[poundhn]

Seit einiger Zeit arbeite nur noch mit eingeschränkten Benutzerrechten mit Windows XP und es ist mir auch gelungen, für etwas schwierige Programme die Berechtigungen entsprechend anzupassen, dass auch normale Benutzer damit arbeiten können (Winamp als Beispiel).

Nun ist mir folgendes aufgefallen. Ich habe mit dem gleichen Konto als Administrator Registry-Schlüssel unter HKLM angelegt und einige zusätzliche Dateien in die Systemverzeichnisse gestellt. Warum kann jetzt der selbe Benutzer diese Registry-Einträge nicht mehr bearbeiten, obwohl er doch nach wie vor als Ersteller-Besitzer eingetragen ist und somit Vollzugriff auf diese zusätzlichen Schlüssel hat. Auch können die zusätzlichen Dateien in den Windows-Ordnern durch den Benutzer nicht umbenannt werden obwohl lt. Sicherheitseinstellungen der Vollzugriff erhalten geblieben ist. Vielleicht kann mich da mal jemand aufklären.

Dieser Beitrag wurde von poundhn bearbeitet: 22. August 2008 - 07:52

[poundhn]

Sorry wegen Doppelpost. Habe folgendes Szenario mal ausprobiert. Habe als Admin einen Schlüssel unter HKLM angelegt und danach dasselbe Konto wieder als eingeschränkter Benutzer laufen lassen und konnte den Schlüssel tatsächlich löschen. Das funktioniert also doch.

Habe dann noch einen Autostart-Eintrag unter HKLM\Microsoft\Windows\CurrentVersion\Run gesetzt und hier greift dieses "Ersteller-Besitzer"-Konzept wohl nicht mehr. Diesen Eintrag konnte ich als normaler Benutzer dann nicht mehr löschen, obwohl ich doch Vollzugriff darauf haben müsste. Es scheitert wohl daran, das es keine ACLs auf einzelne Eintragungen in der Registry mehr gibt, oder liege ich da falsch ?

[SurgeonX1]

Bei mir taucht dieses Problem mit dem Ersteller-Besitzer auch wieder auf, allerdings unter Win 8.
Hatte es früher auch unter XP.
Habe ich damals irgendwie gelöst, keine Ahnung mehr wie.
Nur hab es immer Probleme, wenn dieses Teil auftauchte.
Auf anderen Systemen ist es gar nicht vorhanden !

Im Moment wieder Nichtausführen wie Adobe Reader deswegen und VBox !
Obwohl ich als Admin volle Berechtigungen habe !

Es kann irgendwie nicht sein, dass in einer guten Win Installation dieses Teil fehlt und in anderen ist es vorhanden.

Auf jeden Fall scheinen wegen dessen Berechtigungen andere Programmausführungen blockiert zu werden !

[RalphS]

Leichenschänder des Monats?

- Ersteller: Derjenige, der ein Objekt ERSTELLT hat.
- Besitzer: Derjenige, der als Besitzer des Objekts eingetragen ist. Normalerweise, aber nicht immer je nach Konfiguration, ist das beim Erstellen dasselbe wie der Ersteller (wer das Objekt erstellt, dem gehört es). Den Besitzer kann man aber ändern. Den Ersteller nicht.

- Ersteller_Besitzer ist eine Kombination aus beiden, der Vereinfachung wegen.

- Keine der drei Gruppen bezeichnet aber einen spezifischen Benutzer. Alle sind reflexiv, also rückbezüglich auf andere Metainformationen im Dateisystem.

- Wenn etwas nicht funktioniert und man nicht grad selber ahnungs- und planlos am Dateisystem rumgepfuscht hatte, dann sollte man diese drei "Pseudo"konten in Ruhe lassen und auch nicht selber zuweisen. Schon gar nicht, wenn man nicht weiß, was das für Konsequenzen hat.

