Berechtigungen unter Microsoft Windows

Zuletzt aktualisiert am 25. Dezember 2023 von Lars

Mit diesem Tutorial wirst du das Berechtigungskonzept unter Microsoft Windows verstehen.

Administratoren / Benutzer

Administratoren

Administratoren verfügen über alle Rechte. Bei den Standardsicherheitseinstellungen ab Windows 2000 gibt es keinerlei Einschränkungen der Administratorrechte auf Registrierungs- oder Dateisystemobjekte. Administratoren können alle vom Betriebssystem unterstützten Funktionen durchführen. Alle Rechte, über die Administratoren nicht standardmäßig verfügen, können sie sich selbst erteilen. In der Regel sollten Administratorrechte für das System nur für folgende Funktionen benötigt werden:

  • Installieren des Betriebssystems und der zugehörigen Komponenten (Hardwaretreiber, Systemdienste, usw.)
  • Installieren von Service Packs und Hotfixes
  • Installieren von Windows-Updates
  • Aktualisieren des Betriebssystems
  • Reparieren des Betriebssystems
  • Konfigurieren wichtiger Betriebssystemparameter für den Computer.

In der Praxis müssen Administratorkonten oft zum Installieren und Ausführen älterer Windows-basierter Anwendungen verwendet werden.

Benutzer

Benutzer sind quasi das Gegenteil von Administratoren. Auf einer Standardinstallation können Benutzer mit normalen Benutzerrechten auf einer NTFS-Partition keine Anwendungen installieren.
Benutzer können keine für den gesamten Computer geltende Registrierungseinstellungen, Betriebssystemdateien oder Programmdateien ändern. Ebenso wenig können sie Anwendungen installieren, die von anderen Benutzern ausgeführt werden können (wodurch die Installation von Malware erschwert wird). Auf die privaten Daten anderer Benutzer haben Benutzer keinen
Zugriff. Demzufolge lauten zwei wichtige Aspekte zum Schutz eines Windows-basierten Systems folgendermaßen:

  • Stellen Sie sicher, dass die Anwender nur Mitglieder der Gruppe Benutzer sind
  • Stellen Sie Anwendungen bereit, die reguläre Benutzer erfolgreich ausführen können (Benutzer in der Lage sein, jede Anwendung auszuführen, die zuvor von einem Administrator, Hauptbenutzer oder den Benutzern selbst installiert wurde.

In der Praxis können reguläre Benutzer die meisten älteren Anwendungen nicht ausführen, weil bei der Entwicklung dieser Anwendungen die Betriebssystemsicherheit nicht berücksichtigt wurde. Mitglieder der Gruppe Hauptbenutzer sollten in der Lage sein, solche Anwendungen auszuführen.
Ältere Anwendungen kann man aber oft auf die "Sprünge" helfen, indem man entsprechende Dateiberechtigungen auf das Programmverzeichnis gibt.

Hauptbenutzer

Hauptbenutzer sind bezüglich des Systemzugriffs zwischen Administratoren und Benutzern angesiedelt. Die Standardsicherheitseinstellungen von Windows 2000 und höher für Hauptbenutzer sind abwärtskompatibel mit den Standardsicherheitseinstellungen für Benutzer des Betriebssystems Windows NT® 4.0. Zusammengefasst heißt dies: Hauptbenutzer verfügen über sehr viele
Rechte.

In der Regel sollten Hauptbenutzer in der Lage sein, alle Aufgaben außer den oben beschriebenen administrativen Aufgaben auszuführen.

Hauptbenutzer sollten demnach Folgendes durchführen können:

  • Installieren und Deinstallieren computerbezogener Anwendungen, die keine Systemdienste installieren
  • Anpassen von systemweiten Ressourcen (z. B. Systemzeit, Anzeigeeinstellungen, Freigaben, Energiekonfiguration, Drucker, usw.)
  • Hauptbenutzer haben keinen Zugriff auf die Daten anderer Benutzer, die auf einer NTFS-Partition gespeichert sind.

In der Praxis können Hauptbenutzer viele ältere Anwendungen nicht installieren, weil diese Anwendungen während des Installationsvorgangs versuchen, Betriebssystemdateien zu ersetzen.

Benutzerrechte

Drucker

  • Administratoren können lokale Drucker erstellen und verwalten
  • Benutzer können die Drucker nur verwenden oder eine Verbindung zu Netzwerkdrucker erstellen

Soll ein Benutzer Druckaufträge unterbrechen und später wieder fortsetzen können, sowie den Drucker offline setzen können, benötigt er das Recht Drucker verwalten.

Freigeben von Ordnern

  • Ab Windows 2000 können dies die Mitlieder der Gruppe Administratoren und Hauptbenutzer und Server-Operatoren
  • Auf die Administrativen Freigaben c$, d$, admin$... haben nur Administratoren und Sicherungsoperatoren Zugriff

Installieren und Deinstallieren computer-bezogener Anwendungen,
die keine Systemdienste installieren

  • Administratoren und Hauptbenutzer

Anpassen von systemweiten Ressourcen (z. B. Systemzeit, Anzeigeeinstellungen, Freigaben, Energiekonfiguration, Drucker,
usw.)

  • Administratoren und Hauptbenutzer.

Formatieren

  • Administratoren

Workstation remote herunterfahren

Dieses Recht muss über eine Gruppenrichtlinie erteilt werden

Abgrenzung Datei- und Freigaberechte

Dateirechte

Dateirechte sind die Sicherheitseinstellungen, die man auf einer NTFS-Partition einem Dateiobjekt vergibt. Diese werden üblicherweise im Kontextmenü des Objektes unter Eigenschaften > Sicherheitseinstellungen vergeben:

Freigabeberechtigungen

Freigaberechte

Freigaberechte sind die Berechtigungen, die ich einer Freigabe vergebe. Diese werden üblicherweise im Kontextmenü des Objektes unter Eigenschaften > Freigabe > Berechtigungen vergeben:

Freigabeberechtigungen

Freigaberechte sind aber nur beim Zugriff über das Netzwerk wirksam, nicht beim direkten Zugriff z.B. via Terminalserver. Anders herum: Bei lokalem Zugriff greifen nur die NTFS-Berechtigungen

Bei Kombination von Datei- und Freigaberechten ist die von beiden stärker einschränkende Berechtigung die wirksame.

Sehr schöne Analogie von von Grizzly999 aus demwww.mcseboard.de

"Du gehst in die Stadtbücherei. Als erstes gehst du den Haupteingang, das entspricht der Freigabe(berechtigung) im Netzwerk. Am Eingang steht einer und sagt "Alle Stifte abgeben, hier drin ist nur lesen erlaubt". Drinnen am Bücherregal (NTFS-Berechtigung) steht dann ein Schild "Hier dürfen sie alles abschreiben. Dann kannst du sagen 'Wie denn bitte, draußen hat mir einer alle Stifte abgenommen'.

Anders herum: Draußen steht keiner und du läufst mit einem Trench-Coat voller Stifte rein (Freigabe Vollzugriff). Drinnen am Regal steht einer, der dir wieder alle Stifte abnimmt."

Am sinnvollsten setzt man Zugriffsrechte über NTFS-Rechte und nicht über Freigaberechte auf (deshalb war auch in den ersten Windows 2000 und höher Varianten die Standardfreigabeberechtigung Jeder -> Vollzugriff)

Dateirechte

Es gibt die folgenden Rechte in der Registerkarte Sicherheit bei einem Dateiobjekt

BerechtigungRechte
Vollzugriff / Full ControlAlle
Ändern / ModifyAlle, außer Berechtigungen ändern und Besitzerrechte übernehmen
Lesen & Ausführen / Read &
Execute
Datei öffnen und lesen,
ausführbare Dateien und Batchdateien starten
Ordnerinhalt auflisten /
List Folder Contents
Nur bei Ordner: Lesen und
Lesen & Ausführen
Lesen / ReadDatei öffnen und lesen
Schreiben / ReadDatei ändern oder neu
erzeugen
Spezielle BerechtigungenSiehe unten
Dateiberechtigungen

Rechte können auch mit Klick auf die Taste Erweitert als spezielle Berechtigung vergeben werden.

