Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen am Beispiel von MusicMatch Jukebox.

 


Benötigte Tools:

-          Registry Monitor „regmon.exe“ von Sysinternals

-          File Monitor „filemon.exe“ von Sysinternals

-          Runas.exe, in Windows 2000 integriert.

 

 

Fehlermeldung bei Programmstart als Benutzer:
 

 

 

Vorgehensweise:

 

1.)    Anmeldung als Benutzer, z.B.: „Asterix“ und start der regmon.exe per runas, oder per SHIFT+RECHTEMAUSTASTE => „Ausführen als …“ ADMINISTRATOR.

 

-    Da das Programm selber Vollzugriff auf die Registry benötigt, um alle Zugriff protokollieren zu können, muss es als Administrator ausgeführt werden.

-    Options => Filter/Highlight setzten: Protokolliere alle „ACCDENIED“, würde man keinen Filter definieren, so würde man von der Flut der Zugriffe auf die Registry erschlagen und man müsste erst mühsam die Abschnitte heraussuchen auf die der Benutzer keinen Zugriff hatte. Wenn man das ein paar Mal gemacht hat, bekommt man schnell heraus, dass diese in der Spalte „RESULT“ ein „ACCDENIED“  stehen haben. Spätestens dann fängt man an mit den Filtern zu arbeiten.

 

 

2.)    Start von MusicMatch Jukebox und Protokollierung der nicht erlaubten Zugriffe.



Es stellt sich sehr schnell heraus, dass der Benutzer im Pfad HKLM\Software\MusicMatch\MusicMatch Jukebox\4.0 und diversen darunter liegenden Pfaden keine Schreib-Rechte hat um für das Programm nötige Informationen zu hinterlegen

3.)   Jetzt startet man regedt32.exe (ab Windows XP gibt es nur noch regedit) ebenfalls über runas, um als Administrator im oben angegebenen Pfad die entsprechenden Berechtigungen zu setzten. Die Vererbbaren Übergeordneten Rechte werden kopiert und der entsprechenden Sicherheits- Gruppe wird ab diesem Pfad Vollzugriff gewährt. Dieses Recht sollte auch über „Erweitert“ für die darunter liegenden Pfade und Values übernehmen

4.)    Dieses Spiel wiederholt sich bis regmon keine ACCDENIED mehr anzeigt.

5.)    Jetzt ist zwar das Protokoll vom regmon leer, dafür erscheint jetzt folgende Fehlermeldung:

6.)    Das, was uns jetzt noch an der Ausführung des Programms hindert sind noch die nötigen Dateiberechtigungen.

 

-          Starten von filemon.exe per runas als Administrator => Filter setzen auf „C:\PROGRAMME“ im ersten Durchlauf und zur Sicherheit noch mal in %SYSTEMROOT%, wobei „c:\programme“ hier im Beispiel stellvertretend steht für das Installationsverzeichnis, des entsprechenden Programms.




Ergebnis vom File Monitor

 

-          Für MusicMatch Jukebox, trifft es nur Dateien unterhalb des Programm-Installationsordners, aber diverse Dateien greifen noch auf *.ini Dateien zurück, oder anderen Dateien, die oftmals im %systemroot% abgelegt sind. Man kann davon ausgehen, dass es in den meisten Fällen reicht, dem Benutzer für den Programm Ordner wenigstens „ÄNDERN“ Rechte zu geben.

 

7.)    Nachdem ihr euch als Administrator angemeldet habt, die NTFS Berechtigungen vergeben wurden, sollte jetzt unser Benutzer Asterix in der Lage sein die Software ohne Fehlermeldung zu benutzen.

 

8.)    Mit dem Wissen um die nötigen Rechte in der Registry und dem Dateisystem ist es ein Leichtes dieses für alle Benutzer in einer Domänen zentral zu vergeben und zu verwalten. Man muss nicht wie in klassischen Management-By-Turnschuh Situationen die Rechte per Hand an jeder Workstation anpassen, sondern dafür gibt es in den Gruppenrichtlinien die Punkte: Dateisystem und Registrierung. Ein Howto liegt hier: „Zentrale Vergabe lokaler Berechtigungen“   



(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright