locked
Adminrechte <> Adminrechte? RRS feed

  • Frage

  • Hallo zusammen,

    auf einem Kundenrechner (Win7 Prof x86 - Domänenmitglied) wurde durch einen Benutzer mit lokalen Adminrechten (Mitglied der lokalen "Administratoren"-Gruppe) eine Software (DataCenter von Ideal Industries) installiert. Innerhalb dieser Software gibt es eine Stelle, an der die Laufwerke des Benutzers (lokale und Netzlaufwerke) aufgelistet werden sollen. Das funktioniert aber nicht - die Software zeigt keine Laufwerke an (nur die "Eieruhr" der Software).

    Melde ich mich als Domänen-Administrator an diesem Rechner an, funktioniert die Software wie erwartet. Gebe ich dem og. Benutzer (testweise vorübergehend) die Rechte eines Domänen-Admins, funktioniert die Software auch in dessen Kontext. Entziehe ich ihm den "Domänen-Admin", funktioniert die Software wieder nicht. Es spielt dabei übrigens keine Rolle, ob die Software mit "elevated rights" ausgeführt wird oder "normal" via Doppelklick.

    Mir ist das schleierhaft. Mehr als lokale Adminrechte kann (und will) ich einem Benutzer doch nicht geben... die Software selber arbeitet laut Hersteller nur mit lokalen Resourcen. Hat jemand eine zündende Idee?

    Gruß und Danke im Voraus
    (Wolfgang Juchmes)

    Montag, 25. April 2016 20:06

Antworten

  • Noch 'ne Idee?

    Das Übliche: ProcessMonitor starten (am besten als Domain-Admin, da dieser ja auf dem System mehr Befugnisse zu haben scheint), auf die fragliche Applikation beschränken und schauen, welche Vorgänge knallen. Es wäre nicht das erste Mal, dass über GPO irgendwelche Zugriffsrechte explizit an "Domänen-Admins" vergeben wurden und die lokalen Admins diese Rechte nicht mehr haben.

    Das können Benutzerrechte aus dem Bereich "Zuweisen von Benutzerrechten" in der Policy sein, oder auch Zugriffsrechte auf Registry-Keys (im Maschinen-Zweig) oder Dateien.

    Ich habe die Software früher regelmäßig genutzt, als ich noch Layer 1 gemacht habe, und kann bestätigen, dass sie normalerweise auch ohne Adminrechte funktioniert.


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    • Als Antwort vorgeschlagen tonibert Mittwoch, 27. April 2016 05:52
    • Als Antwort markiert Woly Mittwoch, 27. April 2016 06:16
    Dienstag, 26. April 2016 06:34
  • Hi Woly,

    >>Sieht die SW denn die benötigten Ressourcen? Hat der Benutzer denn
    >>auch die NTFS-Berechtigungen auf die Ressourcen zuzugreifen?

    Ich sehe es genauso!

    Schau mal hier

    Mit dem Process Monitor kannst du das Programm filtern und schauen worauf es alles zugreift!

    Edit:Evgenij konnte schneller schreiben!


    Gruß Toni! Wenn Dir meine Antwort hilft, markiere sie bitte als Antwort! Vielen Dank!


    • Bearbeitet tonibert Dienstag, 26. April 2016 06:42
    • Als Antwort vorgeschlagen tonibert Mittwoch, 27. April 2016 05:52
    • Als Antwort markiert Woly Mittwoch, 27. April 2016 06:16
    Dienstag, 26. April 2016 06:41
  • Hi,
     
    Am 25.04.2016 um 22:06 schrieb Woly:
    > auf einem Kundenrechner (Win7 Prof x86 - Domänenmitglied) wurde durch
    > einen Benutzer mit lokalen Adminrechten (Mitglied der lokalen
    > "Administratoren"-Gruppe) eine Software (DataCenter von Ideal
    > Industries) installiert.
     
    Deinstalliere die Software und installiere sie mal als System.
    - mit psexec
    - per Computer Startup Scrtip
    - per Task
     
    > Innerhalb dieser Software gibt es eine Stelle,
    > an der die Laufwerke des Benutzers (lokale und Netzlaufwerke)
    > aufgelistet werden sollen.
     
