gelöst Administratorrechte im Dateisystem - Windows Server 2019 - DC

Mitglied: Indy06

Indy06 (Level 1) - Jetzt verbinden

13.08.2020 um 19:15 Uhr, 932 Aufrufe, 55 Kommentare, 1 Danke

Hallo, alle zusammen!

Es kommt ja nun doch mal vor, dass man als Administrator auf einem Windows Server 2019, der als DC läuft, mal wirklich Administratorrechte im Dateisystem, sprich Zugriff auf bestimmte Dateien und Ordner braucht. Dank der UAC und der Aberkennung sämtlicher Administratorrechte nach der Anmeldung und der Tatsache, dass man den Windows-Explorer auch nicht mehr explizit mit Administratorrechten starten kann, frage ich mich, wie denn eigentlich das beste Vorgehen in diesem Fall aussieht. Einen alternativen Dateimanger, den man mit "Ausführen als..." mit Administratorrechten startet kann, zu installieren, kann doch eigentlich nicht die Lösung sein, oder doch?

Gruß,
Indy
55 Antworten
Mitglied: DerWoWusste
13.08.2020 um 19:39 Uhr
Hi.

Hm, dass die Frage 2020 immer noch kommt, wo sie seit 2006 Dauergast in den Foren ist, ist schon fast bedenklich
Du hast im Wesentlichen 3 Möglichkeiten:

-Arbeite mit einem Extradateimanager wie angedacht
-mache einen Registryhack, damit der eingebaute Explorer doch per "ausführen als Administrator" ist
-nutze das Konto "Administrator", dass von der UAC nicht behindert wird, selbst, wenn diese an ist

Und frage dich , warum Du das überhaupt brauchst - wann passiert das, wie oft, warum stört es, die UAC-Aufforderungen zu bestätigen?
Bitte warten ..
Mitglied: jsysde
13.08.2020, aktualisiert um 20:17 Uhr
N'Abend.

Zitat von DerWoWusste:
[...]Und frage dich , warum Du das überhaupt brauchst - wann passiert das, wie oft, warum stört es, die UAC-Aufforderungen zu bestätigen?
Uih, Vorsicht - das ist mitnichten nur eine UAC-Aufforderung. Wenn ich z.B. als Administrator auf nem Terminalserver unterhalb von C:\User\<kollegexyz> den Downloads-Folder aufräumen will (weil der da mal wieder GB-weise Downloads lagert), erhalte ich beim Anklicken des Ordners <kollegexyz> die UAC-Aufforderung - bestätige ich diese, wird mein Account in die ACL des Folders eingetragen und bis nach unten vererbt.

Meiner Meinung nach ist das ^^ ein Szenario, dass man auf jeden Fall vermeiden will und auch sollte.

Ich nutze für Datei-Operationen gern den TotalCommander von ghisler.com, weil der eben genau "Als Administrator" ausgeführt werden kann.

Ursache für dieses Problem ist ja die Nutzung des nativen Administrator-Kontos (oder einer Kopie davon). Dieses Konto genießt besonderen Schutz und wird entsprechend eingeschränkt, auch wenn "Administratoren" Vollzugriff lt. NTFS-ACL haben sollten. Man kann das umgehen, indem man personalisierte Admin-Accounts generiert und diesen per Gruppenverschachtelung Zugriff gewährt. Ist etwas mehr Aufwand beim Einrichten, rechnet sich aber im Laufe der Zeit.

Cheers,
jsysde
Bitte warten ..
Mitglied: Daemmerung
13.08.2020 um 20:37 Uhr
Wieso kannst du denn die explorer.exe nicht als Administrator starten? Bei mir geht das einwandfrei.
Bitte warten ..
Mitglied: tech-flare
13.08.2020, aktualisiert um 21:27 Uhr
Zitat von DerWoWusste:
[...]Und frage dich , warum Du das überhaupt brauchst - wann passiert das, wie oft, warum stört es, die UAC-Aufforderungen zu bestätigen?
Uih, Vorsicht - das ist mitnichten nur eine UAC-Aufforderung. Wenn ich z.B. als Administrator auf nem Terminalserver unterhalb von C:\User\<kollegexyz> den Downloads-Folder aufräumen will (weil der da mal wieder GB-weise Downloads lagert), erhalte ich beim Anklicken des Ordners <kollegexyz> die UAC-Aufforderung - bestätige ich diese, wird mein Account in die ACL des Folders eingetragen und bis nach unten vererbt.
Dafür gibt es User Profile Disks.....diese kann man auch so mounten....vorausgesetzt es ist dementsprechend konfiguriert
Bitte warten ..
Mitglied: jsysde
13.08.2020 um 21:45 Uhr
N'Abend.

Zitat von tech-flare:
Dafür gibt es User Profile Disks.....diese kann man auch so mounten....vorausgesetzt es ist dementsprechend konfiguriert
Das ist mir auch klar - das sollte nur "ein" mögliches Beispiel sein und es geht auch primär darum, was es mit der UAC-Aufforderung in diesem Fall auf sich hat.

Cheers,
jsysde
Bitte warten ..
Mitglied: jsysde
13.08.2020 um 21:45 Uhr
N'Abend.

Zitat von Daemmerung:
Wieso kannst du denn die explorer.exe nicht als Administrator starten? Bei mir geht das einwandfrei.
Uih, da bin ich mal gespannt, wie du das machst...

Cheers,
jsysde
Bitte warten ..
Mitglied: tomolpi
13.08.2020 um 22:56 Uhr
Zitat von jsysde:

N'Abend.

