Meldung „Der Vorgang wurde aufgrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden sie sich an den Systemadministrator.“ bei „Speichern unter“ aus einem E-Mail-Anhang heraus

Bei einem Kunden erschien nach der Migration eines Terminalservers von Windows Server 2003 auf Windows Server 2008 R2 beim Aufrufen von „Speichern unter“ z.B. aus dem Adobe Reader oder Excel die Meldung „Der Vorgang wurde aufgrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden sie sich an den Systemadministrator.“

Für diese Meldung kann es verschiedene Gründe geben, die Ausgangslage ist entsprechend relevant bei der Suche nach der Ursache. In diesem Fall erschien die Meldung reproduzierbar nach dem z.B. eine PDF-Datei, die an einer E-Mail angehängt war von Outlook aus im Adobe Reader geöffnet wurde. Klickte man dann auf „Datei – Speichern unter“ kommt genannte Meldung. Nachdem Diese mit einem Klick auf „OK“ bestätigt wurde, konnte man dennoch Speichern.

Windows - EinschränkungenUrsachenforschung

Das eine Gruppenrichtlinie dafür verantwortlich ist lässt schon der Text der Meldung vermuten, die Frage war allerdings, was im verborgenen geschieht. Einen Hinweis darauf lieferte der Process Monitor mit dessen Hilfe man beobachten konnte, das der Adobe Reader in dem Moment, in dem man Speichern möchte, in den „Temporary Internet Files“-Ordner des Internet Explorers (Outlook greift darauf zu, da es die IE-Engine verwendet, in Folge betrifft es auch den Reader) eine „Zugriff verweigert (Access Denied)“-Meldung erhält. Das mutet zunächst seltsam an, da der Benutzer innerhalb seines eigenen Profils eigentlich überall Zugriff hat.

Lösung

Ursächlich für dieses Phänomen ist folgende Gruppenrichtlinieneinstellung:

Computer-/Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Windows-Komponenten - Windows-Explorer - Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen

GPO - Zugriff auf Arbeitsplatzlaufwerke einschränkenNachdem die Richtlinie geändert wurde, funktionierte alles wieder wie gewohnt. Die lokalen Laufwerke bleiben dennoch für den Anwender verborgen (aber der Zugriff ist dennoch möglich) da im gleichen Pfad die Richtlinie „Diese angegebenen Datenträger im Fenster Arbeitsplatz ausblenden“ entsprechend konfiguriert ist. Das ist zwar in diesem Szenario irgendwie Security-by-obscurity, aber was will man machen.

Kurios bleibt allerdings, das dieses GPO ebenfalls auf den alten Terminalserver wirkte und dort diese Meldung nicht erschien. Tatsächlich handelt es sich sogar um das bis zu diesem Zeitpunkt gleiche unveränderte GPO wie seit Jahren.

5 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.