Microsoft Windows Vista Community Forums - Vistaheads
Recommended Download



Welcome to the Microsoft Windows Vista Community Forums - Vistaheads, YOUR Largest Resource for Windows Vista related information.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so , join our community today!

If you have any problems with the registration process or your account login, please contact us.

Driver Scanner

Vista und die Rechte

microsoft.public.de.windows.vista.administration






Speedup My PC
Reply
  #1 (permalink)  
Old 10-17-2008
Jan Sjöholm
 

Posts: n/a
Vista und die Rechte
Auf auf die Gefahr hin, dass ich mich hier mit mir alleine unterhalte, weil
das schon alle wissen: Haben die MS-Leute bei Vista die Doppelt- und
Dreifachkomplexität von UAC, Hardlinks und Rechtevergabe eigentlich wirklich
in den Griff bekommen? Dieses OS verhält sich jedenfalls permanent in einer
Weise, die einen gleich zum Virenscanner greifen lässt. Gerade eben: ich
klicke als Admin (Mitglied der Gruppe Administratoren) mit rechts auf das
Verzeichnis Daten und lösche den eingeschränkten Benutzer "Eltern" komplett
aus der Berechtigtenliste heraus, weil mich stört, dass bei ihm
"Vollzugriff" angehakt ist, er aber in der erweiterten Darstellung
"spezielle Rechte" hat. Sofort anschließend öffne ich erneut per Rechtsklick
den Sicherheitsdialog - und siehe da, die UAC meint plötzlich, ich als Admin
müsse bestätigen, dass ich dazu berechtigt sei. Ich breche ab, versuche den
Ordner Daten zu öffnen - geht nur nach UAC-Bestätigung, da ich "momentan"
keine Berechtigung habe. Hä? Anschließend gebe ich dem Benutzer "Eltern"
Vollzugriff (jetzt ist dies dann auch in der erweiterten Darstellung korrekt
vermerkt) - und anschließend kann ich (wohlgemerkt als Admin) dann auch
wieder ohne UAC-Beschwerden auf Daten zugreifen.

Aber vermutlich werde ich das eines Tages verstehen, was bei Vista vor sich
geht...

Reply With Quote
Sponsored Links
  #2 (permalink)  
Old 10-17-2008
Mike Mueller
 

Posts: n/a
Re: Vista und die Rechte
Am Fri, 17 Oct 2008 18:33:38 +0200 schrieb Jan Sjöholm:

> Sofort anschließend öffne ich erneut per Rechtsklick den
> Sicherheitsdialog - und siehe da, die UAC meint plötzlich, ich als Admin

^^^^^^^^^^^^^
> müsse bestätigen, dass ich dazu berechtigt sei.


Administrator zu sein bedeutet nicht, alle rechte zu haben, sondern
lediglich sich alle Rechte verschaffen zu können.

http://www.faq-o-matic.net/2008/02/2...tig-einsetzen/
--
cu - Mike
Reply With Quote
  #3 (permalink)  
Old 10-18-2008
Hans-Peter Matthess
 

Posts: n/a
Re: Vista und die Rechte
Jan Sjöholm:

> Aber vermutlich werde ich das eines Tages verstehen, was bei Vista vor sich
> geht...


http://groups.google.de/group/micros...5fa9d76da57daf

Du hättest "Eltern" auch lassen können und diesem Account einfach alles
verweigern.

hpm
Reply With Quote
  #4 (permalink)  
Old 10-18-2008
Jan Sjöholm
 

Posts: n/a
Re: Vista und die Rechte
> Administrator zu sein bedeutet nicht, alle rechte zu haben, sondern
> lediglich sich alle Rechte verschaffen zu können.


Soweit, so klar. Es ist für mich aber nach wie vor nicht verständlich, warum
der "Admin" als Mitglied der Administratorengruppe, die wiederum Besitzer des
Verzeichnisses "Daten" ist und volle Zugriffsrechte darauf hat, die Meldung
angezeigt bekommt, er habe keine ausreichenden Rechte zum Zugriff. Melde ich
mich hingegen als Benutzer "Eltern" (haben ebenfalls volle Zugriffsrechte,
sind aber nicht Besitzer), dann erscheint diese Meldung nicht.
Reply With Quote
  #5 (permalink)  
Old 10-18-2008
Mike Mueller
 

Posts: n/a
Re: Vista und die Rechte
Am Sat, 18 Oct 2008 09:37:00 -0700 schrieb Jan Sjöholm:

> Es ist für mich aber nach wie vor nicht verständlich, warum
> der "Admin" als Mitglied der Administratorengruppe, die wiederum Besitzer des
> Verzeichnisses "Daten" ist und volle Zugriffsrechte darauf hat, die Meldung
> angezeigt bekommt, er habe keine ausreichenden Rechte zum Zugriff.


Die Grundlage der UAC ist halt, daß auch der Administrator bei Anmeldung
die Rechte entzogen bekommt und als gewöhnlicher User unterwegs ist. Beim
eingebauten Admin, ist - soweit ich weiß - die UAC standardmäßig
deaktivierst. Du könntest den gleichen Effekt erzielen, indem Du für Dein
Konto die UAC deaktivierst (wovon ich nachdrücklich abrate!) und das Konto
der Gruppe der Administratoren hinzufügst.

--
cu - Mike
Reply With Quote
  #6 (permalink)  
Old 10-18-2008
Jan Sjöholm
 

Posts: n/a
Re: Vista und die Rechte
Hi Mike,

danke für deine Antwort, aber sie betrifft nicht das Problem. Es geht bei
mir um eine (scheinbare) Inkonsistenz: ein Benutzer "Admin" darf trotz
Mitgliedschaft in der Administratorengruppe, trotz Vollzugriffs für die
Administratorengruppe auf Verzeichnis x, trotz Eigentümerschaft der
Administratorengruppe am Verzeichnis x *weniger* als ein bloßer Benutzer, der
zwar auch Vollzugriff hat, aber nicht in der Administratorengruppe und nicht
Eigentümer ist.

Klar kann ich die UAC abschalten, ich weiß auch mittlerweile, dass der echte
"Administrator" keiner UAC unterliegt und das ein (sonstiges) Mitglied der
Administratorengruppe von der UAC bei der Anmeldung (zunächst) seine
Sonderrechte entzogen bekommt. Aber die Frage ist doch, warum darf mein Admin
trotz ausdrücklicher Befugnis etwas nicht, was der "schwächere" Benutzer
"Eltern" darf? ;-)
Reply With Quote
  #7 (permalink)  
Old 10-19-2008
Mike Mueller
 

Posts: n/a
Re: Vista und die Rechte
Am Sat, 18 Oct 2008 11:28:01 -0700 schrieb Jan Sjöholm:

> Aber die Frage ist doch, warum darf mein Admin
> trotz ausdrücklicher Befugnis etwas nicht, was der "schwächere" Benutzer
> "Eltern" darf? ;-)


Ohne mich da jetzt nochmal querzulesen: Liegt es dann wohl an den
Zugriffsberechtigungen des NTFS. Ich kann auch als einfacher Benutzer
einstellen, daß ein Administrator (zunächst) nicht auf meine Dateien
zugreifen kann. Greift nun ein Admin auf Dateien zu, denen ich den Zugriff
für Admins verweigert habe, läßt ihn das OS da auch nicht ran. Der
entscheidende Unterschied ist jedoch der, daß sich ein Admin die
Zugriffsrechte auch selbst erteilen kann, was ein normaler User nicht kann.
Vielleicht unterliegt der eingebaute Admin unter Vista diesen
Beschränkungen nicht, das habe ich noch nicht ausprobiert.

Das gleiche würde Dir passieren, wenn Du z. B. Knoppix (Linux) booten
würdest. Der dort eingebaute NTFS-Treiber schert sich auch nicht um
vergebene Zugriffsbeschränkungen und Du hättest dadurch Zugriff auf alle
Daten (wenn sie nicht verschlüsselt sind).
--
cu - Mike
Reply With Quote
  #8 (permalink)  
Old 10-19-2008
Thomas D.
 

Posts: n/a
Re: Vista und die Rechte
Jan Sjöholm schrieb:

> danke für deine Antwort, aber sie betrifft nicht das Problem. Es geht bei
> mir um eine (scheinbare) Inkonsistenz: ein Benutzer "Admin" darf trotz
> Mitgliedschaft in der Administratorengruppe, trotz Vollzugriffs für die
> Administratorengruppe auf Verzeichnis x, trotz Eigentümerschaft der
> Administratorengruppe am Verzeichnis x *weniger* als ein bloßer Benutzer, der
> zwar auch Vollzugriff hat, aber nicht in der Administratorengruppe und nicht
> Eigentümer ist.


[x} Du hast UAC noch immer nicht verstanden.

Indem die Benutzerkontensteuerung das ADMIN-Flag filtert, greift die
Prüfung "Ist Mitglied der Gruppe Administratoren" nicht mehr, weswegen Du
einen UAC-Prompt beim Zugriff auf das Verzeichnis erhältst (sofern nicht
abgeschaltet).

Alles was explizit für Administratoren erlaubt ist, greift nur, wenn der
Prozess auch explizit als Administrator läuft. Das ist standardmäßig nicht
der Fall.

Kleines Beispiel:
Öffne die Eingabeaufforderung und versuche auf das Verzeichnis, welches nur
für die Gruppe "Administratoren" zugänglich ist, zuzugreifen. Es wird nicht
klappen.

Jetzt öffne die Eingabeaufforderung explizit als Administrator. Nun ist dir
der Zugriff möglich.


=> Du solltest jetzt den FAQ-O-Matic-Artikel den Dir Mike genannt hat, noch
einmal lesen, in Ruhe.


