Es waren einmal die Zeiten in denen man in C:\WINDOWS\TEMP einfach mal eine Datei anlegen konnte und jeder darauf zugreifen konnte.
Seit Windows Vista hat sich ja einiges getan was Sicherheit betrifft, besonders auch die Rechtevergabe auf Dateien, die im C:\Windows\Temp Ordner angelegt werden.
Ein Programm im Rentenalter (es ist gerade mal so um die 16 Jahre alt 😉 geschätzt) erzeugte in C:\WINDOWS\TEMP eine Datei, mit der bestimmte Zugriffe abgesichert wurden. Darunter auch wenn mehrere Instanzen des Programms auf einem Rechner liefen. Das funktionierte prima. Die Datei wurde unter einem festen Namen angelegt und nicht entfernt, nachdem das Programm beendet wurde.
Seit Vista gibt es aber nun ein kleines Problem.:
Seit Windows Vista darf in C:\WINDOWS\TEMP immer noch jeder User Dateien erzeugen. Auf diese Dateien hat er auch vollen Zugriff. Aber auf diese Dateien hat kein anderer Nutzer mehr Zugriff… 😮 … und selbst ein Admin muss erst hier erst den Besitz übernehmen, wenn er die Datei nicht erzeugt hat.
Und nun hat diese kleine alte Programm den folgenden Effekt:
- Benutzer A meldet sich an.
- Benutzer A startet das Programm Er arbeitet damit und die temporäre Datei wird in C:\WINDOWS\TEMP angelegt.
- Benutzer A meldet sich ab und beendet das Programm.
- Benutzer B meldet sich an.
- Benutzer B startet das Programm und … bekommt eine Fehlermeldung mit einem „Access denied!“.
Mit den neuen Rechten, die auf dem C:\WINDOWS\TEMP Verzeichnis liegen, kann der zweite Benutzer auf diese Datei nicht mehr zugreifen auf die eben nur der Erzeuger Zugriff hat, und der ist eben Benutzer A.
PS: Es Frage mich keiner warum C:\WINDOWS\TEMP aus GetWindowsDir und angehängtem Text TEMP zusammengesetzt wurde. Vermutlich um zu umgehen, dass ein privates temporäres Verzeichnis benutzt wird. Tja und CSIDL_APPDATA war dem damaligen Entwickler (evtl. noch unter Windows 3.1) nicht bekannt.
Das könnte man doch umgehen, wenn den lokalen Benutzern und Hauptbenutzern volle Rechte auf das Verzeichnis inkl. Unterverzeichnisse (Vererbung) gegeben werden. Am effektivsten, gleich nachdem der Rechner aufgesetzt wurde. Oder sehe ich das falsch
Gruß
Gottfried (IT-Service Klinikum Mannheim)
Nein! Das siehst Du nicht falsch. Wenn man keinen sonstigen „Zugriff auf das Programm hat“ dann ist das die einzige Lösungsmöglichkeit.
Grundsätzlich aber wurde es aus Sicherheitsgründen gemacht. Ein User soll eben auch nicht über temporäre Dateien an den Inhalt anderer Nutzer kommen…