BerechtigungRechte
Vollzugriff
Ordner durchsuchen / Datei
ausführen
Ordner auflisten / Daten
lesen
Attribute lesen
Erweiterte Attribute lesen
Dateien erstellen /
Dateien schreiben
Ordner erstellen / Daten
anhängen
Attribute schreiben
Erweiterte Attribute
schreiben
Unterordner und Dateien
löschen
Löschen
Berechtigungen lesen
Berechtigungen ändern
Besitzrechte übernehmen

Lesen, Ausführen, Ordnerinhalt auflisten

entspricht den besonderen Rechten

Ordner durchsuchen / Datei ausführen, Ordner auflisten / Daten lesen,
Attribute lesen, Erweiterte Attribute lesen, Berechtigungen lesen.

Ohne Berechtigungen lesen, lässt sich keine Datei öffnen!

Wichtig bzw. zu beachten sind auch die Einstellungen für die Vererbung der Rechte

Erweiterte Sicherheitseinstellungen

Ordnerrechte

Ordnerrechte

Dateirechte

Dateirechte

Ordnerrechte haben also das Recht Ordnerinhalt auflisten mehr. Wer Schwierigkeiten hat sich die Rechte zu merken, hat es vielleicht leichter sich zu merken, dass es bei Dateien 5 und Ordner 6 Rechte hat.

Ebenfalls merken sollte man sich, dass ein Recht Lesen, Ausführen heißt, dann bekommt man in der Regel den Rest zusammen.

Die Dateirechte dürfen nicht mit den Freigaberechten verwechselt werden. Die Freigaberecht haben nur 3 Rechte, die sind Lesen, Ändern, Vollzugriff.

Zum Löschen ist Vollzugriff erforderlich.

Hierarchie der Rechte

Hierarchie der Rechte

Spezielle Rechte

Read

ReadData,
ReadAttr,
ReadEA,
ReadPerm

List

Traverse/Execute,
List,
ReadAttr,
ReadEA,
ReadPerm

Write

Create/ReadData,
AppendData,
WriteAttr,
WriteEA

Read/Execute (RX)Read
+
List
ModifyRX
+
Write
Full
Control
Modify
+
Delete
+
TakeOwnership

Um durch einen Ordner durchbrowsen zu können, benötigt man die Rechte Ordner auflisten / Daten lesen sowie Attribute lesen.

Quelle: http://support.microsoft.com/kb/308419/de

Kopieren / Verschieben von Dateien

Wenn eine Datei kopiert wird, wird sie am Zielort neu erstellt und erbt daher die Berechtigungen des Ordners, in den sie kopiert wurde. Beim Verschieben innerhalb einer Partition behält die Datei Ihre Ursprungsrechte.

Will man Dateien verschieben und Berechtigungen des Zielordners annehmen lassen, kopiert man also am Besten und löscht dann die Ursprungsdaten.

http://support.microsoft.com/default.aspx?scid=kb;en-us;310316

Gruppenarten in Windows

Gruppen bei Windows NT

Bei Windows NT gab es nur zwei Arten von Gruppen (lokale und globale Gruppen). Die Regeln waren hier noch recht einfach und übersichtlich. Globale Gruppen konnten nur Benutzerkonten aufnehmen und die lokalen Gruppen konnten Benutzerkonten und globale Gruppen enthalten.

Standardmäßig wurden über die lokalen Gruppen die Zugriffe auf die Ressourcen geregelt und die Benutzerkonten den globalen Gruppen zugeordnet. Sollte ein Benutzer Zugriff auf eine Ressource bekommen, wurde seine globale Gruppe einfach in die lokale Gruppe aufgenommen. Administratoren, die Ihr Netzwerk auf Windows 2000 umstellen wollen, sollten diese Regel beachtet haben, da Windows bei der Umstellung der Gruppen von dieser Regelung ausgeht.

