Hallo. Ich muss aufgrund unsicheren Berechtigungen bei Diensten bei den dazugehörigen exe files den authenticated user das Recht ändern wegnehmen. Wenn ich aber mit meinem User und mit eigenschaften, sicherheit nachschaue, ist das ausgegraut. Kann ich da überhaupt was machen, oder können das nur Domain Admins?
Seite 1 von 1
Authentifizierte User Recht "Ändern" wegnehmen
Anzeige
#2
geschrieben 27. September 2016 - 16:06
Zumindes muss es ein User sein der mehr Rechte hat als Du
#3
geschrieben 27. September 2016 - 18:47
An dieser Stelle liegt das wohl eher an vererbten Berechtigungen. Mal unter Erweitert schauen, wo das herkommt.
Dann, falls nicht schon passiert, mit Scheffe kurzschließen, WO das gelten soll, und dann dort die Vererbung DEaktivieren. Bei der dann aufpoppenden Frage dann "ACLs kopieren" sagen und wenn man das hat, kann man hier dann die Authentifizierten Benutzer enthaken.
WICHTIG WICHTIG WICHTIG. Wirklich ENThaken und NICHT Verweigern. Das geht SCHIEF. *ALLE* in der Domain angemeldeten Benutzer gehören da dazu (sogar solche über Vertrauensstellungen); wenn man die verweigert, dann darf NIEMAND mehr ändern, denn Verweigern überschreibt einfach.
--
Daß für Änderungen an "über-lokalen" Benutzer- und Gruppenrechten auch "über-lokale" Berechtigungen erforderlich sind, sollte auf der Hand liegen. Die kann man aber zuweisen. Unmöglich (für uns) einzuschätzen was [whosdrunk] in seiner Domain darf und was nicht.
Dann, falls nicht schon passiert, mit Scheffe kurzschließen, WO das gelten soll, und dann dort die Vererbung DEaktivieren. Bei der dann aufpoppenden Frage dann "ACLs kopieren" sagen und wenn man das hat, kann man hier dann die Authentifizierten Benutzer enthaken.
WICHTIG WICHTIG WICHTIG. Wirklich ENThaken und NICHT Verweigern. Das geht SCHIEF. *ALLE* in der Domain angemeldeten Benutzer gehören da dazu (sogar solche über Vertrauensstellungen); wenn man die verweigert, dann darf NIEMAND mehr ändern, denn Verweigern überschreibt einfach.
--
Daß für Änderungen an "über-lokalen" Benutzer- und Gruppenrechten auch "über-lokale" Berechtigungen erforderlich sind, sollte auf der Hand liegen. Die kann man aber zuweisen. Unmöglich (für uns) einzuschätzen was [whosdrunk] in seiner Domain darf und was nicht.
Dieser Beitrag wurde von RalphS bearbeitet: 27. September 2016 - 18:50
#4
geschrieben 28. September 2016 - 07:05
Hallo. Ok. Scheffe will ich nicht fragen. Kannst Du mir sagen, wie ich das mache, also wie ich herausbekomme, wer das ändern darf? Es soll auf verschiedene .exe in einem Ordner angewandt werden. Ich würde mich total freuen, wenn mir das jemand erklären könnte :-)
#5
geschrieben 28. September 2016 - 09:09
In die Ordnereigenschaften beim Sicherheits-Tab schauen, da steht das. NB: nicht immer; es ist möglich, daß da "kann mangels Berechtigung nicht angezeigt werden". Einfach schauen und wenn Du ran kommst, entsprechend den Haken bei
Ändern' wegnehmen. Schlimmstenfalls gibt es ein UAC-Prompt.
Ansonsten, wenn das nicht geht - wie zu erwarten, wenn ich ehrlich bin, es sei denn Du bist eh zumindest domainadmin (und ich glaub DAS würdest Du wissen )-- dann müßtest Du:
- Schauen wo die Vererbung herkommt
- Auf dem Ordner schauen, der angezeigt wurde (kann auch \ sein)
- Sicherheitseigenschaften
- Hier dann die Authentifizierten Benutzer anklicken (markieren)
- Dann gibt es dann bei den einzelnen Rechten"normale" anklickbaren Haken (mit Rahmen drumrum). Entweder schwarz - dann ist das änderbar -- oder grau - dann ist es das nicht. Ohne Rahmen (mit oder ohne Haken) heißt: Berechtigung vererbt, kann ich hier nicht konfigurieren.
- Falls grau: Bei den einzelnen Benutzerprizipalen durchschauen, wo zumindest Schreiben erlaubt ist (kann auch vererbt sein). Falls nirgendwo Schreiben angehakt ist: bei "Spezial"-Einträgen schauen und dort unter "Erweiterte Berechtigungen" nachsehen, welcher von denen Schreibrechte hat.
