locked
Besitzer von Dateien, die ein Dienst geschrieben hat RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Ich habe ein spezielles Problem mit Windows7 bzw. "Windows Server 2008 R2".
    UAC ist eingeschaltet und soll es auch bleiben. (Einstellungen für Benutzerkontensteuerung steht auf Standard)

    Als User soll ein Domain-User myuser eingesetzt werden, der Administratorenrechte besitzt.
    Wenn man mit diesem User nun mit dem Explorer eine Datei test.txt anlegt und den Besitzer über Eigenschaften -> Erweitert -> Besitzer überprüft, so
    findet sich darin, wie erwartet, der User myuser.

    Wird jetzt aber ein selbstgeschriebener Dienst gestartet, der über das Domain-Konto myuser angemeldet ist, so legt dieser immer Dateien an, die als
    Besitzer "Administratoren" gesetzt haben.

    Kann man dieses Verhalten eines Dienstes abschalten?
    Wie könnte mal den Dienst dazu bewegen Dateien mit dem Domain-User myuser anzulegen ohne den Besitzer im Quellcode zu ändern? (analog zu takeown)

    Übrigens: UAC-Einstellungen hatten auf den Besitzer der Datei, die der Dienst geschrieben hat, keinen Einfluss.
    • Verschoben Robert Breitenhofer Freitag, 15. Juli 2011 08:25 von MSDN zu TechNet verschoben (aus:Windows 7)
    Freitag, 14. Januar 2011 13:50

Antworten

  • Question
    Anmelden
    2
    Anmelden
    Wird ein Objekt bei aktiviertem Administratortoken erstellt, dann ist
    die Administratoren-Gruppe Creator-Owner. Wird es ohne
    Administratortoken erstellt, dann ist der aktuelle Benutzer Creator-Owner.
     
    Wenn Du UAC abschalten würdest, dann hast Du immer das erste Ergebnis.
     
    Warum aber Dein Service mit aktiviertem Administrator-Token läuft - da
    bin ich momentan noch überfragt ;-)
     
    mfg Martin
     
    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Freitag, 8. Juli 2011 10:53
  • Question
    Anmelden
    0
    Anmelden
    > Würde ein Dienst der mit "sc create" erstellt wurde, die UAC beachten?
    > Oder fallen evtl Dienst grundsätzlich nicht unter die UAC?
     
    Ich vermute mal, daß alles, was in Session 0 läuft, ein vollständiges
    Token kriegt. Aber das ist nur eine Vermutung...
     
    mfg Martin
     
    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Freitag, 8. Juli 2011 12:35

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo dackeldac,

    kämpfe im Moment mit dem gleichen Problem.

    Hast Du dazu evtl schon eine Lösung gefunden?

    Freitag, 8. Juli 2011 10:04
  • Question
    Anmelden
    2
    Anmelden
    Wird ein Objekt bei aktiviertem Administratortoken erstellt, dann ist
    die Administratoren-Gruppe Creator-Owner. Wird es ohne
    Administratortoken erstellt, dann ist der aktuelle Benutzer Creator-Owner.
     
    Wenn Du UAC abschalten würdest, dann hast Du immer das erste Ergebnis.
     
    Warum aber Dein Service mit aktiviertem Administrator-Token läuft - da
    bin ich momentan noch überfragt ;-)
     
    mfg Martin
     
    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Freitag, 8. Juli 2011 10:53
  • Question
    Anmelden
    0
    Anmelden

    Danke für die Erklärung. Wieder etwas dazu gelernt :-)

    Habe bei aktivierter UAC mal ein cmd als Admin gestartet und damit ein File angelegt und diese gehörte dann wirklich der Gruppe Administratoren.

     

    Habe den Service unter Server 2008R2 mit srvany angelegt. Zum einen weil ich's aus älteren Windows-Versionen so gewohnt bin.

    Und zum anderen, weil unsere Applikation nicht als Dienst geschrieben wurde. Und soweit ich weiss, ist das Voraussetzung dass man einen Dienst mit

    "sc create" erstellen kann :-(

     

    Würde ein Dienst der mit "sc create" erstellt wurde, die UAC beachten? Oder fallen evtl Dienst grundsätzlich nicht unter die UAC?

     

    Freitag, 8. Juli 2011 11:54
  • Question
    Anmelden
    0
    Anmelden
    > Würde ein Dienst der mit "sc create" erstellt wurde, die UAC beachten?
    > Oder fallen evtl Dienst grundsätzlich nicht unter die UAC?
     
    Ich vermute mal, daß alles, was in Session 0 läuft, ein vollständiges
    Token kriegt. Aber das ist nur eine Vermutung...
     
    mfg Martin
     
    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Freitag, 8. Juli 2011 12:35