{"id":226367,"date":"2019-12-22T00:47:00","date_gmt":"2019-12-21T23:47:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226367"},"modified":"2019-12-21T22:25:16","modified_gmt":"2019-12-21T21:25:16","slug":"windows-server-2016-fehler-in-den-sicherheitsberechtigungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/22\/windows-server-2016-fehler-in-den-sicherheitsberechtigungen\/","title":{"rendered":"Windows Server 2016: Fehler in den Benutzerprofil-Sicherheitsberechtigungen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>[<a href=\"https:\/\/borncity.com\/win\/?p=12415\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Blog-Leser Martin Feuerstein hat mich in einem Kommentar auf einen Fehler in den Sicherheitsberechtigungen von Windows Server 2016 hingewiesen, den ich hier in Form eines Blog-Beitrags wiedergebe.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/06c87d1139ad41ef94aa3d4f3631d159\" width=\"1\" height=\"1\"\/>So steht die Information aus <a href=\"https:\/\/borncity.com\/blog\/diskussion-allgemeines\/#comment-81861\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Kommentar<\/a> (danke daf\u00fcr) eventuell noch etwas l\u00e4nger im Fokus, wird von Dritten gelesen, und es es kann jemand nachvollziehen bzw. best\u00e4tigen.<\/p>\n<h2>Umgebung: Windows Server 2016 und Terminalserver<\/h2>\n<p>Die Umgebung von Martin ist ein Windows Server 2016 mit deutschen Spracheinstellungen (das Problem gibt es aber auch in der englischen Fassung). Auf diesem werden Windows Terminalserver f\u00fcr die Benutzer verwendet. <\/p>\n<p><img decoding=\"async\" title=\"Windows Server 2016 Version\" alt=\"Windows Server 2016 Version\" src=\"https:\/\/i.imgur.com\/BPC8SHt.jpg\"\/><\/p>\n<h3>Das Problem: Fehler in den Sicherheitsberechtigungen<\/h3>\n<p>Martin schreibt, dass es einen Fehler in den Sicherheitsberechtigungen von Windows Server 2016 g\u00e4be. Bei der Einf\u00fchrung neuer Terminalserver mit Windows Server 2016 wurden verschiedenen Benutzern mit neuen Benutzerprofilen Dateien anderer Benutzer angezeigt (sichtbar am Eigent\u00fcmer der jeweiligen Datei). <\/p>\n<p><a href=\"https:\/\/i.imgur.com\/1ZLqQqD.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"User Profil Berechtigungen\" alt=\"User Profil Berechtigungen\" src=\"https:\/\/i.imgur.com\/1ZLqQqD.jpg\" width=\"637\" height=\"432\"\/><\/a>(Falsche Berechtigungen)<\/p>\n<p>Die Ursache liegt darin, dass Sicherheitsberechtigungen in allen Unterordnern des <em>Default<\/em>-Profils, also Desktop, Dokumente, Musik etc., fehlerhaft gesetzt sind (siehe obiger Screenshot). <\/p>\n<p><a href=\"https:\/\/i.imgur.com\/t0fGGpp.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Desktop-Berechtigungen\" alt=\"Desktop-Berechtigungen\" src=\"https:\/\/i.imgur.com\/t0fGGpp.jpg\" width=\"630\" height=\"436\"\/><\/a><br \/>(Desktop-Berechtigungen)<\/p>\n<p>Der vorhergehende Screenshot zeigt, dass die Nutzer Dateien erstellen, schreiben und \u00e4ndern k\u00f6nnen. <\/p>\n<p><a href=\"https:\/\/i.imgur.com\/ruTxAnk.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Berechtigungen korrekt\" alt=\"Berechtigungen korrekt\" src=\"https:\/\/i.imgur.com\/ruTxAnk.jpg\" width=\"641\" height=\"434\"\/><\/a><br \/>(Berechtigungen korrekt)<\/p>\n<p>Obiger Screenshot zeigt die Berechtigungen von <em>Documents<\/em> auf einem System, wo keine Probleme auftreten. Die falsch gesetzten Berechtigungen haben folgende Auswirkungen:<\/p>\n<ul>\n<li>Benutzer erhalten die Berechtigung zum Erstellen von Dateien und Ordnern.  <\/li>\n<li>Au\u00dferdem erscheint beim \u00d6ffnen des <em>Eigenschaften<\/em>-Dialogfeld die Fehlermeldung, dass die Reihenfolge der Sicherheitsberechtigungen fehlerhaft sei. <\/li>\n<\/ul>\n<p><img decoding=\"async\" title=\"Fehlermeldung Berechtigungen\" alt=\"Fehlermeldung Berechtigungen\" src=\"https:\/\/i.imgur.com\/IGJnXGC.jpg\"\/><\/p>\n<ul>\n<li>Verschiedene Programme, darunter Microsoft Office und der PDF-Drucker des Foxit-Readers bieten den Desktop des <em>Default User<\/em> als Speicherort an, wenn das Dialogfeld zur Dateiauswahl ge\u00f6ffnet wird. <\/li>\n<\/ul>\n<p>Martin fasst es so zusammen: Bereits umgestellte Benutzer haben beim Speichern nicht aufgepasst, so dass die Dateien auf dem Desktop des <em>Default User<\/em> abgelegt wurden. Bei den nachfolgend umgestellten Benutzern wurde das <em>Default User<\/em>-Profil als Vorlage kopiert, so dass diesen die fremden Dateien vom <em>Default<\/em>-Desktop auf ihren Desktop im Benutzerprofil kopiert bekamen.  <\/p>\n<blockquote>\n<p>Martin schreibt, dass das Problem bei einem englischsprachigen Windows Server 2016 auch auftritt. In Windows Server 2019 und Windows 10 1909 sind diese Extra-Berechtigungen, laut Martin nicht vorhanden. <\/p>\n<\/blockquote>\n<h2>Die Folgen dieses Verhaltens<\/h2>\n<\/p>\n<p>L\u00e4sst man sich die Folgen dieser fehlerhaften Konfiguration durch den Kopf gehen, haben IT-Verantwortliche ein Problem. Martin benennt beispielsweise folgende Szenarien.<\/p>\n<ul>\n<li>ein Benutzer k\u00f6nnte versehentlich gesch\u00fctzte Daten anderen Benutzern mit neuen Profilen zug\u00e4nglich machen  <\/li>\n<li>ein Benutzer k\u00f6nnte vors\u00e4tzlich verst\u00f6rende Daten f\u00fcr neue Benutzer bereitstellen  <\/li>\n<li>ein Benutzer (ohne Admin-Rechte!) k\u00f6nnte bei neu erzeugten Profilen f\u00fcr Administratoren (und Dom\u00e4nen-Admins!) ein Ei ins Nest legen<\/li>\n<\/ul>\n<p>Gerade der letztgenannte Punkt ist ein Sicherheitsproblem, da der Benutzer zum Beispiel eine Verkn\u00fcpfung zu einem sch\u00e4dlichen Skript in den Autostart-Ordner des Startmen\u00fcs ablegen k\u00f6nnte. <\/p>\n<h2>Es gibt eine L\u00f6sung<\/h2>\n<p>Martin Feuerstein hat in seinem Kommentar gleich die L\u00f6sung mitgeliefert, mit der Administratoren die Berechtigungen f\u00fcr den Default-Profilordner zur\u00fccksetzen. Dazu eine administrative Eingabeaufforderung \u00f6ffnen und den nachfolgenden Befehl eintippen:&nbsp; <\/p>\n<p>ICACLS c:\\users\\default\\* \/T \/Q \/C \/RESET  <\/p>\n<p>Die in obigem Befehl aufgef\u00fchrten Parameter sind im Blog-Beitrag <a href=\"https:\/\/thesolving.com\/server-room\/how-to-reset-ntfs-permissions-with-icacls\/\" target=\"_blank\" rel=\"noopener noreferrer\">How to reset NTFS permissions with ICACLS<\/a> von Is Solving beschrieben.  <\/p>\n<p>An dieser Stelle nochmals danke an Martin Feuerstein f\u00fcr seine Beschreibung und Analyse samt Fix. An euch die Frage: Ist das schon jemand aufgefallen? Und noch brennender interessiert die Frage, ob der Effekt auch bei anderen fremdsprachigen Oberfl\u00e4chen (franz\u00f6sisch, niederl\u00e4ndisch etc.) auftritt. Martin schrieb mir im Nachgang, dass er das Verhalten an einem englischsprachigen Windows Server 2016 auch feststellen konnte. Ich stelle den Beitrag auch mal in den englischsprachigen Blog \u2013 vielleicht ergibt sich da noch eine Erkenntnis.  <\/p>\n<blockquote>\n<p>Anmerkung von Martin: Das Default-Profil ist nicht angepasst. Die fehlerhaften Berechtigungen konnte er an anderen Windows Server 2016, auch ohne Remotedesktop-Rolle, in einer anderen Umgebung nachvollziehen. <\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]Blog-Leser Martin Feuerstein hat mich in einem Kommentar auf einen Fehler in den Sicherheitsberechtigungen von Windows Server 2016 hingewiesen, den ich hier in Form eines Blog-Beitrags wiedergebe.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[4328,4380],"class_list":["post-226367","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-sicherheit","tag-windows-server-2016"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226367","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=226367"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226367\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=226367"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=226367"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=226367"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}