-- Außerdem, des besseren Verständnisses wegen:
* Recht: Lesen, Schreiben, Ändern, etc.
* Berechtigung: Erlauben, Verweigern, nicht definiert.
* Ergo lassen sich Rechte nicht in dem Sinne wegnehmen, sondern nur Berechtigungen. "Recht wegnehmen" hieße an dieser Stelle, die Einstellmöglichkeit *für alle* zu streichen, zumindest an dem jeweiligen Objekt; in diesem Fall könnte man also zB "Ändern" weder erlauben noch verweigern noch sonstwas.
Ändern' wegnehmen. Schlimmstenfalls gibt es ein UAC-Prompt.
Ansonsten, wenn das nicht geht - wie zu erwarten, wenn ich ehrlich bin, es sei denn Du bist eh zumindest domainadmin (und ich glaub DAS würdest Du wissen )-- dann müßtest Du:
- Schauen wo die Vererbung herkommt
- Auf dem Ordner schauen, der angezeigt wurde (kann auch \ sein)
- Sicherheitseigenschaften
- Hier dann die Authentifizierten Benutzer anklicken (markieren)
- Dann gibt es dann bei den einzelnen Rechten"normale" anklickbaren Haken (mit Rahmen drumrum). Entweder schwarz - dann ist das änderbar -- oder grau - dann ist es das nicht. Ohne Rahmen (mit oder ohne Haken) heißt: Berechtigung vererbt, kann ich hier nicht konfigurieren.
- Falls grau: Bei den einzelnen Benutzerprizipalen durchschauen, wo zumindest Schreiben erlaubt ist (kann auch vererbt sein). Falls nirgendwo Schreiben angehakt ist: bei "Spezial"-Einträgen schauen und dort unter "Erweiterte Berechtigungen" nachsehen, welcher von denen Schreibrechte hat.
-- Außerdem, des besseren Verständnisses wegen:
* Recht: Lesen, Schreiben, Ändern, etc.
* Berechtigung: Erlauben, Verweigern, nicht definiert.
* Ergo lassen sich Rechte nicht in dem Sinne wegnehmen, sondern nur Berechtigungen. "Recht wegnehmen" hieße an dieser Stelle, die Einstellmöglichkeit *für alle* zu streichen, zumindest an dem jeweiligen Objekt; in diesem Fall könnte man also zB "Ändern" weder erlauben noch verweigern noch sonstwas.
Dieser Beitrag wurde von RalphS bearbeitet: 28. September 2016 - 09:11
#6
geschrieben 28. September 2016 - 10:25
Hi. Also es ist grau. Soweit, sogut. Aber wie bekomme ich denn heraus, wer das ändern darf?
Ich bin jetzt mit meinem Domain User angemeldet. Unter dem Sicherheitstab habe ich
Auth User
SYSTEM
Asministratoren (Servername\Administratoren)
Benutzer (Servername\Benutzer)
Vollzugriff hat SYSTEM und der lokale Admin Account.
Vererbung kommt von d\, Besitzer ist lokaler Admin.
Mit ist jetzt immer noch nicht klar, wer die Berechtigung entziehen könnte. Kannst Du nochmal helfen, bzw. evtl. Schritt für Schritt (2012R2)
Ich bin jetzt mit meinem Domain User angemeldet. Unter dem Sicherheitstab habe ich
Auth User
SYSTEM
Asministratoren (Servername\Administratoren)
Benutzer (Servername\Benutzer)
Vollzugriff hat SYSTEM und der lokale Admin Account.
Vererbung kommt von d\, Besitzer ist lokaler Admin.
Mit ist jetzt immer noch nicht klar, wer die Berechtigung entziehen könnte. Kannst Du nochmal helfen, bzw. evtl. Schritt für Schritt (2012R2)
Dieser Beitrag wurde von whosdrunk bearbeitet: 28. September 2016 - 10:34
#7
geschrieben 28. September 2016 - 13:13
Der lokale Admin als Besitzer darf das (nicht weil er lokaler Admin ist, sondern weil er Besitzer ist).
Ansonsten alle, die irgendwie Mitglied in irgendeiner Adminrolle sind. Das darf aber nur ein anderer Admin ändern.
Ansonsten alle, die irgendwie Mitglied in irgendeiner Adminrolle sind. Das darf aber nur ein anderer Admin ändern.
- ← kein Remotezugriff
- Windows Server 2012 R2 & Server 2012
- User Berechtigung zeit gesteuert im DC hinzufügen →
Thema verteilen:
Seite 1 von 1