--
Grüße,
Thomas
Reply With Quote
  #9 (permalink)  
Old 10-20-2008
Jan Sjöholm
 

Posts: n/a
Re: Vista und die Rechte
> Indem die Benutzerkontensteuerung das ADMIN-Flag filtert, greift die
> Prüfung "Ist Mitglied der Gruppe Administratoren" nicht mehr, weswegen Du
> einen UAC-Prompt beim Zugriff auf das Verzeichnis erhältst (sofern nicht
> abgeschaltet).

Vermutlich hast du recht. Aber Sinn macht es nirgendwo. Auch dieser
faq-o-matic-Artikel gibt nichts her dafür, warum ein Admin kein Zugriff auf
ein Verzeichnis hat, für das dem Admin vom Administrator volle Rechte
eingeräumt wurde.

Es heißt dort:

"Der prinzipiell unerwünschte Fall ist der, in dem der Benutzer über lokale
Adminrechte verfügt. [...] In dieser Situation wird, wie oben beschrieben,
das Access Token für die Arbeitssitzung um die kritischen Rechte bereinigt.
Ruft der Benutzer nun eine Funktion auf, die erhöhte Rechte benötigt, so
schaltet UAC ebenfalls auf seinen geschützten Desktop um."

"Kritischen Rechte" können begrifflich nur solche sein, die einem Admin vom
System zur Verfügung gestellt werden, Rechte, bei denen ein Admin
möglicherweise selbst nicht weiß, ob sie "kritisch" sind oder nicht (also
z.B. das Recht, die UAC abzustellen). "Kritische Rechte" aber können nicht
die von einem Admin erteilten Zugriffsberechtigungen auf ein x-beliebiges
Verzeichnis sein. Die UAC kann nicht beurteilen, ob es "kritisch" ist, wenn
ein Administrator-Account einem anderen Administrator-Account Zugriff auf
"Meine ****osammlung" erteilt.

Aber vermutlich hast du Recht, die UAC ist die Ursache, sie sollte m.E.
jedoch die dem Administrator per se zustehenden Befugnisse beschneiden, nicht
aber die vom Chef ausdrücklich angeordneten Rechte. Denn letzteres ist
unverständlich und ein Schritt in Richtung Linux.

Danke und Gruß
Jan
Reply With Quote
  #10 (permalink)  
Old 10-20-2008
Hans-Peter Matthess
 

Posts: n/a
Re: Vista und die Rechte
Jan Sjöholm:

>> Indem die Benutzerkontensteuerung das ADMIN-Flag filtert, greift die
>> Prüfung "Ist Mitglied der Gruppe Administratoren" nicht mehr, weswegen Du
>> einen UAC-Prompt beim Zugriff auf das Verzeichnis erhältst (sofern nicht
>> abgeschaltet).


> Vermutlich hast du recht. Aber Sinn macht es nirgendwo.


Nein, das macht überall Sinn.

> Auch dieser
> faq-o-matic-Artikel gibt nichts her dafür, warum ein Admin kein Zugriff auf
> ein Verzeichnis hat, für das dem Admin vom Administrator volle Rechte
> eingeräumt wurde.


Unsinn, wenn man einem Benutzer X Zugriff auf ein Verzeichnis gewährt,
dann hat er auch immer Zugriff. Die Gruppe "Adminstratoren" ist aber
kein "Admin" in deinem Sinne. Es gibt kein Benutzerkonto
"Administratoren"! Thomas hat es doch deutlich genug erklärt.

[...]

> Aber vermutlich hast du Recht, die UAC ist die Ursache, sie sollte m.E.
> jedoch die dem Administrator per se zustehenden Befugnisse beschneiden, nicht
> aber die vom Chef ausdrücklich angeordneten Rechte.


Wer ist denn der Chef? Du etwa? :-)
Nein, der "Chef" (oder besser DAU) hat nicht die Möglichkeit, die
Rechteverwaltung von Windows zu ändern - und das ist auch gut so. ;-)

hpm
Reply With Quote
Reply


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off

Similar Threads
Thread Thread Starter Forum Replies Last Post
User-Rechte unter Vista am lokalen Rechner, angemeldet an einer Domäne Roswitha Schoppe-Jantzen microsoft.public.de.windows.vista.gruppenrichtlinien 13 09-08-2008 16:01
User-Rechte unter Vista am lokalen Rechner, angemeldet an einer Domäne Roswitha Schoppe-Jantzen microsoft.public.de.windows.vista.netzwerk 1 09-04-2008 17:41
Administratoren-Rechte Gerd Fischer microsoft.public.de.windows.vista.administration 14 07-16-2007 17:44
WDS Vista - Key und Rechte fuer Installation Arnold Schmid microsoft.public.de.windows.vista.installation 0 06-12-2007 08:00
Rechte sammeln Thomas Steinbach microsoft.public.de.windows.vista.administration 1 04-24-2007 19:22




All times are GMT +1. The time now is 12:51.




Driver Scanner - Free Scan Now

Vistaheads.com is part of the Heads Network. See also XPHeads.com , Win7Heads.com and Win8Heads.com.


Design by Vjacheslav Trushkin for phpBBStyles.com.
Powered by vBulletin® Version 3.6.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0 RC 2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120