locked
Windows 7 & Zugriff auf Program Files Ordner RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Community,

    kurze Info. Wir kommen von XP und wollen schon mal einige Clients mit Windows 7 ausrollen.

    Wir haben eine 2003er Domäne. Ich habe einen Client mit W7 Pro aufgesetzt und in die Domäne aufgenommen. Soweit so gut. Wir haben eine Hand voll Programme die wir selbst entwickelt haben. Diese Programme installiere ich unter c:\Program Files\... Ich kann dass Programm ausführen und es funktioniert auch soweit, sobald aber irgendwelche Zugriffe schreibend stattfinden in diesem Verzeichnis ist alles dahin. Ich kann dort ja nicht einmal eine simple .txt ändern und speichern.

    Meine Frage: Kann man irgendwie auf dass Verzeichnis "Program Files" auch schreibend zugreifen als normaler Domänen-Benutzer?! Die Domänen-Benutzer sind am Client lokale Hauptbenutzer.

     

    Vielen Dank.

     

     

    Donnerstag, 10. Juni 2010 10:11

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Manuel Reimer schrieb:

    mhhh. Danke für deine 2 Links. Aber wer möchte denn bitte seine Domänen-Benutzer zu lokalen Admins machen? Tut dass jemand da draußen? Dass kann nicht die Lösung sein, jedenfalls nicht für mich. Oder ändert sich dass in Windows 7?? Sollen Benutzer bzw. Hauptbenutzer lokale Administratoren werden/sein? Ist da was an mir vorbeigegangen?

    Nein, ich wollte dir damit doch nur aufzeigen, wie schnell sich ein
    Hauptbenutzer zum Admin machen kann.

    Zum Ordner Program Files. Standardmäßig sicherlich, aber im XP konnte ich mit 
    cacls %systemdrive% /E /C G Hauptbenutzer:F die entsprechenden Rechte vergeben. Dass funktioniert nun nicht mehr in Windows 7 oder ich habe noch keine Lösung dafür gefunden?

    Vermutlich hast Du keine Administrative Comandline geöffnet. Du
    solltest Dich mit UAC intensiv beschäftigen.

    Nur ein Beispiel: Unser ERP System schreibt in den Installationspfad des Programmes c:\Programme\erpsystem aka c:\Program Files\erpsystem eine .ini Datei weg um sich die Position des Windows-Fensters zu speichern, damit beim nächsten öffnen des ERP-Systems es wieder an der gleichen Fensterposition x,y geöffnet wird. Sowas funktioniert nun nicht mehr unter W7?!

    Das hat schon in NT4 für normale Benutzer nicht funktioniert. Das so
    zu machen, ist äußerst unsaubere Programmierung und ist nicht mehr
    Zeitgemäß. solche Benutzereinstellungen haben in %PROGRAMFILES% nichts
    zu suchen, dafür gibts die Registry: HKEY_CURRENT_USER bietet sich
    dafür an. Wenn es unbedingt im Filesystem sein muß, dann lieber hier:
    %Appdata% Euer ERP System sollte hier an den Pranger gestellt werden:
    http://www.gruppenrichtlinien.de/Tools/trost_preis.htm

    Ich kann ja nicht mal die Berechtigungen für C:\Program Files ändern obwohl ich als Domänen-Admin an dem Client angemeldet bin. Dass Feld "Hinzufügen" unter den Sicherheitseigenschaften des Ordners ist ausgegraut.

    UAC lässt grüssen.
    http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen
    http://www.faq-o-matic.net/2009/06/25/kompromisse-zwischen-sicherheit-und-bequemlichkeit-das-beispiel-uac/

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 11. Juni 2010 14:34

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Manuel Reimer schrieb:

    Wir haben eine 2003er Domäne. Ich habe einen Client mit W7 Pro aufgesetzt und in die Domäne aufgenommen. Soweit so gut. Wir haben eine Hand voll Programme die wir selbst entwickelt haben. Diese Programme installiere ich unter c:\Program Files\... Ich kann dass Programm ausführen und es funktioniert auch soweit, sobald aber irgendwelche Zugriffe schreibend stattfinden in diesem Verzeichnis ist alles dahin. Ich kann dort ja nicht einmal eine simple .txt ändern und speichern.

    In %PROGRAMFILES% kann ein Benutzer schon seit NT4 nicht schreiben.
    Beschäftigt euch mit dem Rechtesystem von NTFS. Alles andere ist
    Bastelei und ihr werdet nicht glücklich damit.

    Meine Frage: Kann man irgendwie auf dass Verzeichnis "Program Files" auch schreibend zugreifen als normaler Domänen-Benutzer?! Die Domänen-Benutzer sind am Client lokale Hauptbenutzer.

    http://www.gruppenrichtlinien.de/HowTo/Wie_werde_ich_lokaler_Administrator.htm
    und
    http://www.faq-o-matic.net/2007/01/27/wie-hauptbenutzer-zu-admins-werden/

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort vorgeschlagen Andre.Ziegler Donnerstag, 10. Juni 2010 14:08
    Donnerstag, 10. Juni 2010 10:47
  • Question
    Anmelden
    0
    Anmelden
    In %PROGRAMFILES% kann ein Benutzer schon seit NT4 nicht schreiben.

    Beschäftigt euch mit dem Rechtesystem von NTFS. Alles andere ist
    Bastelei und ihr werdet nicht glücklich damit.

    Meine Frage: Kann man irgendwie auf dass Verzeichnis "Program Files" auch schreibend zugreifen als normaler Domänen-Benutzer?! Die Domänen-Benutzer sind am Client lokale Hauptbenutzer.

    http://www.gruppenrichtlinien.de/HowTo/Wie_werde_ich_lokaler_Administrator.htm
    und
    http://www.faq-o-matic.net/2007/01/27/wie-hauptbenutzer-zu-admins-werden/

     

    Hallo Winfried,

     

    mhhh. Danke für deine 2 Links. Aber wer möchte denn bitte seine Domänen-Benutzer zu lokalen Admins machen? Tut dass jemand da draußen? Dass kann nicht die Lösung sein, jedenfalls nicht für mich. Oder ändert sich dass in Windows 7?? Sollen Benutzer bzw. Hauptbenutzer lokale Administratoren werden/sein? Ist da was an mir vorbeigegangen?

    Zum Ordner Program Files. Standardmäßig sicherlich, aber im XP konnte ich mit cacls %systemdrive% /E /C /G Hauptbenutzer:F die entsprechenden Rechte vergeben. Dass funktioniert nun nicht mehr in Windows 7 oder ich habe noch keine Lösung dafür gefunden? Nur ein Beispiel: Unser ERP System schreibt in den Installationspfad des Programmes c:\Programme\erpsystem aka c:\Program Files\erpsystem eine .ini Datei weg um sich die Position des Windows-Fensters zu speichern, damit beim nächsten öffnen des ERP-Systems es wieder an der gleichen Fensterposition x,y geöffnet wird. Sowas funktioniert nun nicht mehr unter W7?!

    Ich kann ja nicht mal die Berechtigungen für C:\Program Files ändern obwohl ich als Domänen-Admin an dem Client angemeldet bin. Dass Feld "Hinzufügen" unter den Sicherheitseigenschaften des Ordners ist ausgegraut.

    Naja vielleicht fällt dem ein oder anderen ja noch etwas ein dazu, in der Halbzeitpause ;-)

    Danke.

    Freitag, 11. Juni 2010 14:07
  • Question
    Anmelden
    0
    Anmelden

    Manuel Reimer meinte:

    >Nur ein Beispiel: Unser ERP System
    >schreibt in den Installationspfad des Programmes c:\Programme\erpsystem aka
    >c:\Program Files\erpsystem eine .ini Datei weg um sich die Position des
    >Windows-Fensters zu speichern, damit beim n�chsten �ffnen des ERP-Systems es
    >wieder an der gleichen Fensterposition x,y ge�ffnet wird.

    Ich w�rde da den Hersteller des ERP-Systems flott machen, seine Anwendung
    endlich mal f�r moderne Systeme flott zu machen bzw. diesen Fehler zu
    beheben. So wie die Anwendung das z.Zt. macht, w�rde ich sie schlicht als
    inkompatibel mit Windows NT (und gr��er) bezeichnen. Auch unter XP geh�rte
    sowas nicht in den Programm- sondern in den Profilordner des Anwenders.

    Christoph Sternberg */\
    • Als Antwort vorgeschlagen Andre.Ziegler Freitag, 11. Juni 2010 14:48
    Freitag, 11. Juni 2010 14:28
  • Question
    Anmelden
    0
    Anmelden

    Manuel Reimer schrieb:

    mhhh. Danke für deine 2 Links. Aber wer möchte denn bitte seine Domänen-Benutzer zu lokalen Admins machen? Tut dass jemand da draußen? Dass kann nicht die Lösung sein, jedenfalls nicht für mich. Oder ändert sich dass in Windows 7?? Sollen Benutzer bzw. Hauptbenutzer lokale Administratoren werden/sein? Ist da was an mir vorbeigegangen?

    Nein, ich wollte dir damit doch nur aufzeigen, wie schnell sich ein
    Hauptbenutzer zum Admin machen kann.

    Zum Ordner Program Files. Standardmäßig sicherlich, aber im XP konnte ich mit 
    cacls %systemdrive% /E /C G Hauptbenutzer:F die entsprechenden Rechte vergeben. Dass funktioniert nun nicht mehr in Windows 7 oder ich habe noch keine Lösung dafür gefunden?

    Vermutlich hast Du keine Administrative Comandline geöffnet. Du
    solltest Dich mit UAC intensiv beschäftigen.

    Nur ein Beispiel: Unser ERP System schreibt in den Installationspfad des Programmes c:\Programme\erpsystem aka c:\Program Files\erpsystem eine .ini Datei weg um sich die Position des Windows-Fensters zu speichern, damit beim nächsten öffnen des ERP-Systems es wieder an der gleichen Fensterposition x,y geöffnet wird. Sowas funktioniert nun nicht mehr unter W7?!

    Das hat schon in NT4 für normale Benutzer nicht funktioniert. Das so
    zu machen, ist äußerst unsaubere Programmierung und ist nicht mehr
    Zeitgemäß. solche Benutzereinstellungen haben in %PROGRAMFILES% nichts
    zu suchen, dafür gibts die Registry: HKEY_CURRENT_USER bietet sich
    dafür an. Wenn es unbedingt im Filesystem sein muß, dann lieber hier:
    %Appdata% Euer ERP System sollte hier an den Pranger gestellt werden:
    http://www.gruppenrichtlinien.de/Tools/trost_preis.htm

    Ich kann ja nicht mal die Berechtigungen für C:\Program Files ändern obwohl ich als Domänen-Admin an dem Client angemeldet bin. Dass Feld "Hinzufügen" unter den Sicherheitseigenschaften des Ordners ist ausgegraut.

    UAC lässt grüssen.
    http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen
    http://www.faq-o-matic.net/2009/06/25/kompromisse-zwischen-sicherheit-und-bequemlichkeit-das-beispiel-uac/

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 11. Juni 2010 14:34
  • Question
    Anmelden
    0
    Anmelden

    hallo,

    problem gelöst. man entfernt dem user "trustedinstaller" die besitzrechte und gibt zb. der gruppe hauptbenutzer die besitzrechte. jetzt kann jeder hauptbenutzer wieder in dass programm verzeichnis schreiben...

     

    Donnerstag, 17. Juni 2010 11:57
  • Question
    Anmelden
    1
    Anmelden

    Am 17.06.2010 schrieb Manuel Reimer:

    problem gelöst. man entfernt dem user "trustedinstaller" die besitzrechte und gibt zb. der gruppe hauptbenutzer die besitzrechte. jetzt kann jeder hauptbenutzer wieder in dass programm verzeichnis schreiben...

    Na dann freu dich schon auf zukünftige Probleme.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 17. Juni 2010 12:33
  • Question
    Anmelden
    1
    Anmelden

    Manuel Reimer:

    problem gelöst. man entfernt dem user "trustedinstaller" die besitzrechte und gibt zb. der gruppe hauptbenutzer die besitzrechte. jetzt kann jeder hauptbenutzer wieder in dass programm verzeichnis schreiben...

    Ah ja, und wenn du für deine Haustür den Schlüssel verloren hast, entfernst
    du einfach die Tür und sagst dann "Problem gelöst". :-)

    hpm

    Donnerstag, 17. Juni 2010 13:52
  • Question
    Anmelden
    0
    Anmelden
    Böses Faul! Ab Vista wird die Gruppe "Hauptbenutzer" nicht mehr benutzt!
    "A programmer is just a tool which converts caffeine into code" CLIP- Stellvertreter http://www.winvistaside.de/
    Donnerstag, 17. Juni 2010 14:31
  • Question
    Anmelden
    0
    Anmelden

    Manuel Reimer meinte:

    >problem gel�st.

    Nicht gel�st, sondern per Trickserei umgangen. Ich w�rde immer noch den
    ERP-Hersteller flott machen.

    Christoph Sternberg */\

    Donnerstag, 17. Juni 2010 15:58
  • Question
    Anmelden
    0
    Anmelden

    natürlich nicht die "feine" lösung aus it-sicht.

    aber schnell mal ein erp-update ist halt nicht drinne...

    also leb ich erstmal damit....

     

    Donnerstag, 8. Juli 2010 18:57
  • Question
    Anmelden
    0
    Anmelden

    Ich habe diesen Thread durch Zufall entdeckt und evtl. eine adäquate Lösung - zumindest eine bessere, als die vom Threadersteller praktizierte.

    Die Ordner %Programme% (Program Files), %Windir%, %Windir%/system32, und HKLM\Software\... sind in der Tat geschützt. Das ist auch gut so.
    Abhilfe sollte schaffen, das favorisierte Programm in ein anderes Verzeichnis als %Programme% zu installieren, z.B. "MyPrograms" oder ähnlich.

    Mittwoch, 21. Juli 2010 09:54