PDA

Vollständige Version anzeigen : Administrator Berechtigung


Kigo
08.10.2001, 15:42
Hi Leute,

wenn ich mich bei Win NT als "normalen" Benutzer anmelde und ich mich dann z.B. mit einem anderen PC verbinden möchte (wofür ich keine Berechtigung habe), erscheint ein Fenster in dem ich eine entsprechende Berechtigung (Benutzername und Kennwort) eingeben kann. Allerdings funktioniert das manchmal reibungslos, aber manchmal bekomme ich auch die Fehlermeldung:
Auf die Resource kann nicht zugegriffen werden.
Die angegebenen Referenzen passen nicht zu
einer bestehenden Referenzmenge.
Was heißt das denn??
Wie gesagt manchmal funktioniert es manchmal diese Fehlermeldung?

AWSW
08.10.2001, 19:54
Tach auch,
schau mal unten oder in der WinHelp unter Referenzen nach. Da Du ja versuchst einen Zugriff auf eine Recource mit anderem Benutzernamen zu tätigen, trifft dies dann auf den Befehl: RunAs. Mehr im nachfolgenden Text. Besser kann ich es auch nicht erklären...

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Runas: Ermöglicht dem Benutzer das Ausführen spezieller Tools und Programme mit anderen Berechtigungen als es die gegenwärtige Anmeldung erlaubt.

Syntax
runas [{/profile|/noprofile}] [/env] [/netonly] [/smartcard] [/showtrustlevels] [/trustlevel] /user:Benutzerkontoname program

Parameter
/profile
Lädt das Profil des Benutzers. /profile ist die Standardeinstellung.
/no profile
Gibt an, dass das Profil des Benutzers nicht geladen werden soll. Dies ermöglicht das schnellere Laden der Anwendung, es kann jedoch bei manchen Anwendungen zu einer Fehlfunktion führen.
/env
Gibt an, dass anstelle der lokalen Umgebung des Benutzers die aktuelle Netzwerkumgebung verwendet werden soll.
/netonly
Zeigt an, dass die angegebenen Benutzerinformationen nur für Remotezugiff geeignet sind.
/smartcard
Gibt an, ob die Anmeldeinformationen von einer Smartcard bereitgestellt werden sollen.
/showtrustlevels
Listet die Optionen für /trustlevel auf.
/trustlevel
Gibt die Autorisierungsebene an, auf der die Anwendung ausgeführt werden soll. Verwenden Sie /showtrustlevels, um die verfügbaren Vertrauensstufen anzuzeigen.
/user:Benutzerkontoname
Gibt den Namen des Benutzerkontos an, unter dem das Programm ausgeführt werden soll. Das Benutzerkonto sollte im Format Benutzer@Domäne bzw. Domäne\Benutzer angegeben werden.
Programm
Gibt das Programm bzw. den Befehl an, das/der unter dem über /user angegebenen Benutzerkonto ausgeführt werden soll.
/?
Zeigt Hilfetext an der Eingabeaufforderung an.
Hinweise
Es empfiehlt sich für Administratoren, für nicht administrative Routineaufgaben ein Konto mit eingeschränkten Berechtigungen zu verwenden und nur zur Durchführung spezieller administrativer Aufgaben auf ein Konto mit weit gefassteren Berechtigungen zurückzugreifen. Um diese wechselnden Aufgaben ohne ständiges Ab- und Anmelden durchführen zu können, sollten Sie sich unter einem gültigen Benutzerkennwort anmelden und mithilfe des Befehls runas die Tools ausführen, für die weit gefasstere Berechtigungen erforderlich sind.
Beispiele zur Verwendung des Befehls runas finden Sie unter "Verwandte Themen".
Der Einsatz von runas ist zwar nicht auf Administratorkonten beschränkt, jedoch ist dies die häufigste Verwendung. Jeder Benutzer, der über mehrere Konten verfügt, kann runas dazu verwenden, ein Programm, eine MMC-Konsole oder ein Programm der Systemsteuerung unter Verwendung alternativer Anmeldeinformationen auszuführen.
Wenn Sie das Administratorkonto auf dem Computer für den Parameter /user: verwenden möchten, geben Sie einen der folgenden Befehle ein:
/user:Administratorkontoname@Computername

