Windows Server 2008 Symbolische Verknüpfung erstellen, aktualisierte Sicherheitsrichtlinie gibt weiterhin Berechtigungsfehler

7

Windows Server 2008, RC2. Ich versuche, mit dem Befehl mklink einen symbolischen / weichen Link zu erstellen:

mklink /D LinkName TargetDir
e.g. c:\temp\>mklink /D foo bar

Dies funktioniert gut, wenn ich die Befehlszeile als Administrator ausführe. Ich brauche es jedoch auch, um für normale Benutzer zu arbeiten, da ich letztendlich ein anderes Programm (das als Benutzer ausgeführt wird) benötige, um dies tun zu können.

Daher habe ich die lokale Sicherheitsrichtlinie über secpol.msc aktualisiert. Unter "Lokale Richtlinien"> "Verwaltung von Benutzerrechten"> "Symbolische Links erstellen" habe ich der Sicherheitseinstellung "Benutzer" hinzugefügt.

Ich habe den Computer neu gestartet. Es hat immer noch nicht funktioniert. Also habe ich der Richtlinie "Jeder" hinzugefügt. Neustart. Und trotzdem hat es nicht funktioniert.

Was um alles in der Welt mache ich hier falsch? Ich denke, mein Benutzer ist in dieser Box sogar ein Administrator, und wenn ich auch mit dieser aktualisierten Richtlinie eine einfache Befehlszeile ausführe, habe ich immer noch folgende Möglichkeiten:

You do not have sufficient privilege to perform this operation.

Es sieht für mich nicht vielversprechend aus: http://social.technet.microsoft.com/Forums/en-US/itprovistasecurity/thread/cb593ad0-9edc-4cd1-bb67-46c360b45f91

Klingt so, als hätten andere dieses Problem erlebt, und ich habe noch keine Lösung gefunden. Hat da draußen jemand programmgesteuert weiche / sybmolische Links erstellen können?

security windows-server-2008 symbolic-link Matt
quelle
1
Haben Sie Junction anstelle von mklink ausprobiert?
Hallo71
@ Hello71: MKLINK ab Vista ersetzt JUNCTION aus dem Win Server 2003 Resource Kit. Es verfügt über mehr Funktionen für die neuen NTFS-Funktionen (Symlinks).
Paradroid
@ jason404: Ich habe über die junction.exevon Sysinternals von Mark Russinovich gesprochen.
Hallo71
@ Hell071: Oh ja, ich habe es mit LINKD verwechselt. Sowohl LINKD als auch JUNCTION werden jedoch unter Vista / Win7 / 2008/2008 R2 nicht so häufig verwendet wie MKLINK.
Paradroid
Sieht so aus, als müssten Sie möglicherweise mklink /janstelle von / d für das erwartete Verhalten verwenden
Matthew Skelton

Antworten:

1

habe dies nicht versucht, aber wenn Benutzer A den symbolischen Link priv hat, dann öffne ein cmd und mache es

runas / user: domain \ a cmd

Dann versuchen Sie in diesem Fenster den mklink

Alle Benutzer, auch Administratoren, laufen mit eingeschränkten Berechtigungen ab 08+. Sie müssen den 1. Platz erhöhen. Habe nicht wirklich viel Hoffnung auf diese Arbeit!

user33788
quelle
danke für den Tipp - ich habe tatsächlich Probleme, Runas für mich zum Laufen zu bringen - es gibt mir immer wieder "das System kann die angegebene Datei nicht finden" Fehler: c:> runas / user: domain \ username "mlink / D name target" . Natürlich brauche ich letztendlich dieses Skript, und das Passwort für diesen Benutzer macht das schwierig. Ich denke, Sie haben vielleicht Recht, wenn Sie nicht viel Hoffnung aufbringen!
Matt
Versuchen Sie, nur das erhöhte cmd auszuführen, und führen Sie dann mklink innerhalb dieser Sitzung aus
user33788
ah, interessant. Das hat funktioniert. Wenn ich es nur ohne Runas machen könnte, da ich es schreiben möchte!
Matt
hoffentlich können Sie Powershell verwenden, wenn ja, dann checken Sie get-
credentials
Warum muss es geschrieben werden? Ich sehe die Gründe dafür nicht.
user33788
1

Es gibt einen Fehler mit dieser Sicherheitsrichtlinieneinstellung und der Administratorgruppe. Vielleicht ist es das, was Sie auch erleben.

Wenn die von Ihnen hinzugefügten Benutzer Mitglied der Administratorgruppe sind, hat diese Einstellung keine Auswirkung. Das Entfernen aus der Admin-Gruppe behebt dieses Problem.

Pierre
quelle
Ich bestätige, dass dies bei W 8.1
Eugene Pankov
Es handelt sich nicht um einen Fehler, sondern um ein beabsichtigtes UAC-Verhalten: Dem neuen Token werden alle dem Benutzer zugewiesenen Berechtigungen mit Ausnahme der in Abbildung 9 aufgeführten Berechtigungen entzogen (Überprüfung der Umgehung umgehen, System herunterfahren, Computer von der Dockingstation entfernen, Prozessarbeitssatz erhöhen , Ändern Sie die Zeitzone) TechNet Magazine
user364455
0

Ich hatte das gleiche Problem unter Windows 7, konnte jedoch das CMD-Fenster als Administrator ausführen und es zum Laufen bringen, indem ich die folgenden Anweisungen befolgte:

  1. Klicken Sie auf die Schaltfläche Start.
  2. Geben Sie cmddas Suchfeld unten ein.
  3. Drücken Sie die Ctrl + Shift + EnterTasten auf einmal.

Hinweis: Dadurch wird die Eingabeaufforderung als Administrator geöffnet. Wenn Sie dies nicht tun, wird eine Fehlermeldung angezeigt, dass nicht genügend Berechtigungen vorhanden sind, um den symbolischen Link später zu erstellen.

http://www.inkplant.com/code/how-to-create-a-symbolic-link-in-windows-vista.php

Mads Hansen
quelle
Wusste nicht, dass Sie Strg-Umschalt-Eingabe können, um als Administrator zu laufen, netter Trick. Aber wie ich in der Frage festgestellt habe, muss der Befehl letztendlich von einem Programm (Skript) ohne menschliches Eingreifen ausgeführt werden können, daher hilft dies in dieser Hinsicht nicht weiter.
Matt
-1

Wir können einen Symlink über ein Skript auf einem Windows 2008-Server erstellen, mussten jedoch Folgendes tun:

  • Geben Sie SeCreateSymbolicLinkPrivilegedem Benutzer, der das Skript ausführt, Berechtigungen
  • Schalten Sie die Benutzerkontensteuerung aus
Abbasi
quelle