Wenn Sie für den Ordnerzugriff in Windows Explorer Weiter auswählen, wird Ihr Benutzerkonto der Zugriffssteuerungsliste für den Ordner hinzugefügt.
Dieser Artikel bietet eine Lösung für ein Problem, wenn Sie Weiter auswählen, um Zugriff auf einen Dateisystemordner zu erhalten, für den Sie nicht über Leseberechtigungen verfügen.
Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 950934
Einführung
In diesem Artikel wird ein Szenario beschrieben, in dem Windows Explorer Sie auffordert, Weiter auszuwählen, um Zugriff auf einen Dateisystemordner zu erhalten, für den Sie nicht über Leseberechtigungen verfügen. Außerdem werden Problemumgehungen beschrieben, um bestimmte Aspekte dieses Verhaltens zu vermeiden. Dieses Problem tritt in Windows Vista und höheren Versionen von Windows sowie in Windows Server 2008 und höheren Versionen von Windows Server auf. Windows Explorer wird in Windows 8 und höheren Versionen als Explorer bezeichnet.
Weitere Informationen
Angenommen, die Benutzerkontensteuerung (User Account Control, UAC) ist aktiviert, und Sie verwenden Windows Explorer, um auf einen Ordner zuzugreifen, für den Sie nicht über Leseberechtigungen verfügen. Darüber hinaus ist der Ordner nicht durch die Attribute Hidden und System gekennzeichnet. In diesem Fall zeigt Windows Explorer ein Dialogfeld an, das Sie mit der folgenden Meldung auffordert:
Sie verfügen derzeit nicht über die Berechtigung für den Zugriff auf diesen Ordner. Klicken Sie auf Weiter, um dauerhaft Zugriff auf diesen Ordner zu erhalten.
Hinweis
In Windows Vista und Windows Server 2008 enthält der zweite Satz das Wort nicht dauerhaft. Es heißt nur Klicken Sie weiter, um Zugriff auf diesen Ordner zu erhalten.
Anschließend können Sie Weiter oder Abbrechen auswählen. (Weiter ist standardmäßig ausgewählt.) Wenn Sie Weiter auswählen, versucht die Benutzerkontensteuerung, Administratorrechte in Ihrem Namen zu erhalten. Abhängig von den UAC-Sicherheitseinstellungen, die das Verhalten der Benutzeroberflächenerweiterungsaufforderung steuern, und davon, ob Sie Mitglied der Gruppe Administratoren sind, werden Sie möglicherweise zur Zustimmung oder zur Eingabe von Anmeldeinformationen aufgefordert. Oder Sie werden möglicherweise gar nicht dazu aufgefordert. Wenn UAC Administratorrechte erhalten kann, ändert ein Hintergrundprozess die Berechtigungen für den Ordner und für alle zugehörigen Unterordner und Dateien, um Ihrem Benutzerkonto Zugriff darauf zu gewähren. In Windows Vista und Windows Server 2008 gewährt der Hintergrundprozess Ihrem Benutzerkonto Lese- und Ausführungsberechtigungen. In höheren Versionen von Windows gewährt dieser Prozess Ihrem Benutzerkonto Vollzugriff.
Es handelt sich hierbei um ein beabsichtigtes Verhalten. Da das typische Muster bei der Erhöhung der Benutzerkontensteuerung darin besteht, eine instance des Programms mit erhöhten Rechten mit Administratorrechten auszuführen, können Benutzer dies erwarten, indem sie Weiter auswählen. Dadurch wird eine erhöhte instance von Windows Explorer generiert und keine dauerhaften Änderungen an Den Dateisystemberechtigungen vorgenommen. Diese Erwartung ist jedoch nicht möglich, da das Design von Windows Explorer die Ausführung mehrerer Prozessinstanzen in verschiedenen Sicherheitskontexten in einer interaktiven Benutzersitzung nicht unterstützt.
