ComputerBase Menü
Aktuelles

Windows Server 2008 R2 User kann auf der lokalen Platte Ordner erstellen aber keine Datien

venom

venom

Lieutenant
Registriert
Okt. 2001
Beiträge
848
User kann auf der lokalen Platte Ordner erstellen aber keine Dateien

Hallo zusammen,

habe ein Problem mit dem Windows Server 2008 R2 Server und bin langsam am verzweifeln.

Ein User kann lokal auf C:\ Ordner erstellen, kein Problem aber Dateien selbst funktioniert nicht.

Aber Dateien z.B. in Unterordner funktioniert (z.B. C:\temp).

Das Problem tritt beim Client auf sowohl mit dem OS Windows XP als auch mit Windows 7.

Habe dem User auch lokal als Hauptuser eingestellt aber das Problem bleibt bestehen.

In den Gruppenrechtlinien habe ich noch nichts gefunden.

MfG
 
Zuletzt bearbeitet:
Ein User kann lokal auf C:\ Ordner erstellen, kein Problem aber Dateien selbst funktioniert nicht.
Zum Vergrößern anklicken....

Auf C: des Client-Rechners ?
 
Was soll denn ein User auf dem Server im Rootverzeichnis Dateien erstellen?
Welchen Sinn soll das haben?
 
Mit "icacls C:\" siehst du auf Windows7 oder 2008R2 Systemen dass für C:\ die hohe Verbindlichkeitsstufe gilt. Ist doof übersetzt aus dem Englischen.

Dahinter steckt die Benutzerkontensteuerung. Hierdurch wird verhindert dass Prozesse die nicht mit elevated privileges laufen keinen Schreibzugriff haben. Und die explorer.exe läuft immer als medium privilege. Das kannst du auch nicht ändern.

Mit NTFS Rechten hat das noch gar nichts zu tun, daher bringt auch deine Aufnahme in eine weitere Gruppe nichts. Das ist eins der zentralen neuen Sicherheitsfeatures seit Windows 7.
 
marcol1979 schrieb:
Auf C: des Client-Rechners ?
Zum Vergrößern anklicken....

Ja, C:\ auf dem Client.

SB1888 schrieb:
Was soll denn ein User auf dem Server im Rootverzeichnis Dateien erstellen?
Welchen Sinn soll das haben?
Zum Vergrößern anklicken....

Es sollen ja nicht alle User auf C:\ Dateien erstellen sondern nur bestimmte Personen.

Das Problem ist nämlich, dass wir im Verbund Pivot-Tabellen haben, auf denen man diese Rechte haben muss. Ansonsten funktionieren bestimmte Makros nicht.

easy.2ci schrieb:
Mit "icacls C:\" siehst du auf Windows7 oder 2008R2 Systemen dass für C:\ die hohe Verbindlichkeitsstufe gilt. Ist doof übersetzt aus dem Englischen.

Dahinter steckt die Benutzerkontensteuerung. Hierdurch wird verhindert dass Prozesse die nicht mit elevated privileges laufen keinen Schreibzugriff haben. Und die explorer.exe läuft immer als medium privilege. Das kannst du auch nicht ändern.

Mit NTFS Rechten hat das noch gar nichts zu tun, daher bringt auch deine Aufnahme in eine weitere Gruppe nichts. Das ist eins der zentralen neuen Sicherheitsfeatures seit Windows 7.
Zum Vergrößern anklicken....

Muss aber funktionieren, da die Pivot-Tabellen woanders ja funktioniert :)
 
Dann ist die Situation dort wo es funktioniert anders.

Du kannst sofern die UAC aktiv ist, auf C:\ keine Dateien anlegen, aus einem Programm heraus, welches nur als Medium läuft, wie der Explorer zum Beispiel.


Kannst du ja mittels Notepad nachvollziehen. Starte einen ganz normal und versuch mal auf C:\ zu speichern, und dann starte mal notepad mit erhöhten Rechten und dann wirst du auf C:\ speichern können.

Was an dem System wo es bei dir ja scheinbar klappt anders ist musst du selbst wissen, du gibst ja keine Infos preis.
 
easy.2ci schrieb:
Mit NTFS Rechten hat das noch gar nichts zu tun, daher bringt auch deine Aufnahme in eine weitere Gruppe nichts. Das ist eins der zentralen neuen Sicherheitsfeatures seit Windows 7.
Zum Vergrößern anklicken....

Doch, genau das macht lcacls, die NTFS 'ACL's zu verändern. Für das Wurzelverzeichnis sind jedoch spezielle Berechtigungen Standard. Mit einer eigenen Gruppe und entsprechenden Rechten sollte das schon zu bewerkstelligen sein, wenn auch fragwürdig.

Empfehlenswerter ist es, deine Skripts zu verändern, damit das was-auch-immer-du-vorhast in einem Benutzerverzeichnis und nicht direkt unter C: läuft und du für das Dingens deine Systeme unsicher machen musst.

Gruß
 
das ich mit icacls ACLs verändern kann ist doch klar, darum gings doch gar nicht.

Ich hab mit icacls auf die hohe Verbindlichkeitsstufe hingewiesen, die nur für das Objekt C:\ gilt und bei keinem anderen Verzeichnisobjekt.

Mit einer eigenen Gruppe und speziellen Berechtigungen ist das eben NICHT zu machen, sofern der schreibende Prozess mit non-elevated privileges läuft.


Versuch doch mal mein notepad Beispiel nachzuvollziehen, dann wirds doch klar.

Läge es an NTFS Rechten dürfte weder der normal gestartet notepad, noch der privilegierte notepad eine Datei anlegen. So ist es aber nicht. Der privilegierte notepad darf ja schreiben, also müssen ja NTFS Berechtigungen für den ausführenden User vorhanden sein.

Das neue Thread Model seit Vista sieht für jedes Objekt das Integrity Label sowie SACL und DACL vor. Die umgehst du nicht mit erweiterten NTFS Rechten.


edit: http://www.heise.de/security/artikel/Allmaechtiger-Besitzer-271514.html
Spanned wirds für dich metadings ab dem Absatz "Das mag einer der Gründe sein...."
 
Zuletzt bearbeitet:
Nach einigem hin- und her (probieren ;)) muss es wohl so sein, wobei ich jetzt keine neue Gruppe angelegt habe, sondern nur localhost\Benutzer einige Berechtigungen angefügt habe... Besonders interessant finde ich die virtuelle Gruppe 'Authentifizierte Benutzer', worauf UAC möglicherweise Wert legt...

An der Stelle möchte ich wie -immer- empfehlen, die UAC auf Standard aktiviert zu lassen! Die UAC kommt an genau der Stelle wo ein autostart, manuell angeklicktes Programm (oder Virus) ausführen kann: und fragt dich. Probier's mal mit Alt+[J]a oder Alt+[N]ein!
UAC ist seit Win7 nicht mehr störend, nur noch wenn ein Programm das System verändern kann. Nicht wie bei Vista: sind sie sicher?, ganz? und wirklich sicher?? ;) Vista gehört formatiert !!

@venum schreib deine Makros um!! :freak:
 
metadings schrieb:
Besonders interessant finde ich die virtuelle Gruppe 'Authentifizierte Benutzer', worauf UAC möglicherweise Wert legt...
Zum Vergrößern anklicken....

Du hast meinen Link nicht gelesen oder nicht verstanden. Die UAC hat mit NTFS rein gar nichts zu tun. Authentifizierte Benutzer sind alle Benutzer, die sich am Computer, an der Domäne, oder einer Fremddomäne mit Vertrauensstellung authentifiziert haben.

Mit Authorisierung hat das noch nichts zu tun.


Authentifizierung = Wer bin ich
Authorisierung = Was darf ich
 
easy.2ci schrieb:
Kannst du ja mittels Notepad nachvollziehen. Starte einen ganz normal und versuch mal auf C:\ zu speichern, und dann starte mal notepad mit erhöhten Rechten und dann wirst du auf C:\ speichern können.

Was an dem System wo es bei dir ja scheinbar klappt anders ist musst du selbst wissen, du gibst ja keine Infos preis.
Zum Vergrößern anklicken....

Habs nochmal getestet, also user kann ich keine datei auf C:\ abspeichern.

Habe den User als Hauptuser eingetragen, dann geht es ebenfalls nicht.

Es klappt nur wenn er Admin-Rechte hat und das soll natürlich vermieden werden.

Was benötigst du denn noch für Infos, ich versuche natürlich zu antworten :)

metadings schrieb:
Empfehlenswerter ist es, deine Skripts zu verändern, damit das was-auch-immer-du-vorhast in einem Benutzerverzeichnis und nicht direkt unter C: läuft und du für das Dingens deine Systeme unsicher machen musst.

Gruß
Zum Vergrößern anklicken....

metadings schrieb:
@venum schreib deine Makros um!! :freak:
Zum Vergrößern anklicken....

Es werden diese Rechte nur von einer Person benötigt und damit kann ich leben.

Ist schon sehr vorsichtig und wenn wirklich was kaputt gehen sollte, dann liegt sowieso alles auf dem FileServer.

Natürlich könnte ich auch die Makros umändern aber das müsste ich dann bei den jetztigen und bei den kommenden Makros ändern und das wäre mir doch zu viel :freak:
 
easy.2ci schrieb:
Du hast meinen Link nicht gelesen oder nicht verstanden. Die UAC hat mit NTFS rein gar nichts zu tun. Authentifizierte Benutzer sind alle Benutzer, die sich am Computer, an der Domäne, oder einer Fremddomäne mit Vertrauensstellung authentifiziert haben.

