Vorlesung: 1 Gruppen und Berechtigungen © 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Gruppen und Rechte unter Windows 2000 2. Quartal

Vorlesung: 1 Gruppen und Berechtigungen © 2003 Prof. Dr. G. Hellberg

Studiengang Informatik FHDWStudiengang Informatik FHDW

Vorlesung:

Gruppen und Rechte

unter Windows 2000

2. Quartal 2003


GliederungGliederung

Gruppen unter Windows 2000

Gruppenzuordnungen

Gruppen herauf-/zurückstufen

Berechtigungen auf Freigabeebene

Beispiel zu Freigabeberechtigungen

Berechtigungen auf NTFS-Ebene

Beispiel zu NTFS-Berechtigungen


Gruppen unter Windows 2000Gruppen unter Windows 2000Eine Gruppe ist eine mittelbare oder unmittel-bare Sammlung von Benutzerkonten und kann für die Vergabe von Berechtigungen verwendet werden Sicherheitsgruppe.

Alternativ: Verwendung von Gruppen für nicht-sicherheitsrelevante Aufgaben , z. Bsp. Mail- oder Softwareverteilerliste Verteilergruppe.


Gruppen unter Windows 2000Gruppen unter Windows 2000Gruppentypen:

Lokale GruppenAnwendbar auf WS und Standalone-Servern (SAM).

Lokale DomänengruppeAnwendbar auf Domänencontrollern (DC) im gemisch-ten und einheitlichen Modus (Active Directory, AD).Die unter NT 4.0 bekannten vordefinierten Gruppen mit bestimmten Systemprivilegien werden unter Win 2000 vordefinierte lokale Gruppen genannt.

Globale GruppeAnwendbar auf DC im gemischten und einheitlichen Modus (AD).

Universelle GruppeAnwendbar auf DC im einheitlichen Modus (AD).


Gruppen unter Windows 2000Gruppen unter Windows 2000Es gibt in einer Domäne nur drei Gruppen-typen. (Vier, wenn WS und Standalone-Ser-ver mit einbezogen werden.)

Annahme: die Verwaltung sei einfach.

"Wäre Windows 2000 ein Schriftsteller und die Gruppen Worte und Sätze, dann würde Windows 2000 mit ihnen jonglieren, sie schichten und stapeln und völlig verquert wieder anordnen, dass Kafkas Werke im Vergleich dazu wie Kinderbücher zu lesen wären." [William Boswell, Windows 2000 Server, Markt und Technik, 1. Auflage 2001]




Gruppenzuordnungen







GruppenzuordnungenGruppenzuordnungenLokale Gruppe

Einer lokalen Gruppe können Rechte für lokale Ressourcen einer WS oder eines Standalone-Servers zugeordnet werden.Einer lokalen Gruppe können lokale Benutzer (SAM-gespeichert), globale Gruppen und/oder universelle Gruppen derselben Domäne angehören.


GruppenzuordnungenGruppenzuordnungenLokale Domänengruppe

Einer lokalen Domänengruppe können Rechte für AD-Ressourcen zugeordnet werden.Einer lokalen Domänengruppe können globale Gruppen und/oder universelle Gruppen derselben Domäne angehören. Ausserdem möglich aber nicht der Microsoft Rechtevergabe-Empfehlung entsprechend:

Einer lokalen Domänengruppe können Domänenbenutzerkonten zugewiesen werden.Eine lokale Domänengruppe kann Mitglied einer anderen lokalen Domänengruppe derselben Domäne sein.


GruppenzuordnungenGruppenzuordnungenGlobale Gruppe

Einer globalen Gruppe können Benutzerkonten und/oder globale Gruppen derselben Domäne angehören.Eine globale Gruppe kann Mitglied einer lokalen Gruppe derselben Domäne sein.Eine globale Gruppe kann Mitglied einer univer-sellen Gruppe derselben oder einer vertrauens-würdigen Domäne sein.Ausserdem möglich aber nicht der Microsoft Rechtevergabe-Empfehlung entsprechend:

Einer globalen Gruppe können Rechte für AD-Ressourcen zugeordnet werden.


GruppenzuordnungenGruppenzuordnungenUniverselle Gruppe

Einer universellen Gruppe können (auch do-mänenübergreifend) Domänenbenutzerkonten, globale und universelle Gruppe angehören.Eine universelle Gruppe kann (auch domänen-übergreifend) Mitglied einer lokalen Domänen-gruppe oder einer universellen Gruppe sein.Ausserdem möglich aber nicht der Microsoft Rechtevergabe-Empfehlung entsprechend:

Einer universellen Gruppe können domänenüber-greifend Rechte für AD-Ressourcen zugeordnet werden.


GruppenzuordnungenGruppenzuordnungenEmpfehlungen für Rechte

Innerhalb einer Domäne:(Domänen)Benutzer werden Mitglied in einer globalen Gruppe.Rechtezuordnungen auf lokale oder AD-Ressourcen durch eine lokale (Domänen)-Gruppe.Eine globale Gruppe wird Mitglied in einer lokalen (Domänen)Gruppe.Rechtezuweisung von lokaler (Domänen)Gruppe über die globale Gruppe auf die (Domänen)Be-nutzer.


