[Talán megértve :) ] WIN 7 file jogosultság gond (vagy valami más?)

Microsoft Windows

Win 7 Prof SP1 32bit, inranetes gép.

Van egy kötelezően használt program, amit rendszergazdaként kell futtatni (a történet külön témát érdemelne). Policy miatt persze a userek korlátozottak, ebben az egy esetben a program (de csak az) rendszergazdaként fut. Vártuk az ebből eredő gondokat, de ma reggel azért lestem:

Adott egy könyvtár, ahová a fent említett program dolgozik (ja, csak oda, ráadásul a Program Files alá, fixen...). Módosítottak valamit, csináltak egy újabb kimenetet (xls), majd ezt a kimenetet szerették volna kinyomtatni, majd továbbküldeni. A mezei userként futtatott TC-ben az állomány dátuma még a régi állapotot mutatta, de ha megnyitották (Excel, Libre stb.), akkor a tartalom már az új volt, a módosítás utáni. Ha TC-ben átmásoltuk pld. egy hálózati meghajtóra, akkor azt megnyitva egy másik gépen (korlátozott userként) viszont még mindig a régi tartalmat mutatta, és állomány dátuma is a régi. Itt már azért kerekedett a szemem... Rendszergazdaként indítottam egy TC-t. Nos, az adott könyvtárban van egy állomány, legyen példa.xls. Mezei userként tegnapi dátummal, rendszergazdaként mai dátummal látom, de mindkét user csak egy példa.xls-t lát, a sajátját. A mezei useres által látottban a régi adat van, a rendszergazdaiban az új. Persze ha a mezei user TC-ből megnyitja az állományt, akkor már az új tartalmat látja! WTF??.
Most kínomban azt találtam ki, hogy a felhasználó a TC-t is rendszergazdaként futtatja, így talán nem lesz gond.

Szóval ez most az oprendszer "specialitása" vagy a TC is bekavar valamit ?
Lehet, hogy mi barmolunk el valamit (persze az alaphelyzetből fakadóan ez fennállhat). Számomra úgy lenne logikus, hogy minden user az aktuális állapotot látja, a korlátozott meg nem tudja módosítani azt, ami nem az övé és pont. Lehet ennek ártani valamit? Az nem megoldás, hogy a user legyen rendszergazda.

Ui: Korábban ugyanez a program XP alatt hasonló felálással gond nélkül működött.

Előre is köszi a válaszokat.

  • 4738 megtekintés

( mrceeka v | 2015. 02. 17., k – 10:55 )

Úgy tűnik, a Folder Virtualization működésére találtál rá.
Érdemes nézelődni a %userprofile%\appdata\local\virtualstore környékén...

Üdv,
Marci

Bingó... na ma is tanultam valamit.
Bocs a kérdésért, de pár perc gugli egyelőre annyira volt jó, hogy pld. angol nyelvű flame háborúkba csöppenjek a kérdés kapcsán :) Sosem volt igazán barátom a G :) Valamint ezt a "give full access" a usernek nekem picit sánta... nem akarok én neki teljes jogot adni, de tudja azt olvasni, ami ténylegesen ott van!

Szóval hogyan tudom ezt a legfájdalommentesebben kikapcsolni? Azt szeretném, hogy mindeki azt lássa, ami ténylegesen ott van, max akinek nincs joga, az nem tud írni és módosítani oda, ahova tilos. Ez legyen igaz a teljes particióra!

Ne kattints ide!

( nyekhere | 2015. 02. 17., k – 14:37 )

Mint fentebb is kiderült, a Virtual Store/Folder Virtualization a bűnös. Szóval az ok megvan, de a gond nincs megoldva, meg különben is kell a flame :)

Szóval:
Az a véleményem, hogy ez egy igencsak elbaltázott fícsőr, főleg akkor, ha nem lehet egyszerűen kikapcsolni. Korábban is előfordult, csak a post írásakor nem sikerült reprodukálnom, meg kissé hihetetlennek tűnt, így ezért nem mertem leírni, mert nem voltam 100%-ig biztos, hogy megtörtént :) de most megint sikerült összehozni:

A korlátozott user létre tud hozni úgy állományt, hogy a rendszergazda nem látja! Szuper....

