Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Phänomen von Windows 10 runas

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

18.11.2015, aktualisiert 17:09 Uhr, 4562 Aufrufe, 12 Kommentare

Moin Kollegen.

Eigentlich zu früh am Nachmittag für Denksport, ich versuch's trotzdem:
Ich habe hier meine administrative Workstation, (Win10 1511 Enterprise x64) und habe RSAT installiert und nutze es über run as administrator - domainadmin.

Funktioniert. Nun habe ich bislang RSAT auf Vista/Win7/8.x auch gerne dazu genutzt, um ACLs von Ordnern einzusehen und zu modifizieren, auf die mein schwacher Nutzer keinen Zugriff hat, was ich sehr praktisch fand. Und dies geht seit Windows 10 nicht mehr, weder bei lokalen Ordnern, noch bei Netzlaufwerken.

Zum Reproduzieren: anmelden als schwacher Nutzer, RSAT als DomainAdmin starten, STRG+O drücken, im öffnen-Dialog zu c:\ browsen, Rechtsklick auf z.B. c:\windows ->Eigenschaften

Fehlermeldung: "the properties for this item are not available".

Melde ich mich aber an Windows als Domain-Admin an und mache dann das selbe, dann geht es. Es hat also mit runas zu tun. Weitere Probe: starte ich z.B. Notepad über runas
runas /user:dom\domadmin notepad
dann geht zwar das Öffnen von Dateien problemlos, aber der Aufruf von Eigenschaften einer Datei/eines Ordners aus dem Öffnen-Dialog auch nicht, mit dem Unterschied, dass noch nicht einmal eine Fehlermeldung kommt.

Kommen wir nun zum Schluss, wo der Denksport beginnt: Starte ich auf die selbe Weise cmd
runas /user:dom\domadmin cmd
und mache in dieser cmd ein
icacls \\server\share\hochgeheimesrestriktivesVerzeichnis\topsecretdatei.txt
Dann geht das problemlos, also zugreifbar sind die Dinge schon.

Irgendwie hat der Öffnen-Dialog neuerdings ein Problem mit runas.
Sollte jemand zufällig wissen, was an runas gedreht worden ist, dass diesen Nebeneffekt verursacht, bitte melden, sonst werde ich das als Bug weitergeben.
Mitglied: colinardo
LÖSUNG 18.11.2015, aktualisiert um 17:09 Uhr
Hallo DWW,
kann ich hier nachstellen. Probier mal die Option /netonly von runas dann läufts hier.
Scheint da irgendwo Probleme beim laden des Profils zu geben.

Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
18.11.2015 um 16:57 Uhr
Nun Uwe, das ist ja doll für Lokales, aber auf Sachen im Netzwerk kommt man dann nicht mehr. Du etwa?
Bitte warten ..
Mitglied: colinardo
18.11.2015, aktualisiert um 17:09 Uhr
Nun Uwe, das ist ja doll für Lokales, aber auf Sachen im Netzwerk kommt man dann nicht mehr. Du etwa?
Komm ich problemlos drauf. /Netonly besagt ja das die Credentials nur für die Remote-Server-Auth benutzt werden.
RSAT Tools arbeiten hier damit ebenfalls problemlos.
Bitte warten ..
Mitglied: DerWoWusste
18.11.2015 um 17:09 Uhr
Witzigerweise war exakt als ich's probiert hatte mein Konto gesperrt. Kein Wunder...
Danke, das funktoniert!
Bitte warten ..
Mitglied: DerWoWusste
24.11.2015 um 09:23 Uhr
Moin.

Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Failed to enumerate objects in the container, Access denied
sobald man die ACL speichern will. Geht's bei Dir?
Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
Bitte warten ..
Mitglied: colinardo
25.11.2015, aktualisiert um 10:49 Uhr
Zitat von DerWoWusste:
Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Failed to enumerate objects in the container, Access denied
sobald man die ACL speichern will. Geht's bei Dir?
Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
Das ist normal denn die Credentials werden bei Nutzung von "netonly" nur für die Remote-Auth benutzt, der Process läuft lokal weiterhin unter dem aktuellen Useraccount. Bei mir kommt zumindest bei Änderungen von Berechtigungen die UAC.

Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
25.11.2015 um 13:34 Uhr
Moin.

