Beim Zugriff auf Dateien und Ordner, die auf NTFS-Datenträgern liegen, benötigt man als Benutzer entsprechende Zugriffsberechtigungen. Das führt dazu, dass Benutzer häufiger die Benutzerkontensteuerung sehen und die Zugriffe auf NTFS-Dateisystemelemente über das Administratorkonto freigeben müssen. In diesem Blog-Beitrag möchte ich einen kurzen Blick unter den Teppich werfen und mal beleuchten, was für Folgen das hat und was man besser machen kann. Räumt vielleicht auch so einige Missverständnisse auf.
Anzeige
Worum geht es eigentlich?
NTFS-Datenträger unterstützen ein ausgefeiltes Konzept von Zugriffsberechtigungen auf Ebene der Benutzerkonten. Für jeden Benutzer oder Gruppen lässt sich vorgeben, ob Anwender NTFS-Dateisystemelemente anzeigen, lesen, löschen, kopieren/umbenennen oder deren Inhalte verändern dürfen. Ist man als Anwender unterwegs und will auf Ordner oder Dateien in Windows, ProgramFiles etc. zugreifen, geht dies nur mit administrativen Berechtigungen. Selbst der Zugriff auf die Benutzerordner eines anderen Benutzerkontos erfordern administrative Berechtigungen. Windows zeigt daher ab Windows Vista ein Dialogfeld, welches ähnlich wie nachfolgend gezeigt, aussehen kann.
Im Dialogfeld erscheint der Hinweis, dass der Zugriff verweigert wird, und es wird nach einer administrativen Zustimmung gefragt. Wählt der Benutzer die mit dem Logo eines Schilds gekennzeichnete Schaltfläche Fortsetzen, öffnet sich die Benutzerkontensteuerung. Nach Bestätigung durch den Benutzer (ggf. mit Eingabe eines Administratorkennworts) wird der Zugriff gewährt.
Was ist denn so schlecht daran?
Eigentlich ist es ja eine tolle Sache, dass ich als Benutzer nicht in unzulässiger Weise da an allen möglichen Dateien, die mich nichts angehen, herumfuhrwerken kann. Das NTFS-Dateisystem hat mit seinem Zugriffsrechtekonzept durchaus seine Berechtigung. Allerdings gibt es mindestens zwei Sachen, die stören oder nerven.
Anzeige
- Kopiert man mehrere Dateisystemelemente, kann es passieren, dass das obige Dialogfeld mit der Info über die Zugriffsverweigerung und Aufforderung zur Zustimmung häufiger kommt. Wer fünfzig mal die Schaltfläche Fortsetzen anwählen und die Benutzerkontensteuerung bestätigen muss, ist möglicherweise leicht genervt. Windows bietet zwar im Kopierdialog an, eine Option auf alle Konflikte anzuwenden – das klappt aber bei NTFS-Zugriffsberechtigungen nicht, da aus Sicherheitsgründen bestimmte Abfragen erforderlich sind.
- Und was noch bitterer ist: Stimme ich über die Schaltfläche Fortsetzen und über die Benutzerkontensteuerung dem Zugriff auf das betreffende NTFS-Dateisystem zu, verändert dies die betreffenden Elemente. Windows trägt in den Access Control Listen (ACLs) der betreffenden NTFS-Objekte das jeweils angegebene Benutzerkonto mit den Zugriffsrechten ein. Möchte ich also nur mal kurz den Inhalt eines fremden Ordners inspizieren, artet das also möglicherweise nicht nur in eine Orgie von Nachfragen über das oben gezeigte Dialogfeld aus. Windows setzt anschließend die Zugriffsberechtigungen permanent um – unter dem Konto erhalte ich also permanent den Zugriff auf diese NTFS-Elemente.
Gerade der letztgenannte Punkt ist nicht immer erwünscht. Wenn ich als Benutzer nur mal kurz einen Ordner inspizieren möchte, soll möglicherweise verhindert werden, dass diese Zugriffsberechtigung permanent erteilt wird. Greife ich aber unter einem Benutzerkonto auf die Profilordner eines anderen Benutzerkontos zu, habe ich für alle Zeiten das Zugriffsrecht erteilt bekommen. Nicht immer gewollt!
Und es gibt Fälle, wo es sogar in's Auge geht. Es gibt Ordner, wo mir Windows den Zugriff per Explorer schlicht verweigert. Weiterhin kann der Ansatz sogar zu Fehlfunktionen führen. Wer eine Systemabbildsicherung (Backup) ausführt, findet auf dem Ziellaufwerk einen Ordner WindowsImageBackup. Dieser Ordner ist schreibgeschützt und kann von Anwendern mit Standardberechtigungen nicht eingesehen werden (der Besitzer ist das System). Da sich im Ordner WindowsImageBackup die Sicherungssdateien in virtuellen Disks befinden, liegt natürlich die Versuchung nahe, einfach mal in den Ordner zu schauen. Dies klappt aber nur, wenn man das Dialogfeld, welches den Zugriff verweigert, über die Benutzerkontensteuerung mit administrativen Berechtigungen bestätigt. Und dabei werden die NTFS-Zugriffsberechtigungen des Ordners und der untergeordneten Elemente angepasst.
