droptix

Kann man herausfinden, was eine beliebige Schaltfläche macht, wenn ich drauf klicke? Also z.B. welche Funktion aus welcher DLL mit welchen Parametern aufgerufen wird?

Hm, geht auch nur bis Vista, kein Win7. Hab mir folgendes überlegt:

• neuen Druckeranschluss erstellen: Local Port, Name: NUL
  
• Druckeranschluss im bereits existierenden Druckertreiber umstellen auf NUL
  
• Druckertreibereigenschaften > Erweitert > Drucken beginnen, nachdem letzte Seite gespoolt wurde
  
• Druckertreibereigenschaften > Erweitert > Druckaufträge nach dem Drucken nicht löschen
  
• den Ordner system32\spool\PRINTERS überwachen
  
• neue .SPL Dateien (Druckaufträge im RAW-Format) archivieren
  
• die zugehörigen .SHD Dateien löschen -> Was beinhalten die eigentlich? Kann ich die zusätzlich irgendwie zur Auswertung nutzen?
  

Ich möchte Druckaufträge archivieren, um sie später nochmal nachzudrucken. Ich nutze dafür einen separaten PostScript-Druckertreiber und drucke damit direkt über einen TCP/IP- oder LPR-Port zum Drucker. Der Druck soll wie gewöhnlich am Drucker ausgegeben werden.

Außerdem soll das vom Treiber erzeugte PostScript samt Druckauftragseinstellungen (stehen als PJL- oder XML-Anweisungen über den PostScript-Daten) quasi eins zu eins archiviert werden, um es später genau so nachzudrucken. Über ein Tool oder die Kommandozeile mit dem lpr -S 192.168.0.123 -P lp C:\MyPrintJob.ps Kommando kann ich die archivierte Datei später nochmal ausdrucken.

So, nun brauche ich eigentlich nur die Möglichkeit, den RAW-Druckdatenstrom abzufangen und zwischenzuspeichern. Folgende Überlegungen:

1. RedMon: Ein spezieller Redirection Port Monitor fängt die Druckdaten ab, kann sie zum Archivieren an ein Programm schicken und schleift den Auftrag an den ursprünglichen Druckeranschluss durch. Problem: RedMon ist alt und gibt es nicht für Windows Vista/7/Server 2008.
   
2. Ich brauche sowas wie den Standard FILE-Druckeranschluss, nur dass keine Eingabeaufforderung für einen Dateinamen erscheint. Die Druckdaten müssten dann mit automatischer Dateinamenvergabe in einen definierten Ordner abgespeichert werden. Ich finde sowas leider nicht. Ein Programm könnte den Zielordner überwachen und neue Dateien archivieren und anschließend zum ursprünglich vorgesehenen Druckeranschluss schicken. Kann man beim FILE-Anschluss den Zielordner angeben die Eingabeaufforderung unterdrücken, also Auto-Vergabe einstellen?
   
3. Die Druckdaten wandern bei mir alle über den Windows-Spooler und daher kurzzeitig im Ordner system32/spool/printers. Man müsste sie dort abfangen, aber ich wüsste nicht wie, denn man muss sicherstellen, dass sie bereits komplett sind.
   

Was meint ihr?

So, hier mal `ipconfig -all` vom Server (MAC-Adressen "geschwärzt"):

Windows-IP-Konfiguration

  Hostname  . . . . . . . . . . . . : server
  Primäres DNS-Suffix . . . . . . . : Firma.local
  Knotentyp . . . . . . . . . . . . : Unbekannt
  IP-Routing aktiviert  . . . . . . : Ja
  WINS-Proxy aktiviert  . . . . . . : Ja
  DNS-Suffixsuchliste . . . . . . . : Firma.local

PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:

  Verbindungsspezifisches DNS-Suffix:
  Beschreibung  . . . . . . . . . . : WAN (PPP/SLIP) Interface
  Physikalische Adresse . . . . . . : 00-00-00-00-00-00
  DHCP aktiviert  . . . . . . . . . : Nein
  IP-Adresse. . . . . . . . . . . . : 192.168.1.70
  Subnetzmaske  . . . . . . . . . . : 255.255.255.255
  Standardgateway . . . . . . . . . :

