Windows 10-Merkwürdigkeit: default-Profil mit Vollzugriff

Heute noch eine Merkwürdigkeit, die Blog-Leser Markus bei Windows 10 aufgefallen ist. Der Profilordner default besitzt recht merkwürdige Zugriffsberechtigungen. Ich stelle das Thema hier mal zur Diskussion, vielleicht hat jemand eine schlüssige Erklärung.


Anzeige

Worum geht es?

In Windows wird ja standardmäßig der Profilordner C:\Users\Default angelegt. Das Betriebssystem verwendet den Inhalt dieses Profilordners, wenn ein neuer Benutzer angelegt wird. Es wird einfach der Inhalt von Default für den neuen Benutzer kopiert. Blog-Leser Markus K. schreib mir vor einiger Zeit folgendes:

unter 1607 habe ich folgendes (feature?) entdeckt:
C:\Users\Default hat die Berechtigung "ERSTELLER-BESITZER" mit Vollzugriff!

Als ich die Mail las, hätte ich jetzt angenommen, dass nur Administratoren Vollzugriff auf diesen Profilordner besitzen und normale Nutzer ausgesperrt bleiben.

Nachgeschaut – so sieht es aus

Ich habe ein Windows 10 Version 1607-System in einer virtuellen Maschine gebootet und die Zugriffsberechtigungen für den Profilordner C:\Users\Default angesehen.

Zugriffsberechtigungen


Anzeige

Obiger Screenshot zeigt die Zugriffsberechtigungen mit Vollzugriff für ERSTELLER-BESITZER. Bei der Gruppe Benutzer ist scheinbar nur Lesen und Ausführen zulässig. Aber es gibt einen zweiten Eintrag Speziell, der diese Berechtigungen überschreiben kann.

Ich habe dann mal probiert und im Explorer unter einem Standard-Benutzerkonto auf den Profilordner C:\Users\Default zugegriffen. Dabei war ich in der Lage, sowohl lesend als auch schreibend den Profilordner zu manipulieren.

Markus K. schrieb mir in einer zweiten Mail: In 1703 scheint das behoben zu sein. Derzeit stellt sich mir die Frage ob das ein "bekanntes" Problem ist, oder ob still und heimlich behoben wurde?

Ich habe dann versuchsweise meine Testmaschine mit dem Windows 10 Creators Update (Version 1703) gebootet und einen Standardbenutzer eingerichtet. Auch dort konnte ich schreibend auf die Profilordner C:\Users\Default zugreifen. Die Kontrolle der Zugriffsberechtigungen ergab dann folgendes.

Der Besitzer des Profilordners ist das System, und der Eintrag Jeder hat nur eingeschränkte Zugriffsrechte. So gut aus. Dann habe ich mir die Zugriffsberechtigungen von Unterordnern angesehen. Hier der Unterordner default\Documents.

Zugriffsberechtigungen Ordner default

Der Benutzer auf dieser Maschine hat wohl spezielle Berechtigungen, die ich mir dann über die Schaltfläche Erweitert anzeigen lassen wollte. Da bekam ich folgendes Dialogfeld angezeigt.

Berechtigungsfehler

Fand ich schon merkwürdig, aber nach Betätigen der OK-Schaltfläche kam ich in die Anzeige der Berechtigungen. Diese sehen beim Ordner Documents folgendermaßen aus.

Über die Registerkarte Effektiver Zugriff habe ich mir dann mal angesehen, welche Berechtigungen wirklich vorliegen.

Ich kann also als Standardbenutzer lesend auf die Ordner des Profils default zugreifen und habe in den Unterordnern sogar explizit die Möglichkeit, Dateien und Ordner zu erstellen.

Denkfehler oder nur unschön?

Jetzt kommen wir zu der Stelle, wo ich die aktuelle Beobachtung zur Diskussion stelle. Für mich sieht es so aus, als ob jeder Benutzer einer Windows 10-Maschine nach Lust und Laune im Profilordner default herum fuhrwerken kann. Der Ordner ist zwar versteckt, aber das ist schnell in der Anzeige des Explorer aktiviert. Blog-Leser Markus schreibt denn auch:

Herrlich wenn nun Benutzer in einer Laborumgebung hier Daten ablegen und ein neuer Benutzer kommt.

Und auf meine Nachfrage präzisierte er dann:

Mit den "kaputten" ACLS ist das doch ein Problem, da hier z.b. in Word bei "speichern unter" und der Auswahl (linke Spalte) Desktop tatsächlich auf C:\Users\Default\Desktop gezeigt wird.

In [Windows 10 Version] 1703 gibt es z.b den Ordner C:\Users\Default\AppData\Roaming\Microsoft\Windows\
Recent\AutomaticDestinations

samt Inhalt nicht mehr. Diese Kombination kann in einem Laborbetrieb Datenschutzrechtlich höchst bedenklich sein. Dazu habe ich noch folgendes gefunden. Es tritt nicht auf jedem System auf, was also nur bei einer gewissen empirischen Masse zu solchen Effekten führt.

Beim Lesen des oben verlinkten Microsoft-Beitrags, wo man den Effekt, dass Desktop-Elemente nicht zugreifbar sind, fiel mir eine Episode aus den Microsoft Answers-Foren auf. Beim Upgrade von Windows 10-Systemen schlagen immer wieder Nutzer auf, die nach dem Upgrade nicht mehr auf Dateien im Benutzerprofil oder auf dem Desktop zugreifen können und Administratorberechtigungen benötigen. Irgend etwas ist da faul oder zumindest unsauber gelöst. Oder habe ich da einen (Gedanken-)Fehler begangen?

PS: Ich habe aktuell noch weitere Hinweise von anderen Nutzern auf ähnliche Ungereimtheiten, die ich in den kommenden Tagen mal in Blog-Beiträgen thematisieren möchte.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Windows 10-Merkwürdigkeit: default-Profil mit Vollzugriff

  1. swizz sagt:

    Kann das so nicht nachvollziehen. Mein voll gepatchtes Windows 10 1703 Education 64 bit hat keine speziellen Berechtigungen auf dem besagten Ordner, weder beim Benutzer noch bei Jeder.

    • Markus sagt:

      Unter 1703 ist ja auch soweit ich das beurteilen kann alles in Ordnung, nur eben unter 1607 sind die Berechtigungnen Ersteller-Besitzer Vollzugriff schlichtweg falsch.

  2. Charles sagt:

    Bei meinem englischen System steht da zuoberst "Everyone"und der hat beschränkten Zugriff.

  3. Rukrem sagt:

    Hallo,
    was ist denn nun falsch und was ist richtig?
    Ich habe da Jeder mit beschränkten Zugriff stehen.
    Nehme an, dass das richtig ist.

  4. Lukas Sagl sagt:

    Und was macht man dagegen?
    Bei mir am TS hat ein User 1GB an Bildern am Default Desktop abgelegt…
    Seit dem haben siche 30 neue User angemeldet, ZACK TS ist bumvoll…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.