paulx 10 Geschrieben 3. Februar 2006 Melden Geschrieben 3. Februar 2006 Ich habe auf einem Windows XP Pro SP2- System folgendes Problem: Ich habe einen eingeschränkten Benutzer erstellt, nennen wir ihn Test. Bei diesem habe ich in dessen Benutzerkonto die Rechte Ordner durchsuchen/Datei ausführen, Berechtigungen ändern und Besitzrechte übernehmen aus den erweiterten NTFS- Sicherheitseinstellungen gestrichen. Zudem habe ich den Besitzer für das Benutzerprofil auf Administratoren gesetzt. Diese Einstellungen habe ich in alle untergeordneten Objekte übertragen. Das hat auch alles wunderbar geklappt. Nur dann habe ich mal den Test gemacht und eine ausführbare Datei aus dem Internet geladen und im Benutzerprofil gespeichert. Die habe ich dann gestartet, es erscheint wie gewünscht die Fehlermeldung "Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evtl. nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.". Dann habe ich aber mal als Benutzer Test die Sicherheitseinstellungen der Datei aufgerufen und festgestellt, dass ich die Sicherheitsoptionen ändern konnte sprich Vollzugriff erlauben konnte. Beim Schauen in die erweiterten Rechte stellte ich schließlich den Grund fest: Die Datei hatte als Besitzer den Benutzer "Test", so erklärte sich dann, warum ich die Sicherheitsrechte ändern konnte, ohne mich als Admin anzumelden. Nachdem ich diese Rechte dann änderte sprich Vollzugriff erlaubte, konnte ich die Datei problemlos ausführen. Das ist nun etwas, was ich dem Benutzer eigentlich verbieten wollte. Kann mir jemand sagen, wie ich es ihm verbieten kann? Zitieren
IThome 10 Geschrieben 3. Februar 2006 Melden Geschrieben 3. Februar 2006 Wenn er Dateien anlegen darf, wird er immer der Besitzer dieser Dateien sein, also muss ihm das Anlegen von Dateien verboten werden. Das Verhalten, welches Du beschreibst, ist völlig normal ... Zitieren
Gadget 37 Geschrieben 3. Februar 2006 Melden Geschrieben 3. Februar 2006 Hi paulx, Zudem habe ich den Besitzer für das Benutzerprofil auf Administratoren gesetzt. was meinst du damit, is ein bisserl unverständlich was du schreibst. Um das ausführen von nicht freigegebenen executables zu verhindern, musst du eine Software restriction policy definieren (is ne Gruppenrichtlinienfunktion): Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003 http://support.microsoft.com/default.aspx?scid=kb;de;324036 LG Gadget Zitieren
paulx 10 Geschrieben 3. Februar 2006 Autor Melden Geschrieben 3. Februar 2006 Wenn er Dateien anlegen darf, wird er immer der Besitzer dieser Dateien sein, also muss ihm das Anlegen von Dateien verboten werden. Nur ich kann dem Benutzer ja nicht den Schreibzugriff auf das eigene Benutzerprofil sperren. Das Verhalten, welches Du beschreibst, ist völlig normal ... Das ist mir bekannt, deshalb fragte ich, wie man es ändern kann. Bei Benutzern mit Administratorrechten kann man es nämlich ändern, nur bei Benutzern mit eingeschränkten Rechten habe ich bisher nichts gefunden. was meinst du damit, is ein bisserl unverständlich was du schreibst. Wenn man in den erweiterten Sicherheitseinstellungen eines Ordners in die Registerkarte Besitzer klickt, dann kann man hier, wenn man als Administrator eingeloggt ist, Administratoren anklicken, dann wird der Besitzer des Ordners auf "Administratoren" geändert. Wenn man zusätzlich das Häkchen bei "Besitzer der Objekte und untergeordneten Container ersetzen" anklickt, überträgt sich diese Einstellung in alle Unterordner und Dateien. Deinen Tipp mit den Gruppenrichtlinien schaue ich mir mal an. Zitieren
