kpieper
Goto Top

Hat jeder Benutzer Leserechte in C:Programs?

Hallo,

Betriebssystem: Windows Server 2016 Standard Standalone / Workgroup.

Ein neuer Benutzer wurde eingerichtet, die Mitgliedschaft in der Gruppe "Benutzer" entfernt. Stattdessen Mitgliedschaft in einer eigene Gruppe SCV_USERS eingerichtet. Der Gruppe SCV_USERS wurden keine Rechte im Dateisystem gegeben oder entzogen.

In einem Dienst wurde der neue Benutzer wurde als Anmeldekonto hinterlegt.

Der Dienst funktioniert auch. Die Ansicht der effektiven Rechte des Benutzers z.B. für C:\Programme zeigt auch, dass er Leserechte und Rechte zur Ausführung hat.
Selbst auf C:\ hat der Benutzer Leserechte. Und in einem neu erstellten Verzeichnis C:\Tmp sogar Schreibrechte.

Woher stammen diese Rechte?

Danke auch für weiterführende Links.

Klaus

Content-ID: 348695

Url: https://administrator.de/contentid/348695

Ausgedruckt am: 25.11.2024 um 05:11 Uhr

Penny.Cilin
Penny.Cilin 10.09.2017 aktualisiert um 12:46:03 Uhr
Goto Top
Hallo,

zunächst mal: Weißt Du was Du tust? - Anscheinend nicht, denn warum entfernst Du ein Benutzerkonto aus einer Standard Windowsgruppe, ohne Hintergrundwissen zu haben?

Zweitens, wenn der Benutzer keine Berechtigungen in C:\Programme bzw. C:\Program Files (x86) auf einem 64-bit Windows hat, kann er keine Programme starten.

Die Berechtigungen für die Gruppe Benutzer (User) sind
  • Lesen und Auführen
  • Ordnerinhalt anzeigen
  • Lesen

Drittens: Was willst Du damit erreichen?

Viertens: bevor man an Berechtigungen herumspioelt, informiert man sich vorher und überlegt sich den Sinn und Zwekc bzw. die Konsequenzen seines tuns.

Zum Abschluss: Mir scheint Du hast keine AHnung, aber an Berechtigungen, OHNE Verständnis zu haben.
Lasse die Finger davon und gehe zu jemanden der sich auskennt, gegebenenfalls auch zu einem Systemhaus


Gruss Penny
kpieper
kpieper 10.09.2017 um 12:59:57 Uhr
Goto Top
Ach, ich liebe solche Antworten, die nicht auf die Frage eingehen, dafür aber sagen "lass die Finger davon".

Es handelt sich um ein Testsystem, an dem eben verschiedenen Dinge ausprobiert werden. Es gibt da keine Konsequenzen. Wenn es Probleme gibt, wird das System aus der Sicherung geholt und neu gestartet.

Ich habe ja geschrieben, dass die effektiven Berechtigungen z.B. auf C:\Programme angezeigt werden, dass ich aber nicht erkennen kann, woher sie stammen.

Daher möchte ich schlicht und einfach wissen, woher die effektiven Berechtigungen stammen, wenn sie nicht explizit vergeben sind und wenn auch nicht erkennbar ist, wie sie vererbt wurden.

Gruß Klaus
Penny.Cilin
Penny.Cilin 10.09.2017 aktualisiert um 13:04:34 Uhr
Goto Top
Schonmal was von Standardgruppen und Standardberechtigungen gehört? - Anscheinend nicht, sonst würdest Du nicht so eine Frage stellen.

Und zu zwei Minuten Ggooglesuche Lokale Benutzer und Gruppen (Übersicht) ist man auch nicht in der Lage.


Gruss Penny
kpieper
kpieper 10.09.2017 um 13:27:12 Uhr
Goto Top
Die Seiten kenne ich, die Standardberechtigungen auch.
Die Seiten erklären aber nicht, woher diese Standardberechtigungen im Detail stammen.

Also mal konkret:
1. Der angelegte Benutzer hat auf C:\ kein Recht, Dateien zu schreiben (laut Windows Explorer).
2. Auf C:\hat die Gruppe "Benutzer" für Unterordner das Recht, Dateien zu schreiben - das sind Standardberechtigungen.
3. Als Admin lege ich einen Ordner C:\Tmp an. Darin hat der Benutzer auf einmal das Recht, zu schreiben.

Das wäre ja verständlich, wenn der Benutzer auch in der Gruppe "Benutzer" wäre. Ist er aber nicht. Der Server wurde sicherheitshalber auch einmal komplett neu gestartet und der Test wiederholt.

Kennt vielleicht jemand ein Tool, dass die Ermittlung der effektiven Zugriffsrechte im Detail ausgibt?

Gruß Klaus
Penny.Cilin
Penny.Cilin 10.09.2017 um 13:57:37 Uhr
Goto Top
Und mal danach gesucht?
Da bekommt man den Link.

Und wie wäre es, wenn man das Tool von Microsoft ehemals Sysinternals Tool verwendet?
DerWoWusste
DerWoWusste 10.09.2017 um 15:19:22 Uhr
Goto Top
Hi.

