein paar Unterverzeichnissen.

Doch das scheint die Ausnahme zu sein. Mein gestriger Streifzug zeigte mir, dass viele Programme damit noch nicht klar kommen. Erstaunlicherweise haben die eher größeren Programme kein Problem. Aber die von Hobbyprogrammierer wie mir erstellten. Dabei sind nicht nur alte, sondern auch neue. Wie z.B. der Wood Workshop, ein Programm zum Erstellen von Texturen mit Holzähnlichen Strukturen. Bei der Installation fragt es nach dem .NET Framework 2.0, es muss also jünger als 3 Jahre sein. Trotzdem meckert es dauernd, weil es nicht in sein Programmverzeichnis schreiben kann.

Wer ist dran schuld? Die Programmierer – Ja aber nicht nur. Natürlich ist die Problematik bekannt aber wer als Programmierer arbeitet braucht sehr oft Admin Rechte. Ältere Entwicklungsumgebungen laufen z.B. nicht ohne, weil sie dieselben Probleme haben. Für die aktuellen gilt dies nicht mehr. Wer aber kompiliert erzeugt dauernd Dateien und muss ab und an auch ein Programm installieren und dafür braucht er dann spätestens die Admin Rechte. Doch es würde gehen wenn es auch umständlich ist.

Schuld ist aber vor allem auch Microsoft. Die Windows 3x – 9x Schiene kannte zwar am Schluss mehrere Benutzer, aber jeder konnte ohne Passwort ins System. Jeder war Admin. Rechte sah schon das Filesystem nicht vor. Die NT Schiene kannte dies von Anfang an und setzte dies auch konsequent durch. Nicht umsonst nutzten Firmen eben vor allem NT4 und Windows 2000. Da wollen die Administratoren nicht dauernd Computerprobleme lösen die durch Fehler der Anwender entstehen und die vermeidbar sind.

Mit Windows XP kam der Zusammenschluss und damit die Probleme. Anstatt ein sauberes Konzept zu machen gibt es die schnelle Benutzerumschaltung. Verschlimmert wird dies noch dazu dadurch dass manche Firmen Computer mit Festplatten mit FAT32 Dateisystem ausliefern. Bei dem ist jeder Schutz natürlich hinfällig, da es keine Rechte kennt.

Was wäre eine saubere Lösung? Meiner Ansicht nach folgende:

Man wird gezwungen ein Admin Konto anzulegen und ein Benutzerkonto. In Rechnern in denen nur diese beide Benutzer registriert sind (und das sind die meisten privat genutzten Rechner, da dann nur jeweils eine Person am Rechner ist) wird automatisch der Benutzer angemeldet.

Wenn ein Programm Admin Rechte braucht so wird nachgefragt und man sollte für dieses Programm dann festlegen können dass es dauerhaft mit diesen Rechten läuft anstatt dauernd nachzufragen. Den Schutz sollte man auch um ihn nicht unterwandern zu können gestaffelt machen. Z.B. schreiben viele Programme ins Programmverzeichnis, aber nur wenige ins Windows Verzeichnis. Wenn ein Programm versucht:

  • Ins Windows Verzeichnis zu schreiben
  • Sich zu registrieren, dass es beim Start ausgeführt wird
  • oder auch als Dienst registriert
  • So sollte dies nur mit einem Expliziten Einverständnis gehen.

Ein Manko dass ich viel störender beim Arbeiten empfinde ist das Windows nicht daran denkt dass mehrere Benutzer ein und dieselbe Person in verschiedenen Rollen sind. Egal ob ich mich als „rootbl“ oder „Bernd“ anmelde – ich bin immer derselbe. Wenn ich nun wechsele so hole ich mir Programme oft übers Internet, arbeite mit denselben Programmen oder lese meine E-Mails. Bei verschiedenen Benutzeraccounts sind aber die Daten die ich dazu brauche, (Lesezeichen, Mailbox) wie auch Einstellungen für Programme jeweils in den einzelnen Profilen abgelegt – also immer die doppelte Arbeit.

Opera bietet an ein Profil für alle Benutzer eines Computers gemeinsam zu benutzen – scheitert aber in der aktuellen Version 9.23 immer noch daran, dass nicht Administratoren keine Schreibrechte haben. Microsoft hätte die Chance nutzen sollen bei Vista ein solches System einzuführen – Geändert wurde wie üblich aber nur etwas an der Bequemlichkeit.

Ich werde die nächsten Tage mal sehen wie ich mit den eingeschränkten Rechten zurechtkomme – und eventuell eben doch dauerhaft wieder als Administrator arbeiten.