Übersicht Standard NTFS Berechtigungen gesucht

[Muelli 10]

Moin Community,

 

bin wahrscheinlich wieder zu **** zum Suchen. Bin auf der Suche nach einer Übersicht aller Standard NTFS Berechtigungen nach einer frischen XP Installation, sprich welche Ordner standardmäßig nur Leseberechtigungen bekommen und welche Ordner (insbesondere unter Dokumente und Einstellungen) auch Schreibrechte für Normalo-User ohne Adminrechte haben. das Ganze natürlich am Liebsten für eine deutsche Ordnerbezeichnung und einmal für die englische Ordnerbezeichnung.

 

Hintergrund: Ich will jetzt mal eine Übersicht für unsere Programmierer aushängen, aus der sie erkennen, auf welche Verzeichnisse ihre Software schreibend zugreifen kann und welche tabu sind.

Programmierer haben nämlich die Eigenart immer unter Adminrechten zu arbeiten und wollen nicht einsehen, dass z.B. dass "Programme"-Verzeichnis für schreibenden Zugriff tabu ist. Wenn die Software dann aber ausgeliefert wird, kommen immer Zugriffsfehler, die uns der Endanwender meldet. - Dem will ich jetzt ein Ende setzen.

 

hat jemand 'ne gute Übersicht?

 

Gruß

 

Jörg

[IThome 10]

Öffne mal MMC.EXE und lade Dir "Sicherheitsvorlagen". Dann SETUP SECURITY.INF laden und unter Dateisystem schauen ...

[phoenixcp 10]

Meinst du sowas hier?

NTFS-Standardberechtigungen in Windows NT

[Muelli 10]

Meinst du sowas hier?

NTFS-Standardberechtigungen in Windows NT

 

ist schon nicht schlecht. Aber am Ende wahrscheinlich zu viel für einen Programmierer :D

Gibt es vielleicht eine Art "Richtlinie für gutes Programmieren und Installieren unter XP"? So nach dem Motto:

 

Programmdateien sind unter C:\programme zu installieren

Usereinstellungen sind unter c:\dokumente und einstellungen\... abzulegen

...

 

 

Grüße

 

Jörg

[TruckerTom 10]

Sorry wenn ich da extrem pessimistisch bin.

Aber ich denke, Programmierer haben generell KEINERLEI Sinn dafür, sich an irgendwelche Konventionen zu halten.

[Muelli 10]

Sorry wenn ich da extrem pessimistisch bin.

Aber ich denke, Programmierer haben generell KEINERLEI Sinn dafür, sich an irgendwelche Konventionen zu halten.

 

Hoffe, ich trete niemandem zu nahe, aber muss Dir da voll zustimmen. Und wenn man im Guten mit ihnen reden will, um sie zu überzeugen, einige Dinge umzustellen, endet das in ewigen Diskussionen.

 

Nichtsdestotrotz gibt es halt Probleme, wenn eingeschränkte User mit einer Software arbeiten sollen, die sämtliche NTFS Restriktionen missachtet. Als Admin muss man dann ständig bestimmte Berechtigungen ändern, damit die Sache zum Laufen kommt.

 

Gruß

 

Jörg

[Sunny61 773]

Programmdateien sind unter C:\programme zu installieren

Usereinstellungen sind unter c:\dokumente und einstellungen\... abzulegen

...

 

Genauso und nicht anders. zeig den Programmieren mal die Ausgabe von SET. %APPDATA% ist für die Userbezogenen Daten. Alternativ natürlich in der Registry unter: HKEY_CURRENT_USER. Oder wenn es um Globale Userbezogene Einstellungen/Pfade geht, die bei der Installation festgelegt werden sollen, dann natürlich unter HKEY_USERS\.DEFAULT.

 

Schade, daß es viele Programmierer nocht nicht geschafft haben, das System seit NT4 zu verstehen und es auch umzusetzen. Genau deshalb muß der Admin immer wieder manuell eingreifen: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

 

Ich würde die Jungs dazu verdonnern, die eigene SW erstmal auf einem Client mit Benutzerrechten zu testen. Dann sehen sie am besten wo es hakt.

[phoenixcp 10]

Nichtsdestotrotz gibt es halt Probleme, wenn eingeschränkte User mit einer Software arbeiten sollen, die sämtliche NTFS Restriktionen missachtet. Als Admin muss man dann ständig bestimmte Berechtigungen ändern, damit die Sache zum Laufen kommt.

 

Ich gebe dir aus einer Sicht recht:

Software sollte auch als Benutzer oder Hauptbenutzer funktionieren, dafür sollte die Kenntnisse und Testmöglichkeiten eines Entwicklers reichen.

 

Aus einer anderen Sicht (der des Entwicklers in mir) muss ich dir wiedersprechen:

Genau das ist deine Aufgabe als Administrator, gewissen Berechtigungen auch so bereitzustellen, wie sie von gewissen Softwareprodukten erfordert werden.

 

Gibt es vielleicht eine Art "Richtlinie für gutes Programmieren und Installieren unter XP"? So nach dem Motto:

 

Programmdateien sind unter C:\programme zu installieren

Usereinstellungen sind unter c:\dokumente und einstellungen\... abzulegen

Da gibt es meiner Meinung nach nicht viel. Und auch hier kann es sein, das trotzdem Schreiboperationen des Anwenders, die nicht dem userspezifischen Anteil zuzuschreiben sind, im Programmordner durchzuführen sind. Und dementsprechend müssen dann, wie oben schon angemerkt, auch die Berechtigungen stimmen.

 

Vielleicht solltet ihr mal nicht weiter gegeneinander, sondern eher miteinander arbeiten (und auch softwaretesten)... Dann gibts die Verwirrung und der Ärger nicht im Betrieb, weil beide Seiten wissen, wo geschraubt werden muss.

[Muelli 10]

Schade, daß es viele Programmierer nocht nicht geschafft haben, das System seit NT4 zu verstehen und es auch umzusetzen. Genau deshalb muß der Admin immer wieder manuell eingreifen: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

 

Ich würde die Jungs dazu verdonnern, die eigene SW erstmal auf einem Client mit Benutzerrechten zu testen. Dann sehen sie am besten wo es hakt.

 

Hi Sunny61,

"Verdonnern" ist gut gesagt. Ein Programmierer ändert aber seinen Quelltext im Nachhinein nicht mehr. Deshalb will ich ihm die Konventionen vor die Nase hängen, damit er gleich von Anfang an die Pfade richtig einstellt.

Die Sache mit Sysinternals ist klar. Nutzen wir auch immer. Nur das da das Kind bereits im Brunnen liegt.

 

Brauche 'ne eindeutige Übersicht über Installationsverzeichnisse und Registryzweige, welche zur Ablage von Programmteilen, Einzeluserdaten und für AllUser-Daten genutzt werden sollten.

 

Gruß

 

Jörg

[Sunny61 773]

Aus einer anderen Sicht (der des Entwicklers in mir) muss ich dir wiedersprechen:

Genau das ist deine Aufgabe als Administrator, gewissen Berechtigungen auch so bereitzustellen, wie sie von gewissen Softwareprodukten erfordert werden.

 

Einspruch! Wenn das Programm, warum auch immer, spezielle Rechte auf bestimmten Ordnern braucht, dann sollte man diese Rechte im Setup gleich setzen. Das ist der sinnvollere Weg.

 

 

Da gibt es meiner Meinung nach nicht viel. Und auch hier kann es sein, das trotzdem Schreiboperationen des Anwenders, die nicht dem userspezifischen Anteil zuzuschreiben sind, im Programmordner durchzuführen sind. Und dementsprechend müssen dann, wie oben schon angemerkt, auch die Berechtigungen stimmen.

 

Die dann aber schon im Setup IMHO gesetzt werden sollten. Dafür ist das Setup ja da. Aber auch hier, warum sollten Schreiboperationen in Ordner durchgeführt werden, in die ein User per Default nicht schreiben darf? Programmkonzept nochmal überdenken.

 

Vielleicht solltet ihr mal nicht weiter gegeneinander, sondern eher miteinander arbeiten (und auch softwaretesten)... Dann gibts die Verwirrung und der Ärger nicht im Betrieb, weil beide Seiten wissen, wo geschraubt werden muss.

 

Full ACK. ;)

[Muelli 10]

Da gibt es meiner Meinung nach nicht viel.

 

MS muss doch bei Erscheinen von XP (oder 2000) mal irgendetwas für Softwareentwickler herausgegeben haben, damit die Endanwender sauber damit arbeiten können.

 

Gruß

 

Jörg

[Sunny61 773]

"Verdonnern" ist gut gesagt. Ein Programmierer ändert aber seinen Quelltext im Nachhinein nicht mehr.

 

Nein? Schlecht. Was macht er denn wenn er sich einen BUG eingebaut hat? Nein, ich ändere nichts, ist ja nicht mein Fehler.

 

Deshalb will ich ihm die Konventionen vor die Nase hängen, damit er gleich von Anfang an die Pfade richtig einstellt.

 

Die von dir genannten Pfade sind richtig. Daran muß sich ein Programmierer halten, und das ollte ein Programmierer auch wissen. Wenn nicht, muß er Hausaufgaben machen, IMHO. Auf der ROOT direkt und drunter, außer im eigenen Profil, hat ein Benutzer per Default nur Leserechte. Zeig ihm das mal auf einem Client. Rechtsklick auf C:\> Eigenschaften > Sicherheit.

 

Die Sache mit Sysinternals ist klar. Nutzen wir auch immer. Nur das da das Kind bereits im Brunnen liegt.

 

Dann wirf den Programmierer auch gleich mit rein. ;)

 

Brauche 'ne eindeutige Übersicht über Installationsverzeichnisse und Registryzweige, welche zur Ablage von Programmteilen, Einzeluserdaten und für AllUser-Daten genutzt werden sollten.

 

Hab ich das nicht schon gepostet? Ach ja, %ALLUSERSPROFILE% für das Profil aller User auf dem Rechner. HKEY_USERS\.DEFAULT in der Registry.

–

MS muss doch bei Erscheinen von XP (oder 2000) mal irgendetwas für Softwareentwickler herausgegeben haben, damit die Endanwender sauber damit arbeiten können.

 

NTFS gibts seit NT4, IMHO.

Standard-NTFS-Berechtigungen in Windows 2000

[phoenixcp 10]

Einspruch! Wenn das Programm, warum auch immer, spezielle Rechte auf bestimmten Ordnern braucht, dann sollte man diese Rechte im Setup gleich setzen. Das ist der sinnvollere Weg.

 

Ja und Nein. Teilstattgegeben. Ist ein wenig abhängig vom Wege des Deployments und der verwendeten Installationsengine sowie den Fähigkeiten des Entwicklers.

 

Die dann aber schon im Setup IMHO gesetzt werden sollten. Dafür ist das Setup ja da. Aber auch hier, warum sollten Schreiboperationen in Ordner durchgeführt werden, in die ein User per Default nicht schreiben darf? Programmkonzept nochmal überdenken.

 

Per Default stellt ja schon wieder die nächste Frage. Wessen Default? Der Default des Windows Systems, der Software um die es sich dreht oder des Admins, der die Clients administriert?

 

Wenn standardmässig (Windows-default) der Benutzer nicht unter der C:\Programme schreiben darf, es die Software (Software-default) aber verlangt, das er dort schreiben muss, ist das nicht unbedingt eine Frage der Programmkonzeption oder?

 

Off-Topic:

Insgesamt bewegen wir uns aber schon wieder auf einem heiss diskutierten Umfeld zwischen Admins, Entwicklern und Religionsansätzen.

[Sunny61 773]

Ja und Nein. Teilstattgegeben. Ist ein wenig abhängig vom Wege des Deployments und der verwendeten Installationsengine sowie den Fähigkeiten des Entwicklers.

 

IMHO nein, die heutigen Setuproutinen lassen das AFAIK alle zu. Gesetzt ist gesetzt, der Admin braucht sich nicht mehr darum zu kümmern.

 

Per Default stellt ja schon wieder die nächste Frage. Wessen Default? Der Default des Windows Systems, der Software um die es sich dreht oder des Admins, der die Clients administriert?

 

Sorry, Windows Default.

 

Wenn standardmässig (Windows-default) der Benutzer nicht unter der C:\Programme schreiben darf, es die Software (Software-default) aber verlangt, das er dort schreiben muss, ist das nicht unbedingt eine Frage der Programmkonzeption oder?

 

IMHO ja, aus welchem Grund müssen Daten ins Programmverzeichnis geschrieben werden? Nach der Installation ist natürlich gemeint. ;)

Dafür gibts %APPDATA% und die Registry: HKEY_CURRENT_USER, hier kann der User schreiben, so viel er will ;)

 

Off-Topic:

Insgesamt bewegen wir uns aber schon wieder auf einem heiss diskutierten Umfeld zwischen Admins, Entwicklern und Religionsansätzen.

 

Macht das was? ;)

[NorbertFe 1.835]

Da gibt es meiner Meinung nach nicht viel.

 

Doch: :)

http://microsoft.mrmpslc.com/uploadedFiles/VistaPlatformAdoption/ResourcesAndTraining/Windows%20Vista%20Software%20Logo%20Spec%201.0.doc

 

Bye

Norbert

–

MS muss doch bei Erscheinen von XP (oder 2000) mal irgendetwas für Softwareentwickler herausgegeben haben, damit die Endanwender sauber damit arbeiten können.

 

Gruß

 

Jörg

 

Siehe obigen Link. Ist zwar inzwischen für Vista, aber irgendwo schwirrt mit Sicherheit auch die Version für XP/2003 noch rum.

 

Bye

Norbert