Kompaktes Hardware-Wissen rund um Windows 2000 Server als Netzwerk-Betriebssystem

Ähnliche Dokumente
Kompaktes Netzwerk-Wissen rund um die Konfiguration eines Windows Domain-Controllers

Kompaktes Netzwerk-Wissen rund um die Konfiguration von DNS, WINS und DHCP im Windows-Netzwerk

Umleiten von Eigenen Dateien per GPO

Gruppenrichtlinien und Softwareverteilung

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Nutzung von GiS BasePac 8 im Netzwerk

Bkvadmin2000 Peter Kirischitz

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Kompaktes Datenbank-Wissen rund um die Datenbank-Programmierung mit Transact-SQL

Einrichten von Benutzergruppen und Benutzern

ZEITSYNCHRONISATION IM DS-WIN EINRICHTEN

Anleitung Inspector Webfex 2013

Warenwirtschaft Handbuch - Administration

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Benutzerkonto unter Windows 2000

Step by Step Softwareverteilung unter Novell. von Christian Bartl

Abbildung 8.1: Problem mit dem Zertifikat. 2. Melden Sie sich am imanager als admin an. Die Anmeldung erfolgt ohne Eingabe des Kontextes: 8-2

Benutzerhandbuch - Elterliche Kontrolle

Lehrer: Einschreibemethoden

Support Center Frankfurt Windows 2000 Server Neuer Client im Netzwerk

Neuinstallation Einzelplatzversion

3 Installation von Exchange

MOC 2145 Windows Server 2003: Verwalten einer Domänen-Umgebung

Step by Step Webserver unter Windows Server von Christian Bartl

Active Directory. Gruppen

Merkblatt 6-6 bis 6-7

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Prodanet ProductManager WinEdition

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Tutorial -

Wie kann ich meine Daten importieren? Wie kann ich meine Profile verwalten?

Windows Server 2012 RC2 konfigurieren

RetSoft Archiv Expert - Admin

Installation kitako. Wir nehmen uns gerne Zeit für Sie! Systemanforderungen. Demoversion. Kontakt

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern

Windows 8.1. Grundkurs kompakt. Markus Krimm, Peter Wies 1. Ausgabe, Januar inkl. zusätzlichem Übungsanhang K-W81-G-UA

teamsync Kurzanleitung

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Aktivierung Office 2013 über KMS

Anleitung Captain Logfex 2013

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Tipps und Tricks zu den Updates

ADDISON Aktenlösung Automatischer Rewe-Import. Technische Beschreibung

Parks > Authorization Manager. Versionshinweise

NOXON Connect Bedienungsanleitung Manual

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

Installationsanleitung

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

Schnelleinstieg BENUTZER

Clients in einer Windows Domäne für WSUS konfigurieren

Mobilgeräteverwaltung

mit ssh auf Router connecten

Einrichten der BASE Projektbasis

Kurzanleitung RACE APP

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

WinVetpro im Betriebsmodus Laptop

Geben Sie "regedit" ein und klicken Sie auf die OK Taste. Es öffnet sich die Registry.

Outlook Web App 2013 designed by HP Engineering - powered by Swisscom

Print2CAD 2017, 8th Generation. Netzwerkversionen

Installation über MSI. CAS genesisworld mit MSI-Paketen installieren

Whitepaper. Produkt: combit Relationship Manager. combit Relationship Manager und Terminalserver. combit GmbH Untere Laube Konstanz

Gemeinsamer Bibliotheksverbund: Übertragung von Datenexporten für den Verbundkatalog Öffentlicher Bibliotheken

Unterrichtseinheit 7

Beschreibung einer Musterkonfiguration für PBS-Software in einem WINDOWS 2003 Netzwerk - Rel. 2 (mit NPL Runtime Package Rel. 5.

Konfiguration IKMZ / Universitätsrechenzentrum des Cisco VPN-Clients v3.6 Netze und Datenkommunikation

Softwareverteilung. Musterlösung für schulische Netze mit Windows Windows Musterlösung für Schulen in Baden-Württemberg

Nach der Installation des FolderShare-Satellits wird Ihr persönliches FolderShare -Konto erstellt.

