12
Phänomen von Windows 10 runas
Moin Kollegen.
Eigentlich zu früh am Nachmittag für Denksport, ich versuch's trotzdem:
Ich habe hier meine administrative Workstation, (Win10 1511 Enterprise x64) und habe RSAT installiert und nutze es über run as administrator - domainadmin.
Funktioniert. Nun habe ich bislang RSAT auf Vista/Win7/8.x auch gerne dazu genutzt, um ACLs von Ordnern einzusehen und zu modifizieren, auf die mein schwacher Nutzer keinen Zugriff hat, was ich sehr praktisch fand. Und dies geht seit Windows 10 nicht mehr, weder bei lokalen Ordnern, noch bei Netzlaufwerken.
Zum Reproduzieren: anmelden als schwacher Nutzer, RSAT als DomainAdmin starten, STRG+O drücken, im öffnen-Dialog zu c:\ browsen, Rechtsklick auf z.B. c:\windows ->Eigenschaften
Fehlermeldung: "the properties for this item are not available".
Melde ich mich aber an Windows als Domain-Admin an und mache dann das selbe, dann geht es. Es hat also mit runas zu tun. Weitere Probe: starte ich z.B. Notepad über runas
runas /user:dom\domadmin notepad
dann geht zwar das Öffnen von Dateien problemlos, aber der Aufruf von Eigenschaften einer Datei/eines Ordners aus dem Öffnen-Dialog auch nicht, mit dem Unterschied, dass noch nicht einmal eine Fehlermeldung kommt.
Kommen wir nun zum Schluss, wo der Denksport beginnt: Starte ich auf die selbe Weise cmd
runas /user:dom\domadmin cmd
und mache in dieser cmd ein
icacls \\server\share\hochgeheimesrestriktivesVerzeichnis\topsecretdatei.txt
Dann geht das problemlos, also zugreifbar sind die Dinge schon.
Irgendwie hat der Öffnen-Dialog neuerdings ein Problem mit runas.
Sollte jemand zufällig wissen, was an runas gedreht worden ist, dass diesen Nebeneffekt verursacht, bitte melden, sonst werde ich das als Bug weitergeben.
Eigentlich zu früh am Nachmittag für Denksport, ich versuch's trotzdem:
Ich habe hier meine administrative Workstation, (Win10 1511 Enterprise x64) und habe RSAT installiert und nutze es über run as administrator - domainadmin.
Funktioniert. Nun habe ich bislang RSAT auf Vista/Win7/8.x auch gerne dazu genutzt, um ACLs von Ordnern einzusehen und zu modifizieren, auf die mein schwacher Nutzer keinen Zugriff hat, was ich sehr praktisch fand. Und dies geht seit Windows 10 nicht mehr, weder bei lokalen Ordnern, noch bei Netzlaufwerken.
Zum Reproduzieren: anmelden als schwacher Nutzer, RSAT als DomainAdmin starten, STRG+O drücken, im öffnen-Dialog zu c:\ browsen, Rechtsklick auf z.B. c:\windows ->Eigenschaften
Fehlermeldung: "the properties for this item are not available".
Melde ich mich aber an Windows als Domain-Admin an und mache dann das selbe, dann geht es. Es hat also mit runas zu tun. Weitere Probe: starte ich z.B. Notepad über runas
runas /user:dom\domadmin notepad
dann geht zwar das Öffnen von Dateien problemlos, aber der Aufruf von Eigenschaften einer Datei/eines Ordners aus dem Öffnen-Dialog auch nicht, mit dem Unterschied, dass noch nicht einmal eine Fehlermeldung kommt.
Kommen wir nun zum Schluss, wo der Denksport beginnt: Starte ich auf die selbe Weise cmd
runas /user:dom\domadmin cmd
und mache in dieser cmd ein
icacls \\server\share\hochgeheimesrestriktivesVerzeichnis\topsecretdatei.txt
Dann geht das problemlos, also zugreifbar sind die Dinge schon.
Irgendwie hat der Öffnen-Dialog neuerdings ein Problem mit runas.
Sollte jemand zufällig wissen, was an runas gedreht worden ist, dass diesen Nebeneffekt verursacht, bitte melden, sonst werde ich das als Bug weitergeben.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 288694
Url: https://administrator.de/contentid/288694
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo DWW,
kann ich hier nachstellen. Probier mal die Option /netonly von runas dann läufts hier.
Scheint da irgendwo Probleme beim laden des Profils zu geben.
Grüße Uwe
kann ich hier nachstellen. Probier mal die Option /netonly von runas dann läufts hier.
Scheint da irgendwo Probleme beim laden des Profils zu geben.
Grüße Uwe
Nun Uwe, das ist ja doll für Lokales, aber auf Sachen im Netzwerk kommt man dann nicht mehr. Du etwa?
Nun Uwe, das ist ja doll für Lokales, aber auf Sachen im Netzwerk kommt man dann nicht mehr. Du etwa?
Komm ich problemlos drauf. /Netonly besagt ja das die Credentials nur für die Remote-Server-Auth benutzt werden.RSAT Tools arbeiten hier damit ebenfalls problemlos.
Witzigerweise war exakt als ich's probiert hatte mein Konto gesperrt. Kein Wunder...
Danke, das funktoniert!
Danke, das funktoniert!
Moin.
Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Failed to enumerate objects in the container, Access denied
sobald man die ACL speichern will. Geht's bei Dir?Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
Zitat von @DerWoWusste:
Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
Das ist normal denn die Credentials werden bei Nutzung von "netonly" nur für die Remote-Auth benutzt, der Process läuft lokal weiterhin unter dem aktuellen Useraccount. Bei mir kommt zumindest bei Änderungen von Berechtigungen die UAC.Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Failed to enumerate objects in the container, Access denied
sobald man die ACL speichern will. Geht's bei Dir?Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
Grüße Uwe
Moin.
Muss nochmal nachhaken: ich starte
runas.exe /netonly /user:dom\domadmin "mmc.exe mymmc.msc" - hierbei kommt ja noch keine UAC.
Über CTRL+o nehme ich mir nun einen lokalen Ordner - hier kommt dann bei ACL-Modifikation die UAC und alles läuft.
Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
(Die RSAT-Tools laufen natürlich).
Muss nochmal nachhaken: ich starte
runas.exe /netonly /user:dom\domadmin "mmc.exe mymmc.msc" - hierbei kommt ja noch keine UAC.
Über CTRL+o nehme ich mir nun einen lokalen Ordner - hier kommt dann bei ACL-Modifikation die UAC und alles läuft.
Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
(Die RSAT-Tools laufen natürlich).
Zitat von @DerWoWusste:
Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
Also das "einsehen" der ACLs funktioniert hier auch auf Shares damit problemlos. Nur beim Versuch die Rechte zu ändern bekomme ich den Fehler: "Fehler beim Aufzählen der Objekte im Container. Zugriff verweigert." (Share-Berechtigungen stehen auf Vollzugriff).Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
Weißte was, ich verbanne meine Administration jetzt in eine vm. Aus die Maus.
Wer Interesse an der Angelegenheit hat, ich habe das auch im Technet gepostet und es scheint bei MS Interesse erweckt zu haben:
https://social.technet.microsoft.com/Forums/en-US/8a6211f5-7819-4ab9-b47 ...
Wer Interesse an der Angelegenheit hat, ich habe das auch im Technet gepostet und es scheint bei MS Interesse erweckt zu haben:
https://social.technet.microsoft.com/Forums/en-US/8a6211f5-7819-4ab9-b47 ...
Hast recht ...
Komisch ist ja das man Ordner anlegen löschen kann, nur eben die Rechte ändern nicht. MS bitte nachbessern ... ein richtiges Runas ist das ja sonst nicht mehr.
Danke für den Link ins Technet, das beobachte ich auch mal.
p.s. mit Powershell und start-process selbes Verhalten, scheint also ein generelles Problem vom Verb runas zu sein.
Komisch ist ja das man Ordner anlegen löschen kann, nur eben die Rechte ändern nicht. MS bitte nachbessern ... ein richtiges Runas ist das ja sonst nicht mehr.
Danke für den Link ins Technet, das beobachte ich auch mal.
p.s. mit Powershell und start-process selbes Verhalten, scheint also ein generelles Problem vom Verb runas zu sein.
Zur Info: Es gibt eine Rückmeldung im Technet-Thread
Zitat:
Microsoft ist der Bug bekannt, einen Patch für die Allgemeinheit gibts wohl erst in ein paar Wochen/Monaten. Vorübergehend gibt es einen Workaround, in dem man in dem folgenden Schlüssel den Wertnamen Runas einfach umbenennt z.B. in temp_RunAs, so dass er nicht mehr ausgewertet wird.
Funktioniert hier im Test damit wieder problemlos. Bis zum Patch sollte der Workaround genügen.
Grüße Uwe
Zitat:
This is a bug in Windows 10, which I reported to Microsoft in early September. Last week we got a patch from them, and its been 'fixed', but Microsoft has indicated that it might be a month or two before a formal patch is available to the public. Annoying when customers report this error to say the least.
A workaround that might work is documented here:
http://www.forum.freecommander.com/viewtopic.php?f=19&t=6936
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{448aee3b-dc65-4af6-bf5f-dce86d62b6c7}]
Grüße Uwe
Zur Info: Es gibt eine Rückmeldung im Technet-Thread
Yes, Sir! Ich weiß, ist ja mein Thread 
Für andere wollte ich's auch noch posten, aber kämpfe gerade woanders. Danke für Deinen Service.
