Lokale Domänengruppe
Download
Report
Transcript Lokale Domänengruppe
Studiengang Informatik FHDW
Vorlesung:
Gruppen und Rechte
unter Windows 2000
4. Quartal 2002
Vorlesung: 1 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gliederung
Gruppen unter Windows 2000
Gruppenzuordnungen
Gruppen herauf-/zurückstufen
Berechtigungen auf Freigabeebene
Beispiel zu Freigabeberechtigungen
Berechtigungen auf NTFS-Ebene
Beispiel zu NTFS-Berechtigungen
Vorlesung: 2 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppen unter Windows 2000
Eine Gruppe ist eine mittelbare oder unmittelbare Sammlung von Benutzerkonten und
kann für die Vergabe von Berechtigungen
verwendet werden Sicherheitsgruppe.
Alternativ: Verwendung von Gruppen für
nicht-sicherheitsrelevante Aufgaben , z. Bsp.
Mail- oder Softwareverteilerliste
Verteilergruppe.
Vorlesung: 3 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppen unter Windows 2000
Gruppentypen:
Lokale Gruppen
Anwendbar auf WS und Standalone-Servern (SAM).
Lokale Domänengruppe
Anwendbar auf Domänencontrollern (DC) im gemischten und einheitlichen Modus (Active Directory, AD).
Die unter NT 4.0 bekannten vordefinierten Gruppen mit
bestimmten Systemprivilegien werden unter Win 2000
vordefinierte lokale Gruppen genannt.
Globale Gruppe
Anwendbar auf DC im gemischten und einheitlichen
Modus (AD).
Universelle Gruppe
Anwendbar auf DC im einheitlichen Modus (AD).
Vorlesung: 4 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppen unter Windows 2000
Es gibt in einer Domäne nur drei Gruppentypen. (Vier, wenn WS und Standalone-Server mit einbezogen werden.)
Annahme: die Verwaltung sei einfach.
"Wäre Windows 2000 ein Schriftsteller und
die Gruppen Worte und Sätze, dann würde
Windows 2000 mit ihnen jonglieren, sie
schichten und stapeln und völlig verquert
wieder anordnen, dass Kafkas Werke im
Vergleich dazu wie Kinderbücher zu lesen
wären." [William Boswell, Windows 2000 Server, Markt und Technik, 1. Auflage 2001]
Vorlesung: 5 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gliederung
Gruppen unter Windows 2000
Gruppenzuordnungen
Gruppen herauf-/zurückstufen
Berechtigungen auf Freigabeebene
Beispiel zu Freigabeberechtigungen
Berechtigungen auf NTFS-Ebene
Beispiel zu NTFS-Berechtigungen
Vorlesung: 6 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppenzuordnungen
Lokale Gruppe
Einer lokalen Gruppe können Rechte für lokale
Ressourcen einer WS oder eines StandaloneServers zugeordnet werden.
Einer lokalen Gruppe können lokale Benutzer
(SAM-gespeichert), globale Gruppen und/oder
universelle Gruppen derselben Domäne
angehören.
Vorlesung: 7 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppenzuordnungen
Lokale Domänengruppe
Einer lokalen Domänengruppe können Rechte
für AD-Ressourcen zugeordnet werden.
Einer lokalen Domänengruppe können globale
Gruppen und/oder universelle Gruppen
derselben Domäne angehören.
Ausserdem möglich aber nicht der Microsoft
Rechtevergabe-Empfehlung entsprechend:
Einer lokalen Domänengruppe können
Domänenbenutzerkonten zugewiesen werden.
Eine lokale Domänengruppe kann Mitglied einer
anderen lokalen Domänengruppe derselben Domäne
sein.
Vorlesung: 8 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppenzuordnungen
Globale Gruppe
Einer globalen Gruppe können Benutzerkonten
und/oder globale Gruppen derselben Domäne
angehören.
Eine globale Gruppe kann Mitglied einer lokalen
Gruppe derselben Domäne sein.
Eine globale Gruppe kann Mitglied einer universellen Gruppe derselben oder einer vertrauenswürdigen Domäne sein.
Ausserdem möglich aber nicht der Microsoft
Rechtevergabe-Empfehlung entsprechend:
Einer globalen Gruppe können Rechte für ADRessourcen zugeordnet werden.