- Wenn "mein" Benutzer(konto) etwas nicht darf und ich hab keine weitere Ahnung wie ich vorgehen soll, dann geb ich diesem Benutzer auf DEMjenigen Objekt, was betroffen ist, ÄNDERN-Rechte.

- In meinem EIGENEN Profilorder darf ich natürlich MEINEN Dateien auch MICH als Besitzer eintragen - sollte eh der Fall sein. Unter %PROGRAMDATA%, %APPDATA% und %LOCALAPPDATA% wird das aber schon wieder gefährlicher.

- TLDR? Nicht an den Windows-ACLs basteln, wenn man nicht weiß was man tut, und bevor man Benutzerkontenrechte RUNTERstuft von insbesondere "Administraten" auf "Normalo" (wo sich Windows gerne zickig hat) legt man besser ein neues Konto an.

[expat]

Nicht bei windsoof, aber bei meinen eigenen Daten und Programmen bin ich dazu übergegangen in der englischen Version "everyone" und in der deutschen "jeder" mit allen Rechten einzutragen. Alle anderen "Nutzer" lösche ich dann.

[SurgeonX1]

Zitat (RalphS: 17. Dezember 2016 - 13:01)

Leichenschänder des Monats?

- Ersteller: Derjenige, der ein Objekt ERSTELLT hat.
- Besitzer: Derjenige, der als Besitzer des Objekts eingetragen ist. Normalerweise, aber nicht immer je nach Konfiguration, ist das beim Erstellen dasselbe wie der Ersteller (wer das Objekt erstellt, dem gehört es). Den Besitzer kann man aber ändern. Den Ersteller nicht.

- Ersteller_Besitzer ist eine Kombination aus beiden, der Vereinfachung wegen.

- Keine der drei Gruppen bezeichnet aber einen spezifischen Benutzer. Alle sind reflexiv, also rückbezüglich auf andere Metainformationen im Dateisystem.

- Wenn etwas nicht funktioniert und man nicht grad selber ahnungs- und planlos am Dateisystem rumgepfuscht hatte, dann sollte man diese drei "Pseudo"konten in Ruhe lassen und auch nicht selber zuweisen. Schon gar nicht, wenn man nicht weiß, was das für Konsequenzen hat.

- Wenn "mein" Benutzer(konto) etwas nicht darf und ich hab keine weitere Ahnung wie ich vorgehen soll, dann geb ich diesem Benutzer auf DEMjenigen Objekt, was betroffen ist, ÄNDERN-Rechte.

- In meinem EIGENEN Profilorder darf ich natürlich MEINEN Dateien auch MICH als Besitzer eintragen - sollte eh der Fall sein. Unter %PROGRAMDATA%, %APPDATA% und %LOCALAPPDATA% wird das aber schon wieder gefährlicher.

- TLDR? Nicht an den Windows-ACLs basteln, wenn man nicht weiß was man tut, und bevor man Benutzerkontenrechte RUNTERstuft von insbesondere "Administraten" auf "Normalo" (wo sich Windows gerne zickig hat) legt man besser ein neues Konto an.

So ein paar Grundsätze sind mir schon klar, aber darum geht es mir nicht.

Wie gesagt, z.B. VBox und Adobe starten auf Win 8.1 neuerdings nicht, obwohl direkt nach der Erstinstallation alles ok war.
Es werden Berechtigungspobleme gemeldet.
Leider sagt das Programm TakeOwnership es habe diese wieder hergestellt, aber ohne Effekt.

PwcMyRights als Reg Eintrag wird auch nicht im Kontextmenü übernommen bei Win 8.
Also mal in die Sicherheit/ Berechtigungen reingeschaut.

Und aus Erinnerung in einem alten XP steht dort nun auch Ersteller-Besitzer,
der immer Probleme in XP gemacht hatte,
heisst, mußte immer wieder den Admin reinsetzen,
offensichtlich hat dieser übergeordnete Rechte, wie er selbst sagt und lässt sich damit auch nicht löschen.
Das ginge ja noch, wenn der nicht immer wieder sich an anderen Besitzern / Rechten anscheinend vergreifen würde.

