XP prof.: Genauer Unterschied zw. ADMINISTRATOR und USER-ADMINS ?

<b>Hauptbenutzer</b>

Mitglieder der Gruppe "Hauptbenutzer" haben mehr Berechtigungen als Mitglieder der Gruppe "Benutzer" und weniger Berechtigungen als Mitglieder der Gruppe "Administratoren". Hauptbenutzer können in Bezug auf das Betriebssystem alle Aufgaben ausführen, mit Ausnahme der Aufgaben, die Mitgliedern der Gruppe "Administratoren" vorbehalten sind. Die Standardsicherheitseinstellungen von Windows 2000 für die Hauptbenutzer sind abwärtskompatibel mit den Standardsicherheitseinstellungen für Benutzer aus Windows NT 4.0. Die Anwendungen, die ein Benutzer unter Windows NT 4.0 ausführen konnte, stehen unter Windows 2000 für die Hauptbenutzer zur Verfügung.  

Hauptbenutzer können:

Zusätzlich zu zertifizierten Anwendungen für Windows 2000 auch frühere Anwendungen ausführen. 
Programme einrichten, die weder Betriebssystemdateien modifizieren noch Systemdienste einrichten. 
Systemweite Ressourcen anpassen, darunter Drucker, Datum/Uhrzeit, Energieoptionen und andere Ressourcen der Systemsteuerung. 
Lokale Benutzerkonten und Gruppen erstellen und verwalten . 
Dienste aktivieren, die manuell gestartet und beendet werden können. 
Hauptbenutzer können sich nicht selbst der Gruppe "Administratoren" hinzufügen. Darüber hinaus haben sie keinen Zugriff auf die Daten anderer Benutzer auf einem NTFS-Datenträger, es sei denn, diese Benutzer erteilen ihnen dazu die Berechtigung.  

<b>Administratoren</b>

Die Mitglieder der Gruppe "Administratoren" sind berechtigt, alle vom Betriebssystem unterstützten Funktionen auszuführen. Die Standardsicherheitseinstellungen sehen keine Beschränkung der Administratorrechte für den Zugriff auf die Registrierung oder Dateisystemobjekte vor. Administratoren können sich selbst alle Rechte gewähren, die sie nicht bereits standardmäßig besitzen.  

Im Idealfall sollten Administratorrechte nur für die folgenden Aufgaben eingesetzt werden:

Installation des Betriebssystems und seiner Komponenten (wie Hardwaretreiber, Systemdienste usw.). 
Installation von Service Packs und Windows Packs. 
Aktualisieren des Betriebssystems. 
Reparieren des Betriebssystems. 
Konfigurieren wichtiger Betriebssystemparameter (wie Kennwortrichtlinien, Zugriffssteuerung, Überwachungsrichtlinien, Konfiguration des Kernelmodustreibers usw.). 
Übernahme des Besitzes von Dateien, auf die kein Zugriff mehr möglich ist. 
Verwalten der Sicherheits- und Überprüfungsprotokolle. 
Sichern und Wiederherstellen des Systems (falls diese Aufgabe nicht von Sicherungsoperatoren wahrgenommen wird). 
In der Praxis müssen für die Installation und Ausführung von Programmen, die für frühere Windows-Versionen geschrieben wurden, häufig Administratorkonten verwendet werden. 

<b>Benutzer</b>

Die Gruppe "Benutzer" stellt die sicherste Umgebung zur Ausführung von Programmen dar. Bei einem mit NTFS formatierten Datenträger sind die Standardsicherheitseinstellungen eines neu eingerichteten (nicht aber eines aktualisierten) Systems so konzipiert, dass Mitglieder dieser Gruppe nicht negativ auf die Integrität des Betriebssystems und der installierten Anwendungen einwirken können. Die Benutzer können weder Einstellungen in der Registrierung noch Betriebssystem- oder Programmdateien bearbeiten. Ein Benutzer kann zwar eine Arbeitsstation herunterfahren, nicht jedoch einen Server. Benutzer können lokale Gruppen zwar erstellen, sind jedoch nur zur Verwaltung der lokalen Gruppen berechtigt, die von ihnen selbst erstellt wurden. Benutzer können zertifizierte Windows 2000-Programme ausführen, die von Administratoren installiert bzw. eingesetzt wurden. Sie haben die volle Kontrolle über alle eigenen Datendateien (%userprofile%) und ihren Teil in der Registrierung (HKEY_CURRENT_USER).   

Mitglieder der Gruppe "Benutzer" sind nicht berechtigt, Anwendungen zu installieren, die von anderen Mitgliedern dieser Gruppe ausgeführt werden können (dies verhindert die Einschleusung von Trojanischen Pferden). Auch können die Benutzer nicht auf die privaten Daten oder die Desktopeinstellungen anderer Benutzer zugreifen.  

Zum Schutz eines Windows 2000-Systems sollte ein Administrator:

Sicherstellen, dass alle Endbenutzer nur der Gruppe "Benutzer" angehören.   
Programme einsetzen, die von Mitgliedern der Gruppe "Benutzer" erfolgreich ausgeführt werden können (etwa zertifizierte Windows 2000-Programme).   
Mitglieder der Gruppe "Benutzer" werden die meisten Programme aus früheren Windows-Versionen nicht ausführen können, weil frühere Windows-Versionen entweder Dateisystem und Registersicherheit nicht unterstützten (Windows 95 und Windows 98) oder mit niedrigen Standardsicherheitseinstellungen ausgeliefert wurden (Windows NT).