14
Hat jeder Benutzer Leserechte in C:Programs?
Hallo,
Betriebssystem: Windows Server 2016 Standard Standalone / Workgroup.
Ein neuer Benutzer wurde eingerichtet, die Mitgliedschaft in der Gruppe "Benutzer" entfernt. Stattdessen Mitgliedschaft in einer eigene Gruppe SCV_USERS eingerichtet. Der Gruppe SCV_USERS wurden keine Rechte im Dateisystem gegeben oder entzogen.
In einem Dienst wurde der neue Benutzer wurde als Anmeldekonto hinterlegt.
Der Dienst funktioniert auch. Die Ansicht der effektiven Rechte des Benutzers z.B. für C:\Programme zeigt auch, dass er Leserechte und Rechte zur Ausführung hat.
Selbst auf C:\ hat der Benutzer Leserechte. Und in einem neu erstellten Verzeichnis C:\Tmp sogar Schreibrechte.
Woher stammen diese Rechte?
Danke auch für weiterführende Links.
Klaus
Betriebssystem: Windows Server 2016 Standard Standalone / Workgroup.
Ein neuer Benutzer wurde eingerichtet, die Mitgliedschaft in der Gruppe "Benutzer" entfernt. Stattdessen Mitgliedschaft in einer eigene Gruppe SCV_USERS eingerichtet. Der Gruppe SCV_USERS wurden keine Rechte im Dateisystem gegeben oder entzogen.
In einem Dienst wurde der neue Benutzer wurde als Anmeldekonto hinterlegt.
Der Dienst funktioniert auch. Die Ansicht der effektiven Rechte des Benutzers z.B. für C:\Programme zeigt auch, dass er Leserechte und Rechte zur Ausführung hat.
Selbst auf C:\ hat der Benutzer Leserechte. Und in einem neu erstellten Verzeichnis C:\Tmp sogar Schreibrechte.
Woher stammen diese Rechte?
Danke auch für weiterführende Links.
Klaus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 348695
Url: https://administrator.de/contentid/348695
Printed on: April 19, 2024 at 10:04 o'clock
14 Comments
Latest comment
Hallo,
zunächst mal: Weißt Du was Du tust? - Anscheinend nicht, denn warum entfernst Du ein Benutzerkonto aus einer Standard Windowsgruppe, ohne Hintergrundwissen zu haben?
Zweitens, wenn der Benutzer keine Berechtigungen in C:\Programme bzw. C:\Program Files (x86) auf einem 64-bit Windows hat, kann er keine Programme starten.
Die Berechtigungen für die Gruppe Benutzer (User) sind
Drittens: Was willst Du damit erreichen?
Viertens: bevor man an Berechtigungen herumspioelt, informiert man sich vorher und überlegt sich den Sinn und Zwekc bzw. die Konsequenzen seines tuns.
Zum Abschluss: Mir scheint Du hast keine AHnung, aber an Berechtigungen, OHNE Verständnis zu haben.
Lasse die Finger davon und gehe zu jemanden der sich auskennt, gegebenenfalls auch zu einem Systemhaus
Gruss Penny
zunächst mal: Weißt Du was Du tust? - Anscheinend nicht, denn warum entfernst Du ein Benutzerkonto aus einer Standard Windowsgruppe, ohne Hintergrundwissen zu haben?
Zweitens, wenn der Benutzer keine Berechtigungen in C:\Programme bzw. C:\Program Files (x86) auf einem 64-bit Windows hat, kann er keine Programme starten.
Die Berechtigungen für die Gruppe Benutzer (User) sind
- Lesen und Auführen
- Ordnerinhalt anzeigen
- Lesen
Drittens: Was willst Du damit erreichen?
Viertens: bevor man an Berechtigungen herumspioelt, informiert man sich vorher und überlegt sich den Sinn und Zwekc bzw. die Konsequenzen seines tuns.
Zum Abschluss: Mir scheint Du hast keine AHnung, aber an Berechtigungen, OHNE Verständnis zu haben.
Lasse die Finger davon und gehe zu jemanden der sich auskennt, gegebenenfalls auch zu einem Systemhaus
Gruss Penny
Ach, ich liebe solche Antworten, die nicht auf die Frage eingehen, dafür aber sagen "lass die Finger davon".
Es handelt sich um ein Testsystem, an dem eben verschiedenen Dinge ausprobiert werden. Es gibt da keine Konsequenzen. Wenn es Probleme gibt, wird das System aus der Sicherung geholt und neu gestartet.
Ich habe ja geschrieben, dass die effektiven Berechtigungen z.B. auf C:\Programme angezeigt werden, dass ich aber nicht erkennen kann, woher sie stammen.
Daher möchte ich schlicht und einfach wissen, woher die effektiven Berechtigungen stammen, wenn sie nicht explizit vergeben sind und wenn auch nicht erkennbar ist, wie sie vererbt wurden.
Gruß Klaus
Es handelt sich um ein Testsystem, an dem eben verschiedenen Dinge ausprobiert werden. Es gibt da keine Konsequenzen. Wenn es Probleme gibt, wird das System aus der Sicherung geholt und neu gestartet.
Ich habe ja geschrieben, dass die effektiven Berechtigungen z.B. auf C:\Programme angezeigt werden, dass ich aber nicht erkennen kann, woher sie stammen.
Daher möchte ich schlicht und einfach wissen, woher die effektiven Berechtigungen stammen, wenn sie nicht explizit vergeben sind und wenn auch nicht erkennbar ist, wie sie vererbt wurden.
Gruß Klaus
Schonmal was von Standardgruppen und Standardberechtigungen gehört? - Anscheinend nicht, sonst würdest Du nicht so eine Frage stellen.
Und zu zwei Minuten Ggooglesuche Lokale Benutzer und Gruppen (Übersicht) ist man auch nicht in der Lage.
Gruss Penny
Und zu zwei Minuten Ggooglesuche Lokale Benutzer und Gruppen (Übersicht) ist man auch nicht in der Lage.
Gruss Penny
Die Seiten kenne ich, die Standardberechtigungen auch.
Die Seiten erklären aber nicht, woher diese Standardberechtigungen im Detail stammen.
Also mal konkret:
1. Der angelegte Benutzer hat auf C:\ kein Recht, Dateien zu schreiben (laut Windows Explorer).
2. Auf C:\hat die Gruppe "Benutzer" für Unterordner das Recht, Dateien zu schreiben - das sind Standardberechtigungen.
3. Als Admin lege ich einen Ordner C:\Tmp an. Darin hat der Benutzer auf einmal das Recht, zu schreiben.
Das wäre ja verständlich, wenn der Benutzer auch in der Gruppe "Benutzer" wäre. Ist er aber nicht. Der Server wurde sicherheitshalber auch einmal komplett neu gestartet und der Test wiederholt.
Kennt vielleicht jemand ein Tool, dass die Ermittlung der effektiven Zugriffsrechte im Detail ausgibt?
Gruß Klaus
Die Seiten erklären aber nicht, woher diese Standardberechtigungen im Detail stammen.
Also mal konkret:
1. Der angelegte Benutzer hat auf C:\ kein Recht, Dateien zu schreiben (laut Windows Explorer).
2. Auf C:\hat die Gruppe "Benutzer" für Unterordner das Recht, Dateien zu schreiben - das sind Standardberechtigungen.
3. Als Admin lege ich einen Ordner C:\Tmp an. Darin hat der Benutzer auf einmal das Recht, zu schreiben.
Das wäre ja verständlich, wenn der Benutzer auch in der Gruppe "Benutzer" wäre. Ist er aber nicht. Der Server wurde sicherheitshalber auch einmal komplett neu gestartet und der Test wiederholt.
Kennt vielleicht jemand ein Tool, dass die Ermittlung der effektiven Zugriffsrechte im Detail ausgibt?
Gruß Klaus
1
Hi.
Die Rechte stammen von der Gruppe "authentifizierte Benutzer".
Wenn Du einen neuen Ordner anlegst c:\test und dann icacls c:\test aufrufst, siehst Du das.
Die Rechte stammen von der Gruppe "authentifizierte Benutzer".
Wenn Du einen neuen Ordner anlegst c:\test und dann icacls c:\test aufrufst, siehst Du das.
C:\>md test
C:\>icacls c:\test
c:\test NT-AUTORITÄT\SYSTEM:(I)(OI)(CI)(F)
VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
VORDEFINIERT\Benutzer:(I)(OI)(CI)(RX)
VORDEFINIERT\Benutzer:(I)(CI)(AD)
VORDEFINIERT\Benutzer:(I)(CI)(WD)
ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F)
C:\>PsGetsid.exe "Benutzer"
SID for VORDEFINIERT\Benutzer:
S-1-5-32-545
C:\>PsGetsid.exe "Authentifizierte Benutzer"
SID for NT-AUTORIT─T\Authentifizierte Benutzer:
S-1-5-11Sieht nicht so aus, als ob "Authentifizierte Benutzer" ein Zugriffsrecht zugewiesen haben.
C:\>accesschk.exe -d C:\test
C:\test
RW NT-AUTORIT─T\SYSTEM
RW VORDEFINIERT\Administratoren
RW VORDEFINIERT\Benutzer
C:>accesschk.exe -u myuser -d C:\test
RW C:\test
Hi,
ich finde diese Frage gar nicht so unberechtigt!
C:\ ist klar - wie DWW schon schreibt, kommt das von den "Authentifizierten Benutzern"
Jedoch haben diese in C:\Programme keine Rechte.
Ich habe das eben mal nachgestellt und bekomme auch diese effektiven Rechte angezeigt. Habe mich dann sogar mit diesem Benutzer angemeldet und kann im "Programme" lesen.