Zitat von Daemmerung:
Wieso kannst du denn die explorer.exe nicht als Administrator starten? Bei mir geht das einwandfrei.
Uih, da bin ich mal gespannt, wie du das machst...
Über den Taskmanager abschießen, Datei -> neuer Task, explorer.exe und die Checkbox "als Administrator ausführen" würde wahrscheinlich gehen...
Cheers,
jsysde
tomolpi
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
14.08.2020, aktualisiert um 07:58 Uhr
Zitat von Indy06:

Hallo, alle zusammen!

Es kommt ja nun doch mal vor, dass man als Administrator auf einem Windows Server 2019, der als DC läuft, mal wirklich Administratorrechte im Dateisystem, sprich Zugriff auf bestimmte Dateien und Ordner braucht. Dank der UAC und der Aberkennung sämtlicher Administratorrechte nach der Anmeldung und der Tatsache, dass man den Windows-Explorer auch nicht mehr explizit mit Administratorrechten starten kann, frage ich mich, wie denn eigentlich das beste Vorgehen in diesem Fall aussieht.



Ich würde vorschlagen, das zur Freitagsfrage zu machen.

Also ich persönlich bin Paßworthasser und finde automatische Logins mit dem Domänenadministator eigentlich das Beste, damit diese nervigen Anfragen nicht kommen. Und ich will auch keine Virenscanner oder Firewalls, Vattern mußte ja auch ohne sowas auskommen. Als der nämlich mal mit Computern gemacht hat, mußte man nur die Konsole einschalten und man konnte sich einen Benutzernamen selber aussuchen der dann alles machen durfte - da sich noch niemand Gedanken über Rechte gemacht hat. Die Leute trugen damals weiße oder graue Kittel, wenn sie irgendwas im Rechnerraum zu schaffen hatten.

Und jetzt schalte ich mal den Sarkasmus aus - kauf dir bitte ein Buch über Windows. Willkommen im Club, man lernt beaknntermaßen nie aus. Aber deine allererste Aufgabe ist es, dich mit Group policies (und hier genauer der Default Domain controller policy) auseinanderzusetzen. Du kannst dir z.B. den Kopf zerbrechen, warum überhaupt ein UAC Prompt kommt, obwohl die Richtlinien dazu allesamt NICHT definiert sind.

Vor Windows 7 SP1 bzw- Windows Server 2008 wurden die nicht definierten UAC Richtlinien als inaktiv ausgewertet, mit Erscheinen vom SP1 bzw. Server 2008R2 wurden sie als aktiv ausgewertet. Diese Änderungen in der Interpretation NICHT GESETZTER GPOs ist das was einen Admin acuh heute noch fast in den Wahnsinn treiben kann, und es gibt Firmen, deren Gruppenrichtlinien enthalten 200-300 Einträge damit kein Mist passiert wenn mal wieder ein Update rauskommt das diese Interpretationsregeln ändert.

edit:

Vor ca. 2 Jahren kam z.B. ein Patch für Server raus, daß der RDP mit einem Mal anfing, "server authenticatin" als verpflichtend vorrauszusetzen bei nicht gesetzter GPO dazu. Millionen von Clients konnten dann mit einem Male keine RDP Verbidnungen zu Servern aufbauen.... mit einer Fehlermeldung daß die "CredSSP encryption oracle remediation”" fehlgeschlagen ist. Das Update für Clients kam dann einen Monat später heraus. Damit hatten wir besonders viel Spaß mit Azure...
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020 um 08:25 Uhr
Hier noch der Zusatz, wie man den Explorer als Admin startet:
--
Um den Explorer selbst mit runas starten zu können, ist nur ein kleiner Registryeingriff nötig

In regedit, gehe zu
HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}
make a right click on Permissions and set your user as owner (click on advanced button to be
able to take ownership) of the key and give your current user writing permissions.

Next, rename the value RunAs to _Runas

Danach kann man explorer.exe Rechtsklicken und „als Administrator ausführen wählen“ und er
handelt dann auch so wie erwartet.
--
4. Möglichkeit wurde auch schon in Ansätzen genannt und ist auf Fileservern empfehlenswert: erstelle eine Gruppe Fileserveradmins, gib der Vollzugriff und packe in die Gruppe deinen User (und andere Admins) rein. Achtung: hier nicht etwa die Administratorengruppe eintragen, sondern wirklich die Nutzer.
Bitte warten ..
Mitglied: emeriks
14.08.2020, aktualisiert um 09:04 Uhr
Hi,
zwei einfache Wege
  1. von einem anderen Computer aus über Netzwerk zuzugreifen. Sei es über dedizierte Ordnerfreigaben oder über die administrativen Freigaben C$, D$, ... Admin$, usw.
  2. mit einem anderen Benutzer arbeiten, der zwar Vollzugriff auf die betreffende Ordnerstruktur hat, aber eben kein Administrator ist

Übrigens ist das kein Problem von DC's sondern Windows Servern allgemein.

E.
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020, aktualisiert um 09:06 Uhr
von einem anderen Computer aus über Netzwerk zuzugreifen. Sei es über dedizierte Ordnerfreigaben oder über die administrativen Freigaben C$, D$, ... Admin$, usw.
Oder lokal: Nimm \\localhost\c$
Bitte warten ..
Mitglied: emeriks
14.08.2020 um 09:38 Uhr
Zitat von DerWoWusste:
Oder lokal: Nimm \\localhost\c$
Ja klar. Ich ziehe es aber vor, mich nur dann lokal an einem Server anzumelden, wenn es wirklich nicht anders geht.
Bitte warten ..
Mitglied: Daemmerung
14.08.2020 um 12:52 Uhr
Zitat von jsysde:

Zitat von Daemmerung:
Wieso kannst du denn die explorer.exe nicht als Administrator starten? Bei mir geht das einwandfrei.
Uih, da bin ich mal gespannt, wie du das machst...

Ich gehe in den Windows-Ordner, mache dort Rechtsklick und klicke auf "Als Administrator" ausführen. Dann startet er mir die explorer.exe als Administrator. Reden wir aneinander vorbei? Vielleicht meinst du ja etwas anderes als ich.

Grüße
Dämmerung
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020 um 12:54 Uhr
@Daemmerung:
Prüf mal nach, ob HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2} bei dir existiert oder nicht.
Bitte warten ..
Mitglied: Daemmerung
14.08.2020 um 12:56 Uhr
Ich schaue Montag mal nach, gerade Feierabend gemacht. Ich muss aber auch erwähnen, dass es sich um einen 2012R2 handelt, auf dem ich es getestet hatte.

Wenn ich sowas brauche, gehe ich i.d.R. aber auch über die Freigabe direkt. Man will ja beispielsweise mal ein Modul in die Powershell einbinden und die für andere Personen zur Verfügung stellen.
Bitte warten ..
Mitglied: jsysde
14.08.2020, aktualisiert um 23:25 Uhr
N'Abend.

Zitat von DerWoWusste:
Oder lokal: Nimm \\localhost\c$
Manchmal bist du einfach genial!
Da bin ich noch nie drauf gekommen, ich mach' das sonst auch mal von nem anderen Host aus per \\servername\c$.

Cheers,
jsysde
Bitte warten ..
Mitglied: jsysde
14.08.2020 um 23:29 Uhr
N'Abend.

Zitat von DerWoWusste:
Hier noch der Zusatz, wie man den Explorer als Admin startet:[...]
Widerspricht das nicht so ein wenig dem Sicherheitsgedanken, der hinter der "Non-Elevation" für diese Accounts steht?
Also selbst wenn es technisch so umsetzbar ist halte ich es für Symptome bekämpft statt Ursache (verstanden).

Cheers,
jsysde
Bitte warten ..
Mitglied: MysticFoxDE
15.08.2020 um 08:07 Uhr
Moin Indy,


und der Tatsache, dass man den Windows-Explorer auch nicht mehr explizit mit Administratorrechten starten kann

das stimmt so aber nicht so ganz.

Drücke die Windows Taste, dann tippe "cmd" ein, als nächstes klickst du auf das Icon der Eingabeaufforderung mit der rechten Maustaste und wählst "als Administrator ausführen" aus. Es öffnet sich eine Eingabeaufforderung in der du nun nur noch "explorer" eintippen musst und mit Enter bestätigen und schon öffnet sich ein Dateiexplorer mit vollen Adminrechten. 😉😎

Grüsse aus BaWü

Alex
Bitte warten ..
Mitglied: MysticFoxDE
15.08.2020 um 08:19 Uhr
Moin GrueneSosseMitSpeck,

Vor ca. 2 Jahren kam z.B. ein Patch für Server raus, daß der RDP mit einem Mal anfing, "server authenticatin" als verpflichtend vorrauszusetzen bei nicht gesetzter GPO dazu. Millionen von Clients konnten dann mit einem Male keine RDP Verbidnungen zu Servern aufbauen.... mit einer Fehlermeldung daß die "CredSSP encryption oracle remediation”" fehlgeschlagen ist. Das Update für Clients kam dann einen Monat später heraus. Damit hatten wir besonders viel Spaß mit Azure...

😱, daran kann ich mich noch bestens erinnern.

Lies sich aber zum Glück relativ schnell wieder einrenken.

AllowEncryptionOracle --> 2

Gruss Alex
Bitte warten ..
Mitglied: emeriks
17.08.2020, aktualisiert um 08:28 Uhr
Zitat von MysticFoxDE:
Drücke die Windows Taste, dann tippe "cmd" ein, als nächstes klickst du auf das Icon der Eingabeaufforderung mit der rechten Maustaste und wählst "als Administrator ausführen" aus. Es öffnet sich eine Eingabeaufforderung in der du nun nur noch "explorer" eintippen musst und mit Enter bestätigen und schon öffnet sich ein Dateiexplorer mit vollen Adminrechten. 😉😎
Das mag in früheren Versionen von Windows noch funktioniert haben aber spätestens seit Win10/2016 nicht mehr. Der Explorer, welcher sich da öffnet, ist genauso wenig eleviert, wie wenn man ihn direkt über "Ausführen" (Win+R) starten würde. Das kann man ganz einfach reproduzieren. Wenn es bei Dir trotzdem funktionieren sollte, dann daher, dass Du auf diesem Rechner UAC auf Minimum gestellt hast.
Meines Wissens funktioniert sogar der Registry-"Hack" nicht mehr, mit welchem man auch bei der Explorer.exe das "Ausführen als ..." im Kontextmenü aktivieren kann. Bzw. der Explorer startet auch dann "normal", also nicht eleviert.
Bitte warten ..
Mitglied: DerWoWusste
17.08.2020 um 10:15 Uhr
Das mag in früheren Versionen von Windows noch funktioniert haben...
So ist es.
Meines Wissens funktioniert sogar der Registry-"Hack" nicht mehr...
"Mein" Reghack funktioniert jedenfalls noch bei Win10 1909.
Bitte warten ..
Mitglied: MysticFoxDE
17.08.2020 um 15:02 Uhr
Moin Emeriks,

Das mag in früheren Versionen von Windows noch funktioniert haben aber spätestens seit Win10/2016 nicht mehr. Der Explorer, welcher sich da öffnet, ist genauso wenig eleviert, wie wenn man ihn direkt über "Ausführen" (Win+R) starten würde. Das kann man ganz einfach reproduzieren. Wenn es bei Dir trotzdem funktionieren sollte, dann daher, dass Du auf diesem Rechner UAC auf Minimum gestellt hast.
Meines Wissens funktioniert sogar der Registry-"Hack" nicht mehr, mit welchem man auch bei der Explorer.exe das "Ausführen als ..." im Kontextmenü aktivieren kann. Bzw. der Explorer startet auch dann "normal", also nicht eleviert.

bin gerade auf meinem 2019er DC und muss feststellen, dass der Trick immer noch funktioniert. 😉

Grüsse aus BaWü

Alex
Bitte warten ..
Mitglied: DerWoWusste
17.08.2020 um 15:08 Uhr
Ja schön, aber das klappt nicht auf einem frisch installierten 2019er. Keine Ahnung, was Du dazu verändert hast, ob's nun die UAC ist, oder was auch immer.
Bitte warten ..
Mitglied: MysticFoxDE
17.08.2020 um 16:44 Uhr
Zitat von DerWoWusste:

Ja schön, aber das klappt nicht auf einem frisch installierten 2019er. Keine Ahnung, was Du dazu verändert hast, ob's nun die UAC ist, oder was auch immer.

uac - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
17.08.2020, aktualisiert um 17:58 Uhr
Ja nun, was ist denn Elevation für dich? In meinem elevateten Explorer kann ich c: öffnen und in den Freiraum im Explorer klicken und "neu: Textdatei" erzeugen. Im normalen nicht, da bietet der Explorer direkt unter c: nur an, Ordner zu erzeugen.
Bitte warten ..
Mitglied: MysticFoxDE
17.08.2020 um 19:53 Uhr
Moin DerWoWusste,

Ja nun, was ist denn Elevation für dich? In meinem elevateten Explorer kann ich c: öffnen und in den Freiraum im Explorer klicken und "neu: Textdatei" erzeugen. Im normalen nicht, da bietet der Explorer direkt unter c: nur an, Ordner zu erzeugen.

datei - Klicke auf das Bild, um es zu vergrößern

Das ist ja lustig, auf meinem DC wird unter dem Domänenadministrator der Explorer immer ohne UAC ausgeführt,
da brauche ich den Trick mit dem CMD gar nicht anzuwenden.

Hmm, das kenne ich aber auch etwas anders, das ist jetzt doch etwas komisch. ???

Grüsse aus BaWü

Alex
Bitte warten ..
Mitglied: DerWoWusste
17.08.2020 um 20:48 Uhr
Na sowas... solltest Du etwa das eingebaute Konto "Administrator" nutzen, so wie bereits in meiner ersten Antwort behandelt? Für das ist die UAC stets inaktiv, egal, wie sie eingestellt ist.
Bitte warten ..
Mitglied: emeriks
18.08.2020 um 08:53 Uhr
Zitat von DerWoWusste:
Na sowas... solltest Du etwa das eingebaute Konto "Administrator" nutzen
Das wette ich!
Bitte warten ..
Mitglied: MysticFoxDE
18.08.2020 um 10:25 Uhr
Moin DerWoWusste,


Zitat von DerWoWusste:

Na sowas... solltest Du etwa das eingebaute Konto "Administrator" nutzen, so wie bereits in meiner ersten Antwort behandelt? Für das ist die UAC stets inaktiv, egal, wie sie eingestellt ist.

ja habe ich, weil oben genau von diesem Konto die rede ist.

Es kommt ja nun doch mal vor, dass man als Administrator auf einem Windows Server 2019, der als DC läuft, mal wirklich Administratorrechte ...

Oder habe ich da jetzt was falsch verstanden?

---

Aber dennoch gebe ich auch gerne zu, dass mir diese UAC Einschränkung so nicht wirklich bewusst gewesen ist.
Habe mich soeben mit einem anderen Benutzerkonto, welches ebenfalls über Domänen-Admin-Rechte verfügt auch noch Mal auf dem DC angemeldet und hier greift die "Sperre" und ich kann diese auch nicht mit dem CMD Trick umgehen.

Interessant, ist mir so bisher noch nie direkt aufgefallen.

Grüsse aus BaWü

Alex
Bitte warten ..
Mitglied: DerWoWusste
18.08.2020 um 11:24 Uhr
Lass uns diesen Thread, der weiterhin ohne Feedback vom Fragesteller abläuft, nicht weiter ausdehnen.
"als Administrator" heißt eben nicht zwangsläufig als Konto "Administrator".
Bitte warten ..
Mitglied: MysticFoxDE
18.08.2020 um 12:53 Uhr
Moin DerWoWusste,

Lass uns diesen Thread, der weiterhin ohne Feedback vom Fragesteller abläuft, nicht weiter ausdehnen.
"als Administrator" heißt eben nicht zwangsläufig als Konto "Administrator".

mal unabhängig von dem fehlenden Feedback des TOs, bin ich für die obere Erkenntnis nicht undankbar.
Nun weis ich ganz genau, weshalb die eine oder andere Installation von Drittanwendungen erst sauber funktioniert hat,
nachdem ich diese mit dem Domänenadministratorkonto ausgeführt habe.

Man(n), lernt eben nie aus. 🙃

Grüsse aus BaWü

Alex
Bitte warten ..
Mitglied: Indy06
21.08.2020 um 12:15 Uhr
Zitat von MysticFoxDE:

bin gerade auf meinem 2019er DC und muss feststellen, dass der Trick immer noch funktioniert. 😉


Funktioniert bei mir (Windows Server 2019, DC) nicht mehr. UAC steht auf höchster Stufe.

Gruß,
Beef
Bitte warten ..
Mitglied: DerWoWusste
21.08.2020 um 12:27 Uhr
@Beef
Du hast jetzt nicht unbedingt Feedback zu anderen gegeben - woran liegt das?
Bitte warten ..
Mitglied: Indy06
21.08.2020 um 12:35 Uhr
Zitat von MysticFoxDE:
Aber dennoch gebe ich auch gerne zu, dass mir diese UAC Einschränkung so nicht wirklich bewusst gewesen ist.
Habe mich soeben mit einem anderen Benutzerkonto, welches ebenfalls über Domänen-Admin-Rechte verfügt auch noch Mal auf dem DC angemeldet und hier greift die "Sperre" und ich kann diese auch nicht mit dem CMD Trick umgehen.

Interessant, ist mir so bisher noch nie direkt aufgefallen.


Also, ich bin vollständig verwirrt: Ich habe einen Ordner auf den <Domäne>\Administratoren Vollzugriff hat und bin mit dem Konto <Domäne>\Administrator direkt am DC angemeldet. Ich habe keinen Zugriff auf diesen Ordner, egal welchen "Trick" ich probiere. Außer ich starte z.B. notepad.exe mit Administratorrechten ("Als Administrator ausführen"). Dann kann ich im Dialog "Datei öffnen" auf diesen Ordner zugreifen. Meine UAC steht auf höchster Stufe. Mir sagt das, dass die Benutzerkontensteuerung auch für das "Administrator"-Konto selbst aktiv ist und nicht etwa davon ausgenommen wird.

Aus den Kommentaren entnehme ich weiterhin, dass es keine gute Idee ist mit dem "Administrator"-Konto zu arbeiten, sondern ein alternatives Konto einzurichten. Ist das so richtig? Wo liegt der Vorteil? Reicht es dazu aus, einen neuen Domänen-Benutzer Mitglied der Gruppen

Administratoren
Domänen-Admins
Domänen-Benutzer
Organisations-Admins
Richtlinien-Ersteller-Besitzer
Schema-Admins

zu machen, um einen neuen Administrator zu erzeugen? Eine Trennung von Verantwortlichkeiten oder Verteilung der Rechte auf mehrere Benutzer wird es in unserer Organisation nicht geben können.

Gruß,
Indy
Bitte warten ..
Mitglied: Indy06
21.08.2020 um 12:39 Uhr
Zitat von DerWoWusste:

Lass uns diesen Thread, der weiterhin ohne Feedback vom Fragesteller abläuft, nicht weiter ausdehnen.
"als Administrator" heißt eben nicht zwangsläufig als Konto "Administrator".

Sorry, ich habe mich erdreistet Urlaub zu machen!

Ich bin im Augenblick immer mit dem wirklich wahrhaftigen "Administrator"-Konto angemeldet. Siehe auch meine anderen Kommentare.

Gruß,
Indy
Bitte warten ..
Mitglied: DerWoWusste
21.08.2020 um 12:41 Uhr
Mir sagt das, dass die Benutzerkontensteuerung auch für das "Administrator"-Konto selbst aktiv ist und nicht etwa davon ausgenommen wird.
Falsch, 100%ig. Wenn Du als Adminkonto, welches auch "Administrator" heißt, angemeldet bist, schränkt dich die UAC nicht ein. Das gilt für den lokalen und für den Domänenadmin. Beschreib bitte genau, was der nicht kann.
Bitte warten ..
Mitglied: Indy06
21.08.2020 um 13:00 Uhr
Zitat von GrueneSosseMitSpeck:

Ich würde vorschlagen, das zur Freitagsfrage zu machen.

Ist das gut, oder ist das schlecht?

Und jetzt schalte ich mal den Sarkasmus aus - kauf dir bitte ein Buch über Windows. Willkommen im Club, man lernt beaknntermaßen nie aus. Aber deine allererste Aufgabe ist es, dich mit Group policies (und hier genauer der Default Domain controller policy) auseinanderzusetzen. Du kannst dir z.B. den Kopf zerbrechen, warum überhaupt ein UAC Prompt kommt, obwohl die Richtlinien dazu allesamt NICHT definiert sind.


Weil bei mir die UAC auf höchster Stufe steht? Nee, gerade ausprobiert, sie kommt auch mit der zweithöchsten Einstellung. Was meiner Meinung nach auch absolut Sinn ergibt, wenn die Benutzerkontensteuerung auch für den Benutzer "Administrator" aktiv ist. Siehe auch meine andern Kommentare.

Vor Windows 7 SP1 bzw- Windows Server 2008 wurden die nicht definierten UAC Richtlinien als inaktiv ausgewertet, mit Erscheinen vom SP1 bzw. Server 2008R2 wurden sie als aktiv ausgewertet. Diese Änderungen in der Interpretation NICHT GESETZTER GPOs ist das was einen Admin acuh heute noch fast in den Wahnsinn treiben kann, und es gibt Firmen, deren Gruppenrichtlinien enthalten 200-300 Einträge damit kein Mist passiert wenn mal wieder ein Update rauskommt das diese Interpretationsregeln ändert.


Tut mir leid, ich habe mir wirklich größe Mühe gegeben, Dich zu verstehen, aber ich komme leider nicht darauf, was das mit dem eigentlichen Problem zu tun hat. Ich verwende Gruppenrichtlinien, um die UAC-Einstellungen der Clients zu bestimmen (in der "Default Domain Policy"). In der "Default Domain Controllers Policy" sind die Einstellungen für die UAC "Nicht definiert". Damit sollte doch genau das gelten, was ich lokal am DC in den "Einstellungen der Benutzerkontensteuerung" vorgebe. Ich habe den Schieberegler immer auf höchster Stufe. Ich wüsste jetzt nicht, was eine Änderung der Interpretation von GPOs damit zu tun hat.

Gruß,
Indy
Bitte warten ..
Mitglied: Indy06
21.08.2020 um 13:02 Uhr
Zitat von jsysde:

N'Abend.

Uih, Vorsicht - das ist mitnichten nur eine UAC-Aufforderung. Wenn ich z.B. als Administrator auf nem Terminalserver unterhalb von C:\User\<kollegexyz> den Downloads-Folder aufräumen will (weil der da mal wieder GB-weise Downloads lagert), erhalte ich beim Anklicken des Ordners <kollegexyz> die UAC-Aufforderung - bestätige ich diese, wird mein Account in die ACL des Folders eingetragen und bis nach unten vererbt.

Meiner Meinung nach ist das ^^ ein Szenario, dass man auf jeden Fall vermeiden will und auch sollte.


Ja, vielen Dank, genau dass ist das Problem!

Gruß,
Indy
Bitte warten ..
Mitglied: Indy06
21.08.2020 um 13:21 Uhr
Zitat von DerWoWusste:

Falsch, 100%ig. Wenn Du als Adminkonto, welches auch "Administrator" heißt, angemeldet bist, schränkt dich die UAC nicht ein. Das gilt für den lokalen und für den Domänenadmin. Beschreib bitte genau, was der nicht kann.

Habe ich schon beschrieben: Es gibt einen Ordner (im Hauptverzeichnis einer zweiten Partition), auf den die Gruppe <Domäne>\Administratoren Vollzugriff hat. Ich bin als <Domäne>\Administrator direkt am DC angemeldet und kann den Ordner im Explorer nicht öffen ("Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner - Klicken Sie auf "Fortsetzen", um dauerhaft Zugriff auf diesen Ordner zu erhalten."). Wenn ich notepad.exe "Als Administrator ausführe" (Rechtsklick usw.), kann ich im Datei öffnen Dialog den Ordner öffnen und auf die Inhalte zugreifen. Das geht nicht, wenn ich notepad.exe "normal" starte. Und ganz ehrlich: Bisher habe ich das für ein völlig normales Verhalten gehalten. Und das einzige was mich stört ist, dass ich den Explorer nicht mit erhöhten Rechten starten kann (wie notepad.exe) und deshalb erst einen alternativen Dateimanager bemühen muss. Das hört sich nämlich nicht besonders professionell an!

Gruß,
Beef
Bitte warten ..
Mitglied: MysticFoxDE
21.08.2020 um 13:23 Uhr
Moin Indy06,
Moin Isysde,

euch ist hoffentlich schon klar, dass wenn der Userordner nicht euch und oder einem Service User (keine reale Person) gehört,
so dürft Ihr nicht so einfach in einen solchen reingehen und irgendwelche Sachen löschen, auch dann nicht wenn es nur Unsinn ist.

Wenn Ihr fremde Userordner durchforstet, dann ist dies datenschutztechnisch mehr als nur kritisch und deshalb hat normalerweise
auch der Administrator selbst keinen Zugriff auf diese!

Es gibt zwar mindestens einen Trick, wie man dem Administrator bei jedem Userordner den Zugriff verpassen kann, aber ich bin mir nicht ganz sicher, ob dieser Trick hier angebracht ist.

Grüsse aus BaWü

Alex
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 21.08.2020 um 13:25 Uhr
Ok, ich kann leider nur wiederholen, was ich schon geschrieben habe:

->Kontoname="Administrator" bedeutet: UAC ist aus. Ein wählen von "als Administrator ausführen" darf keinen Unterschied machen.
Wenn es sich für dich dennoch so darstellt, ist etwas defekt und du wirst das Verhalten auf frisch installierten Systemen nicht nachstellen können.

Und das einzige was mich stört ist, dass ich den Explorer nicht mit erhöhten Rechten starten kann
Doch, kannst Du und ich habe es oben beschrieben.
In regedit, gehe zu
HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}
make a right click on Permissions and set your user as owner (click on advanced button to be
able to take ownership) of the key and give your current user writing permissions.

Next, rename the value RunAs to _Runas

Danach kann man explorer.exe Rechtsklicken und „als Administrator ausführen wählen“ und er
handelt dann auch so wie erwartet.
Bitte warten ..
Mitglied: Indy06
21.08.2020 um 13:27 Uhr
Zitat von jsysde:

Ursache für dieses Problem ist ja die Nutzung des nativen Administrator-Kontos (oder einer Kopie davon). Dieses Konto genießt besonderen Schutz und wird entsprechend eingeschränkt, auch wenn "Administratoren" Vollzugriff lt. NTFS-ACL haben sollten. Man kann das umgehen, indem man personalisierte Admin-Accounts generiert und diesen per Gruppenverschachtelung Zugriff gewährt. Ist etwas mehr Aufwand beim Einrichten, rechnet sich aber im Laufe der Zeit.

Über diesen Punkt sollte man sich vielleicht einig werden, denn in diesem Thread exisitieren zwei gegensätzliche Ansichten über die Eigenschaften des "Administrator"-Accounts.

Gruß,
Indy
Bitte warten ..
Mitglied: DerWoWusste
21.08.2020 um 13:29 Uhr
Ursache für dieses Problem ist ja die Nutzung des nativen Administrator-Kontos (oder einer Kopie davon). Dieses Konto genießt besonderen Schutz und wird entsprechend eingeschränkt, auch wenn "Administratoren" Vollzugriff lt. NTFS-ACL haben sollten.
Das ist ausgemachter Unsinn. Das Konto besitzt keinen "Schutz". Allenfalls dieses: https://www.lepide.com/blog/what-is-an-adminsdholder-attack-and-how-to-d .... aber das hat nichts mit den Aktionen des Kontos zu tun, sondern nur mit dem Userobject im AD.
Bitte warten ..
Mitglied: Indy06
21.08.2020 um 13:59 Uhr
Zitat von DerWoWusste:

Ok, ich kann leider nur wiederholen, was ich schon geschrieben habe:

->Kontoname="Administrator" bedeutet: UAC ist aus. Ein wählen von "als Administrator ausführen" darf keinen Unterschied machen.
Wenn es sich für dich dennoch so darstellt, ist etwas defekt und du wirst das Verhalten auf frisch installierten Systemen nicht nachstellen können.

Ok, sorry, ich nehme alles zurück und behaupte das Gegenteil!

https://www.gruppenrichtlinien.de/artikel/uac-richtig-konfigurieren/ ist der "Übeltäter". Diese Richtlinien werden bei mir auf Domänen-Ebene verteilt und gelten damit auch für den DC und nicht, wie ich fälschlicherweise angenommen habe (s.o.), nur für die Clients. Damit erklärt sich das Verhalten meines DCs. Wenn ich das richtige verstehe macht es bei diesen Einstellungen auch keinen Unterschied, ob man das native oder andere Administratorkonten verwendet. Für alle wäre die UAC aktiviert. Der Autor ist von diesen Einstellungen ja absolut überzeugt, wie seht Ihr das?

Vielen Dank für das mit der Nase-drauf-stoßen,
Indy
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 21.08.2020, aktualisiert um 14:02 Uhr
Und noch was fällt mir ein: könnt es sein, dass die UAC per Policy strenger eingestellt ist bei Euch? Dann ist es doch kein Defekt, sondern hausgemacht: Prüfe das hier: User Account Control: Admin Approval Mode for the Built-in Administrator account
Ist das aktiviert (default: aus), dann wird auch der eingebaute Admin von der UAC reguliert. Das würde dein "Problem" erklären.
bedeutet: UAC ist aus für den eingebauten Administrator.
Edit: ach schau, da schreibst Du es ja schon. Dem Heitbrink gefolgt, soso
Bitte warten ..
Mitglied: Indy06
21.08.2020, aktualisiert um 14:10 Uhr
Zitat von DerWoWusste:
Edit: ach schau, da schreibst Du es ja schon. Dem Heitbrink gefolgt, soso

Uuuuund? Wie ist Deine Meinung dazu? Abgesehen davon, dass man einen andern Dateimanger braucht...

Edit: Ein Vorteil dieser Einstellungen könnte sein, dass man diese Probleme umschifft:

https://tec-zwo.de/nicht-ausreichende-berechtigung-microsoft-uac-fehler/

Diese Fehler habe ich nämlich auf unserem DC noch nicht bemerkt!

Indy
Bitte warten ..
Mitglied: DerWoWusste
21.08.2020, aktualisiert um 14:17 Uhr
Man braucht keinen anderen Dateimanager. Ich schreib doch jetzt schon zum dritten Mal, dass es per Registryeintrag einen Weg gibt, wenn man denn unbedingt den Explorer nutzen will.
Meine Meinung dazu: den eingebauten Admin deaktiviert man. Wenn nicht, dann hat man wirklich einen Grund für dessen Einsatz und dann braucht man auch keine UAC für den. Somit ist die genannte Policy unnötig.
Bitte warten ..
Mitglied: DerWoWusste
21.08.2020 um 14:17 Uhr
Kommt hier auch nicht vor auf 2019 - auch ohne die genannte Einstellung. Was auch immer da war, es besteht nicht mehr.
Bitte warten ..
Mitglied: Indy06
21.08.2020 um 14:17 Uhr
Zitat von DerWoWusste:

Meine Meinung dazu: den eingebauten Admin deaktiviert man. Wenn nicht, dann hat man wirklich einen Grund für dessen Einsatz und dann braucht man auch keine UAC für den. Somit ist die genannte Policy unnötig.

Ok, vielen Dank!

Indy
Bitte warten ..
Mitglied: jsysde
21.08.2020 um 22:57 Uhr
N'Abend.

Zitat von DerWoWusste:
Das ist ausgemachter Unsinn. Das Konto besitzt keinen "Schutz".
Ist es nicht: https://medium.com/palantir/windows-privilege-abuse-auditing-detection-a ...

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
21.08.2020 um 23:14 Uhr
Beschreibe, was daraus nun nur für den eingebauten Admin gilt. Denn darum geht es ja.
Bitte warten ..
Mitglied: jsysde
22.08.2020 um 09:02 Uhr
Moin.

Zitat von DerWoWusste:
Beschreibe, was daraus nun nur für den eingebauten Admin gilt. Denn darum geht es ja.
Bei entsprechender UAC-Einstellung wird das Access Token des eingebauten Domain Administrator Accounts "Administrator" (und aller Kopien davon) entsprechend eingeschränkt, der Zugriff entsprechend beschnitten. Ist doch genau das, was der TE eingangs beschreibt. Vielleicht habe ich mich oben unklar ausgedrückt, aber das vom TE beschriebene "Problem" ist per se keines, sondern schlicht so gewollt.

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
22.08.2020 um 09:27 Uhr
Ja, bei entsprechender Einstellung (non-Default) schon, davon sprach @mysticalfox aber nicht.

Da man davon ausgeht, dass Leute sowas nicht absichtlich einstellen und danach hier fragen, warum es sich so verhält, wie sie es selbst eingestellt haben, war dieser Grund alles andere als naheliegend.
Bitte warten ..
Mitglied: MysticFoxDE
22.08.2020, aktualisiert um 09:35 Uhr
Moin DerWoWusste,

davon sprach @mysticalfox aber nicht.

wie, wo, was, wann, ich stehe auf dem Schlauch, wovon habe ich nichts gesprochen? 😖

Grüsse aus BaWü

Alex
Bitte warten ..
Mitglied: DerWoWusste
22.08.2020 um 11:52 Uhr
Du schriebst, das native Administrator-Kontos (oder einer Kopie davon) genieße besonderen Schutz und würde entsprechend eingeschränkt. Scroll ein paar Kommentare hoch. Das habe ich als Unsinn bezeichnet und jsysde ist dir zur Seite gesprungen - ich finde aber seinen Einwand unpassend, da man nicht sagen kann, dass das Konto per Default schon irgendwie geschützt oder gar eingeschränkt ist - ganz im Gegenteil, es darf von allen Adminkonten per Default als Einziges seine Rechte auch ausspielen.

Ich hoffe, das ist nun kein Grund, diese Diskussion neu zu entfachen
Bitte warten ..
Ähnliche Inhalte
Windows Server

Domäne mit Essentials 2019 DC - Server 2019 Std als Mitgliedsserver

Frage von rudi222Windows Server14 Kommentare

Hi! Es soll eine Domäne mit Server Essentials 2019 aufgesetzt werden. Dazu wird ein Hyper-V Host für 3 oder ...

Exchange Server

Windows Server 2019 als DC und Exchange 2016, Exchange 2010

gelöst Frage von LaBombaExchange Server11 Kommentare

Hallo, ich habe nun schon einige Seiten im Internet durch, konnte meine Frage jedoch noch nicht 100% klären. Da ...

Windows Server

Windows Server 2019 mit Exchange 2019

Frage von netshapeWindows Server2 Kommentare

Hallo, Bin gerade dabei unsere Server neu einzurichten und die Frage Windows Server 2019 mit Exchange 2019 oder Windows ...

Windows Installation

SBS-2011 DC-Migration nach Server 2019

gelöst Frage von Herbert-HHWindows Installation4 Kommentare

Hallo zusammen, ich versuche gerade einen SBS2011 auf Server 2019 zu migrieren wobei es nur um das AD geht. ...

Windows Server

Windows Server 2012 HP Rok Version als DC Updaten auf Windows Server 2019

Frage von roeggiWindows Server3 Kommentare

Hallo Zusammen Ich wünsche euch erstmals schöne Festtage. Ich beschäftige mich mit einer Frage zu den Verschiedenen Windos Server ...

Windows Server

SBS 2011 DC sowie Exchange Migration zu Windows Server 2019 sowie Exchange

Frage von WalkersWindows Server7 Kommentare

Servus Jungs Ist: Momentan ist der Server SBS 2011 DC mit Exchange im einsatz. Auf dem SBS 2011 laufen ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Macbook oder Surface Book 3?
gelöst Frage von FamousDex089Notebook & Zubehör36 Kommentare

Hallo Zusammen :-), ich bin komplett neu in der IT Admin schiene und neu in diesem Forum. Ich habe ...

Outlook & Mail
Outlook App auf Android
gelöst Frage von PeterGygerOutlook & Mail21 Kommentare

Hallo Folgende Situation: Samsung S3 Samsung S5 Mini Die Microsoft Outlook App kann nicht mehr gestartet werden. Es waren ...

Windows Server
AD (virtualisiert) und alle angeschlossenen Clients fahren ungeplant herunter
Frage von tobitobsnWindows Server18 Kommentare

Ich habe aktuell ein Problem, dass ein frisch aufgesetzer Hyper-V mit einem virtualisierten AD regelmäßig 1x die Woche herunterfährt ...

Humor (lol)
So eine Art Jobangebot
Frage von Melvin.van.HorneHumor (lol)18 Kommentare

Moin, ich habe eben eine Zeit damit zugebracht eine GPO für eine Gruppe von Clients zu erstellen. Egal was ...

Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
Frage von ipzipzapSwitche und Hubs17 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

SAN, NAS, DAS
Probleme mit der GIGABIT Leitung - Finden der Krücke - Wer ist schuld ?
gelöst Frage von daswinimramSAN, NAS, DAS16 Kommentare

Hallo Community , folgender Aufbau : "erfolgreich" umgestellt auf Gigabit Tarif am 26.09.20 Speedtests wurden von allen PCs hinter ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT