Zum Inhalt wechseln


Foto

lokale Zugriffsrechte für Usergruppen

Windows 7

  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 Pope

Pope

    Newbie

  • 5 Beiträge

 

Geschrieben 06. Juli 2016 - 11:36

Guten Tag zusammen!

Folgende Frage bzw. folgendes Problem bekomme ich nicht geregelt:
Ich arbeite mit einem Standard-User Account unter Win 7 Pro.
Ein selbst erstellter AdminAccount soll mir zu adminstrationszwecken dienen. Dieser ist natürlich Mitglied der Gruppe Administratoren.
Diese Gruppe hat Vollzugriff auf eine externe Festplatte D: mit vererbten Rechten für alle Unterordner und Dateien. Dennoch bekommt mein Admin die Meldung "Auf D:\ kann nicht zugegriffen werden! Zugriff verweigert".
Ich kann mir die Rechte anzeigen lassen. Unter den "Effektiven Berechtigungen" steht für meinen Admin Vollzugriff.
Herausgefunden habe ich, dass ich durch das explizite Hinzufügen meines Admins dann Zugriff bekomme.
Das ist mir unverständlich. M.E. müsste doch die Zugehörigkeit zur Gruppe der Administratoren reichen.
Ich habe dasselbe Phänomen mit einem Sicherungs-Account, der in der Gruppe der Sicherungsoperatoren ist und Vollzugriff auf eine Partition haben sollte, aber nur hat, wenn er explizit als einzelner User Zugriffsrechte eingeräumt bekommt.

Kann mir jemand helfen oder mich aufklären?
Dank und Gruß, Matthias



#2 daabm

daabm

    Expert Member

  • 2.114 Beiträge

 

Geschrieben 07. Juli 2016 - 18:32

Kennst Du UAC und das "restricted Token"? :-)


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#3 Pope

Pope

    Newbie

  • 5 Beiträge

 

Geschrieben 07. Juli 2016 - 22:08

Guten Abend Marting,

danke für die Rückfrage. UAC sagt mir natürlich was. restricted token - ich dachte das sind die Objekte, die in Folge der Zugriffsrechte eines Users nicht freigegeben werden.

Ich verstehe allerdings nicht wirklich den Zusammenhang.

Wenn eine User-Gruppe ein Zugriffsrecht hat, sollte doch jeder User dieser Gruppe dies Recht ausüben können. Gehe ich falsch in dieser Annahme?

Gruß zur Nacht, Matthias



#4 NilsK

NilsK

    Expert Member

  • 12.476 Beiträge

 

Geschrieben 08. Juli 2016 - 07:31

Moin,

 

genau das ist UAC ...

 

[Benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net]
http://www.faq-o-mat...htig-einsetzen/

 

In deinem Fall kommt noch erschwerend hinzu, dass der Explorer mit UAC nicht richtig umgehen kann.

 

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
http://www.faq-o-mat...-uac-verwalten/

 

Meine Empfehlung also für dein Szenario: Definiere eine eigene, separate Gruppe, die Vollzugriff auf den ganzen Dateibaum bekommt. Nimm dein Adminkonto in diese Gruppe auf. Dann geht es, denn selbsterzeugte Gruppen filtert UAC nicht aus dem Anmeldetoken heraus.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 evgkop

evgkop

    Newbie

  • 19 Beiträge

 

Geschrieben 08. Juli 2016 - 12:01

Hallo!

Die explorer.exe lässt sich übrigens auch als Administrator starten. Damit es aber sauber funktioniert

muss der HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2} RunAs-Schlüssel gelöscht werden.

Ich könnte ja eine Tool Empfehlung zu diesem Thema machen, darf bestimmt aber nicht. :)

 

 

gruß

 

evgkop



#6 NilsK

NilsK

    Expert Member

  • 12.476 Beiträge

 

Geschrieben 08. Juli 2016 - 12:05

Moin,

 

Die explorer.exe lässt sich übrigens auch als Administrator starten.

