Berechtigungen

Administratoren / Benutzer

Administratoren

Administratoren verfügen über alle Rechte. Bei den
Standardsicherheitseinstellungen ab Windows 2000 gibt es keinerlei
Einschränkungen der Administratorrechte auf Registrierungs- oder
Dateisystemobjekte. Administratoren können alle vom Betriebssystem
unterstützten Funktionen durchführen. Alle Rechte, über die Administratoren
nicht standardmäßig verfügen, können sie sich selbst erteilen.
In der Regel sollten Administratorrechte für das System nur für folgende
Funktionen benötigt werden:
– Installieren des Betriebssystems und der zugehörigen Komponenten
(Hardwaretreiber, Systemdienste, usw.)
– Installieren von Service Packs und Hotfixes
– Installieren von Windows-Updates
– Aktualisieren des Betriebssystems
– Reparieren des Betriebssystems
– Konfigurieren wichtiger Betriebssystemparameter für den Computer.

In der Praxis müssen Administratorkonten oft zum Installieren und
Ausführen älterer Windows-basierter Anwendungen verwendet werden.

Benutzer

Benutzer sind quasi das Gegenteil von Administratoren. Auf einer
Standardinstallation können Benutzer mit normalen Benutzerrechten auf einer
NTFS-Partition keine Anwendungen installieren.
Benutzer können keine für den gesamten Computer geltende
Registrierungseinstellungen, Betriebssystemdateien oder Programmdateien
ändern. Ebenso wenig können sie Anwendungen installieren, die von anderen
Benutzern ausgeführt werden können (wodurch die Installation von Malware
erschwert wird). Auf die privaten Daten anderer Benutzer haben Benutzer keinen
Zugriff. Demzufolge lauten zwei wichtige Aspekte zum Schutz eines Windows-basierten Systems folgendermaßen:

  • Stellen Sie sicher, dass die Anwender nur Mitglieder der Gruppe
    Benutzer sind
  • Stellen Sie Anwendungen bereit, die reguläre Benutzer erfolgreich
    ausführen können (Benutzer in der Lage sein, jede Anwendung auszuführen,
    die zuvor von einem Administrator, Hauptbenutzer oder den Benutzern selbst
    installiert wurde.

In der Praxis können reguläre Benutzer die meisten älteren Anwendungen
nicht ausführen, weil bei der Entwicklung dieser Anwendungen die
Betriebssystemsicherheit nicht berücksichtigt wurde. Mitglieder der Gruppe
Hauptbenutzer sollten in der Lage sein, solche Anwendungen auszuführen.
Ältere Anwendungen kann man aber oft auf die „Sprünge“ helfen, indem man
entsprechende Dateiberechtigungen auf das Programmverzeichnis gibt.

Hauptbenutzer

Hauptbenutzer sind bezüglich des Systemzugriffs zwischen Administratoren
und Benutzern angesiedelt. Die Standardsicherheitseinstellungen von Windows
2000 und höher für Hauptbenutzer sind abwärtskompatibel mit den
Standardsicherheitseinstellungen für Benutzer des Betriebssystems Windows
NT® 4.0. Zusammengefasst heißt dies: Hauptbenutzer verfügen über sehr viele
Rechte.

In der Regel sollten Hauptbenutzer in der Lage sein, alle Aufgaben außer
den oben beschriebenen administrativen Aufgaben auszuführen.

Hauptbenutzer sollten demnach Folgendes durchführen können:

  • Installieren und Deinstallieren computerbezogener Anwendungen, die
    keine Systemdienste installieren
  • Anpassen von systemweiten Ressourcen (z. B. Systemzeit,
    Anzeigeeinstellungen, Freigaben, Energiekonfiguration, Drucker, usw.)
  • Hauptbenutzer haben keinen Zugriff auf die Daten anderer Benutzer, die auf
    einer NTFS-Partition gespeichert sind.

In der Praxis können Hauptbenutzer viele ältere Anwendungen nicht
installieren, weil diese Anwendungen während des Installationsvorgangs
versuchen, Betriebssystemdateien zu ersetzen.

