Softpicks.Net Deutsch

[Thomas D.]

On Fri, 13 Jul 2007 14:31:47 +0200, G.Born wrote:

> Einzige Notlösung: Den Prozess Explorer.exe abschießen und im Taskmanager
> eine neue Explorer.exe starten. Da hatte ich dann plötzlich einen Prozess,
> der unter dem Admin-Kontext lief (brachte aber andere Probleme - so konnte
> ich dann keine Ordnerfenster mehr über die Windows-Shell öffnen)..
>
> Hab das mit den separaten Prozessen nie probiert, da ich meist im Fenster
> der Eingabeaufforderung werkele und von dort mit DOS-Befehlen auf Dateien
> zugreife.

Ganz genau :)

Du findest diesen "Tipp" in zahlreichen Büchern, Blogs und Newsgroups.
Ich denke aber, dass das ein weit verbreitetes Falschwissen ist.

Aber ich lasse mich gerne korrigieren...


--
Grüße,
Thomas
.

[Thomas D.]

Hallo Daniel,

On Fri, 13 Jul 2007 18:11:41 +0200, Daniel Melanchthon [MS] wrote:

> Ich verstehe noch nicht ganz, was Du hier als "weit verbreitetes
> Falschwissen" bezeichnest.

Ich lese immer wieder, dass man einen Haken in den Ordneroptionen bei "Im
eigenen Prozess starten" setzen und dann in der Lage sein soll, den
Explorer mit Administratorenrechten zusätzlich zu starten.

Ich konnte dies bis dato nicht nachstellen. Nachdem ich mehrere Leute darum
gebeten habe, dies doch auch einmal zu probieren, meinten auch diese, das
sei nicht möglich.

Somit bezeichne ich diesen Rat als verbreitetes Falschwissen mit der
Anmerkung, dass ich mich jederzeit über Korrektur freuen würde.


> wenn Du einen zweiten Explorer startest, dann wird der nicht in einem
> neuen Prozess gestartet sondern als Teil des schon laufenden Explorer-
> Prozesses sondern als Teil des schon laufenden Explorer- Prozesses, der
> als Shell läuft und z.B. für die Taskleiste zuständig ist.

OK. Das ist mir bekannt.

Der zweite Explorer läuft somit mit den gleichen Privilegien wie der erste.
Korrekt?


> Wenn Du die Option setzt, dass jede weitere Explorer-Instanz in einem
> eigenen Prozess läuft

Ich bin als "Foobar" angemeldet. Foobar ist in der Gruppe Benutzer.
Reicht es, wenn ich in den Ordneroptionen von Foobar die Option
"Ordnerfenster in einem eigenen Prozess starten" aktiviere, oder muss ich
dies auch im Benutzerprofil von "Admin" machen, der Mitglied der Gruppe
"Administratoren" ist?


> dann siehst Du auch zwei Explorer-Prozesse in der Taskleiste. Wenn Du
> einen davon als Administrator gestartet hast dann läuft der in der
> Benutzerkennung des angemeldeten Benutzers, aber mit nicht gefilterten
> Token, also mit administrativen Rechten (wenn der Benutzer in der Gruppe
> der Administratoren ist).

Ich öffne den Taskmanager und klicke auf "Prozesse aller Benutzer
anzeigen", beantworte den UAC-Prompt, indem ich mich als "Admin" anmelde -
der Taskmanager schließt und startet sich neu, ich sehe alle Prozesse.

Ich sortiere nach Namen - derzeit sehe ich einen explorer.exe-Prozess.

Jetzt klicke ich mit der rechten Maustaste auf die explorer.exe-Verknüpfung
und wähle "Als Administrator ausführen". Den UAC-Prompt beantworte ich
wieder mit der Anmeldung als "Admin". Interessanterweise passiert nichts -
weder ein Fenster geht auf, noch erscheint ein neuer Prozess.

Ich habe noch einen zweiten Benutzer der Gruppe Administratoren, "Admin2"
(ohne Kennwort - ich weiß nicht ob diese Information relevant ist). Ich
wähle nochmals die Verknüpfung an, um den Explorer als Administrator zu
starten. Diesmal authentifiziere ich mich als "Admin2".

Es öffnet sich ein Fenster, welches auf mein Profil\Dokumente zeigt. Ich
sehe weiterhin nur einen Prozess "explorer.exe".

Navigiere ich nach C:\Windows um hier einen Ordner zu erstellen, erwartet
mich ein UAC-Prompt, wo ich mich erneut authentifizieren muss - hier würde
ich max. ein "Fortfahren?"-Prompt erwarten.

Auch ist es mir möglich vom Desktop Dateien in dieses Fenster zu siehen -
auch hier würde ich erwarten, dass das nicht ginge, wenn der Prozess als
"Admin2" laufen würde.