Mögliche Ursache: 3 x Windows auf 3 HDDs, gegenseitig zeitweise extern angehängt.
Aber ein PC Rep Betrieb hängt ja auch Platten anderer mit BS extern dran, ohne dass es zu Problemen kommt.

Wie gesagt, am Anfang ging alles vor ein paar Tagen,
nun der Post wegen Problemen die offensichtlich mit Ersteller-Besitzer zusammen hängen.

Unter meinen Win 7 gibt es keinen ! Ersteller-Besitzer, nirgendwo !

Ev. Zusammenhang mit dem nun gelösten Hiberboot, der ja nun aber abgestellt wurde,
und dem nfts bei externem Dranhängen,
also ev. dadurch erst einen Ersteller-B. generiert der nun Probleme macht ??

Dahinter die grundsätzliche Frage, wozu der überhaupt existiert, wenn er auf einigen Systemen doch überhaupt nicht vorhanden ist !

Bei den beiden obigen Programmen unter 8.1 haben Admin und System Vollzugriff soweit ich gesehen habe,
aber dennoch verweigern die Programme den Start !
Daher Vermutung, dass der sonst nicht vorhandene Ersteller dazwischen funkt.
Was er ja wohl nicht dürfte.
Und da er übergeordnete Rechte hat angeblich, kann man ihn auch nicht einfach löschen.

Zitat (RalphS: 17. Dezember 2016 - 13:01)

Leichenschänder des Monats?

Bin hier nur zufällig durch Googeln gelandet.

Beerdigungen meide ich eher wie die Pest, mit Friedhöfen habe ich kein Problem.
Leichen habe ich bis auf den Goldschmuck immer ganz gelassen !

[RalphS]

Everyone/Jeder kann man machen, wenn es einem wurst ist, wer zugreifen kann. Wenn man eh nur als Admin unterwegs ist, macht es keinen Unterschied. Ansonsten kann aber halt buchstäblich jeder ran, einschließlich Systemdiensten, über die sich potentiell ins System gehackt werden konnte.

Schlimmer, wenn Jeder "Vollzugriff" hat, dann kann buchstäblich JEDER herkommen und:

- Den Besitz übernehmen
- Den ursprünglichen Besitzer von seinen eigenen Dateien aussperren.


Ansonsten nochmal, irgendwelche Programme funktionieren nicht plötzlich nicht mehr wegen NTFS-ACLs und wenn doch, dann nur, weil man unbedarft dran rumgefummelt hatte. Mit Glück hilft es, neu zu installieren.

Aber wenn man jetzt am Programme-Ordner oder - schlimmer - an \Users mit Ersteller/Besitzer/SELF etc rumgespielt hat, dann ist es besser neu zu installieren, weil sich Windows dann solange falsch verhalten wird (wenn es überhaupt noch erfolgreich startet), wie das nicht wiederhergestellt wurde, wie es sein sollte. Wenn man nicht weiß wie: Neuinstallieren.

WOFÜR die existieren, steht oben.

[SurgeonX1]

Zitat (RalphS: 17. Dezember 2016 - 16:46)

Everyone/Jeder kann man machen, wenn es einem wurst ist, wer zugreifen kann. Wenn man eh nur als Admin unterwegs ist, macht es keinen Unterschied. Ansonsten kann aber halt buchstäblich jeder ran, einschließlich Systemdiensten, über die sich potentiell ins System gehackt werden konnte.

Schlimmer, wenn Jeder "Vollzugriff" hat, dann kann buchstäblich JEDER herkommen und:

- Den Besitz übernehmen
- Den ursprünglichen Besitzer von seinen eigenen Dateien aussperren.


Ansonsten nochmal, irgendwelche Programme funktionieren nicht plötzlich nicht mehr wegen NTFS-ACLs und wenn doch, dann nur, weil man unbedarft dran rumgefummelt hatte. Mit Glück hilft es, neu zu installieren.

Aber wenn man jetzt am Programme-Ordner oder - schlimmer - an \Users mit Ersteller/Besitzer/SELF etc rumgespielt hat, dann ist es besser neu zu installieren, weil sich Windows dann solange falsch verhalten wird (wenn es überhaupt noch erfolgreich startet), wie das nicht wiederhergestellt wurde, wie es sein sollte. Wenn man nicht weiß wie: Neuinstallieren.

WOFÜR die existieren, steht oben.

Es wurde weder an was "herumgespielt" noch sonst was.
Der Rest steht oben. Also was sollen solche dummen Unterstellungen ?
Oben steht ganz klar, dass auf einmal und nicht nachvollziehbar auf einer Systemplatte mit 8 derartige Effekte aufgetreten sind.

Und Ersteller-Besitzer ist für mich kein ! normales Windows Verhalten, denn das gibt es normalerweise nicht !

Wenn also jemand weiß, wie es dazu kommt, und wie man das beheben kann, dann kann er gerne was schreiben.
Und sonst nicht !

[expat]

Zitat (RalphS: 17. Dezember 2016 - 16:46)

Everyone/Jeder kann man machen, wenn es einem wurst ist, wer zugreifen kann. Wenn man eh nur als Admin unterwegs ist, macht es keinen Unterschied.

Beinahe alle meine Bekannten sind unwissentlich als Administratoren im Netz. Ich schon seit windows 95 nie.
Die Rechtevergabe bei windows ist Dreck.

[Gispelmob]

Zitat (SurgeonX1: 18. Dezember 2016 - 00:41)

Wenn also jemand weiß, wie es dazu kommt, und wie man das beheben kann, dann kann er gerne was schreiben.Und sonst nicht !

Hier kann jeder schreiben wenn er denkt dass er eine Lösung hat. Du bestimmst nicht wer darf und wer nicht.

Du hast schon in dem anderen Thread rumgeflamet und mit Beleidigungen um dich geworfen. Manchmal hilft es nicht immer gleich anzunehmen, dass dein Gegenüber dir ans Leder will, sondern es mit etwas Abstand zu sehen und dann reagiert man auch nicht so überspitzt.

Zitat (expat: 18. Dezember 2016 - 04:32)

Beinahe alle meine Bekannten sind unwissentlich als Administratoren im Netz. Ich schon seit windows 95 nie.

Seit es die UAC gibt ist man immer mit eingeschränkten Rechten unterwegs und Adminrechte muss man bestätigen. Wenn man das absichtlich abschaltet, dann ist jeder Schadsoftware und jeder Fehlkonfiguration Tür und Tor geöffnet.

Dieser Beitrag wurde von Gispelmob bearbeitet: 18. Dezember 2016 - 09:20

[RalphS]

Zitat (expat: 18. Dezember 2016 - 04:32)

Beinahe alle meine Bekannten sind unwissentlich als Administratoren im Netz. Ich schon seit windows 95 nie.
Die Rechtevergabe bei windows ist Dreck.

*Überleg* Du bist ein Linuxer, hab ich das richtig in Erinnerung?

In dem Fall: Dreck nicht, aber ganz anders als dort. Definitiv jedoch verständlich, wenn man das eine kapiert hat, daß man das andere dann nicht mag.

Ich oute mich mal als dankbar dafür, daß es unter Unixoiden auch ACL-Systeme gibt. Bei dem UGO-Konzept steig ich zwar durch (bild ich mir zumindest ein) aber von der Hand wie bei Windows geht es mir auch nicht. Ist halt jeweils Gewohnheitssache.

O gibt man da halt auch kein RWX, ebensowenig wie man chmod-Befehlen pauschal ein 7777 mitgibt.