Toon posts:

[Server 2008] UAC rechten problemen

Pagina: 1
Acties:

maandag 1 december 2008 11:01

Acties:
  • Woy
  • Registratie: April 2000
  • Niet online

Woy

Moderator Devschuur®
Topicstarter
We hebben een windows server 2008 ( WebServer editie ) draaien die in het domain (voorbeeld) INTERNET hangt. In het domein hebben we een user (INTERNET\applicatiebeheer) die bedoeld is om de server te beheren. Deze user zit op de locale machine in de groep Administrators.

Nu wil ik een wijziging maken aan een config file van het .NET framework
(C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\machine.config)
En als ik daar op de file kijk dan heeft de administrators groep volledige rechten.

Als ik echter in notepad een wijziging maak, en probeer te saven krijg ik een foutmelding dat de file niet aangemaakt kan worden ( Hij is niet read-only ). Ook als ik hem onder een andere naam probeer te saven in dezelfde directory krijg ik de melding dat dat niet lukt.

Als ik echter de file gewoon kopieer naar dezelfde directory dan gaat het wel goed. Ook kan ik de file gewoon deleten of hernoemen. Ik krijg dan wel een UAC melding of ik toegang wil verlenen ( Wat opzich logisch is, deze melding zou ik ook verwachten als ik met notepad een wijziging doe )

Als ik echter UAC helemaal uitzet dan kan ik wel gewoon met notepad wijzigingen aanbrengen. Is dit een bug in UAC/notepad dat deze niet goed samenwerken? Of heb ik een andere rechten instelling niet goed staan?

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

maandag 1 december 2008 12:29

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 26-01 15:54

mutsje

Certified Prutser

Al je programma's die je opstart op windows server 2008 zijn onder USER rechten. Wat ik altijd doe is de command prompt als administrator openen en daar notepad op starten. Je kan natuurlijk ook gewoon notepad als administrator opstarten. Hierna kan je wel de config file wijzigen :) behave as designed dus

maandag 1 december 2008 12:41

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

rwb schreef op maandag 01 december 2008 @ 11:01:

Nu wil ik een wijziging maken aan een config file van het .NET framework
(C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\machine.config)
En als ik daar op de file kijk dan heeft de administrators groep volledige rechten.

Als ik echter in notepad een wijziging maak, en probeer te saven krijg ik een foutmelding dat de file niet aangemaakt kan worden ( Hij is niet read-only ). Ook als ik hem onder een andere naam probeer te saven in dezelfde directory krijg ik de melding dat dat niet lukt.
Je zit dan ook als met een non-Administrative Token in een systeemdirectory te werken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 1 december 2008 14:52

Acties:
  • Woy
  • Registratie: April 2000
  • Niet online

Woy

Moderator Devschuur®
Topicstarter
mutsje schreef op maandag 01 december 2008 @ 12:29:
Al je programma's die je opstart op windows server 2008 zijn onder USER rechten. Wat ik altijd doe is de command prompt als administrator openen en daar notepad op starten. Je kan natuurlijk ook gewoon notepad als administrator opstarten. Hierna kan je wel de config file wijzigen :) behave as designed dus
Maar is explorer dan een uitzondering op die regel? Want die kan wel wijzigingen ( rename, delete, copy ) aan de file maken.

En het uitschakelen van UAC veranderd dit gedrag dus blijkbaar zodat notepad wel als user met rechten word uitgevoerd.

Ik had verwacht dat als ik onder notepad de file zou willen overschrijven, ik de UAC melding zou krijgen om te vragen of de file overschreven zou mogen worden.
alt-92 schreef op maandag 01 december 2008 @ 12:41:
[...]


Je zit dan ook als met een non-Administrative Token in een systeemdirectory te werken.
Maar waarom heb ik in Explorer die Administrative token blijkbaar wel, maar als ik de file open niet meer?

