{"id":145812,"date":"2014-01-28T01:25:00","date_gmt":"2014-01-28T00:25:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=145812"},"modified":"2016-10-28T15:16:50","modified_gmt":"2016-10-28T13:16:50","slug":"dateimanager-mit-administrativen-rechten-ausfhren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2014\/01\/28\/dateimanager-mit-administrativen-rechten-ausfhren\/","title":{"rendered":"Dateimanager mit administrativen Rechten ausf&uuml;hren"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"win7\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/03\/win7_thumb1.jpg\" alt=\"win7\" width=\"44\" height=\"42\" align=\"left\" border=\"0\" \/>Beim Zugriff auf Dateien und Ordner, die auf NTFS-Datentr\u00e4gern liegen, ben\u00f6tigt man als Benutzer entsprechende Zugriffsberechtigungen. Das f\u00fchrt dazu, dass Benutzer h\u00e4ufiger die Benutzerkontensteuerung sehen und die Zugriffe auf NTFS-Dateisystemelemente \u00fcber das Administratorkonto freigeben m\u00fcssen. In diesem Blog-Beitrag m\u00f6chte ich einen kurzen Blick unter den Teppich werfen und mal beleuchten, was f\u00fcr Folgen das hat und was man besser machen kann. R\u00e4umt vielleicht auch so einige Missverst\u00e4ndnisse auf.<\/p>\n<p><!--more--><\/p>\n<h3>Worum geht es eigentlich?<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/eacb8ac6274f418f87c6ab673f7cf528\" alt=\"\" width=\"1\" height=\"1\" \/>NTFS-Datentr\u00e4ger unterst\u00fctzen ein ausgefeiltes Konzept von Zugriffsberechtigungen auf Ebene der Benutzerkonten. F\u00fcr jeden Benutzer oder Gruppen l\u00e4sst sich vorgeben, ob Anwender NTFS-Dateisystemelemente anzeigen, lesen, l\u00f6schen, kopieren\/umbenennen oder deren Inhalte ver\u00e4ndern d\u00fcrfen. Ist man als Anwender unterwegs und will auf Ordner oder Dateien in <em>Windows<\/em>, <em>ProgramFiles <\/em>etc. zugreifen, geht dies nur mit administrativen Berechtigungen. Selbst der Zugriff auf die Benutzerordner eines anderen Benutzerkontos erfordern administrative Berechtigungen. Windows zeigt daher ab Windows Vista ein Dialogfeld, welches \u00e4hnlich wie nachfolgend gezeigt, aussehen kann.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Ordner03\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/01\/Ordner03_thumb1.jpg\" alt=\"Ordner03\" width=\"420\" height=\"224\" border=\"0\" \/><\/p>\n<p>Im Dialogfeld erscheint der Hinweis, dass der Zugriff verweigert wird, und es wird nach einer administrativen Zustimmung gefragt. W\u00e4hlt der Benutzer die mit dem Logo eines Schilds gekennzeichnete Schaltfl\u00e4che <em>Fortsetzen<\/em>, \u00f6ffnet sich die Benutzerkontensteuerung. Nach Best\u00e4tigung durch den Benutzer (ggf. mit Eingabe eines Administratorkennworts) wird der Zugriff gew\u00e4hrt.<\/p>\n<h3>Was ist denn so schlecht daran?<\/h3>\n<p>Eigentlich ist es ja eine tolle Sache, dass ich als Benutzer nicht in unzul\u00e4ssiger Weise da an allen m\u00f6glichen Dateien, die mich nichts angehen, herumfuhrwerken kann. Das NTFS-Dateisystem hat mit seinem Zugriffsrechtekonzept durchaus seine Berechtigung. Allerdings gibt es mindestens zwei Sachen, die st\u00f6ren oder nerven.<\/p>\n<ul>\n<li>Kopiert man mehrere Dateisystemelemente, kann es passieren, dass das obige Dialogfeld mit der Info \u00fcber die Zugriffsverweigerung und Aufforderung zur Zustimmung h\u00e4ufiger kommt. Wer f\u00fcnfzig mal die Schaltfl\u00e4che <em>Fortsetzen<\/em> anw\u00e4hlen und die Benutzerkontensteuerung best\u00e4tigen muss, ist m\u00f6glicherweise leicht genervt. Windows bietet zwar im Kopierdialog an, eine Option auf alle Konflikte anzuwenden \u2013 das klappt aber bei NTFS-Zugriffsberechtigungen nicht, da aus Sicherheitsgr\u00fcnden bestimmte Abfragen erforderlich sind.