Benutzerrechte

Drucker

  • Administratoren können lokale Drucker erstellen und
    verwalten
  • Benutzer können die Drucker nur verwenden oder eine
    Verbindung zu Netzwerkdrucker erstellen

Soll ein Benutzer Druckaufträge unterbrechen und
später wieder fortsetzen können, sowie den Drucker
offline setzen können, benötigt er das Recht Drucker
verwalten
.

Freigeben von Ordnern

  • Ab Windows 2000 können dies die Mitlieder der Gruppe Administratoren und
    Hauptbenutzer und Server-Operatoren
  • Auf die Administrativen Freigaben c$, d$, admin$… haben nur
    Administratoren und Sicherungsoperatoren Zugriff

Installieren und Deinstallieren computer-bezogener Anwendungen,
die keine Systemdienste installieren

  • Administratoren und Hauptbenutzer

Anpassen von systemweiten Ressourcen (z. B. Systemzeit,
Anzeigeeinstellungen, Freigaben, Energiekonfiguration, Drucker,
usw.)

  • Administratoren und Hauptbenutzer.

Formatieren

  • Administratoren

Workstation remote herunterfahren

Dieses Recht muss über eine Gruppenrichtlinie erteilt werden

Abgrenzung Datei- und Freigaberechte

Dateirechte

Dateirechte sind die Sicherheitseinstellungen, die man auf einer
NTFS-Partition einem Dateiobjekt vergibt. Diese werden üblicherweise im
Kontextmenü des Objektes unter Eigenschaften > Sicherheitseinstellungen
vergeben:

Freigabeberechtigungen

Freigaberechte

Freigaberechte sind die Berechtigungen, die ich einer Freigabe vergebe.
Diese werden üblicherweise im Kontextmenü des Objektes unter Eigenschaften >
Freigabe > Berechtigungen vergeben:

Freigabeberechtigungen

Freigaberechte sind aber nur beim Zugriff über das Netzwerk wirksam,
nicht beim direkten Zugriff z.B. via Terminalserver. Anders herum: Bei
lokalem Zugriff greifen nur die NTFS-Berechtigungen

Bei Kombination von Datei- und Freigaberechten ist die von beiden stärker
einschränkende Berechtigung die wirksame.

Sehr schöne Analogie von von Grizzly999 aus dem
www.mcseboard.de

„Du gehst in die Stadtbücherei. Als erstes gehst du den Haupteingang, das
entspricht der Freigabe(berechtigung) im Netzwerk. Am Eingang steht einer
und sagt „Alle Stifte abgeben, hier drin ist nur lesen erlaubt“. Drinnen am
Bücherregal (NTFS-Berechtigung) steht dann ein Schild „Hier dürfen sie alles
abschreiben. Dann kannst du sagen ‚Wie denn bitte, draußen hat mir einer
alle Stifte abgenommen‘.

Anders herum: Draußen steht keiner und du läufst mit einem Trench-Coat
voller Stifte rein (Freigabe Vollzugriff). Drinnen am Regal steht einer, der
dir wieder alle Stifte abnimmt.“

Am sinnvollsten setzt man Zugriffsrechte über NTFS-Rechte und nicht über
Freigabrechte auf (deshalb war auch in den ersten Windows 2000 und höher
Varianten die Standardfreigabeberechtigung Jeder->Vollzugriff)

Dateirechte

Es gibt die folgenden Rechte in der Registerkarte Sicherheit bei einem
Dateiobjekt

Berechtigung Rechte
Vollzugriff / Full Control Alle
Ändern / Modify Alle, außer Berechtigungen ändern und Besitzerrechte übernehmen
Lesen & Ausführen / Read &
Execute
Datei öffnen und lesen,
ausführbare Dateien und Batchdateien starten
Ordnerinhalt auflisten /
List Folder Contents
Nur bei Ordner: Lesen und
Lesen & Ausführen
Lesen / Read Datei öffnen und lesen
Schreiben / Read Datei ändern oder neu
erzeugen
Spezielle Berechtigungen Siehe unten

Dateiberechtigungen

Rechte können auch mit Klick auf die Taste Erweitert als spezielle
Berechtigung vergeben werden.

