Pope 10 Geschrieben 6. Juli 2016 Melden Teilen Geschrieben 6. Juli 2016 Guten Tag zusammen!Folgende Frage bzw. folgendes Problem bekomme ich nicht geregelt:Ich arbeite mit einem Standard-User Account unter Win 7 Pro.Ein selbst erstellter AdminAccount soll mir zu adminstrationszwecken dienen. Dieser ist natürlich Mitglied der Gruppe Administratoren.Diese Gruppe hat Vollzugriff auf eine externe Festplatte D: mit vererbten Rechten für alle Unterordner und Dateien. Dennoch bekommt mein Admin die Meldung "Auf D:\ kann nicht zugegriffen werden! Zugriff verweigert".Ich kann mir die Rechte anzeigen lassen. Unter den "Effektiven Berechtigungen" steht für meinen Admin Vollzugriff.Herausgefunden habe ich, dass ich durch das explizite Hinzufügen meines Admins dann Zugriff bekomme.Das ist mir unverständlich. M.E. müsste doch die Zugehörigkeit zur Gruppe der Administratoren reichen.Ich habe dasselbe Phänomen mit einem Sicherungs-Account, der in der Gruppe der Sicherungsoperatoren ist und Vollzugriff auf eine Partition haben sollte, aber nur hat, wenn er explizit als einzelner User Zugriffsrechte eingeräumt bekommt.Kann mir jemand helfen oder mich aufklären?Dank und Gruß, Matthias Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 7. Juli 2016 Melden Teilen Geschrieben 7. Juli 2016 Kennst Du UAC und das "restricted Token"? :-) Zitieren Link zu diesem Kommentar
Pope 10 Geschrieben 7. Juli 2016 Autor Melden Teilen Geschrieben 7. Juli 2016 Guten Abend Marting, danke für die Rückfrage. UAC sagt mir natürlich was. restricted token - ich dachte das sind die Objekte, die in Folge der Zugriffsrechte eines Users nicht freigegeben werden. Ich verstehe allerdings nicht wirklich den Zusammenhang. Wenn eine User-Gruppe ein Zugriffsrecht hat, sollte doch jeder User dieser Gruppe dies Recht ausüben können. Gehe ich falsch in dieser Annahme? Gruß zur Nacht, Matthias Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Moin, genau das ist UAC ... [benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net]http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/ In deinem Fall kommt noch erschwerend hinzu, dass der Explorer mit UAC nicht richtig umgehen kann. [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]http://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Meine Empfehlung also für dein Szenario: Definiere eine eigene, separate Gruppe, die Vollzugriff auf den ganzen Dateibaum bekommt. Nimm dein Adminkonto in diese Gruppe auf. Dann geht es, denn selbsterzeugte Gruppen filtert UAC nicht aus dem Anmeldetoken heraus. Gruß, Nils Zitieren Link zu diesem Kommentar
evgkop 0 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Hallo! Die explorer.exe lässt sich übrigens auch als Administrator starten. Damit es aber sauber funktioniert muss der HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2} RunAs-Schlüssel gelöscht werden. Ich könnte ja eine Tool Empfehlung zu diesem Thema machen, darf bestimmt aber nicht. :) gruß evgkop Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Moin, Die explorer.exe lässt sich übrigens auch als Administrator starten. steht in dem von mir verlinkten Artikel als Hinweis drin. Ist aber kein sinnvoller Weg, weil mit erheblichen Umständen verbunden, die auch "dein Tool" nicht auflöst. Für den TO also ganz sicher ungeeignet, zumal bessere Methoden existieren. Ich könnte ja eine Tool Empfehlung zu diesem Thema machen, darf bestimmt aber nicht. Zumindest könntest du vielleicht mal einen Gang zurückschalten. Dein Selbstmarketing wirkt langsam etwas sehr aggressiv. Gruß, Nils Zitieren Link zu diesem Kommentar
evgkop 0 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 (bearbeitet) Stimmt steht wirklich beschrieben, sorry nicht gesehen und ok ich halte mich zurück! Ich ziehe die Frage zurück! Erst lesen, dann denken!!! bearbeitet 8. Juli 2016 von evgkop Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Moin, nein, ganz anderes Thema. Ich meine konkret das, was ich dem TO in Beitrag 4 empfohlen habe, und allgemein das, was in meinem zweiten Link in Beitrag 4 empfohlen wird. Gruß, Nils Zitieren Link zu diesem Kommentar
Pope 10 Geschrieben 8. Juli 2016 Autor Melden Teilen Geschrieben 8. Juli 2016 N'Abend Nils, ganz herzlichen Dank für die Hinweise und die Links - ich habe einiges gelernt! Möglicherweise fehlt es mir an Auffassungsgabe...?! Die Anzeige der Rechte in Folge der UAC-Einbindung im Explorer habe ich verstanden. Nicht dies: Der von mir beschriebenen Fall oben müsste dem von Dir geschilderten "Fall 2" in deinem ersten Link entsprechen. Da schreibst Du (in Sachen AAM): „Ruft der Benutzer nun eine Funktion auf, die erhöhte Rechte benötigt, so schaltet UAC ebenfalls auf seinen geschützten Desktop um. Der angezeigte Dialog ist aber ein anderer: [...] er fordert nur zur Bestätigung der Aktion auf.“ Bei mir aber passiert das nicht. Ich bekomme keine UAC-Abfrage, sondern den Hinweis: "Auf D:\ kann nicht zugegriffen werden! Zugriff verweigert". Dieser Zugriff müsste doch durch eine UAC mit dem AAM möglich sein. Oder? Gruß, Matthias Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Vielleicht nochmal als Ergänzung: Neben den Privileges und Gruppenmitgliedschaften sind auch noch die "Mandatory Integrity Controls" ggf. auch "Windows Integrity Levels" genannt mit von Bedeutung, um UAC zu verstehen http://www.mcseboard.de/topic/207728-admintool-runas-taskbar/?p=1307522 Die 6 MIC-Levels findet man hier http://www.minasi.com/apps/ "whoami /all" zeigt eigentlich alles relativ deutlich auf. Mit Icacls kann mit Dateien und MIC testen, noch besser ist allerdings chml.exe von M. Minasi blub Zitieren Link zu diesem Kommentar
Beste Lösung Pope 10 Geschrieben 14. Juli 2016 Autor Beste Lösung Melden Teilen Geschrieben 14. Juli 2016 Besten Dank dem Moderator und allen anderen Bemühten! Der Hinweis auf die "Mandatory Integrity Controls" und hier gerade auf die "Windows Integrity Levels" war die Erleuchtung. Das erklärt, warum ein User de facto keinen Zugriff bekommt, der ihm laut Gruppenrichtlinie zustände. Das hatte ich nicht kapiert. Danke auch für die Hinweise auf die Tools zur Veränderung, die für mich allerdings nicht erforderlich sind. Sorry für verspätetes antworten - bin in Italien auf Urlaub.... Sommerliche Grüße, Matthias Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.