Probleme mit Benutzerrechten

[80Quattro 10]

Guten Morgen liebe Gemeinde,

 

ein Freund von mir hat sich einen Root-Server (Windows 2008 Web Edition) gemietet.

Standardmäßig natürlich ein Administrator Konto ist angelegt, dieser Zugang soll halt eben auch nur für Admin zwecke genutzt werden. Also wurde ein Benutzer angelegt. Soweit sogut, nun das Problem, auf D:\ liegt ein Program "XY" der Benutzer soll dieses Starten und Benutzen können, das Funzt auch soweit, jedoch wird immer unter <Bentzername>Dokumente ein Verzeichnis von diesem Programm XY angelegt welcher eben seine Config dort ablegt. Jedoch soll es so sein dass nicht unter "Dokumente" die Config abgelegt wird sondern in dem Hauptverzeichnis von "XY". Wenn ich mich als Administrator anmelde dann klappt das auch. Es ist deswegen von nöten, da ich das Program "XY" mehrmals habe und es soll auch auch mit mehereren instanzen laufen, jedoch immer mit unterschiedlicher Config eben.

 

Wie / wo kann ich die Rechte von der Gruppe Benutzer ändern.

 

Anmeldungen erfolgen Lokal, kein Active Directory, ohne Domäne usw

 

Ich wäre euch echt sehr verbunden wenn Ihr mir hierbei helfen könntet,

 

LG

80Quattro

[NilsK 2.795]

Moin,

 

erst mal willkommen an Board!

 

Bitte beschreibe das Problem und die Anforderung noch mal genauer. Deine Angaben sind nicht ganz verständlich.

 

Wenn ich es aus dem Bauch richtig interpretiere, könnte es sein, dass das Programm, von dem du sprichst (um welches handelt es sich?) nicht richtig mit dem Windows-Berechtigungssystem umgeht. Deine Aussagen lassen sich so verstehen, dass die Software benutzerbezogene Konfigurationsinformationen im Programm-Verzeichnis abspeichern will. Das funktioniert bei normalen Benutzern nicht, daher überlagert Windows dies mit einem virtuellen Dateipfad im Benutzerprofil des Users. Dadurch wiederum gelten die Einstellungen aber nur für den jeweiligen User, nicht systemweit.

 

Ob man da sinnvoll was umkonfigurieren kann, lässt sich aber erst beurteilen, wenn du deine Beschreibung genauer abfasst.

 

Gruß, Nils

[80Quattro 10]

Hallo Nils,

 

vielen Dank erst mal für die freundliche Aufnahme,

 

ich muss sagen Du hast es schon richtig interpretiert.

 

Hierbei handelt es sich um eine Gaming-Community, es ist so dass das Spiel (o.g. Programm "XY") Mehrmals unter einem Hauptverzeichnis liegt.

Pfad: D:\Games\Spiel1-Server1\dedicated.exe

Pfad: D:\Games\Spiel1-Server1\config.ini

Pfad: D:\Games\Spiel1-Server2\dedicated.exe

Pfad: D:\Games\Spiel1-Server2\config.ini

 

Wie bereits beschrieben, wenn ich dedicated.exe mit dem Administrator - Konto starte, denn wird die jeweilige config.ini aus dem Pfad genommen aus dem auch dedicated.exe gestartet wurde. So soll es ja auch sein.

Wenn ich mich aber als Benutzer anmelde dann ist es so wie von dir Beschrieben mit dem Virtuellen Pfad, und dort wird dann eine config.ini angelegt. so kann ich halt nur die dedicated.exe von Server1 oder Server2 nutzen. Ich finde halt nirgends wo man die Rechte so vergeben könnte das Benutzer auch schreibrechte für den jeweiligen Pfad bekommen.

 

PS: generell mal eine Frage: Gruppe Administrator war ja von Anfang an dabei und soweit voreingestellt. Wenn ich nun eine neue Gruppe ertsellen würde (Gameadmins) und würde diesen exact die Selben rechte geben wollen wie die von der Gruppe Administratoren, wo müsste ich das machen ? Nein ich will nicht einfach einen Benutzer in die Administratoren Gruppe aufnehmen, ich weis das dies am einfachsten und schnellsten wäre, ich will halt eben verstehen wo und wie ich diese Rechte die die Gruppe Administratoren hat einstellen kann.

 

Gruss

80quattro

[AustriaWien 10]

Hallo,

 

manchmal ist es bei 2008 so, daß du die Rechte auf ein Verzeichnis hast und zugreifen darfst, aber ein von dir ausgeführtes Programm nicht zugreifen kann.

Dies kann mit der UAC zu tun haben. Selbst wenn der Benutzer in der Gruppe der Administratoren ist.

In einem solchen Fall kann Abhilfe schaffen: Vom Laufwerks-Toot-Folder bis zu besagtem Folder navigieren. Wenn beim navigieren die UAC-Meldung auftaucht, du dabei irgendwann gefragt wirst "Administrative Rechte werden benötigtFortsetzen?", dann war es wahrscheinlich ein solch von mir gemeintes Problem.

Und nach einmal manuell durchnavigieren sind die Rechte auch "aktiv".

 

lg

D.

[NilsK 2.795]

Moin,

 

in deinem Fall kann man die Berechtigungen sehr wahrscheinlich so öffnen, dass normale Benutzer die Software wie gewünscht nutzen können. Aber: Der Preis dafür ist, dass die normalen Benutzer das System kompromittieren können. Das wird bei einem Webserver kaum sinnvoll sein.

 

Daher supporte ich das nicht weiter. Sprich den Hersteller der Software auf eine tragfähige und sichere (!) Lösung an.

 

Gruß, Nils

[NilsK 2.795]

Moin,

 

Wenn beim navigieren die UAC-Meldung auftaucht, du dabei irgendwann gefragt wirst "Administrative Rechte werden benötigtFortsetzen?", dann war es wahrscheinlich ein solch von mir gemeintes Problem.

Und nach einmal manuell durchnavigieren sind die Rechte auch "aktiv".

 

aber nur für den gerade angemeldeten User, der bereits über Adminrechte verfügt ...

 

Gruß, Nils

[jaksa 10]

Wenn man auf den Ordner Games Volle Rechte gibt, das nach unten vererbt, dann müsste doch jeder User in der Lage sein Dateien dort abzulegen ohne Admin Rechte

[NilsK 2.795]

Moin,

 

Wenn man auf den Ordner Games Volle Rechte gibt, das nach unten vererbt, dann müsste doch jeder User in der Lage sein Dateien dort abzulegen ohne Admin Rechte

 

klar. Und er kann das gesamte System damit kompromittieren. So schnell kannst du gar nicht "oh" rufen ...

 

Gruß, Nils

[jaksa 10]

Hmm, das verstehe ich jetzt nicht.

Ich gebe den User oder Jedermann die Schreibrechte auf den Ordner d:\Games.

Die berechtigten Personen können dann den Ordner zersäblen, damit bin ich einverstanden. Inwiefern haben die Personen Zugriff auf das System (Windows, Registry, etc.?)- das ist mir aber nicht klar, bitte um Aufklärung!

 

Danke uind Gruß,

Jaksa

[jaksa 10]

Was ich vergessen habe: Du darfst den Web 2008 nicht als Game Server nehmen, das deckt die Lizens nämlich nicht ab:

 

Q. Can I use the Web Server as a file server or an application server?

 

A. No. Windows Web Server 2008 R2 can be used solely to deploy Internet-accessible Web pages, Web sites, Web applications, Web services, and POP3 mail serving.

 

Quelle:Windows Server 2008 R2: Licensing Windows Server 2008 R2 Web

[80Quattro 10]

Hallo Jaksa,

 

zunächst einmal Danke für den Hinweis mit der Lizenz, werde mal meinen Kumpel darauf ansprechen !

 

Hmmm wie könnte ich den Benutzern zugriff auf die Registry gewähren ?, Wie kann ich Prüfen ob und welche rechte Sie auf das System bzw, Registry haben ?

Das könnte das Problem sein !

 

LG

80Quattro

[jaksa 10]

Vielelicht reicht es auch schon Schreibrechte auf das Games Verzeichnis zu setzen (wobei ich gerne Nils Bedenken hören würde). Wenn Du aber in die Registry oder System schreiben möchtest, würde ich abwägen ob ich da doch nicht ein Security Loch aufreisse.

Was Du machen kannst ist es mit Tools wie FileMon und RegMon überprüfen wohin genau die App schreiben möchte und nur auf diese Dateien / Registry Einträge Schreibrechte geben. Ist aber mit Risiko verbunden.

[NilsK 2.795]

Moin,

 

wenn ein User Schreibrechte auf einem Programmverzeichnis hat, kann er dort sämtliche Dateien ändern und z.B. die exe-Datei gegen irgendwas Böses austauschen. Dann braucht er nur noch zu warten, bis sich ein Admin anmeldet und diese böse Datei ausführt.

 

Also, ich würde sowas auf einem öffentlich zugänglichen System nicht machen. Nicht mal auf einem internen.

 

Gruß, Nils