gelöst Berechtigungen Windows Server 2016 - Batchscript editieren

Mitglied: KMUlife

KMUlife (Level 2) - Jetzt verbinden

29.01.2018 um 11:32 Uhr, 1026 Aufrufe, 11 Kommentare

Hallo zusammen!

Meine Haare werden langsam grau aufgrund der Berechtigungslogik von Microsoft. Ich hoffe ein paar von euch können etwas Licht in den Dschungel bringen.

Wie arbeiten wir:
Windows Server 2016, Remotezugriff mit Adminuser a_name um Dinge zu verändern. Mit "normalem" User um sich Dinge anzeigen zu lassen.

Problematik:
Die Adminuser sind lokale Administratoren über eine Gruppe in der AD. Wenn Adminuser 1 ein Batchfile in C:\test erstellt und Adminuser 2 dieses dann bearbeitet, kann das File nicht überschrieben werden. Dies geht nur, wenn man den Editor als Administrator ausführt. Es kann doch nicht sein, dass ich jedes Programm mit 'Rechtsklick als Administrator' starten muss um effektive Änderungen zu machen? Warum kommt hier beim Überschreiben nicht die UAC, sondern "Zugriff verweigert"?

Wir haben extra "normaler" User und Adminuser getrennt... Interessant ist auch, dass der User effektiv eingetragen wird, wenn das File kopiert/erstellt wird, obwohl er eigentlich auch schon über die Gruppe Server\Administratoren abgedeckt wird.

Kurz zusammengefasst:
berechtigungen_m - Klicke auf das Bild, um es zu vergrößern

  • Benutzer wird hinzugefügt wenn File von Adminuser erstellt wird. (unschön, da der A_User schon Rechte hat über Gruppe Administratoren.)
  • Wenn anderer A_User das batch-File bearbeitet, kann dieser das File nicht überschreiben. (Es muss kopiert werden, dann wird der zweite A_User auch fix hinterlegt :S)
  • Wenn Editor 'Als Administrator' gestartet wird, danach über 'öffnen' gewünschtes File öffnet, funktioniert es. Jedes mal ein Editor als Administrator zu starten, wenn man ein Script bearbeiten will, kann aber ja auch nicht die Lösung sein?

Was läuft hier falsch, bzw. wie müsste ich dies korrekt umsetzen?

Danke für die Hilfe
KMUlife


PS: Ich weiss das Microsoft momentan die Berechtigungen mit der UAC am umstellen ist, aber wenn es noch nicht überall sinnvoll umgesetzt ist, kann man es doch nicht fix in Windows Server 2016 einverleiben?!
Mitglied: DerWoWusste
29.01.2018 um 11:41 Uhr
Hi.

Ernsthafte Frage nach 11 Jahren UAC? Speicher halt nicht dorthin, wo Adminrechte gebraucht werden.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 29.01.2018, aktualisiert um 11:53 Uhr
Hi,
Problematik:
Die Adminuser sind lokale Administratoren über eine Gruppe in der AD. Wenn Adminuser 1 ein Batchfile in C:\test erstellt und Adminuser 2 dieses dann bearbeitet, kann das File nicht überschrieben werden.
Das ist korrekt und logisch, wenn man die Berechtingungen des Ordners "C:\Test" nach dessen Erstellung nicht anpasst.
Dies geht nur, wenn man den Editor als Administrator ausführt.
Auch das ist logisch, da - wie oben erwähnt - bei unveränderter ACL die Berechtigungen für den anderen Admin-User über die lokale Gruppe "Administratoren" geerbt werden. Und die Rechte und Privilegien aus der Mitgliedschaft in den lokalen Administratoren sind nun mal standardmäßig nur dann benutzbar, wenn man den Prozess (hier der Editor) voll eleviert startet.
Wir haben extra "normaler" User und Adminuser getrennt... Interessant ist auch, dass der User effektiv eingetragen wird, wenn das File kopiert/erstellt wird, obwohl er eigentlich auch schon über die Gruppe Server\Administratoren abgedeckt wird.
Auch logisch, ich wiederhole mich: Schaue ACL. Dort steht - standardmäßig - "Ersteller Besitzer" drin.
Was läuft hier falsch
Nichts.
Design-Fehler des konzipierenden Administrators.