Mache ich etwas falsch?
Gerne stelle ich auch ein Video bereit :)


P.s.: "Admin" hat die Option "Ordnerfenster in einem eigenen Prozess
starten" aktiviert, "Admin2" nicht. Aktiviere ich sie auch bei "Admin2",
öffnet sich unter Foobar auch hier kein Fenster mehr.


--
Grüße,
Thomas
.

[G.Born]

> Du findest diesen "Tipp" in zahlreichen Büchern, Blogs und Newsgroups.
> Ich denke aber, dass das ein weit verbreitetes Falschwissen ist.
>
Angekommen und d'accord. Jetzt weiß ich auch, warum ich den A43 so schätze
.

Gruß

G. Born

.

[Thomas D.]

On Fri, 13 Jul 2007 20:29:24 +0200, Thomas D. wrote:

> Gerne stelle ich auch ein Video bereit :)

Gesagt, geschehen: [1].
Das Video hat ~13MB (WMV).

Es zeigt Windows Vista Enterprise (aktuelles VHD-Image von Microsoft mit
dem Patchlevel von Dienstag). Es wurde lediglich das Administratorenkonto
"Admin" und das Benutzerkonto "User" erzeugt.


Siehe auch:
===========
[1] http://rapidshare.com/files/42772235/Explorer_as_Admin_as_User.wmv.html

--
Grüße,
Thomas
.

[G.Born]

> Ich verstehe noch nicht ganz, was Du hier als "weit verbreitetes
> Falschwissen" bezeichnest.
>
Das von Tomas D. beschriebene Verhalten habe ich auch bei mir gefunden. So
wie es aussieht, wird der separate Explorer.exe-Prozess nur dann unter dem
Kontext des Admin-Kontos ausgeführt, wenn die Shell (Explorer.exe) vorher
abgeschossen wurde. Ich hab es dann mit einem alternativen Dateimanager (der
nicht auf der Shell aufsetzt) probiert - und siehe da, er wurde auch im
Task-Manager im Kontext des bei der
Benutzerkontensteuerungs-Sicherheitsabfrage gewählten Admin-Kontos
ausgeführt.

Sieht so aus, als ob Thomas D. Recht hat - und Explorer.exe nicht unter dem
Kontext eines anderen Benutzerkontos ausgeführt werden kann (egal, ob die
Option zum Ausführen als separater Prozess ein- oder ausgeschaltet ist).

Und dies widerspricht dem hier in den NGs (u.a. von mir) und auf diversen
Webseiten von Dritten Geäußerten.

Ich lasse mich ja gerne vom Gegenteil überzeugen - aber momentan stellt sich
mir die Sachlage so dar, wie es in der Diskussion zwischen Tom und mir
herausderiviert wurde .

Gruß

G. Born

.

[Daniel Melanchthon [MS]]

Hallo G.Born,

"G.Born" No-Spam [at] discussions.microsoft.com schrieb:
> Und dies widerspricht dem hier in den NGs (u.a. von mir) und auf
> diversen Webseiten von Dritten Geäußerten.

ihr verwechselt hier etwas. Ich redde davon, dass der Benutzer foo
in der Gruppe der Administratoren ist und die UAC an ist. Wenn er
den Explorer startet, dann mit gefiltertem Token und weniger Rechten.
Startet er den Explorer als Administrator (bei gesetzter Option),
dann kommt der UAC-Prompt, den er bestätigen kann. Jetzt läuft
eine Explorer-Instanz im Kontext foo ohne gefiltertes Token.

Mit diesem Explorer kannst Du dann zum Beispiel im Windows-Ordner
die hosts-Datei verändern, was Du mit einem normalen Explorer nicht
kannst.

Dass der Explorer auf dem Desktop von foo (wenn foo Benutzer ist)
nicht erscheint, wenn er ihn in einem komplett anderen Benutzeraccount
ausführt, ist eine ganz andere Frage.

Viele Grüße!
--
..:Daniel Melanchthon:.
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!

.

[G.Born]

> ihr verwechselt hier etwas. Ich redde davon, dass der Benutzer foo
> in der Gruppe der Administratoren ist und die UAC an ist. Wenn er
> den Explorer startet, dann mit gefiltertem Token und weniger Rechten.
> Startet er den Explorer als Administrator (bei gesetzter Option),
> dann kommt der UAC-Prompt, den er bestätigen kann. Jetzt läuft
> eine Explorer-Instanz im Kontext foo ohne gefiltertes Token.

Hallo Daniel,

ich kann mich hier nur Thomas D. für die Klarstellung anschließen - genau
diesen Fall hatte ich dummerweise nicht getestet ;-(

Aber es lässt sich ja immer was dazu lernen.

> Dass der Explorer auf dem Desktop von foo (wenn foo Benutzer ist)
> nicht erscheint, wenn er ihn in einem komplett anderen Benutzeraccount
> ausführt, ist eine ganz andere Frage.

Kannst Do zum letzten Satz noch was ausführen, was das erhellt? Oder gibt
es da eine Fundstelle bei www.microsoft.com mit näheren Infos?

Gruß

G. Born

.