Vorlesung: 9 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppenzuordnungen
Universelle Gruppe
Einer universellen Gruppe können (auch domänenübergreifend) Domänenbenutzerkonten,
globale und universelle Gruppe angehören.
Eine universelle Gruppe kann (auch domänenübergreifend) Mitglied einer lokalen Domänengruppe oder einer universellen Gruppe sein.
Ausserdem möglich aber nicht der Microsoft
Rechtevergabe-Empfehlung entsprechend:
Einer universellen Gruppe können domänenübergreifend Rechte für AD-Ressourcen zugeordnet
werden.
Vorlesung: 10 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppenzuordnungen
Empfehlungen für Rechte
Innerhalb einer Domäne:
(Domänen)Benutzer werden Mitglied in einer
globalen Gruppe.
Rechtezuordnungen auf lokale oder ADRessourcen durch eine lokale (Domänen)Gruppe.
Eine globale Gruppe wird Mitglied in einer
lokalen (Domänen)Gruppe.
Rechtezuweisung von lokaler (Domänen)Gruppe
über die globale Gruppe auf die (Domänen)Benutzer.
Vorlesung: 11 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppenzuordnungen
Empfehlungen für Rechte
Domänenübergreifend:
Domänenbenutzer werden Mitglied in einer
globalen Gruppe.
Rechtezuordnungen auf AD-Ressourcen durch
lokale Domänengruppen.
Eine universelle Gruppe erstellen, deren Mitglied
die globale Gruppe ist.
Die universelle Gruppe ist Mitglied in der lokalen
Domänengruppe.
Rechtezuweisung von lokaler Domänengruppe
über die globale Gruppe über die universelle
Gruppe auf die Domänenbenutzer.
Vorlesung: 12 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gliederung
Gruppen unter Windows 2000
Gruppenzuordnungen
Gruppen herauf-/zurückstufen
Berechtigungen auf Freigabeebene
Beispiel zu Freigabeberechtigungen
Berechtigungen auf NTFS-Ebene
Beispiel zu NTFS-Berechtigungen
Vorlesung: 13 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gruppen herauf-/zurückstufen
Unter bestimmten Voraussetzungen können
Gruppen herauf-/zurückgestuft werden.
Lokale Domänengruppe Universelle Gruppe:
Voraussetzung: der lokalen Domänengruppe gehört
keine andere lokale Domänengruppe an.
Globale Gruppe Universelle Gruppe:
Voraussetzung: die globale Gruppe ist nicht Mitglied
in einer anderen universellen Gruppe.
Universelle Gruppe Globale Gruppe:
Möglich, sofern keine Mitglieder aus anderen
Domänen vorhanden sind.
Universelle Gruppe Lokale Domänengruppe:
Muss am Global Catalog Server (GC) durchgeführt
werden.
Vorlesung: 14 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Zuordnungen und Heraufstufungen
sinnvolle Mitgliedschaft:
nicht empfehlenswerte Mitgliedschaft:
nicht heraufstufbare Gruppen:
Win 2K-Domäne Alpha
(einheitlicher Modus)
User
Anton
User
Anton
Globale
Gruppe
Win 2K-Domäne Beta
(einheitlicher Modus)
User
Adalbert
User
Bastian
User
Bernd
User
Bert
Globale
Gruppe
Globale
Gruppe
Lokale
Domänengruppe
Lokale
Domänengruppe
Universelle
Gruppe
Ressourcen
der Domäne
Alpha
Vorlesung: 15 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Lokale
Domänengruppe
Ressourcen
der Domäne
Beta
Gliederung
Gruppen unter Windows 2000
Gruppenzuordnungen
Gruppen herauf-/zurückstufen
Berechtigungen auf Freigabeebene
Beispiel zu Freigabeberechtigungen
Berechtigungen auf NTFS-Ebene
Beispiel zu NTFS-Berechtigungen
Vorlesung: 16 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf Freigabeebene
Für freigegebene Ressourcen können Berechtigungen vergeben werden.
Standardmäßig wird die Berechtigung Vollzugriff für die Gruppe Jeder in der Access
Control List (ACL) eines jeden Objekts eingetragen.
