Warum wird meine cmd.exe in Windows 7 mit Administratorrechten geöffnet?

Warum wird meine cmd.exe in Windows 7 mit Administratorrechten geöffnet?

Warum wird meine cmd.exe in Windows 7 mit Administratorrechten geöffnet? (Ich sage nicht „Ausführen als Administrator“, weil ich weiß, dass die Option „Als Administrator ausführen“ in Windows 7 es mit Administratorrechten und nicht als Administrator ausführt, und das ist es, was hier passiert, wenn auch automatisch.)

Ich gelange in Windows, indem ich auf meinen Benutzernamen klicke.

Nehmen wir nun an, ich starte cmd.exe und mache es auf die klarste Art und Weise, um zu zeigen, dass ich nicht auf eine Verknüpfung klicke

Bildbeschreibung hier eingeben

Ich gehe also zu c:\windows\system32 und führe von dort aus definitiv cmd.exe aus.

Aber es kommt so

Bildbeschreibung hier eingeben

Und wenn Sie denken, oh, vielleicht bin ich mit dem Administratorkonto angemeldet, bin ich nicht

Bildbeschreibung hier eingeben

Und die cmd.exe, die ich direkt von system32 aus geöffnet habe, zeigt ebenfalls, dass sie aus irgendeinem Grund mit Administratorrechten ausgeführt wird. Sie wird jedoch von einem Benutzerkonto aus ausgeführt.

Bildbeschreibung hier eingeben

hinzugefügt

Als Antwort auf einige Anfragen des Kommentators „Scott“. Ich habe offensichtlich ein Konto namens „Benutzer“, das sollte klar sein.

Kommentator 'scott' schlägt den Befehl vor-

C:\Users\User>net user %username% | find "Group"
Local Group Memberships      *Administrators       *HomeUsers
Global Group memberships     *None

C:\Users\User>

(Ja, das Benutzerkonto ist Mitglied der Administratorgruppe, aber das würde dieses Verhalten nicht verursachen).

Kommentator „Scott“ schlägt vor, dass ich diesen Befehl ausführe, um die Ausgabe anzuzeigen.

C:\Users\User>whoami /priv | find "Enabled"
SeChangeNotifyPrivilege         Bypass traverse checking                  Enabled
SeImpersonatePrivilege          Impersonate a client after authentication Enabled
SeCreateGlobalPrivilege         Create global objects                     Enabled

C:\Users\User>

Nichts Ungewöhnliches. Wenn Sie die Eingabeaufforderung mit Administratorrechten bei einer Neuinstallation ausführen, wird dasselbe angezeigt. In meinem Fall geschieht dies offensichtlich automatisch. Vielleicht kann Kommentator Scott also angeben, wonach er dort gesucht haben könnte?

Wenn Sie diesen whoami /priv | find "Enabled"Befehl bei einer Neuinstallation von einer mit Administratorrechten gestarteten Eingabeaufforderung aus ausführen, werden auch dieselben drei Elemente (aus der lokalen Sicherheitsrichtlinie, Benutzerrechte aktiviert) als aktiviert angezeigt.

Diese Befehle zeigen also nichts Ungewöhnliches über das hinaus, was ich bereits gesagt/gezeigt habe.

(und zu den anderen Fragen des Kommentators Scott: Ich befinde mich nicht im abgesicherten Modus und es handelt sich nicht um eine Neuinstallation. Nicht, dass eines dieser Dinge dieses Verhalten ohnehin verursachen würde. Und zu der Frage des Kommentators, wann es angefangen hat: Ich weiß nicht, wann dieses Verhalten angefangen hat.)

Es gab vorher auch einige Kommentare, die jetzt weg sind. Einer schlug eine Reparaturinstallation vor, aber mich interessiert, welche Einstellung das verursachen könnte.

Kommentator Scott fragt: „Was passiert, wenn Sie netplwiz ausführen?“ Nun, dasselbe, als wenn Sie die Windows-Taste + R drücken (um das alte Dialogfeld „Ausführen“ zu erhalten) und eingeben control userpasswords2<ENTER>. Es wird der Bildschirm angezeigt, auf dem Sie festlegen, ob der Benutzer zum Anmelden ein Kennwort eingeben muss und welcher Benutzer sich automatisch anmelden kann.

Bildbeschreibung hier eingeben

All dies ist jedoch irrelevant. Ich habe das Administratorkonto zwar nicht ausgeblendet, melde mich aber nicht als Administrator an. Wie ich gezeigt habe, echo %username% bin ich als „Benutzer“ angemeldet.

Kommentator „HelpingHand“ sagt: „Fügen Sie die Spalten „Erhöht“ und „UAC-Virtualisierung“ hinzu. Was ist der erhöhte Status von Explorer, dem übergeordneten Prozess von cmd? Ist das „Erhöht=Nein“, „UAC-Virtualisierung deaktiviert“? Konzentrieren Sie sich vielleicht auf den übergeordneten Prozess und nicht auf den untergeordneten. Ich würde cmd.exe auch mit laufendem Process Monitor starten. Bestätigen Sie, dass es sich in der Strukturansicht um den untergeordneten Prozess des oben überprüften Explorer.exe-Prozesses handelt, und überprüfen Sie den CreateProcess-Vorgang von Explorer.exe, um cmd zu starten. Insbesondere den Stapel, der CreateProcess aufruft. Es wäre gut zu überprüfen, dass keine Module von Drittanbietern vorhanden sind. Fügen Sie vielleicht einen Screenshot ein.“

Windows 7 hat keine Spalte „Erhöht“! Die Spalte „Erhöht“ ist spezifisch für Windows 10 (und vielleicht Win8, aber wen interessiert das bei Win8). In Win10 sind die Spalten tabulatorspezifisch und mit der Registerkarte „Details“ von Win10 verknüpft. In Win7 sind die Spalten nicht tabulatorspezifisch und es gibt keine Spalte „Erhöht“.

Sie erwähnen auch Process Monitor, ein großartiges Programm, aber ich glaube, wenn Sie einen Baum meinen, meinen Sie Process Explorer. Process Monitor zeigt keinen Prozessbaum an. Process Explorer schon. Beide Programme sind großartige Programme von sysinternals/Mark Russinovich, jetzt bei MS erhältlich. Wenn Sie eine Operation erwähnen (wie Filtern nach Operation), meinen Sie Process Monitor. Ich kann kein CreateProcess sehen, aber ein ThreadCreate

Betrachten wir ein relativ neues, normales Windows 7-System, bei dem das Problem nicht auftritt. Der Prozess-Explorer zeigt, dass der cmd.exe-Prozess ein untergeordneter Prozess des explorer.exe-Prozesses ist, der unter „Explorer“ angezeigt wird, und wenn man darauf doppelklickt, wird angezeigt, dass der übergeordnete Prozess die/eine explorer.exe-Instanz ist. Betrachten wir verschiedene Prozesse, ist bei einigen die UAC-Virtualisierung auf „Zugelassen“ eingestellt, bei anderen auf „Deaktiviert“. Im Explorer ist sie auf „Deaktiviert“ eingestellt. Bei cmd ist sie auf „Deaktiviert“ eingestellt.

Wenn ich mir das betreffende Windows 7-System ansehe und den Prozess-Explorer anschaue, sehe ich zwei Explorer-Prozesse. cmd wird unter keinem von beiden angezeigt. Aber wenn ich auf cmd doppelklicke, wird angezeigt, dass explorer.exe der übergeordnete Prozess ist. Wenn ich mir den Task-Manager anschaue, ist bei keinem Prozess die Benutzerkontensteuerung deaktiviert. Explorer hat sie auf „Nicht zulässig“ eingestellt und cmd hat sie auf „Nicht zulässig“ eingestellt. Von den beiden Explorer-Prozessen hat einer eine Befehlszeile mit „/factory...“, der andere ist nur ein normaler Aufruf von explorer.exe. Der Prozess-Explorer zeigt die PPID (übergeordnete Prozess-ID/PPID) von cmd.exe an und sie stimmt mit der Instanz von explorer.exe überein, die gerade normal aufgerufen wird.

Was die Informationen zum Prozessmonitor betrifft, die sich mit der Operation „ThreadCreate“ und der Registerkarte „Stapel“ befassen, hier ist eine Einfügung.

Bildbeschreibung hier eingeben

Sie erwähnen, dass man prüfen soll, ob dort ein Drittanbietermodul vorhanden ist. Ich sehe dort kein Drittanbietermodul/DLL oder EXE.

Antwort1

Es scheint, dass die gesamte Frage auf der falschen Annahme basiert, dass das Präfix „Administrator:“ den Kontonamen angibt, unter dem der Prozess ausgeführt wird. Dies ist nicht der Fall.

All dies ist jedoch irrelevant. Ich habe das Administratorkonto zwar nicht ausgeblendet, melde mich aber nicht als Administrator an. Wie ich mit dem Echo %username% gezeigt habe, bin ich als „Benutzer“ angemeldet.

All dies ist jedoch irrelevant. Das Präfix „Administrator:“ zeigt nicht wirklich an,DieAdministratorkonto – es zeigt die Berechtigungen voneinAdministrator, d. h. das Programm läuft mit den vollen Privilegien eines Mitglieds der AdministratorengruppeGruppe.

Dieses Präfix wird von Windows Conhost hinzugefügt, da Windows 7 normalerweise UAC verwendet und alle interaktiven Anmeldungen trotz Gruppenmitgliedschaft mit reduzierten Berechtigungen ausgeführt werden – nur „erhöhte“ Prozesse erhalten volle Berechtigungen, nachdem Sie die sichere Eingabeaufforderung bestätigt haben. Normalerweise erhalten Sie dieses Präfix in der Titelleiste von Cmd, wenn Sie den Menüpunkt „Als Administrator ausführen“ verwenden, um cmd.exe mit erhöhten Berechtigungen auszuführen.

Aber wenn das System UAC deaktiviert hat,alleVon Ihrem „Benutzer“ ausgeführte Prozesse verfügen über ein Sicherheitstoken mit allen Berechtigungen und Programme sehen sich immer als „als Administrator ausgeführt“ an.

Lesen Sie diesen anderen Thread zum Deaktivieren von UAC und befolgen Sie die Anweisungen in umgekehrter Reihenfolge, um UAC wieder zu aktivieren:UAC unter Windows 7 deaktivieren?

verwandte Informationen