GruppenzuordnungenGruppenzuordnungenEmpfehlungen für Rechte

Domänenübergreifend:Domänenbenutzer werden Mitglied in einer globalen Gruppe.Rechtezuordnungen auf AD-Ressourcen durch lokale Domänengruppen.Eine universelle Gruppe erstellen, deren Mitglied die globale Gruppe ist.Die universelle Gruppe ist Mitglied in der lokalen Domänengruppe.Rechtezuweisung von lokaler Domänengruppe über die globale Gruppe über die universelle Gruppe auf die Domänenbenutzer.




Gruppenzuordnungen







Gruppen herauf-/zurückstufenGruppen herauf-/zurückstufenUnter bestimmten Voraussetzungen können Gruppen herauf-/zurückgestuft werden.

Lokale Domänengruppe Universelle Gruppe:Voraussetzung: der lokalen Domänengruppe gehört keine andere lokale Domänengruppe an.

Globale Gruppe Universelle Gruppe:Voraussetzung: die globale Gruppe ist nicht Mitglied in einer anderen universellen Gruppe.

Universelle Gruppe Globale Gruppe:Möglich, sofern keine Mitglieder aus anderen Domänen vorhanden sind.

Universelle Gruppe Lokale Domänengruppe:Muss am Global Catalog Server (GC) durchgeführt werden.


Zuordnungen und HeraufstufungenZuordnungen und Heraufstufungen

Ressourcender DomäneAlpha

Ressourcender Domäne

Beta

Win 2K-Domäne Alpha(einheitlicher Modus)

Win 2K-Domäne Beta(einheitlicher Modus)

UserAnton

UserBernd

UserBert

LokaleDomänengruppe


GlobaleGruppe

GlobaleGruppe

GlobaleGruppe

UniverselleGruppe


UserAdalbert

UserBastian

sinnvolle Mitgliedschaft:

nicht empfehlenswerte Mitgliedschaft:

nicht heraufstuf-bare Gruppen:

UserAnton




Gruppenzuordnungen







Berechtigungen auf FreigabeebeneBerechtigungen auf FreigabeebeneFür freigegebene Ressourcen können Be-rechtigungen vergeben werden.

Standardmäßig wird die Berechtigung Voll-zugriff für die Gruppe Jeder in der Access Control List (ACL) eines jeden Objekts ein-getragen.

Mögliche Berechtigungen:LesenÄndernVollzugriff


Berechtigungen auf FreigabeebeneBerechtigungen auf FreigabeebeneFreigabeberechtigungen

Lesen:Dateianzeige, Wechsel in Verzeichnisse, Inhaltsanzeige.

ÄndernWie Lesen, zusätzlich:Neu erstellen von Dateien und Verzeichnissen,Löschen von Dateien und Verzeichnissen, Inhalte ändern

VollzugriffWie Ändern, zusätzlich:Berechtigungen ändern (nur NTFS),Besizt übernehmen (nur NTFS).


Berechtigungen auf FreigabeebeneBerechtigungen auf FreigabeebeneExistieren mehrere (Gruppen)Berechtigun-gen für einen Benutzer, so werden alle Be-rechtigungen addiert.

Werden bestimmte Rechte verweigert, so besitzen diese Restriktionen eine höhere Priorität als mögliche Rechtezuweisungen.

Nicht-Zuweisung von Rechten (weder Zu-weisung noch Verweigerung) gilt als Ver-weigerung.




Gruppenzuordnungen







Berechtigungen auf FreigabeebeneBerechtigungen auf FreigabeebeneBeispiel: Welche Rechte besitzt Teilnehmer auf die Freigabe Ordner_Novell?


Berechtigungen auf FreigabeebeneBerechtigungen auf FreigabeebeneBeispiel: Welche Rechte besitzt Teilnehmer auf die Freigabe Ordner_Novell?

Antwort:Gewährte Rechte:Gruppe Jeder auf die Freigabe:

Vollzugr.Teilnehmer auf die Freigabe: Lesen

Summe:Vollzugr.abzüglich verweigerter Rechte:Teilnehmer auf die Freigabe:

Ändern (Verweigerung beeinflußt:

Vollzugriff) effektive Rechte Summe: Lesen




Gruppenzuordnungen







Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneFür Verzeichnisse und neu erstellte Dateien in einem NTFS-Dateisystem können Berech-tigungen vergeben werden (optional nicht rekursiv).

Standardmäßig wird die Berechtigung Voll-zugriff für die Gruppe Jeder in der ACL eines jeden Objekts eingetragen.

Die nachfolgend aufgeführten sechs Stan-dardberechtigungen setzen sich aus 13 er-weiterten Berechtigungen zusammen, die über die Schaltfläche "Erweitert" zu administrieren sind.