Mögliche Berechtigungen:
Lesen
Ändern
Vollzugriff
Vorlesung: 17 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf Freigabeebene
Freigabeberechtigungen
Lesen:
Dateianzeige,
Wechsel in Verzeichnisse,
Inhaltsanzeige.
Ändern
Wie Lesen, zusätzlich:
Neu erstellen von Dateien und Verzeichnissen,
Löschen von Dateien und Verzeichnissen,
Inhalte ändern
Vollzugriff
Wie Ändern, zusätzlich:
Berechtigungen ändern (nur NTFS),
Besizt übernehmen (nur NTFS).
Vorlesung: 18 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf Freigabeebene
Existieren mehrere (Gruppen)Berechtigungen für einen Benutzer, so werden alle Berechtigungen addiert.
Werden bestimmte Rechte verweigert, so
besitzen diese Restriktionen eine höhere
Priorität als mögliche Rechtezuweisungen.
Nicht-Zuweisung von Rechten (weder Zuweisung noch Verweigerung) gilt als Verweigerung.
Vorlesung: 19 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gliederung
Gruppen unter Windows 2000
Gruppenzuordnungen
Gruppen herauf-/zurückstufen
Berechtigungen auf Freigabeebene
Beispiel zu Freigabeberechtigungen
Berechtigungen auf NTFS-Ebene
Beispiel zu NTFS-Berechtigungen
Vorlesung: 20 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf Freigabeebene
Beispiel: Welche Rechte besitzt Teilnehmer
auf die Freigabe Ordner_Novell?
Vorlesung: 21 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf Freigabeebene
Beispiel: Welche Rechte besitzt Teilnehmer
auf die Freigabe Ordner_Novell?
Antwort:
Gewährte Rechte:
Gruppe Jeder auf die Freigabe:
Teilnehmer
auf die Freigabe:
Summe:
abzüglich verweigerter Rechte:
Teilnehmer
auf die Freigabe:
(Verweigerung beeinflußt:
effektive Rechte Summe:
Vorlesung: 22 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Vollzugr.
Lesen
Vollzugr.
Ändern
Vollzugriff)
Lesen
Gliederung
Gruppen unter Windows 2000
Gruppenzuordnungen
Gruppen herauf-/zurückstufen
Berechtigungen auf Freigabeebene
Beispiel zu Freigabeberechtigungen
Berechtigungen auf NTFS-Ebene
Beispiel zu NTFS-Berechtigungen
Vorlesung: 23 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Für Verzeichnisse und neu erstellte Dateien
in einem NTFS-Dateisystem können Berechtigungen vergeben werden (optional nicht
rekursiv).
Standardmäßig wird die Berechtigung Vollzugriff für die Gruppe Jeder in der ACL eines
jeden Objekts eingetragen.
Die nachfolgend aufgeführten sechs Standardberechtigungen setzen sich aus 13 erweiterten Berechtigungen zusammen, die
über die Schaltfläche "Erweitert" zu
administrieren sind.
Vorlesung: 24 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Standard NTFS-Berechtigungen:
Lesen,
Schreiben,
Ordnerinhalt auflisten,
Lesen & Ausführen,
Ändern,
Vollzugriff
Abhängig davon, ob die Berechtigungen für
eine Datei oder ein Verzeichnis gelten, haben diese eine etwas unterschiedliche Bedeutungen.
Vorlesung: 25 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Lesen
Ordner:
Dateien im Verzeichnis öffnen und Inhalt der Dateien
lesen.
Datei:
Datei öffnen und Inhalt lesen.
Schreiben
Ordner:
Dateien und Ordner erzeugen.
Datei:
Inhalt einer Datei ändern oder neuen hinzufügen.
Vorlesung: 26 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Ordnerinhalt auflisten
Ordner:
Kombination aus Lesen und Lesen & Ausführen.
Datei:
Nicht zutreffend.
Lesen & Ausführen
Ordner:
Dateien im Verzeichnis öffnen und lesen, ausführbare
Dateien und Batchdateien starten.
Datei:
Datei öffnen und lesen, ausführbare Datei und
Batchdatei starten.
Vorlesung: 27 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Ändern
Ordner:
Alle Aktionen außer Unterordner und Dateien löschen,
Berechtigungen ändern und Besitzrecht übernehmen.
Datei:
Alle Aktionen außer löschen, Berechtigung ändern
und Besitzrecht übernehmen.