<\/li>\n<li>Und was noch bitterer ist: Stimme ich \u00fcber die Schaltfl\u00e4che <em>Fortsetzen <\/em>und \u00fcber die Benutzerkontensteuerung dem Zugriff auf das betreffende NTFS-Dateisystem zu, ver\u00e4ndert dies die betreffenden Elemente. Windows tr\u00e4gt in den Access Control Listen (ACLs) der betreffenden NTFS-Objekte das jeweils angegebene Benutzerkonto mit den Zugriffsrechten ein. M\u00f6chte ich also nur mal kurz den Inhalt eines fremden Ordners inspizieren, artet das also m\u00f6glicherweise nicht nur in eine Orgie von Nachfragen \u00fcber das oben gezeigte Dialogfeld aus. Windows setzt anschlie\u00dfend die Zugriffsberechtigungen permanent um \u2013 unter dem Konto erhalte ich also permanent den Zugriff auf diese NTFS-Elemente.<\/li>\n<\/ul>\n<p>Gerade der letztgenannte Punkt ist nicht immer erw\u00fcnscht. Wenn ich als Benutzer nur mal kurz einen Ordner inspizieren m\u00f6chte, soll m\u00f6glicherweise verhindert werden, dass diese Zugriffsberechtigung permanent erteilt wird. Greife ich aber unter einem Benutzerkonto auf die Profilordner eines anderen Benutzerkontos zu, habe ich f\u00fcr alle Zeiten das Zugriffsrecht erteilt bekommen. Nicht immer gewollt!<\/p>\n<p>Und es gibt F\u00e4lle, wo es sogar in's Auge geht. Es gibt Ordner, wo mir Windows den Zugriff per Explorer schlicht verweigert. Weiterhin kann der Ansatz sogar zu Fehlfunktionen f\u00fchren. Wer eine Systemabbildsicherung (Backup) ausf\u00fchrt, findet auf dem Ziellaufwerk einen Ordner <em>WindowsImageBackup<\/em>. Dieser Ordner ist schreibgesch\u00fctzt und kann von Anwendern mit Standardberechtigungen nicht eingesehen werden (der Besitzer ist das System). Da sich im Ordner <em>WindowsImageBackup<\/em> die Sicherungssdateien in virtuellen Disks befinden, liegt nat\u00fcrlich die Versuchung nahe, einfach mal in den Ordner zu schauen. Dies klappt aber nur, wenn man das Dialogfeld, welches den Zugriff verweigert, \u00fcber die Benutzerkontensteuerung mit administrativen Berechtigungen best\u00e4tigt. Und dabei werden die NTFS-Zugriffsberechtigungen des Ordners und der untergeordneten Elemente angepasst.<\/p>\n<p>Ich hatte bei diversen Tests die Situation, dass ich bei feststellen musste, dass sich die so \"angefassten\" Sicherungen nicht mehr zur\u00fccklesen lie\u00dfen. Ich erhielt in Windows PE beim Versuch, die Systemabbildsicherung zur\u00fcckzulesen einen Fehlerabbruch. Erst als ich \"die Finger von den im Test erzeugten Sicherungsordnern\" lie\u00df, klappte es mit der R\u00fccksicherung des Systembackups wieder. Es mag letztlich vielleicht eine andere Ursache gegeben haben, warum bestimmte Backup-Ordner versagten. Aber zumindest blieb bei mir der Verdacht, dass die Umsetzung der NTFS-Zugriffsberechtigungen der Ausl\u00f6ser f\u00fcr diese Probleme war.<\/p>\n<h3>F\u00fchr ich den Explorer halt mit administrativen Berechtigungen aus \u2026<\/h3>\n<p>Ist mir schon klar, dass jetzt ein Cleverle daherkommt und ausf\u00fchrt: Born, alles Kappes \u2013 Du rufst den <em>Explorer.exe<\/em> \u00fcber den Kontextmen\u00fcbefehl <em>Als Administrator ausf\u00fchren <\/em>auf und gut ist. Und weil das eventuell nicht hinhaut (der <em>Explorer.exe<\/em> stellt ja auch die Windows-Shell bereit, so dass der Prozess nur mit normalen Rechten l\u00e4uft), gibt es dann noch den guten Tipp, vorher in den Ordneroptionen das Kontrollk\u00e4stchen <em>Ordnerfenster in einem eigenen Prozess starten <\/em>zu markieren (siehe folgender Screenshot).<\/p>\n<p>Klingt gut, sieht auch logisch aus, findet man auch als Tipp im Internet \u2013 hat aber den Haken, dass das seit Windows Vista leider nicht mehr funktioniert. Das Programm <em>Explorer.exe <\/em>kann nicht mit administrativen Berechtigungen laufen. Der Aufruf \u00fcber <em>Als Administrator ausf\u00fchren <\/em>ist zwar m\u00f6glich \u2013 aber Windows verhindert intern das Erteilen administrativer Tokens f\u00fcr den Prozess. Ich habe das kurz im Artikel <a href=\"https:\/\/borncity.com\/blog\/2011\/04\/29\/explorer-als-administrator-ausfhren\/\">Explorer als Administrator ausf\u00fchren<\/a> angesprochen. Dort ist auch ein Workaround in Form eines Registrierungseingriffs verlinkt. Aber dieser Ansatz ist nicht zu empfehlen, da er das Sicherheitskonzept von Windows aushebelt.