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneStandard NTFS-Berechtigungen:

Lesen,Schreiben,Ordnerinhalt auflisten,Lesen & Ausführen,Ändern,Vollzugriff

Abhängig davon, ob die Berechtigungen für eine Datei oder ein Verzeichnis gelten, ha-ben diese eine etwas unterschiedliche Be-deutungen.


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneLesen

Ordner: Dateien im Verzeichnis öffnen und Inhalt der Dateien lesen.

Datei: Datei öffnen und Inhalt lesen.

SchreibenOrdner:

Dateien und Ordner erzeugen.

Datei: Inhalt einer Datei ändern oder neuen hinzufügen.


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneOrdnerinhalt auflisten

Ordner:Kombination aus Lesen und Lesen & Ausführen.

Datei: Nicht zutreffend.

Lesen & AusführenOrdner:

Dateien im Verzeichnis öffnen und lesen, ausführbare Dateien und Batchdateien starten.

Datei: Datei öffnen und lesen, ausführbare Datei und Batchdatei starten.


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneÄndern

Ordner: Alle Aktionen außer Unterordner und Dateien löschen, Berechtigungen ändern und Besitzrecht übernehmen.

Datei:Alle Aktionen außer löschen, Berechtigung ändern und Besitzrecht übernehmen.

VollzugriffOrdner:

Alles erlaubt.

Datei:Alles erlaubt.


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneNTFS-Berechtigungen einrichten

Abgeblendete Häk-chen bedeuten, dieBerechtigungensind vererbt.Die Vererbungkann deaktiviertwerden.


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneNTFS-Berechtigungen einrichten

Vorsicht bei der Deaktivierung der Vererbung!"Entfernen" ohne vorherige Rechtezuweisungen erzeugt ein "totes" Verzeichnis.


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneErweiterte Berechtigungen (Überblick):

Ordner durchsuchen/Datei ausführen,Ordner auflisten/Daten lesen,Attribute lesen,Erweiterte Attribute lesen,Dateien erstellen/Daten schreiben,Dateien erstellen/Daten anhängen,Attribute schreiben,Erweiterte Attribute schreiben,Unterordner und Dateien löschen,Löschen,Berechtigungen lesen,Berechtigungen ändern,Besitzrecht übernehmen.


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneErweiterte NTFS-Berechtigungen betrachten


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneGeltungsbereich für NTFS-Berechtigungen

Konfigurierbar in den erweiterten NTFS-Rechte-einstellungenFür diesen Ordner, Unterordner und Dateien,Für diesen Ordner, Unterordner,Für diesen Ordner, Dateien,Nur Unterordner und Dateien,Nur Unterordner,Nur Dateien


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneExistieren mehrere (Gruppen)Berechtigun-gen für einen Ordner, so werden alle Be-rechtigungen addiert.

Werden bestimmte Rechte verweigert, so besitzen diese Restriktionen eine höhere Priorität als mögliche Rechtezuweisungen.

Nicht-Zuweisung von Rechten (weder Zu-weisung noch Verweigerung) gilt als Ver-weigerung.




Gruppenzuordnungen







Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneBeispiel:

Der Nutzer Harald ist Mitglied der lokalen Gruppe Verwaltung.

Welche Rechte besitzt er auf die Datei Abrechnung.Doc im Ordner FiBu, wenn folgende Berechtigungen existieren?

Jeder auf FiBu: Lesen, Schreiben, Ordnerinhalt auflisten, Lesen & Ausführen,Verwaltung auf FiBu: Ändern,Harald auf FiBu: Lesen, Schreiben verweigert.


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneBeispiel:

Der Nutzer Harald ist Mitglied der lokalen Gruppe Verwaltung und auch von Jeder.

Anwort:Gewährte Rechte:Jeder auf FiBu: L, S, O, L&S Verwaltung auf FiBu: Ändern

Harald auf FiBu: Lesen Summe: L, S, O, L&A,

Äabzüglich verweigerter Rechte:Harald auf FiBu: Schreiben

(Verweigerung beeinflußt: Ändern) Summe: L, O, L&A


Berechtigungen auf NTFS-EbeneBerechtigungen auf NTFS-EbeneHinweise zu NTFS-Rechten:

Arbeiten Sie im Zweifelsfall nur mit den erwei-terten Rechten, um den Überblick nicht zu ver-lieren.Wird gewünscht, besondere Rechte zuzuweisen oder zu verweigern, so sollte unbedingt eine de-taillierte Prüfung der erweiterten Rechte erfol-gen!Es besteht keine Möglichkeit, sich die effektiven Rechte für ein Objekt anzeigen zu lassen!Vergeben Sie auf oberen Ebenen einer Ver-zeichnisstruktur nicht zu mächtige Rechte.Dokumentieren Sie Änderungen genau.


ENDEENDE

Fragen?Fragen?

Documents

Vorlesung: 1 Gruppen und Berechtigungen © 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Gruppen und Rechte unter Windows 2000 2. Quartal