locked
UAC, Desktop Symbole fehlen RRS feed

  • Frage

  • seit wird UAC (siehe Screenshot, roten Kreis) aktiviert haben, verlieren vereinzelt User Symbole (hauptsächlich die am Netz liegen) auf ihrem Desktop. Auch auf \\server\profile sind sie weg. Keine Ahnung wie es das gibt. Alle anderen UAC Einstellungen hatten wir seit Jahren funktionierend und problemlos. Lediglich "Run all Administrator..." haben wir jetzt als Vorbereitung für Windows 10 aktiviert. Da sonst Windows 10 keine App ausführen kann.


    Chris



    • Bearbeitet -- Chris -- Montag, 28. September 2015 10:44
    Montag, 28. September 2015 10:42

Antworten

  • Hi,
     
    Am 28.09.2015 um 12:42 schrieb chris__2012:
    > seit wird UAC (siehe Screenshot, roten Kreis) aktiviert haben, verlieren
    > vereinzelt User Symbole (hauptsächlich die am Netz liegen) auf ihrem
    > Desktop.
     
    Da würde ich eher ABE mit ins spiel bringen und evtl ist auf diesen
    Symbolen explizit die Admingrupppe auf NTFS ebene eingetragen.
    Da du zur Laufzeit, ohne Elevation aber nicht Mitglied dieser Gruppe
    bist, könnte ABE jetzt die Symbole ausblenden ...?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 28. September 2015 12:41

Alle Antworten

  • > seit wird UAC (siehe Screenshot, roten Kreis) aktiviert haben, verlieren
    > vereinzelt User Symbole (hauptsächlich die am Netz liegen) auf ihrem
    > Desktop.
     
    Mit UAC hat das kaum zu tun - zumindest hätte ich davon noch nie gehört,
    und wir haben UAC seit Vista aktiviert...
     
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Montag, 28. September 2015 12:21
  • Hi,
     
    Am 28.09.2015 um 12:42 schrieb chris__2012:
    > seit wird UAC (siehe Screenshot, roten Kreis) aktiviert haben, verlieren
    > vereinzelt User Symbole (hauptsächlich die am Netz liegen) auf ihrem
    > Desktop.
     
    Da würde ich eher ABE mit ins spiel bringen und evtl ist auf diesen
    Symbolen explizit die Admingrupppe auf NTFS ebene eingetragen.
    Da du zur Laufzeit, ohne Elevation aber nicht Mitglied dieser Gruppe
    bist, könnte ABE jetzt die Symbole ausblenden ...?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 28. September 2015 12:41
  • Martin@ das dachte ich auch zuerst? Aber als wir es geändert hatten (nur den einen Eintrag bei UAC), hatten ca. 10 Personen ein Problem. Dann haben wir es wieder zurückgestellt. Null Probleme. Vorgestern wieder aktiviert. Sofort zwei anrufe am Helpdesk.

    Mark@, sorry aber für was steht die Abkürzung ABE?

    irgendwo müßten doch die *.lnk's sein. Ich habe auch schon mit suche über die C: gesucht. Lediglich unter Recent erscheinen sie. Also bestätigt es den Anwender, dass es welche gab?

    bei Roaming Profile sind die Netzwerk Icons (*.LNK) auch weg?


    Chris

    Dienstag, 29. September 2015 05:51
  • ABE = Access Based Enumeration

    Grob umrissen werden nur die Inhalte eines Netzlaufwerks angezeigt, auf die ein Benutzer auch tatsächlich Zugriff hat. Alles andere wird ausgeblendet. Kannst Du im Server-Manager pro Freigabe aktivieren, heißt dort "Zugriffsbasierte Aufzählung".


    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 29. September 2015 06:42
  • danke ben,

    ausgeblendet würde aber heißen, dass irgendwo das Symbol am PC noch vorhanden sein müsste.

    2. Zugriff auf den Netzlaufwerk haben die Benutzer nach wie vor?


    Chris

    Dienstag, 29. September 2015 06:58
  • > Martin@ das dachte ich auch zuerst? Aber als wir es geändert hatten (nur
    > den einen Eintrag bei UAC), hatten ca. 10 Personen ein Problem.
     
    Dann prüfe die ACLs aller in Frage kommenden Freigaben, Ordner, Dateien
    - das Deaktivieren von UAC hat vor allem zur Folge, daß die
    Administratoren-Gruppe im Token nicht mehr enthalten ist - und wenn die
    in den ACLs verwendet wurde, kann das eine Rolle spielen :)
     
    Oder Du hast eigene Logonskripts - aber das können wir natürlich nicht
    wissen.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 29. September 2015 09:38
  • Am 29.09.2015 um 08:58 schrieb chris__2012:
    > ausgeblendet würde aber heißen, dass irgendwo das Symbol am PC noch
    > vorhanden sein müsste.
     
    Nein. ABE manipuliert direkt das SMB Protokoll und filtert die Objekte,
    sodass nur die angezeigt, werden auf denen zumindest READ Rechte existieren.
     
    Wenn du nun ein Objekt hast auf dem nur "Administratoren" berechtigt
    sind, muss du Mitglied der Administratoren sein, um sie zu sehen.
    Bei aktivierter UAC bist du aber KEIN! Admin. Du arbeitest mit einem
    2ten AccessToken, in dem die Mitgliedschaft zur Admin gruppen entfernt ist.
     
    Erst durch den Elevation Prompt, wir das AccessToken verwendet, in dem
    du Admin bist.
     Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 29. September 2015 09:40
  • habe auch noch was gefunden. Aber hatte noch keine Zeit zum testen. Es sieht so aus als ob es nur User waren die auch bei den lokalen Admins dabei sind. Dies würde das UAC Problem bestätigen, da der User nicht mehr als Admin sondern mit seinem Token arbeitet. Und vielleicht hat dies Auswirkungen auf die IconCache.db

    I also came across this procedure, but someone else said it may only work on a 32 bit OS?
    1.      Make sure UAC (User Account Control) is disabled by moving its slider to the lowest position.
    2.      Open the Command Prompt. You'll find it in Start > Accessories > Command Prompt.
    3.      Type the following commands, pressing Enter after each line:
    4.   taskkill /IM explorer.exe /F
    5.         CD /d %userprofile%\AppData\Local
    6.         DEL IconCache.db /a
    7.         shutdown /r

    Nachtrag:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
    "EnableLinkedConnections"=dword:00000001

    ist bei uns auf 1 gesetzt.

    und ja, wir haben auch Anmeldebatchdateien die Netzwerklaufwerke Mappen

    NET USE M: \\server\amt /PERSISTENT:NO


    Chris


    • Bearbeitet -- Chris -- Dienstag, 29. September 2015 09:46
    Dienstag, 29. September 2015 09:42
  • Nachtrag: der ist hat zugriff auf das M: Laufwerk da hier seine ganzen dienstlichen Dokumente liegen. Auf diesem Share liegt auch eine Access DB von der er einen LINK auf dem Desktop hatte.

    Mark schreibt, man muss Read rechte haben. Die hätte der User.


    Chris

    Dienstag, 29. September 2015 09:52