<\/p>\n<h3>Mach's richtig: Die Alternative sind portable Dateimanager<\/h3>\n<p>Aus diesem Grund habe ich mir bereits vor langer Zeit eine Alternative \u00fcberlegt, die ich auch einsetze. Statt des Explorers verwende ich einfach Dateimanager von Drittherstellern. Im Prinzip k\u00f6nnte jeder Dateimanager eingesetzt werden \u2013 ich bevorzuge aber portable Dateimanager, da dann die Installation entf\u00e4llt. Bei meinen Systemen liegen daher immer ein paar portable Dateimanager wie a43, FreeCommander\u00a0oder Explorer++ auf einer separaten Festplattenpartition herum. Diese brauchen nicht installiert zu werden und lassen sich per Doppelklick aufrufen. Weil die Dateimanager nichts mit der Windows-Shell bzw. dem Explorer zu tun haben, laufen diese als separater Prozess und k\u00f6nnen \u00fcber <em>Als Administrator ausf\u00fchren <\/em>aufgerufen werden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Ordner06\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/01\/Ordner06_thumb.jpg\" alt=\"Ordner06\" width=\"609\" height=\"453\" border=\"0\" \/><\/p>\n<p>Nach Best\u00e4tigung der Benutzerkontensteuerung l\u00e4uft der ganze Prozess mit administrativen Berechtigungen und weitere Abfrage der Benutzerkontensteuerung entfallen. Man kann also auf alle Dateien, f\u00fcr die der Administrator Zugriffsrechte hat, zugreifen und diese auch manipulieren (umbenennen, l\u00f6schen, verschieben). Und das Tolle daran: Solange keine Dialogfeld mit einer Zugriffsverweigerung angezeigt und die Benutzerkontensteuerungsabfrage best\u00e4tigt wird, werden die NTFS-Zugriffsberechtigungen der \"angefassten\" Dateisystemobjekte auch nicht ver\u00e4ndert.\u00a0 Man kann also arbeiten, ohne am NTFS-Dateisystem und dessen ACLs Spuren zu hinterlassen.<\/p>\n<p>Das kann ganz interessant werden, erspart es einem doch riesige Klimmz\u00fcge. Wenn ich Systemordner inspizieren m\u00f6chte, kann ich das risikolos tun. Einfach die Ordner im alternativen Dateimanager anw\u00e4hlen. Wird dieser angezeigt, habe ich gewonnen. Verweigert Windows den Zugriff, wei\u00df ich, dass ich tunlichst den Finger von diesem Ordner lassen sollte.<\/p>\n<p>Ruft man die Registerkarte <em>Pfad <\/em>des Eigenschaftenfensters eines \u00f6ffentlichen Ordners im Explorer unter einem Benutzerkonto auf, zeigt diese nur den Pfad aus nachfolgendem Screenshot. Um den Pfad des Ordners zu verschieben (was ich aber \u2013 wegen der m\u00f6glichen Kollateralsch\u00e4den \u2013 nicht empfehle), br\u00e4uchte man die entsprechenden Schaltfl\u00e4chen, die sich z.B. auf der Registerkarte <em>Pfad <\/em>eines normalen Benutzerordners finden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Publi-Folder-Move0\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/11\/Publi-Folder-Move0_thumb.jpg\" alt=\"Publi-Folder-Move0\" width=\"359\" height=\"445\" border=\"0\" \/><\/p>\n<p>Und unter [<a href=\"https:\/\/borncity.com\/blog\/2013\/12\/02\/windows-8-1-ffentliche-ordner-verschieben\/\">a1<\/a>] hatte ich den Kniff verraten, wie man unter Windows 8.1 im abgesicherten Modus bootet. Dann werden auch bei den \u00f6ffentlichen Ordnern die ben\u00f6tigten Schaltfl\u00e4chen zum Verschieben auf der Registerkarte <em>Pfad <\/em>angezeigt. Wie bereits in einem Benutzerkommentar im betreffenden Artikel angemerkt, kann man sich diesen ganzen Zinnober des abgesicherten Windows-Starts sparen. Einfach einen alternativen Dateimanager \u00fcber <em>Als Administrator ausf\u00fchren <\/em>aufrufen, den \u00f6ffentlichen Ordner per Rechtsklick anw\u00e4hlen und den Kontextmen\u00fcbefehl <em>Eigenschaften <\/em>anw\u00e4hlen. Dann wird das Eigenschaftenfenster des Ordners durch Windows eingeblendet \u2013 und auf der Registerkarte <em>Pfad <\/em>finden sich Schaltfl\u00e4chen zum Verlagern des Ordners. Unter [a3] geht die Tage noch ein Blog-Beitrag online, der zeigt, wie ich mit Hilfe eines alternativen Dateimanagers einen als \"unl\u00f6schbar\" geltenden Ordner doch noch von der Platte putzen konnte.