Dieses Forum ist geschlossen. Vielen Dank für Ihre Beiträge.

Remove From My Forums

Windows 7, Berechtigung, als Administrator ausführen

Allgemeine Diskussion
0

Anmelden
hallo zusammen,

kann mir jemand erklären warum ich wenn ich z.b. notepad als administrator starte zb. nicht in c:\windows schreiben kann/darf. Ich dachte wenn ich Programme "als Administrator" starte erhalte ich das Admin Token und bin ich so als wenn ich bei der lokalen Admin Gruppe wäre.

Wenn ich meinen User zu den lokalen Admins geben, geht's schon

man kann es ganz gut mit notepad oder mspaint testen!
Chris
- Typ geändert -- Chris -- Dienstag, 17. Januar 2012 12:10
- Verschoben Raul TalmaciuMicrosoft contingent staff Freitag, 20. Januar 2012 14:21 Zussamenführung Plan (aus:Windows Client)
Dienstag, 17. Januar 2012 07:14

Alle Antworten

0

Anmelden

> kann mir jemand erklären warum ich wenn ich z.b. notepad als

> administrator starte zb. nicht in c:\windows schreiben kann/darf. Ich

Dem ist nicht so - bei Standardrechten im Dateisystem geht das problemlos.

Starte doch mal ne Eingabeaufforderung als Administrator und prüfe, was

dort an Gruppen und Integrity Leveln sichtbar ist (whoami /groups).

Falls hier nichts von Administratoren steht oder die

Verbindlichkeitsstufe nicht hoch sein sollte, dann stimmt etwas nicht.

BTW: Wie startest Du "als Administrator"? Kontextmenü "Als Administrator

ausführen" oder per runas bzw. "Als anderer Benutzer ausführen"?

mfg Martin

A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

Dienstag, 17. Januar 2012 07:58
0

Anmelden
Hallo Martin,

ich habe jetzt nochmals getestet: Ich habe einen frisch aufgesetzten PC in der Domaine. Der Benutzer hat ein neues Profil. Der User ist nicht bei den lokalen Administratoren (ich vermute bei dir schon)

START - mspaint (rechte Maus "Als administrator ausführen" dann speichern c:\windows\test.jpg

Fehler: Sie verfügen nicht über die Berechtigung zum Speichern in diesem Pfad.

Taskmanager zeigt mspaint.exe bei Benutzer nicht den Administrator sondern den User ist das korrekt?

anbei das whoami - die Domain Gruppen habe ich entfernt

Gruppenname                                              Typ             SID                                            Attribute
======================================================== =============== ============================================== ===============================================================
Jeder                                                    Bekannte Gruppe S-1-1-0                                        Verbindliche Gruppe, Standardm„áig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer                                    Alias           S-1-5-32-545                                   Verbindliche Gruppe, Standardm„áig aktiviert, Aktivierte Gruppe
NT-AUTORITŽT\INTERAKTIV                                  Bekannte Gruppe S-1-5-4                                        Verbindliche Gruppe, Standardm„áig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG                                        Bekannte Gruppe S-1-2-1                                        Verbindliche Gruppe, Standardm„áig aktiviert, Aktivierte Gruppe
NT-AUTORITŽT\Authentifizierte Benutzer                   Bekannte Gruppe S-1-5-11                                       Verbindliche Gruppe, Standardm„áig aktiviert, Aktivierte Gruppe
NT-AUTORITŽT\Diese Organisation                          Bekannte Gruppe S-1-5-15                                       Verbindliche Gruppe, Standardm„áig aktiviert, Aktivierte Gruppe
LOKAL                                                    Bekannte Gruppe S-1-2-0                                        Verbindliche Gruppe, Standardm„áig aktiviert, Aktivierte Gruppe
Standardm„áig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung     S-1-16-8192                                    Verbindliche Gruppe, Standardm„áig aktiviert, Aktivierte Gruppe

Chris
- Bearbeitet -- Chris -- Dienstag, 17. Januar 2012 10:10
Dienstag, 17. Januar 2012 09:56
0

Anmelden

> START - mspaint (rechte Maus "Als administrator ausführen" dann

> speichern c:\windows\test.jpg

Was passiert denn nach "Als Administrator ausführen"?