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Anleitung zu htp Mail Business htp WebMail Teamfunktionen

Drucken aus der Anwendung

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

Auskunft über die Kassendaten

easysolution GmbH easynet Bessere Kommunikation durch die Weiterleitung von easynet-nachrichten per nach Hause

SAPGUI-Installation. Windows Bit-Edition auf x64 (AMD) und Intel EM64T (nur die Editionen

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

PDF-Druck und PDF-Versand mit PV:MANAGER

Übung - Konfigurieren einer Windows 7-Firewall

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Erste Schritte mit Microsoft Office 365 von Swisscom

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Das Archivierungssystem - Dokumentation für Anwender und Administratoren

Mail-Server mit GroupWare

Umzug der Datenbank Firebird auf MS SQL Server

Einführungskurs MOODLE Themen:

Step by Step Remotedesktopfreigabe unter Windows Server von Christian Bartl

Installationsanleitung DIALOGMANAGER

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Windows 98 / Windows NT mit NCP WAN Miniport-Treiber 23. Oktober 1998

Lokales Netzwerk Wie kann ich lokal installierte Drucker im Netzwerk für andere Nutzer freigeben? Frage:

Arbeiten mit Workflows Installationsleitfaden Zur Installation des d3 Workflows

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Telefon-Anbindung. Einrichtung Telefonanlagen. TOPIX Informationssysteme AG. Stand:

Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010

Verschlüsseln von Dateien mit Hilfe einer TCOS-Smartcard per Truecrypt. T-Systems International GmbH. Version 1.0 Stand

Das Handbuch zu Simond. Peter H. Grasch

Einrichten einer DFÜ-Verbindung per USB

Informationen zum neuen Studmail häufige Fragen

OP-LOG

Netzlaufwerke verbinden

Transkript:

Auszug aus unserem Bestseller Kapitel: Windows 2000 Server Autor: Rainer Egewardt Copyright by PCT-Solutions 1. Auflage 600 Seiten 2. Auflage 1200 Seiten Kompaktes Hardware-Wissen rund um Windows 2000 Server als Netzwerk-Betriebssystem Stand 2002 Unsere Bücher Das PC-Wissen für IT-Berufe als Print-Medien, sind zu Bestsellern im ITBuchmarkt geworden. Powered by

IT-Lösungen Dokumentationen Präsentationen Weitere Kapitel zum Download aus Das PC-Wissen für IT-Berufe Das PC-Wissen für IT-Berufe ist in den nebenstehenden einzelnen Kapiteln als Download verfügbar Copyright 2000 für Text, Illustrationen und grafische Gestaltung by PCT-Solutions Rainer Egewardt Überblick über die weiteren Kapitel - Micro-Prozessor-Technik Funktion von einzelnen Komponenten im PC Installation von einzelnen Komponenten im PC Netzwerk-Technik DOS Windows NT4 Server Windows 2000 Server Novell Netware Server Unix (Linux) Server Bei allen Kapiteln handelt es sich um die Original-Verlags-Dateien, die zuletzt 2002 als Print-Medium veröffentlicht wurden. PCT-Solutions info@pct-solutions.de www.pct-solutions.de Das nachfolgende Kapitel wurde auf der Basis von fundierten Ausbildungen, Weiterbildungen und umfangreichen Praxixerfahrungen erstellt und vom Verlag lektoriert. Für Schäden aus unvollständigen oder fehlerhaften Informationen übernehmen wir jedoch keinerlei Haftung.

IT-Lösungen Dokumentationen Präsentationen Top-aktuelle Ebooks als Download - Computer-Netzwerke Teil 1 - Computer-Netzwerke Teil 2 Unsere top-aktuellen Neuveröffentlichungen als EBooks zum Download von unserer Web-Site Copyright 2010 für Text, Illustrationen und grafische Gestaltung by PCT-Solutions Rainer Egewardt PCT-Solutions info@pct-solutions.de www.pct-solutions.de - Computer-Netzwerke Teil 3 Computer-Netzwerke Teil 4 Computer-Netzwerke Teil 5 Computer-Netzwerke Teil 6 Computer-Netzwerke Teil 7 Datenbank Teil 1 Datenbank Teil 2 Datenbank Teil 3 Mailing Teil 1 Mailing Teil 2 Internet Teil 1 Internet Teil 2 Internet Teil 3 Web-Programmierung Teil 1 Web-Programmierung Teil 1 Web-Programmierung Teil 1 Web-Programmierung Teil 1 Web-Programmierung Teil 1 Web-Programmierung Teil 1 Software Teil 1 Software Teil 2 Software Teil 3 Netzwerk-Design (Netzwerk-Hardware) Konfiguration eines Windows-Server basierten Netzwerkes DNS-, WINS-, DHCP-Konfiguration Optimieren von Windows-Netzwerken Netzwerkanbindung von Windows-Clients Scripting-Host in IT-Netzwerken Projekt-Management in IT-Netzwerken MS-SQL-Server als Datenbank-Backend MS-Access als Datenbank-Frontend SQL-Programmierung (Transact-SQL) MS-Exchange-Server als Mail-Server Outlook als Mail-Client Internet-Information-Server als HTML-Server MS-Frontpage zum Erstellen eines HTML-Pools Internet-Browser HTML DHTML CSS PHP JavaScript XML Professionelle Bildbearbeitung Corel PhotoPaint Professionelle Layouts mit Adobe Illustrator Grafisches Allerlei mit MS-Visio und viele weitere EBooks zum Download auf unserer Internetseite

