Ich frage mich, welche Einschränkungen ein Programm hat, welches entweder mit einem Nicht-Adminaccount ausgeführt wird ODER mit Adminaccount aber ohne dass die .exe explizit mit Adminrechten gestartet wird.
(Kommt ja auf's selbe hinaus, nicht?)

Wo darf man Dateien erstellen? Darf man Dinge wie CreateRemoteThread() tun? Darf man ...?

Und wenn das Programm explizit mit Adminrechten gestaret wird, dann darf es wirklich alles alles, oder?

Und wenn das Programm explizit mit Adminrechten gestaret wird, dann darf es wirklich alles alles, oder?

Nein, unter Windows darf ein Programm nicht alles tun, z.B. die eigene .EXE löschen.

Zu ersterem: das steht in der MSDN, einfach bei den Funktionen schauen. CreateRemoteThread darfst du schon ausführen, aber der OpenProcess aufruf der dem voraus geht kann durchaus fehlschlagen, wenn der Benutzer nicht privilegiert genug ist.

Und für welche Verzeichnisse braucht man unter Vista/7 eigentlich erweiterte Schreibrechte? Auf C:\ darf man ja ohne Adminrechte schreiben, oder?

Und für welche Verzeichnisse braucht man unter Vista/7 eigentlich erweiterte Schreibrechte? Auf C:\ darf man ja ohne Adminrechte schreiben, oder?

Eine Installation hat mir vor kurzem vorgeschlagen nicht nach c:\Programme zu installieren, da Benutzer ohne Adminrecht da kein vollzugriff drauf haben. Stattdessen sollte es irgendwo in den "Öffentlich" Ordner...

Nein, unter Windows darf ein Programm nicht alles tun, z.B. die eigene .EXE löschen.

Das hat nix mit dürfen zu tun, sondern mit können.
Man kann auch offene Files nicht einfach so löschen, auch nicht mit Admin Account, nichtmal mit System Account. Man muss zuerstmal die Handles killen.

Davon abgesehen... mit Admin-Account darf man trotzdem nicht alles. Gibt einige Dinge, die nur der SYSTEM Account darf. Allerdings darf & kann man mit Admin Rechten ein beliebiges Programm unter dem SYSTEM Account starten (über den Scheduler z.B.).

D.h. man darf im Endeffekt schon alles, nur nicht ohne Umwege.

lol windows völlig verhunztes rechtesystem ist wirklich der letzte schrott. da lob ich mir mein unix

Und für welche Verzeichnisse braucht man unter Vista/7 eigentlich erweiterte Schreibrechte? Auf C:\ darf man ja ohne Adminrechte schreiben, oder?

auf C:\ darfst du eben nicht schreiben. Selbst als Admin wird dir dort der Schreibzugriff verweigert (also nicht direkt dir, aber den Programmen, die du startest)

Es sind aber nicht viele Ordner, die derart geschützt sind. Afaik noch der Windows-Ordner nebst diversen Unterordnern und der Programme-Ordner.

Wenn du also ein Programm hast, das Einstellungen speichern will, dann solltest du die nicht im Programmordner ablegen, sondern in den entsprechenden öffentlichen bzw. privaten Benutzerverzeichnissen. Auch hier gibt es API-Funktionen, die dir den genauen Pfad liefern sollten.

Das ganze hat übrigens nichts mit UAC zu tun. Selbst mit ausgeschaltetem UAC wird dir der Zugriff verweigert. Nur die Abfrage beim Wechsel in eine höhere Sicherheitsstufe entfällt bzw wird automatisch hochgestuft

Das hat sehrwohl mit UAC zu tun. Vor UAC war kein Wechsel in eine höhere Sicherheitsstufe nötig um diese Dinge zu machen...

UAC ist nur ein (kleiner) Bestandteil der neuen Sicherheitskonzepte in Vista und hat definitiv nichts damit zu tun, dass der Schreibzugriff auf bestimmte Ordner, Dateien oder Prozesse plötzlich nicht nur durch NTFS-Rechte festgelegt wird. Es spielt mehr den Türsteher.

Konkret wäre das die MIC

lol windows völlig verhunztes rechtesystem ist wirklich der letzte schrott.

Das Rechtesystem ist sehr gut und erlaubt eine hohe granularität. aber scheinbar ist sogar microsoft damit überfordert.

Daß Dateien entstehen können, die mit Admin-Rechten nicht zu löschen sind,

Du kannt bei solchen Datein als Admin den Besitz übernehmen. Dann kannst Du sie löschen es sei denn, die Datei ist gerade in Cerwendung

u_ser-l schrieb:

oder chkdisk mal 3- bis 5-mal laufen mußte, bis das Dateisystem in fehlerfreiem Zustand war

chkdsk, wenn es beim Booten ausgeführt wird, umgeht das Rechtesystem völlig.

hustbaer schrieb:

Das hat sehrwohl mit UAC zu tun. Vor UAC war kein Wechsel in eine höhere Sicherheitsstufe nötig um diese Dinge zu machen...

UAC ist nur ein (kleiner) Bestandteil der neuen Sicherheitskonzepte in Vista und hat definitiv nichts damit zu tun, dass der Schreibzugriff auf bestimmte Ordner, Dateien oder Prozesse plötzlich nicht nur durch NTFS-Rechte festgelegt wird. Es spielt mehr den Türsteher.

Konkret wäre das die MIC

OK

auf C:\ darfst du eben nicht schreiben. Selbst als Admin wird dir dort der Schreibzugriff verweigert (also nicht direkt dir, aber den Programmen, die du startest)

...

Das ganze hat übrigens nichts mit UAC zu tun. Selbst mit ausgeschaltetem UAC wird dir der Zugriff verweigert. Nur die Abfrage beim Wechsel in eine höhere Sicherheitsstufe entfällt bzw wird automatisch hochgestuft

Äh, das bedeutet, ich kann in keinem Fall in diese geschützten Ordner schreiben? Oder darf ein Programm mit expliziten Adminrechten das doch? (Und um nochmal auf eine meiner Fragen zurückzukommen: Gibt es eine Möglichkeit, dass eine Anwendung feststellt (API), dass sie mit eben diesen Adminrechten ausgeführt wird?)