/user:Computername\Administratorkontoname

Wenn Sie diesen Befehl als Domänenadministrator verwenden möchten, geben Sie einen der folgenden Befehle ein:
/user:Administratorkontoname@Domänenname

/user:Domänenname\Administratorkontoname

Über den Befehl runas können Sie Programme (*.exe), gespeicherte MMC-Konsolen (*.msc), Verknüpfungen mit Programmen und gespeicherten MMC-Konsolen sowie Objekte in der Systemsteuerung ausführen. Sie können diese als Administrator ausführen, während Sie am Computer als Mitglied einer anderen Gruppe angemeldet sind, z. B. der Gruppe Benutzer oder Hauptbenutzer.
Mit dem Befehl runas können Sie jedes beliebige Programm, jede beliebige MMC-Konsole oder jedes beliebige Objekt der Systemsteuerung starten. Solange das entsprechende Benutzerkonto mit dem zugehörigen Kennwort verwendet wird, kann über das Benutzerkonto auf den Computer zugegriffen werden, und das Programm, die MMC-Konsole oder das Objekt der Systemsteuerung sind auf dem System und für das Benutzerkonto verfügbar.
Mit dem Befehl runas können Sie einen Server in einer anderen Gesamtstruktur verwalten (der Computer, auf dem Sie ein Tool ausführen, und der Server befinden sich in unterschiedlichen Domänen).
Wenn Sie von einem Netzwerkcomputer aus über den Befehl runas ein Programm, eine MMC-Konsole bzw. ein Objekt in der Systemsteuerung nicht starten können, stimmen möglicherweise die Referenzen für die Verbindung mit der Netzwerkfreigabe und die zum Starten des Programms nicht überein. Über die letzteren Referenzen kann möglicherweise nicht auf dieselbe Netzwerkfreigabe zugegriffen werden.
Einige Objekte, z. B. der Ordner Drucker oder Desktopelemente, werden indirekt geöffnet und können nicht über den Befehl runas gestartet werden.
Wenn der Befehl runas fehlschlägt, wird möglicherweise der sekundäre Anmeldedienst nicht ausgeführt, oder das eingegebene Benutzerkonto ist ungültig. Klicken Sie zum Überprüfen des Status des sekundären Anmeldedienstes unter Computerverwaltung auf Dienste und Anwendungen, und klicken Sie dann auf Dienste. Melden Sie sich an der entsprechenden Domäne über das Benutzerkonto an, um dieses Konto zu uberprüfen.
Beispiele
Geben Sie den folgenden Befehl ein, um als Administrator an einem lokalen Computer eine Instanz der Eingabeaufforderung zu starten:

runas /user:name_lokaler_computer\administrator cmd
Geben Sie das Administratorkennwort ein, wenn Sie dazu aufgefordert werden.

Geben Sie den folgenden Befehl ein, um unter Verwendung des Domänenadministratorkontos firmen_domäne\domänen_admin eine Instanz des Computerverwaltungs-Snapins zu starten:

runas /user:firmen_domäne\domänen_admin "mmc %windir%\system32\compmgmt.msc"
Geben Sie das Kennwort für das Konto ein, wenn Sie dazu aufgefordert werden.

Geben Sie den folgenden Befehl ein, um unter Verwendung des Domänenadministratorkontos jan in der Domäne domain.microsoft.com eine Instanz von Editor zu starten:

runas /user:jan@domain.microsoft.com "editor meine_datei.txt"
Geben Sie das Kennwort für das Konto ein, wenn Sie dazu aufgefordert werden.

Um eine Instanz eines Eingabeaufforderungsfensters, einer gespeicherten MMC-Konsole, eines Objekts der Systemsteuerung oder eines Programms, das einen Server in einer anderen Gesamtstruktur verwaltet, zu starten, geben Sie folgenden Befehl ein:

runas /netonly /user:Domäne\Benutzername "Befehl"
Unter Domäne\Benutzername muss ein Benutzer mit Berechtigungen für die Verwaltung des Servers angegeben werden. Geben Sie das Kennwort für das Konto ein, wenn Sie dazu aufgefordert werden.