    Setze in der Registry:EnableLinkedConnections
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert Woly Mittwoch, 27. April 2016 06:16
    Dienstag, 26. April 2016 07:09
  • Am 25.04.2016 schrieb Woly:

    auf einem Kundenrechner (Win7 Prof x86 - Domänenmitglied) wurde durch einen Benutzer mit lokalen Adminrechten (Mitglied der lokalen "Administratoren"-Gruppe) eine Software (DataCenter von Ideal Industries) installiert. Innerhalb dieser Software gibt es eine Stelle, an der die Laufwerke des Benutzers (lokale und Netzlaufwerke) aufgelistet werden sollen. Das funktioniert aber nicht - die Software zeigt keine Laufwerke an (nur die "Eieruhr" der Software).

    Sieht die SW denn die benötigten Ressourcen? Hat der Benutzer denn
    auch die NTFS-Berechtigungen auf die Ressourcen zuzugreifen?

    Mir ist das schleierhaft. Mehr als lokale Adminrechte kann (und will) ich einem Benutzer doch nicht geben... die Software selber arbeitet laut Hersteller nur mit lokalen Resourcen. Hat jemand eine zündende Idee?

    Deinstallieren, und bei erneuter Installation anhaken, für alle
    Benutzer installieren.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    • Als Antwort vorgeschlagen tonibert Mittwoch, 27. April 2016 05:52
    • Als Antwort markiert Woly Mittwoch, 27. April 2016 06:16
    Dienstag, 26. April 2016 05:00
  • Hallo zusammen,

    der Hinweis auf den Process Monitor hat geholfen - vielen Dank Euch allen!

    Okay, woran lag es? Der Benutzer hat drei Netzwerk-Laufwerke gemappt (via globales Login Skript). Auf zwei davon hat er aber weder Schreib- noch Leserechte. Und daran hat sich die Software aufgehängt.

    Als Domänen-Admin hatte der Benutzer natürlich vorübergehend volle Rechte auf diese Laufwerke.

    Ich wünsch' Euch 'nen schönen Abend!
    (Wolfgang Juchmes)

    • Als Antwort markiert Woly Dienstag, 26. April 2016 19:27
    Dienstag, 26. April 2016 19:27

Alle Antworten

  • Am 25.04.2016 schrieb Woly:

    auf einem Kundenrechner (Win7 Prof x86 - Domänenmitglied) wurde durch einen Benutzer mit lokalen Adminrechten (Mitglied der lokalen "Administratoren"-Gruppe) eine Software (DataCenter von Ideal Industries) installiert. Innerhalb dieser Software gibt es eine Stelle, an der die Laufwerke des Benutzers (lokale und Netzlaufwerke) aufgelistet werden sollen. Das funktioniert aber nicht - die Software zeigt keine Laufwerke an (nur die "Eieruhr" der Software).

    Sieht die SW denn die benötigten Ressourcen? Hat der Benutzer denn
    auch die NTFS-Berechtigungen auf die Ressourcen zuzugreifen?

    Mir ist das schleierhaft. Mehr als lokale Adminrechte kann (und will) ich einem Benutzer doch nicht geben... die Software selber arbeitet laut Hersteller nur mit lokalen Resourcen. Hat jemand eine zündende Idee?

    Deinstallieren, und bei erneuter Installation anhaken, für alle
    Benutzer installieren.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    • Als Antwort vorgeschlagen tonibert Mittwoch, 27. April 2016 05:52
    • Als Antwort markiert Woly Mittwoch, 27. April 2016 06:16
    Dienstag, 26. April 2016 05:00
  • Moin Winfried,

    >Sieht die SW denn die benötigten Ressourcen?
    >Hat der Benutzer denn auch die NTFS-Berechtigungen
    >auf die Ressourcen zuzugreifen?

    Die Software scheint die Ressourcen nicht zu sehen. Sie sollte die lokalen Laufwerke sowie die Netzlaufwerke des Benutzers anzeigen. Der Benutzer selber hat die dazu nötigen Rechte - schließlich kann er Festplatte, CD-Rom, USB-Sticks und Netzlaufwerke "sehen". Nicht zuletzt ist der Benutzer ja lokaler Administrator.

    >Deinstallieren, und bei erneuter Installation anhaken,
    >für alle Benutzer installieren.

    Re-Installation hab ich schon gemacht. Die genannte Option wird im Setup allerdings nicht angeboten. Laut Hersteller soll es sogar schon reichen, die SW mit Adminrechten zu installieren - dann können auch Anwender ohne Adminrechte damit arbeiten. Ich habe auch eine Anfrage an den Hersteller laufen, welche Ressourcen explizit von der SW benötigt werden.

    Noch 'ne Idee?

    (Wolfgang Juchmes)

    • Als Antwort vorgeschlagen tonibert Mittwoch, 27. April 2016 05:52
    • Nicht als Antwort vorgeschlagen tonibert Mittwoch, 27. April 2016 05:52
    Dienstag, 26. April 2016 06:22
  • Noch 'ne Idee?

    Das Übliche: ProcessMonitor starten (am besten als Domain-Admin, da dieser ja auf dem System mehr Befugnisse zu haben scheint), auf die fragliche Applikation beschränken und schauen, welche Vorgänge knallen. Es wäre nicht das erste Mal, dass über GPO irgendwelche Zugriffsrechte explizit an "Domänen-Admins" vergeben wurden und die lokalen Admins diese Rechte nicht mehr haben.

    Das können Benutzerrechte aus dem Bereich "Zuweisen von Benutzerrechten" in der Policy sein, oder auch Zugriffsrechte auf Registry-Keys (im Maschinen-Zweig) oder Dateien.

    Ich habe die Software früher regelmäßig genutzt, als ich noch Layer 1 gemacht habe, und kann bestätigen, dass sie normalerweise auch ohne Adminrechte funktioniert.


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    • Als Antwort vorgeschlagen tonibert Mittwoch, 27. April 2016 05:52
    • Als Antwort markiert Woly Mittwoch, 27. April 2016 06:16
    Dienstag, 26. April 2016 06:34
  • Hi Woly,

    >>Sieht die SW denn die benötigten Ressourcen? Hat der Benutzer denn
    >>auch die NTFS-Berechtigungen auf die Ressourcen zuzugreifen?

    Ich sehe es genauso!

    Schau mal hier

    Mit dem Process Monitor kannst du das Programm filtern und schauen worauf es alles zugreift!

    Edit:Evgenij konnte schneller schreiben!


    Gruß Toni! Wenn Dir meine Antwort hilft, markiere sie bitte als Antwort! Vielen Dank!


    • Bearbeitet tonibert Dienstag, 26. April 2016 06:42
    • Als Antwort vorgeschlagen tonibert Mittwoch, 27. April 2016 05:52
    • Als Antwort markiert Woly Mittwoch, 27. April 2016 06:16
    Dienstag, 26. April 2016 06:41
  • Hi,
     
    Am 25.04.2016 um 22:06 schrieb Woly:
    > auf einem Kundenrechner (Win7 Prof x86 - Domänenmitglied) wurde durch
    > einen Benutzer mit lokalen Adminrechten (Mitglied der lokalen
    > "Administratoren"-Gruppe) eine Software (DataCenter von Ideal
    > Industries) installiert.
     
    Deinstalliere die Software und installiere sie mal als System.
    - mit psexec
    - per Computer Startup Scrtip
    - per Task
     
    > Innerhalb dieser Software gibt es eine Stelle,
    > an der die Laufwerke des Benutzers (lokale und Netzlaufwerke)
    > aufgelistet werden sollen.
     
    Setze in der Registry:EnableLinkedConnections
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert Woly Mittwoch, 27. April 2016 06:16
    Dienstag, 26. April 2016 07:09
  • Hallo zusammen,

    der Hinweis auf den Process Monitor hat geholfen - vielen Dank Euch allen!

    Okay, woran lag es? Der Benutzer hat drei Netzwerk-Laufwerke gemappt (via globales Login Skript). Auf zwei davon hat er aber weder Schreib- noch Leserechte. Und daran hat sich die Software aufgehängt.

    Als Domänen-Admin hatte der Benutzer natürlich vorübergehend volle Rechte auf diese Laufwerke.

    Ich wünsch' Euch 'nen schönen Abend!
    (Wolfgang Juchmes)

    • Als Antwort markiert Woly Dienstag, 26. April 2016 19:27
    Dienstag, 26. April 2016 19:27