Hallo Felix
Ich habe dem Benutzer die Mitgliedschaft von "Benuzer" und "Remotedesktopbenutzer" gegeben.
Ausserdem wurde der Benutzer als Remote-User aufgenommen: (gpedit: Computerconfig / Windows-Einstellungen / Lokale Richtlinie / Zuweisen von Benutzerrechten / Anmeldung über terminaldienst zulassen und System / Remote).
Und dann: Gruppe der Administratoren darf sich nicht mehr Remote anmelden (gpedit: Computerconfig / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinie / Zuweisen von Benutzerrechten / Anmeldung über terminaldienst zulassen ).
Es hat sich im Lifecycle gezeigt, dass Programme mit dem Administrator-Konto installiert werden sollten, ABER NICHT GESTARTET, weil sonst User-Rechte in Verzeichnissen ungünstig angepasst werden können (ist mir glaube ich bei der TWS mal passiert).
Schliesslich habe ich die Anzahl der möglichen Anmelde-Versuche auf 40 gesetzt (weil Remote Access über VPN möglich). Sollte jemand das VPN knacken, wäre ein Brute-Force Angriff damit immer noch abgeblockt, während ich auch unter widrigen Umständen (halbschlaf etc.) mich nicht selbst behindere durch zu wenig mögliche Anmelde-Versuche (3x ist schnell falsch eingegeben ...).
Für Investox selbst habe ich keine besonderen Einstellungen vorgenommen. Der Benutzer Administrator wurde umbenannt und heisst nicht mehr Administrator. Der Sicherungs-User wurde aus dem Anmelde-Menu ausgeblendet. Die Rechte im Verzeichnis, in dem Investox installiert ist, sind wie folgt gesetzt:
Administrator (Gruppe): alle Rechte
Benutzer (als Benutzer): alle Rechte
Benutzer (als Gruppe): nur "Lesen, Ausführen", "Ordnerinhalt auflisten", "Lesen"
Sicherungs-Operator (Gruppe): "Ordnerinhalt auflisten", "Lesen"
Der Sicherungs-User erbt selbst aber weitere Rechte, damit auch ein Recovery möglich ist (Acronis meldet sich mit dem betreffenden User an).
Die Rechte-Vergabe in den Verzeichnissen für Investox, für die TWS usw. ist etwas knifflig: man versucht, dem Benutzer so wenig Rechte wie möglich zu geben - aber bekommt dann zur Laufzeit manchmal komische Resultate. Fehler aufrund fehlender Berechtigungen sind meistens schwierig zu finden auf der Plattform Windows. Gute Hilfsmittel sind die Ereignisanzeige von Windows und Filemon (
Sysinternals), weil manchmal ein Programm auf Dateien zugreift, die man nicht vermutet hat - und dann komische Meldungen bringt, wenn es nicht wie gewünscht zugreifen kann.