1909 pro - Explorer will sofort löschen anstatt in Papierkorb zu schieben [gelöst]

[GwenDragon]

Ich probier’ mal was (obwohl das ziemlich unwahrscheinlich ist): Rücksetzen von Eigentümer und Dateirechten, Neuzuweisung auf SYSTEM, Neuzuweusng der einzelnen Nutzer-Unterordner von U:\
Wünscht mir viel Glück 🍀🍀🍀🍀

[Tante Google]

[GwenDragon]

Was für ein Krampf. Irgendwo war da was bei den Benutzer/Dateirechten defekt, was aber nie für die Nutzerdateienn zu merken war, es ließ sich ja alles anzeigen, lesen und ändern.

Ich habe erst mal folgendes gemacht:
Alles auf Besitzer SYSTEM gesetzt
U:\>cacls U:\
U:\ VORDEFINIERT\Administratoren:(OI)(CI)F
VORDEFINIERT\Benutzer:R
NT-AUTORITÄT\SYSTEM:(OI)(CI)F
NT-AUTORITÄT\Authentifizierte Benutzer:(OI)(CI)C

Bei Unterverzeichnissen dann Benutzer und Authentifizierte Benutzer entzogen und nur auf den jeweiligen Benutzer gesetzt z.B.
U:\>cacls U:\Gwen
U:\Gwen VORDEFINIERT\Administratoren:(OI)(CI)F
NT-AUTORITÄT\SYSTEM:(OI)(CI)F
PCB\Gwen:(OI)(CI)F

Der Papierkorb hat dann mehrmals gemeckert dass er auf Laufwerk U: defekt ist, aber bei Bestätigung passt es wieder.

Jetzt gehts hoffentlich wieder, ich habe aber zu Sicherheit eingestellt, dass das Löschen immer nach Bestätigen des Dialog passiert.

[GwenDragon]

Bei Unterverzeichnissen dann (…)

Oder hätte dann noch ERSTELLER-BESITZER rein gehört?

[moinmoin]

Wenn ich das jetzt richtig sehe ist alles korrekt.

[GwenDragon]

❓ Hat irgendjemand von euch eine gute deutsche Seite, welche umfangreicher die Besitzer-/Zugriffsrechte und Windows-Gruppen erklärt?

[moinmoin]

Muss ich passen.

[DK2000]

Es geht also um U:. Also reines Datenvolumen. Dann sollte das eigentlich so aussehen (icacls):

Code: Alles auswählen

E:\ VORDEFINIERT\Administratoren:(F)
    VORDEFINIERT\Administratoren:(OI)(CI)(IO)(F)
    NT-AUTORITÄT\SYSTEM:(F)
    NT-AUTORITÄT\SYSTEM:(OI)(CI)(IO)(F)
    NT-AUTORITÄT\Authentifizierte Benutzer:(M)
    NT-AUTORITÄT\Authentifizierte Benutzer:(OI)(CI)(IO)(M)
    VORDEFINIERT\Benutzer:(RX)
    VORDEFINIERT\Benutzer:(OI)(CI)(IO)(GR,GE)

Für $Recycle.Bin ergibt sich dann automatisch, sobald der Ordner von System erstellt wird:

Code: Alles auswählen

E:\$Recycle.Bin VORDEFINIERT\Administratoren:(OI)(CI)(F)
                NT-AUTORITÄT\SYSTEM:(OI)(CI)(F)
                VORDEFINIERT\Benutzer:(NP)(RX,AD,WA)
                Verbindliche Beschriftung\Niedrige Verbindlichkeitsstufe:(OI)(CI)(IO)(NW)

Der private Benutzerordner sollte dann so aussehen, wenn er für den angemeldeten Benutzer automatisch angelegt wurde:

Code: Alles auswählen

E:\$RECYCLE.BIN\S-1-5-21-...-1001 VORDEFINIERT\Administratoren:(OI)(CI)(F)
                                  NT-AUTORITÄT\SYSTEM:(OI)(CI)(F)
                                  LAPTOP\<Benutzername>:(OI)(CI)(F)
                                  Verbindliche Beschriftung\Niedrige Verbindlichkeitsstufe:(OI)(CI)(IO)(NW)

Mit cacls (veraltet) sieht das etwas anderes aus, kommt aber auf das Selbe raus.

Wichtig ist hier wirklich, dass der Benutzer "System" Vollzugriff hat (Besitz alleine reicht hier nicht aus) und das der angemeldet Benutzer einen Ordner mit seiner SID bekommen hat, auf den er ebenfalls Vollzugriff hat. Der Zugriff für den angemeldeten Benutzer darf auch nicht durch Rechte der Ordner darüber eingeschränkt oder verboten werden und dass die Rechte der Gruppe "Benutzer" nicht vererbt wird. Das passiert aber eigentlich auch nicht.

Und was ich gerade auch nicht verstehe:

Hast Du eine Neuinstallation vorgenommen oder wirklich ein Inplace-Upgrade?

Dein Benutzer, in welcher Gruppe befindet der sich?

[GwenDragon]

Das war eine Neunistallation des Windows auf LW C:.
Mein User ist in Gruppe Benutzer.

Verbindliche Beschriftung\Niedrige Verbindlichkeitsstufe

Was soll den das sein? Etwas soas?: Mandatory Label?

Sag mal, ticken die bei Micorsoft noch richtig? Eingedeutschte Rechte bei den ACLs?
Ich bin ja nun nicht gerade erst seit heute am Administrieren von PCs aber auf Linux gibt es so ein Gemurkse nicht, dass ACLs zwangs-eingedeutscht werden.

Ich werde mich da nicht weiter mit beschäftigen, ist ja zum Verrürcktwerden, das Kuddelmuddel.

Aber Danke für eure Hilfe.

[DK2000]

Verbindliche Beschriftung\Niedrige Verbindlichkeitsstufe

Was soll den das sein? Etwas sowas?: Mandatory Label?

Das gehört zum "Mandatory Integrity Control". Damit kann man steuern, mit welcher Vertrauensstellung eine Anwendung laufen kann (Untrusted, Low, Medium, High, System). Mit icacls kann man aber nur Low, Medium, High einstellen. Je nachdem, wie der Level bei der Anwendung eingestellt ist, muss auch der Ordner, in dem die Anwendung etwas will, diesen Level bekommen. Hängt aber auch davon ab, mit welchen Rechten die Anwendung an sich gestartet wurde und die Einstellung in der UAC.

Ist aber alles nicht so wirklich zu Ende durchdacht worden, weswegen man davon eigentlich nie etwas sieht. Weder der Dateiexplorer kann das anzeigen oder ändern, noch der Taskmanager zeigt an, mit welchem Integritäts-Level eine Anwendung läuft. Das sieht man nur, wenn man den Process Explorer verwendet und sich hier die Spalte"Integrity" einblenden lässt.