Vollzugriff
Ordner:
Alles erlaubt.
Datei:
Alles erlaubt.
Vorlesung: 28 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
NTFS-Berechtigungen einrichten
Abgeblendete Häkchen bedeuten, die
Berechtigungen
sind vererbt.
Die Vererbung
kann deaktiviert
werden.
Vorlesung: 29 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
NTFS-Berechtigungen einrichten
Vorsicht bei der Deaktivierung der Vererbung!
"Entfernen" ohne vorherige Rechtezuweisungen
erzeugt ein "totes" Verzeichnis.
Vorlesung: 30 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Erweiterte Berechtigungen (Überblick):
Ordner durchsuchen/Datei ausführen,
Ordner auflisten/Daten lesen,
Attribute lesen,
Erweiterte Attribute lesen,
Dateien erstellen/Daten schreiben,
Dateien erstellen/Daten anhängen,
Attribute schreiben,
Erweiterte Attribute schreiben,
Unterordner und Dateien löschen,
Löschen,
Berechtigungen lesen,
Berechtigungen ändern,
Besitzrecht übernehmen.
Vorlesung: 31 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Erweiterte NTFS-Berechtigungen betrachten
Vorlesung: 32 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Geltungsbereich für NTFS-Berechtigungen
Konfigurierbar in den erweiterten NTFS-Rechteeinstellungen
Für diesen Ordner, Unterordner und Dateien,
Für diesen Ordner, Unterordner,
Für diesen Ordner, Dateien,
Nur Unterordner und Dateien,
Nur Unterordner,
Nur Dateien
Vorlesung: 33 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Existieren mehrere (Gruppen)Berechtigungen für einen Ordner, so werden alle Berechtigungen addiert.
Werden bestimmte Rechte verweigert, so
besitzen diese Restriktionen eine höhere
Priorität als mögliche Rechtezuweisungen.
Nicht-Zuweisung von Rechten (weder Zuweisung noch Verweigerung) gilt als Verweigerung.
Vorlesung: 34 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Gliederung
Gruppen unter Windows 2000
Gruppenzuordnungen
Gruppen herauf-/zurückstufen
Berechtigungen auf Freigabeebene
Beispiel zu Freigabeberechtigungen
Berechtigungen auf NTFS-Ebene
Beispiel zu NTFS-Berechtigungen
Vorlesung: 35 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Beispiel:
Der Nutzer Harald ist Mitglied der lokalen
Gruppe Verwaltung.
Welche Rechte besitzt er auf die Datei
Abrechnung.Doc im Ordner FiBu, wenn
folgende Berechtigungen existieren?
Jeder auf FiBu: Lesen, Schreiben, Ordnerinhalt
auflisten, Lesen & Ausführen,
Verwaltung auf FiBu: Ändern,
Harald auf FiBu: Lesen, Schreiben verweigert.
Vorlesung: 36 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Beispiel:
Der Nutzer Harald ist Mitglied der lokalen
Gruppe Verwaltung und auch von Jeder.
Anwort:
Gewährte Rechte:
Jeder
auf FiBu: L, S, O, L&S
Verwaltung
auf FiBu: Ändern
Harald
auf FiBu: Lesen
Summe: L, S, O, L&A, Ä
abzüglich verweigerter Rechte:
Harald
auf FiBu: Schreiben
(Verweigerung beeinflußt: Ändern)
Summe: L, O, L&A
Vorlesung: 37 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
Berechtigungen auf NTFS-Ebene
Hinweise zu NTFS-Rechten:
Arbeiten Sie im Zweifelsfall nur mit den erweiterten Rechten, um den Überblick nicht zu verlieren.
Wird gewünscht, besondere Rechte zuzuweisen
oder zu verweigern, so sollte unbedingt eine detaillierte Prüfung der erweiterten Rechte erfolgen!
Es besteht keine Möglichkeit, sich die effektiven
Rechte für ein Objekt anzeigen zu lassen!
Vergeben Sie auf oberen Ebenen einer Verzeichnisstruktur nicht zu mächtige Rechte.
Dokumentieren Sie Änderungen genau.
Vorlesung: 38 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg
ENDE
Fragen?
Vorlesung: 39 Gruppen und Berechtigungen
© 2002 Prof. Dr. G. Hellberg