Mit Authorisierung hat das noch nichts zu tun.


Authentifizierung = Wer bin ich
Authorisierung = Was darf ich
__________________
Inkompetente Menschen sind zu inkompetent ihre Inkompetenz zu bemerken.
Zum Vergrößern anklicken....
Recht hast du!

Der Witz ist, dass dein Benutzeraccount erst in dem Fall zu den 'Interactive Users' (nicht Authenticated Users) gehört, wenn du von Windows 'interaktiv authentifiziert' wurdest. Nur _in_ dieser Gruppe erhältst du _dann_ die Authorisierung.
Die UAC stellt dir die Authentifizierung deines Accounts bereit, die dir die Authorisierung für den Vorgang in NTFS gewährt.

Siehe auch KB243330 Well-known security identifiers in Windows operating systems: http://support.microsoft.com/kb/243330/en-us bei SID: S-1-5-4.
Da kommt dann wiederum das High Mandatory Level SID: S-1-16-12288 dazu.
Möglicherweise funktioniert's, wenn man den Eintrag löscht. Letztlich bin ich auch nur am spekulieren, habe aber schon genug Zeit mit icacls verschwendet. Interessant war's.
 
Auf dem Client Win7 System ist das natürlich etwas anderes ;)
Wir haben ein 15 Jahre altes Warenwirtschaftssystem, welches einen Kommunikationsserver betreibt, dieser lagert auch Dateien auf C:\ zwischen.
Wir haben bei Win7 schon den Effekt gehabt, dass dies (als angemeldeter Benutzer) nicht funktionierte,
als Administrator aber sehr wohl.
Benutzerkontensteuerung abgeschaltet, alles ging.
Anschließend wieder auf höchste Stufe gedreht und es ging immer noch alles.

Vielleicht nen Versuch wert? ;)
 
danke, habs versucht aber leider erfolgslos :(

hab dem user jetzt auch als lokalen admin eingestellt aber er kann immer noch keine lokalen dateien auf C:\ abspeichern :freak:
 
Um alte Software auf modernem System zum laufen zu bekommen kann man probieren zu shimmen.

http://technet.microsoft.com/de-de/library/dd837644(v=ws.10).aspx


Damit belügt das Betriebssystem die Anwendung wenn diese nach Rechten fragt auf Objekte zuzugreifen.

Ist aber nicht so einfach, denn du müsstest dazu die Developer Tools von Microsoft beherrschen, den Standard User Analyser, den Application Compatibility Toolkit.

http://www.microsoft.com/download/en/details.aspx?id=7352


Das erfordert aber intensive Einarbeitung, es gibt von MS auch gute Cookbooks zu dem Thema. Ist daher denke ich mal ehr für Großunternehmen interessant.


@Venom: Das du selbst als Admin nicht schreiben ist in dem heise Link den ich gepostet habe erklärt.

Es liegt seit Vista eine weitere Sicherheitsschicht auf den Objekten in Windows 7. Also zusätzlich zu den NTFS Fileberechtigungen. Diese sieht vor, daß Prozesse mit medium privileges nicht auf Objekte mit high level privileges schreiben dürfen. Das siehst du auf den unteren Screenshots im heise Link.
 
Danke für die Hilfe aber das Problem habe ich doch auch bei Windows XP Rechnern.

Also müsste es normalerweise bei Windows 7 nicht klappen aber bei Windows XP schon oder wie :?

Sowohl Win XP als auch Win 7 geht es aber leider nicht :(
 
Die Berechtigungen werden doch auf dem Server geprüft auf dem die Datei angelegt werden soll. Und wenn das ein 2008R2 ist gehts eben nicht.

Welches Client OS läuft spielt keine Rolle.
 
Der 2008er Server hat doch Hyper-V. Vielleicht kannst du dir so helfen? Du könntest damit einen 2003er Server aufsetzen und diesen dann für die Anwendung benutzen.

Oder halt die UAC auf dem 2008er abschalten, aber das würde ich nicht tun denn du fällst damit auf ein Sicherheitsniveau von 2001 und XP zurück.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
Powershellscript Ordnernamen auslesen und neuen Ordner erstellen
Antworten
3
Aufrufe
4.442
rodus62
R
Cassius1985
PowerShell Ordner erstellen und Datei kopieren für Archiv
Antworten
15
Aufrufe
4.923
Cassius1985
Cassius1985
G
gleichnamiger Ordner erstellen und Inhalt verschieben
Antworten
3
Aufrufe
1.456
gbbbs
G
L.A.1
Thunderbird: Ordner erstellen - nicht möglich?
Antworten
12
Aufrufe
21.948
Dr. McCoy
Dr. McCoy
E
Batch Textdatei im unbekannten Ordner erstellen mit Namen des Ordners als Inhalt
Antworten
5
Aufrufe
3.500
ed19dy
E
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz