9
Win7 - Datei direkt auf C kein Zugriff
Ich habe auf einem Win7-PC (32bit) folgendes Problem: es wird ein älteres Programm auf einer Netzwerkfreigabe gestartet, dass eine (völlig harmlose, aber notwendige) Ini-Datei direkt auf C ablegt - dieser Ablageort ist vom Programm leider starr vorgegeben und kann nicht verändert werden. Als Administrator habe ich problemlos Zugriff, jedoch kann kein "normaler" User auf diese Datei zugreifen - Meldung: "Auf C:\WK.INI kann nicht zugegriffen werden.
Über Eigenschaften/Sicherheit habe ich bereits Jeder mit Vollzugriff zugefügt, das hat aber auch nicht geholfen. Ebenso habe ich einen Benutzer angelegt mit vollen Domain-Admin-Rechten - aber selbst der darf nicht zugreifen!!! Keine Ahnung, wer sich so einen Quatsch bei MS ausdenkt, aber wie kann ich's ändern???
Hartmut
Über Eigenschaften/Sicherheit habe ich bereits Jeder mit Vollzugriff zugefügt, das hat aber auch nicht geholfen. Ebenso habe ich einen Benutzer angelegt mit vollen Domain-Admin-Rechten - aber selbst der darf nicht zugreifen!!! Keine Ahnung, wer sich so einen Quatsch bei MS ausdenkt, aber wie kann ich's ändern???
Hartmut
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148188
Url: https://administrator.de/contentid/148188
Printed on: May 6, 2024 at 12:05 o'clock
9 Comments
Latest comment
Hi,
sollte an der UAC liegen. Genrell soll dadurch Schade abgewendet werden. Man kann UAC auch gezielt anpassen. Denn immer alles abzuschalten ist mitunter kontraproduktiv.
mfg Crusher
sollte an der UAC liegen. Genrell soll dadurch Schade abgewendet werden. Man kann UAC auch gezielt anpassen. Denn immer alles abzuschalten ist mitunter kontraproduktiv.
mfg Crusher
Hallo Crusher,
nee, das war's leider nicht (hab' mal zum Test die UAC komplett abgeschaltet...). Soweit ich das im Internet bisher recherchieren konnte, gibt es zusätzlich sowas wie den "Integrity Level" (=IL) des Benutzers, der wohl zusätlich für Sicherheit sorgen soll. Ich vermute mal, dass da irgendeine Änderung stattfinden muss, aber welche und wie???
Nochmal: der Benutzer "Administrator" (=Domain-Admin) darf zugreifen, ein anderer Benutzer "Admin" (ebenfalls Domain-Admin) nicht...????!!! Normaler Benutzer: nix...
Hartmut
nee, das war's leider nicht (hab' mal zum Test die UAC komplett abgeschaltet...). Soweit ich das im Internet bisher recherchieren konnte, gibt es zusätzlich sowas wie den "Integrity Level" (=IL) des Benutzers, der wohl zusätlich für Sicherheit sorgen soll. Ich vermute mal, dass da irgendeine Änderung stattfinden muss, aber welche und wie???
Nochmal: der Benutzer "Administrator" (=Domain-Admin) darf zugreifen, ein anderer Benutzer "Admin" (ebenfalls Domain-Admin) nicht...????!!! Normaler Benutzer: nix...
Hartmut
Zitat von @harfes:
Nochmal: der Benutzer "Administrator" (=Domain-Admin) darf zugreifen, ein anderer Benutzer "Admin" (ebenfalls
Domain-Admin) nicht...????!!! Normaler Benutzer: nix...
Hallo Hartmut,Nochmal: der Benutzer "Administrator" (=Domain-Admin) darf zugreifen, ein anderer Benutzer "Admin" (ebenfalls
Domain-Admin) nicht...????!!! Normaler Benutzer: nix...
hast du in den Sicherheitseinstellungen der wk.ini mal den richtigen Benutzer ausgewählt und auf Vollzugriff gestellt (domain\benutzername)?
Was sagt der Programmhersteller dazu?
Hallo,
ich denke dieser Link und ff. sollten dich zum Ziel führen.
Ich denke mal, wenn du das IL für das Verzeichnis runtersetzt auf höchstens die Stufe, mit der darauf zugegriffen wird, sollte das funktionieren.
Schöner wäre natürlich eine aktuelle version der Software, oder du probierst ma den "XP-Mode" aus.
Grüße
ich denke dieser Link und ff. sollten dich zum Ziel führen.
Ich denke mal, wenn du das IL für das Verzeichnis runtersetzt auf höchstens die Stufe, mit der darauf zugegriffen wird, sollte das funktionieren.
Schöner wäre natürlich eine aktuelle version der Software, oder du probierst ma den "XP-Mode" aus.
Grüße
Hallo,
also die "normalen" Rechte sind definitiv nicht die Ursache! Es lag am IL - und den kann man mit den Bordmitteln (ICACLS.exe) auch nur für diese eine Datei einstellen (danke für den Link von Connor1980 - den hatte ich gerade vor einigen Minuten auch gefunden...und daraufhin das ICACLS entsprechend angewendet: "icacls wk.ini /setintegritylevel L"). Jetzt geht's...
Gruss,
Hartmut
also die "normalen" Rechte sind definitiv nicht die Ursache! Es lag am IL - und den kann man mit den Bordmitteln (ICACLS.exe) auch nur für diese eine Datei einstellen (danke für den Link von Connor1980 - den hatte ich gerade vor einigen Minuten auch gefunden...und daraufhin das ICACLS entsprechend angewendet: "icacls wk.ini /setintegritylevel L"). Jetzt geht's...
Gruss,
Hartmut
Dann kannst du ja das Ganze auf erledigt setzen. ;)
Sorry, die IL schwebten mir vorhin auch vor. Nur ich kam bei besten Willen net mehr auf den Namen.
ILs sind allen anderen Rechten übergeordnet. darum ist der Weg mit icacls schon mit der richtige Ansatz!
mfg Crusher
Sorry, die IL schwebten mir vorhin auch vor. Nur ich kam bei besten Willen net mehr auf den Namen.
ILs sind allen anderen Rechten übergeordnet. darum ist der Weg mit icacls schon mit der richtige Ansatz!
mfg Crusher
...bleibt noch das Problem, dass das Ding zunächst mal von einem Admin erstellt werden muss.
Und noch was: ILs werden bei ausgeschalteter UAC nicht berücksichtigt - dass es bei Dir ohne UAC nicht ging (während die NTFS-Rechte stimmten), kann nicht wirklich sein, evtl. nicht neu gestartet?
Und noch was: ILs werden bei ausgeschalteter UAC nicht berücksichtigt - dass es bei Dir ohne UAC nicht ging (während die NTFS-Rechte stimmten), kann nicht wirklich sein, evtl. nicht neu gestartet?
Zitat: "ILs werden bei ausgeschalteter UAC nicht berücksichtigt ..." - das kannst Du gerne mal ausprobieren, die werden definitiv beachtet! Und beim Ausschalten der UAC wird der Benutzer aufgefordert (und darauf hingewiesen) den PC neu zu starten...was ich natürlich getan habe.
Ein weiteres Kuriosum von Win 7 ist, das der Benutzer mit dem Namen "Administrator" (=Domänen-Admin) vollen Zugriff auf die Dateien mit dem IL High hat, aber ein anderer Benutzer "Admin" (mit ebenfalls Domänen-Admin-Rechten keinen Zugriff hat...das gehört wohl zu Pseudo-Sicherheitsstrategie von Microsoft...einen Sinn sehe ich darin aber nicht.
Hartmut
Ein weiteres Kuriosum von Win 7 ist, das der Benutzer mit dem Namen "Administrator" (=Domänen-Admin) vollen Zugriff auf die Dateien mit dem IL High hat, aber ein anderer Benutzer "Admin" (mit ebenfalls Domänen-Admin-Rechten keinen Zugriff hat...das gehört wohl zu Pseudo-Sicherheitsstrategie von Microsoft...einen Sinn sehe ich darin aber nicht.
Hartmut
Moment.
Wenn Du zur Admingruppe gehörst und Dir mittels process explorer bitte den IL von Anwendungen ansiehst, die Du startest, wirst Du sehen, dass sie den IL medium tragen (bis auf IE mit protected mode, der trägt low). Ohne UAC werden die Prozesse den IL high haben, deshalb hast Du schon recht, ILs werden berücksichtigt, was aber bei Admins nicht mehr auffällt und somit quasi das selbe ist, wie unter xp.
Der Nutzer Administrator (lokal) wird auch bei angeschalteter UAC nicht von der UAC regiert - er bildet die einzighe Ausnahem. Ein Benutzer Administrator, der Domänenadmin ist, kann keine Ausnahme bilden (und hat es in meinen Versuchen auch nicht getan).
Wenn Du zur Admingruppe gehörst und Dir mittels process explorer bitte den IL von Anwendungen ansiehst, die Du startest, wirst Du sehen, dass sie den IL medium tragen (bis auf IE mit protected mode, der trägt low). Ohne UAC werden die Prozesse den IL high haben, deshalb hast Du schon recht, ILs werden berücksichtigt, was aber bei Admins nicht mehr auffällt und somit quasi das selbe ist, wie unter xp.
Der Nutzer Administrator (lokal) wird auch bei angeschalteter UAC nicht von der UAC regiert - er bildet die einzighe Ausnahem. Ein Benutzer Administrator, der Domänenadmin ist, kann keine Ausnahme bilden (und hat es in meinen Versuchen auch nicht getan).