Formatierungslegende
Format Bedeutung
Kursiv Informationen, die der Benutzer angeben muss
Fett Elemente, die der Benutzer genau wie gezeigt eingeben muss
Ellipse (...) Parameter, der in einer Befehlszeile mehrmals wiederholt werden kann
In eckigen Klammern ([]) Optionale Elemente
In geschweiften Klammern ({}); Auswahlmöglichkeiten durch einen senkrechten Strich (|) getrennt. Beispiel: {gerade|ungerade} Gruppe von Auswahlmöglichkeiten, aus denen der Benutzer nur eine wählen darf
Schriftart Courier Code oder Programmausgabe
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Funktionsweise der Sicherheit beim VerbindenMit den folgenden Schritten wird beschrieben, welche Ereignisse während eines Anrufs bei einem RAS-Server eintreten:

Ihr Computer wählt einen RAS-Server an.
Abhängig von der ausgewählten Authentifizierungsmethode tritt eines der nachstehenden Ereignisse ein:
Sie verwenden PAP oder SPAP:
Ihr Computer sendet sein Kennwort an den Server.
Der Server vergleicht die Anmeldeinformationen mit den Angaben in der Benutzerdatenbank.
Sie verwenden CHAP oder MS-CHAP:
Der Server sendet eine Abfrage an den Computer.
Der Computer sendet eine verschlüsselte Antwort an den Server.
Der Server vergleicht die Antwort mit den Informationen der Benutzerdatenbank.
Sie verwenden MS-CHAP 2:
Der Server sendet eine Abfrage an den Computer.
Der Computer sendet eine verschlüsselte Antwort an den Server.
Der Server vergleicht die Antwort mit den Informationen der Benutzerdatenbank und sendet eine Authentifizierungsantwort.
Ihr Computer überprüft die Authentifizierungsantwort.
Sie verwenden eine zertifikatbasierte Authentifizierung:
Der Server fordert Anmeldeinformationen von Ihrem Computer an und sendet sein Zertifikat.
Das Serverzertifikat wird überprüft, sofern Sie die Verbindung entsprechend konfiguriert haben. Wenn dies nicht der Fall ist, wird dieser Schritt übersprungen.
Ihr Computer sendet sein Zertifikat an den Server.
Der Server überprüft, ob das Zertifikat gültig ist und nicht widerrufen wurde.
Wenn das Konto gültig ist, überprüft der Server die RAS-Berechtigung.
Der Server nimmt die Verbindung an, sobald die Remotezugriffsberechtigung erteilt wurde.
Wenn die Rückruffunktion aktiviert ist, ruft der Server Ihren Computer zurück und wiederholt die Schritte 2 bis 4.

Anmerkungen

Benutzerkonten und Richtlinien für den Remotezugriff werden vom Netzwerkadministrator überwacht. Die Richtlinien für den Remotezugriff umfassen Bedingungen und Verbindungseinstellungen, mit denen die Netzwerkadministratoren eine größere Flexibilität beim Gewähren von RAS-Berechtigungen und beim Remotezugriff erhalten. Wenn die Einstellungen der Verbindung nicht mindestens einer der Richtlinien für den Remotezugriff für die Verbindung entsprechen, wird die Verbindung unabhängig von den DFÜ-Einstellungen abgelehnt.
Wenn Sie Netzwerkverbindungen in einer Windows-Domänenumgebung verwenden, treten die an den Remotezugriffsberechtigungen vorgenommenen Änderungen nicht unmittelbar auf allen Servern in Kraft. Die Weitergabe der Änderungen an andere Server in der Domäne kann bis zu 15 Minuten in Anspruch nehmen. Sie können bei Bedarf die Domäne neu synchronisieren, um sicherzustellen, dass ein Benutzer mit entzogenen Berechtigungen bis zur automatischen Replikation der Änderung bereits keinen Zugriff auf das Netzwerk mehr hat.
Die Authentifizierungsmethoden für Netzwerkverbindungen steuern den Zugriff auf das Netzwerk, nicht jedoch auf die Ressourcen im Netzwerk. Wenn Sie ein Netzwerk verwenden, erfolgt die Ressourcensteuerung auf verschiedene Weise: Lokale Benutzer und Gruppen, Active Directory, Gruppenrichtlinie, Datei- und Druckerfreigabe usw.
Authentifizierungsmethoden sind für Arbeitsumgebungen in der Remotedatenverarbeitung vorgesehen, bei der der sich einwählende Computer erst dann Zugriff auf das Netzwerk erhält, wenn bestimmte Referenzen ausgetauscht wurden, beispielsweise der Benutzername und das Kennwort.
Informationen zum Konfigurieren von Sicherheitsoptionen für Verbindungen, wie z. B. Authentifizierungsprotokolle und Einstellungen für die Datenverschlüsselung, finden Sie unter Sicherheitsfunktionen für Netzwerkverbindungen.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Übersicht über direkte VerbindungenMithilfe von Netzwerkverbindungen können Sie über ein serielles Kabel, ein DirectParallel-Kabel, ein Modem, ein ISDN-Gerät oder eine andere Technik eine physische Verbindung zu einem anderen Computer herstellen. Beispielsweise besitzen Sie vielleicht einen Windows CE Handheld-Personalcomputer, den Sie mit Ihrem Netzwerk verbinden möchten. Oder zwei Netzwerke, die nicht physisch miteinander verbunden sind, befinden sich am selben Standort. Wenn Sie Ressourcen in beiden Netzwerken von einem Computer aus nutzen möchten, können Sie eine serielle Kabelverbindung mit einem RS-232C-Nullmodemkabel verwenden. Hierfür verbinden Sie ein RS-232C-Kabel mit einem COM-Anschluss des Computers und mit einem COM-Anschluss an dem RAS-Server, über den Sie auf das Netzwerk zugreifen. Sie können auch ein RS-232C-Nullmodem als Ersatz für einen Netzwerkadapter verwenden, wenn sich der Computer in der Nähe eines RAS-Servers (weniger als 15 Meter von diesem entfernt) befindet.

Der DirectParallel-Treiber unterstützt Verbindungen zwischen zwei Computern über standardmäßige und erweiterte (ECP-)Parallelanschlüsse, die mithilfe der Basic- oder Fast-Parallelkabel von Parallel Technologies verbunden werden. Weitere Informationen zum Verwenden eines DirectParallel-Kabels für eine Direktverbindung finden Sie unter Zugriff über DirectParallel-Kabel.

Die Authentifizierungsmethoden für den Remotezugriff steuern den Zugriff auf das Netzwerk, nicht jedoch auf die Ressourcen im Netzwerk. Das Anschließen eines Windows CE-Geräts an einen Computer im Netzwerk entspricht dem Anschließen eines Computers, allerdings ohne Anmeldung. In diesem Fall erfolgt das Anschließen an das Netzwerk und das Herstellen einer Verbindung ohne Authentifizierung.

Wenn Sie ein Netzwerk verwenden, erfolgt die Ressourcensteuerung auf verschiedene Weise: Lokale Benutzer und Gruppen, Active Directory, Gruppenrichtlinie, Datei- und Druckerfreigabe usw.

Wenn Sie eine direkte Netzwerkverbindung eingerichtet haben, beispielsweise für ein Windows CE-Gerät, müssen Sie deshalb sicherstellen, dass eine Ressourcensteuerung aktiviert ist, die den Zugriff auf zugriffsbeschränkte Ordner, Drucker usw. ermöglicht.

Authentifizierungsmethoden sind für die Remotedatenverarbeitung vorgesehen, wobei der sich einwählende Computer erst Zugriff auf das Netzwerk erhält, wenn bestimmte Referenzen, beispielsweise der Benutzername und das Kennwort, ausgetauscht wurden.

Informationen zum Herstellen einer direkten Netzwerkverbindung finden Sie unter So stellen Sie eine direkte Netzwerkverbindung her.

Anmerkung

Sie müssen als Administrator oder Mitglied der Gruppe Administratoren angemeldet sein, um dieses Verfahren abschließen zu können. Wenn der Computer mit einem Netzwerk verbunden ist, verhindern ggf. Netzwerkrichtlinieneinstellungen den Abschluss dieses Verfahrens.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Diesen Text hab ich aus der Windows XP Hilfe abgetippt - ehh - kopiert. Müsste aber auch für andere WinVersionen gelten.

Ich hoffe das hilft Dir