 

steht in dem von mir verlinkten Artikel als Hinweis drin. Ist aber kein sinnvoller Weg, weil mit erheblichen Umständen verbunden, die auch "dein Tool" nicht auflöst. Für den TO also ganz sicher ungeeignet, zumal bessere Methoden existieren.

 

 

Ich könnte ja eine Tool Empfehlung zu diesem Thema machen, darf bestimmt aber nicht.

 

Zumindest könntest du vielleicht mal einen Gang zurückschalten. Dein Selbstmarketing wirkt langsam etwas sehr aggressiv.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 evgkop

evgkop

    Newbie

  • 19 Beiträge

 

Geschrieben 08. Juli 2016 - 12:16

Stimmt steht wirklich beschrieben, sorry nicht gesehen und ok ich halte mich zurück!

 

Ich ziehe die Frage zurück! Erst lesen, dann denken!!!


Bearbeitet von evgkop, 08. Juli 2016 - 12:24.


#8 NilsK

NilsK

    Expert Member

  • 12.476 Beiträge

 

Geschrieben 08. Juli 2016 - 12:24

Moin,

 

nein, ganz anderes Thema. Ich meine konkret das, was ich dem TO in Beitrag 4 empfohlen habe, und allgemein das, was in meinem zweiten Link in Beitrag 4 empfohlen wird.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 Pope

Pope

    Newbie

  • 5 Beiträge

 

Geschrieben 08. Juli 2016 - 17:18

N'Abend Nils,

 

ganz herzlichen Dank für die Hinweise und die Links - ich habe einiges gelernt!

Möglicherweise fehlt es mir an Auffassungsgabe...?!

Die Anzeige der Rechte in Folge der UAC-Einbindung im Explorer habe ich verstanden.

 

Nicht dies:

Der von mir beschriebenen Fall oben müsste dem von Dir geschilderten "Fall 2" in deinem ersten Link entsprechen. Da schreibst Du (in Sachen AAM):

„Ruft der Benutzer nun eine Funktion auf, die erhöhte Rechte benötigt, so schaltet UAC ebenfalls auf seinen geschützten Desktop um. Der angezeigte Dialog ist aber ein anderer: [...] er fordert nur zur Bestätigung der Aktion auf.“

Bei mir aber passiert das nicht. Ich bekomme keine UAC-Abfrage, sondern den Hinweis: "Auf D:\ kann nicht zugegriffen werden! Zugriff verweigert".

Dieser Zugriff müsste doch durch eine UAC mit dem AAM möglich sein. Oder?

 

Gruß, Matthias



#10 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 08. Juli 2016 - 19:16

Vielleicht nochmal als Ergänzung:

Neben den Privileges und Gruppenmitgliedschaften sind auch noch die "Mandatory Integrity Controls" ggf. auch "Windows Integrity Levels" genannt mit von Bedeutung, um UAC zu verstehen

http://www.mcseboard...kbar/?p=1307522

 

Die 6 MIC-Levels findet man hier

http://www.minasi.com/apps/

 

"whoami /all" zeigt eigentlich alles relativ deutlich auf.

Mit Icacls kann mit Dateien und MIC testen, noch besser ist allerdings chml.exe von M. Minasi

 

blub


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#11 Pope

Pope

    Newbie

  • 5 Beiträge

 

Geschrieben 14. Juli 2016 - 21:33   Lösung

Besten Dank dem Moderator und allen anderen Bemühten!

Der Hinweis auf die "Mandatory Integrity Controls" und hier gerade auf die "Windows Integrity Levels" war die Erleuchtung. Das erklärt, warum ein User de facto keinen Zugriff bekommt, der ihm laut Gruppenrichtlinie zustände. Das hatte ich nicht kapiert. Danke auch für die Hinweise auf die Tools zur Veränderung, die für mich allerdings nicht erforderlich sind.

 

Sorry für verspätetes antworten - bin in Italien auf Urlaub....

Sommerliche Grüße, Matthias