<\/p>\n<blockquote><p>Anmerkung: Die alternativen Dateimanager setzen meist auf rudiment\u00e4ren API-Funktionen von Windows auf. Dadurch sind die Windows-Funktionen\u00a0 wie Eigenschaftenfenster mit den Registerkarten wie Allgemein, Sicherheit, Pfade etc. zugreifbar. Hat nat\u00fcrlich auch den Effekt, dass versteckte Systemdateien nur dann im alternativen Dateimanager angezeigt werden, wenn diese Option in den Ordneroptionen freigegeben wurde.<\/p>\n<p>Und die portablen Dateimanager haben noch einen Vorteil \u2013 da sie nicht installiert werden m\u00fcssen, lassen sie sich in einer Windows PE-Wiederherstellungsumgebung einsetzen. Zumindest der a43-Dateimanager l\u00e4uft unter Windows PE \u2013 so dass auch dort eine komfortable Funktion zur Dateibearbeitung verf\u00fcgbar ist (siehe [<a href=\"https:\/\/borncity.com\/blog\/2013\/02\/20\/notfallhilfe-mit-windows-pe-falls-windows-8-nicht-startet\/\">a4<\/a>, <a href=\"https:\/\/borncity.com\/blog\/2012\/12\/08\/windows-pe-4-0-diese-programme-laufen\/\">a5<\/a>]).<\/p>\n<p><strong>Nachtrag:<\/strong>\u00a0Die portablen Dateimanager, wie der A43, werden zwischenzeitlich nicht mehr weiter entwickelt. Wie es mit\u00a0dem Freecommander ausschaut, wei\u00df ich nicht. Ein Kommentar reklamiert, dass die Tools mit Adware verseucht sind &#8211; kann und werde ich nicht kontinuierlich \u00fcberpr\u00fcfen. Die Verlinkungen sind zwischenzeitlich entfernt. Jeder Nutzer ist selbst daf\u00fcr verantwortlich, die Tools entsprechend mit Malware- und Adware-Scannern zu \u00fcberpr\u00fcfen. Ich pers\u00f6nlich verwende zwischenzeitlich den Explorer ++.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\na1: <a href=\"https:\/\/borncity.com\/blog\/2013\/12\/02\/windows-8-1-ffentliche-ordner-verschieben\/\">Windows 8.1: \u00d6ffentliche Ordner verschieben<\/a><br \/>\na2: <a href=\"https:\/\/borncity.com\/blog\/2011\/04\/29\/explorer-als-administrator-ausfhren\/\">Explorer als Administrator ausf\u00fchren<\/a><br \/>\na3: <a href=\"https:\/\/borncity.com\/blog\/2014\/01\/30\/windows-ordner-mit-schloss-markiert-und-unlschbar\/\">Windows: Ordner mit Schloss markiert und unl\u00f6schbar<\/a><br \/>\na4: <a href=\"https:\/\/borncity.com\/blog\/2013\/02\/20\/notfallhilfe-mit-windows-pe-falls-windows-8-nicht-startet\/\">Notfallhilfe mit Windows PE, falls Windows 8 nicht startet<\/a><br \/>\na5: <a href=\"https:\/\/borncity.com\/blog\/2012\/12\/08\/windows-pe-4-0-diese-programme-laufen\/\">Windows PE 4.0: Diese Programme laufen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Beim Zugriff auf Dateien und Ordner, die auf NTFS-Datentr\u00e4gern liegen, ben\u00f6tigt man als Benutzer entsprechende Zugriffsberechtigungen. Das f\u00fchrt dazu, dass Benutzer h\u00e4ufiger die Benutzerkontensteuerung sehen und die Zugriffe auf NTFS-Dateisystemelemente \u00fcber das Administratorkonto freigeben m\u00fcssen. In diesem Blog-Beitrag m\u00f6chte ich &hellip; <a href=\"https:\/\/borncity.com\/blog\/2014\/01\/28\/dateimanager-mit-administrativen-rechten-ausfhren\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[143],"tags":[3125,3126,4351,3288],"class_list":["post-145812","post","type-post","status-publish","format-standard","hentry","category-tipps","tag-dateimanager","tag-ntfs-zugriffsberechtigungen","tag-tipp","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/145812","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=145812"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/145812\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=145812"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=145812"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=145812"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}