Die Rechte stammen von der Gruppe "authentifizierte Benutzer".
Wenn Du einen neuen Ordner anlegst c:\test und dann icacls c:\test aufrufst, siehst Du das.
kpieper
kpieper 10.09.2017 um 17:33:00 Uhr
Goto Top
C:\>md test

C:\>icacls c:\test
c:\test NT-AUTORITÄT\SYSTEM:(I)(OI)(CI)(F)
        VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
        VORDEFINIERT\Benutzer:(I)(OI)(CI)(RX)
        VORDEFINIERT\Benutzer:(I)(CI)(AD)
        VORDEFINIERT\Benutzer:(I)(CI)(WD)
        ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F)

C:\>PsGetsid.exe "Benutzer"  
SID for VORDEFINIERT\Benutzer:
S-1-5-32-545

C:\>PsGetsid.exe "Authentifizierte Benutzer"  
SID for NT-AUTORIT─T\Authentifizierte Benutzer:
S-1-5-11

Sieht nicht so aus, als ob "Authentifizierte Benutzer" ein Zugriffsrecht zugewiesen haben.

C:\>accesschk.exe -d C:\test

C:\test
  RW NT-AUTORIT─T\SYSTEM
  RW VORDEFINIERT\Administratoren
  RW VORDEFINIERT\Benutzer

C:>accesschk.exe -u myuser -d C:\test

RW C:\test
emeriks
Lösung emeriks 10.09.2017 aktualisiert um 17:48:34 Uhr
Goto Top
Hi,
ich finde diese Frage gar nicht so unberechtigt!
C:\ ist klar - wie DWW schon schreibt, kommt das von den "Authentifizierten Benutzern"
Jedoch haben diese in C:\Programme keine Rechte.

Ich habe das eben mal nachgestellt und bekomme auch diese effektiven Rechte angezeigt. Habe mich dann sogar mit diesem Benutzer angemeldet und kann im "Programme" lesen.

Der Hammer:
Obwohl ich diesen Benutzer aus der lokalen Gruppe "Benutzer" entfernt habe wird mir unter Anmeldung dieses Benutzers bei
whoami /groups
angezeigt:
...
VORDEFINIERT\Benutzer Alias ....
...
Was das "Alias" da jetzt zu bedeuten hat, weiß ich nicht. Muss ich auch mal schauen.

Jedenfalls nicht uninteressant zu wissen und Dank an @kpieper für den Hinweis.

E.
DerWoWusste
DerWoWusste 10.09.2017 aktualisiert um 18:01:55 Uhr
Goto Top
Du hast Recht - unter 2016 sind die Rechte auf c: also anders, als unter Win10 (warum? - wäre interessant zu wissen).
Zurück zu deiner Frage: nachdem Du ihn aus "Benutzer" entfernt hast, hast Du ihn auch nicht vergessen abzumelden und wieder neu anzumelden? Das wäre nötig.
Und ist der Ordner erst einmal von ihm erstellt worden, ist er ja Ersteller/Besitzer und hat somit, wie icacls ansagt, alle Rechte auf dem Ordner. Somit wäre also auch die Reihenfolge der Aktionen wichtig.

Wenn Du nun den Nutzer abgemeldet hast und wieder anmeldest, nachdem er aus Users raus ist UND zuvor die Erstellrechte für Ordner auf c: entzogen hast (Rechtsklick auf c; - erweiterte Berechtigungen, Benutzer ->Ordner erstellen raus und übernehmen "nur für diesen Ordner", dann wird er dort auch keine Ordner mehr anlegen können.

Zudem, um Fehler zu vermeiden, noch einmal die Gruppenmitgliedschaften dieses Nutzer listen.

Edit: werde wohl noch mal eine VM mit 16 aufsetzen müssen, die kein DC ist.
kpieper
kpieper 10.09.2017 um 18:27:03 Uhr
Goto Top
Ja, das habe ich jetzt auch nachvollziehen können. Wenn man in C:\Test die Zugriffsrechte für die Gruppe "Benutzer" entfernt, hat auch der angelegte Benutzer keinen effektiven Zugriff mehr darauf.

Offenbar ist die Gruppe "Authentifizierte Benutzer" automatisch Mitglied in der Gruppe "Benutzer", siehe z.B. hier. Und damit gelten spätestens bei einer Anmeldung wieder die Zugriffrechte der Gruppe "Benutzer".

Fazit: wenn man effektiv Rechte einschränken will, darf die Gruppe "Benutzer" keine Zugriffsrechte haben.

Danke für alle Hinweise.
DerWoWusste
Lösung DerWoWusste 10.09.2017 um 18:47:12 Uhr
Goto Top
Ich habe es mir noch einmal im Testsystem angesehen. Schaut mal in die Gruppe "Benutzer" rein, da sind doch auch die authentifizierten Nutzer drin! Somit eine ganz simple Erklärung.
emeriks
emeriks 10.09.2017 um 20:20:57 Uhr
Goto Top
Oh man, wie peinlich .... face-wink
Penny.Cilin
Penny.Cilin 11.09.2017 um 10:26:05 Uhr
Goto Top
Zitat von @emeriks:

Oh man, wie peinlich .... face-wink
Für wen jetzt?
emeriks
emeriks 11.09.2017 um 10:54:14 Uhr
Goto Top
Na mich.