Ethernet-Adapter LAN-Verbindung:

  Verbindungsspezifisches DNS-Suffix:
  Beschreibung  . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
  Physikalische Adresse . . . . . . : 00-00-00-00-00-01
  DHCP aktiviert  . . . . . . . . . : Nein
  IP-Adresse. . . . . . . . . . . . : 192.168.1.1
  Subnetzmaske  . . . . . . . . . . : 255.255.255.0
  Standardgateway . . . . . . . . . : 192.168.1.254
  DNS-Server  . . . . . . . . . . . : 192.168.1.1
                                      192.168.1.254
  NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Sobald ich mich mit dem Client über VPN einwähle und `ping server` eingebe, wird "server" als 192.168.1.70 aufgelöst. Das ist aber nur die Einwahlstelle für den RRAS-Service und nicht der eigentliche Server, auf dem wichtige Dateifreigaben etc. liegen.

Das Problem: Programme, die mit einem Hostnamen arbeiten, kommen nicht an ihre Daten.

Beim Client sieht das Ganze so aus:

Windows-IP-Konfiguration

       Hostname. . . . . . . . . . . . . : client
       Primäres DNS-Suffix . . . . . . . :
       Knotentyp . . . . . . . . . . . . : Hybrid
       IP-Routing aktiviert. . . . . . . : Ja
       WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter LAN:

       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : Broadcom 440x 10/100 Integrated Cont
roller
       Physikalische Adresse . . . . . . : 11-11-11-11-11-11
       DHCP aktiviert. . . . . . . . . . : Ja
       Autokonfiguration aktiviert . . . : Ja
       IP-Adresse. . . . . . . . . . . . : 192.168.0.100
       Subnetzmaske. . . . . . . . . . . : 255.255.255.0
       Standardgateway . . . . . . . . . : 192.168.0.1
       DHCP-Server . . . . . . . . . . . : 192.168.0.1
       DNS-Server. . . . . . . . . . . . : 82.144.41.8
                                           62.220.18.8
       Lease erhalten. . . . . . . . . . : Samstag, 24. Mai 2008 08:17:30
       Lease läuft ab. . . . . . . . . . : Montag, 26. Mai 2008 10:17:30

Ethernetadapter WLAN:

       Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
       Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless 2200BG Network
Connection
       Physikalische Adresse . . . . . . : 22-22-22-22-22-22

PPP-Adapter VPN-Einwahl:

       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface
       Physikalische Adresse . . . . . . : 33-33-33-33-33-33
       DHCP aktiviert. . . . . . . . . . : Nein
       IP-Adresse. . . . . . . . . . . . : 192.168.1.107
       Subnetzmaske. . . . . . . . . . . : 255.255.255.255
       Standardgateway . . . . . . . . . : 192.168.1.107
       DNS-Server. . . . . . . . . . . . : 192.168.1.1
                                           192.168.1.254

Ich erinnere mich gerade, dass ich genau das Problem mit der Karte letztens bei einem Kollegen hatte. Der Assistent wollte mit nur einer Karte nicht weiter machen. Daher hatten wir vorübergehend die Software Hamachi installiert, weil dabei ein "virtueller" Netzwerkadapter erzeugt wird. Der VMware Player wäre bestimmt genau so gegangen…

Jedenfalls war es somit möglich, den Assistenten fortzusetzen und die LAN-Karte des Servers als gewünschten Netzwerkadapter auszuwählen. Wenn man in diesem Dialog die Option "Sicherheit auf der ausgewählten Schnittstelle durch Einrichten statischer Paketfilter" deselektiert (Häkchen entfernen), dann wird der Netzwerkadapter nicht ausschließlich für VPN genutzt. So zumindest ist das bei mir im Kopf hängen geblieben. Im Anschluss kann man den virtuellen Netzwerkadapter wieder deinstallieren.

Trotzdem wollte dieses Szenario nicht funktionieren. Leider weiß ich nicht mehr, was genau schief gegangen ist, aber der VPN- bzw. RRAS-Dienst lief und Clients konnten sich einfach nicht verbinden. Bei dem Weg über "eingehende Verbindungen" ging alles sofort und problemlos.

Bleibt die Frage, ob es reicht, den Server mit DNS-Funktionen auszustatten. Hab hier ne sehr ausführliche Anleitung zur DNS-Einrichtung bei Microsoft gefunden. Ist die empfehlenswert?

Was ist falsch? Dass der Server zwingend zwei Netzwerkkarten benötigt und eine ausschließlich für VPN-Verbindungen beansprucht?

Das wäre ja super. Hier der Weg, wie ich damals VPN über RRAS eingerichtet hab. Ab dem Abschnitt "Benutzer und Gruppen anlegen" bzw. "VPN einrichten" geht's dann los mit RRAS. Ich hab mir das damals aus mehreren Tutorials zusammen gepuzzelt und so protokolliert.

Mich würde euer Senf dazu interessieren. Würdest du diesen Weg als den "über den Assistenten" bezeichnen?

Beim aktuellen Server scheitert RRAS, weil nur eine Netzwerkkarte drin steckt und RRAS ja unbedingt eine Netzwerkkarte komplett für VPN beansprucht, was bei "eingehende Verbindungen" nicht der Fall ist. Daher hatte ich erstmal sie simple Methode gewählt.

Was ist denn der Vorteil von RRAS gegenüber "eingehende Verbindungen"?

DNS: Sollte man den Server als DNS konfigurieren? Ist das aufwändig? Gibt's dazu gute Tutorials?

Also ohne #PRE wird es nicht ge-cached. Was ist dann der Vorteil von #PRE? Schnellere Namensauflösung?

Ich hab VPN auch schonmal über RAS, also nicht über "eingehende Verbindungen" konfiguriert. Ging auch alles, aber ob die Namensauflösung geklappt hatte weiß ich nicht mehr. Ich weiß aber nicht mal, was eine "Reverse Zone" ist... :)

Habe hier ein kleines Firmennetzwerk. Da gibt's einen zentralen Server mit dem Hostnamen "server" und der IP-Adresse 192.168.1.1. Wenn ich mich mit meinem Laptop ins LAN einklinke, dann bekomme ich eine 192.168.1.0xy-Adresse vom Router und kann problemlos den Server via `ping server` anpingen.

Auf dem Server habe ich "eingehende Verbindungen" zugelassen, also einen simplen VPN-Server eingerichtet, der unter 192.168.1.70 erreichbar ist (RAS-Dienst). Nun gehe ich nach Hause und wähle mich über die VPN-Verbindung ein. Ich bekomme eine 192.168.1.1xy-Adresse. Klappt, aber ein `ping server` geht nicht.

Habe mir mal sagen lassen, dass man dafür RAS besser konfigurieren muss, also irgendwas mit einer Reverse-Zone zur Namensauflösung… wenn man VPN ganz simpel über "eingehende Verbindungen" einrichtet, kann man RAS nicht weiter konfigurieren. Man müsste es komplett manuell einrichten. Also habe ich in der Datei %SystemRoot%\system32\drivers\etc\lmhosts folgenden Eintrag hinzugefügt:

192.168.1.70 server #PRE

Da standardmäßig die LMHOSTS-Abfrage für LAN-Verbindungen aller Art aktiviert ist, kann ich nun `ping server` ausführen.

Problem: Wenn ich mich nun wieder ins LAN einklinke, kriege ich keine Verbindung zum Hostnamen "server". Wahrscheinlich hat sich Windows gemerkt, dass "server" unter der IP-Adresse 192.168.1.70 gefunden werden will. Da die aber nur nach Herstellen einer VPN-Verbindung verfügbar ist, geht das nicht mehr. Doof!

Nun kann ich bei den anderen LAN-Verbindungen (für LAN- und WAN-Adapter) die LMHOSTS-Abfrage deaktivieren, aber dort könnten ja auch andere wichtige Dinge drin stehen.

