Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Schreibschutz auf ProgramData - Euer Workaround

Mitglied: Leon87

Leon87 (Level 1) - Jetzt verbinden

21.01.2014, aktualisiert 12:35 Uhr, 7059 Aufrufe, 5 Kommentare, 4 Danke

Hallo Admins und Systemintegratoren,

aktuell stehen bei uns in der Firma wieder Rollouts von Windows 7 Betriebssystemen an und da demnächst auch in eine neue Serverinfrastruktur investiert wird, kann es nicht schaden das bisherige Vorgehen mal zu hinterfragen.

Immer wieder führt es zu Problemen, dass die normalen Benutzer standardmäßig nicht in den Verzeichnissen ProgramData und ProgramFiles schreiben dürfen, was bedeutet, dass die meisten Programme entweder keine Einstellungen speichern können oder eben sofort abschmieren.

Bisher haben wir dann ohne großartiges Hinterfragen dem Benutzer dann eben auch Schreibrechte auf die Verzeichnisse gegeben und alle waren mit dieser Lösung mehr oder weniger glücklich. (Administrationsrechte soll der Benutzer nicht haben.)

Nun sind aktuell aber irgendwie Zweifel an dem bisherigen Vorgehen da. Ich geh einfach mal davon aus, Microsoft hat diese Hürde nicht ohne Grund eingeführt und hat sich vermutlich auch etwas dabei gedacht. Natürlich kann ich nun wie schon bereits in der Vergangenheit geschehen, dieses Prinzip aufbohren und die User gewähren lassen. Aber damit führe ich ja eigentlich die Kernfunktion ad absurdum.

Interessant wäre für mich nur zu wissen, wie sich Microsoft das eigentlich gedacht hat und/oder ob jemand von euch eine elegantere Methode hat, die er vielleicht kurz vorstellen möchte, bzw. Anregungen geben möchte.

Vielen Dank!
Mitglied: Sheogorath
21.01.2014, aktualisiert um 12:42 Uhr
Moin,

1. Für sowas gibt es den VirtualStore (%localappdata%\VirtualStore) seit Vista oder 7, bin ich mir nicht ganz sicher.
Edit: Infos: http://blog.m-ri.de/index.php/2007/02/10/der-virtualstore-und-seine-sch ...

2. Eigentlich sollten Einstellungen unter %appdata% gespeichert werden.

Gruß
Chris
Bitte warten ..
Mitglied: Pjordorf
21.01.2014 um 13:03 Uhr
Hallo,

Zitat von Leon87:
und/oder ob jemand von euch eine elegantere Methode hat
Ja. Software verwenden die für dein OS Entwickelt und getestet und freigegeben wurde. Krasse Antwort? Vielleicht. Du füllst in deinen Auto ja auch kein Sprint ein der von deinen Motor nicht genutzt werden kann, oder? Warum dann bei einem OS (Hier W7)?

Mit dem Vista wurde ein neues Sicherheitsmodell eingeführt und mit W7 und W8 weiterentwickelt. Das trennen von Programm und Daten aber auch vom OS und Benutzer ist das Ziel. Dazu gehören Restriktionen mancher Ordner aber auch in der Windows Registrierung hat es entsprechende Einschränkungen gegeben. Wer heute noch mit VB 1.0 seine Software entwickelt, braucht sich nicht zu Wundern wenn diese auf aktuellen OSe einfach nur Feuer und Rauch erzeugen.

Du würdest ja auch auf keinem Unix versuchen dein MS-DOS Programm installiert zu bekommen oder gar damit dort Arbeiten wollen. (Ohne Emulatoren usw)

Auch ein Windows wird Kontinuierlich intern weiterentwickelt. Aussen siehst du trotzdem nur deine bunten Bilder

Auch ich kenne sehr aktuelle und vor allem sehr teuere Business Software wo der Hersteller (z.B. Sage Frankreich bzw. Spanien) tatsächlich darauf besteht die UAC auszuschalten und dem normalen Nutzer zwingend Admin Rechte zu gewähren, und das zum Arbeiten. Über die Installation und die nötigen Klimmzüge mal gar nicht zu sprechen. Und das Produkt ist angeblich geprüft und Zertifiziert für bis zu Windows 8.1 pro usw.. Home Versionen werden von der Software bei der Installation gar nicht erst zugelassen. Haha.

Einige Entwickler haben noch nicht mal das XP verstanden.... und Entwickeln zwar mit modernen Werkzeuge aber immer noch nach Schema Windows 3.0...

Jetzt such dir aus was dein Problem ist

Gruß,
Peter
Bitte warten ..
Mitglied: SlainteMhath
21.01.2014 um 13:03 Uhr
Moin,

.... nicht in den Verzeichnissen ProgramData und ProgramFiles schreiben dürfen ...
Das ist aber nicht erst seit Win7 so. Bereits unter 2000/XP konnte der Normale User da nichts rein schreiben (sofern man auf NTFS installiert hat)

Bisher haben wir dann ohne großartiges Hinterfragen dem Benutzer dann eben auch Schreibrechte auf die Verzeichnisse gegeben und alle
waren mit dieser Lösung mehr oder weniger glücklich. (Administrationsrechte soll der Benutzer nicht haben.)
Damit ist im Prinzip die komplette Security deiner PCs kompromittiert.

Ansonsten schliesse ich mich Chris an:
Eigentlich sollten Einstellungen unter %appdata% gespeichert werden.
Und Pogramme die sich nicht daran halten haben im Unternehmensumfeld nichts verloren.

lg,
Slainte
Bitte warten ..
Mitglied: psannz
21.01.2014 um 13:19 Uhr
Sers,

es gibt ja leider immer noch Softwarehersteller die sich kategorisch weigern %AppData% zu verwenden. Deltra mit der ERP Software Orgamax gehört hier leider dazu. In dem Fall ist der Workaround die Software etwa nach c:\orgamax zu installieren. Per Default haben dann auch normale Nutzer Schreibrechte auf das Programmverzeichnis.
Die 3D-Drucker Software ObjetStudio ist auch so ein Fall. Die braucht dann aber auch Schreibzugriff auf %ProgramData%, %ProgramFiles% und HKLM. Das volle Programm eben.

Was in solchen Fällen aber klar sein muss: Ordnerüberwachung auf die jeweiligen Verzeichnisse.

Ansonsten hat @Christoph.Kern natürlich voll und ganz Recht. Also fühl deinen Softwarelieferanten auf den Zahn. Irgendwann wird die Anpassung schon kommen. Und wenn sie einfach nur deswegen kommt damit deine Nerverei aufhört

Grüße,
Philip
Bitte warten ..
Mitglied: DerWoWusste
21.01.2014, aktualisiert um 13:25 Uhr
Moin.

Kann mich diversen Vorrednern anschließen und füge hinzu:
Immer wieder führt es zu Problemen, dass die normalen Benutzer standardmäßig nicht in den Verzeichnissen ProgramData und ProgramFiles schreiben dürfen, was bedeutet, dass die meisten Programme entweder keine Einstellungen speichern können oder eben sofort abschmieren.
Immer wieder? Bei uns ist das die absolute Ausnahme. Der genannte Virtual store schaltet sich nämlich automatisch ein, um dieses Problem zu umschiffen...wenn...ja wenn die UAC an ist. Ohne gibt's keine Ordnervirtualisierung.
Bitte warten ..
Ähnliche Inhalte
Webbrowser
Firefox 52 und Java (Workaround)
Tipp von ChriBoWebbrowser12 Kommentare

Hi, falls jemand auch dringend Java in Firefox 52 benötigt gibt es zwei Workarounds: 1. Wechsel von Firefox Standard ...

Windows 10

Applocker-Bug in Win10-1703 - Workaround gesucht

gelöst Frage von DerWoWussteWindows 1031 Kommentare

Moin. Vielleicht hat ja jemand Lust, dies zu verifizieren: In win10 enterprise 1703 (15063.138) kann man keine Applockerregeln mehr ...

Windows 7

Windows 7 Embedded Schreibschutz entfernen

Frage von lordofremixesWindows 712 Kommentare

Hallo zusammen, ich arbeite seit gut zwei Tagen an einem Problem, das meine Haare mal wieder ergrauen lässt. Wir ...

Windows Server

PDF auf Fileserver ohne Schreibschutz öffnen

gelöst Frage von ImmenburgWindows Server14 Kommentare

Hallo zusammen. Folgender Aufbau liegt vor: Wir haben PDFs in einem Freigegeben Ordner liegen (SBS 2011). Die User haben ...

Neue Wissensbeiträge
Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 1 TagSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 3 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 3 TagenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 6 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Heiß diskutierte Inhalte
Windows Server
GPO Programme an User verteilen
Frage von ILeonardWindows Server13 Kommentare

Hallo, ich möchte über GPO Programme an User verteilen allerdings funktioniert das nicht, um gleich ein paar Dinge zu ...

CPU, RAM, Mainboards
LED Lüfter und LED LEiste dunkel beim einloggen
Frage von uridium69CPU, RAM, Mainboards12 Kommentare

Moin Ich habe einen PC mit einem ASUS RGB tauglichen Board, dort habe ich einerseits einen CPU Lüfter mit ...

Batch & Shell
Dateinamen vorne abschneiden
Frage von JoeKnapeBatch & Shell8 Kommentare

wer kann mir helfen ich habe auf einem synology NAS ein script, was mir alle möglichen dateitypen in einem ...

Batch & Shell
Mit Powershell zwei Prozesse mit gleichem Prozessname und unterschiedlichen Parameter überprüfen und ggf. erneut starten
Frage von DarkFireBatch & Shell6 Kommentare

Hallo Zusammen, ich versuche seit Stunden zwei Prozesse mit gleichem Prozessname, gleichen Verzeichnis in WIn10 mittles Powershell zu überprüfen ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...