Freigeben über

Fehler beim Kopieren von Dateien von einem zugeordneten Laufwerk in ein lokales Verzeichnis (Speicherort ist nicht verfügbar), wenn die UAC aktiviert ist.

In diesem Artikel wird der Fehler "Speicherort" nicht angezeigt , wenn Sie versuchen, Dateien von einem zugeordneten Laufwerk zu kopieren.

Ursprüngliche KB-Nummer: 2019185

Symptome

Wenn die Benutzerkontensteuerung (User Account Control, UAC) aktiviert ist, wird möglicherweise die folgende Fehlermeldung angezeigt, wenn Sie versuchen, eine Datei von einem zugeordneten Laufwerk in ein lokales Verzeichnis zu kopieren:

Der Speicherort ist nicht verfügbar.
<zugeordneter Laufwerkbuchstaben>\ bezieht sich auf einen Speicherort, der nicht verfügbar ist. Es kann sich auf einer Festplatte auf diesem Computer oder in einem Netzwerk befinden. Überprüfen Sie, ob der Datenträger ordnungsgemäß eingefügt wurde oder ob Sie mit dem Internet oder Ihrem Netzwerk verbunden sind, und versuchen Sie es dann erneut. Wenn sie immer noch nicht gefunden werden kann, wurden die Informationen möglicherweise an einen anderen Speicherort verschoben.

Ursache

Die zugrunde liegende Ursache ist UAC und die Interaktion mit geteilten Token. Wenn sich ein Administrator bei einem Computer anmeldet, auf dem der Administratorgenehmigungsmodus (Admin Approval Mode, AAM) aktiviert ist, erhält der Benutzer zwei Zugriffstoken:

  • ein vollständiges Administratorzugriffstoken
  • ein gefiltertes Standardbenutzerzugriffstoken

Wenn sich ein Mitglied der lokalen Administratorgruppe anmeldet, werden standardmäßig die Administratorberechtigungen für Windows deaktiviert und erhöhte Benutzerrechte entfernt. Dies führt zum Standardmäßigen Benutzerzugriffstoken. Das Standardbenutzerzugriffstoken wird dann zum Starten des Desktops (Explorer.exe) verwendet. "Explorer.exe" ist der übergeordnete Prozess, von dem alle anderen vom Benutzer initiierten Prozesse ihre Zugriffstoken erben. Daher werden alle Anwendungen standardmäßig als Standardbenutzer ausgeführt, es sei denn, ein Benutzer stellt eine Zustimmung oder Anmeldeinformationen bereit, um eine Anwendung für die Verwendung eines voll administrativen Zugriffstokens zu genehmigen. Im Gegensatz zu diesem Prozess wird beim Anmelden eines Standardbenutzers nur ein Standardbenutzerzugriffstoken erstellt. Dieses Standardbenutzerzugriffstoken wird dann zum Starten des Desktops verwendet.

Die folgenden Bedingungen müssen vorhanden sein, damit der Fehler auftritt:

  1. UAC ist mit AAM aktiviert.
  2. Der Benutzer ist nicht als Administrator des lokalen Computers oder mit Anmeldeinformationen des Domänenadministratorkontos angemeldet.
  3. Ein Laufwerk wird mithilfe des Standardmäßigen Benutzersicherheitskontexts zugeordnet.
  4. Benutzer verfügen nicht über Create/Write NTFS-Berechtigungen für das Zielverzeichnis.

Der Benutzer hat ein Laufwerk entweder mithilfe der Option "Netzlaufwerk zuordnen" im Windows-Explorer oder durch Ausführen des net use Befehls in einer Eingabeaufforderung mit nicht erhöhten Rechten zugeordnet. Zugeordnete Laufwerke können angezeigt werden, indem Sie die Net-Verwendung als Standardbenutzer über eine Eingabeaufforderung mit nicht erhöhten Rechten ausführen. In diesem Fall wurde das Laufwerk als Standardbenutzer zugeordnet.

C:\Users\johnsmith>net use
New connections will be remembered.
Status      Local     Remote                    Network
-------------------------------------------------------------------------------
OK          X: [\\contoso-dc1\d$](file://contoso-dc1/d$)               Microsoft Windows Network
The command completed successfully.

Wenn Sie denselben Befehl an einer Eingabeaufforderung mit erhöhten Rechten ausführen, wird kein zugeordnetes Laufwerk aufgelistet.

C:\Windows\system32>net use
New connections will be remembered.
There are no entries in the list.

Es zeigt deutlich, dass die sitzung mit erhöhten Rechten das zugeordnete Laufwerk des Standardbenutzers nicht sieht. Daher kann der Kopiervorgang nicht abgeschlossen werden. Dieses Verhalten ist beabsichtigt.

Notiz

Standardmäßig ist AAM für Konten aktiviert, die Mitglieder der lokalen Administratorgruppe sind. Die Einstellung befindet sich im Knoten "Sicherheitsoptionen " der lokalen Richtlinie unter "Sicherheitseinstellungen " und kann mit dem Editor für lokale Gruppenrichtlinien (secpol.msc) und mit der Gruppenrichtlinien-Verwaltungskonsole (GPMC) (gpedit.msc) konfiguriert werden. Weitere Informationen zur Benutzerkontensteuerung finden Sie unter "Benutzerkontensteuerung".

Lösung

  1. Ordnen Sie das Laufwerk mithilfe eines Prozesses mit erhöhten Rechten zu. Im Windows-Explorer wird die Laufwerkzuordnung mit erhöhten Rechten jedoch nicht angezeigt. Weitere Informationen finden Sie im Abschnitt "Weitere Informationen ".

    Innerhalb der Windows 7-Benutzerkontensteuerung

  2. Verwenden Sie einen UNC-Pfad, um eine Verbindung mit Netzwerkressourcen herzustellen, z. B. \\server\freigabe.

  3. Verwenden Sie Gruppenrichtlinieneinstellungen, um Laufwerke zuzuordnen. In dem unten beschriebenen Whitepaper werden Gruppenrichtlinieneinstellungen vorgestellt, die ein neues Feature in Windows Server 2008 sind. Das Whitepaper beschreibt, wie Sie Gruppenrichtlinieneinstellungen verwenden können, um Betriebssystem- und Anwendungseinstellungen besser bereitzustellen und zu verwalten. Mithilfe von Gruppenrichtlinieneinstellungen können Sie Betriebssystem- und Anwendungseinstellungen konfigurieren, bereitstellen und verwalten, die Sie zuvor nicht mithilfe von Gruppenrichtlinien verwalten konnten. Beispiele sind zugeordnete Laufwerke, geplante Vorgänge und Menü Einstellungen. Für viele Arten von Betriebssystem- und Anwendungseinstellungen ist die Verwendung von Gruppenrichtlinieneinstellungen eine bessere Alternative zum Konfigurieren in Windows-Images oder mit Anmeldeskripts.

    Gruppenrichtlinieneinstellungen – Übersicht

  4. Ordnen Sie Laufwerke mit einem Anmeldeskript zu, das das launchapp.wsf-Skript verwendet, um die Befehle mit dem Aufgabenplaner zu planen. Das folgende Dokument hilft Ihnen, die neuen und aktualisierten Features zu sortieren, die in Windows Vista verfügbar sind. Es bietet auch viele bewährte Methoden, die Ihnen bei der Bereitstellung von Gruppenrichtlinien helfen.

    Bereitstellen von Gruppenrichtlinien mit Windows Vista

  5. Im folgenden Artikel wird eine nicht unterstützte Methode beschrieben, mit der die zuvor beschriebene Sicherheitsänderung durch Konfigurieren des EnableLinkedConnections Registrierungswerts wiederhergestellt wird. Mit diesem Wert kann Windows Vista Netzwerkverbindungen zwischen dem gefilterten Zugriffstoken und dem vollständigen Administratorzugriffstoken für ein Mitglied der Gruppe "Administratoren" freigeben. Nachdem Sie diesen Registrierungswert konfiguriert haben, überprüft LSA, ob ein anderes Zugriffstoken der aktuellen Benutzersitzung zugeordnet ist, wenn eine Netzwerkressource einem Zugriffstoken zugeordnet ist. Wenn LSA feststellt, dass ein verknüpftes Zugriffstoken vorhanden ist, wird der verknüpfte Speicherort die Netzwerkfreigabe hinzugefügt.

    Programme können möglicherweise nicht auf einige Netzwerkstandorte zugreifen, nachdem Sie die Benutzerkontensteuerung in Windows Vista oder neueren Betriebssystemen aktiviert haben.

Weitere Informationen

Wenn sich der Administratorbenutzer anmeldet, verarbeitet Windows die Anmeldeskripts mithilfe des Token mit erhöhten Rechten. Das Skript funktioniert tatsächlich und ordnet das Laufwerk zu. Windows blockiert jedoch die Ansicht der zugeordneten Netzwerklaufwerke, da der Desktop das gefilterte Token verwendet, während die Laufwerke mit dem Token mit erhöhten Rechten (vollständiger Administrator) zugeordnet wurden.

Vor Windows 2000 SP2 bleiben Gerätenamen (z. B. zugeordnete Laufwerke) global sichtbar, bis sie explizit entfernt oder das System neu gestartet wurde. Aus Sicherheitsgründen haben wir dieses Verhalten ab Windows 2000 SP2 geändert. Ab diesem Zeitpunkt werden alle Geräte einer Authentifizierungs-ID (LUID) zugeordnet. LUID ist eine ID, die für jede Anmeldesitzung generiert wird. Ein prozess, der im LocalSystem-Kontext ausgeführt wird, kann einen Gerätenamen im globalen Gerätenamespace erstellen, obwohl lokale Namespaceobjekte globale Namespaceobjekte ausblenden können.

Diese zugeordneten Laufwerke sind LUID zugeordnet. Und erhöhte Anwendungen verwenden eine andere LUID, die während eines separaten Anmeldeereignisses generiert wird. Die Anwendung mit erhöhten Rechten sieht also keine zugeordneten Laufwerke für diesen Benutzer mehr. Sie werden feststellen, dass dasselbe Verhalten zuvor oder RunAs die CreateProcessAsUser API verwendet wurde, aber UAC erhöht erheblich die Anzahl der Benutzer, die diese Konzepte verwenden werden.

Wenn Sie eine Eingabeaufforderung erhöhen, werden keine lokalen Namespace-zugeordneten Laufwerke mehr angezeigt, die aus Ihrer ursprünglichen Anmeldung erstellt wurden (unabhängig davon, ob sie über ein Anmeldeskript erstellt wurden, die WNetAddConnection API verwenden oder anderweitig). Es gibt eine Entschärfung für das Szenario des Startens aus Dem Windows-Explorer. Wenn Sie auf eine ausführbare Datei doppelklicken, die entweder als Installationsdatei erkannt wird oder als requireAdministrator manifestiert ist, kann Windows erkennen, dass sie erhöht wurde und dass ein Fehler angezeigt wird, der angibt, dass der Pfad nicht gefunden wurde, und diese Laufwerkzuordnung von der ursprünglichen LUID kopieren. Das ist jedoch das einzige Szenario, das automatisiert ist.