Zuletzt aktualisiert am 25. Dezember 2023 von Lars
Mit diesem Tutorial wirst du das Berechtigungskonzept unter Microsoft Windows verstehen.
Administratoren / Benutzer
Administratoren
Administratoren verfügen über alle Rechte. Bei den Standardsicherheitseinstellungen ab Windows 2000 gibt es keinerlei Einschränkungen der Administratorrechte auf Registrierungs- oder Dateisystemobjekte. Administratoren können alle vom Betriebssystem unterstützten Funktionen durchführen. Alle Rechte, über die Administratoren nicht standardmäßig verfügen, können sie sich selbst erteilen. In der Regel sollten Administratorrechte für das System nur für folgende Funktionen benötigt werden:
- Installieren des Betriebssystems und der zugehörigen Komponenten (Hardwaretreiber, Systemdienste, usw.)
- Installieren von Service Packs und Hotfixes
- Installieren von Windows-Updates
- Aktualisieren des Betriebssystems
- Reparieren des Betriebssystems
- Konfigurieren wichtiger Betriebssystemparameter für den Computer.
In der Praxis müssen Administratorkonten oft zum Installieren und Ausführen älterer Windows-basierter Anwendungen verwendet werden.
Benutzer
Benutzer sind quasi das Gegenteil von Administratoren. Auf einer Standardinstallation können Benutzer mit normalen Benutzerrechten auf einer NTFS-Partition keine Anwendungen installieren.
Benutzer können keine für den gesamten Computer geltende Registrierungseinstellungen, Betriebssystemdateien oder Programmdateien ändern. Ebenso wenig können sie Anwendungen installieren, die von anderen Benutzern ausgeführt werden können (wodurch die Installation von Malware erschwert wird). Auf die privaten Daten anderer Benutzer haben Benutzer keinen
Zugriff. Demzufolge lauten zwei wichtige Aspekte zum Schutz eines Windows-basierten Systems folgendermaßen:
- Stellen Sie sicher, dass die Anwender nur Mitglieder der Gruppe Benutzer sind
- Stellen Sie Anwendungen bereit, die reguläre Benutzer erfolgreich ausführen können (Benutzer in der Lage sein, jede Anwendung auszuführen, die zuvor von einem Administrator, Hauptbenutzer oder den Benutzern selbst installiert wurde.
In der Praxis können reguläre Benutzer die meisten älteren Anwendungen nicht ausführen, weil bei der Entwicklung dieser Anwendungen die Betriebssystemsicherheit nicht berücksichtigt wurde. Mitglieder der Gruppe Hauptbenutzer sollten in der Lage sein, solche Anwendungen auszuführen.
Ältere Anwendungen kann man aber oft auf die "Sprünge" helfen, indem man entsprechende Dateiberechtigungen auf das Programmverzeichnis gibt.
Hauptbenutzer
Hauptbenutzer sind bezüglich des Systemzugriffs zwischen Administratoren und Benutzern angesiedelt. Die Standardsicherheitseinstellungen von Windows 2000 und höher für Hauptbenutzer sind abwärtskompatibel mit den Standardsicherheitseinstellungen für Benutzer des Betriebssystems Windows NT® 4.0. Zusammengefasst heißt dies: Hauptbenutzer verfügen über sehr viele
Rechte.
In der Regel sollten Hauptbenutzer in der Lage sein, alle Aufgaben außer den oben beschriebenen administrativen Aufgaben auszuführen.
Hauptbenutzer sollten demnach Folgendes durchführen können:
- Installieren und Deinstallieren computerbezogener Anwendungen, die keine Systemdienste installieren
- Anpassen von systemweiten Ressourcen (z. B. Systemzeit, Anzeigeeinstellungen, Freigaben, Energiekonfiguration, Drucker, usw.)
- Hauptbenutzer haben keinen Zugriff auf die Daten anderer Benutzer, die auf einer NTFS-Partition gespeichert sind.
In der Praxis können Hauptbenutzer viele ältere Anwendungen nicht installieren, weil diese Anwendungen während des Installationsvorgangs versuchen, Betriebssystemdateien zu ersetzen.
Benutzerrechte
Drucker
- Administratoren können lokale Drucker erstellen und verwalten
- Benutzer können die Drucker nur verwenden oder eine Verbindung zu Netzwerkdrucker erstellen
Soll ein Benutzer Druckaufträge unterbrechen und später wieder fortsetzen können, sowie den Drucker offline setzen können, benötigt er das Recht Drucker verwalten.
Freigeben von Ordnern
- Ab Windows 2000 können dies die Mitlieder der Gruppe Administratoren und Hauptbenutzer und Server-Operatoren
- Auf die Administrativen Freigaben c$, d$, admin$... haben nur Administratoren und Sicherungsoperatoren Zugriff
Installieren und Deinstallieren computer-bezogener Anwendungen,
die keine Systemdienste installieren
- Administratoren und Hauptbenutzer
Anpassen von systemweiten Ressourcen (z. B. Systemzeit, Anzeigeeinstellungen, Freigaben, Energiekonfiguration, Drucker,
usw.)
- Administratoren und Hauptbenutzer.
Formatieren
- Administratoren
Workstation remote herunterfahren
Dieses Recht muss über eine Gruppenrichtlinie erteilt werden
Abgrenzung Datei- und Freigaberechte
Dateirechte
Dateirechte sind die Sicherheitseinstellungen, die man auf einer NTFS-Partition einem Dateiobjekt vergibt. Diese werden üblicherweise im Kontextmenü des Objektes unter Eigenschaften > Sicherheitseinstellungen vergeben:
Freigaberechte
Freigaberechte sind die Berechtigungen, die ich einer Freigabe vergebe. Diese werden üblicherweise im Kontextmenü des Objektes unter Eigenschaften > Freigabe > Berechtigungen vergeben:
Freigaberechte sind aber nur beim Zugriff über das Netzwerk wirksam, nicht beim direkten Zugriff z.B. via Terminalserver. Anders herum: Bei lokalem Zugriff greifen nur die NTFS-Berechtigungen
Bei Kombination von Datei- und Freigaberechten ist die von beiden stärker einschränkende Berechtigung die wirksame.
Sehr schöne Analogie von von Grizzly999 aus demwww.mcseboard.de
"Du gehst in die Stadtbücherei. Als erstes gehst du den Haupteingang, das entspricht der Freigabe(berechtigung) im Netzwerk. Am Eingang steht einer und sagt "Alle Stifte abgeben, hier drin ist nur lesen erlaubt". Drinnen am Bücherregal (NTFS-Berechtigung) steht dann ein Schild "Hier dürfen sie alles abschreiben. Dann kannst du sagen 'Wie denn bitte, draußen hat mir einer alle Stifte abgenommen'.
Anders herum: Draußen steht keiner und du läufst mit einem Trench-Coat voller Stifte rein (Freigabe Vollzugriff). Drinnen am Regal steht einer, der dir wieder alle Stifte abnimmt."
Am sinnvollsten setzt man Zugriffsrechte über NTFS-Rechte und nicht über Freigaberechte auf (deshalb war auch in den ersten Windows 2000 und höher Varianten die Standardfreigabeberechtigung Jeder -> Vollzugriff)
Dateirechte
Es gibt die folgenden Rechte in der Registerkarte Sicherheit bei einem Dateiobjekt
Berechtigung | Rechte |
Vollzugriff / Full Control | Alle |
Ändern / Modify | Alle, außer Berechtigungen ändern und Besitzerrechte übernehmen |
Lesen & Ausführen / Read & Execute | Datei öffnen und lesen, ausführbare Dateien und Batchdateien starten |
Ordnerinhalt auflisten / List Folder Contents | Nur bei Ordner: Lesen und Lesen & Ausführen |
Lesen / Read | Datei öffnen und lesen |
Schreiben / Read | Datei ändern oder neu erzeugen |
Spezielle Berechtigungen | Siehe unten |
Rechte können auch mit Klick auf die Taste Erweitert als spezielle Berechtigung vergeben werden.
Berechtigung | Rechte |
Vollzugriff | |
Ordner durchsuchen / Datei ausführen | |
Ordner auflisten / Daten lesen | |
Attribute lesen | |
Erweiterte Attribute lesen | |
Dateien erstellen / Dateien schreiben | |
Ordner erstellen / Daten anhängen | |
Attribute schreiben | |
Erweiterte Attribute schreiben | |
Unterordner und Dateien löschen | |
Löschen | |
Berechtigungen lesen | |
Berechtigungen ändern | |
Besitzrechte übernehmen |
Lesen, Ausführen, Ordnerinhalt auflisten
entspricht den besonderen Rechten
Ordner durchsuchen / Datei ausführen, Ordner auflisten / Daten lesen,
Attribute lesen, Erweiterte Attribute lesen, Berechtigungen lesen.
Ohne Berechtigungen lesen, lässt sich keine Datei öffnen!
Wichtig bzw. zu beachten sind auch die Einstellungen für die Vererbung der Rechte
Ordnerrechte
Dateirechte
Ordnerrechte haben also das Recht Ordnerinhalt auflisten mehr. Wer Schwierigkeiten hat sich die Rechte zu merken, hat es vielleicht leichter sich zu merken, dass es bei Dateien 5 und Ordner 6 Rechte hat.
Ebenfalls merken sollte man sich, dass ein Recht Lesen, Ausführen heißt, dann bekommt man in der Regel den Rest zusammen.
Die Dateirechte dürfen nicht mit den Freigaberechten verwechselt werden. Die Freigaberecht haben nur 3 Rechte, die sind Lesen, Ändern, Vollzugriff.
Zum Löschen ist Vollzugriff erforderlich.
Hierarchie der Rechte
Spezielle Rechte
Read | ReadData, |
List | Traverse/Execute, |
Write | Create/ReadData, |
Read/Execute (RX) | Read + List |
Modify | RX + Write |
Full Control | Modify + Delete + TakeOwnership |
Um durch einen Ordner durchbrowsen zu können, benötigt man die Rechte Ordner auflisten / Daten lesen sowie Attribute lesen.
Quelle: http://support.microsoft.com/kb/308419/de
Kopieren / Verschieben von Dateien
Wenn eine Datei kopiert wird, wird sie am Zielort neu erstellt und erbt daher die Berechtigungen des Ordners, in den sie kopiert wurde. Beim Verschieben innerhalb einer Partition behält die Datei Ihre Ursprungsrechte.
Will man Dateien verschieben und Berechtigungen des Zielordners annehmen lassen, kopiert man also am Besten und löscht dann die Ursprungsdaten.
http://support.microsoft.com/default.aspx?scid=kb;en-us;310316
Gruppenarten in Windows
Gruppen bei Windows NT
Bei Windows NT gab es nur zwei Arten von Gruppen (lokale und globale Gruppen). Die Regeln waren hier noch recht einfach und übersichtlich. Globale Gruppen konnten nur Benutzerkonten aufnehmen und die lokalen Gruppen konnten Benutzerkonten und globale Gruppen enthalten.
Standardmäßig wurden über die lokalen Gruppen die Zugriffe auf die Ressourcen geregelt und die Benutzerkonten den globalen Gruppen zugeordnet. Sollte ein Benutzer Zugriff auf eine Ressource bekommen, wurde seine globale Gruppe einfach in die lokale Gruppe aufgenommen. Administratoren, die Ihr Netzwerk auf Windows 2000 umstellen wollen, sollten diese Regel beachtet haben, da Windows bei der Umstellung der Gruppen von dieser Regelung ausgeht.
