{"id":192175,"date":"2017-07-09T19:01:03","date_gmt":"2017-07-09T17:01:03","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=192175"},"modified":"2017-07-09T19:03:46","modified_gmt":"2017-07-09T17:03:46","slug":"windows-10-merkwrdigkeit-default-profil-mit-vollzugriff","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/07\/09\/windows-10-merkwrdigkeit-default-profil-mit-vollzugriff\/","title":{"rendered":"Windows 10-Merkwürdigkeit: default-Profil mit Vollzugriff"},"content":{"rendered":"

Heute noch eine Merkw\u00fcrdigkeit, die Blog-Leser Markus bei Windows 10 aufgefallen ist. Der Profilordner default <\/em>besitzt recht merkw\u00fcrdige Zugriffsberechtigungen. Ich stelle das Thema hier mal zur Diskussion, vielleicht hat jemand eine schl\u00fcssige Erkl\u00e4rung. <\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"In Windows wird ja standardm\u00e4\u00dfig der Profilordner C:\\Users\\Default<\/em> angelegt. Das Betriebssystem verwendet den Inhalt dieses Profilordners, wenn ein neuer Benutzer angelegt wird. Es wird einfach der Inhalt von Default <\/em>f\u00fcr den neuen Benutzer kopiert. Blog-Leser Markus K. schreib mir vor einiger Zeit folgendes: <\/p>\n

\n

unter 1607 habe ich folgendes (feature?) entdeckt:
C:\\Users\\Default hat die Berechtigung \"ERSTELLER-BESITZER\" mit Vollzugriff! <\/p>\n<\/blockquote>\n

Als ich die Mail las, h\u00e4tte ich jetzt angenommen, dass nur Administratoren Vollzugriff auf diesen Profilordner besitzen und normale Nutzer ausgesperrt bleiben. <\/p>\n

Nachgeschaut \u2013 so sieht es aus<\/h2>\n

Ich habe ein Windows 10 Version 1607-System in einer virtuellen Maschine gebootet und die Zugriffsberechtigungen f\u00fcr den Profilordner C:\\Users\\Default<\/em> angesehen.<\/p>\n

\"Zugriffsberechtigungen\"<\/p>\n

Obiger Screenshot zeigt die Zugriffsberechtigungen mit Vollzugriff f\u00fcr ERSTELLER-BESITZER. Bei der Gruppe Benutzer <\/em>ist scheinbar nur Lesen und Ausf\u00fchren zul\u00e4ssig. Aber es gibt einen zweiten Eintrag Speziell<\/em>, der diese Berechtigungen \u00fcberschreiben kann. <\/p>\n

Ich habe dann mal probiert und im Explorer unter einem Standard-Benutzerkonto auf den Profilordner C:\\Users\\Default<\/em> zugegriffen. Dabei war ich in der Lage, sowohl lesend als auch schreibend den Profilordner zu manipulieren. <\/p>\n

Markus K. schrieb mir in einer zweiten Mail: In 1703 scheint das behoben zu sein. Derzeit stellt sich mir die Frage ob das ein \"bekanntes\" Problem ist, oder ob still und heimlich behoben wurde?<\/em> <\/p>\n

Ich habe dann versuchsweise meine Testmaschine mit dem Windows 10 Creators Update (Version 1703) gebootet und einen Standardbenutzer eingerichtet. Auch dort konnte ich schreibend auf die Profilordner C:\\Users\\Default<\/em> zugreifen. Die Kontrolle der Zugriffsberechtigungen ergab dann folgendes.<\/p>\n

<\/p>\n

Der Besitzer des Profilordners ist das System, und der Eintrag Jeder <\/em>hat nur eingeschr\u00e4nkte Zugriffsrechte. So gut aus. Dann habe ich mir die Zugriffsberechtigungen von Unterordnern angesehen. Hier der Unterordner default\\Documents<\/em>.<\/p>\n

\"Zugriffsberechtigungen<\/p>\n

Der Benutzer auf dieser Maschine hat wohl spezielle Berechtigungen, die ich mir dann \u00fcber die Schaltfl\u00e4che Erweitert <\/em>anzeigen lassen wollte. Da bekam ich folgendes Dialogfeld angezeigt.<\/p>\n

\"Berechtigungsfehler\"<\/p>\n

Fand ich schon merkw\u00fcrdig, aber nach Bet\u00e4tigen der OK-Schaltfl\u00e4che kam ich in die Anzeige der Berechtigungen. Diese sehen beim Ordner Documents <\/em>folgenderma\u00dfen aus. <\/p>\n

<\/p>\n

\u00dcber die Registerkarte Effektiver Zugriff <\/em>habe ich mir dann mal angesehen, welche Berechtigungen wirklich vorliegen.<\/p>\n

<\/p>\n

Ich kann also als Standardbenutzer lesend auf die Ordner des Profils default <\/em>zugreifen und habe in den Unterordnern sogar explizit die M\u00f6glichkeit, Dateien und Ordner zu erstellen. <\/p>\n

Denkfehler oder nur unsch\u00f6n?<\/h2>\n

Jetzt kommen wir zu der Stelle, wo ich die aktuelle Beobachtung zur Diskussion stelle. F\u00fcr mich sieht es so aus, als ob jeder Benutzer einer Windows 10-Maschine nach Lust und Laune im Profilordner default <\/em>herum fuhrwerken kann. Der Ordner ist zwar versteckt, aber das ist schnell in der Anzeige des Explorer aktiviert. Blog-Leser Markus schreibt denn auch: <\/p>\n

\n

Herrlich wenn nun Benutzer in einer Laborumgebung hier Daten ablegen und ein neuer Benutzer kommt.<\/em> <\/p>\n<\/blockquote>\n

Und auf meine Nachfrage pr\u00e4zisierte er dann:<\/p>\n

\n

Mit den \"kaputten\" ACLS ist das doch ein Problem, da hier z.b. in Word bei \"speichern unter\" und der Auswahl (linke Spalte) Desktop tats\u00e4chlich auf C:\\Users\\Default\\Desktop gezeigt wird.<\/p>\n

In [Windows 10 Version] 1703 gibt es z.b den Ordner C:\\Users\\Default\\AppData\\Roaming\\Microsoft\\Windows\\
Recent\\AutomaticDestinations <\/p>\n

samt Inhalt nicht mehr. Diese Kombination kann in einem Laborbetrieb Datenschutzrechtlich h\u00f6chst bedenklich sein. Dazu habe ich noch folgendes gefunden<\/a>. Es tritt nicht auf jedem System auf, was also nur bei einer gewissen empirischen Masse zu solchen Effekten f\u00fchrt.<\/p>\n<\/blockquote>\n

Beim Lesen des oben verlinkten Microsoft-Beitrags, wo man den Effekt, dass Desktop-Elemente nicht zugreifbar sind, fiel mir eine Episode aus den Microsoft Answers-Foren auf. Beim Upgrade von Windows 10-Systemen schlagen immer wieder Nutzer auf, die nach dem Upgrade nicht mehr auf Dateien im Benutzerprofil oder auf dem Desktop zugreifen k\u00f6nnen und Administratorberechtigungen ben\u00f6tigen. Irgend etwas ist da faul oder zumindest unsauber gel\u00f6st. Oder habe ich da einen (Gedanken-)Fehler begangen?<\/p>\n

\n

PS: Ich habe aktuell noch weitere Hinweise von anderen Nutzern auf \u00e4hnliche Ungereimtheiten, die ich in den kommenden Tagen mal in Blog-Beitr\u00e4gen thematisieren m\u00f6chte.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Heute noch eine Merkw\u00fcrdigkeit, die Blog-Leser Markus bei Windows 10 aufgefallen ist. Der Profilordner default besitzt recht merkw\u00fcrdige Zugriffsberechtigungen. Ich stelle das Thema hier mal zur Diskussion, vielleicht hat jemand eine schl\u00fcssige Erkl\u00e4rung.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,4378],"class_list":["post-192175","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=192175"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192175\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=192175"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=192175"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=192175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}