Der Hammer:
Obwohl ich diesen Benutzer aus der lokalen Gruppe "Benutzer" entfernt habe wird mir unter Anmeldung dieses Benutzers bei
angezeigt:
Jedenfalls nicht uninteressant zu wissen und Dank an @kpieper für den Hinweis.
E.
ich finde diese Frage gar nicht so unberechtigt!
C:\ ist klar - wie DWW schon schreibt, kommt das von den "Authentifizierten Benutzern"
Jedoch haben diese in C:\Programme keine Rechte.
Ich habe das eben mal nachgestellt und bekomme auch diese effektiven Rechte angezeigt. Habe mich dann sogar mit diesem Benutzer angemeldet und kann im "Programme" lesen.
Der Hammer:
Obwohl ich diesen Benutzer aus der lokalen Gruppe "Benutzer" entfernt habe wird mir unter Anmeldung dieses Benutzers bei
whoami /groups...
VORDEFINIERT\Benutzer Alias ....
...
Was das "Alias" da jetzt zu bedeuten hat, weiß ich nicht. Muss ich auch mal schauen.VORDEFINIERT\Benutzer Alias ....
...
Jedenfalls nicht uninteressant zu wissen und Dank an @kpieper für den Hinweis.
E.
Du hast Recht - unter 2016 sind die Rechte auf c: also anders, als unter Win10 (warum? - wäre interessant zu wissen).
Zurück zu deiner Frage: nachdem Du ihn aus "Benutzer" entfernt hast, hast Du ihn auch nicht vergessen abzumelden und wieder neu anzumelden? Das wäre nötig.
Und ist der Ordner erst einmal von ihm erstellt worden, ist er ja Ersteller/Besitzer und hat somit, wie icacls ansagt, alle Rechte auf dem Ordner. Somit wäre also auch die Reihenfolge der Aktionen wichtig.
Wenn Du nun den Nutzer abgemeldet hast und wieder anmeldest, nachdem er aus Users raus ist UND zuvor die Erstellrechte für Ordner auf c: entzogen hast (Rechtsklick auf c; - erweiterte Berechtigungen, Benutzer ->Ordner erstellen raus und übernehmen "nur für diesen Ordner", dann wird er dort auch keine Ordner mehr anlegen können.
Zudem, um Fehler zu vermeiden, noch einmal die Gruppenmitgliedschaften dieses Nutzer listen.
Edit: werde wohl noch mal eine VM mit 16 aufsetzen müssen, die kein DC ist.
Zurück zu deiner Frage: nachdem Du ihn aus "Benutzer" entfernt hast, hast Du ihn auch nicht vergessen abzumelden und wieder neu anzumelden? Das wäre nötig.
Und ist der Ordner erst einmal von ihm erstellt worden, ist er ja Ersteller/Besitzer und hat somit, wie icacls ansagt, alle Rechte auf dem Ordner. Somit wäre also auch die Reihenfolge der Aktionen wichtig.
Wenn Du nun den Nutzer abgemeldet hast und wieder anmeldest, nachdem er aus Users raus ist UND zuvor die Erstellrechte für Ordner auf c: entzogen hast (Rechtsklick auf c; - erweiterte Berechtigungen, Benutzer ->Ordner erstellen raus und übernehmen "nur für diesen Ordner", dann wird er dort auch keine Ordner mehr anlegen können.
Zudem, um Fehler zu vermeiden, noch einmal die Gruppenmitgliedschaften dieses Nutzer listen.
Edit: werde wohl noch mal eine VM mit 16 aufsetzen müssen, die kein DC ist.
1
Ja, das habe ich jetzt auch nachvollziehen können. Wenn man in C:\Test die Zugriffsrechte für die Gruppe "Benutzer" entfernt, hat auch der angelegte Benutzer keinen effektiven Zugriff mehr darauf.
Offenbar ist die Gruppe "Authentifizierte Benutzer" automatisch Mitglied in der Gruppe "Benutzer", siehe z.B. hier. Und damit gelten spätestens bei einer Anmeldung wieder die Zugriffrechte der Gruppe "Benutzer".
Fazit: wenn man effektiv Rechte einschränken will, darf die Gruppe "Benutzer" keine Zugriffsrechte haben.
Danke für alle Hinweise.
Offenbar ist die Gruppe "Authentifizierte Benutzer" automatisch Mitglied in der Gruppe "Benutzer", siehe z.B. hier. Und damit gelten spätestens bei einer Anmeldung wieder die Zugriffrechte der Gruppe "Benutzer".
Fazit: wenn man effektiv Rechte einschränken will, darf die Gruppe "Benutzer" keine Zugriffsrechte haben.
Danke für alle Hinweise.
Ich habe es mir noch einmal im Testsystem angesehen. Schaut mal in die Gruppe "Benutzer" rein, da sind doch auch die authentifizierten Nutzer drin! Somit eine ganz simple Erklärung.
Oh man, wie peinlich .... 
1
Für wen jetzt?
1
Na mich.
1