Gruppen ab Windows 2000
Ab Windows 2000 gibt es jetzt 3 Arten von Gruppen (lokale, globale und universelle Gruppen) die es jeweils noch als zwei Typen gibt (Sicherheits- und Verteilergruppen). Lokale und globale Gruppen sind die bekannten Gruppen aus Windows NT und können nur innerhalb einer Domäne existieren. Aus diesem Grunde wurden noch die universellen Gruppen für den globalen Katalog eingeführt, diese Gruppen gelten über die Grenzen einer Domäne hinweg in der gesamten Struktur.
Die Hauptunterschiede sind
Lokale Gruppen werden nicht in den Globalen Katalog übernommen
Globale Gruppen werden in den Globalen Katalog übernommen
Universelle Gruppen und deren Mitglieder werden in den Globalen Katalog übernommen
Mitglieder lokaler Domänengruppen können sein
Benutzer, Computer, lokale, globale und universelle Gruppen der lokalen Domäne
Benutzer, Computer, lokale, globale und universelle Gruppen aus Domänen, die für die lokale Domäne explizit vertrauenswürdig sind (im einheitlichen Modus erweitert sich die Vertrauensstellung auf alle Domänen im Wald)
Mitglieder globaler Gruppen können sein
nur Benutzer, Computer und globale Gruppen aus der lokalen Domäne
Mitglieder universeller Gruppen können sein
Benutzer, Computer, globale und universelle Gruppen
aus der lokalen und jeder anderen Domäne im Wald
Es ist also auch unter Windows 2000 sinnvoll, die Ressourcen-Kontrolle über lokale Gruppen zu regeln und in den globalen Gruppen die Benutzer zu belassen, da somit der Replikationsverkehr zwischen den Domänenkontrollern verringert wird.
Also: Lokale Gruppen sind nur innerhalb der eigenen Domäne gültig und können über Domänengrenzen hinweg nicht eingesetzt werden. Ressourcen sind in der Regel standortgebunden und benötigen nur Zugriffsrechte innerhalb der Domänen. Auch aus diesem Grund ist die Zuordnung zu lokalen Gruppen ausreichend.
Würde man für die Ressourcen-Kontrolle globale Gruppen verwenden, würde die Datenmenge des Globalen Katalogs ohne zusätzlichen Nutzen anwachsen, was zu erhöhtem Replikationsaufkommen führt und dadurch WAN-Verbindungen unnötig belasten würde.
Was ist eine Sicherheitsgruppe?
Mit Sicherheitsgruppen kann der Zugriff auf das Active Directory, Objekte und Verzeichnisse/Dateien geregelt werden und sie können in deren ACL (Access Control Lists) auftauchen.
Die Mitgliedschaft dieser Gruppen wird bei der Anmeldung überprüft und alle Benutzerrechte werden hiermit geregelt.
Was ist eine Verteilergruppe?
Gewährt den Zugriff auf Verteilerlisten (E-Mail Verteiler), es können hiermit aber keine
Benutzerrechte gesetzt werden. Diese Gruppenart wird bei der Anmeldung nicht berücksichtigt. Das hat den Vorteil, dass selbst wenn ein Anwender in vielen Verteilerlisten ist, die Anmeldezeit dadurch nicht beeinflusst wird.
Aufbau einer SID
Die SID ist die Identifikationsnummer für Objekte im Active-Directory, also z.B. Benutzer und Gruppen. Windows selber arbeitet nur mit dieser SID. Da intern die SID angesprochen wird, kann z.B. der Benutzername nach einer Heirat problemlos geändert werden.
S-1-5-21-.....-1002
– S: Bezeichnung f. SID
– 1: Versionsnummer f. Windows2000
– 5: Identifier Authority: S-1-5 bezeichnet NT-Authority
– Subauthorities (meist ComputerSID)
– 1002: Bezeichner f. die User/Gruppe etc.
Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!