# Warum es grundsätzlich keine gute Idee ist, als Administrator zu arbeiten Alle modernen Betriebssysteme arbeiten mit Nutzerkonten (Accounts) und damit mit abgestuften Rechten auf einem Rechner. Es gibt sog. "privilegierte Nutzer" (auf Window "Administrator" auf MAC und UNIX "root") und unprivilegierte Nutzer. Unprivilegiert heisst in diesem Zusammenhang, dass dieser Nutzer zwar das Recht hat, auf dem Rechner installierte Programme zu nutzen und Einstellungen, die nur sein Konto betreffen zu verändern, aber nicht das Recht Veränderungen am Gesamtsystem des Rechners vorzunehmen (dazu gehört das Recht Software zu installieren, Netzwerkeinstellungen zu ändern, Hardware auszutauschen, neue Benutzer anzulegen usw.). Bei der Erstinstallation eines Betriebssystems wird der sinnvollerweise der privilegierte Nutzer angelegt, der dann wiederum weitere Nutzer (privilegiert und unprivilegiert) anlegen kann. Aus "Bequemlichkeits-" und "Einfachheitsgründen" machen das Windows und MACOS nicht so. Dort wird als erstes (und einziges) Konto ein Nutzerkonto mit den höchsten Privilegien - das alle Rechte hat - angelegt. Mit der fatalen Konsequenz, dass man nach einer Standardinstallation auf Windows oder MACOS als Nutzer ständig mit den höchsten möglichen Privilegien "unterwegs ist". Das heisst, man kann ohne Weiteres Einstellungen am System verändern, neue Benutzer anlegen, Software installieren! Fatal deswegen, weil auch Programme, die mit höchsten Privilegien gestartet wurden, diese Rechte erben. Das heisst, der Webbrowser, mit dem man im Internet surft, darf ohne weiteres Software installieren, ebenso das Mailprogramm der Wahl - der angemeldete Benutzer muss davon gar nichts mitbekommen. In der Realität funktionieren so gut wie alle Schadprogramme nur, wenn sie als privilegierter Benutzer ausgeführt werden! Ein Trojaner, den man sich beim Surfen oder über eine unbedacht angeklickte Mail eingefangen hat, bleibt meist wirkungslos, wenn er sich nicht auf dem Rechner installieren kann (es gibt Ausnahmen, die trotzdem funktionieren, aber mindestens 95% der kursierenden Schadprogramme kann man auf diese Weise wirklich kaltstellen!) weil ihm, bzw. dem angemeldeten Benutzer dazu die notwendigen Rechte fehlen. Als Konsequenz heisst das für jede Installation eines Betriebssystems: **Es muss ein privilegiertes Benutzerkonto angelegt werden und ein unprivilegierter Account der zum Arbeiten benutzt wird!** Als privilegierter Benutzer werden ausschliesslich Administrative Aufgaben auf dem Rechner ausgeführt, die unbedingt höhere Rechte erfordern. Das tägliche Arbeiten erfolgt als normaler, unprivilegierter Benutzer! Der einzige Nachteil dieser Verfahrensweise ist, dass man bei Veränderungen im System ein paar Klicks mehr absolvieren muss. Durch den enormen Sicherheitsgewinn wird das aber leicht kompensiert! ---- hier gibt's eine Anleitung für eine saubere Grundinstallation: [[win-installation]]