kmulife
Goto Top

Berechtigungen Windows Server 2016 - Batchscript editieren

Hallo zusammen!

Meine Haare werden langsam grau aufgrund der Berechtigungslogik von Microsoft. Ich hoffe ein paar von euch können etwas Licht in den Dschungel bringen. face-wink

Wie arbeiten wir:
Windows Server 2016, Remotezugriff mit Adminuser a_name um Dinge zu verändern. Mit "normalem" User um sich Dinge anzeigen zu lassen.

Problematik:
Die Adminuser sind lokale Administratoren über eine Gruppe in der AD. Wenn Adminuser 1 ein Batchfile in C:\test erstellt und Adminuser 2 dieses dann bearbeitet, kann das File nicht überschrieben werden. Dies geht nur, wenn man den Editor als Administrator ausführt. Es kann doch nicht sein, dass ich jedes Programm mit 'Rechtsklick als Administrator' starten muss um effektive Änderungen zu machen? Warum kommt hier beim Überschreiben nicht die UAC, sondern "Zugriff verweigert"?

Wir haben extra "normaler" User und Adminuser getrennt... Interessant ist auch, dass der User effektiv eingetragen wird, wenn das File kopiert/erstellt wird, obwohl er eigentlich auch schon über die Gruppe Server\Administratoren abgedeckt wird.

Kurz zusammengefasst:
berechtigungen_m

  • Benutzer wird hinzugefügt wenn File von Adminuser erstellt wird. (unschön, da der A_User schon Rechte hat über Gruppe Administratoren.)
  • Wenn anderer A_User das batch-File bearbeitet, kann dieser das File nicht überschreiben. (Es muss kopiert werden, dann wird der zweite A_User auch fix hinterlegt :S)
  • Wenn Editor 'Als Administrator' gestartet wird, danach über 'öffnen' gewünschtes File öffnet, funktioniert es. Jedes mal ein Editor als Administrator zu starten, wenn man ein Script bearbeiten will, kann aber ja auch nicht die Lösung sein?

Was läuft hier falsch, bzw. wie müsste ich dies korrekt umsetzen?

Danke für die Hilfe
KMUlife


PS: Ich weiss das Microsoft momentan die Berechtigungen mit der UAC am umstellen ist, aber wenn es noch nicht überall sinnvoll umgesetzt ist, kann man es doch nicht fix in Windows Server 2016 einverleiben?!

Content-ID: 362720

Url: https://administrator.de/forum/berechtigungen-windows-server-2016-batchscript-editieren-362720.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

DerWoWusste
DerWoWusste 29.01.2018 um 11:41:53 Uhr
Goto Top
Hi.

Ernsthafte Frage nach 11 Jahren UAC? Speicher halt nicht dorthin, wo Adminrechte gebraucht werden.
emeriks
Lösung emeriks 29.01.2018 aktualisiert um 11:53:56 Uhr
Goto Top
Hi,
Problematik:
Die Adminuser sind lokale Administratoren über eine Gruppe in der AD. Wenn Adminuser 1 ein Batchfile in C:\test erstellt und Adminuser 2 dieses dann bearbeitet, kann das File nicht überschrieben werden.
Das ist korrekt und logisch, wenn man die Berechtingungen des Ordners "C:\Test" nach dessen Erstellung nicht anpasst.
Dies geht nur, wenn man den Editor als Administrator ausführt.
Auch das ist logisch, da - wie oben erwähnt - bei unveränderter ACL die Berechtigungen für den anderen Admin-User über die lokale Gruppe "Administratoren" geerbt werden. Und die Rechte und Privilegien aus der Mitgliedschaft in den lokalen Administratoren sind nun mal standardmäßig nur dann benutzbar, wenn man den Prozess (hier der Editor) voll eleviert startet.
Wir haben extra "normaler" User und Adminuser getrennt... Interessant ist auch, dass der User effektiv eingetragen wird, wenn das File kopiert/erstellt wird, obwohl er eigentlich auch schon über die Gruppe Server\Administratoren abgedeckt wird.
Auch logisch, ich wiederhole mich: Schaue ACL. Dort steht - standardmäßig - "Ersteller Besitzer" drin.
Was läuft hier falsch
Nichts.
Design-Fehler des konzipierenden Administrators.

E.
KMUlife
KMUlife 29.01.2018 um 13:55:05 Uhr
Goto Top
Hallo zusammen!

@dww - Danke für den Kommentar, bringt mir viel! Es gibt Admins die erst seit 2 Jahren als Serveradmin arbeiten (Meist auf schon bestehenden Systemen. Solche Frage tauchen halt auf wenn man mal was von Grund auf neu machen darf.), wenn du das schon seit 11 Jahren machst, schön für dich. Warum gehen eigentlich immer alle davon auf das man Master auf einem Gebiet ist? Wenn das so wäre bräuchte es dieses Forum nicht. So wie ich das sehe, hat Microsoft seit Vista immer mal wieder Änderungen an der UAC vorgenommen. Darum meine Frage hier.

@emerkis Danke für deine Hinweise!

Zitat von @emeriks:
Hi,
"Administratoren" geerbt werden. Und die Rechte und Privilegien aus der Mitgliedschaft in den lokalen Administratoren sind nun mal > standardmäßig nur dann benutzbar, wenn man den Prozess (hier der Editor) voll eleviert startet.

Design-Fehler des konzipierenden Administrators.

E.

Das ich ziemlich sicher einen Desgin-Fehler/Überlegungsfehler habe merke ich ja am geschilderten Problem.

Also meine erste Erkentnis:
  • Die Berechtigungen für C:\tmp verhalten sich nicht gleich wenn ich Server\Administratoren hinzugefügt habe mit Vollzugriff. (Standard) Und der Gruppe Administratoren die Domänengruppe als Mitglied gebe.
  • Wenn ich der Domänengruppe direkt Vollzugriff vergebe, funktionierts.

Die Fragen die sich mir nun stellen:
Warum müssen lokale Administratoren den Prozess voll evaluiert starten und Domänenadmins nicht? Es haben ja beide Vollzugriff. (Das meine ich mit, "die UAC ist noch nicht konsistent". Wenn dann müsste doch auch ein Domänenadmin den Prozess voll evaluiert starten müssen?

Ist in diesem Fall nicht angedacht, dass man Domänengruppen einer lokalen Gruppe als Mitglied hinzufügt? Meiner Meinung nach wäre das Sinnvoll.


LG KMUlife
DerWoWusste
DerWoWusste 29.01.2018 aktualisiert um 14:04:53 Uhr
Goto Top
Hör mal... es geht darum, dir zu helfen. Dieses Kommentar soll dir klar machen, dass die UAC zum 1x1 (erste Klasse Windows-Adminschule, erster Monat) gehört und ungemein wichtig ist - also bitte nicht übel nehmen. Geändert hat Microsoft daran nahezu gar nichts, seit es die UAC gibt.
--
"Warum müssen lokale Administratoren den Prozess voll evaluiert starten und Domänenadmins nicht?" - stimmt so nicht. Die UAC ist inaktiv für Konten, die "Administrator" heißen, also für den eingebauten lokalen Admin und den eingebauten Domänenadmin - jedoch nicht für andere Admins!
KMUlife
KMUlife 29.01.2018 um 14:30:08 Uhr
Goto Top
Hi DWW

Zitat von @DerWoWusste:

Hör mal... es geht darum, dir zu helfen. Dieses Kommentar soll dir klar machen, dass die UAC zum 1x1 (erste Klasse Windows-Adminschule, erster Monat) gehört und ungemein wichtig ist - also bitte nicht übel nehmen. Geändert hat Microsoft daran nahezu gar nichts, seit es die UAC gibt.

Das es Wichtig ist weiß ich, darum stelle ich ja Fragen dazu. Im Sinne von "Wer nicht Fragt bleibt dumm". Ich habe eine vierjährige Lehre hinter mir, je nach Einsatzgebiet und Vielseitigkeit im Arbeitsbereich gehen gewisse Dinge wieder vergessen oder wurden zu wenig klar behandelt. Uns wurde in der Lehre zum Beispiel gesagt, dass wir C++, Bash, Powershell, SQL und alles noch erdenkliche genau anschauen werden. Schlussendlich haben wir bei diesem Lehrer genau Bash wirklich angeschaut. Man muss halt mit dem Wissen arbeiten, welches zu Verfügung steht, der Rest muss man sich irgendwo holen. - Ich werde gerne Kritisiert, aber nur wenn ich auch sehe, dass das Gegenüber auch gewillt ist mir was beizubringen. Nur motzen verändert die Welt schließlich nicht... - Aber easy face-smile

Geändert hat Microsoft daran nahezu gar nichts, seit es die UAC gibt.
Das würde ich so also nicht unterschreiben. Vielleicht das Prinzip der UAC wurde nicht verändert. Doch wann es greifft und wann nicht, dass hat sich definitv stark verändert. Vergleich mal n Vista mit einem SBS 2008 mit einem Windows Server 2016. Natürlich kommst auf die Konfiguration an, aber wenn man mal vom Standart ausgeht.

--
"Warum müssen lokale Administratoren den Prozess voll evaluiert starten und Domänenadmins nicht?" - stimmt so nicht. Die UAC ist inaktiv für Konten, die "Administrator" heißen, also für den eingebauten lokalen Admin und den eingebauten Domänenadmin - jedoch nicht für andere Admins!

  • Aber mal ehrlich, mit dem lokalen Admin oder dem eingebauten Domänenadmin sollte man ja wohl nicht arbeiten/sogar deaktivieren oder habe ich da wieder was falsch mitgekriegt in meiner "Ersten Klasse Windows-Adminschule"?
  • Und wieso muss ich den Prozess nicht voll evaluiert starten, wenn ich die Domänengruppe mit Vollzugriff hinzufüge? Die hat jedenfalls kein "Administrator" im Namen

Danke fürs Aufklären
LG KMUlife
DerWoWusste
Lösung DerWoWusste 29.01.2018 aktualisiert um 14:39:04 Uhr
Goto Top
Oha...

UAC... wann es greifft und wann nicht, dass hat sich definitv stark verändert.
Nein, definitiv nicht.
mit dem lokalen Admin oder dem eingebauten Domänenadmin sollte man ja wohl nicht arbeiten
Unsinn. Es wurde von Microsoft für diese Konten aus einem einzigen Zweck ausgeschaltet: damit eben diese Konten "Administrator" unbeschwert administrieren können. Das ist eben kein "Arbeiten" (wie in Office, Mails, Internet), das ist echtes administrieren, wo eh alle Prozesse elevated werden müssen.
Wer das verstanden hat, kann den Administrator gerne nutzen.
wieso muss ich den Prozess nicht voll evaluiert starten, wenn ich die Domänengruppe mit Vollzugriff hinzufüge
Eben weil die UAC so arbeitet. Sie strippt die Full-Tokens von den Gruppen "Administratoren" und "Domänen-Admins". Berechtigt man andere Gruppen explizit, wie in deinem Fall, dann wird da ja überhaupt nicht elevated. Elevated wird nur, wenn man die Administratorprivilegien, welche man über Mitgliedschaft in diesen Gruppen bekommen hat, nutzen möchte.
KMUlife
KMUlife 30.01.2018 um 08:49:22 Uhr
Goto Top
HI DWW danke für deinen Hirnschmalz face-smile

Zitat von @DerWoWusste:
Nein, definitiv nicht.
Ein Vista war doch viel Aggressiver im Blocken wie ein Server 2008? Da konntest du ja schier garnix mehr starte ohne nicht zu elevaten...

Unsinn. Es wurde von Microsoft für diese Konten aus einem einzigen Zweck ausgeschaltet: damit eben diese Konten "Administrator" unbeschwert administrieren können. Das ist eben kein "Arbeiten" (wie in Office, Mails, Internet), das ist echtes administrieren, wo eh alle Prozesse elevated werden müssen.
Mir hat man gesagt, dass man es genau aus diesem Grund nicht nutzen soll, denn wenn ein solches Konto befallen wird hast du den Salat (oder hoffentlich n Backup). Man sagt ja auch man soll sich nur mit so wenigen Rechte wie nötig auf dem System bewegen. Ganz extrem wäre dann, einzelne Konten für einzelne Adminaufgaben zu erstellen (Bei mehreren Admins, okay, bei eins/zwei meiner Meinung nach übertrieben). Aber das ist meiner Meinung nach schon fast ne Glaubensfrage. Jedenfalls danke für deine Ansicht. =)

Wer das verstanden hat, kann den Administrator gerne nutzen.
Ich habe auch mal vom Argument gelesen, dass der lokale Administrator immer die gleiche SID hat und deshalb besonders "attraktiv" für Angriffe sein soll. Was hälst du den von dem?

wieso muss ich den Prozess nicht voll evaluiert starten, wenn ich die Domänengruppe mit Vollzugriff hinzufüge
Eben weil die UAC so arbeitet. Sie strippt die Full-Tokens von den Gruppen "Administratoren" und "Domänen-Admins". Berechtigt man andere Gruppen explizit, wie in deinem Fall, dann wird da ja überhaupt nicht elevated. Elevated wird nur, wenn man die Administratorprivilegien, welche man über Mitgliedschaft in diesen Gruppen bekommen hat, nutzen möchte.

Okay, danke, jetzt bin ich n Stück weiser.

Weitere Frage:
Dass der Editor beim Überschreiben des Files checkt, dass er dafür Adminrechte bräuchte und dann den elevated-Promt kommt, funktioniert nicht, weil der 'Editor-Prozess' schon ohne Elevated gestartet wurde, sehe ich dies richtig?

LG
KMUlife
emeriks
Lösung emeriks 30.01.2018 um 09:07:21 Uhr
Goto Top
Ich habe auch mal vom Argument gelesen, dass der lokale Administrator immer die gleiche SID hat und deshalb besonders "attraktiv" für Angriffe sein soll. Was hälst du den von dem?
Das ist schon seit Win2000 nicht mehr so,

Dass der Editor beim Überschreiben des Files checkt, dass er dafür Adminrechte bräuchte und dann den elevated-Promt kommt, funktioniert nicht, weil der 'Editor-Prozess' schon ohne Elevated gestartet wurde, sehe ich dies richtig?
Ja, korrekt. Notepad ist an dieser Stelle etwas "einfach" programmiert.
DerWoWusste
Lösung DerWoWusste 30.01.2018 aktualisiert um 09:08:06 Uhr
Goto Top
Ein Vista war doch viel Aggressiver im Blocken wie ein Server 2008?
Haargenau gleich. Die UAC hat sich erst seit 2008 R2/Win7 leicht verändert, dahingehend, dass sie nun mehr als "an und aus" als Einstellungen hat. Aber was sie triggert (prinzipiell) ist gleich geblieben.
Mir hat man gesagt, dass man es genau aus diesem Grund nicht nutzen soll, denn wenn ein solches Konto befallen wird hast du den Salat
Ja, aber beim Administrieren passiert sowas nicht, das passiert beim rumdaddeln mit dubiosen Downloads, beim Surfen usw - dafür brauchst Du ein eigenes Konto. Dass man den eingebauten Admin deaktiviert lassen sollte, weiß ich auch, aber rate bitte mal, an welche Leute sich so ein Rat richtet.
gleiche SID
Ja, sicher. Man kann so argumentieren, es kommt darauf an, wie du arbeitest und was du zulässt.
Dass der Editor beim Überschreiben des Files checkt, dass er dafür Adminrechte bräuchte und dann den elevated-Promt kommt, funktioniert nicht, weil der 'Editor-Prozess' schon ohne Elevated gestartet wurde, sehe ich dies richtig?
Startest du ihn elevated, hat er alle Rechte. Wenn nicht, hat er keine und notepad ist zu simpel, es ist nicht UAC-aware, es kann überhaupt kein UAC-Prompt anfordern (hey, was verlangen wir von Microsoft).
emeriks
emeriks 30.01.2018 um 09:13:03 Uhr
Goto Top
Ja, aber beim Administrieren passiert sowas nicht, das passiert beim rumdaddeln mit dubiosen Downloads, beim Surfen usw - dafür brauchst Du ein eigenes Konto. Dass man den eingebauten Admin deaktiviert lassen sollte, weiß ich auch, aber rate bitte mal, an welche Leute sich so ein Rat richtet.
Dito!
KMUlife
KMUlife 30.01.2018 um 09:36:40 Uhr
Goto Top
Danke Leute =)