Szóval hol lehet kib@xni a pitsába ezt a fícsőrt ?!négY

Ne kattints ide!

Akkor segíts! Leírtam a felállást, gőzöm sincs, hogy mit kinek a tulajdonában pakoljak... nekem ez a filozófia új, mivel határidős munkák vannak, nincs időm olvasgatni, főleg a fenti eset után... mi az hogy egy rendszergazda nem lát egy állományt, teljes könyvtárat stb. (most vettem észre még egy szépséget: Van a Program Files-on belül egy könyvtár, amit csakis kizárólag akkor látok, ha korlátozott userként futtatom a TC-t. Rendszergazdaként futtatott TC-ben nem látszódik, korlátozott user "Saját gép" nem látszódik, rendszergazda "Saját gép" nem látszódik (szóval saját tulajdonban se tudom venni!!), korl. user parancssor NEM látszódik, rendszergazda parancssorban NEM látszódik! Szóval az valószínűleg már nem is létezik, de a fantom másolatot a rendszer odarakja a TC-nek, hogy hadd szopjon csak a user (Az ..\appdata\local\virtualstore-ban ott van). )

De ennek az elkerülésére ne nekem kelljen már konfigurálni a rendszert! Meg akkor is, hogyan? Vegyen a teljes C:-t a rendszergazda saját tulajdonába? Ettől még szerintem nem oldódik meg a problémám, nem?

Mégegyszer:
A user alapvetően korlátozott user. Van egy program, amit viszont rendszergazdaként kell futtatni, mert másképpen nem megy. A program kimenete a Program Files-ba megy (fixen!!). Onnan kellene átmozgatni állományokat, de nem a fantom másolatukat, hanem azt ami tényleg benne van! Mivel a program rendszegazdaként fut (de igaz úgy, hogy alapvetően korlátozott userként vagy bejelentkezve), ezért a kimenete is rendszergazda tulajdonú lesz (vagy mostmár mittudomén). A programot nem cserélhetjük le, mert ha nem szolgáltatunk adatot, szét****** mindenünket. (Az más kérdés, hogy ugyannak a szervezetnek egy másik osztálya meg ezért baxogat, ha valaki rendszergazda gépén...) Tehát mit csináljak?

Marad az, hogy a TC-t is rendszergazdaként futtatja ahhoz, hogy azt a nyomorult állományt át tudja úgy másolni, hogy tényleg az legyen benne, amit elmentett. És imádkozunk, hogy amit már korábban éles jelentésként eddig beküldtünk, abban az az adat volt, amit mi küldeni szerettünk volna, nem valami hulladék...

Ezek után úgy érzem, hogy teljesen jogos, hogy ezt a direkt bekapcsolt "görcsöt" a pokolra kívánjam.

De ezek szerint ki lehet kapcsolni? Hogyan?? Milyen hátrányunk lesz, ha kikapcsoljuk? Vállaljuk! :)

Ne kattints ide!

Vagy az UAC kikapcsolásával, vagy pedig a csoportházirendben valami beállítással szüntetheted meg, vagy azzal, hogy törlöd a felhasználók kapcsolódó virtuális könyvtárait, és megfelelő jogosultságokat állítasz be az eredeti könyvtárra. Nem tudom, ezek közül melyik helytálló, de talán megelőzi a további ... hozzászólásokat.

:)

Gondolom nem csodálod, hogy ha azt mondom, nekem sincs időm arra, hogy a problémádat megoldjam.
Tudok segíteni a megoldás felé vezető úton, de helyetted megcsinálni: nincs lehetőségem.
Amit megnéznék: Application Compatibility Toolkit: http://www.microsoft.com/en-us/download/details.aspx?id=7352
Ebből is a SUA Tool érdekelne (Standard User Analyzer): https://msdn.microsoft.com/en-us/library/windows/desktop/dd744768(v=vs…

E mellett eljátszanék avval, hogy ha törlöm a standard user alatt lévő (vélhetően maszkolt) file-t, nem válik-e láthatóvá az admin alatt létrehozott új (szerintem igen)?
Továbbá megnézném, hogy a standard usernek adott írási jog az adott mappára nem eliminálja-e a File virtualizációt (nem tudom, tán inkább nem).