3.5 Windows 2000 Hier sind Benutzereinstellungen immer verfügbar, egal von welchem Rechner im Netz man sich angemeldet. Für diese Funktion werden Active Directory Gruppenrichtlinie Offlinedateien Servergespeicherte Benutzerprofile eingesetzt. Remoteinstallationsdienste Remoteinstallationsdienste ermöglichen das Installieren von Win2000-Pro-Computern über das Netzwerk. Dazu liegt eine lokale Installation des Betriebssystems auf dem Server, in Form einer Image-Datei, die zuvor erstellt und auf dem Server abgelegt wurde. Der Client wird beim ersten Booten dann über eine Startdiskette mit dem Server verbunden, und bekommt sein Betriebssystem vom Server installiert. Für diese Funktion werden Active Directory Gruppenrichtlinie Remoteinstallationsdienste eingesetzt. 3.5.14 Benutzer-Verwaltung Benutzer-, Computerkonten und Gruppen werden unter AD als Sicherheitsprincipals bezeichnet. Sicherheitsprincipals entsprechen Directory- Objekten, die eine Sicherheitskennung besitzen. Über die Sicherheitskennungen werden diese Objekte am Netzwerk angemeldet und können auf Ressourcen zugreifen. In AD-Computer und - Benutzer werden diese Objekte hinzugefügt. 921

3 Software-Technik Abb. 156 Gibt es eine Vertrauensstellung zwischen einer Win2000-Domäne und einer Domäne außerhalb der eigenen Struktur, bekommen die Sicherheitsprincipals der fremden Domäne Zugriffsrechte auf die Ressourcen der eigenen Domäne, die als FREMDER SICHERHEITSPRINCIPAL der externen Domäne hinzugefügt werden. Diese können dann in lokalen Gruppen der externen Domänen aufgenommen werden. Zum Anzeigen dieser Objekte müssen unter AD-Benutzer- und -Computer die erweiterten Eigenschaften angezeigt werden. Abb. 157 922

3.5 Windows 2000 Abb. 158 Einrichten von Benutzern und deren Eigenschaften: Start Programme Verwaltung AD-Benutzerund -Computer. Benutzerkonten dienen der Authentifizierung eines Benutzers im Netzwerk. Abb. 159 923

3 Software-Technik Abb. 160 Eigenschaften von Benutzerkonten werden unter Start Programme Verwaltung AD-Benutzerund -Computer Verzeichnis Users auswählen rechte Maustaste über den Benutzer Eigenschaften bearbeitet. Abb. 161 924

3.5 Windows 2000 Abb. 162 Gruppen: In Gruppen können Benutzer, andere Gruppen und Computer enthalten sein. Sie sind Objekte, die auf lokalen Computern sowie in AD vorhanden sind. Gruppen werden für Zugriffe auf freigegebene Ressourcen Filtern von Gruppenrichtlinieneinstellungen Erstellen von E-Mail-Verteilerlisten verwendet. Gruppen unterscheiden sich in Sicherheitsgruppen Verteilergruppen Sicherheitsgruppen In Sicherheitsgruppen sind Benutzer, Computer und andere Gruppen enthalten. Berechtigungen für Ressourcen sollten nur an Sicherheitsgruppen verteilt werden. Verteilergruppen 925