Fragen:

1) Kann man verschiedene LMHOSTS-Dateien auf verschiedene LAN-Verbindungen anwenden oder gibt's nur eine globale LMHOSTS-Datei?

2) Irgendwie ist das alles eine "Quick & Dirty" Lösung. Wie müsste man denn vorgehen, um den Hostnamen "server" auch über VPN korrekt auflösen zu können, ohne den Weg über LMHOSTS zu gehen?

Ich habe zurzeit einen Windows Server 2003 mit VPN laufen, damit ich und andere Mitarbeiter von daheim aus auf Unternehmensressourcen zugreifen können.

Nun wurde mir gesagt, dass ein VPN-Router eine viel höhere Sicherheit bieten würde als die VPN-Möglichkeiten von Windows 2003 Server. Es handelt sich ganz konkret um das Gerät LANCOM 1611+.

Stimmt das?

Und wenn ja: was genau läuft beim VPN-Router besser/sicherer?

Ich möchte diesen Thread nochmal pushen... vielleicht hat jemand mittlerweile eine Idee?

Nun ja, ich habe den VPN-Dienst selbst nicht eingerichtet. Ich mache das üblicherweise über RAS und authentifiziere gegen eine Gruppe. Die erlaubten Benutzer werden dann einfach Mitglied dieser Gruppe und fertig.

Hier gibt es wie gesagt unter "Netzwerkverbindungen" ein Icon "Eingehende Verbindungen". Ein Rechtsklick->Eigenschaften zeigt mir drei Reiter:

- Reiter "Allgemein": Haken gesetzt bei: Anderen den Zugriff auf diesen Bereich durch "Tunneln" ... gestatten.

- Reiter "Benutzer": Liste mit allen Benutzern. Ein Haken für jeden Benutzer erlaubt diesem, sich via VPN zu verbinden.

- Reiter "Netzwerk": Internetprotokoll (TCP/IP) -> Eigenschaften zeigt: IP-Adresszuweisung: dort steht ein Pool von Adressen 192.168.1.10 bis 20 (kein DHCP).

Ich habe mir grad sagen lassen, dass VPN wohl zwei Zonen besitzt, von denen standardmäßig nur eine aktiviert ist. Die sog. "Reverse Zone" muss konfiguriert sein, damit VPN-Clients den DNS-Server finden. Aber das ist mir gänzlich neu. Hat jemand weitere Infos dazu?

Habe einen Server mit dem Computernamen "SERVER". Dort drin steckt eine Netzwerkkarte für LAN mit der IP 192.168.1.1. VPN funktioniert über "Netzwerkverbindungen\Eingehende Verbindungen" und vergibt IP-Adressen von 192.168.1.10 bis 192.168.1.20. "SERVER" selbst ist daher auch unter der IP 192.168.1.10 erreichbar.

Im LAN kann ich im Explorer "\\SERVER" eingeben und der Host wird gefunden. Von VPN aus klappt das leider nicht, dort muss ich immer direkt die IP-Adresse ansprechen. Ich verbinde mich über den Windows XP VPN Client -> beim Client-PC wird also unter "Netzwerkverbindungen" ein neues Symbol angelegt.

Dort fehlt bestimmt der richtige DNS-Server-Eintrag für die VPN-Verbindung. Auf dem Rechner "SERVER" läuft als Dienst ein DNS-Server. Ich gehe daher davon aus, dass "SERVER" selbst der DNS-Server ist. Also habe ich bei der VPN-Verbindung unter "Internetprotokoll (TCP/IP)\Eigenschaften" eingestellt, dass er für DNS die IP 192.168.1.1 oder alternativ die 192.168.1.10 verwenden soll. Beides hat nicht geklappt - der Host "SERVER" kann nicht aufgelöst werden.

Wie wäre es richtig?

Wenn man eine .exe Datei verändert oder diese z.B. durch einen Virus verändert wurde, dann kann Windows das unter Umständen erkennen und reparieren. Voraussetzung dafür ist, dass die Datei ursprünglich durch ein MSI-Paket installiert wurde.

Irgendwo scheint Windows für die .exe Datei eine Prüfsumme oder was ähnliches zu speichern. Bei jedem Starten der .exe Datei wird nochmal eine Prüfsumme erstellt und mit der bekannten verglichen. Stimmen beide nicht überein, muss die Datei modifiziert worden sein. Windows fordert in diesem Fall in der Regel die zugehörigen Installationsmedien automatisch an, um den Originalzustand wieder herzustellen.

Mein Anliegen: Ich möchte gern die .exe Datei eines Programms durch ein Zwischenprogramm ersetzen. Das führt vor dem Aufruf noch ein paar Prüfungen durch. Wenn alles OK ist, sollen die originale .exe Datei (wurde zuvor umbenannt) aufgerufen und alle Startparameter durchgereicht werden. Andernfalls erscheint eine Fehlermeldung.

Meine Fragen: Wie kann ich verhindern, dass nach dem Ersetzen der MSI-Reparatur-Dialog erscheint? Kann man die Windows bekannte Prüfsumme vielleicht verändern oder aktualisieren? Ist es überhaupt eine Prüfsumme, die die Erkennung für Windows möglich macht?

Habe einen Windows 2003 Server aufgesetzt und den VPN-Service eingerichtet (Routing und RAS). Dann auf dem Router den Port 1723 weiter geleitet und VPN "Pass-Through" freigeschaltet. Ich kann mich von einem externen Rechner einwählen.

Fragen:

1) Wie viele VPN-Verbindungen sind gleichzeitig zulässig? Ich möchte dafür eigentlich bloß einen VPN-Benutzer anlegen. Können sich dann mehrere Clients damit gleichzeitig einloggen?Oder braucht man für jeden Client einen eigenen Benutzer? Ich realisiere die Anmeldung über eine Gruppe, die momentan nur ein Mitglied hat.

2) Ein VPN-Verbindung klappt nicht im lokalen Netz und endet immer mit dem "Fehler 800". Denn der Client darf sich nicht im gleichen Netz 192.168.x.y befinden, hab ich gelesen. Daher muss ich beim Testen wirklich einen externen Rechner verwenden. Wie kann ich das denn effizient testen? Ich habe ein paar Rechner per VNC angebunden, die sich in einem öffentlichen Netz mit einer 141.x.y.z IP befinden. Von dort aus klappt die Einwahl, allerdings wird nach dem VPN-Verbindungsaufbau sofort die VNC-Verbindung gekappt, weil der Client eine 192.168.x.y IP erhält. Die kann ich dann nur vom Server aus zwangstrennen.

3) Klappt die Einwahl von einem anderen privaten Netz aus, wo der Rechner ebenfalls eine 192.168.x.y IP besitzt? Dadurch könnte es ja leicht zu Überschneidungen von IP-Adressen kommen. Außerdem ist dann nicht mehr eindeutig erkennbar, welcher Rechner von intern und welcher von extern stammt.

Aha, hat jemand einen Link zu einer konkreten Software, die sowas kann? Es ist ja nicht nur tierisch aufwändig, für alle Programme den Proxy einzurichten, sondern wie gesagt unterstützen nicht alle Programme sowas.

Ist das euer Ernst? Dann muss jedes Tool eine Proxy-Unterstützung eingebaut haben, sonst kann es nicht ins Netz?

Ist das nicht dermaßen essentiell, dass es nicht längst schon hunderte Lösungen dafür geben sollte?

Unsere Hochschule ist ans MSDNAA angeschlossen. Jeder Student erhält nach Anmeldung Zugang zum Microsoft Softwarekatalog. Viele Studenten (gerade aus der Informatik) sind aber Linux/Unix-verliebt oder nutzen ganz bewusst nicht die Softwareprodukte von Microsoft. Die Lizenzen liegen also brach und werden von vielen nicht genutzt.

Andere würden diese aber gern einsetzen (natürlich weiterhin privat und nicht-kommerziell). Ich dachte da speziell an Forschungszwecke bei Studienprojekten, z.B. Workshops zum Einrichten einer Windows-Umgebung oder auch das Vernetzen und Testen verschiedener Microsoft-Betriebssysteme.

Dürfen Studenten, die ihre Lizenenzen nicht nutzen möchten, diese an andere Studenten verschenken?

Angeblich nicht, weil die Lizenzschlüssel von ELMS

personengebunden ausgestellt würden und nicht übertragbar seien. Aber es ist auch so, dass die Verträge (insbesondere die EULA) von Microsoft in Deutschland häufig keinen rechtlichen Bestand haben. Wer hat also Recht?

Hier noch ein paar Links dazu:

• FAQ
  
• MSDNAA
  

Ich bin im Ausland und meine Hochschule benutzt einen Proxy mit Authentifizierung, den ich im IE und Firefox einstellen kann. Die meisten Tools wie Messenger unterstützen das auch, aber eben längst nicht alle. Daher die Frage:

Kann ich unter Windows XP einen globalen Proxy samt Anmeldedaten für alle Verbindungen ins LAN bzw. Internet festlegen?

Ich schliesse aus Deinem letzten Post, dass es mit einem Unterordner und so konfiguriert, wie beschrieben, funktioniert ?!

Es funktioniert, wenn ich einen Ordner D:\foo habe und in ihm einen weiteren Ordner D:\foo\bar anlege. Bei D:\foo verweigere ich "Unterordner und Dateien löschen" und bei D:\foo\bar verweigere ich "Nur diesen Ordner -> Löschen" (jeweils für "Jeder"). Somit kann niemand den Ordner D:\foo\bar löschen und daher auch nicht D:\foo.

Administratoren könnten jedoch diese Berechtigungen selbstverständlich umstellen, um anschließend beide Ordner löschen zu dürfen.

Umständlich, aber klappt!

Traurigerweise funktioniert das

Ich zweifle wegen dieses Satzes, der erscheint wenn ich das Löschen des Ordners explizit verweigere:

Sie sind im Begriff einen Zugriffsverweigerungseintrag zu setzen. Zugriffsverweigerungen haben Vorrang vor Zugriffsgenehmigungen. Falls ein Benutzer Mitglied in zwei Gruppen ist, und einer Gruppe der Zugriff genehmigt und der anderen Gruppe der Zugriff verweigert wird, wird dem Benutzer der Zugriff verweigert.

Möchten Sie den Vorgang fortsetzen?

Ich betrachte das als Notlösung, bin aber nicht so richtig zufrieden damit. Beinhaltet der künstliche User "Jeder" eigentlich auch SYSTEM und NT-AUTH... (so ähnlich heißt das doch) oder nur reine User?

Sie sind spezifischer, trotzdem gilt die Löschen-Einstellung auf übergeordneter Ebene. Das Verweigern des Löschens wirkt sich schon auf diesen Ordner aus, über den Umweg der Berechtigung des übergeordneten Ordners erhält er sie aber wieder. Die genannte Berechtigung hat also Vorrang.

Ich hätte erwartet, dass es sich genau umgekehrt verhält! Die spezifischere Berechtigung hat Vorrang (wie du bestätigst). Daher sollte sie nicht durch eine geerbte oder übergeordnete wieder entkräftigt werden dürfen. Das ist in meinen Augen ein Widerspruch. Die Rechtevergabe wird doch eigentlich von oben nach unten bishin zum Ziel-Ordner durchgegangen. Eine folgende Berechtigung überschreibt dabei eine vorherige. Beispiel:

 Pfad       | Sehen | Lesen | Schreiben
------------+-------+-------+-----------
D:         | ja    | ja    | ja
D:\foo     | erben | nein  | nein
D:\foo\bar | nein  | erben | ja
------------+-------+-------+-----------
D:\foo\bar | nein  | nein  | ja

Du musst keinen Unterordner anlegen, der User FOO darf nur im Parent kein Vollzugriff bzw. die Berechtigung "Unterordner und Dateien löschen" haben.

Er soll auf Root-Ebene aber Vollzugriff haben. Daher wird offensichtlich ein Unterordner Pflicht werden.