Wenn UAC deaktiviert ist, ist keine Erhöhung der UAC möglich. Alle Programme, die von Mitgliedern der Administratorgruppe ausgeführt werden, einschließlich Windows Explorer, verfügen immer über Administratorrechte. Administratoren müssen also keine Rechteerweiterungen verwenden, um auf Ressourcen zuzugreifen, die Administratorrechte erfordern. Wenn ein Ordner beispielsweise nur Zugriff auf die Gruppe Administratoren und das Systemkonto gewährt, kann ein Administrator ihn direkt durchsuchen, ohne aufgefordert zu werden, die Berechtigungen des Ordners zu ändern. Wenn der Benutzer nicht über Leseberechtigungen verfügt, zeigt Windows Explorer das zuvor beschriebene Dialogfeld an. Wenn die UAC jedoch deaktiviert ist, kann Windows keine Administratoranmeldeinformationen für den Benutzer über eine UAC-Eingabeaufforderung zur Erhöhung anfordern. Windows startet also keinen Hintergrundprozess mit Administratorberechtigungen zum Ändern von Dateisystemberechtigungen.
Wenn der Benutzer jedoch Weiter auswählt und der aktuelle Sicherheitsdeskriptor des Ordners dem Benutzer die Berechtigung zum Lesen und Ändern der Berechtigungen des Objekts erteilt, startet Windows den Hintergrundprozess im aktuellen Sicherheitskontext des Benutzers und ändert die Berechtigungen des Ordners, um dem Benutzer mehr Zugriff zu gewähren, wie weiter oben beschrieben. Der Benutzer verfügt möglicherweise über die Berechtigung zum Lesen und Ändern der Objektberechtigungen aus dem Objektbesitz oder aus der Zugriffssteuerungsliste (Access Control List, ACL) des Objekts.
Bekannte Probleme
Dieses Feature kann zu unerwartetem Verhalten führen. Angenommen, Sie gehören zur Gruppe Administratoren und verwenden Windows Explorer, um auf einen Ordner zuzugreifen, der Administratorzugriff erfordert. Nachdem die Berechtigungen geändert wurden, kann jedes Programm, das über Ihr Benutzerkonto ausgeführt wird, die vollständige Kontrolle über den Ordner haben, auch wenn das Programm keine erhöhten Rechte hat und auch nachdem Ihr Konto aus der Gruppe "Administratoren" entfernt wurde. Solche geänderten Berechtigungen können gegen die Sicherheitsrichtlinien eines organization verstoßen und in einer Sicherheitsüberwachung gekennzeichnet werden. Wenn ein Programm außerdem Dateisystemberechtigungen überprüft, kann es die Ausführung verweigern, wenn die Berechtigungen geändert wurden.
Die Benutzerkontensteuerung sollte in allen Fällen aktiviert bleiben, außer unter den eingeschränkten Umständen, die unter Deaktivieren der Benutzerkontensteuerung (UAC) unter Windows Server beschrieben werden.
Problemumgehung 1
Um das Ändern von Berechtigungen in einem Ordner zu vermeiden, auf den nur Administratoren zugreifen können, sollten Sie ein anderes Programm verwenden, das mit erhöhten Rechten ausgeführt werden kann, anstatt Windows Explorer zu verwenden. Beispiele hierfür sind Eingabeaufforderung, PowerShell und das MMC-Snap-In Computerverwaltung für die Freigabeverwaltung.
Problemumgehung 2
Wenn Sie über einen anwendungsspezifischen Ordner verfügen, der gesperrt ist, um normale Benutzer am Zugriff darauf zu hindern, können Sie auch Berechtigungen für eine benutzerdefinierte Gruppe hinzufügen und dieser Gruppe dann autorisierte Benutzer hinzufügen. Betrachten Sie beispielsweise ein Szenario, in dem ein anwendungsspezifischer Ordner nur Zugriff auf die Gruppe Administratoren und das Systemkonto gewährt. Erstellen Sie in diesem Fall eine Domäne oder eine lokale AppManagers-Gruppe, und fügen Sie ihr dann autorisierte Benutzer hinzu. Verwenden Sie dann ein Hilfsprogramm wie icacls.exe, die Registerkarte Sicherheit des Dialogfelds Eigenschaften des Ordners oder das PowerShell Set-Acl Cmdlet, um der Gruppe AppManagers zusätzlich zu den vorhandenen Berechtigungen Vollzugriff auf den Ordner zu gewähren.
Benutzer, die Mitglieder von AppManagers sind, können windows Explorer verwenden, um den Ordner zu durchsuchen, ohne dass die UAC die Berechtigungen des Ordners ändern muss. Diese Alternative gilt nur für anwendungsspezifische Ordner. Sie sollten niemals Berechtigungsänderungen an Ordnern vornehmen, die Teil des Windows-Betriebssystems sind, z C:\Windows\ServiceProfiles. B. .
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für