Phänomen von Windows 10 runas
Moin Kollegen.
Eigentlich zu früh am Nachmittag für Denksport, ich versuch's trotzdem:
Ich habe hier meine administrative Workstation, (Win10 1511 Enterprise x64) und habe RSAT installiert und nutze es über run as administrator - domainadmin.
Funktioniert. Nun habe ich bislang RSAT auf Vista/Win7/8.x auch gerne dazu genutzt, um ACLs von Ordnern einzusehen und zu modifizieren, auf die mein schwacher Nutzer keinen Zugriff hat, was ich sehr praktisch fand. Und dies geht seit Windows 10 nicht mehr, weder bei lokalen Ordnern, noch bei Netzlaufwerken.
Zum Reproduzieren: anmelden als schwacher Nutzer, RSAT als DomainAdmin starten, STRG+O drücken, im öffnen-Dialog zu c:\ browsen, Rechtsklick auf z.B. c:\windows ->Eigenschaften
Fehlermeldung: "the properties for this item are not available".
Melde ich mich aber an Windows als Domain-Admin an und mache dann das selbe, dann geht es. Es hat also mit runas zu tun. Weitere Probe: starte ich z.B. Notepad über runas
runas /user:dom\domadmin notepad
dann geht zwar das Öffnen von Dateien problemlos, aber der Aufruf von Eigenschaften einer Datei/eines Ordners aus dem Öffnen-Dialog auch nicht, mit dem Unterschied, dass noch nicht einmal eine Fehlermeldung kommt.
Kommen wir nun zum Schluss, wo der Denksport beginnt: Starte ich auf die selbe Weise cmd
runas /user:dom\domadmin cmd
und mache in dieser cmd ein
icacls \\server\share\hochgeheimesrestriktivesVerzeichnis\topsecretdatei.txt
Dann geht das problemlos, also zugreifbar sind die Dinge schon.
Irgendwie hat der Öffnen-Dialog neuerdings ein Problem mit runas.
Sollte jemand zufällig wissen, was an runas gedreht worden ist, dass diesen Nebeneffekt verursacht, bitte melden, sonst werde ich das als Bug weitergeben.
Eigentlich zu früh am Nachmittag für Denksport, ich versuch's trotzdem:
Ich habe hier meine administrative Workstation, (Win10 1511 Enterprise x64) und habe RSAT installiert und nutze es über run as administrator - domainadmin.
Funktioniert. Nun habe ich bislang RSAT auf Vista/Win7/8.x auch gerne dazu genutzt, um ACLs von Ordnern einzusehen und zu modifizieren, auf die mein schwacher Nutzer keinen Zugriff hat, was ich sehr praktisch fand. Und dies geht seit Windows 10 nicht mehr, weder bei lokalen Ordnern, noch bei Netzlaufwerken.
Zum Reproduzieren: anmelden als schwacher Nutzer, RSAT als DomainAdmin starten, STRG+O drücken, im öffnen-Dialog zu c:\ browsen, Rechtsklick auf z.B. c:\windows ->Eigenschaften
Fehlermeldung: "the properties for this item are not available".
Melde ich mich aber an Windows als Domain-Admin an und mache dann das selbe, dann geht es. Es hat also mit runas zu tun. Weitere Probe: starte ich z.B. Notepad über runas
runas /user:dom\domadmin notepad
dann geht zwar das Öffnen von Dateien problemlos, aber der Aufruf von Eigenschaften einer Datei/eines Ordners aus dem Öffnen-Dialog auch nicht, mit dem Unterschied, dass noch nicht einmal eine Fehlermeldung kommt.
Kommen wir nun zum Schluss, wo der Denksport beginnt: Starte ich auf die selbe Weise cmd
runas /user:dom\domadmin cmd
und mache in dieser cmd ein
icacls \\server\share\hochgeheimesrestriktivesVerzeichnis\topsecretdatei.txt
Dann geht das problemlos, also zugreifbar sind die Dinge schon.
Irgendwie hat der Öffnen-Dialog neuerdings ein Problem mit runas.
Sollte jemand zufällig wissen, was an runas gedreht worden ist, dass diesen Nebeneffekt verursacht, bitte melden, sonst werde ich das als Bug weitergeben.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 288694
Url: https://administrator.de/forum/phaenomen-von-windows-10-runas-288694.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
12 Kommentare
Neuester Kommentar
Zitat von @DerWoWusste:
Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
Das ist normal denn die Credentials werden bei Nutzung von "netonly" nur für die Remote-Auth benutzt, der Process läuft lokal weiterhin unter dem aktuellen Useraccount. Bei mir kommt zumindest bei Änderungen von Berechtigungen die UAC.Funktioniert doch nicht. Man kann nun zwar die Eigenschaften sehen, auch die ACL, aber beim Eintragen von neuen Nutzern bekommt man den Fehler
Failed to enumerate objects in the container, Access denied
sobald man die ACL speichern will. Geht's bei Dir?Auch kann man nun die gesamte mmc nicht mehr abspeichern, wenn man Änderungen an der Ansicht gemacht hat.
Grüße Uwe
Zitat von @DerWoWusste:
Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
Also das "einsehen" der ACLs funktioniert hier auch auf Shares damit problemlos. Nur beim Versuch die Rechte zu ändern bekomme ich den Fehler: "Fehler beim Aufzählen der Objekte im Container. Zugriff verweigert." (Share-Berechtigungen stehen auf Vollzugriff).Nehme ich eine Freigabe \\server\share, kann ich jedoch keine ACLs einsehen (keine Rechte zum Einsehen). Das würde ich gerne können.
Hast recht ...
Komisch ist ja das man Ordner anlegen löschen kann, nur eben die Rechte ändern nicht. MS bitte nachbessern ... ein richtiges Runas ist das ja sonst nicht mehr.
Danke für den Link ins Technet, das beobachte ich auch mal.
p.s. mit Powershell und start-process selbes Verhalten, scheint also ein generelles Problem vom Verb runas zu sein.
Komisch ist ja das man Ordner anlegen löschen kann, nur eben die Rechte ändern nicht. MS bitte nachbessern ... ein richtiges Runas ist das ja sonst nicht mehr.
Danke für den Link ins Technet, das beobachte ich auch mal.
p.s. mit Powershell und start-process selbes Verhalten, scheint also ein generelles Problem vom Verb runas zu sein.
Zur Info: Es gibt eine Rückmeldung im Technet-Thread
Zitat:
Microsoft ist der Bug bekannt, einen Patch für die Allgemeinheit gibts wohl erst in ein paar Wochen/Monaten. Vorübergehend gibt es einen Workaround, in dem man in dem folgenden Schlüssel den Wertnamen Runas einfach umbenennt z.B. in temp_RunAs, so dass er nicht mehr ausgewertet wird.
Funktioniert hier im Test damit wieder problemlos. Bis zum Patch sollte der Workaround genügen.
Grüße Uwe
Zitat:
This is a bug in Windows 10, which I reported to Microsoft in early September. Last week we got a patch from them, and its been 'fixed', but Microsoft has indicated that it might be a month or two before a formal patch is available to the public. Annoying when customers report this error to say the least.
A workaround that might work is documented here:
http://www.forum.freecommander.com/viewtopic.php?f=19&t=6936
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{448aee3b-dc65-4af6-bf5f-dce86d62b6c7}]
Grüße Uwe