Gadget 37 Geschrieben 3. Februar 2006 Melden Geschrieben 3. Februar 2006 Wenn man in den erweiterten Sicherheitseinstellungen eines Ordners in die Registerkarte Besitzer klickt, dann kann man hier, wenn man als Administrator eingeloggt ist, Administratoren anklicken, dann wird der Besitzer des Ordners auf "Administratoren" geändert. Wenn man zusätzlich das Häkchen bei "Besitzer der Objekte und untergeordneten Container ersetzen" anklickt, überträgt sich diese Einstellung in alle Unterordner und Dateien. Ok, stand heute in der früh noch auf der Leitung, mit den Besitzrechten rumzuspielen bringt aber in diesem Kontext garnix, außerdem ist es Best-practice, die Besitzrechte beim Basisordner u. Profilordner nicht zu ändern, sonst funktionieren z.B. Quotas nicht u. mit Servergespeicherten Profilen kanns auch Probleme geben: http://support.microsoft.com/default.aspx?scid=kb;DE;327462 Wie gesagt um das ausführen auf "erlaubte" ausführbare Dateien zu beschränken, ist es am einfachsten sogenannte "Software Restriction Policies" einzuführen: Using Software Restriction Policies to Protect Against Unauthorized Software http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx LG Gadget Zitieren
paulx 10 Geschrieben 3. Februar 2006 Autor Melden Geschrieben 3. Februar 2006 Ich habe mir jetzt mal das mit den Gruppenrichtlinien grob angesehen, ich denke, damit müsste ich es hinkriegen. Das Problem mit der Änderung des Besitzers sehe ich in diesem Fall nicht, obwohl ich deine Argumente, die dagegen sprechen, durchaus nachvollziehen kann. Aber hier geht es um eine Umgebung, in der Quotas und servergespeicherte Profile keine Rolle spielen. Aber es ist schon richtig, dass es für das angesprochene Ziel so nicht wirklich was bringt. Zitieren
paulx 10 Geschrieben 3. Februar 2006 Autor Melden Geschrieben 3. Februar 2006 So, ich habe die Richtlinie jetzt umgesetzt, läuft wie gewünscht, danke für den guten Tipp! Zitieren
traced82 10 Geschrieben 3. Februar 2006 Melden Geschrieben 3. Februar 2006 Ok, stand heute in der früh noch auf der Leitung, mit den Besitzrechten rumzuspielen bringt aber in diesem Kontext garnix, außerdem ist es Best-practice, die Besitzrechte beim Basisordner u. Profilordner nicht zu ändern, sonst funktionieren z.B. Quotas nicht u. mit Servergespeicherten Profilen kanns auch Probleme geben: http://support.microsoft.com/default.aspx?scid=kb;DE;327462 Wie gesagt um das ausführen auf "erlaubte" ausführbare Dateien zu beschränken, ist es am einfachsten sogenannte "Software Restriction Policies" einzuführen: Using Software Restriction Policies to Protect Against Unauthorized Software http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx LG Gadget Ich staune immer wieder wo ihr Euch immer so schnell die passenden Links aus dem Ärmel schüttelt... Könnt Ihr mir den Trick mal verraten? Oder macht ihr das geschickt mit Bookmarks?? Danke & VG Basti Zitieren
Gadget 37 Geschrieben 3. Februar 2006 Melden Geschrieben 3. Februar 2006 @Traced: Off-Topic:Tja man muss natürlich Wissen, wie aber hauptsächlich auch nach was man suchen muss... z.B.: http://www.google.com/search?as_q=software+restriction+policies&num=10&hl=de&btnG=Google-Suche&as_epq=&as_oq=&as_eq=&lr=lang_en&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=&as_rights=&safe=images Zitieren
IThome 10 Geschrieben 3. Februar 2006 Melden Geschrieben 3. Februar 2006 @Traced: Off-Topic:Tja man muss natürlich Wissen, wie aber hauptsächlich auch nach was man suchen muss... z.B.: http://www.google.com/search?as_q=software+restriction+policies&num=10&hl=de&btnG=Google-Suche&as_epq=&as_oq=&as_eq=&lr=lang_en&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=&as_rights=&safe=images Stimmt, auf englisch geht das besser ... Zitieren
traced82 10 Geschrieben 4. Februar 2006 Melden Geschrieben 4. Februar 2006 Google war schon immer mein Freund, aber dann genau die richtigen Wörter für die Suche immer parat zu haben ist denk ich reine Übungssache *gg* vg Basti Zitieren
IThome 10 Geschrieben 4. Februar 2006 Melden Geschrieben 4. Februar 2006 Da hast Du vollkommen recht, manchmal aber stolpert man mehr in die richtige Richtung ... :D Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.