Also prinzipiell habe ich verstanden, was du mir mitteilen willst. Allerdings bin ich trotzdem der Meinung, dass

1) die Berechtigungen von D:\Temp spezifischer sind als von D: und damit die von dir beschriebenen "störenden" Berechtigungen überschreiben sollten und

2) Verweigerte Berechtigungen höherrangig sind als die für's Zulassen.

Wieso klappt/stimmt Punkt 1) nicht?

Selbst wenn deine Konfiguration stimmig ist, sollte doch trotzdem das Verweigern des Löschens dieses auch verhindern, oder?

Ich finde es doch recht umständlich, dafür quasi einen Überordner anlegen zu müssen...

Mein Benutzer heißt "Computer". Sein temporärer Speicher wächst ziemlich schnell an, so dass C: nach nem Monat bereits wieder Speichermangel hat. Daher möchte ich den Ordner

C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp

verschieben. Ich würde einen Junction-Point nach D:\Temp erstellen, wo genügend Platz ist.

Geht das auch besser? Es gibt ja interne "Special Folder" oder auch Umgebungsvariablen. Über die Konsole und den Befehl "set" lasse ich mir anzeigen:

TEMP=C:\DOKUME~1\Computer\LOKALE~1\Temp
TMP=C:\DOKUME~1\Computer\LOKALE~1\Temp

Würde es reichen, beide Umgebungsvariablen auf D:\Temp zu setzen? Was ist wenn D:\Temp nicht existiert (z.B. ausversehen gelöscht wird) und dorthin geschrieben werden will? Wird dann in jedem Fall D:\Temp von Windows erstellt oder könnte ein Fehler auftreten?

Der Fehler wahrscheinlich an der Berechtigung des übergeordneten Ordners (also die Root von D:\), in der die Administratoren oder wenigstens FOO Vollzugriff haben. Haben sie Vollzugriff, sind sie in der Lage, untergeordnete Ordner zu löschen, selbst wenn sie dort nur Leseberechtigung haben (explizit berechtigt).

Die Rechte von D:\Temp sind doch viel spezifischer als die vererbten Rechte von D:, oder? Sollten sie demnach nicht die Berechtigungen von D: überschreiben? Abgesehen davon habe ich ja keine Berechtigungen vererbt (s. erster Beitrag). Ich habe zuerst alle entfernt und dann neue angelegt.

Also bei Linux funktioniert das so und es erscheint mir sowohl logisch als auch intuitiv.

Ich habe einen TEMPROOT-Folder erstellt und darunter den TEMP-Ordner. Es funktioniert auch, wenn Du TEMP unterhalb der Root anlegst und den Administratoren in der Root nur Ändern Berechtigung gewährst, es wirkt sich aber leider auch auf andere Ordner unterhalb der Root aus ...

Übertragen auf mein Beispiel heißt das doch dann: D:\TEMPROOT\TEMP lässt sich zwar nicht löschen, aber was ist mit D:\TEMPROOT? Lässt es sich dann auch nicht löschen, weil es nicht geleert werden kann? Lässt es sich denn umbenennen? Nach dieser Theorie würden ja dann auch die Berechtigungen von D:\TEMPROOT\TEMP auf alle Unterordner und Dateien übertragen werden. D.h. darin zur Laufzeit erstellte temporäre Daten lassen sich als Benutzer "foo" dann auch nicht mehr löschen, sondern nur noch vom Administrator. Das wäre nicht gut.

Lieber Bill, es muss doch möglich sein einen Ordner vor dem Löschen zu bewahren, der sich auf der Root-Ebene befindet, ohne dass allen anderen Ordnern auf derselben Ebene das gleiche Schicksal widerfährt. Das kann doch nicht so schwer sein... Ich glaube nicht, dass Windows so "doof" ist.

P.S. Mir ist klar, dass "foo" (der in der Gruppe "Administratoren" steckt) sich selbst die Rechte wieder zuteilen kann, den Ordner doch zu löschen. Es ist nur als Selbstschutz gedacht, dass D:\Temp nicht ausversehen gelöscht wird.