Berechtigung Rechte
Vollzugriff
Ordner durchsuchen / Datei
ausführen
Ordner auflisten / Daten
lesen
Attribute lesen
Erweiterte Attribute lesen
Dateien erstellen /
Dateien schreiben
Ordner erstellen / Daten
anhängen
Attribute schreiben
Erweiterte Attribute
schreiben
Unterordner und Dateien
löschen
Löschen
Berechtigungen lesen
Berechtigungen ändern
Besitzrechte übernehmen

Lesen, Ausführen, Ordnerinhalt auflisten

entspricht den besonderen Rechten

Ordner durchsuchen / Datei ausführen, Ordner auflisten / Daten lesen,
Attribute lesen, Erweiterte Attribute lesen, Berechtigungen lesen.

Ohne Berechtigungen lesen, lässt sich keine Datei öffnen!

Wichtig bzw. zu beachten sind auch die Einstellungen für die Vererbung
der Rechte

Erweiterte Sicherheitseinstellungen

….

Ordnerrechte

Ordnerrechte

Dateirechte

Dateirechte

Ordnerrechte haben also das Recht Ordnerinhalt auflisten mehr.

Wer Schwierigkeiten hat sich die Rechte zu merken, hat es vielleicht
leichter sich zu merken, dass es bei Dateien 5 und Ordner 6 Rechte hat.
Ebenfalls merken sollte man sich, dass ein Recht Lesen, Ausführen heißt,
dann bekommt man in der Regel den Rest zusammen.

Die Dateirechte dürfen nicht mit den
Freigaberechten verwechselt werden. Die Freigaberecht haben nur 3 Rechte,
die sind Lesen, Ändern, Vollzugriff.

Zum Löschen ist Vollzugriff erforderlich.

Hierarchie der Rechte

Hierarchie der Rechte

Spezielle Rechte

Read

ReadData,
ReadAttr,
ReadEA,
ReadPerm

List

Traverse/Execute,
List,
ReadAttr,
ReadEA,
ReadPerm

Write

Create/ReadData,
AppendData,
WriteAttr,
WriteEA

Read/Execute (RX) Read
+
List
Modify RX
+
Write
Full
Control
Modify
+
Delete
+
TakeOwnership

Um durch einen Ordner durchbrowsen zu können, benötigt man die Rechte

Ordner auflisten / Daten lesen sowie Attribute lesen.

Quelle:


http://support.microsoft.com/kb/308419/de

Kopieren / Verschieben von Dateien

Wenn eine Datei kopiert wird, wird sie am Zielort neu erstellt
und erbt daher die Berechtigungen des Ordners, in den sie kopiert
wurde. Beim Verschieben innerhalb einer Partition behält die
Datei Ihre Ursprungsrechte.

Will man Dateien verschieben und Berechtigungen des Zielordners annehmen
lassen, kopiert man also am Besten und löscht dann die Ursprungsdaten.


http://support.microsoft.com/default.aspx?scid=kb;en-us;310316

Gruppenarten in Windows

Gruppen bei Windows NT

Bei Windows NT gab es nur zwei Arten von Gruppen (lokale und
globale Gruppen). Die Regeln waren hier noch recht einfach und
übersichtlich. Globale Gruppen konnten nur Benutzerkonten aufnehmen und die
lokalen Gruppen konnten Benutzerkonten und globale Gruppen enthalten.

Standardmäßig wurden über die lokalen Gruppen
die Zugriffe auf die Ressourcen geregelt und die Benutzerkonten
den globalen Gruppen zugeordnet. Sollte ein Benutzer Zugriff auf
eine Ressource bekommen, wurde seine globale Gruppe einfach in
die lokale Gruppe aufgenommen. Administratoren, die Ihr Netzwerk
auf Windows 2000 umstellen wollen, sollten diese Regel beachtet
haben, da Windows bei der Umstellung der Gruppen von dieser
Regelung ausgeht.

Zugriffsberechtigungen über Gruppen

Gruppen
ab Windows 2000

Ab Windows 2000 gibt es jetzt 3 Arten von Gruppen
(lokale, globale und universelle Gruppen) die es jeweils noch als
zwei Typen gibt (Sicherheits- und Verteilergruppen). Lokale und
globale Gruppen sind die bekannten Gruppen aus Windows NT und
können nur innerhalb einer Domäne existieren. Aus diesem
Grunde wurden noch die universellen Gruppen für den
globalen Katalog eingeführt, diese Gruppen gelten über
die Grenzen einer Domäne hinweg in der gesamten Struktur.

Die Hauptunterschiede sind

  • Lokale Gruppen werden nicht in den Globalen Katalog
    übernommen

  • Globale Gruppen werden in den Globalen Katalog
    übernommen

  • Universelle Gruppen und deren Mitglieder werden in
    den Globalen Katalog übernommen

Mitglieder lokaler Domänengruppen können
sein

  • Benutzer, Computer, lokale, globale und Universelle
    Gruppen der lokalen Domäne

  • Benutzer, Computer, lokale, globale und universelle
    Gruppen aus Domänen, die für die lokale Domäne
    explizit vertrauenswürdig sind (im einheitlichen Modus
    erweitert sich die Vertrauensstellung auf alle Domänen im
    Wald)

Mitglieder globaler Gruppen können sein

  •  nur Benutzer, Computer und globale Gruppen
    aus der lokalen Domäne

Mitglieder universeller Gruppen können
sein

  • Benutzer, Computer, globale und universelle Gruppen
    aus der lokalen und jeder anderen Domäne im Wald

Es ist also auch unter Windows 2000 sinnvoll, die
Ressourcen-Kontrolle über lokale Gruppen zu regeln und in den
globalen Gruppen die Benutzer zu belassen, da somit der
Replikationsverkehr zwischen den Domänenkontrollern verringert
wird.

Also: Lokale Gruppen sind nur innerhalb der
eigenen Domäne gültig und können über
Domänengrenzen hinweg nicht eingesetzt werden. Ressourcen sind
in der Regel standort gebunden und benötigen nur
Zugriffsrechte innerhalb der Domänen. Auch aus diesem Grund
ist die Zuordnung zu lokalen Gruppen ausreichend.

Würde man für die Ressourcen-Kontrolle
globale Gruppen verwenden, würde die Datenmenge des Globalen
Katalogs ohne zusätzlichen Nutzen anwachsen, was zu
erhöhtem Replikationsaufkommen führt und dadurch
WAN-Verbindungen unnötig belasten würde.

Was ist eine Sicherheitsgruppe?

Mit Sicherheitsgruppen kann der Zugriff auf das
Active Directory, Objekte und Verzeichnisse/Dateien geregelt werden
und sie können in deren ACL (Access Control Lists) auftauchen.
Die Mitgliedschaft dieser Gruppen wird bei der Anmeldung
überprüft und alle Benutzerrechte werden hiermit
geregelt.

Was ist eine Verteilergruppe?

Gewährt den Zugriff auf Verteilerlisten
(E-Mail Verteiler), es können hiermit aber keine
Benutzerrechte gesetzt werden. Diese Gruppenart wird bei der
Anmeldung nicht berücksichtigt. Das hat den Vorteil, dass
selbst wenn ein Anwender in vielen Verteilerlisten ist, die
Anmeldezeit dadurch nicht beeinflusst wird.

Aufbau einer SID

Die SID ist die Identifikationsnummer für Objekte im
Active-Directory, also z.B. Benutzer und Gruppen. Windows selber arbeitet
nur mit dieser SID. Da intern die SID angesprochen wird, kann z.B. der
Benutzername nach einer Heirat problemlos geändert werden.

S-1-5-21-…..-1002

– S: Bezeichnung
f. SID

– 1:
Versionsnummer f. Windows2000

– 5: Identifier
Authority: S-1-5 bezeichnet NT-Authority

– Subauthorities
(meist ComputerSID)

– 1002:
Bezeichner f. die User/Gruppe etc.

Achtung!

Dieser Artikel wurde automatisiert vom alten CMS übernommen. Dort war er zuletzt am 09.03.2017 geändert worden. Bei der Konvertierung können sich Fehler eingeschlichen haben, wie zum Beispiel falsche Zeilenumbrüche, fehlende Bilder oder fehlende Zeichen. Wenn du einen solchen Fehler entdeckst, dann schreibe doch bitte einen Kommentar, damit ich das beheben kann.

Vielen Dank für deine Mühe.

Das könnte dich auch interessieren:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.