Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
Hallo,
Hallo,
nutze Windows 10 Home 1909 und habe bemerkt das Windows bei den Ereignissen regelmäßig als Fehler abgelegtt hat:
Fehler bem Öffnen von Protokolldatei C:\WINDOWS\system32\config\systemprofile\AppData\Local\TileDataLayer\Database\EDB.log
Dann habe ich als Lösung festgestellt das man den Ordner einfach manuell anlegt, und damit ist der Fehler behoben. Als eingeschränkter Nutzer kam beim Zugriff auf System32 dann der HInweis
Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. Klicken Sie auf "Fortsetzen", um dauerhaft Zugriff auf diesen Ordner zu erhalten.
Mit Admin Rechten habe ich dann bestätigt um den Ordner anzulegen, das hat auch alles geklappt und der Fehler ist weg, jetzt sehe ich aber das der eingeschränkte Benutzer unter
C:\Windows\System32\config
Vollzugriff hat, also Rechte wie ein Administarator.
Ist das sicherheitstechnisch kritisch das der eingeschränkte User jetzt Admin Rechte hat in dem o.g. Ordner? Es war als eingeschränkter User ja auch gar nicht anders möglich den fehlenden Ordner anzulegen.
Vielen Dank
JD
Hallo,
nutze Windows 10 Home 1909 und habe bemerkt das Windows bei den Ereignissen regelmäßig als Fehler abgelegtt hat:
Fehler bem Öffnen von Protokolldatei C:\WINDOWS\system32\config\systemprofile\AppData\Local\TileDataLayer\Database\EDB.log
Dann habe ich als Lösung festgestellt das man den Ordner einfach manuell anlegt, und damit ist der Fehler behoben. Als eingeschränkter Nutzer kam beim Zugriff auf System32 dann der HInweis
Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. Klicken Sie auf "Fortsetzen", um dauerhaft Zugriff auf diesen Ordner zu erhalten.
Mit Admin Rechten habe ich dann bestätigt um den Ordner anzulegen, das hat auch alles geklappt und der Fehler ist weg, jetzt sehe ich aber das der eingeschränkte Benutzer unter
C:\Windows\System32\config
Vollzugriff hat, also Rechte wie ein Administarator.
Ist das sicherheitstechnisch kritisch das der eingeschränkte User jetzt Admin Rechte hat in dem o.g. Ordner? Es war als eingeschränkter User ja auch gar nicht anders möglich den fehlenden Ordner anzulegen.
Vielen Dank
JD
-
moinmoin
- ★ Team Admin ★
- Beiträge: 59850
- Registriert: 14.11.2003, 11:12
- Hat sich bedankt: 131 Mal
- Danke erhalten: 587 Mal
- Gender:
Re: Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
Erst einmal 
Da brauchst du dir keine Sorgen machen. Da hier nur im Prinzip Logs abgelegt werden.
Würdest du dort jetzt versuchen den Ordner systemprofile zu öffnen, wäre dieser wieder blockiert.
Da brauchst du dir keine Sorgen machen. Da hier nur im Prinzip Logs abgelegt werden.
Würdest du dort jetzt versuchen den Ordner systemprofile zu öffnen, wäre dieser wieder blockiert.
Re: Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
Hallo,
und Danke für die Rückmeldung.
Den Ordner systemprofile kann der eingeschränkte User aber auch ohne Hinweis öffnen, auch hier hat er volle Rechte.
Als ich den Ordner angelegt habe wurde ich als eingeschränkter User bei System32 und AppData zu den Berechtigungen aufgefordert siehe hier die Rechte:
Grüße
JD
und Danke für die Rückmeldung.
Den Ordner systemprofile kann der eingeschränkte User aber auch ohne Hinweis öffnen, auch hier hat er volle Rechte.
Als ich den Ordner angelegt habe wurde ich als eingeschränkter User bei System32 und AppData zu den Berechtigungen aufgefordert siehe hier die Rechte:
Grüße
JD
-
moinmoin
- ★ Team Admin ★
- Beiträge: 59850
- Registriert: 14.11.2003, 11:12
- Hat sich bedankt: 131 Mal
- Danke erhalten: 587 Mal
- Gender:
Re: Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
So sieht es bei mir aber im Konto mit Adminrechten aber auch aus. Wenn es nur dieser ist, ist alles gut. Da kann nichts passieren.
Die wichtigen sind ja geschützt und nur durch Admin, TrustedInstaller oder System zugängig.