3 Software-Technik 926 Verteilergruppen werden nur für e-mail- Verteilerlisten verwendet. So können e-mails an ganze Gruppen von Benutzern versendet werden, nämlich denen, die der Verteilerliste angehören. Organisationseinheiten Für die Zusammenfassung von Objekten innerhalb einer Domäne, gibt es die Organisationseinheiten. Gruppenrichtlinienobjekte Gruppenrichtlinienobjekte beziehen sich auf Standorte, Domänen oder Organisationseinheiten, können jedoch nicht auf Gruppen angewendet werden. Sie sind eine Gruppe von Einstellungen, die auf Benutzer oder Computer angewendet werden. Einrichten von Gruppen: Win2000 unterscheidet in lokale globale und universelle Gruppen. Lokale Gruppen Lokale Gruppen können universelle-, globale Gruppen oder Benutzerkonten aus beliebigen Domänen enthalten (Win2000- oder Win NT-Domänen). Rechte für lokale Gruppen können nur innerhalb der eigenen Domäne zugewiesen werden. Sie können Sicherheits- oder Verteilergruppen sein. Berechtigungen an diese Gruppen können nur in der lokalen Domäne erteilt werden. Globale Gruppen Globale Gruppen können Mitglied von lokalen Gruppen der eigenen Domäne sowie auf Mitgliedsservern und damit verbundenen Workstations oder vertrauten Domänen sein. Sie können nur Benut-

3.5 Windows 2000 zer der eigenen Domäne enthalten, in der sie eingerichtet wurden. Mit globalen Gruppen können Gruppen gebildet werden, die innerhalb und außerhalb der Domäne verfügbar sind. Berechtigungen an diese Gruppen können in jeder Domäne der Gesamtstruktur erteilt werden. Universelle Gruppen Mitglieder von universellen Gruppen können aus jeder beliebigen Domäne oder der Gesamtstruktur stammen. Sie können globale-, oder lokale Gruppen sowie Benutzerkonten enthalten. Sie können Mitglied von lokalen Gruppen einer Domäne oder von anderen universellen Gruppen sein, nicht aber von globalen Gruppen. Globale Gruppen werden im globalen Katalog angezeigt und sollten nur globale Gruppen enthalten. Sie können Sicherheits- oder Verteilergruppen sein, die an jeder Stelle in einer Domänenstruktur oder Gesamtstruktur verwendet werden können. Berechtigungen an diese Gruppen können in jeder Domäne oder Gesamtstruktur verteilt werden. Sind mehrere Gesamtstrukturen vorhanden, können Benutzer, die nur in einer Gesamtstruktur definiert wurden, nicht einer Gruppe einer anderen Gesamtstruktur zugeordnet werden. Auch können keinen Gruppen einer Gesamtstruktur Berechtigungen einer anderen Gesamtstruktur zugeordnet werden. Sicherheitsgruppen werden in Listen geführt (DACLs), die Berechtigungen für Ressourcen und Objekte definieren. Verteilergruppen können verwendet werden, wenn keine Sicherheitsgründe für die Gruppe vorliegen. 927

3 Software-Technik Abb. 163 Abb. 164 928

3.5 Windows 2000 Abb. 165 Abb. 166 929

3 Software-Technik Abb. 167 Abb. 168 930

3.5 Windows 2000 Definition von Gruppen in Domänen Abb. 169 Werden Domänen im einheitlichen Modus ausgeführt (im Gegensatz zum gemischten Modus), können sie Konten, globale und universelle Gruppen aus allen vorhandenen Domänen enthalten. Es können in solchen Domänen jedoch keine Sicherheitsgruppen als universelle Gruppen erstellt werden. Gruppen können andere Gruppen enthalten, denen in jeder Domäne Berechtigungen zugeordnet werden können. Neu angelegte Gruppen werden als Sicherheitsgruppen im globalen Bereich definiert. Globale Gruppen können aber zu universellen Gruppen konvertiert werden, wenn die zu konvertierende Gruppe nicht einer anderen globalen Gruppe angehört. Vordefinierte Gruppen: Unter AD-Benutzer- und -Computer werden bei der Installation Standardgruppen installiert. Vordefinierte Gruppen in der lokalen Domäne werden im Verzeichnis VORDEFINIERT angelegt. Vordefinierte Gruppen im globalen Bereich werden unter BENUTZER angelegt. Unter dem Verzeichnis Vordefiniert in AD werden folgende Gruppen angelegt: Konten-Operatoren Administratoren Sicherungs-Operatoren 931

