derwowusste
Goto Top

Phänomen von Windows 10 runas

Moin Kollegen.

Eigentlich zu früh am Nachmittag für Denksport, ich versuch's trotzdem:
Ich habe hier meine administrative Workstation, (Win10 1511 Enterprise x64) und habe RSAT installiert und nutze es über run as administrator - domainadmin.

Funktioniert. Nun habe ich bislang RSAT auf Vista/Win7/8.x auch gerne dazu genutzt, um ACLs von Ordnern einzusehen und zu modifizieren, auf die mein schwacher Nutzer keinen Zugriff hat, was ich sehr praktisch fand. Und dies geht seit Windows 10 nicht mehr, weder bei lokalen Ordnern, noch bei Netzlaufwerken.

Zum Reproduzieren: anmelden als schwacher Nutzer, RSAT als DomainAdmin starten, STRG+O drücken, im öffnen-Dialog zu c:\ browsen, Rechtsklick auf z.B. c:\windows ->Eigenschaften

Fehlermeldung: "the properties for this item are not available".

Melde ich mich aber an Windows als Domain-Admin an und mache dann das selbe, dann geht es. Es hat also mit runas zu tun. Weitere Probe: starte ich z.B. Notepad über runas
runas /user:dom\domadmin notepad
dann geht zwar das Öffnen von Dateien problemlos, aber der Aufruf von Eigenschaften einer Datei/eines Ordners aus dem Öffnen-Dialog auch nicht, mit dem Unterschied, dass noch nicht einmal eine Fehlermeldung kommt.

Kommen wir nun zum Schluss, wo der Denksport beginnt: Starte ich auf die selbe Weise cmd
runas /user:dom\domadmin cmd
und mache in dieser cmd ein
icacls \\server\share\hochgeheimesrestriktivesVerzeichnis\topsecretdatei.txt
Dann geht das problemlos, also zugreifbar sind die Dinge schon.

Irgendwie hat der Öffnen-Dialog neuerdings ein Problem mit runas.
Sollte jemand zufällig wissen, was an runas gedreht worden ist, dass diesen Nebeneffekt verursacht, bitte melden, sonst werde ich das als Bug weitergeben.

Content-ID: 288694

Url: https://administrator.de/forum/phaenomen-von-windows-10-runas-288694.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

colinardo
Lösung colinardo 18.11.2015 aktualisiert um 17:09:47 Uhr
Goto Top
Hallo DWW,
kann ich hier nachstellen. Probier mal die Option /netonly von runas dann läufts hier.
Scheint da irgendwo Probleme beim laden des Profils zu geben.

Grüße Uwe
DerWoWusste
DerWoWusste 18.11.2015 um 16:57:06 Uhr
Goto Top
Nun Uwe, das ist ja doll für Lokales, aber auf Sachen im Netzwerk kommt man dann nicht mehr. Du etwa?
colinardo
colinardo 18.11.2015 aktualisiert um 17:09:22 Uhr
Goto Top
Nun Uwe, das ist ja doll für Lokales, aber auf Sachen im Netzwerk kommt man dann nicht mehr. Du etwa?
Komm ich problemlos drauf. /Netonly besagt ja das die Credentials nur für die Remote-Server-Auth benutzt werden.
RSAT Tools arbeiten hier damit ebenfalls problemlos.
DerWoWusste
DerWoWusste 18.11.2015 um 17:09:41 Uhr
Goto Top
Witzigerweise war exakt als ich's probiert hatte mein Konto gesperrt. Kein Wunder...
Danke, das funktoniert!
DerWoWusste
DerWoWusste 24.11.2015 um 09:23:46 Uhr
Goto Top
Moin.

Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Failed to enumerate objects in the container, Access denied
sobald man die ACL speichern will. Geht's bei Dir?
Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
colinardo
colinardo 25.11.2015 aktualisiert um 10:49:02 Uhr
Goto Top
Zitat von @DerWoWusste:
Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Failed to enumerate objects in the container, Access denied
sobald man die ACL speichern will. Geht's bei Dir?
Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
Das ist normal denn die Credentials werden bei Nutzung von "netonly" nur für die Remote-Auth benutzt, der Process läuft lokal weiterhin unter dem aktuellen Useraccount. Bei mir kommt zumindest bei Änderungen von Berechtigungen die UAC.

Grüße Uwe
DerWoWusste
DerWoWusste 25.11.2015 um 13:34:17 Uhr
Goto Top
Moin.

Muss nochmal nachhaken: ich starte
runas.exe /netonly /user:dom\domadmin "mmc.exe mymmc.msc" - hierbei kommt ja noch keine UAC.
Über CTRL+o nehme ich mir nun einen lokalen Ordner - hier kommt dann bei ACL-Modifikation die UAC und alles läuft.
Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
(Die RSAT-Tools laufen natürlich).
colinardo
colinardo 25.11.2015 aktualisiert um 14:36:32 Uhr
Goto Top
Zitat von @DerWoWusste:
Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
Also das "einsehen" der ACLs funktioniert hier auch auf Shares damit problemlos. Nur beim Versuch die Rechte zu ändern bekomme ich den Fehler: "Fehler beim Aufzählen der Objekte im Container. Zugriff verweigert." (Share-Berechtigungen stehen auf Vollzugriff).
DerWoWusste
DerWoWusste 25.11.2015 um 14:50:33 Uhr
Goto Top
Weißte was, ich verbanne meine Administration jetzt in eine vm. Aus die Maus.
Wer Interesse an der Angelegenheit hat, ich habe das auch im Technet gepostet und es scheint bei MS Interesse erweckt zu haben:
https://social.technet.microsoft.com/Forums/en-US/8a6211f5-7819-4ab9-b47 ...
colinardo
colinardo 25.11.2015 aktualisiert um 15:13:53 Uhr
Goto Top
Hast recht ...
Komisch ist ja das man Ordner anlegen löschen kann, nur eben die Rechte ändern nicht. MS bitte nachbessern ... ein richtiges Runas ist das ja sonst nicht mehr.

Danke für den Link ins Technet, das beobachte ich auch mal.

p.s. mit Powershell und start-process selbes Verhalten, scheint also ein generelles Problem vom Verb runas zu sein.
colinardo
colinardo 01.12.2015 aktualisiert um 11:46:55 Uhr
Goto Top
Zur Info: Es gibt eine Rückmeldung im Technet-Thread

Zitat:
This is a bug in Windows 10, which I reported to Microsoft in early September.  Last week we got a patch from them, and its been 'fixed', but Microsoft has indicated that it might be a month or two before a formal patch is available to the public.  Annoying when customers report this error to say the least.

A workaround that might work is documented here:

http://www.forum.freecommander.com/viewtopic.php?f=19&t=6936
Microsoft ist der Bug bekannt, einen Patch für die Allgemeinheit gibts wohl erst in ein paar Wochen/Monaten. Vorübergehend gibt es einen Workaround, in dem man in dem folgenden Schlüssel den Wertnamen Runas einfach umbenennt z.B. in temp_RunAs, so dass er nicht mehr ausgewertet wird.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{448aee3b-dc65-4af6-bf5f-dce86d62b6c7}] 
Funktioniert hier im Test damit wieder problemlos. Bis zum Patch sollte der Workaround genügen.

Grüße Uwe
DerWoWusste
DerWoWusste 01.12.2015 aktualisiert um 12:53:56 Uhr
Goto Top
Zur Info: Es gibt eine Rückmeldung im Technet-Thread
Yes, Sir! Ich weiß, ist ja mein Thread face-smile Für andere wollte ich's auch noch posten, aber kämpfe gerade woanders. Danke für Deinen Service.