Muss nochmal nachhaken: ich starte
runas.exe /netonly /user:dom\domadmin "mmc.exe mymmc.msc" - hierbei kommt ja noch keine UAC.
Über CTRL+o nehme ich mir nun einen lokalen Ordner - hier kommt dann bei ACL-Modifikation die UAC und alles läuft.
Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
(Die RSAT-Tools laufen natürlich).
Bitte warten ..
Mitglied: colinardo
25.11.2015, aktualisiert um 14:36 Uhr
Zitat von DerWoWusste:
Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
Also das "einsehen" der ACLs funktioniert hier auch auf Shares damit problemlos. Nur beim Versuch die Rechte zu ändern bekomme ich den Fehler: "Fehler beim Aufzählen der Objekte im Container. Zugriff verweigert." (Share-Berechtigungen stehen auf Vollzugriff).
Bitte warten ..
Mitglied: DerWoWusste
25.11.2015 um 14:50 Uhr
Weißte was, ich verbanne meine Administration jetzt in eine vm. Aus die Maus.
Wer Interesse an der Angelegenheit hat, ich habe das auch im Technet gepostet und es scheint bei MS Interesse erweckt zu haben:
https://social.technet.microsoft.com/Forums/en-US/8a6211f5-7819-4ab9-b47 ...
Bitte warten ..
Mitglied: colinardo
25.11.2015, aktualisiert um 15:13 Uhr
Hast recht ...
Komisch ist ja das man Ordner anlegen löschen kann, nur eben die Rechte ändern nicht. MS bitte nachbessern ... ein richtiges Runas ist das ja sonst nicht mehr.

Danke für den Link ins Technet, das beobachte ich auch mal.

p.s. mit Powershell und start-process selbes Verhalten, scheint also ein generelles Problem vom Verb runas zu sein.
Bitte warten ..
Mitglied: colinardo
01.12.2015, aktualisiert um 11:46 Uhr
Zur Info: Es gibt eine Rückmeldung im Technet-Thread

Zitat:
Microsoft ist der Bug bekannt, einen Patch für die Allgemeinheit gibts wohl erst in ein paar Wochen/Monaten. Vorübergehend gibt es einen Workaround, in dem man in dem folgenden Schlüssel den Wertnamen Runas einfach umbenennt z.B. in temp_RunAs, so dass er nicht mehr ausgewertet wird.
Funktioniert hier im Test damit wieder problemlos. Bis zum Patch sollte der Workaround genügen.

Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
01.12.2015, aktualisiert um 12:53 Uhr
Zur Info: Es gibt eine Rückmeldung im Technet-Thread
Yes, Sir! Ich weiß, ist ja mein Thread Für andere wollte ich's auch noch posten, aber kämpfe gerade woanders. Danke für Deinen Service.
Bitte warten ..
Ähnliche Inhalte
Windows Installation
RunAs MSI Error 1603
Frage von hannsgmaulwurfWindows Installation19 Kommentare

Hallo, ich habe einige Domains (AD), in denen ich wie folgt kleinere Software wie z.B. Java per Silent MSI ...

Batch & Shell
RunAs: wie Benutzer angeben?
Frage von metal-shotBatch & Shell6 Kommentare

Hallo Ich habe eine Batch, in welcher ich uA Registry Einträge ändern lasse und ein Netzlaufwerk hinzufügen möchte. Damit ...

Multimedia & Zubehör

"Windows 10 (VM)" nach "Windows 10 (Computer)" - Sound abspielen auf "Windows 10 (Computer)"

gelöst Frage von PeacerMultimedia & Zubehör10 Kommentare

Hallo, Ich habe: Eine Domain, beide Rechner da drin. Diverse Dinge konfiguriert. Problem: Bei der VM habe ich 1. ...

Windows Mobile

Windows 10 Pro ersetzen mit Windows 10 Mobile

Frage von tetikmiroWindows Mobile4 Kommentare

Hallo Mein Tablet (nur Wifi) von Samsung mit einen Intel Celeron CPU 867 1,30GHZ mit 2GB RAM und 60 ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 9 StundenMonitoring

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 2 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 3 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 5 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Smartphone - Internes Radio auf Bluetooth Lautsprecher abspielen
Frage von emeriksGoogle Android20 Kommentare

Hi, vielleicht kann ja einer von Euch auch sowas beantworten. Ich habe hier ein Samsung Smartphone - S10 Lite. ...

Windows Server
Denselben Port auf verschiedenen Netzwerkkarten nutzen
gelöst Frage von entchenbrotWindows Server17 Kommentare

Hi wir haben einen Server PC mit verschiedenen Netzwerkkarten als Art Gaming-Server und würden gerne ein Spiel in zwei ...

Cloud-Dienste
Cisco 8841 - Enter activation code
Frage von c0d3.r3dCloud-Dienste16 Kommentare

Guten Morgen, ich habe gerade von einem Mitarbeiter den Hinweis bekommen, dass sein Telefon (Cisco 8841) einen Welcome-Screen mit ...

Microsoft Office
Office 2019 Deployment
gelöst Frage von NRG2112Microsoft Office16 Kommentare

Hallo zusammen, ich verzweifel mit Microsofts neuen Office 2019 Setups. Ich versuche jetzt 2 Stunden lang ein Office 2019 ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...