3 Software-Technik Gäste Druck-Operatoren Replikations-Operatoren Server-Operatoren Benutzer Abb. 170 Diese vordefinierten Gruppen verfügen über folgende vordefinierte Rechte: Benutzerrecht Auf diesen Computer vom Netzwerk zugreifen Dateien und Dateiordner sichern Wechselprüfung umgehen Systemzeit ändern Auslagerungsdatei erstellen Programme debuggen Herunterfahren von Gruppen, die standardmäßig über dieses Recht verfügen Administratoren, Jeder, Hauptbenutzer Administratoren, Sicherungs-Operatoren Jeder Administratoren, Hauptbenutzer Administratoren Administratoren Administratoren 932

3.5 Windows 2000 einem Remotesystem aus Zeitplanungspriorität anhalten Gerätetreiber laden und entfernen Lokale Anmeldung Überwachungs- und Sicherheitsprotokoll verwalten Firmwareumgebungsvari ablen verändern Einzelprozessprofil erstellen Systemleistungsprofil erstellen Dateien und Dateiordner wiederherstellen Administratoren, Hauptbenutzer Administratoren Administratoren, Sicherungs-Operatoren, Jeder, Gäste, Hauptbenutzer und Benutzer Administratoren Administratoren Administratoren, Hauptbenutzer Administratoren Administratoren, Sicherungs-Operatoren System herunterfahren Administratoren, Sicherungs-Operatoren, Jeder, Hauptbenutzer und Benutzer Besitz von Dateien oder anderen Objekten übernehmen Administratoren Unter Benutzer werden folgende Gruppen angelegt: Zertifikatsherausgeber Domänen-Benutzer Domänen-Admins Organisations- Admins Domänencomputer Gruppenrichtlinien- Admins 933

3 Software-Technik Domänencontroller Schema-Admins Domänen-Gäste Abb. 171 Jedes erstellte Benutzerkonto in der Domäne wird aut. Mitglied in der Gruppe Domänen- Benutzer. Jedes erstellte Computerkonto in der Domäne wird aut. Mitglied der Gruppe Domänencomputer. Die Gruppe Domänen-Benutzer wird aut. Mitglied der Gruppe Benutzer. Die Gruppe Domänen-Admins wird aut. Mitglied der Gruppe Administratoren. Die Gruppe Domänen-Gäste wird aut. Mitglied der Gruppe Gäste in der selben Domänen. Als Sondergruppen werden folgende Gruppen definiert: Jeder Netzwerk Benutzer, die auf Ressourcen über das Netzwerk zugreifen. Jeder, der sich am Netzwerk anmeldet Interaktiv Jeder am lokalen Computer angemeldete Benutzer, der auf eine lokale Ressource zugreift. 934

3.5 Windows 2000 Mitgliedschaften in diesen Gruppen können nicht angezeigt oder manuell verändert werden. Universelle und verschachtelte Gruppen sowie getrennte Sicherheits- bzw. Verteilergruppen sind nur auf AD-Domänen-Controllern bzw. auf Mitgliedsservern verfügbar. Gruppenkonten auf eigenständigen Servern bzw. Win2000-Pro oder Win2000-Servern werden wie unter Win NT4 behandelt. Auf diesen Computern können nur lokale Gruppen erstellt, und diesen nur lokale Berechtigungen zugewiesen werden. Werden Gruppen in andere Gruppen eingefügt, wird die Gruppenverwaltung vereinheitlicht. Die Optionen, wie Gruppen anderen Gruppen hinzugefügt werden können, bestimmt der einheitliche bzw. der gemischte Modus, in dem die Domäne läuft. Gruppen in Domänen im einheitlichen Modus: Universelle Gruppen können Konten, Computerkonten, andere universelle Gruppen oder globale Gruppen einer beliebigen Domäne enthalten. Globale Gruppen können Konten derselben Domäne und andere globale Gruppen aus derselben Domäne enthalten. Lokale Gruppen können Konten, globale und universelle Gruppen einer beliebigen Domäne enthalten. Gruppen in Domänen im gemischten Modus: Globale Gruppen können nur Konten enthalten. Lokale Gruppen können nur globale Gruppen und Konten enthalten. Universelle Gruppen werden nur in Win2000-Domänen unterstützt, die im einheitlichen Modus arbeiten (siehe Tabelle auf der nächsten Seite). Zugriffssteuerung: Die Zuweisung von Rechten und Berechtigungen in der Hierarchie von Containern, Gruppen, Benut- 935

