Frage zu komischen Effekten unter Windows Server 2012R2 --> Ursache UAC?

[Wolke2k4 11]

Hallo zusammen,

 

es ist nicht so, dass ich bisher keinen W2k12 Servern in den Fingern und bei Kunden installiert habe. Nun bin ich diese Woche in einem Projekt, wo der Umgang mit den Admin Zugängen etwas restriktiver gehandhabt wird.

Heißt: Administrator wird in der Regel nicht für administrative Arbeiten genutzt. Stattdessen werden andere Konten mit Dom Admin und Admin Berechtigungen verwendet.

 

Bei der Verwendung dieser Konten sind mit gravierende Unterschiede aufgefallen, die ich allerdings nicht alle auf die Verwendung des "Nicht-Administrators" schiebe:

 

- Der Aufruf von Ordnereigenschaften bringt am Ende unter 2012 andere Ergebnisse (Anzahl Dateien und Größe) wie unter 2003

- unbekannte SSL Zertifikate können nur als Administrator installiert werden

- Zugriff auf Netzwerkfreigaben die für Gruppen wie bspw. Domain Admins freigegeben sind funktionieren nicht. Erst wenn das jeweilige Nutzerkonto zur Freigabe hinzugefügt ist geht dies. :confused:  :schreck:

- Dateien aus einem Netzlaufwerk lassen sich nicht kopieren (bspw. eine reg Datei oder eine exe). Erst wenn ich diese Dateien in einen Ordner lege und dann den Ordner ans Ziel kopiere funktioniert das... :mad:  :nene: Die Meldung die beim kopieren der Dateien erscheint lautet: Sie müssen Administratorberechtigungen angeben, um in diesen Ordner zu kopieren.

Wenn ich diese Berechtigungen nicht hätte könnte ich wohl kaum den Ordner mit der Datei ins Ziel kopieren. :confused:

 

Ich habe bereits ein wenig gegoogelt und bin dabei auch auf einige Artikel zur UAC (unter anderem von NilsK) gestoßen.

 

Nun meine Frage. Sind die festgestellten Effekte der UAC zuzuschreiben? Auf den betroffenen Servern ist UAC deaktiviert (ja ich weiß, gibt dafür eigentlich keinen Grund). Ich habe auch den Satz mit dem "der Administrator ist eine Ausnahme und wird bei UAC gesondert behandelt" gelesen.

 

Aber selbst wenn nunmehr das UAC an diesen Effekten schuld sein sollte...

Warum um alles in der Welt kann ich auf Netzwerkfreigaben nicht zugreifen, wenn ich Mitglied der Gruppe bin für die diese Freigabe eingerichtet ist?

 

Das ich bisher auf diese Probleme nicht gestoßen bin erkläre ich mir aktuell damit, dass ich sonst bei den Kunde mit dem Administrator arbeite?

Vielleicht kann mich jemand erleuchten.

 

Gruß Wolke

 

 

[daabm 1.184]

Netzwerkfreigaben für Admins gehen nicht. Der Explorer läuft immer mit dem restricted Token (wenn Du nicht an der elevated/unelevated Factory rumgespielt hast), und dann fehlt die Administratorengruppe... (Genauso natürlich die Dom-Admins)

[NilsK 2.785]

Moin,

 

ja, praktisch alles, was du nennst, liegt an UAC. Das Verhalten passt eindeutig. Kann es sein, dass die Server nach dem Abschalten der UAC noch nicht neu gestartet wurden?

 

<sarcastic>Da es die UAC seit Windows 2008 nahezu unverändert gibt und das einzige Konto, das nicht durch die UAC eingeschränkt wird, das vordefinierte Administratorkonto ist, solltest du dir mal Gedanken machen, ob es nicht Zeit wird, dem Beispiel deines Kunden zu folgen und das Administratorkonto nicht für alles herzunehmen - besser noch: Es gar nicht zu verwenden. Hättest du diese seit Jahren gültige Grundregel befolgt, wären dir diese "Probleme" schon viel früher aufgefallen.</sarcastic>

 

Das Administrator-Token wird durch UAC ausgefiltert. Der Explorer kann dies nicht ändern - anders als bei anderen Programmen gibt es für den Explorer keine Möglichkeit, ihn wirksam "als Administrator" zu starten (wie Martin schon richtig sagt).

 

Wie man mit UAC umgeht, steht zu weiten Teilen in meinem Artikel. Für Datei-Operationen nimm einen anderen Dateimanager, viele schwören auf Total Commander, es gibt aber auch andere. Und für das Berechtigungsmanagement nimm SetACL oder SetACL Studio.

 

Gruß, Nils

bearbeitet 18. September 2014 von NilsK