Und: Wenn der User nicht in den lokalen Admins ist (entweder direkt oder

aufgrund Gruppenverschachtelung und Restricted Groups GPOs), dann KANN

er es nicht als Admin ausführen!

mfg Martin

A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

Dienstag, 17. Januar 2012 10:35
0

Anmelden

wenn ich "Als Administrator ausführen" auswähle wird das Programm gestartet. Wie kann man sehen ob es wirklich als Admin gestartet ist? zeigt er bei dir im Taskmanager den User oder den Admin?

zu 2. heißt das jetzt der User muss bei der Gruppe der Lokalen Admin sein, damit er zb. überall schreiben kann. Das war ja meine ursprüngliche Frage.

ist es das selbe wenn man ein Programm "als Adminstrator" startet. Meine Tests haben ergeben NEIN, sonst könnte ich ja auch auf c:\windows schreiben.

mich wundert es daher das es bei dir geht (vermute aber das dein TestUser lokaler Admin ist)?

Chris

Dienstag, 17. Januar 2012 10:46
0

Anmelden

> wenn ich "Als Administrator ausführen" auswähle wird das Programm

> gestartet. Wie kann man sehen ob es wirklich als Admin gestartet ist?

> zeigt er bei dir im Taskmanager den User oder den Admin?

Wie "den User" oder "den Admin"? Ich starte es als Administrator, dann

läuft es natürlich immer noch mit meinem User. Nur der Integrity Level

ist jetzt "High" statt "Medium", und im Security Token dieses Prozesses

ist das vollständige Administrator-Token enthalten statt des

eingeschränkten.

Siehe auch "whoami /groups", unterster Eintrag "Verbindliche

Beschriftung"...

> zu 2. heißt das jetzt der User muss bei der Gruppe der Lokalen Admin

> sein, damit er zb. überall schreiben kann. Das war ja meine

> ursprüngliche Frage.

Ja, er muß

a) Mitglied der lokalen Admins sein

UND

b) das Programm als Administrator gestartet haben.

BTW: Wenn Du ein Programm "als Administrator" starten willst, das auch

als normaler Benutzer laufen würde, und wenn die Richtlinie "Verhalten

der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer" auf

"automatisch ablehnen" eingestellt ist, dann dürfte das von Dir

beobachtete Verhalten auftreten - Anwendung startet trotzdem, aber halt

nicht als Admin.

A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

Dienstag, 17. Januar 2012 11:11
0

Anmelden

tron2010:

wenn ich "Als Administrator ausführen" auswähle wird das Programm gestartet.

Da müsste aber vorher ein UAC-Prompt kommen, über den das Programm dann mit erhöhten Rechten versehen wird.

Wie kann man sehen ob es wirklich als Admin gestartet ist? zeigt er bei dir im Taskmanager den User oder den Admin?

Mit dem Process Explorer kann man das z.B. erkennen. Unter "Integrity Level" sieht man für das Programm dann:
"Hohe Verbindlichkeitsstufe".
Die Meldung wegen fehlender Berechtigung kommt bei Notepad immer dann, wenn das Programm eben nicht
mit Adminrechten läuft.

Dienstag, 17. Januar 2012 11:49
0

Anmelden

danke euch beiden für die hoch interessanten INFO.
Chris

Dienstag, 17. Januar 2012 12:10
0

Anmelden

tron2010:

Du hattest auch Glück, das Notepad nicht virtualisiert wird. Bei diversen anderen Programmen wird der
Speicherungsvorgang ohne Fehlermeldung ausgeführt, nur landet die Datei dann nicht in
%Windir%, sondern in VirtualStore, wo sie meist nicht gefunden wird. Die Leute glauben dann
an Gespenster und meinen, sie sei im Nirwana verschwunden. Das schon mal als Vorwarnung,
weil dir das demnächst auch passieren könnte. ;-)

Dienstag, 17. Januar 2012 19:57