3 Software-Technik zern, Computern und anderen Ressourcenobjekten wird durch eine verteilte Sicherheit vereinfacht. Dabei sollten, wie unter NT4, Benutzerrechte nur auf Gruppenebene zugewiesen werden. Wegen des Prinzips der Vererbung sollten Rechte so weit wie möglich oben in der Container- Struktur vergeben werden. Jeder Container kann dann speziellen Administratoren zur Verwaltung übertragen werden. Domänen im einheitlichen Modus Sicherheits- und Verteilergruppen können über den Bereich Universal verfügen. Gruppen können unendlich verschachtelt werden. Sicherheits- und Verteilergruppen können in den jeweils anderen Gruppentyp konvertiert werden. Gruppen mit den Bereichen Global oder Lokale Domäne können in den Gruppenbereich Universal konvertiert werden. Domänen im gemischten Modus Nur Verteilergruppen können über den Bereich Universal verfügen. Bei Sicherheitsgruppen ist die Verschachtelung auf Gruppen des Bereichs Lokale Domäne beschränkt, deren Mitglieder Gruppen des Bereichs Global sind (Windows NT 4.0- Regel). Verteilergruppen können unendlich verschachtelt werden. Es sind keine Gruppenkonvertierungen zulässig. 936

3.5 Windows 2000 Überwachung: Nachstehende Überwachungen sollten zur Minimierung eines Sicherheitsrisikos durchgeführt werden: Fehlversuchsüberwachung bei An- bzw. Abmeldung, Erfolgsüberwachung bei An- und Abmeldung, Erfolgsüberwachung von Benutzerrechten, Benutzer- und Gruppenverwaltung, Änderungen der Sicherheitsrichtlinien, Neustarts, Herunterfahren des Systems, Erfolg- und Fehlversuchsüberwachung bei Datei- und Objektzugriffen, Erfolg- und Fehlversuchsüberwachung des Datei-Managers bei Lese-/Schreibzugriffen auf wichtige Dateien durch verdächtige Benutzer oder Gruppen, unzulässiger Zugriff auf wichtige Dateien, Erfolg- und Fehlversuchsüberwachung bei Dateizugriffen durch Drucker und Objektzugriffereignissen, Erfolg- und Fehlversuchsüberwachung des Druck-Managers bei Druckzugriffen durch verdächtige Benutzer oder Gruppen, unzulässiger Zugriff auf Drucker, Erfolg- und Fehlversuchsüberwachung bei Schreibzugriffen auf Programmdateien, Erfolg- und Fehlversuchsüberwachung für die Prozessverfolgung. Verschlüsselung von Daten (siehe Abschnitt 3.5.17): Dateien und Ordner können nur auf NTFS-Datenträgern verschlüsselt werden, 937

3 Software-Technik 938 nur von dem Benutzer geöffnet werden, der sie verschlüsselt hat, von Benutzern nicht freigegeben werden, beim Kopieren auf FAT-Partitionen ihre Verschlüsselung verlieren, über KOPIEREN und EINFÜGEN in einen verschlüsselten Ordner verschoben werden, damit die Verschlüsselung erhalten bleibt (nicht über DRAG&DROP), wenn sie komprimiert sind, nicht verschlüsselt werden, können aber von Benutzern, mit der Berechtigung zum Löschen von Datenobjekten, jederzeit gelöscht werden, können von Benutzern auf Remote-Computern ver-/entschlüsselt werden, wenn die Remote- Verschlüsselung freigegeben wurde. Sicherheitsvorlagen: Organisationseinheiten, die nur Benutzer enthalten, bekommen ihre Kontorichtlinien immer von einer Domäne. Deswegen sollten Kontenrichtlinien nicht für Organisationeinheiten ohne Computer konfiguriert werden. Dabei lässt Win2000 nur eine Kontorichtlinie zu, nämlich die der Stammdomäne der Domänenstruktur. Sind Win2000-Pro-Computer Mitglieder einer Win2000- Domäne, haben die Konto- und Kennwortrichtlinien Vorrang vor der lokalen Richtlinie für Domänencontroller, Server und Arbeitsstationen in der Domäne. Werden Sicherheitseinstellungen in ein Gruppenrichtlinienobjekt in Active Directory importiert, gelten die lokalen Benutzereinstellungen für die Computerkonten nicht mehr. Gruppen und Benutzer werden aus den angegebenen Gruppen entfernt, wenn sie nicht in eingeschränkten Gruppen angegeben sind. D. h., die Option EIN- GESCHRÄNKTE GRUPPE sollte besser nur auf das Konfigurieren von lokalen Gruppen auf WS s und Mitgliedsservern angewendet werden.

