Jump to content

Eingeschränkter Benutzer kann Rechte erweitern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich habe auf einem Windows XP Pro SP2- System folgendes Problem: Ich habe einen eingeschränkten Benutzer erstellt, nennen wir ihn Test. Bei diesem habe ich in dessen Benutzerkonto die Rechte Ordner durchsuchen/Datei ausführen, Berechtigungen ändern und Besitzrechte übernehmen aus den erweiterten NTFS- Sicherheitseinstellungen gestrichen. Zudem habe ich den Besitzer für das Benutzerprofil auf Administratoren gesetzt. Diese Einstellungen habe ich in alle untergeordneten Objekte übertragen. Das hat auch alles wunderbar geklappt. Nur dann habe ich mal den Test gemacht und eine ausführbare Datei aus dem Internet geladen und im Benutzerprofil gespeichert. Die habe ich dann gestartet, es erscheint wie gewünscht die Fehlermeldung "Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evtl. nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.". Dann habe ich aber mal als Benutzer Test die Sicherheitseinstellungen der Datei aufgerufen und festgestellt, dass ich die Sicherheitsoptionen ändern konnte sprich Vollzugriff erlauben konnte. Beim Schauen in die erweiterten Rechte stellte ich schließlich den Grund fest: Die Datei hatte als Besitzer den Benutzer "Test", so erklärte sich dann, warum ich die Sicherheitsrechte ändern konnte, ohne mich als Admin anzumelden. Nachdem ich diese Rechte dann änderte sprich Vollzugriff erlaubte, konnte ich die Datei problemlos ausführen. Das ist nun etwas, was ich dem Benutzer eigentlich verbieten wollte. Kann mir jemand sagen, wie ich es ihm verbieten kann?

Link zu diesem Kommentar

Hi paulx,

 

Zudem habe ich den Besitzer für das Benutzerprofil auf Administratoren gesetzt.

 

was meinst du damit, is ein bisserl unverständlich was du schreibst.

 

Um das ausführen von nicht freigegebenen executables zu verhindern, musst du eine Software restriction policy definieren (is ne Gruppenrichtlinienfunktion):

 

Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb;de;324036

 

LG Gadget

Link zu diesem Kommentar
Wenn er Dateien anlegen darf, wird er immer der Besitzer dieser Dateien sein, also muss ihm das Anlegen von Dateien verboten werden.

Nur ich kann dem Benutzer ja nicht den Schreibzugriff auf das eigene Benutzerprofil sperren.

Das Verhalten, welches Du beschreibst, ist völlig normal ...

Das ist mir bekannt, deshalb fragte ich, wie man es ändern kann. Bei Benutzern mit Administratorrechten kann man es nämlich ändern, nur bei Benutzern mit eingeschränkten Rechten habe ich bisher nichts gefunden.

was meinst du damit, is ein bisserl unverständlich was du schreibst.

Wenn man in den erweiterten Sicherheitseinstellungen eines Ordners in die Registerkarte Besitzer klickt, dann kann man hier, wenn man als Administrator eingeloggt ist, Administratoren anklicken, dann wird der Besitzer des Ordners auf "Administratoren" geändert. Wenn man zusätzlich das Häkchen bei "Besitzer der Objekte und untergeordneten Container ersetzen" anklickt, überträgt sich diese Einstellung in alle Unterordner und Dateien.

Deinen Tipp mit den Gruppenrichtlinien schaue ich mir mal an.

Link zu diesem Kommentar
Wenn man in den erweiterten Sicherheitseinstellungen eines Ordners in die Registerkarte Besitzer klickt, dann kann man hier, wenn man als Administrator eingeloggt ist, Administratoren anklicken, dann wird der Besitzer des Ordners auf "Administratoren" geändert. Wenn man zusätzlich das Häkchen bei "Besitzer der Objekte und untergeordneten Container ersetzen" anklickt, überträgt sich diese Einstellung in alle Unterordner und Dateien.

 

Ok, stand heute in der früh noch auf der Leitung, mit den Besitzrechten rumzuspielen bringt aber in diesem Kontext garnix, außerdem ist es Best-practice, die Besitzrechte beim Basisordner u. Profilordner nicht zu ändern, sonst funktionieren z.B. Quotas nicht u. mit Servergespeicherten Profilen kanns auch Probleme geben:

 

http://support.microsoft.com/default.aspx?scid=kb;DE;327462

 

Wie gesagt um das ausführen auf "erlaubte" ausführbare Dateien zu beschränken, ist es am einfachsten sogenannte "Software Restriction Policies" einzuführen:

 

Using Software Restriction Policies to Protect Against Unauthorized Software

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx

 

LG Gadget

Link zu diesem Kommentar

Ich habe mir jetzt mal das mit den Gruppenrichtlinien grob angesehen, ich denke, damit müsste ich es hinkriegen.

Das Problem mit der Änderung des Besitzers sehe ich in diesem Fall nicht, obwohl ich deine Argumente, die dagegen sprechen, durchaus nachvollziehen kann. Aber hier geht es um eine Umgebung, in der Quotas und servergespeicherte Profile keine Rolle spielen. Aber es ist schon richtig, dass es für das angesprochene Ziel so nicht wirklich was bringt.

Link zu diesem Kommentar
Ok, stand heute in der früh noch auf der Leitung, mit den Besitzrechten rumzuspielen bringt aber in diesem Kontext garnix, außerdem ist es Best-practice, die Besitzrechte beim Basisordner u. Profilordner nicht zu ändern, sonst funktionieren z.B. Quotas nicht u. mit Servergespeicherten Profilen kanns auch Probleme geben:

 

http://support.microsoft.com/default.aspx?scid=kb;DE;327462

 

Wie gesagt um das ausführen auf "erlaubte" ausführbare Dateien zu beschränken, ist es am einfachsten sogenannte "Software Restriction Policies" einzuführen:

 

Using Software Restriction Policies to Protect Against Unauthorized Software

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx

 

LG Gadget

 

Ich staune immer wieder wo ihr Euch immer so schnell die passenden Links aus dem Ärmel schüttelt... :confused: Könnt Ihr mir den Trick mal verraten? Oder macht ihr das geschickt mit Bookmarks??

 

Danke & VG

Basti

Link zu diesem Kommentar

Stimmt, auf englisch geht das besser ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...