Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Brauche Hilfe zu XP's Sicherheitskonzept

Manfredtiel / 12 Antworten / Baumansicht Nickles

Hallo Leute,
nach Rumspielen mit den sicherheitseinstellungen unter XP Pro (Rechtsklick auf ein Objekt: Z. B. eine MP3 Datei in einem Ordner - und dann Eigenschaften, Reiter Sicherheit), brauche ich Hilfe, da ich was nicht verstehe:

Problembeschreibung:
Habe auf einer NTFS-Partition den Ordner....

F:/Versuchs-Ordner/versuch1/Versuch2/Versuch3

...... erstellt unter einem eingeschränkten Konto.
Darin enthalten: eine MP3 Datei

jetzt habe ich unter einem Admin - Konto einen Rechtsklick auf die MP3 Datei gemacht und Eigenschaften, Sicherheit gewählt. In der oberen Tabelle ist die Gruppe "Benutzer" eingetragen. Hier habe ich ein verbot ausgesprochen: Klick auf Verweigern: Lesen, Ausführen

Somit müsste doch ein eingeschränkter Benutzer, unter dem ich mich jetzt anmelde, keinen Zugriff haben auf die MP3-Datei. Stimmt auch, ich habs ausprobiert: Zugriff verweigert.

jetzt hat aber komischerweise auch der Admin keinen Zugriff mehr. Warum nicht?? In den Sicherheitseinstellungen (Effektive Berechtigungen)steht aber, dass die Gruppe der Administratoren Vollzugriff auf die MP3 Datei hat. Aber ich kann sie nicht Abspielen:Kein Zugriff.

Kann jemand das erklären?

shrek3 Manfredtiel „Brauche Hilfe zu XP's Sicherheitskonzept“
Optionen

Hallo Manfred,

bist du Mitglied der Gruppe Benutzer?
Dann wundert es mich nicht, dass du nicht mehr auf die Datei zugreifen kannst.

Gruß
Shrek3

Manfredtiel Nachtrag zu: „Brauche Hilfe zu XP's Sicherheitskonzept“
Optionen

Nein, es gibt zwei Konten:
Eines (Benutzer), mit dem ich die Ordner erstellt habe. Das ist dann der "Besitzer" und er darf alles machen mit dem Ordner.
Und das andere ist Mitglied der Gruppe "Administratoren". Mit dem Konto habe ich die Berechtigungen verändert. Ich habe immer mit der schnellen Benutzerumschaltung von XP hin und hergeschaltet zwischen den beiden Konten.

Dann habe ich auch die Besitzverhältnisse zu ändern. Jetzt ist das Administratorkonto der neue Besitzer. Aber es ist dasselbe Ergebnis: Der administrator hat keinen Zugriff. Ich dachte eigentlich, dass man es so einstellen kann, das das Konto mit eingeschränkten Rechten (Mitglied der Gruppe Benutzer) keinen Zugriff hat und das Administratorkonto Vollzugriff.

Manfredtiel Nachtrag zu: „Brauche Hilfe zu XP's Sicherheitskonzept“
Optionen

Nochmal:
es gibt zwei Konten:
Das erste ist mitglied der Gruppe "Benutzer". Mit dem habe ich den Ordner erstellt.
Das zweite ist Mitglied der Gruppe "Administratoren". Mit dem habe ich die Rechte vergeben.

shrek3 Manfredtiel „Nochmal: es gibt zwei Konten: Das erste ist mitglied der Gruppe Benutzer . Mit...“
Optionen

Wenn du per Rechtsklick auf den Ordner -> Freigabe und Sicherheit -> auf die Registerkarte "Sicherheit" gehst, siehst du in der oberen Fensterhälfte nicht nur die Gruppen (z.B. Administratoren), sondern auch die einzelnen Benutzer des PCs - u.a. den eingeschränkten User und den User mit Adminrechten.

Gehe nun über die Schaltfläche "Erweitert" in die Registerkarte "Effektive Berechtigungen" und lasse dir über die Schaltfläche "Auswählen" (und anschließende Eingabe des Adminusers) die effektiven Rechte dieses Benutzers anzeigen (nicht die der Gruppe Admin).

Was erhältst du dann?

Gruß
Shrek3

Manfredtiel Nachtrag zu: „Brauche Hilfe zu XP's Sicherheitskonzept“
Optionen

Ich schalte mal den PC ein und versuche das, was du geschrieben hast............

Manfredtiel Nachtrag zu: „Brauche Hilfe zu XP's Sicherheitskonzept“
Optionen

Also der Adminuser darf nicht:
Ordner durchsuchen/datei ausführen
ordner auflisten/datei lesen
attribute lesen
erweiterte attribute lesen

alles andere darf er

shrek3 Manfredtiel „Also der Adminuser darf nicht: Ordner durchsuchen/datei ausführen ordner...“
Optionen

Das liegt daran, dass der Adminuser Mitglied mehrerer Gruppen ist.
Er ist z.B. auch Mitglied der Gruppe "Hauptbenutzer".

Beim Benutzer mit dem Namen Administrator, den XP bei der Installation automatisch anlegt und den man normalerweise nur zu sehen bekommt, wenn man in den abgesicherten Modus geht, müsste das anders aussehen.
(Bin mir da aber nicht zu 100% sicher.)

Bei Einschränkungen setzt sich das eingeschränkendere Recht durch.
Du müsstest hier also manuell nachbessern.

Als Admin hast du aber immer das Recht, dir sämtliche Rechte anzueignen.

Gruß
Shrek3

Manfredtiel shrek3 „Das liegt daran, dass der Adminuser Mitglied mehrerer Gruppen ist. Er ist z.B....“
Optionen

Also unter der Gruppe Hauptbenutzer gibts gar keine Mitglieder. Alles leer.

Borlander Manfredtiel „Also unter der Gruppe Hauptbenutzer gibts gar keine Mitglieder. Alles leer.“
Optionen

Die User Hauptbenutzer existiert aus kompatiblitätsgründen zu Windows NT. Damals durfen Mitglieder der Gruppe Benutzer noch mehr als die Gruppenmitglieder seit W2K. Normalerweise reicht die Gruppe benutzer also voll aus, außer vielleicht für ältere Software...

Gruß
Borlander

Manfredtiel Nachtrag zu: „Brauche Hilfe zu XP's Sicherheitskonzept“
Optionen

Durch irgendeinen Mechanismus wirkt anscheinend das Verbot, das ich mit Hilfe des Administratorkontos für das eingeschränkte Konto ausgesprochen habe, auch auf das Administratorkonto. Die Effektiven Berechtigungen gelten auch für das Adminkonto.

Borlander Manfredtiel „Durch irgendeinen Mechanismus wirkt anscheinend das Verbot, das ich mit Hilfe...“
Optionen

Wie schon von Shrek geschrieben: Das Admin-Konto scheint auch Mitglied in der Gruppe Benutzer zu sein. Da Zugriffsverbote grundsätzlich vorrang haben vor Zugriffserlaubnissen darf nun auch der Admin nicht ran.

Normalerweise macht man das ganze so, daß nur die die Rechte bekommen die Zugriff haben sollen. Alle anderen User und Gruppen werden nicht explizit aufgeführt. Die Zugriffsverweigerung ist z.B. dann interessant wenn einzelne Personen aus einer Gruppe nicht auf bestimmte Ressourcen zugreifen dürfen.
Hatte vor zwei Wochen mal ein Beispielszenario dazu gepostet: http://www.nickles.de/thread_cache/538286168.html#_pc

Gruß
Borlander

Manfredtiel Nachtrag zu: „Brauche Hilfe zu XP's Sicherheitskonzept“
Optionen

Schwer zu verstehen ist das Vererbungskonzept, aber ich habe nach langem Probieren eine Lösung gefunden:

Aufgabe war:
Ich will, das ein eingeschränktes Konto keinen Zugriff auf die MP3 Datei hat. Aber ein Adminkonto soll Vollzugriff haben.

Lösung:
Das geht nicht, indem man mit Gruppen hantiert und verbote ausspricht. Anscheinend gehts nur, indem man die Vererbung aufhebt und nur die beiden Konten in die Berechtigungsliste einträgt. (Aber keine Gruppen, denen man dann Rechte verweigert oder zuspricht, denn eine Verweigerung hat immer Vorrang)

Also habe ich folgendes gemacht:
Reiter "Sicherheit" der MP3 Datei aufgerufen (rechtsklich auf die MP3 Datei).
"Erweitert" angeklickt.
Den Haken weggenommen vor "Berechtigungen übergeordneter Objekte auf untergeordnete Objekte, sofern......".
Es erscheint ein Dialog "Sicherheit".
Dort auf "Entfernen" geklickt.
"Übernehmen" anklicken
"Ja" anklicken
"OK" anklicken
Jetzt werden die Konten eingetragen, und zwar nur das Adminkonto und das eingeschränkte Konto, keine Gruppen!!! :
"Hinzufügen" anklicken.
"Erweitert" anklicken.
"Jetzt suchen" anklicken.
Administratorkonto auswählen und zweimal "OK" anklicken
jetzt die Bereichtigungen auf "Vollzugriff" ändern.
Dasselbe wird mit dem eingeschränkten Konto gemacht. Dessen Berechtigungen auf Verweigern (lesen/ausführen) ändern.

Jetzt gehts.
Nochmals: Die Vererbung muss aufgehoben werden und es müssen nur die zwei Konten eingetragen werden. Nicht die gruppen "Benutzer" und "Administratoren".