Ich hatte bei diversen Tests die Situation, dass ich bei feststellen musste, dass sich die so "angefassten" Sicherungen nicht mehr zurücklesen ließen. Ich erhielt in Windows PE beim Versuch, die Systemabbildsicherung zurückzulesen einen Fehlerabbruch. Erst als ich "die Finger von den im Test erzeugten Sicherungsordnern" ließ, klappte es mit der Rücksicherung des Systembackups wieder. Es mag letztlich vielleicht eine andere Ursache gegeben haben, warum bestimmte Backup-Ordner versagten. Aber zumindest blieb bei mir der Verdacht, dass die Umsetzung der NTFS-Zugriffsberechtigungen der Auslöser für diese Probleme war.
Führ ich den Explorer halt mit administrativen Berechtigungen aus …
Ist mir schon klar, dass jetzt ein Cleverle daherkommt und ausführt: Born, alles Kappes – Du rufst den Explorer.exe über den Kontextmenübefehl Als Administrator ausführen auf und gut ist. Und weil das eventuell nicht hinhaut (der Explorer.exe stellt ja auch die Windows-Shell bereit, so dass der Prozess nur mit normalen Rechten läuft), gibt es dann noch den guten Tipp, vorher in den Ordneroptionen das Kontrollkästchen Ordnerfenster in einem eigenen Prozess starten zu markieren (siehe folgender Screenshot).
Klingt gut, sieht auch logisch aus, findet man auch als Tipp im Internet – hat aber den Haken, dass das seit Windows Vista leider nicht mehr funktioniert. Das Programm Explorer.exe kann nicht mit administrativen Berechtigungen laufen. Der Aufruf über Als Administrator ausführen ist zwar möglich – aber Windows verhindert intern das Erteilen administrativer Tokens für den Prozess. Ich habe das kurz im Artikel Explorer als Administrator ausführen angesprochen. Dort ist auch ein Workaround in Form eines Registrierungseingriffs verlinkt. Aber dieser Ansatz ist nicht zu empfehlen, da er das Sicherheitskonzept von Windows aushebelt.
Mach's richtig: Die Alternative sind portable Dateimanager
Aus diesem Grund habe ich mir bereits vor langer Zeit eine Alternative überlegt, die ich auch einsetze. Statt des Explorers verwende ich einfach Dateimanager von Drittherstellern. Im Prinzip könnte jeder Dateimanager eingesetzt werden – ich bevorzuge aber portable Dateimanager, da dann die Installation entfällt. Bei meinen Systemen liegen daher immer ein paar portable Dateimanager wie a43, FreeCommander oder Explorer++ auf einer separaten Festplattenpartition herum. Diese brauchen nicht installiert zu werden und lassen sich per Doppelklick aufrufen. Weil die Dateimanager nichts mit der Windows-Shell bzw. dem Explorer zu tun haben, laufen diese als separater Prozess und können über Als Administrator ausführen aufgerufen werden.
Nach Bestätigung der Benutzerkontensteuerung läuft der ganze Prozess mit administrativen Berechtigungen und weitere Abfrage der Benutzerkontensteuerung entfallen. Man kann also auf alle Dateien, für die der Administrator Zugriffsrechte hat, zugreifen und diese auch manipulieren (umbenennen, löschen, verschieben). Und das Tolle daran: Solange keine Dialogfeld mit einer Zugriffsverweigerung angezeigt und die Benutzerkontensteuerungsabfrage bestätigt wird, werden die NTFS-Zugriffsberechtigungen der "angefassten" Dateisystemobjekte auch nicht verändert. Man kann also arbeiten, ohne am NTFS-Dateisystem und dessen ACLs Spuren zu hinterlassen.
Das kann ganz interessant werden, erspart es einem doch riesige Klimmzüge. Wenn ich Systemordner inspizieren möchte, kann ich das risikolos tun. Einfach die Ordner im alternativen Dateimanager anwählen. Wird dieser angezeigt, habe ich gewonnen. Verweigert Windows den Zugriff, weiß ich, dass ich tunlichst den Finger von diesem Ordner lassen sollte.
Ruft man die Registerkarte Pfad des Eigenschaftenfensters eines öffentlichen Ordners im Explorer unter einem Benutzerkonto auf, zeigt diese nur den Pfad aus nachfolgendem Screenshot. Um den Pfad des Ordners zu verschieben (was ich aber – wegen der möglichen Kollateralschäden – nicht empfehle), bräuchte man die entsprechenden Schaltflächen, die sich z.B. auf der Registerkarte Pfad eines normalen Benutzerordners finden.
Und unter [a1] hatte ich den Kniff verraten, wie man unter Windows 8.1 im abgesicherten Modus bootet. Dann werden auch bei den öffentlichen Ordnern die benötigten Schaltflächen zum Verschieben auf der Registerkarte Pfad angezeigt. Wie bereits in einem Benutzerkommentar im betreffenden Artikel angemerkt, kann man sich diesen ganzen Zinnober des abgesicherten Windows-Starts sparen. Einfach einen alternativen Dateimanager über Als Administrator ausführen aufrufen, den öffentlichen Ordner per Rechtsklick anwählen und den Kontextmenübefehl Eigenschaften anwählen. Dann wird das Eigenschaftenfenster des Ordners durch Windows eingeblendet – und auf der Registerkarte Pfad finden sich Schaltflächen zum Verlagern des Ordners. Unter [a3] geht die Tage noch ein Blog-Beitrag online, der zeigt, wie ich mit Hilfe eines alternativen Dateimanagers einen als "unlöschbar" geltenden Ordner doch noch von der Platte putzen konnte.
Anmerkung: Die alternativen Dateimanager setzen meist auf rudimentären API-Funktionen von Windows auf. Dadurch sind die Windows-Funktionen wie Eigenschaftenfenster mit den Registerkarten wie Allgemein, Sicherheit, Pfade etc. zugreifbar. Hat natürlich auch den Effekt, dass versteckte Systemdateien nur dann im alternativen Dateimanager angezeigt werden, wenn diese Option in den Ordneroptionen freigegeben wurde.
Und die portablen Dateimanager haben noch einen Vorteil – da sie nicht installiert werden müssen, lassen sie sich in einer Windows PE-Wiederherstellungsumgebung einsetzen. Zumindest der a43-Dateimanager läuft unter Windows PE – so dass auch dort eine komfortable Funktion zur Dateibearbeitung verfügbar ist (siehe [a4, a5]).
Nachtrag: Die portablen Dateimanager, wie der A43, werden zwischenzeitlich nicht mehr weiter entwickelt. Wie es mit dem Freecommander ausschaut, weiß ich nicht. Ein Kommentar reklamiert, dass die Tools mit Adware verseucht sind – kann und werde ich nicht kontinuierlich überprüfen. Die Verlinkungen sind zwischenzeitlich entfernt. Jeder Nutzer ist selbst dafür verantwortlich, die Tools entsprechend mit Malware- und Adware-Scannern zu überprüfen. Ich persönlich verwende zwischenzeitlich den Explorer ++.
Ähnliche Artikel:
a1: Windows 8.1: Öffentliche Ordner verschieben
a2: Explorer als Administrator ausführen
a3: Windows: Ordner mit Schloss markiert und unlöschbar
a4: Notfallhilfe mit Windows PE, falls Windows 8 nicht startet
a5: Windows PE 4.0: Diese Programme laufen
Anzeige
Hallo, werter Verfasser.
Sie sollten die Leute vor den von Ihnen empfohlenen Links: "a43, freecommander" warnen. Hiermit holt man sich eine Menge unerwünschter Adware oder Schlimmeres rein: Viel Arbeit ist nötig, die Verunreinigung des Systems, rabiate Einstellungsänderungen usw. wieder rückgängig zu machen. Was nie so ganz gelingt.
mfG ok
Dann sind die Tools zwischenzeitlich durch andere Anbieter übernommen worden. Das kann ich nicht alle per Tage überprüfen – danke für die Info.
PS: Mein Check ergab, dass der FreeCommander clean ist! Den A43 empfehle ich eh nicht mehr, da dessen Entwicklung längst eingestellt wurde.
sollten sie aber
Hola, ich soll also fast 8.000 Artikel hier im Blog samt den Verlinkungen auf Tools sowie die Tools selbst kontinuierlich überprüfen, ob da irgendwo jemand Adware drunter mischt? Und das noch für umme? Während der A43-Dateimanger oder der Freecommander bei Chip, heise & Co. bereitgestellt wird?
Und nur, weil Nutzer das nicht selbst tun? Sorry, ich verweise auf meinen obigen Hinweis, dass jeder für die Tools selbst verantwortlich ist, die er sich aufs System holt.
Ich habe spasseshalber mal den FreeCommander heruntergeladen und überprüfen lassen. Das Tool ist clean! So kann man Blogger auch beschäftigen – aber da streike ich und überlasse euch diese Prüfung.
Ach, das ist gut, dass jetzt wieder was kommt.
So bin ich wieder auf ein guten Blogeintrag von unseren Günter Born gestoßen. Das Problem gibt es nämlich öfters der sich damit beschäftigt.
Nutzer sollten wissen, dass Verlinkungen etc und Programme sich ändern mit der Zeit. Die Butter gab es früher mal auch für weniger und war besser. :)