Zugriffsberechtigungen über Gruppen

Gruppen ab Windows 2000

Ab Windows 2000 gibt es jetzt 3 Arten von Gruppen (lokale, globale und universelle Gruppen) die es jeweils noch als zwei Typen gibt (Sicherheits- und Verteilergruppen). Lokale und globale Gruppen sind die bekannten Gruppen aus Windows NT und können nur innerhalb einer Domäne existieren. Aus diesem Grunde wurden noch die universellen Gruppen für den globalen Katalog eingeführt, diese Gruppen gelten über die Grenzen einer Domäne hinweg in der gesamten Struktur.

Die Hauptunterschiede sind

  • Lokale Gruppen werden nicht in den Globalen Katalog übernommen

  • Globale Gruppen werden in den Globalen Katalog übernommen

  • Universelle Gruppen und deren Mitglieder werden in den Globalen Katalog übernommen

Mitglieder lokaler Domänengruppen können sein

  • Benutzer, Computer, lokale, globale und universelle Gruppen der lokalen Domäne

  • Benutzer, Computer, lokale, globale und universelle Gruppen aus Domänen, die für die lokale Domäne explizit vertrauenswürdig sind (im einheitlichen Modus erweitert sich die Vertrauensstellung auf alle Domänen im Wald)

Mitglieder globaler Gruppen können sein

  •  nur Benutzer, Computer und globale Gruppen aus der lokalen Domäne

Mitglieder universeller Gruppen können sein

  • Benutzer, Computer, globale und universelle Gruppen
    aus der lokalen und jeder anderen Domäne im Wald

Es ist also auch unter Windows 2000 sinnvoll, die Ressourcen-Kontrolle über lokale Gruppen zu regeln und in den globalen Gruppen die Benutzer zu belassen, da somit der Replikationsverkehr zwischen den Domänenkontrollern verringert wird.

Also: Lokale Gruppen sind nur innerhalb der eigenen Domäne gültig und können über Domänengrenzen hinweg nicht eingesetzt werden. Ressourcen sind in der Regel standortgebunden und benötigen nur Zugriffsrechte innerhalb der Domänen. Auch aus diesem Grund ist die Zuordnung zu lokalen Gruppen ausreichend.

Würde man für die Ressourcen-Kontrolle globale Gruppen verwenden, würde die Datenmenge des Globalen Katalogs ohne zusätzlichen Nutzen anwachsen, was zu erhöhtem Replikationsaufkommen führt und dadurch WAN-Verbindungen unnötig belasten würde.

Was ist eine Sicherheitsgruppe?

Mit Sicherheitsgruppen kann der Zugriff auf das Active Directory, Objekte und Verzeichnisse/Dateien geregelt werden und sie können in deren ACL (Access Control Lists) auftauchen.
Die Mitgliedschaft dieser Gruppen wird bei der Anmeldung überprüft und alle Benutzerrechte werden hiermit geregelt.

Was ist eine Verteilergruppe?

Gewährt den Zugriff auf Verteilerlisten (E-Mail Verteiler), es können hiermit aber keine
Benutzerrechte gesetzt werden. Diese Gruppenart wird bei der Anmeldung nicht berücksichtigt. Das hat den Vorteil, dass selbst wenn ein Anwender in vielen Verteilerlisten ist, die Anmeldezeit dadurch nicht beeinflusst wird.

Aufbau einer SID

Die SID ist die Identifikationsnummer für Objekte im Active-Directory, also z.B. Benutzer und Gruppen. Windows selber arbeitet nur mit dieser SID. Da intern die SID angesprochen wird, kann z.B. der Benutzername nach einer Heirat problemlos geändert werden.

S-1-5-21-.....-1002

– S: Bezeichnung f. SID

– 1: Versionsnummer f. Windows2000

– 5: Identifier Authority: S-1-5 bezeichnet NT-Authority

– Subauthorities (meist ComputerSID)

– 1002: Bezeichner f. die User/Gruppe etc.

Du willst meine Arbeit unterstützen? Dann freue ich mich über eine kleine Spende!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert