Administratoransicht ALLE zugeordneten Laufwerke

11

Nach meinem Verständnis der Sicherheit sollte ein Administrator in der Lage sein, alle Verbindungen zu und von einem Computer anzuzeigen - genauso wie er alle Prozesse / Eigentümer, Netzwerkverbindungen / Besitzprozesse anzeigen kann. Windows 8 scheint dies jedoch deaktiviert zu haben.

Als Administrator, der in Win Vista + eine erhöhte Version ausführt, erhalten net useSie alle zugeordneten Laufwerke zurück, die als nicht verfügbar aufgeführt sind. In Windows 8 gibt derselbe Befehl, der an einer Eingabeaufforderung mit erhöhten Rechten ausgeführt wird, "Es sind keine Einträge in der Liste vorhanden" zurück. Das Verhalten ist für Powershell identisch Get-WmiObject Win32_LogonSessionMappedDisk.

Eine Problemumgehung für dauerhafte Zuordnungen ist das Ausführen Get-ChildItem Registry::HKU*\Network*. Dies schließt keine temporären Zuordnungen ein (in meinem speziellen Beispiel wurde es über den Explorer in einem Administratorkonto erstellt und ich habe "Bei Anmeldung erneut verbinden" nicht ausgewählt).

Gibt es eine direkte / einfache Möglichkeit für den Administrator, Verbindungen eines Benutzers anzuzeigen (kurz vor einem Skript, das in jedem Benutzerkontext ausgeführt wird)? Ich habe gelesen, dass einige Programme nicht auf Netzwerkspeicherorte zugreifen können, wenn die Benutzerkontensteuerung aktiviert ist, aber ich denke nicht, dass dies besonders gilt.

Ich habe diese Antwort gesehen, aber sie behandelt immer noch nicht nicht persistente Laufwerke. Wie kann ich feststellen, welche Netzwerklaufwerke Benutzer zugeordnet haben?

command-line-interface windows-8 uac mappeddrive forensics kskid19
quelle
Hilft das Powershell Cmdlet Get-SmbMapping?
Ryan Ries
Nein, gleiches Ergebnis. Ich habe es gestern Abend auch auf Win7 getestet (falsche Version von Powershell) und es liefert die gleichen Ergebnisse, wenn Sie von einem Standardbenutzer eine erhöhte Eingabeaufforderung erhalten.
kskid19
Ein Befehl mit einer ausführlicheren Ausgabe ist wmic netuse. Sie möchten dies wahrscheinlich in eine Datei schreiben und als durch Tabulatoren getrennte Werte öffnen.
Jason
Aus Sicherheitsgründen ist eine Liste von Zuordnungen nutzlos. Man kann schließlich direkt über den UNC-Pfad auf diese Freigaben zugreifen, ohne sie jemals zuzuordnen.
RomanSt

Antworten:

4

Wenn unter Windows 7 die Benutzerkontensteuerung aktiviert ist und Sie die Eingabeaufforderung mit "Als Administrator ausführen" öffnen, werden die zugeordneten Laufwerke ebenfalls nicht angezeigt. Unter Windows 8 werden Sie feststellen, dass Sie auch bei deaktivierter Benutzerkontensteuerung "Als Administrator ausführen" müssen.

Der Grund, warum der Administrator die zugeordneten Laufwerke nicht sieht, wird in dem von Ihnen verlinkten Technet-Artikel erläutert . Kurz gesagt, Sie werden nur mit einem Administrator-Token ausgeführt, und die zugeordneten Laufwerke werden dem Standardbenutzertoken zugewiesen. Windows 7 mit deaktivierter Benutzerkontensteuerung führt die Eingabeaufforderung mit beiden Token aus.

Die Auflösung in diesem Artikel funktioniert auch mit Windows 8. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, erstellen Sie einen DWORD-Wert für EnableLinkedConnections , setzen Sie ihn auf 1 und starten Sie ihn neu.

Administrator-Eingabeaufforderung

Jason
quelle
Hiermit können Sie die Laufwerke anzeigen, wenn Sie gleichzeitig Administrator des Systems und Benutzer sind. Was ist mit dem Anzeigen nicht persistenter Verbindungen eines Benutzers in einem System / Netzwerk? (Deshalb habe ich hier anstelle von Superuser gefragt)
kskid19