Ezt nézegetném: https://technet.microsoft.com/en-us/magazine/2007.06.uac.aspx

Az UAC kikapcsolása persze megoldja a problémádat instant, már amennyire a kiégett olvadóbiztosító problémáját megoldja a százas szög.

Üdv,
Marci

Bocs, mivel akkor derült ki, hogy van esélye, hogy xart küldtünk el jelentés gyanánt, így picit paprikásabb volt a hangulatom. Egy kérdést nem sikerült még konkrétan megfogalmaznom:

Ki lehet-e kapcsolni csak ezt a Folder Virtualization dolgot? Akár registry piszkálással. (Igen / Nem elég válasznak)
Az UAC-t én sem akarom bántani, az rendben van.

Ma már nem vagyok a kérdéses gépnél, holnap majd ránézek, meg megnézem a linkeket is, meg kipróbálom a többi javaslatot is.

Ne kattints ide!

http://answers.microsoft.com/en-us/windows/forum/windows_8-security/dis…
E szerint a szál szerint nem aktiválódik a file redirection, csak ha a usernek az adott mappára nincs joga (ahogy fentebb sejtettem).
Ha ez igaz, akkor elegendő írási jogot adni a felhasználóknak az adott mappára.
Persze a már redirektált file-t mindenképp törölném előbb.

Üdv,
Marci

Köszi, ez már "workaroundnak" talán jó lesz, holnap lesz majd a teszt.

Nem tudom, mennyire asztalod a téma, de nem tervez az MS valami konkrétabb megoldást (pld. DisableVirtualStore_all_version.exe :D ) - úgy látom a fórumokon, amiket sikerült eddig elolvasnom (az általad linkeltben is), hogy sokak zsebében hasonlóan kinyílt a bicska, ráadásul leginkább azok esetében, akik picit komolyabban is használják a gépet. Szerintem a fenti .exe egy jó pontot érne sokak szemében :).

Én komoly veszélyforrást is látok a dologban (aztán majd leírjátok, hogy miért nincs igazam :), illetve ki lehet-e használni egyáltalán valami aljas dologra), mert ha jól értem, korlátozott userként akár le is "duplikálhatom" a teljes Windows könyvtárat magamnak (mivel nincs rá irási jogom, ergo bekapcsol a virtualstore), tetszőleges tartalommal. Aztán hívhatom a havert, hogy figyi, itt gubanc van, hozd már helyre, ő meg csak les, hogy egyáltalán hogyan fut ez a rendszer, ha csak egy árva funnybunny.jpg van a c:\windows-ban :).

Tényleg, ha korlátozott userként elindítok valami programot, ami pld. a windows\system32-ből indítana valamit, és abból van "klón" is, akkor mi fog elindulni? Csökkentett módban pld. mit látok?
Hmm, úgy látom, hogyha holnap lesz egy kis időm, akkor már megvan, hogy mikkel fogok szórakozni.

Ne kattints ide!

Ez - ha működik - nem workaround, hanem megoldás.
Szerintem nincs itt fejlesztenivaló: Az ACT tudja, amit kell.
Sima user meg ne irkáljon a /bin-be Unixon se a Program Files-ba Windowson.
Még akkor se, ha régi és/vagy rosszul megírt programot kell használnia.

Üdv,
Marci

"Sima user meg ne irkáljon a /bin-be Unixon se a Program Files-ba Windowson."

Most erre mit írjak... én is ezt szeretném minden tekintetben! (A "régi" rendszer így is működött!) Ennek ellenére az a megoldás, hogy írási jogot adok a mezei usernek a Program Files-ba...szóval izé :) - ezért számomra ez workaround.

Ne kattints ide!

Pontosabban csak a Program Files adott mappájára adsz jogot. Ahova már most is van joga ugyanannak a usernek (és még mi mindenre!), hiszen run as admin-nal futtatja a programost.
És nem a Windows miatt csinálod, hanem az alkalmazás miatt.
Ha meg ACT-vel megcsinálnád, működne és nem sérülne ennyire a security sem.

Üdv,
Marci

Szerinted nem csuklik az alkalmazás készítője? :) Főleg azért, mert azt az infót kaptuk, hogy az új verzió már csak WIN7-n megy, közben kiderült hogy vígan fut még XP-n is. Az egész cirkuszt megspórolhattam volna. De legalább valamenyire képbe kerültem a VirtualStore tekintetében. (Más kérdés, hogy még mindig nem szimpi számomra, gyanítom nem is lesz :) * )
Az ACT-t most töltöm le. Majd megnézem, mire jutok vele. Kösz az eddigi segítséget!

*: probléma (és erre mondhatjuk, hogy szintén nem kimondottan Windows miatti, de azért valami köze csak van hozzá) az, hogy a Total Commander eléggé vadul kezeli a valós és a VirtualStore-ban lévő információt. Ok, a TC nem a legújabb. De valamit csak közöl vele az oprendszer, hogy egy adott pld. Program Filesban lévő könyvtár esetén mit listázzon.

Korlátozott userként pld.

- TC-ben létre tudok hozni könyvtárat a Program Files-on belül, parancssorban nem, "saját gép" is rendszergazda jelszót kér.
- az így létrehozott könyvtárat nem látom sem a "saját gépben", sem a parancssorban egyik felhasználóval sem
- TC-ben tudok az említett könytárba másolni, de csak semleges állományt (pld. exe-t nem enged, ami nem is baj)
- parancssorból copy-val tudok a VirtualStoreba pakolni bármit, amit a TC meg is jelenít, mintha a Program Filesban lenne. Más kérdés, hogyha pld. a notepad.exe-t bemásolom, akkor a TC-ben látom, hogy ott van, de ha indítani akarom, akkor hibaüzenet jön, hogy nincs meg a file :), TC-ből nem is törölhető az állomány.

Meg ilyesmi... most megyek ebédelni :)

Ne kattints ide!

( nyekhere | 2015. 02. 19., cs – 10:38 )

Az elmúlt napok szórakozása közben felfedeztem a spanyolviaszt :) - nem olvastam utána, hogy ilyen értelemben le van-e kommunikálva a működése a VirtualStore-nak. Bízom abban, hogy igen, ezért ez inkább csak ilyen összefoglaló magamnak :)

Tehát én úgy látom, hogy az egész funkció azért lett kitalálva, hogy ne kelljen rendszergazdai jogokkal futtatni semmilyen felhasználói programot, ami pld. XP alatt ezt igényelte. Azaz a korlátozott user nevében indított alkalmazások azt hiszik, hogy tudnak írni a Program Files/Windows stb. tiltott helyekre, és így tudnak működni. És ez a lényeg, ami itt a topikban sem hangzott el: a korlátozott user NEVÉBEN indított ALKALMAZÁS tud írni, nem pedig maga a user! Alkalmazásnak pedig (eddigi tapasztalataim alapján) ebben az esetben csakis a 3rd party cuccok minősülnek, pld. a .batban indított parancsok nem, valamint a windows beépített programjai és rutinjai sem (lásd lentebb,). Itt jön képbe az a szerencsétlen eset, hogy pld. a Total Commander (és minden 3rd party filekezelő) is ilyen alkamazásnak minősül, azaz, ha abban létrehoz valaki valamit pld. a Program Files-on belül, akkor azt csakis a user nevében indított TC-ben fogja látni, "sajátgép", parancssor, más user (akár rendszergazda!) nevében indított bármilyen alkalmazás esetén NEM fogja látni - mivel nincs is ott, csak a user alkalmazása hiszi azt.

Ezáltal az eredeti problémám simán megoldható oly módon, hogy a kérdéses alkalmazást mindenféle fejlesztői javaslat ellenére :) korlátozott userként futtatom. Semmi szükség ATC-re meg egyéb jogosultsági bűvészkedésekre. Amit "beszemetel" a Program Files-ba kimenetként, azt látom a userként futtatott TC-ben is, és minden egyéb más programban...... azaz mégsem! :)

Sajnos pld. az Excel, Notepad és minden olyan alkalmazás, amiben van lehetőség file megnyitásra és erre nem 100%-san saját kódot haszál, itt elbukik, ugyanis a programokból indított "tallózó" nem minősül a user nevében indított alkalmazásnak, így nem láthatóak pld. a Program Filesba íly módon bekerült kimenetek, pld .xls. Persze egy .xls vad példa (hát ilyen nincs, és mégis van!) és nem is az oprendszer hibája. Viszont egészen más a helyzet a konfig állományokkal (amiknek az "új rend" szerint elvileg megint semmi keresnivalójuk ott, de mégis ott vannak), ekkor kezdődhet a rémálom (ezt szerencsére nem kellett végigszórakoznom, ez már csak valóságban leellenőrzött gondolatkísérlet :) ):

1. A program telepítésekor rendszergazdai jogokkal feltelepült, létrehozva magának egy konfig állományt default tartalommal

2. A program normál userként futtatva ezt módosítja (pontosabban a virtuális másolatát módosítja).

3. Valami gebasz van, manuálisan kell módosítani ezt a konfig állományt. Na igen, ez már kihívás :)

3/a : valami olyan 3rd party filekezelővel történik a szerkesztés, amiben még minden "IO műveletet" (nyitás, szerkesztés, mentés) megvalósítottak (Pld. Far Manager): user szerkeszt, ment és örül. (Kezeket fel! Kinek van fent még a gépén? :) )

3/b : user nevében futtatott Total Commanderrel történik a szerkesztés: kezdődő idegbaj, mert a TC a notepadot hívja meg alapértelmezett szerkesztőnek, ami az eredeti állapotot mutatja, annak ellenére, hogy F3 esetén a beépített lister viszont a program által módosított tartalmat mutatja, ráadásul a szerkesztett állományt nincs joga a usernek elmenteni.

3/c : user nevében indított bármilyen más beépített szerkesztési mód (notepad, parancssor) vagy telepített szövegszerkesztő (Office, Ooo, LibreO stb. :) ) használata - user megőrül, mert egyrészt a telepítéskori állapot látszik, valamint nincs joga a mentésre.

3/d : végül kemény legény alapon, rendszergazdaként bármilyen módon módosítódik az állomány - megőrülés a köbön, mert egyrészt ismét az default állapot látszik megnyitáskor, másrészről a userként futtatott program nagy ívben tesz rá, hogy a rendszergizda mit kotyvasztott.

Összegzésképpen: kezdem látni, hogy a funkcióban vannak jó dolgok is, de esetenként az őrületbe kergetheti az embert, tehát a megvalósításra nem adnék ötöst. Az pozitívum, hogy futtatható állományt a korlátozott user semmilyen módon nem tud "bevarázsolni" a Program Files/Windows alá (tehát a fentebb általam felvázolt veszélyforrás tévedés volt), így kártevő elbujtatására minimális a lehetőség. Viszont eléggé "rapszódikus", hogy mi minősül a user nevében futtatott alkalmazásnak.

A gondot meg lehet oldani azzal, hogy a kérdéses usernek írási jogot adunk az érintett könyvtárakra, és akkor nem kell rendszergazdaként futtatnia a programot. De ez igaz volt korábban is. Mivel a VirtualStore működése során a josultság kérdés nem egyszerűen fekete/fehér, így megértem, hogy egyesekben (mint bennem is az elején) felmegy a pumpa, és fröcsögéssel nyitnak a fórumokon. A legfájóbb az lehet az egészben, hogy a rendszergazda látszólag veszít a jogköréből, ez meg milyen dolog már... :).

Ui: ennek lehet, hogy blognak kellett volna lennie....

Ne kattints ide!