9
Vererbung in public documents funktioniert nicht für Dateien die Admins erstellt haben
hi,
ich hab gerade ein etwas seltsames Problem, vieleicht nur ein Verständnisproblem.
Wir haben eine Software installiert, die eine temporäre Datei anlegt, die von allen Sessions dieser Software überwacht wird.
Die Datei liegt in einem Unterordner von C:\Users\Public\Documents
In dem Ordner ist eine Vererbungsmaske, die unter anderem den "authenticated users" volle Zugriffsrechte zugesteht.
Und nun zu meinem Problem (mit einer simplen Textdatei reproduzeirbar)
User1 ohne Adminrechte legt die Datei an: In den Eigenschaften / Sicherheit hat die Gruppe "authenticated users" die nötigen Rechte.
User2 ohne Adminrechte kann sie editieren, Rechte sind wie gehabt.
Nun löscht User3 MIT Administratorrechten diese DAtei und erzeugt sie neu
Wenn ich dann die Sicherheitsflags anschaue dann sehe ich daß dieser User und die Gruppe "Administators" die vollen Zugriffsrechte haben, die Gruppe "Authenticated users" fehlt hingegen.
Wenn ich das auf dem d: Laufwerk mit einem X-beliebigen Ordner mache, dann funktioniert die REchteverbung korrekt für Admins und Nicht-Admins.
Woran liegt das?
Die Vererbung wurde in keinem Fall unterbrochen.
Welche GPO könnte dafür in Frage kommen?
Welche Rechtemaske?
Womit kann man das verhindern?
Ist der Public documents Ordner irgendwie speziell?
Das Programm benötigt für den Terminalserver-Betrieb diese eine DAtei an einer allgemein zugänglichen STelle für eine Art Jobkontrolle, ich kann also nicht %temp% konfigurieren, es werden keine Umgebungsvariablen ausgewertet, nur volle physische Pfade.
ich hab gerade ein etwas seltsames Problem, vieleicht nur ein Verständnisproblem.
Wir haben eine Software installiert, die eine temporäre Datei anlegt, die von allen Sessions dieser Software überwacht wird.
Die Datei liegt in einem Unterordner von C:\Users\Public\Documents
In dem Ordner ist eine Vererbungsmaske, die unter anderem den "authenticated users" volle Zugriffsrechte zugesteht.
Und nun zu meinem Problem (mit einer simplen Textdatei reproduzeirbar)
User1 ohne Adminrechte legt die Datei an: In den Eigenschaften / Sicherheit hat die Gruppe "authenticated users" die nötigen Rechte.
User2 ohne Adminrechte kann sie editieren, Rechte sind wie gehabt.
Nun löscht User3 MIT Administratorrechten diese DAtei und erzeugt sie neu
Wenn ich dann die Sicherheitsflags anschaue dann sehe ich daß dieser User und die Gruppe "Administators" die vollen Zugriffsrechte haben, die Gruppe "Authenticated users" fehlt hingegen.
Wenn ich das auf dem d: Laufwerk mit einem X-beliebigen Ordner mache, dann funktioniert die REchteverbung korrekt für Admins und Nicht-Admins.
Woran liegt das?
Die Vererbung wurde in keinem Fall unterbrochen.
Welche GPO könnte dafür in Frage kommen?
Welche Rechtemaske?
Womit kann man das verhindern?
Ist der Public documents Ordner irgendwie speziell?
Das Programm benötigt für den Terminalserver-Betrieb diese eine DAtei an einer allgemein zugänglichen STelle für eine Art Jobkontrolle, ich kann also nicht %temp% konfigurieren, es werden keine Umgebungsvariablen ausgewertet, nur volle physische Pfade.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 381287
Url: https://administrator.de/forum/vererbung-in-public-documents-funktioniert-nicht-fuer-dateien-die-admins-erstellt-haben-381287.html
Ausgedruckt am: 09.04.2025 um 06:04 Uhr
9 Kommentare
Neuester Kommentar
Hi,
wie (womit) erstellt der Admin diese Datei?
Macht es einen Unterschied, ob dieses Programm voll eleviert läuft oder nicht? ("als Administrator ausführen")
E.
wie (womit) erstellt der Admin diese Datei?
Macht es einen Unterschied, ob dieses Programm voll eleviert läuft oder nicht? ("als Administrator ausführen")
E.
Mit dem notepad.exe im Kontext des angemeldeten Benutzers hatten wir das Verhalten dann nachgestellt.
Wenn die Datei von einem Benutzer erstellt wird, der Mitglied der Gruppe "Administratoren" ist, dann wird die Vererbung der Rechte gebrochen bzw. nicht an der ACL der erstellten Textdatei übernommen.
Wenn der Ersteller der Datei KEIN Mitglied der Gruppe der Administratoren ist, dann funktioniert es richtig.
Wenn die Datei von einem Benutzer erstellt wird, der Mitglied der Gruppe "Administratoren" ist, dann wird die Vererbung der Rechte gebrochen bzw. nicht an der ACL der erstellten Textdatei übernommen.
Wenn der Ersteller der Datei KEIN Mitglied der Gruppe der Administratoren ist, dann funktioniert es richtig.
ob dieses Programm voll eleviert läuft oder nicht?
ich erwähnte Notepad.exe im Kontext des Benutzers.
Das alleine reicht aus, um das Phänomen zu bewirken.
Ist keine Elevatoin im spiel nur Gruppenmitgliedschaften auf AD ebene
Das alleine reicht aus, um das Phänomen zu bewirken.
Ist keine Elevatoin im spiel nur Gruppenmitgliedschaften auf AD ebene
Na ja, wenn Du meinst.
Du schreibst, das passiert, sobald ein Admin diese Datei neu erstellt.
Wenn es mein Problem wäre, dann würde es mich interessieren, ob es einen Unterschied macht, ob eleviert oder nicht. Wenn es Dich nicht interessiert, dann auch OK. Habe im Moment keinen weiteren Ansatz.
Du schreibst, das passiert, sobald ein Admin diese Datei neu erstellt.
Wenn es mein Problem wäre, dann würde es mich interessieren, ob es einen Unterschied macht, ob eleviert oder nicht. Wenn es Dich nicht interessiert, dann auch OK. Habe im Moment keinen weiteren Ansatz.
UAC: behavior of the elevation prompt for administrators in Admin Approval mode: ask for consent
Für ein automatisches Rollout der Software wird wohl erstmal ein MD c:\tempordner" und ein setacl benötigt... denn dann funktoiniert es. Kann sein daß irgendwo noch ne GPO rumgeistert, aber hier gibts scheinbar niemanden der das weiß.
Wenns überlebenswichtig wäre, gibts noch ne Option beim Technet und wenns da keiner weiß, der MS Support
Für ein automatisches Rollout der Software wird wohl erstmal ein MD c:\tempordner" und ein setacl benötigt... denn dann funktoiniert es. Kann sein daß irgendwo noch ne GPO rumgeistert, aber hier gibts scheinbar niemanden der das weiß.
Wenns überlebenswichtig wäre, gibts noch ne Option beim Technet und wenns da keiner weiß, der MS Support
UAC: behavior of the elevation prompt for administrators in Admin Approval mode: ask for consent
Ja..... Und?Für ein automatisches Rollout der Software wird wohl erstmal ein MD c:\tempordner" und ein setacl benötigt... denn dann funktoiniert es.
Klasse ausführlich. Es wird immer lichter im Wald.Kann sein daß irgendwo noch ne GPO rumgeistert, aber hier gibts scheinbar niemanden der das weiß.
Och, deswegen musst Du jetzt nicht weinen. Hier kann doch niemand wissen, welche GPO's da bei Euch im Netz "rumgeistern".Wenns überlebenswichtig wäre, gibts noch ne Option beim Technet und wenns da keiner weiß, der MS Support
Richtig.
also verarschen kann ich mich selber, ich hab die Fragen hier geschrieben um Antworten zu erhalten und nicht damit jemand meine Fragen durch den Kakao zieht. Wennn ich Bock auf sowas hätte dann hätte ich in administratorfromhell.de gepostet und nicht hier.
Es war übrigens kein Windows-Fehler... und auch nichts mit den Rechten, sondern ein falsches Flag bei einem API-Aufruf zum Erstellen einer Datei.
Es war übrigens kein Windows-Fehler... und auch nichts mit den Rechten, sondern ein falsches Flag bei einem API-Aufruf zum Erstellen einer Datei.
Also verarschen wollte ich Dich nicht.
Lies doch bitte noch einmal Deinen Kommentar von 30.07.2018 um 10:38 Uhr. Oder lass es lesen von jemanden, der Dir näher steht und dem Du vertraust. Ich schätze, selbst diese Person kann nicht in deinen Kopf sehen und dieses - sorry - Gestammel versteht.
Lies doch bitte noch einmal Deinen Kommentar von 30.07.2018 um 10:38 Uhr. Oder lass es lesen von jemanden, der Dir näher steht und dem Du vertraust. Ich schätze, selbst diese Person kann nicht in deinen Kopf sehen und dieses - sorry - Gestammel versteht.
