gruenesossemitspeck
Goto Top

Vererbung in public documents funktioniert nicht für Dateien die Admins erstellt haben

hi,
ich hab gerade ein etwas seltsames Problem, vieleicht nur ein Verständnisproblem.

Wir haben eine Software installiert, die eine temporäre Datei anlegt, die von allen Sessions dieser Software überwacht wird.

Die Datei liegt in einem Unterordner von C:\Users\Public\Documents

In dem Ordner ist eine Vererbungsmaske, die unter anderem den "authenticated users" volle Zugriffsrechte zugesteht.

Und nun zu meinem Problem (mit einer simplen Textdatei reproduzeirbar)

User1 ohne Adminrechte legt die Datei an: In den Eigenschaften / Sicherheit hat die Gruppe "authenticated users" die nötigen Rechte.
User2 ohne Adminrechte kann sie editieren, Rechte sind wie gehabt.

Nun löscht User3 MIT Administratorrechten diese DAtei und erzeugt sie neu
Wenn ich dann die Sicherheitsflags anschaue dann sehe ich daß dieser User und die Gruppe "Administators" die vollen Zugriffsrechte haben, die Gruppe "Authenticated users" fehlt hingegen.

Wenn ich das auf dem d: Laufwerk mit einem X-beliebigen Ordner mache, dann funktioniert die REchteverbung korrekt für Admins und Nicht-Admins.

Woran liegt das?
Die Vererbung wurde in keinem Fall unterbrochen.

Welche GPO könnte dafür in Frage kommen?
Welche Rechtemaske?

Womit kann man das verhindern?
Ist der Public documents Ordner irgendwie speziell?

Das Programm benötigt für den Terminalserver-Betrieb diese eine DAtei an einer allgemein zugänglichen STelle für eine Art Jobkontrolle, ich kann also nicht %temp% konfigurieren, es werden keine Umgebungsvariablen ausgewertet, nur volle physische Pfade.

Content-Key: 381287

Url: https://administrator.de/contentid/381287

Ausgedruckt am: 29.03.2024 um 16:03 Uhr

Mitglied: emeriks
emeriks 25.07.2018 um 16:13:21 Uhr
Goto Top
Hi,
wie (womit) erstellt der Admin diese Datei?
Macht es einen Unterschied, ob dieses Programm voll eleviert läuft oder nicht? ("als Administrator ausführen")

E.
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 26.07.2018 um 12:51:09 Uhr
Goto Top
Mit dem notepad.exe im Kontext des angemeldeten Benutzers hatten wir das Verhalten dann nachgestellt.

Wenn die Datei von einem Benutzer erstellt wird, der Mitglied der Gruppe "Administratoren" ist, dann wird die Vererbung der Rechte gebrochen bzw. nicht an der ACL der erstellten Textdatei übernommen.

Wenn der Ersteller der Datei KEIN Mitglied der Gruppe der Administratoren ist, dann funktioniert es richtig.
Mitglied: emeriks
emeriks 26.07.2018 um 17:10:02 Uhr
Goto Top
ob dieses Programm voll eleviert läuft oder nicht?
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 27.07.2018 um 13:29:12 Uhr
Goto Top
ich erwähnte Notepad.exe im Kontext des Benutzers.
Das alleine reicht aus, um das Phänomen zu bewirken.

Ist keine Elevatoin im spiel nur Gruppenmitgliedschaften auf AD ebene
Mitglied: emeriks
emeriks 27.07.2018 um 13:45:54 Uhr
Goto Top
Na ja, wenn Du meinst.
Du schreibst, das passiert, sobald ein Admin diese Datei neu erstellt.
Wenn es mein Problem wäre, dann würde es mich interessieren, ob es einen Unterschied macht, ob eleviert oder nicht. Wenn es Dich nicht interessiert, dann auch OK. Habe im Moment keinen weiteren Ansatz.
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 30.07.2018 um 10:38:44 Uhr
Goto Top
UAC: behavior of the elevation prompt for administrators in Admin Approval mode: ask for consent

Für ein automatisches Rollout der Software wird wohl erstmal ein MD c:\tempordner" und ein setacl benötigt... denn dann funktoiniert es. Kann sein daß irgendwo noch ne GPO rumgeistert, aber hier gibts scheinbar niemanden der das weiß.

Wenns überlebenswichtig wäre, gibts noch ne Option beim Technet und wenns da keiner weiß, der MS Support face-sad
Mitglied: emeriks
emeriks 30.07.2018 um 13:14:09 Uhr
Goto Top
UAC: behavior of the elevation prompt for administrators in Admin Approval mode: ask for consent
Ja..... Und?
Für ein automatisches Rollout der Software wird wohl erstmal ein MD c:\tempordner" und ein setacl benötigt... denn dann funktoiniert es.
Klasse ausführlich. Es wird immer lichter im Wald.
Kann sein daß irgendwo noch ne GPO rumgeistert, aber hier gibts scheinbar niemanden der das weiß.
Och, deswegen musst Du jetzt nicht weinen. Hier kann doch niemand wissen, welche GPO's da bei Euch im Netz "rumgeistern".
Wenns überlebenswichtig wäre, gibts noch ne Option beim Technet und wenns da keiner weiß, der MS Support face-sad
Richtig.
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 02.08.2018 um 07:54:10 Uhr
Goto Top
also verarschen kann ich mich selber, ich hab die Fragen hier geschrieben um Antworten zu erhalten und nicht damit jemand meine Fragen durch den Kakao zieht. Wennn ich Bock auf sowas hätte dann hätte ich in administratorfromhell.de gepostet und nicht hier.

Es war übrigens kein Windows-Fehler... und auch nichts mit den Rechten, sondern ein falsches Flag bei einem API-Aufruf zum Erstellen einer Datei.
Mitglied: emeriks
emeriks 02.08.2018 um 10:26:33 Uhr
Goto Top
Also verarschen wollte ich Dich nicht.
Lies doch bitte noch einmal Deinen Kommentar von 30.07.2018 um 10:38 Uhr. Oder lass es lesen von jemanden, der Dir näher steht und dem Du vertraust. Ich schätze, selbst diese Person kann nicht in deinen Kopf sehen und dieses - sorry - Gestammel versteht.