2
Windows 7 ausführen als... fügt Normalbenutzer in die ACL des Profils Administrators hinzu
Hallo zusammen,
ich habe ein Problem mit der Benutzerkontensteuerung von Windows 7 Ultimate. Sobald ein Normaler Benutzer, z.B. den Explorer mit "Ausführen als" startet, wird er automatisch der ACL des Profils des Administrator hinzugefügt und das dauerhaft. Dies durchweicht das gesamte NTFS Konzept. Der gesamte Ordner des Administrators liegt frei, fängt sich der User jetzt was ein is der Administrator sicherlich ebenfalls infiziert.
Es ist ja ok, dass eine Instanz des Explorers mit Admin gestartet wird, aber gleich die ganze ACL ändern, dass geht echt nicht.
Meine Fragen
- Welcher Dienst steuert dieses Verhalten.
- Wie kann ich dieses Verhalten abändern oder ganz beenden.
ich habe ein Problem mit der Benutzerkontensteuerung von Windows 7 Ultimate. Sobald ein Normaler Benutzer, z.B. den Explorer mit "Ausführen als" startet, wird er automatisch der ACL des Profils des Administrator hinzugefügt und das dauerhaft. Dies durchweicht das gesamte NTFS Konzept. Der gesamte Ordner des Administrators liegt frei, fängt sich der User jetzt was ein is der Administrator sicherlich ebenfalls infiziert.
Es ist ja ok, dass eine Instanz des Explorers mit Admin gestartet wird, aber gleich die ganze ACL ändern, dass geht echt nicht.
Meine Fragen
- Welcher Dienst steuert dieses Verhalten.
- Wie kann ich dieses Verhalten abändern oder ganz beenden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191314
Url: https://administrator.de/contentid/191314
Printed on: April 25, 2024 at 19:04 o'clock
2 Comments
Latest comment
Hallo,
Und du bist sicher das das geht? Ist der andere Benutzer ein Admin Account oder auch nur ein Benutzer? Dir ist bewußt das der Explorer.exe in Windows 7 (auch schon VISTA) einige besonderheiten aufbietet? http://arstechnica.com/civis/viewtopic.php?f=17&t=44822
Gruß,
Peter
Und du bist sicher das das geht? Ist der andere Benutzer ein Admin Account oder auch nur ein Benutzer? Dir ist bewußt das der Explorer.exe in Windows 7 (auch schon VISTA) einige besonderheiten aufbietet? http://arstechnica.com/civis/viewtopic.php?f=17&t=44822
Gruß,
Peter
Hi Pjordorf,
also der Beitrag hat indirekt was mit dem Problem zu tun, da geht es hauptsächlich um das Verhalten mit Domänen, dazu kann ich nichts sagen.
Ich habe und meine aber nur einen einzelen Windows 7 professional / Ultimate Rechner. Wenn du dir einen normalen Benutzeraccount machst und damit eingeloggt bist und du dann z.B. dir auf dem Desktop eine Verknüpfung machst explorer.exe. Im nächsten Schritt mit der rechten Maustaste im Kontextmenü sagst als "Administrator ausführen", also runas nur halt über die GUI (das Verhalten über die Konsole kann ich noch nicht sagen). Dann öffnet Windows 7 den Explorer, wie auch früher unter xp, aber ändert die ACL Einträge beim Profil Ordner des Administrators und setzt den User dort mit vollen Rechten rein.
Also ich glaube das hat nichts mit Explorer.exe zu tun, dass liegt an dieser Benutzerkontensteuerung, nur findet man keine großen Einstellmöglichkeiten um dieses Eintragen zu unterbinden.
Ab dann kann jedenfalls der normale User auch ohne als "Administrator ausführen", den Ordner des Administrators betreten und Änderungen vornehmen. Merken, merkt man es erst, wenn man erneut als "Administrator ausführen" ausführt, dann kommt wieder Dialog für Benutzername / Kennwort, wo aber vorher nur Administrator drin stand, steht jetzt auch der normale Benutzer dort eingetragen und das bei allen Aufrufen, z.B. Arbeitsplatz rechte Maustaste "Verwalten" und ich will nich wissen wo noch überall was geändert wurde und das nur weil man einmal als "Administrator ausführen" bei einem normalen User gemacht hat. Das ist doch nicht normal!
Ich hab jetzt die gesamte Benutzerkontensteuerung in den Lokalen Sicherheitseinstellungen deaktiviert. Is zwar radikal, aber das System verhält sich jetzt zumindest wieder normal.
Den normalen Anmelde Dialog (Benutzername / Kennwort, der letzte User steht drin) kriegt ich auch mit GPO / Lokale Sicherheitseinstellungen nicht mehr rekonstruiert. Da muss man jetzt wahrscheinlich direkt in die Registry.
Nur das nicht mehr alle Benutzer auf dem Login Screen erscheinen, hab ich über die lokalen Sicherheitseinstellungen hinbekommen. Aber ich hätte ganz gerne den letzten Benutzer noch drin stehen gelassen. Aber dafür finde ich keine Einstellung. Weiß da einer Rat?
VG Daniel
also der Beitrag hat indirekt was mit dem Problem zu tun, da geht es hauptsächlich um das Verhalten mit Domänen, dazu kann ich nichts sagen.
Ich habe und meine aber nur einen einzelen Windows 7 professional / Ultimate Rechner. Wenn du dir einen normalen Benutzeraccount machst und damit eingeloggt bist und du dann z.B. dir auf dem Desktop eine Verknüpfung machst explorer.exe. Im nächsten Schritt mit der rechten Maustaste im Kontextmenü sagst als "Administrator ausführen", also runas nur halt über die GUI (das Verhalten über die Konsole kann ich noch nicht sagen). Dann öffnet Windows 7 den Explorer, wie auch früher unter xp, aber ändert die ACL Einträge beim Profil Ordner des Administrators und setzt den User dort mit vollen Rechten rein.
Also ich glaube das hat nichts mit Explorer.exe zu tun, dass liegt an dieser Benutzerkontensteuerung, nur findet man keine großen Einstellmöglichkeiten um dieses Eintragen zu unterbinden.
Ab dann kann jedenfalls der normale User auch ohne als "Administrator ausführen", den Ordner des Administrators betreten und Änderungen vornehmen. Merken, merkt man es erst, wenn man erneut als "Administrator ausführen" ausführt, dann kommt wieder Dialog für Benutzername / Kennwort, wo aber vorher nur Administrator drin stand, steht jetzt auch der normale Benutzer dort eingetragen und das bei allen Aufrufen, z.B. Arbeitsplatz rechte Maustaste "Verwalten" und ich will nich wissen wo noch überall was geändert wurde und das nur weil man einmal als "Administrator ausführen" bei einem normalen User gemacht hat. Das ist doch nicht normal!
Ich hab jetzt die gesamte Benutzerkontensteuerung in den Lokalen Sicherheitseinstellungen deaktiviert. Is zwar radikal, aber das System verhält sich jetzt zumindest wieder normal.
Den normalen Anmelde Dialog (Benutzername / Kennwort, der letzte User steht drin) kriegt ich auch mit GPO / Lokale Sicherheitseinstellungen nicht mehr rekonstruiert. Da muss man jetzt wahrscheinlich direkt in die Registry.
Nur das nicht mehr alle Benutzer auf dem Login Screen erscheinen, hab ich über die lokalen Sicherheitseinstellungen hinbekommen. Aber ich hätte ganz gerne den letzten Benutzer noch drin stehen gelassen. Aber dafür finde ich keine Einstellung. Weiß da einer Rat?
VG Daniel