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

maandag 1 december 2008 15:24

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

rwb schreef op maandag 01 december 2008 @ 14:52:
[...]
Maar is explorer dan een uitzondering op die regel? Want die kan wel wijzigingen ( rename, delete, copy ) aan de file maken.
Nadat je de UAC prompt hebt gekregen en deze approved hebt ja.
Daarmee voeg je de bijbehorende admin privileges tijdelijk toe.
En het uitschakelen van UAC veranderd dit gedrag dus blijkbaar zodat notepad wel als user met rechten word uitgevoerd.
Uitschakelen van UAC houdt in dat je dan het 'oude' security model van XP/2003 weer hanteert.
Oftewel: dan mag je dat wel.
Ik had verwacht dat als ik onder notepad de file zou willen overschrijven, ik de UAC melding zou krijgen om te vragen of de file overschreven zou mogen worden.
notepad heeft geen manifest waar UAC prompts mee gegenereerd kunnen worden.
Dus valt een applicatie terug op het default behaviour: geef een Access Denied.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 1 december 2008 15:32

Acties:
  • Woy
  • Registratie: April 2000
  • Niet online

Woy

Moderator Devschuur®
Topicstarter
alt-92 schreef op maandag 01 december 2008 @ 15:24:
[...]
notepad heeft geen manifest waar UAC prompts mee gegenereerd kunnen worden.
Dus valt een applicatie terug op het default behaviour: geef een Access Denied.
Ok dat is dus de missende schakel, dat notepad dat manifest inderdaad niet heeft. Nu is het duidelijk voor me.

Nog een vraagje over UAC, kan je dit op user basis uitschakelen of kan dat alleen meteen over de hele machine? Als je als local of domain administrator op de server inlogt dan werkt UAC immers niet, dus mischien dat ik ergens een extra privilege kan geven zodat UAC niet gebruikt word. Voor een administatie account is het namenlijk nogal vervelend om steeds die pop-ups te krijgen, aangezien je constant bezig bent met zaken waar je een melding voor krijgt. Maar om het nou helemaal uit te schakelen vind ik weer het andere uiterstste ( Al zal er normaal niet worden ingelogd onder een ander account )

[ Voor 43% gewijzigd door Woy op 01-12-2008 15:34 ]

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

dinsdag 2 december 2008 15:26

Acties:
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 24-09-2025

Dutch2007

dit is machine only..

je kan natuurlijk bijv een snelkoppeling naar een applicatie kunnen maken en dan of rechtsklikken en dan admin vragen, of in compability instellen dat je die app altijd als admin draait :) (bij je notepad)

dinsdag 2 december 2008 15:55

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

rwb schreef op maandag 01 december 2008 @ 15:32:
Als je als local of domain administrator op de server inlogt dan werkt UAC immers niet,
Euh.. dan gaat het juist in werking.
dus mischien dat ik ergens een extra privilege kan geven zodat UAC niet gebruikt word.
Een soort Everyone Full Control, no questions asked zeg maar? ;)
Voor een administatie account is het namenlijk nogal vervelend om steeds die pop-ups te krijgen, aangezien je constant bezig bent met zaken waar je een melding voor krijgt.
Of je went je gewoon aan RunAs/sudo/whatever te gebruiken ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 2 december 2008 16:04

Acties:
  • Woy
  • Registratie: April 2000
  • Niet online

Woy

Moderator Devschuur®
Topicstarter
alt-92 schreef op dinsdag 02 december 2008 @ 15:55:
[...]
Euh.. dan gaat het juist in werking.
Ja dat zou ik ook verwachten, maar als ik met de local of domain administrator user inlog dan kon ik gewoon met notepad wijzigingen doen. Dat verschilde dus met de Applicatiebeheer user ( Die ook in de administrators groep zat ).
Een soort Everyone Full Control, no questions asked zeg maar? ;)
Nee een soort full control voor een bepaalde user!
Of je went je gewoon aan RunAs/sudo/whatever te gebruiken ;)
Ja maar ik doe al een soor RunAs aangezien ik speciaal met een beheers account inlog. Dat account word alleen gebruikt om Administrator zaken te doen!

Alle andere processen draaien onder andere users die alleen de rechten hebben die ze nodig hebben. Op het moment dat ik met die user inlog dan weet ik dus al dat ik die administrator rechten nodig ga hebben, dus dan is nog zo'n UAC melding nogal dubbel op.

In UAC op mijn lokale PC kan ik me perfect vinden, want ik ben 90% van de tijd bezig met zaken waar ik de administrator rechten niet voor nodig heb.

[ Voor 6% gewijzigd door Woy op 02-12-2008 16:05 ]

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq