Benutzerverwaltung und Berechtigungen unter WindowsNT und dessen NachfolgernBetroffene Systeme:
- WindowsNT
- Windows2000
- WindowsXP Professional
Wer ein kleines Netzwerk mit WindowsNT, Windows2000 oder WindowsXP einrichten möchte, der kommt nicht drum herum zuerst das Sicherheitskonzept der Redmonder zu durchschauen. Aber solange man keine Domänen betrachtet ist das ganze halb so wild. Da wir in unserem Netz jedoch keine Domän verwenden, lasse ich diese jetzt mal links liegen.
Windows verwendet Benutzer und Gruppen um unterschiedliche Berechtigungen zu vergeben. Dabei kann man einen Benutzer auch Account nennen. Die wichtigsten Eigenschafen eines Account sind:
-Name
-Passwort
-Benutzergruppe(n)
-aktiviert/deaktiviert
-gesperrt/nicht gesperrt
Der Name dient dazu um dem System bei der Anmeldung mitzuteilen, wer am PC arbeitet. Das System ist dadurch in der Lage zu entscheiden, wann es wem, welche Berechtigungen zur Verfügung stellt
Das Passwort dient dem Schutz vor Missbrauch
Benutzergruppen erleichtern die Administration. Denn sie ermöglichen es durch eine einzige Aktion die Berechtigungen aller Accounts einer Benutzergruppe zu verändern. Des weiteren können bei der Erstellung eines neuen Accounts direkt Berechtigungen übernommen werden und müssen nicht jedes Mal neu erstellt werden. Das heisst natürlich nicht, dass man die Berechtigungen eines einzelnen Benutzers einer Gruppe nicht noch weiter verändern kann.
Die wichtigsten Benutzergruppen sind:
Administratoren: Ohne, dass sie sich selber einschränken, können sie tuen und lassen was sie wollen.
Benutzer: Sie können Anwendungen ausführen jedoch ncht installieren. Auch sonst können sie keine Veränderungen am System vornehmen.
Gäste: Ihre Rechte sind noch weiter eingeschränkt.
Eine Übersicht aller üblichen NT-Authoritäten findet sich hier:
http://support.microsoft.com/default.aspx?scid=kb;de;243330&Product=WWin2000GerEin deaktivierter Account verhält sich wie wenn er nicht existieren würde.
Ein Account kann optional zB gesperrt werden, wenn das Passwort zu oft falsch eingegeben wurde.
Accounts verwalten kann man sehr bequem mit der Computerverwaltung. Man erreicht sie so:
Klick auf "Start | Einstellungen | Systemsteuerung | Verwaltung | Computerverwaltung | Lokale Benutzer und Gruppen"
Berechtigungen für Gruppen und Benutzer lassen sich mit unterschiedlichen Werkzeugen für unterschiedliche Zwecke anpassen.
1. In den Eigenschaften einer Datei, eines Ordners oder eines Datenträgers für Zugriffsberechtigungen UND Freigabeberechtigungen
2. Über die Computerverwaltung für Freigabeberechtigungen
3. Über die Lokale Sicherheitsrichtlinie für alle Berechtigungen die nichts mit den zuvor genannten Berechtigungen zu tun haben.
4. Über einen Registryeditor für alle Berechtigungen die nichts mit den zuvor genannten Berechtigungen zu tun haben.
5. Mit Poledit den Gruppenrichtlinien oder anderen Werkzeugen für alle Berechtigungen die nichts mit den zuvor genannten Berechtigungen zu tun haben.
zu 1.: Ist ein Datenträger mit dem NTFS formatiert, dann können Zugriffsberechtigungen für einen Ordner, eine Datei oder den gesamten Datenträger mit einem Rechtsklick auf das Objekt, Eigenschaften | Sicherheitseinstellungen gewählt werden. Was für Berechtigungen man vergeben kann sieht man sich am besten einmal selber an. Mit einem Klick auf "Erweitert..." bekommt man noch mehr mögliche Berechtigungen.
Standardmässig ist das Häckchen Verbbare übergeordnete Berechtigungen übernehmen gesetzt. Beim erstellen eines Ordners oder einer Datei bekommt dieser/diese die Berechtigungen des übergeorneten Ordners. Ist das Häckchen gesetzt, dann übernimmt diese(r) Ordner/Datei auch später die Berechtigungen des übergeordneten Ordners, wenn die Berechtigungen für diesen verändert wurden. Deaktiviert man das Häckchen wird man zunächst gefragt ob man alle Einstellungen entfernen möchte. Zu empfehlen ist jedoch die Auswahl der Option kopieren, wodurch die übergeordneten Berechtigungen ein letztes mal übernommen werden. Diese kann man dann seinen Bedürfnissen anpassen.
Im Reiter "Erweiterte..." kann man das Entfernen des Häckchens auch für alle Unterordner rückgängig machen. Und zwar mit der sich selbst erklärenden Option "Berechtigungen in allen Untergeordneten Objekten zurücksetzen und die Verbreitung vererbbarer Berechtigungen aktivieren".
Natürlich kann man auch weitere Regeln für untergeordnete Objekte definieren ohne die Vererbung zu deaktivieren. Die Vererbung sollte man immer dann deaktivieren, wenn es möglich sein könnte, dass später einmal für übergeordnete Ordner Berechtigungen vergeben werden, die auf gar keinen Fall für den untergrordneten Ordner gelten dürfen.
Die Deaktivierung hilft nicht gegen Freigaben für übergeordnete Ordner! Dieses Szenario ist jedoch äusserst unwahrscheinlich, da man nur dann Probleme bekommt, wenn ein Account nur lokal auf ein Objekt zugreifen darf jedoch nicht über das Netz.
Unter "Erweiterte... | Besitzer" wird einem des weiteren eine Option geboten den Besitz für eine Datei zu übernehmen, falls man sich einmal ausgesperrt haben sollte. Dafür benötigt man jedoch Admin-Rechte und man darf diese Option natürlich nicht vorher ausgeschlossen haben. Letzteres geht über die lokale Sicherheitsrichtlinie.