E.
Bitte warten ..
Mitglied: KMUlife
29.01.2018 um 13:55 Uhr
Hallo zusammen!

@DWW - Danke für den Kommentar, bringt mir viel! Es gibt Admins die erst seit 2 Jahren als Serveradmin arbeiten (Meist auf schon bestehenden Systemen. Solche Frage tauchen halt auf wenn man mal was von Grund auf neu machen darf.), wenn du das schon seit 11 Jahren machst, schön für dich. Warum gehen eigentlich immer alle davon auf das man Master auf einem Gebiet ist? Wenn das so wäre bräuchte es dieses Forum nicht. So wie ich das sehe, hat Microsoft seit Vista immer mal wieder Änderungen an der UAC vorgenommen. Darum meine Frage hier.

@Emerkis Danke für deine Hinweise!

Zitat von emeriks:
Hi,
"Administratoren" geerbt werden. Und die Rechte und Privilegien aus der Mitgliedschaft in den lokalen Administratoren sind nun mal > standardmäßig nur dann benutzbar, wenn man den Prozess (hier der Editor) voll eleviert startet.
Design-Fehler des konzipierenden Administrators.

E.

Das ich ziemlich sicher einen Desgin-Fehler/Überlegungsfehler habe merke ich ja am geschilderten Problem.

Also meine erste Erkentnis:
  • Die Berechtigungen für C:\tmp verhalten sich nicht gleich wenn ich Server\Administratoren hinzugefügt habe mit Vollzugriff. (Standard) Und der Gruppe Administratoren die Domänengruppe als Mitglied gebe.
  • Wenn ich der Domänengruppe direkt Vollzugriff vergebe, funktionierts.

Die Fragen die sich mir nun stellen:
Warum müssen lokale Administratoren den Prozess voll evaluiert starten und Domänenadmins nicht? Es haben ja beide Vollzugriff. (Das meine ich mit, "die UAC ist noch nicht konsistent". Wenn dann müsste doch auch ein Domänenadmin den Prozess voll evaluiert starten müssen?

Ist in diesem Fall nicht angedacht, dass man Domänengruppen einer lokalen Gruppe als Mitglied hinzufügt? Meiner Meinung nach wäre das Sinnvoll.


LG KMUlife
Bitte warten ..
Mitglied: DerWoWusste
29.01.2018, aktualisiert um 14:04 Uhr
Hör mal... es geht darum, dir zu helfen. Dieses Kommentar soll dir klar machen, dass die UAC zum 1x1 (erste Klasse Windows-Adminschule, erster Monat) gehört und ungemein wichtig ist - also bitte nicht übel nehmen. Geändert hat Microsoft daran nahezu gar nichts, seit es die UAC gibt.
--
"Warum müssen lokale Administratoren den Prozess voll evaluiert starten und Domänenadmins nicht?" - stimmt so nicht. Die UAC ist inaktiv für Konten, die "Administrator" heißen, also für den eingebauten lokalen Admin und den eingebauten Domänenadmin - jedoch nicht für andere Admins!
Bitte warten ..
Mitglied: KMUlife
29.01.2018 um 14:30 Uhr
Hi DWW

Zitat von DerWoWusste:

Hör mal... es geht darum, dir zu helfen. Dieses Kommentar soll dir klar machen, dass die UAC zum 1x1 (erste Klasse Windows-Adminschule, erster Monat) gehört und ungemein wichtig ist - also bitte nicht übel nehmen. Geändert hat Microsoft daran nahezu gar nichts, seit es die UAC gibt.

Das es Wichtig ist weiß ich, darum stelle ich ja Fragen dazu. Im Sinne von "Wer nicht Fragt bleibt dumm". Ich habe eine vierjährige Lehre hinter mir, je nach Einsatzgebiet und Vielseitigkeit im Arbeitsbereich gehen gewisse Dinge wieder vergessen oder wurden zu wenig klar behandelt. Uns wurde in der Lehre zum Beispiel gesagt, dass wir C++, Bash, Powershell, SQL und alles noch erdenkliche genau anschauen werden. Schlussendlich haben wir bei diesem Lehrer genau Bash wirklich angeschaut. Man muss halt mit dem Wissen arbeiten, welches zu Verfügung steht, der Rest muss man sich irgendwo holen. - Ich werde gerne Kritisiert, aber nur wenn ich auch sehe, dass das Gegenüber auch gewillt ist mir was beizubringen. Nur motzen verändert die Welt schließlich nicht... - Aber easy

Geändert hat Microsoft daran nahezu gar nichts, seit es die UAC gibt.
Das würde ich so also nicht unterschreiben. Vielleicht das Prinzip der UAC wurde nicht verändert. Doch wann es greifft und wann nicht, dass hat sich definitv stark verändert. Vergleich mal n Vista mit einem SBS 2008 mit einem Windows Server 2016. Natürlich kommst auf die Konfiguration an, aber wenn man mal vom Standart ausgeht.

--
"Warum müssen lokale Administratoren den Prozess voll evaluiert starten und Domänenadmins nicht?" - stimmt so nicht. Die UAC ist inaktiv für Konten, die "Administrator" heißen, also für den eingebauten lokalen Admin und den eingebauten Domänenadmin - jedoch nicht für andere Admins!

  • Aber mal ehrlich, mit dem lokalen Admin oder dem eingebauten Domänenadmin sollte man ja wohl nicht arbeiten/sogar deaktivieren oder habe ich da wieder was falsch mitgekriegt in meiner "Ersten Klasse Windows-Adminschule"?
  • Und wieso muss ich den Prozess nicht voll evaluiert starten, wenn ich die Domänengruppe mit Vollzugriff hinzufüge? Die hat jedenfalls kein "Administrator" im Namen

Danke fürs Aufklären
LG KMUlife
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 29.01.2018, aktualisiert um 14:39 Uhr
Oha...

UAC... wann es greifft und wann nicht, dass hat sich definitv stark verändert.
Nein, definitiv nicht.
mit dem lokalen Admin oder dem eingebauten Domänenadmin sollte man ja wohl nicht arbeiten
Unsinn. Es wurde von Microsoft für diese Konten aus einem einzigen Zweck ausgeschaltet: damit eben diese Konten "Administrator" unbeschwert administrieren können. Das ist eben kein "Arbeiten" (wie in Office, Mails, Internet), das ist echtes administrieren, wo eh alle Prozesse elevated werden müssen.
Wer das verstanden hat, kann den Administrator gerne nutzen.
wieso muss ich den Prozess nicht voll evaluiert starten, wenn ich die Domänengruppe mit Vollzugriff hinzufüge
Eben weil die UAC so arbeitet. Sie strippt die Full-Tokens von den Gruppen "Administratoren" und "Domänen-Admins". Berechtigt man andere Gruppen explizit, wie in deinem Fall, dann wird da ja überhaupt nicht elevated. Elevated wird nur, wenn man die Administratorprivilegien, welche man über Mitgliedschaft in diesen Gruppen bekommen hat, nutzen möchte.
Bitte warten ..
Mitglied: KMUlife
30.01.2018 um 08:49 Uhr
HI DWW danke für deinen Hirnschmalz

Zitat von DerWoWusste:
Nein, definitiv nicht.
Ein Vista war doch viel Aggressiver im Blocken wie ein Server 2008? Da konntest du ja schier garnix mehr starte ohne nicht zu elevaten...

Unsinn. Es wurde von Microsoft für diese Konten aus einem einzigen Zweck ausgeschaltet: damit eben diese Konten "Administrator" unbeschwert administrieren können. Das ist eben kein "Arbeiten" (wie in Office, Mails, Internet), das ist echtes administrieren, wo eh alle Prozesse elevated werden müssen.
Mir hat man gesagt, dass man es genau aus diesem Grund nicht nutzen soll, denn wenn ein solches Konto befallen wird hast du den Salat (oder hoffentlich n Backup). Man sagt ja auch man soll sich nur mit so wenigen Rechte wie nötig auf dem System bewegen. Ganz extrem wäre dann, einzelne Konten für einzelne Adminaufgaben zu erstellen (Bei mehreren Admins, okay, bei eins/zwei meiner Meinung nach übertrieben). Aber das ist meiner Meinung nach schon fast ne Glaubensfrage. Jedenfalls danke für deine Ansicht. =)

Wer das verstanden hat, kann den Administrator gerne nutzen.
Ich habe auch mal vom Argument gelesen, dass der lokale Administrator immer die gleiche SID hat und deshalb besonders "attraktiv" für Angriffe sein soll. Was hälst du den von dem?

wieso muss ich den Prozess nicht voll evaluiert starten, wenn ich die Domänengruppe mit Vollzugriff hinzufüge
Eben weil die UAC so arbeitet. Sie strippt die Full-Tokens von den Gruppen "Administratoren" und "Domänen-Admins". Berechtigt man andere Gruppen explizit, wie in deinem Fall, dann wird da ja überhaupt nicht elevated. Elevated wird nur, wenn man die Administratorprivilegien, welche man über Mitgliedschaft in diesen Gruppen bekommen hat, nutzen möchte.

Okay, danke, jetzt bin ich n Stück weiser.

Weitere Frage:
Dass der Editor beim Überschreiben des Files checkt, dass er dafür Adminrechte bräuchte und dann den elevated-Promt kommt, funktioniert nicht, weil der 'Editor-Prozess' schon ohne Elevated gestartet wurde, sehe ich dies richtig?

LG
KMUlife
Bitte warten ..
Mitglied: emeriks
LÖSUNG 30.01.2018 um 09:07 Uhr
Ich habe auch mal vom Argument gelesen, dass der lokale Administrator immer die gleiche SID hat und deshalb besonders "attraktiv" für Angriffe sein soll. Was hälst du den von dem?
Das ist schon seit Win2000 nicht mehr so,

Dass der Editor beim Überschreiben des Files checkt, dass er dafür Adminrechte bräuchte und dann den elevated-Promt kommt, funktioniert nicht, weil der 'Editor-Prozess' schon ohne Elevated gestartet wurde, sehe ich dies richtig?
Ja, korrekt. Notepad ist an dieser Stelle etwas "einfach" programmiert.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 30.01.2018, aktualisiert um 09:08 Uhr
Ein Vista war doch viel Aggressiver im Blocken wie ein Server 2008?
Haargenau gleich. Die UAC hat sich erst seit 2008 R2/Win7 leicht verändert, dahingehend, dass sie nun mehr als "an und aus" als Einstellungen hat. Aber was sie triggert (prinzipiell) ist gleich geblieben.
Mir hat man gesagt, dass man es genau aus diesem Grund nicht nutzen soll, denn wenn ein solches Konto befallen wird hast du den Salat
Ja, aber beim Administrieren passiert sowas nicht, das passiert beim rumdaddeln mit dubiosen Downloads, beim Surfen usw - dafür brauchst Du ein eigenes Konto. Dass man den eingebauten Admin deaktiviert lassen sollte, weiß ich auch, aber rate bitte mal, an welche Leute sich so ein Rat richtet.
gleiche SID
Ja, sicher. Man kann so argumentieren, es kommt darauf an, wie du arbeitest und was du zulässt.
Dass der Editor beim Überschreiben des Files checkt, dass er dafür Adminrechte bräuchte und dann den elevated-Promt kommt, funktioniert nicht, weil der 'Editor-Prozess' schon ohne Elevated gestartet wurde, sehe ich dies richtig?
Startest du ihn elevated, hat er alle Rechte. Wenn nicht, hat er keine und notepad ist zu simpel, es ist nicht UAC-aware, es kann überhaupt kein UAC-Prompt anfordern (hey, was verlangen wir von Microsoft).
Bitte warten ..
Mitglied: emeriks
30.01.2018 um 09:13 Uhr
Ja, aber beim Administrieren passiert sowas nicht, das passiert beim rumdaddeln mit dubiosen Downloads, beim Surfen usw - dafür brauchst Du ein eigenes Konto. Dass man den eingebauten Admin deaktiviert lassen sollte, weiß ich auch, aber rate bitte mal, an welche Leute sich so ein Rat richtet.
Dito!
Bitte warten ..
Mitglied: KMUlife
30.01.2018 um 09:36 Uhr
Danke Leute =)
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server19 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Server
Kein Zugriff auf NAS bei DS Lite
martingerdesFrageServer14 Kommentare

Hallo liebe Gemeinde, dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. ...

Server-Hardware
Konfiguration und Stromverbrauch ML350 Gen10
kosta88FrageServer-Hardware14 Kommentare

Hallo, ich versuche mal zu berechnen was ein ML350 verbrauchen würde. Ich weiß dass es von der Konfiguration und ...

Grafikkarten & Monitore
Grafikkarte kaputt? Hier muss noch etwas hin, weil der andere Titel schon vergeben ist :)
Sir.classicFrageGrafikkarten & Monitore12 Kommentare

Hallo an alle, ich habe einen selbst gebauten PC und mein Problem ist, dass meine Monitore regelmäßig (alle 3h) ...

LAN, WAN, Wireless
Spanning Tree Probleme
predator66FrageLAN, WAN, Wireless11 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Notebook & Zubehör
Business Support HP, Dell, Lenovo etc
fuzzyLogicFrageNotebook & Zubehör10 Kommentare

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Ähnliche Inhalte
Exchange Server

Exchange 2016: Raumpostfächer Berechtigung

gelöst schneerunzelFrageExchange Server1 Kommentar

Hallo zusammen, ich habe mehrere Räume die ich im Excahnge 2016 als Raumpostfächer angelegt habe. Leider habe ich ein ...

Exchange Server

Trotz Outlook 2016 Kalenderfreigabe Keine Berechtigung

gelöst Kopfg3ldFrageExchange Server4 Kommentare

Hallo zusammen, Eingesetzt wird ein Exchange 2016 Server mit Outlook 2016. Es geht um die Kalenderfreigabe für andere Benutzer. ...

Exchange Server

Exchange 2016 Berechtigung Kalender und Freigabe

LAEKTHUERFrageExchange Server

Hallo zusammen, ich habe ein Problem mit einem Exchange Konto und kann leider nicht viel dazu finden daher wende ...

Windows Userverwaltung

Windows Server Berechtigung

132130FrageWindows Userverwaltung4 Kommentare

Guten Tag Ich wolle mal was fragen. Ich werde einen Dedi Server mieten, und aus einen dedi server wollte ...

Exchange Server

Windows Server 2016 + Exchange 2016

gelöst CavaliereFrageExchange Server2 Kommentare

Hallo zusammen, ich bin ganz neu hier und wende mich an euch, weil ich meine ersten Erfahrungen sammeln und ...

Windows Server

Exchange 2016 auf Windows 2016

gelöst Hanspeter82FrageWindows Server13 Kommentare

Hello, bin gerade den Exchange 2010 intern ab zulösen. Nun meine Frage kann ich Exchange 2016 auf einen Windows ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT