Home » Windows » Windows Server » Berechtigungen
- Anzeige -
Software Asset Management beim Fachmann

Berechtigungen

Inhalt

Administratoren / Benutzer

Abgrenzung Datei- und Freigaberechte

Dateirechte

Spezielle Rechte

Kopieren / Verschieben von Dateien

Gruppenarten in Windows

Aufbau einer SID

Administratoren / Benutzer

Administratoren

Administratoren verfügen über alle Rechte. Bei den Standardsicherheitseinstellungen ab Windows 2000 gibt es keinerlei Einschränkungen der Administratorrechte auf Registrierungs- oder Dateisystemobjekte. Administratoren können alle vom Betriebssystem unterstützten Funktionen durchführen. Alle Rechte, über die Administratoren nicht standardmäßig verfügen, können sie sich selbst erteilen.
In der Regel sollten Administratorrechte für das System nur für folgende Funktionen benötigt werden:
- Installieren des Betriebssystems und der zugehörigen Komponenten (Hardwaretreiber, Systemdienste, usw.)
- Installieren von Service Packs und Hotfixes
- Installieren von Windows-Updates
- Aktualisieren des Betriebssystems
- Reparieren des Betriebssystems
- Konfigurieren wichtiger Betriebssystemparameter für den Computer.

In der Praxis müssen Administratorkonten oft zum Installieren und Ausführen älterer Windows-basierter Anwendungen verwendet werden.

Benutzer

Benutzer sind quasi das Gegenteil von Administratoren. Auf einer Standardinstallation können Benutzer mit normalen Benutzerrechten auf einer NTFS-Partition keine Anwendungen installieren. Benutzer können keine für den gesamten Computer geltende Registrierungseinstellungen, Betriebssystemdateien oder Programmdateien ändern. Ebenso wenig können sie Anwendungen installieren, die von anderen Benutzern ausgeführt werden können (wodurch die Installation von Malware erschwert wird). Auf die privaten Daten anderer Benutzer haben Benutzer keinen Zugriff. Demzufolge lauten zwei wichtige Aspekte zum Schutz eines Windows-basierten Systems folgendermaßen:

In der Praxis können reguläre Benutzer die meisten älteren Anwendungen nicht ausführen, weil bei der Entwicklung dieser Anwendungen die Betriebssystemsicherheit nicht berücksichtigt wurde. Mitglieder der Gruppe Hauptbenutzer sollten in der Lage sein, solche Anwendungen auszuführen. Ältere Anwendungen kann man aber oft auf die "Sprünge" helfen, indem man entsprechende Dateiberechtigungen auf das Programmverzeichnis gibt.

Hauptbenutzer

Hauptbenutzer sind bezüglich des Systemzugriffs zwischen Administratoren und Benutzern angesiedelt. Die Standardsicherheitseinstellungen von Windows 2000 und höher für Hauptbenutzer sind abwärtskompatibel mit den Standardsicherheitseinstellungen für Benutzer des Betriebssystems Windows NT® 4.0. Zusammengefasst heißt dies: Hauptbenutzer verfügen über sehr viele Rechte.

In der Regel sollten Hauptbenutzer in der Lage sein, alle Aufgaben außer den oben beschriebenen administrativen Aufgaben auszuführen.

Hauptbenutzer sollten demnach Folgendes durchführen können:

In der Praxis können Hauptbenutzer viele ältere Anwendungen nicht installieren, weil diese Anwendungen während des Installationsvorgangs versuchen, Betriebssystemdateien zu ersetzen.

Benutzerrechte

Drucker

Soll ein Benutzer Druckaufträge unterbrechen und später wieder fortsetzen können, sowie den Drucker offline setzen können, benötigt er das Recht Drucker verwalten.

Freigeben von Ordnern

Installieren und Deinstallieren computer-bezogener Anwendungen, die keine Systemdienste installieren

Anpassen von systemweiten Ressourcen (z. B. Systemzeit, Anzeigeeinstellungen, Freigaben, Energiekonfiguration, Drucker, usw.)

Formatieren

Workstation remote herunterfahren

Dieses Recht muss über eine Gruppenrichtlinie erteilt werden

Abgrenzung Datei- und Freigaberechte

Dateirechte

Dateirechte sind die Sicherheitseinstellungen, die man auf einer NTFS-Partition einem Dateiobjekt vergibt. Diese werden üblicherweise im Kontextmenü des Objektes unter Eigenschaften > Sicherheitseinstellungen vergeben:

Freigabeberechtigungen

Freigaberechte

Freigaberechte sind die Berechtigungen, die ich einer Freigabe vergebe. Diese werden üblicherweise im Kontextmenü des Objektes unter Eigenschaften > Freigabe > Berechtigungen vergeben:

Freigabeberechtigungen

Freigaberechte sind aber nur beim Zugriff über das Netzwerk wirksam, nicht beim direkten Zugriff z.B. via Terminalserver. Anders herum: Bei lokalem Zugriff greifen nur die NTFS-Berechtigungen

Bei Kombination von Datei- und Freigaberechten ist die von beiden stärker einschränkende Berechtigung die wirksame.

Sehr schöne Analogie von von Grizzly999 aus dem www.mcseboard.de 

"Du gehst in die Stadtbücherei. Als erstes gehst du den Haupteingang, das entspricht der Freigabe(berechtigung) im Netzwerk. Am Eingang steht einer und sagt "Alle Stifte abgeben, hier drin ist nur lesen erlaubt". Drinnen am Bücherregal (NTFS-Berechtigung) steht dann ein Schild "Hier dürfen sie alles abschreiben. Dann kannst du sagen 'Wie denn bitte, draußen hat mir einer alle Stifte abgenommen'.

Anders herum: Draußen steht keiner und du läufst mit einem Trench-Coat voller Stifte rein (Freigabe Vollzugriff). Drinnen am Regal steht einer, der dir wieder alle Stifte abnimmt."

Am sinnvollsten setzt man Zugriffsrechte über NTFS-Rechte und nicht über Freigabrechte auf (deshalb war auch in den ersten Windows 2000 und höher Varianten die Standardfreigabeberechtigung Jeder->Vollzugriff)

Dateirechte

Es gibt die folgenden Rechte in der Registerkarte Sicherheit bei einem Dateiobjekt

Berechtigung Rechte
Vollzugriff / Full Control Alle
Ändern / Modify Alle, außer Berechtigungen ändern und Besitzerrechte übernehmen
Lesen & Ausführen / Read & Execute Datei öffnen und lesen, ausführbare Dateien und Batchdateien starten
Ordnerinhalt auflisten / List Folder Contents Nur bei Ordner: Lesen und Lesen & Ausführen
Lesen / Read Datei öffnen und lesen
Schreiben / Read Datei ändern oder neu erzeugen
Spezielle Berechtigungen Siehe unten

Dateiberechtigungen

Rechte können auch mit Klick auf die Taste Erweitert als spezielle Berechtigung vergeben werden.

Berechtigung Rechte
Vollzugriff  
Ordner durchsuchen / Datei ausführen  
Ordner auflisten / Daten lesen  
Attribute lesen  
Erweiterte Attribute lesen  
Dateien erstellen / Dateien schreiben  
Ordner erstellen / Daten anhängen  
Attribute schreiben  
Erweiterte Attribute schreiben  
Unterordner und Dateien löschen  
Löschen  
Berechtigungen lesen  
Berechtigungen ändern  
Besitzrechte übernehmen  

Lesen, Ausführen, Ordnerinhalt auflisten

entspricht den besonderen Rechten

Ordner durchsuchen / Datei ausführen, Ordner auflisten / Daten lesen, Attribute lesen, Erweiterte Attribute lesen, Berechtigungen lesen.

Ohne Berechtigungen lesen, lässt sich keine Datei öffnen!

Wichtig bzw. zu beachten sind auch die Einstellungen für die Vererbung der Rechte

Erweiterte Sicherheitseinstellungen

....

Ordnerrechte

Ordnerrechte

Dateirechte

Dateirechte

Ordnerrechte haben also das Recht Ordnerinhalt auflisten mehr.

Wer Schwierigkeiten hat sich die Rechte zu merken, hat es vielleicht leichter sich zu merken, dass es bei Dateien 5 und Ordner 6 Rechte hat. Ebenfalls merken sollte man sich, dass ein Recht Lesen, Ausführen heißt, dann bekommt man in der Regel den Rest zusammen.

Die Dateirechte dürfen nicht mit den Freigaberechten verwechselt werden. Die Freigaberecht haben nur 3 Rechte, die sind Lesen, Ändern, Vollzugriff.

Zum Löschen ist Vollzugriff erforderlich.

Hierarchie der Rechte

Hierarchie der Rechte

Spezielle Rechte

Read

ReadData, ReadAttr, ReadEA, ReadPerm

List

Traverse/Execute, List, ReadAttr, ReadEA, ReadPerm

Write

Create/ReadData, AppendData, WriteAttr, WriteEA

Read/Execute (RX) Read + List
Modify RX + Write
Full Control Modify + Delete + TakeOwnership

Um durch einen Ordner durchbrowsen zu können, benötigt man die Rechte

Ordner auflisten / Daten lesen sowie Attribute lesen.

Quelle:

http://support.microsoft.com/kb/308419/de

Kopieren / Verschieben von Dateien

Wenn eine Datei kopiert wird, wird sie am Zielort neu erstellt und erbt daher die Berechtigungen des Ordners, in den sie kopiert wurde. Beim Verschieben innerhalb einer Partition behält die Datei Ihre Ursprungsrechte.

Will man Dateien verschieben und Berechtigungen des Zielordners annehmen lassen, kopiert man also am Besten und löscht dann die Ursprungsdaten.

http://support.microsoft.com/default.aspx?scid=kb;en-us;310316 

Gruppenarten in Windows

Gruppen bei Windows NT

Bei Windows NT gab es nur zwei Arten von Gruppen (lokale und globale Gruppen). Die Regeln waren hier noch recht einfach und übersichtlich. Globale Gruppen konnten nur Benutzerkonten aufnehmen und die lokalen Gruppen konnten Benutzerkonten und globale Gruppen enthalten.

Standardmäßig wurden über die lokalen Gruppen die Zugriffe auf die Ressourcen geregelt und die Benutzerkonten den globalen Gruppen zugeordnet. Sollte ein Benutzer Zugriff auf eine Ressource bekommen, wurde seine globale Gruppe einfach in die lokale Gruppe aufgenommen. Administratoren, die Ihr Netzwerk auf Windows 2000 umstellen wollen, sollten diese Regel beachtet haben, da Windows bei der Umstellung der Gruppen von dieser Regelung ausgeht.

Zugriffsberechtigungen über Gruppen

Gruppen ab Windows 2000

Ab Windows 2000 gibt es jetzt 3 Arten von Gruppen (lokale, globale und universelle Gruppen) die es jeweils noch als zwei Typen gibt (Sicherheits- und Verteilergruppen). Lokale und globale Gruppen sind die bekannten Gruppen aus Windows NT und können nur innerhalb einer Domäne existieren. Aus diesem Grunde wurden noch die universellen Gruppen für den globalen Katalog eingeführt, diese Gruppen gelten über die Grenzen einer Domäne hinweg in der gesamten Struktur.

Die Hauptunterschiede sind

Mitglieder lokaler Domänengruppen können sein

Mitglieder globaler Gruppen können sein

Mitglieder universeller Gruppen können sein

Es ist also auch unter Windows 2000 sinnvoll, die Ressourcen-Kontrolle über lokale Gruppen zu regeln und in den globalen Gruppen die Benutzer zu belassen, da somit der Replikationsverkehr zwischen den Domänenkontrollern verringert wird.

Also: Lokale Gruppen sind nur innerhalb der eigenen Domäne gültig und können über Domänengrenzen hinweg nicht eingesetzt werden. Ressourcen sind in der Regel standort gebunden und benötigen nur Zugriffsrechte innerhalb der Domänen. Auch aus diesem Grund ist die Zuordnung zu lokalen Gruppen ausreichend.

Würde man für die Ressourcen-Kontrolle globale Gruppen verwenden, würde die Datenmenge des Globalen Katalogs ohne zusätzlichen Nutzen anwachsen, was zu erhöhtem Replikationsaufkommen führt und dadurch WAN-Verbindungen unnötig belasten würde.

Was ist eine Sicherheitsgruppe?

Mit Sicherheitsgruppen kann der Zugriff auf das Active Directory, Objekte und Verzeichnisse/Dateien geregelt werden und sie können in deren ACL (Access Control Lists) auftauchen. Die Mitgliedschaft dieser Gruppen wird bei der Anmeldung überprüft und alle Benutzerrechte werden hiermit geregelt.

Was ist eine Verteilergruppe?

Gewährt den Zugriff auf Verteilerlisten (E-Mail Verteiler), es können hiermit aber keine Benutzerrechte gesetzt werden. Diese Gruppenart wird bei der Anmeldung nicht berücksichtigt. Das hat den Vorteil, dass selbst wenn ein Anwender in vielen Verteilerlisten ist, die Anmeldezeit dadurch nicht beeinflusst wird.

Aufbau einer SID

Die SID ist die Identifikationsnummer für Objekte im Active-Directory, also z.B. Benutzer und Gruppen. Windows selber arbeitet nur mit dieser SID. Da intern die SID angesprochen wird, kann z.B. der Benutzername nach einer Heirat problemlos geändert werden.

S-1-5-21-.....-1002

– S: Bezeichnung f. SID

– 1: Versionsnummer f. Windows2000

– 5: Identifier Authority: S-1-5 bezeichnet NT-Authority

– Subauthorities (meist ComputerSID)

– 1002: Bezeichner f. die User/Gruppe etc.

 



War der Artikel hilfreich? Bitte liken und sharen. Danke!

it-zeugs.de ist auch auf Facebook...

Schreibe einen Kommentar - aber kein SPAM - der wird zuverlässig gefiltert!

  • Erforderliche Felder sind markiert mit *.

If you have trouble reading the code, click on the code itself to generate a new random code.
 


Posts: 1
Comment
Modify
Reply #2 on : Sun November 23, 2014, 18:51:12
Hallo Raphael

Danke für Deinen Hinweis. Stimmt natürlich, habs geändert.

Gruss

Lars
Raphael
Posts: 1
Comment
Korrektur zu Dateirechten
Reply #1 on : Mon November 17, 2014, 12:11:17
Die NTFS-Berechtigung Ändern / Modify erlaubt löschen!