lokale Zugriffsrechte für Usergruppen

[Pope 10]

Guten Tag zusammen!

Folgende Frage bzw. folgendes Problem bekomme ich nicht geregelt:
Ich arbeite mit einem Standard-User Account unter Win 7 Pro.
Ein selbst erstellter AdminAccount soll mir zu adminstrationszwecken dienen. Dieser ist natürlich Mitglied der Gruppe Administratoren.
Diese Gruppe hat Vollzugriff auf eine externe Festplatte D: mit vererbten Rechten für alle Unterordner und Dateien. Dennoch bekommt mein Admin die Meldung "Auf D:\ kann nicht zugegriffen werden! Zugriff verweigert".
Ich kann mir die Rechte anzeigen lassen. Unter den "Effektiven Berechtigungen" steht für meinen Admin Vollzugriff.
Herausgefunden habe ich, dass ich durch das explizite Hinzufügen meines Admins dann Zugriff bekomme.
Das ist mir unverständlich. M.E. müsste doch die Zugehörigkeit zur Gruppe der Administratoren reichen.
Ich habe dasselbe Phänomen mit einem Sicherungs-Account, der in der Gruppe der Sicherungsoperatoren ist und Vollzugriff auf eine Partition haben sollte, aber nur hat, wenn er explizit als einzelner User Zugriffsrechte eingeräumt bekommt.

Kann mir jemand helfen oder mich aufklären?
Dank und Gruß, Matthias

[daabm 1.346]

Kennst Du UAC und das "restricted Token"? :-)

[Pope 10]

Guten Abend Marting,

danke für die Rückfrage. UAC sagt mir natürlich was. restricted token - ich dachte das sind die Objekte, die in Folge der Zugriffsrechte eines Users nicht freigegeben werden.

Ich verstehe allerdings nicht wirklich den Zusammenhang.

Wenn eine User-Gruppe ein Zugriffsrecht hat, sollte doch jeder User dieser Gruppe dies Recht ausüben können. Gehe ich falsch in dieser Annahme?

Gruß zur Nacht, Matthias

[NilsK 2.930]

Moin,

 

genau das ist UAC ...

 

[benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net]
http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/

 

In deinem Fall kommt noch erschwerend hinzu, dass der Explorer mit UAC nicht richtig umgehen kann.

 

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
http://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Meine Empfehlung also für dein Szenario: Definiere eine eigene, separate Gruppe, die Vollzugriff auf den ganzen Dateibaum bekommt. Nimm dein Adminkonto in diese Gruppe auf. Dann geht es, denn selbsterzeugte Gruppen filtert UAC nicht aus dem Anmeldetoken heraus.

 

Gruß, Nils

[evgkop 0]

Hallo!

Die explorer.exe lässt sich übrigens auch als Administrator starten. Damit es aber sauber funktioniert

muss der HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2} RunAs-Schlüssel gelöscht werden.

Ich könnte ja eine Tool Empfehlung zu diesem Thema machen, darf bestimmt aber nicht. :)

 

 

gruß

 

evgkop

[NilsK 2.930]

Moin,

 

Die explorer.exe lässt sich übrigens auch als Administrator starten.

 

steht in dem von mir verlinkten Artikel als Hinweis drin. Ist aber kein sinnvoller Weg, weil mit erheblichen Umständen verbunden, die auch "dein Tool" nicht auflöst. Für den TO also ganz sicher ungeeignet, zumal bessere Methoden existieren.

 

 

Ich könnte ja eine Tool Empfehlung zu diesem Thema machen, darf bestimmt aber nicht.

 

Zumindest könntest du vielleicht mal einen Gang zurückschalten. Dein Selbstmarketing wirkt langsam etwas sehr aggressiv.

 

Gruß, Nils

[evgkop 0]

Stimmt steht wirklich beschrieben, sorry nicht gesehen und ok ich halte mich zurück!

 

Ich ziehe die Frage zurück! Erst lesen, dann denken!!!

bearbeitet 8. Juli 2016 von evgkop

[NilsK 2.930]

Moin,

 

nein, ganz anderes Thema. Ich meine konkret das, was ich dem TO in Beitrag 4 empfohlen habe, und allgemein das, was in meinem zweiten Link in Beitrag 4 empfohlen wird.

 

Gruß, Nils

[Pope 10]

N'Abend Nils,

 

ganz herzlichen Dank für die Hinweise und die Links - ich habe einiges gelernt!

Möglicherweise fehlt es mir an Auffassungsgabe...?!

Die Anzeige der Rechte in Folge der UAC-Einbindung im Explorer habe ich verstanden.

 

Nicht dies:

Der von mir beschriebenen Fall oben müsste dem von Dir geschilderten "Fall 2" in deinem ersten Link entsprechen. Da schreibst Du (in Sachen AAM):

„Ruft der Benutzer nun eine Funktion auf, die erhöhte Rechte benötigt, so schaltet UAC ebenfalls auf seinen geschützten Desktop um. Der angezeigte Dialog ist aber ein anderer: [...] er fordert nur zur Bestätigung der Aktion auf.“

Bei mir aber passiert das nicht. Ich bekomme keine UAC-Abfrage, sondern den Hinweis: "Auf D:\ kann nicht zugegriffen werden! Zugriff verweigert".

Dieser Zugriff müsste doch durch eine UAC mit dem AAM möglich sein. Oder?

 

Gruß, Matthias

[blub 115]

Vielleicht nochmal als Ergänzung:

Neben den Privileges und Gruppenmitgliedschaften sind auch noch die "Mandatory Integrity Controls" ggf. auch "Windows Integrity Levels" genannt mit von Bedeutung, um UAC zu verstehen

http://www.mcseboard.de/topic/207728-admintool-runas-taskbar/?p=1307522

 

Die 6 MIC-Levels findet man hier

http://www.minasi.com/apps/

 

"whoami /all" zeigt eigentlich alles relativ deutlich auf.

Mit Icacls kann mit Dateien und MIC testen, noch besser ist allerdings chml.exe von M. Minasi

 

blub

[Pope 10]

Besten Dank dem Moderator und allen anderen Bemühten!

Der Hinweis auf die "Mandatory Integrity Controls" und hier gerade auf die "Windows Integrity Levels" war die Erleuchtung. Das erklärt, warum ein User de facto keinen Zugriff bekommt, der ihm laut Gruppenrichtlinie zustände. Das hatte ich nicht kapiert. Danke auch für die Hinweise auf die Tools zur Veränderung, die für mich allerdings nicht erforderlich sind.

 

Sorry für verspätetes antworten - bin in Italien auf Urlaub....

Sommerliche Grüße, Matthias