Hat jeder Benutzer Leserechte in C:Programs?
Hallo,
Betriebssystem: Windows Server 2016 Standard Standalone / Workgroup.
Ein neuer Benutzer wurde eingerichtet, die Mitgliedschaft in der Gruppe "Benutzer" entfernt. Stattdessen Mitgliedschaft in einer eigene Gruppe SCV_USERS eingerichtet. Der Gruppe SCV_USERS wurden keine Rechte im Dateisystem gegeben oder entzogen.
In einem Dienst wurde der neue Benutzer wurde als Anmeldekonto hinterlegt.
Der Dienst funktioniert auch. Die Ansicht der effektiven Rechte des Benutzers z.B. für C:\Programme zeigt auch, dass er Leserechte und Rechte zur Ausführung hat.
Selbst auf C:\ hat der Benutzer Leserechte. Und in einem neu erstellten Verzeichnis C:\Tmp sogar Schreibrechte.
Woher stammen diese Rechte?
Danke auch für weiterführende Links.
Klaus
Betriebssystem: Windows Server 2016 Standard Standalone / Workgroup.
Ein neuer Benutzer wurde eingerichtet, die Mitgliedschaft in der Gruppe "Benutzer" entfernt. Stattdessen Mitgliedschaft in einer eigene Gruppe SCV_USERS eingerichtet. Der Gruppe SCV_USERS wurden keine Rechte im Dateisystem gegeben oder entzogen.
In einem Dienst wurde der neue Benutzer wurde als Anmeldekonto hinterlegt.
Der Dienst funktioniert auch. Die Ansicht der effektiven Rechte des Benutzers z.B. für C:\Programme zeigt auch, dass er Leserechte und Rechte zur Ausführung hat.
Selbst auf C:\ hat der Benutzer Leserechte. Und in einem neu erstellten Verzeichnis C:\Tmp sogar Schreibrechte.
Woher stammen diese Rechte?
Danke auch für weiterführende Links.
Klaus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 348695
Url: https://administrator.de/contentid/348695
Ausgedruckt am: 12.11.2024 um 19:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
zunächst mal: Weißt Du was Du tust? - Anscheinend nicht, denn warum entfernst Du ein Benutzerkonto aus einer Standard Windowsgruppe, ohne Hintergrundwissen zu haben?
Zweitens, wenn der Benutzer keine Berechtigungen in C:\Programme bzw. C:\Program Files (x86) auf einem 64-bit Windows hat, kann er keine Programme starten.
Die Berechtigungen für die Gruppe Benutzer (User) sind
Drittens: Was willst Du damit erreichen?
Viertens: bevor man an Berechtigungen herumspioelt, informiert man sich vorher und überlegt sich den Sinn und Zwekc bzw. die Konsequenzen seines tuns.
Zum Abschluss: Mir scheint Du hast keine AHnung, aber an Berechtigungen, OHNE Verständnis zu haben.
Lasse die Finger davon und gehe zu jemanden der sich auskennt, gegebenenfalls auch zu einem Systemhaus
Gruss Penny
zunächst mal: Weißt Du was Du tust? - Anscheinend nicht, denn warum entfernst Du ein Benutzerkonto aus einer Standard Windowsgruppe, ohne Hintergrundwissen zu haben?
Zweitens, wenn der Benutzer keine Berechtigungen in C:\Programme bzw. C:\Program Files (x86) auf einem 64-bit Windows hat, kann er keine Programme starten.
Die Berechtigungen für die Gruppe Benutzer (User) sind
- Lesen und Auführen
- Ordnerinhalt anzeigen
- Lesen
Drittens: Was willst Du damit erreichen?
Viertens: bevor man an Berechtigungen herumspioelt, informiert man sich vorher und überlegt sich den Sinn und Zwekc bzw. die Konsequenzen seines tuns.
Zum Abschluss: Mir scheint Du hast keine AHnung, aber an Berechtigungen, OHNE Verständnis zu haben.
Lasse die Finger davon und gehe zu jemanden der sich auskennt, gegebenenfalls auch zu einem Systemhaus
Gruss Penny
Schonmal was von Standardgruppen und Standardberechtigungen gehört? - Anscheinend nicht, sonst würdest Du nicht so eine Frage stellen.
Und zu zwei Minuten Ggooglesuche Lokale Benutzer und Gruppen (Übersicht) ist man auch nicht in der Lage.
Gruss Penny
Und zu zwei Minuten Ggooglesuche Lokale Benutzer und Gruppen (Übersicht) ist man auch nicht in der Lage.
Gruss Penny
Hi,
ich finde diese Frage gar nicht so unberechtigt!
C:\ ist klar - wie DWW schon schreibt, kommt das von den "Authentifizierten Benutzern"
Jedoch haben diese in C:\Programme keine Rechte.
Ich habe das eben mal nachgestellt und bekomme auch diese effektiven Rechte angezeigt. Habe mich dann sogar mit diesem Benutzer angemeldet und kann im "Programme" lesen.
Der Hammer:
Obwohl ich diesen Benutzer aus der lokalen Gruppe "Benutzer" entfernt habe wird mir unter Anmeldung dieses Benutzers bei
angezeigt:
Jedenfalls nicht uninteressant zu wissen und Dank an @kpieper für den Hinweis.
E.
ich finde diese Frage gar nicht so unberechtigt!
C:\ ist klar - wie DWW schon schreibt, kommt das von den "Authentifizierten Benutzern"
Jedoch haben diese in C:\Programme keine Rechte.
Ich habe das eben mal nachgestellt und bekomme auch diese effektiven Rechte angezeigt. Habe mich dann sogar mit diesem Benutzer angemeldet und kann im "Programme" lesen.
Der Hammer:
Obwohl ich diesen Benutzer aus der lokalen Gruppe "Benutzer" entfernt habe wird mir unter Anmeldung dieses Benutzers bei
whoami /groups
...
VORDEFINIERT\Benutzer Alias ....
...
Was das "Alias" da jetzt zu bedeuten hat, weiß ich nicht. Muss ich auch mal schauen.VORDEFINIERT\Benutzer Alias ....
...
Jedenfalls nicht uninteressant zu wissen und Dank an @kpieper für den Hinweis.
E.
Du hast Recht - unter 2016 sind die Rechte auf c: also anders, als unter Win10 (warum? - wäre interessant zu wissen).
Zurück zu deiner Frage: nachdem Du ihn aus "Benutzer" entfernt hast, hast Du ihn auch nicht vergessen abzumelden und wieder neu anzumelden? Das wäre nötig.
Und ist der Ordner erst einmal von ihm erstellt worden, ist er ja Ersteller/Besitzer und hat somit, wie icacls ansagt, alle Rechte auf dem Ordner. Somit wäre also auch die Reihenfolge der Aktionen wichtig.
Wenn Du nun den Nutzer abgemeldet hast und wieder anmeldest, nachdem er aus Users raus ist UND zuvor die Erstellrechte für Ordner auf c: entzogen hast (Rechtsklick auf c; - erweiterte Berechtigungen, Benutzer ->Ordner erstellen raus und übernehmen "nur für diesen Ordner", dann wird er dort auch keine Ordner mehr anlegen können.
Zudem, um Fehler zu vermeiden, noch einmal die Gruppenmitgliedschaften dieses Nutzer listen.
Edit: werde wohl noch mal eine VM mit 16 aufsetzen müssen, die kein DC ist.
Zurück zu deiner Frage: nachdem Du ihn aus "Benutzer" entfernt hast, hast Du ihn auch nicht vergessen abzumelden und wieder neu anzumelden? Das wäre nötig.
Und ist der Ordner erst einmal von ihm erstellt worden, ist er ja Ersteller/Besitzer und hat somit, wie icacls ansagt, alle Rechte auf dem Ordner. Somit wäre also auch die Reihenfolge der Aktionen wichtig.
Wenn Du nun den Nutzer abgemeldet hast und wieder anmeldest, nachdem er aus Users raus ist UND zuvor die Erstellrechte für Ordner auf c: entzogen hast (Rechtsklick auf c; - erweiterte Berechtigungen, Benutzer ->Ordner erstellen raus und übernehmen "nur für diesen Ordner", dann wird er dort auch keine Ordner mehr anlegen können.
Zudem, um Fehler zu vermeiden, noch einmal die Gruppenmitgliedschaften dieses Nutzer listen.
Edit: werde wohl noch mal eine VM mit 16 aufsetzen müssen, die kein DC ist.
Für wen jetzt?