Jump to content
Sign in to follow this  
paulx

Eingeschränkter Benutzer kann Rechte erweitern

Recommended Posts

Ich habe auf einem Windows XP Pro SP2- System folgendes Problem: Ich habe einen eingeschränkten Benutzer erstellt, nennen wir ihn Test. Bei diesem habe ich in dessen Benutzerkonto die Rechte Ordner durchsuchen/Datei ausführen, Berechtigungen ändern und Besitzrechte übernehmen aus den erweiterten NTFS- Sicherheitseinstellungen gestrichen. Zudem habe ich den Besitzer für das Benutzerprofil auf Administratoren gesetzt. Diese Einstellungen habe ich in alle untergeordneten Objekte übertragen. Das hat auch alles wunderbar geklappt. Nur dann habe ich mal den Test gemacht und eine ausführbare Datei aus dem Internet geladen und im Benutzerprofil gespeichert. Die habe ich dann gestartet, es erscheint wie gewünscht die Fehlermeldung "Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evtl. nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.". Dann habe ich aber mal als Benutzer Test die Sicherheitseinstellungen der Datei aufgerufen und festgestellt, dass ich die Sicherheitsoptionen ändern konnte sprich Vollzugriff erlauben konnte. Beim Schauen in die erweiterten Rechte stellte ich schließlich den Grund fest: Die Datei hatte als Besitzer den Benutzer "Test", so erklärte sich dann, warum ich die Sicherheitsrechte ändern konnte, ohne mich als Admin anzumelden. Nachdem ich diese Rechte dann änderte sprich Vollzugriff erlaubte, konnte ich die Datei problemlos ausführen. Das ist nun etwas, was ich dem Benutzer eigentlich verbieten wollte. Kann mir jemand sagen, wie ich es ihm verbieten kann?

Share this post


Link to post
Share on other sites

Wenn er Dateien anlegen darf, wird er immer der Besitzer dieser Dateien sein, also muss ihm das Anlegen von Dateien verboten werden.

Das Verhalten, welches Du beschreibst, ist völlig normal ...

Share this post


Link to post
Share on other sites

Hi paulx,

 

Zudem habe ich den Besitzer für das Benutzerprofil auf Administratoren gesetzt.

 

was meinst du damit, is ein bisserl unverständlich was du schreibst.

 

Um das ausführen von nicht freigegebenen executables zu verhindern, musst du eine Software restriction policy definieren (is ne Gruppenrichtlinienfunktion):

 

Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb;de;324036

 

LG Gadget

Share this post


Link to post
Share on other sites
Wenn er Dateien anlegen darf, wird er immer der Besitzer dieser Dateien sein, also muss ihm das Anlegen von Dateien verboten werden.

Nur ich kann dem Benutzer ja nicht den Schreibzugriff auf das eigene Benutzerprofil sperren.

Das Verhalten, welches Du beschreibst, ist völlig normal ...

Das ist mir bekannt, deshalb fragte ich, wie man es ändern kann. Bei Benutzern mit Administratorrechten kann man es nämlich ändern, nur bei Benutzern mit eingeschränkten Rechten habe ich bisher nichts gefunden.

was meinst du damit, is ein bisserl unverständlich was du schreibst.

Wenn man in den erweiterten Sicherheitseinstellungen eines Ordners in die Registerkarte Besitzer klickt, dann kann man hier, wenn man als Administrator eingeloggt ist, Administratoren anklicken, dann wird der Besitzer des Ordners auf "Administratoren" geändert. Wenn man zusätzlich das Häkchen bei "Besitzer der Objekte und untergeordneten Container ersetzen" anklickt, überträgt sich diese Einstellung in alle Unterordner und Dateien.

Deinen Tipp mit den Gruppenrichtlinien schaue ich mir mal an.

Share this post


Link to post
Share on other sites
Wenn man in den erweiterten Sicherheitseinstellungen eines Ordners in die Registerkarte Besitzer klickt, dann kann man hier, wenn man als Administrator eingeloggt ist, Administratoren anklicken, dann wird der Besitzer des Ordners auf "Administratoren" geändert. Wenn man zusätzlich das Häkchen bei "Besitzer der Objekte und untergeordneten Container ersetzen" anklickt, überträgt sich diese Einstellung in alle Unterordner und Dateien.

 

Ok, stand heute in der früh noch auf der Leitung, mit den Besitzrechten rumzuspielen bringt aber in diesem Kontext garnix, außerdem ist es Best-practice, die Besitzrechte beim Basisordner u. Profilordner nicht zu ändern, sonst funktionieren z.B. Quotas nicht u. mit Servergespeicherten Profilen kanns auch Probleme geben:

 

http://support.microsoft.com/default.aspx?scid=kb;DE;327462

 

Wie gesagt um das ausführen auf "erlaubte" ausführbare Dateien zu beschränken, ist es am einfachsten sogenannte "Software Restriction Policies" einzuführen:

 

Using Software Restriction Policies to Protect Against Unauthorized Software

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx

 

LG Gadget

Share this post


Link to post
Share on other sites

Ich habe mir jetzt mal das mit den Gruppenrichtlinien grob angesehen, ich denke, damit müsste ich es hinkriegen.

Das Problem mit der Änderung des Besitzers sehe ich in diesem Fall nicht, obwohl ich deine Argumente, die dagegen sprechen, durchaus nachvollziehen kann. Aber hier geht es um eine Umgebung, in der Quotas und servergespeicherte Profile keine Rolle spielen. Aber es ist schon richtig, dass es für das angesprochene Ziel so nicht wirklich was bringt.

Share this post


Link to post
Share on other sites
Ok, stand heute in der früh noch auf der Leitung, mit den Besitzrechten rumzuspielen bringt aber in diesem Kontext garnix, außerdem ist es Best-practice, die Besitzrechte beim Basisordner u. Profilordner nicht zu ändern, sonst funktionieren z.B. Quotas nicht u. mit Servergespeicherten Profilen kanns auch Probleme geben:

 

http://support.microsoft.com/default.aspx?scid=kb;DE;327462

 

Wie gesagt um das ausführen auf "erlaubte" ausführbare Dateien zu beschränken, ist es am einfachsten sogenannte "Software Restriction Policies" einzuführen:

 

Using Software Restriction Policies to Protect Against Unauthorized Software

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx

 

LG Gadget

 

Ich staune immer wieder wo ihr Euch immer so schnell die passenden Links aus dem Ärmel schüttelt... :confused: Könnt Ihr mir den Trick mal verraten? Oder macht ihr das geschickt mit Bookmarks??

 

Danke & VG

Basti

Share this post


Link to post
Share on other sites

Stimmt, auf englisch geht das besser ...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...