SID passt nicht zu Kontotyp

G

Grabber

0
Hallo zusammen,

ich habe ein kleines Problem und hoffe hier auf entsprechende Hilfe zu stoßen.

Auf meinem Windows 7 Notebook habe ich einen User mit dem Kontotyp Administrator eingerichtet. Das wird auch entsprechnd so angezeigt.
Nachdem ich aber bei dem einen oder anderem Programm "Merkwürdigkeiten" festgestellt habe, bin ich zu dem Schluss gekommen, das etwas mit dem Konto nicht stimmt.
Ich habe mir von Systeinternals das Proggi "PsGetID" gezogen und habe es gegen das angesprochende Konto und das Administrator-Konto laufen lassen.
Beide Konten sind nach Aussage des OS in der Systemsteuerung vom Typ Administrator - nur PsGetID spukt mir für das angesprochene Konto bei der SID nicht die 500 sondern eine Nummer über 1000 aus.
Danach ist das ein normaler User X(

Frage: Wie kann das passieren, bzw. wie bekomme ich das Konto in den Adminkontext?

Ein simples "Verändere mal den Typ nach User und dann wieder zum Admin" habe ich schon ohne Erfolg probiert.

Wer kann helfen?
 
There can be only one ...

wenn ich dich richtig verstehe, fragst du warum der eine admin die RID 500 hat, und der andere die 1000 ?

antwort: RID 500 ist der built-in admin, also der Standard account mit namen "Administrator" der immer zwangsweise bei der installation angelegt wird.

RID 1000 ist der erste User der im system angelegt wurde ...

die adminrechte sind aber für gewöhnlich nicht an RID 500 gehängt, sondern an RID 544 (die Gruppe "Administratoren"), weswegen das keine rolle spielen sollte, solange beide user mitglieder von RID 544 sind ...

es gibt allerdings software, die speziell bei der installation (mitunter aber auch bei der benutzung) zwangsweise von dir will, dass sie unter RID 500 läuft ... das ist aber eher schlechtes design ...

was die "normalen" windows rechte betrifft: unter "lokale sicherheitsrichtlinie" (secpol.msc) ist aufgeführt wer welche rechte hat ...
 
Admin ungleich Admin

Hallo GrafZahl,

danke für den Post, aber leider sieht das ein wenig anders aus.
Wenn ich in die Systemsteuerung (Windows7 Ultimate) in Benutzerkonten schaue, dann sehe ich dort den Administrator mit dem Kontotyp "Administrator", einen User xyz mit Kontotyp "Standardbenutzer" und mein eigenes Konto abc ebenfalls mit dem Kontotyp "Administrator".

Frage ich diese Konten mit PSGetID ab, dann bekomme ich korrekterweise für den Administrator die 500, aber für mein abc Konto, das ja in der Systemsteuerung ebenfalls als Administrator geführt wird, eine 1001, was ja aber einen Standardbenutzer darstellen würde...

Hier liegt mein Problem.

Nun meine Frage: Wie bekomme ich mein abc-Konto zu einem "richtigen" Konto mit Administrator-Rechten.
Löschen und neu anlegen könnte ja Probleme mit der aktuellen Rechtestruktur mit sich bringen ...

Bin für weitere Hinweise dankbar.

Gruß
Grabber
 
also schön, dann halt nochmal ausführlich:

RID steht für Relative ID, und ist ein suffix eines SID (Security Identifier)

z.B.
Code: 
S-1-5-21-XXX-XXX-XXX-500
---------------------^^^ RID
wobei an den mit XXX markierten stellen die machine/domain SID steht ...

im falle einer machine SID ist der SID auf der lokalen maschine eindeutig (bei einer domain SID logischerweise innerhalb der domäne)

ein SID representiert im windows rechte kontext ein "subjekt" ... das kann ein user account sein ... eine gruppe ... ein rechner ...

der SID mit der RID 500 ist gemeinhin bekannt als built-in admin, und wird wie alle SIDs mit RIDs kleiner 1000 bei der installation angelegt.

RIDs für User accounts die nach der installation angelegt werden starten bei 1000 und zählen hoch ...

somit wäre klar warum dein built-in admin die RID 500 hat, während die 2 anderen accounts RIDs >= 1000 haben ...

doch nun zur entscheidenden frage: was hat das mit den admin rechten zu tun ...

die einfache antwort lautet: gar nichts ...

... ausführlicher:

das was gemein hin als "admin rechte" bekannt ist, ist ein ganzer satz von windows privilegien (üblicherweise konfigurierbar mit secpol.msc)

diese privilegien werden bestimmten SIDs zugeordnet, auf einer standard installation normalerweise dem SID S-1-5-32-544, den du als gruppe "Administratoren" kennst ...

auf einer frischen Standardinstallation hat die besagte gruppe genau ein mitglied: den machine SID mit der RID 500, also den built-in admin

fügst du der gruppe weitere SIDs hinzu, erhalten diese die gleichen rechte ...


in diesem sinne ist ein "richtiges" admin konto auf einer normal konfigurierten maschine daran erkennbar, dass es der gruppe S-1-5-32-544 (Administratoren) angehört.

du wirst im übrigen feststellen, dass alle konten die dieser gruppe angehören, in der benutzerverwaltung den Kontentyp "Administrator" haben
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben