Effektive Berechtigungen
Vorwort
Die Berechnung der effektiven Berechtigungen eines Benutzers verlangt mehr,
als einfach den Namen des Benutzers in der ACL nachzuschlagen.
ACEs können Rechte wahlweise direkt einem Benutzer oder aber einer Sicherheits-
oder einer Sondergruppe zuweisen. Außerdem können
Benutzer Mitglieder mehrerer Gruppen sein, und Gruppen können zudem ineinander
verschachteld sein. Aus diesem Grund können für einen
Benutzer mehrere unterschiedliche ACEs in einer ACL vorhanden sein. Um zu verstehen,
welche Berechtigungen für einen Benutzer effektiv
sind, müssen Sie wissen, wie Berechtigungen berechnet werden, wenn auf
einem Benutzer mehrere ACEs zutreffen.
Berechtigungen, die einem Benutzer oder Gruppen, zu denen
der Benutzer gehört, gewährt werden, sind kumulativ. Wenn also Hannes
Mitglied
der Gruppen "Einkauf" und "Produktion" ist und die ACL für
eine Datei dem Benutzerkonto von Hannes die Berechtigung Lesen,
der Gruppe
"Einkauf" die Berechtigung Ändern
und der Gruppe "Produktion" die Berechtigung Vollzugriff
gewährt, dann genießt Hannes Vollzugriff auf das
betreffende Objekt. Es gibt aber auch einen Haken. Zugriffsverweigernde ACEs
haben immer Vorrang vor Zugriffsgewährenden ACEs. Insofern
kann, wenn der Gruppe "Einkauf" der Zugriff auf die Datei explizit
verweigert wird, Hanens die Datei nicht öffnen. Zwar ist Hannes ein Miglied
der Gruppe "Produktion", die Vollzugriff auf die Datei hat, aber der
Eintrag Verweigern für die Gruppe "Einkauf" hat zur Folge, dass
sie trotzdem
nicht auf die Datei zugreifen kann.
Tipp:
Standardmäßig hat die Sondergruppe "Jeder" Berechtigungen
für die meisten Objekte im System. Sobald sich ein Benutzer authentifiziert
hat,
wird er Mitglied dieser Gruppe "Jeder". Die Gruppe "Jeder"
enthält unter Windows Server 2003 nicht mehr die Sondergruppe "Anonymer
Benutzer".
Sie sollten aber trotzdem die Standardberechtigungen anpassen um mehr Sicherheit
zu gewinnen. Sie könnten auch ein kleines Script schreiben
mit einer einfachen Batch-Datei welches das Kommando "cacls" verwendet
um Ordnerberechtigungen automatisch festzulegen. Das ist insbesondere
dann interessant, wenn Sie eine größere oder Kompliziertere Berechtigungsstruktur
auslesen möchten oder einfach mehrere Server konfigurieren möchten
welche immer nach dem gleichen Schema das von Ihnen definiert wurde gesichert
werden soll.
Anzeigen von Effektiven
Berechtigunungen
Windows Server 2003 bietet nun ein vereinfachtes Tool um Ihnen die schnelle
Analyse der Berechtigungen für ein Objekt anzeigen lassen zu können.
Dieses Tool versteckt sich unter den Eigenschaften eines Objektes in den erweiterten
Eigenschaften des Registers "Sicherheit" eines Objektes.
Sie erkennen nun das Register "Effektive Berechtigungen". Hier können
Sie einen Benutzer oder Gruppe von welchem Sie die Sicherheitseinstellungen
wissen möchten auswählen damit diese im unteren
drittel des Fensters angezeigt werden.
Leider gibt es hierbei eine Einschränkung von der man
wissen sollte.
Die folgenden Gruppen werden bei der Ermittlung der effektiven Berechtigungen
nicht berücksichtigt:
Anonymous-Anmeldung, Authentifizierte Benutzer, Batch, Erstellergruppe, Ersteller-Besitzer,
Dialup, Domänencontroller der Organisation,
Interaktiv, Netzwerk, Proxy, Eingeschränkt, Selbst, Dienst, System und
Terminalserverbenutzer (dies gilt z. B. für den Remotezugriff eines
Benutzers auf eine Datei).
Die Gruppe Jeder ist aber immer enthalten,
soweit der Benutzer oder die Gruppe kein Mitglied der Gruppe Anonymous-Anmeldung
ist.
Unter Windows Server 2003 und XP Professional schließt die Gruppe Jeder
die Anonymous-Anmeldung nicht mehr ein.
Trotz dieser Einschränkung kann dieses kleine Register
eine absolute Hilfe darstellen und sollte auf jeden Falls verwendet werden um
auf schnelle unkopmlizierte Art und Weise die Berechtigungen anzeigen zu lassen.
Da Sie nun wissen welche Gruppen nicht berücksichtigt werden
stellt diese Einschränkung für Sie jetzt auch kein Problem mehr dar.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006