3.5 Windows 2000 Werden Sicherheitsvorlagen in ein Gruppenrichtlinienobjekt importiert, erhalten aut. alle Konten, denen das Gruppenrichtlinienobjekt zugeordnet ist, die Sicherheitseinstellungen der Vorlage. Datei- und Ordnerberechtigungen festlegen, anzeigen, ändern und entfernen: Windows-Explorer Datei oder Verzeichnis auswählen rechte Maustaste über dem Objekt Eigenschaften Sicherheitseinstellungen. Hier muss nun ein Benutzer/Gruppe ausgewählt bzw. über HINZUFÜGEN hinzugefügt werden. Sodann können unter BERECHTIGUNGEN Berechtigungen zugelassen bzw. verweigert werden. Berechtigungen kann nur ändern, wer diese Berechtigung hat (vom Besitzer zugewiesen). Benutzer mit Vollzugriff können alle Dateien löschen. Werden Kontrollkästchen schattiert angezeigt, hat die Datei oder das Verzeichnis die Berechtigungen vom übergeordneten Verzeichnis geerbt (siehe Abb. 172). Vererbung auf die Datei- und Ordnerberechtigungen: Sind Berechtigungen für ein Verzeichnis erstellt worden, vererben sich diese Berechtigungen aut. an alle neu erstellten Verzeichnis bzw. Dateien in diesem Verzeichnis. Sollen keine Berechtigungen vererbt werden, muss NUR DIE- SEN ORDNER ÜBERNEHMEN FÜR aktiviert werden. Sollen bestimmte Verzeichnis/Dateien von der Vererbung ausgeschlossen werden, muss das Kästchen VER- ERBBARE ÜBERGEORDNETE BERECHTIGUNG ÜBERNEHMEN deaktiviert werden. Sind die Kontrollkästchen schattiert dargestellt, ist schon eine Vererbung eingetreten. Um die Vererbung zu ändern, kann der übergeordnete Ordner verändert werden, das Kontrollkästchen der übergeordneten Vererbung deaktiviert oder die gegensätzliche Be- 939

3 Software-Technik rechtigung Abb. 172 Vergabe von Berechtigungen ausgewählt werden. Ist für eine Berechtigung weder VERWEIGERN noch ZULASSEN ausgewählt, hat der Benutzer bzw. die Gruppe die Berechtigung durch eine Mitgliedschaft einer anderen Gruppe erhalten. Besitzrecht an Dateien/Verzeichnis übernehmen: Windows-Explorer rechte Maustaste über dem Objekt Eigenschaften Sicherheitseinstellungen Weitere Besitzer. Soll der Besitzer für alle untergeordneten Container und Objekte im Baum gleichzeitig geändert werden, muss das Kontrollkästchen BESITZER FÜR UNTERGEORDNETE CONTAINER UND OBJEKTE ERSET- ZEN aktiviert werden. 940

3.5 Windows 2000 Ein aktueller Benutzer kann anderen Benutzern das Recht übertragen, den Besitz an dem Objekt zu übernehmen, so dass diese jederzeit dieses Recht ausüben können. Ein Administrator kann aber auch so jederzeit den Besitz an einem Objekt übernehmen, auch ohne, dass dies vorher vom Besitzer eingerichtet wurde. Abb. 173 Besitz an Dateien/Verzeichnis übernehmen Überwachen von Dateien/Verzeichnissen: Windows-Explorer Datei oder Ordner rechte Maustaste auf die Datei bzw. den Ordner Eigenschaften Sicherheitseinstellungen Erweitert Überwachung. Unter HINZUFÜGEN kann jetzt ein Benutzer oder eine Gruppe ausgewählt werden, die überwacht werden soll. Um die Überwachung einer Gruppe oder eines Benutzers anzuzeigen, muss auf den Namen geklickt werden und dann auf ANZEIGEN/BE- ARBEITEN. Zum Entfernen einer Überwachung, auf ENTFERNEN klicken. Achtung: Um Dateien/Verzeichnis zu überwachen, muss die Einstellung OBJEKTZUGRIFFSVERSUCHE Ü- BERWACHEN in den 941

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback