Benötigtes Recht ermitteln
Hallo zusammen,
gibt es unter Windows 7 Professional eine Möglichkeit, zu ermitteln, auf welche Rechte (nicht NTFS-Berechtigungen) ein Programm zurückgreift?
Der Hintergrund ist folgender: Wir benutzen die Web-Exportfunktion von Lotus Organizer 6.1, um unsere Gottesdienst- und Veranstaltungstermine auf unsere WebSite zu exportieren. Unter Windows XP war das kein Problem, aber nachdem wir nun auf Windows 7 umgestellt haben, geht es nicht mehr. Grundsätzlich funktioniert der Lotus Organizer problemlos, aber wenn ich in der Menüleiste im Menü Datei auf den Punkt Als Web-Seiten veröffentlichen anklicke passiert ... nichts
Als Administrator geht es allerdings, nur als Benutzer nicht. Da ich dem Benutzer bereits volle Schreibrechte auf das Programmverzeichnis gegeben habe, kann es an den NTFS-Berechtigungen eher nicht liegen (es sei denn, das Programm möchte ins Windows-Verzeichnis schreiben). Wir möchten unseren Sekretärinnen aber keine allgemeinen Administratorrechte geben. Aber vielleicht fehlt dem Programm ja nur ein ganz "bannales" Recht, welches man per GPO dem Benutzer zuweisen könnte. Daher die obige Frage ...
Danke im Voraus,
Sarek \\//
gibt es unter Windows 7 Professional eine Möglichkeit, zu ermitteln, auf welche Rechte (nicht NTFS-Berechtigungen) ein Programm zurückgreift?
Der Hintergrund ist folgender: Wir benutzen die Web-Exportfunktion von Lotus Organizer 6.1, um unsere Gottesdienst- und Veranstaltungstermine auf unsere WebSite zu exportieren. Unter Windows XP war das kein Problem, aber nachdem wir nun auf Windows 7 umgestellt haben, geht es nicht mehr. Grundsätzlich funktioniert der Lotus Organizer problemlos, aber wenn ich in der Menüleiste im Menü Datei auf den Punkt Als Web-Seiten veröffentlichen anklicke passiert ... nichts
Als Administrator geht es allerdings, nur als Benutzer nicht. Da ich dem Benutzer bereits volle Schreibrechte auf das Programmverzeichnis gegeben habe, kann es an den NTFS-Berechtigungen eher nicht liegen (es sei denn, das Programm möchte ins Windows-Verzeichnis schreiben). Wir möchten unseren Sekretärinnen aber keine allgemeinen Administratorrechte geben. Aber vielleicht fehlt dem Programm ja nur ein ganz "bannales" Recht, welches man per GPO dem Benutzer zuweisen könnte. Daher die obige Frage ...
Danke im Voraus,
Sarek \\//
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 236534
Url: https://administrator.de/forum/benoetigtes-recht-ermitteln-236534.html
Ausgedruckt am: 02.04.2025 um 23:04 Uhr
13 Kommentare
Neuester Kommentar
Moin,
Ich würde einfach mal mit den Sysinternals Tools von MS, genauer dem Process Explorer mal nachschauen, was da schiefgeht. zur Not reicht eventuell auch das ältere filemon, was aber nicht mehr so einfach herunterzuladen ist.
lks
Ich würde einfach mal mit den Sysinternals Tools von MS, genauer dem Process Explorer mal nachschauen, was da schiefgeht. zur Not reicht eventuell auch das ältere filemon, was aber nicht mehr so einfach herunterzuladen ist.
lks
Zitat von @SarekHL:
> Zitat von @Lochkartenstanzer:
>
> Ich würde einfach mal mit den Sysinternals Tools von MS,
genauer dem Process Explorer mal nachschauen, was da schiefgeht.
Was Du da verlinkt hast, ist nicht der Process Explorer, sondern der Process Monitor, aber ich nehme an, daß es dann auch
der sein sollte?
> Zitat von @Lochkartenstanzer:
>
> Ich würde einfach mal mit den Sysinternals Tools von MS,
genauer dem Process Explorer mal nachschauen, was da schiefgeht.
Was Du da verlinkt hast, ist nicht der Process Explorer, sondern der Process Monitor, aber ich nehme an, daß es dann auch
der sein sollte?
Jepp, der Vorläufer hiees Process Explorer, iirc.
Den habe ich also gerade mal benutzt, aber der schmeißt ja so viele Informationen raus, dass es schwierig
ist, die vernünftig auszuwerten. Gibt es eine Möglichkeit, nur die Aktivitäten anzuzeigen, die unmittelbar oder
mittelbar von dem Prozess org6.exe hervorgerufen wurden?
ist, die vernünftig auszuwerten. Gibt es eine Möglichkeit, nur die Aktivitäten anzuzeigen, die unmittelbar oder
mittelbar von dem Prozess org6.exe hervorgerufen wurden?
Über das Filtermenü sollte man passende Filter definieren können.
lks
Hallo Sarek.
Beispiel:
Das ganze kannst du auch hier nachlesen:
Was du alternativ zum Procmon hernehmen kannst, ist der Microsoft Standard User Analyzer aus dem Microsoft Application Compatibility Toolkit.
Grüße Uwe
Zitat von @SarekHL:
Lann man bestimmt, wenn man weiß, wie. Ich habe es bisher jedenfalls nicht geschafft.
Kein Problem, vereinfachen kanst du dir das wenn du die Zielscheibe im ProcessMonitor auf die Applikation ziehst, welche du beobachten möchtest:Lann man bestimmt, wenn man weiß, wie. Ich habe es bisher jedenfalls nicht geschafft.
Beispiel:
auch Vorgänge angezeigt werden, die nur mittelbar von org6.exe hervorgerufen wurden. Da hilft mir dann die "Parent PID" nicht mehr weiter.
Da es dir hier vorrangig um fehlende Zugriffsrechte geht, kannst du im Filter mit dem Feld Result auf ACCESS DENIED filtern. Dann siehst du schon mal wo es Probleme mit den Zugriffsrechten gibt. Ebenso kannst du die ganzen SUCCESS bzw. anderen überflüssigen Einträge ausfiltern indem du in der Liste einen Rechtsklick auf Success machst und dann Exclude SUCCESS... wählst. So lässt sich das ganze schon deutlich zusammenschrumpfen. Wenn du außerdem noch die Capture-Events auf die "wesentlichen" einschränkst => Registry und Filesystem, wird das ganze noch übersichtlicher.Das ganze kannst du auch hier nachlesen:
- Process Monitor - Hands-On Labs and Examples
- Using Microsoft Process Monitor to trace file-, rights- or registry related problems
Was du alternativ zum Procmon hernehmen kannst, ist der Microsoft Standard User Analyzer aus dem Microsoft Application Compatibility Toolkit.
Grüße Uwe
Das Programm hat immer nur so viel "Rechte" wie der User mit seinem Security-Token mitbringt, sofern es mit seinem Account gestartet wurde. Normalerweise sollte der ProcMon wenn es Probleme mit einem Recht gibt irgendwo zumindest ein paar Access Denied Meldungen auswerfen => ist das Programm durch den User mit zu wenig "Rechten" ausgestattet hat es also kein "Zugriff" auf bestimmte Objekte; hängt ja alles zusammen.
Bisher habe ich noch kaum ein Programm mit solchen Problemen nicht wieder mit dem ProcMon auf die Beine helfen können, man muss ihn nur zu bedienen wissen...manche App aber lässt sich auf Verderb und Gedeih nicht umstimmen ohne Admin-Rechte zu arbeiten.
Wenn du mit dem "Programmverzeichnis" "C:\Program Files (x86)" meinst, dies unterliegt durch die UAC besonderem Schutz auch bei Schreibrechten, das Problem könnte also daher herrühren. Solche Programme kann man dann sehr oft dadurch auf die Beine helfen indem man sie in ein anderes Verzeichnis außerhalb von "c:\program Files (x86)" installiert.
Des weiteren wären da Registry-Zugriff, und Funktionsaufrufe die Administrator-Rechte benötigen.
Ältere Programme benutzen nutzen oft nicht die dafür vorgesehenen APIs um den UAC Dialog zu triggern wenn mehr Rechte benötigt werden, diese halten sich also nicht an die empfohlenen Designregeln für Windows Applikationen. Dann landen Schreiboperationen oft im VirtualStore im AppData-Verzeichnis.
Grüße Uwe
Bisher habe ich noch kaum ein Programm mit solchen Problemen nicht wieder mit dem ProcMon auf die Beine helfen können, man muss ihn nur zu bedienen wissen...manche App aber lässt sich auf Verderb und Gedeih nicht umstimmen ohne Admin-Rechte zu arbeiten.
Wenn du mit dem "Programmverzeichnis" "C:\Program Files (x86)" meinst, dies unterliegt durch die UAC besonderem Schutz auch bei Schreibrechten, das Problem könnte also daher herrühren. Solche Programme kann man dann sehr oft dadurch auf die Beine helfen indem man sie in ein anderes Verzeichnis außerhalb von "c:\program Files (x86)" installiert.
Des weiteren wären da Registry-Zugriff, und Funktionsaufrufe die Administrator-Rechte benötigen.
Ältere Programme benutzen nutzen oft nicht die dafür vorgesehenen APIs um den UAC Dialog zu triggern wenn mehr Rechte benötigt werden, diese halten sich also nicht an die empfohlenen Designregeln für Windows Applikationen. Dann landen Schreiboperationen oft im VirtualStore im AppData-Verzeichnis.
Grüße Uwe
Warum dieser Würgaround unter Windows 7 notwendig ist (unter XP war das nie ein Problem), weiß ich nicht,
na ja, wenn da steht "compatible with Windows® 2000 and Windows XP" muss man sich auf neueren OS halt ab und zu auf solche Probleme einstellen. Hat ja schon einige Jahre auf dem Buckel Schön das du es trotzdem gelöst hast.
Grüße Uwe