Jump to content

lokale Zugriffsrechte für Usergruppen


Direkt zur Lösung Gelöst von Pope,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Tag zusammen!

Folgende Frage bzw. folgendes Problem bekomme ich nicht geregelt:
Ich arbeite mit einem Standard-User Account unter Win 7 Pro.
Ein selbst erstellter AdminAccount soll mir zu adminstrationszwecken dienen. Dieser ist natürlich Mitglied der Gruppe Administratoren.
Diese Gruppe hat Vollzugriff auf eine externe Festplatte D: mit vererbten Rechten für alle Unterordner und Dateien. Dennoch bekommt mein Admin die Meldung "Auf D:\ kann nicht zugegriffen werden! Zugriff verweigert".
Ich kann mir die Rechte anzeigen lassen. Unter den "Effektiven Berechtigungen" steht für meinen Admin Vollzugriff.
Herausgefunden habe ich, dass ich durch das explizite Hinzufügen meines Admins dann Zugriff bekomme.
Das ist mir unverständlich. M.E. müsste doch die Zugehörigkeit zur Gruppe der Administratoren reichen.
Ich habe dasselbe Phänomen mit einem Sicherungs-Account, der in der Gruppe der Sicherungsoperatoren ist und Vollzugriff auf eine Partition haben sollte, aber nur hat, wenn er explizit als einzelner User Zugriffsrechte eingeräumt bekommt.

Kann mir jemand helfen oder mich aufklären?
Dank und Gruß, Matthias

Link zu diesem Kommentar

Guten Abend Marting,

danke für die Rückfrage. UAC sagt mir natürlich was. restricted token - ich dachte das sind die Objekte, die in Folge der Zugriffsrechte eines Users nicht freigegeben werden.

Ich verstehe allerdings nicht wirklich den Zusammenhang.

Wenn eine User-Gruppe ein Zugriffsrecht hat, sollte doch jeder User dieser Gruppe dies Recht ausüben können. Gehe ich falsch in dieser Annahme?

Gruß zur Nacht, Matthias

Link zu diesem Kommentar

Moin,

 

genau das ist UAC ...

 

[benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net]
http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/

 

In deinem Fall kommt noch erschwerend hinzu, dass der Explorer mit UAC nicht richtig umgehen kann.

 

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
http://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Meine Empfehlung also für dein Szenario: Definiere eine eigene, separate Gruppe, die Vollzugriff auf den ganzen Dateibaum bekommt. Nimm dein Adminkonto in diese Gruppe auf. Dann geht es, denn selbsterzeugte Gruppen filtert UAC nicht aus dem Anmeldetoken heraus.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

Die explorer.exe lässt sich übrigens auch als Administrator starten.

 

steht in dem von mir verlinkten Artikel als Hinweis drin. Ist aber kein sinnvoller Weg, weil mit erheblichen Umständen verbunden, die auch "dein Tool" nicht auflöst. Für den TO also ganz sicher ungeeignet, zumal bessere Methoden existieren.

 

 

Ich könnte ja eine Tool Empfehlung zu diesem Thema machen, darf bestimmt aber nicht.

 

Zumindest könntest du vielleicht mal einen Gang zurückschalten. Dein Selbstmarketing wirkt langsam etwas sehr aggressiv.

 

Gruß, Nils

Link zu diesem Kommentar

N'Abend Nils,

 

ganz herzlichen Dank für die Hinweise und die Links - ich habe einiges gelernt!

Möglicherweise fehlt es mir an Auffassungsgabe...?!

Die Anzeige der Rechte in Folge der UAC-Einbindung im Explorer habe ich verstanden.

 

Nicht dies:

Der von mir beschriebenen Fall oben müsste dem von Dir geschilderten "Fall 2" in deinem ersten Link entsprechen. Da schreibst Du (in Sachen AAM):

„Ruft der Benutzer nun eine Funktion auf, die erhöhte Rechte benötigt, so schaltet UAC ebenfalls auf seinen geschützten Desktop um. Der angezeigte Dialog ist aber ein anderer: [...] er fordert nur zur Bestätigung der Aktion auf.“

Bei mir aber passiert das nicht. Ich bekomme keine UAC-Abfrage, sondern den Hinweis: "Auf D:\ kann nicht zugegriffen werden! Zugriff verweigert".

Dieser Zugriff müsste doch durch eine UAC mit dem AAM möglich sein. Oder?

 

Gruß, Matthias

Link zu diesem Kommentar

Vielleicht nochmal als Ergänzung:

Neben den Privileges und Gruppenmitgliedschaften sind auch noch die "Mandatory Integrity Controls" ggf. auch "Windows Integrity Levels" genannt mit von Bedeutung, um UAC zu verstehen

http://www.mcseboard.de/topic/207728-admintool-runas-taskbar/?p=1307522

 

Die 6 MIC-Levels findet man hier

http://www.minasi.com/apps/

 

"whoami /all" zeigt eigentlich alles relativ deutlich auf.

Mit Icacls kann mit Dateien und MIC testen, noch besser ist allerdings chml.exe von M. Minasi

 

blub

Link zu diesem Kommentar
  • Beste Lösung

Besten Dank dem Moderator und allen anderen Bemühten!

Der Hinweis auf die "Mandatory Integrity Controls" und hier gerade auf die "Windows Integrity Levels" war die Erleuchtung. Das erklärt, warum ein User de facto keinen Zugriff bekommt, der ihm laut Gruppenrichtlinie zustände. Das hatte ich nicht kapiert. Danke auch für die Hinweise auf die Tools zur Veränderung, die für mich allerdings nicht erforderlich sind.

 

Sorry für verspätetes antworten - bin in Italien auf Urlaub....

Sommerliche Grüße, Matthias

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...