Die wichtigen sind ja geschützt und nur durch Admin, TrustedInstaller oder System zugängig.
Re: Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
Hallo,
der Screenshot zeigt bei mir aber die Rechte des e i n g e s c h r ä n k t e n User, das heisst ich kann als eingeschränkter User in den Ordner gehen, das ist ja das was mich so wundert, und dazu benötige ich jetzt keine Admin Recht als eingeschränkter User.
Das ist das was ich nicht verstehe, müsste der eingeschränkte User denn in dem Ordner keine Recht haben, oder?
Grüße
JD
der Screenshot zeigt bei mir aber die Rechte des e i n g e s c h r ä n k t e n User, das heisst ich kann als eingeschränkter User in den Ordner gehen, das ist ja das was mich so wundert, und dazu benötige ich jetzt keine Admin Recht als eingeschränkter User.
Das ist das was ich nicht verstehe, müsste der eingeschränkte User denn in dem Ordner keine Recht haben, oder?
Grüße
JD
-
moinmoin
- ★ Team Admin ★
- Beiträge: 59850
- Registriert: 14.11.2003, 11:12
- Hat sich bedankt: 131 Mal
- Danke erhalten: 587 Mal
- Gender:
Re: Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
Du hast doch selber mit dem OK des Admins den Ordner erstellt. Daher sind so auch die Rechte vergeben.
Wenn du willst, bearbeite die Rechte und nimm den Haken bei Vollzugriff raus.
Danach kannst du auch unter Erweitert nachschauen, ob als Besitzer System drin steht. Wenn nicht ändere es auf SYSTEM.
Auf Ändern drücken. SYSTEM eintragen überprüfen lassen und OK auch für die Unterordner.
Wenn du willst, bearbeite die Rechte und nimm den Haken bei Vollzugriff raus.
Danach kannst du auch unter Erweitert nachschauen, ob als Besitzer System drin steht. Wenn nicht ändere es auf SYSTEM.
Auf Ändern drücken. SYSTEM eintragen überprüfen lassen und OK auch für die Unterordner.
-
DK2000
- Legende
- Beiträge: 9219
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 158 Mal
- Danke erhalten: 488 Mal
- Gender:
Re: Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
Für die beiden Ordner sollte das so aussehen:
Da hat sich wohl der "Eingeschränkte Benutzer" eingeschmuggelt. Ungewöhnlich. Außer beim erstellen des Pfades wurden irgendwie Rechte übernommen bzw. das Erstellen wurde nicht mit einem Benutzer in de Gruppe der Administartoren oder dem Benutzer Administrator erstellt.
Ist aber schon interessant: Wenn man in der Konsole mit Adminrechten eingibt;
Dann wird automatisch im Pfad ab C:\WINDOWS\system32\config der Benutzer mit Vollzugriff eingetragen, mit welchem man den Pfad angelegt hat. Das sollte eigentlich nicht passieren, zumal es keinen Grund dafür gibt. Der Benutzer war in der Gruppe der Administratoren und die haben Vollzugriff. Einen zusätzlichen Benutzer da einzutragen, ist da überflüssig und schon gar nicht automatisch.
Das war mir so noch gar nicht aufgefallen.
Aber wie auch immer. Der Ordner schient da so oder so überflüssig zu sein. Ab der 2004 wird der auch gar nicht mehr verwendet.
OK, das mit dem Benutzer liegt wohl eher daran: Wenn man da auf OK geht, wird der Benutzer mit Vollzugriff eingetragen und das vererbt sich dann auf alles im Ordner.
Das scheint aber auch nur in der 2004 so zu gehen. In der 1909 bekomme ich da so einfach keinen Vollzugriff.
Das alles wieder seltsam. Irgendwie verhält sich die bei mir 1909 anderes. In der 1909 in der VM bekomme ich da auch so schnell Vollzugriff für immer, auf dem Laptop nicht.
Code: Alles auswählen
C:\Windows\system32\config NT SERVICE\TrustedInstaller:(CI)(F)
NT-AUTORITÄT\SYSTEM:(OI)(CI)(F)
VORDEFINIERT\Administratoren:(OI)(CI)(F)
ERSTELLER-BESITZER:(OI)(CI)(IO)(F)Code: Alles auswählen
C:\Windows\system32\config\systemprofile NT-AUTORITÄT\SYSTEM:(OI)(CI)(F)
VORDEFINIERT\Administratoren:(OI)(CI)(F)Ist aber schon interessant: Wenn man in der Konsole mit Adminrechten eingibt;
Code: Alles auswählen
md C:\WINDOWS\system32\config\systemprofile\AppData\Local\TileDataLayer\Database\Das war mir so noch gar nicht aufgefallen.
Aber wie auch immer. Der Ordner schient da so oder so überflüssig zu sein. Ab der 2004 wird der auch gar nicht mehr verwendet.
OK, das mit dem Benutzer liegt wohl eher daran: Wenn man da auf OK geht, wird der Benutzer mit Vollzugriff eingetragen und das vererbt sich dann auf alles im Ordner.
Das scheint aber auch nur in der 2004 so zu gehen. In der 1909 bekomme ich da so einfach keinen Vollzugriff.
Das alles wieder seltsam. Irgendwie verhält sich die bei mir 1909 anderes. In der 1909 in der VM bekomme ich da auch so schnell Vollzugriff für immer, auf dem Laptop nicht.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
DK2000
- Legende
- Beiträge: 9219
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 158 Mal
- Danke erhalten: 488 Mal
- Gender:
Re: Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
OK, das ist wieder so ein Denkfehler in Zusammenhang mit der UAC.
Da man den Explorer ja nicht mehr mit Adminrechten laufen lassen kann, hat man da auch erst einmal keinen Zugriff auf den Ordner. Ist aber der Benutzer in der Gruppe der Administratoren, dann fragt der Explorer nach, ob man nicht doch Zugriff haben will. Aber anstelle von UAC zu bemühen, trägt er da mal pauschal den Benutzer ein und verschafft damit quasi Dauerzugriff auf den Ordner.
Interessanter Weise macht der Explorer das aber auch bei "Benutzern", die nicht in der Admingruppe sind. Die bekommen auch pauschal mal Vollzugriff, obwohl sie effektiv keine Zugriffsrechte haben. Danach aber schon.
Das Verhalten finde ich jetzt etwas komisch.
Da man den Explorer ja nicht mehr mit Adminrechten laufen lassen kann, hat man da auch erst einmal keinen Zugriff auf den Ordner. Ist aber der Benutzer in der Gruppe der Administratoren, dann fragt der Explorer nach, ob man nicht doch Zugriff haben will. Aber anstelle von UAC zu bemühen, trägt er da mal pauschal den Benutzer ein und verschafft damit quasi Dauerzugriff auf den Ordner.
Interessanter Weise macht der Explorer das aber auch bei "Benutzern", die nicht in der Admingruppe sind. Die bekommen auch pauschal mal Vollzugriff, obwohl sie effektiv keine Zugriffsrechte haben. Danach aber schon.
Das Verhalten finde ich jetzt etwas komisch.
Re: Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
Hallo,
und Danke für die Rückmeldungen.
Habe gerade mir mal die aktuellen Fehlermeldung im System angezeigt, da wird mir jetzt angezeigt
svchost (1144,R,98)TILEREPOSITORYS-1-5-18: Die Kopfzeile der Protokolldatei C:\WINDOWS\system32\config\systemprofile\AppData\Local\TileDataLayer\Database\EDB.log konnte nicht gelesen werden. Fehler -4001.
Die Daten EDB.log hatte ich ja angelegt, aber das scheint wohl nicht geholfen zu haben, in der Daten steht nichts drin.
Was ist den Fehler -4001?
Vielen Dank
JD
und Danke für die Rückmeldungen.
Habe gerade mir mal die aktuellen Fehlermeldung im System angezeigt, da wird mir jetzt angezeigt
svchost (1144,R,98)TILEREPOSITORYS-1-5-18: Die Kopfzeile der Protokolldatei C:\WINDOWS\system32\config\systemprofile\AppData\Local\TileDataLayer\Database\EDB.log konnte nicht gelesen werden. Fehler -4001.
Die Daten EDB.log hatte ich ja angelegt, aber das scheint wohl nicht geholfen zu haben, in der Daten steht nichts drin.
Was ist den Fehler -4001?
Vielen Dank
JD
-
DK2000
- Legende
- Beiträge: 9219
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 158 Mal
- Danke erhalten: 488 Mal
- Gender:
Re: Habe ich einem Ordner evtl. zu hohe Recht eingeräumt?
Nein, nicht die EDB.log anlegen. Nur den Pfad zu der Datei. Die EDB.log und alle anderen Dateien werden automatisch nach dem nächsten Neustart dort abgelegt.
