Sondergruppen und Sonderkonten
Vorwort
Server unter Windows Server 2003 enthalten neben den Gruppen in den Containern
Benutzer und Vordefiniert
mehrere
Sonderidentitäten. Diese Identitäten werden allgemein als Sondergruppen
bezeichnet. Zweck der Sondergruppen
(oder Sonderidentitäten) ist es, ohne Eingriffe durch Benutzer oder Administratoren
Zugriff auf Ressourcen zu bieten.
Tipp:
Sie können die meisten Sondergruppen daran erkennen, dass ihre Namen in
Großbuchstaben geschrieben werden.
Es gibt allerdings auch ein paar wenige Ausnahmen hierfür, beispielsweise
die Sondergruppe "Authentifizierter Benutzer".
Benutzer werden Mitglieder von Sondergruppen, indem sie einfach
mit dem Betriebssystem interagieren. Beispielsweise
wird ein Benutzer, der sich lokal am Computer anmeldet, zum Mitglied der Gruppe
"Interaktiv". Sie können den Sonder-
gruppen Benutzerrechte und Berechtigungen zuweisen, sie aber nciht ändern
oder ihre Mitglieder auflisten. Außerdem
gelten Gruppenbereiche nicht für Sondergruppen.
Es ist wichtig, den Zweck der Sondergruppen zu kennen, da
Sie sie zur Sicherheitsadministration verwenden können, denn
sie ermöglichen Ihnen die Erstellung genauer abgestimmter Zugriffsrichtlinien
und die Steuerung des Ressourcenzugriffs.
Um zu verstehen, wie Sondergruppen bei der Zugriffssicherung hilfreich sein
können, sperren Sie einmal für
DIALUP-Benutzer den Zugriff auf einen Ordner mit vertraulichen Dokumenten. Sie
können die Gruppe "DIALUP" ganz
normal wie jede andere Gruppe im Register "Sicherheit" des Ordners
hinzufügen.#
Nachfolgend aufgeführt sind die Sondergruppen unter Windows
Server 2003, die zur Steuerung des Ressourcenzugriffs
in einer Organisation verwenden werden können:
Anonymous-Anmeldung
Die Gruppe "Anonymous-Anmeldung" repräsentiert Benutzer und Dienste,
die auf einen Computer und dessen
Ressourcen über das Netzwerk zugreifen, ohne dazu einen Kontonamen, ein
Kennwort oder einen Domänennamen
zu verwenden. Auf Computern unter Windows NT4 und früher ist die Gruppe
"Anonymous-Anmeldung" standardmäßig
ein Mitglied der Gruppe "Jeder". Auf Computern unter einem Produkt
der Windows-Server 2003 Produktfamilie ist die
Gruppe "Anonymous-Anmeldung" hingegen standardmäßig kein
Mitglied der Gruppe "Jeder". Wenn Sie eine Datei-
freigabe für einen anonymen Benutzer erstellen wollen, gewähren Sie
der Gruppe "Anyonymous-Anmeldung"
entsprechende Berechtigungen.
Authentifizierter Benutzer
Die Gruppe "Authentifizierter Benuzter" schließt alle Benutzer
und Computer ein, deren Identitäten authentifiziert
wurden. "Authentifizierter Benutzer" schließt nicht "Gast"
mit ein. auch wenn das Konto "Gast" über ein Kennwort
verfügt. Die Mitgliedschaften in den Gruppen "Authentifizierter Benutzer"
und "Anonymous-Anmeldung" sind gegen-
seitig ausschließend.
Batch
Die Gruppe "Batch" umfasst alle Benutzer, die sich über eine
Batchwarteschlange (z.B. Taskplaneraufgaben) angemeldet
haben.
Erstellergruppe
Die Gruppe "Erstellergruppe" umfasst das Benutzerkonto für den
Benuter, der die Ressource erstellt hat. Es handelt
sich um einen Platzhalter in einem vererbbaren ACE. Wenn der ACE vererbt wird,
ersetzt das System diesen Sicherheits-
bezeichnier (Security Identifier, SID) durch die SID der primären Gruppe
des aktuellen Besitzers des Objekts.
Ersteller-Besitzer
Die Gruppe "Erstellergruppe" umfasst das Benutzerkonto für den
Benutzer, der die Ressource erstellt oder ihren Besitz
übernommen hat. Wenn ein Mitglied der Gruppe "Administratoren"
eine Ressource erstellt, dann ist die Gruppe
"Administratoren" der Besitzer dieser Ressource. Die Gruppe "Ersteller-Besitzer"
ist ein Platzhalter in einem vererbbaren
ACE. Wenn der ACE vererbt wird, ersetzt das System diese SID durch die SID des
aktuellen Besitzers des Objekts.
DIALUP
Die Gruppe "DIALUP" umfasst alle Benutzer, die über eine DFÜ-Verbindung
im System angemeldet sind.
Jeder
Die Gruppe "Jeder" repräsentiert alle derzeitigen Netzwerkbenutzer,
d.h. auch Gäste und Benutzer aus anderen
Domänen. Jeder Benutzer, der sich am Netzwerk anmeldet, wird automatisch
zur Gruppe "Jeder" hinzugefügt.
Die Sondergruppe "Anonymous-Anmeldung" ist anders als bei vorherigen
Windows Server Versionen nicht mehr
Bestandteil der Gruppe "Jeder.
Interaktiv
Die Sondergruppe "Interaktiv" repräsentiert alle Benutzer, die
derzeit an einem bestimmten Computer angemeldet sind, und
die auf eine bestimmte Ressource auf diem Computer zugreifen (im Gegensatz zu
Benutzern, die über das Netzwerk
auf die Ressource zugreifen). Jeder Benutzer, der auf dem Computer, an dem er
angemeldet ist, auf eine bestimmte Ressource
zugreift, wird automatisch zur Gruppe "Interaktiv" hinzugefügt.
Lokaler Dienst
Das Konto "Lokaler Dienst" ist ein spezielles vordefiniertes Konto
ähnlich einem authentifizierten Benutzerkonto.
Es verfügt über dieselben Zugriffsrechte auf Ressourcen und Objekte
wie Mitglieder der Gruppe "Benutzer". Durch diesen
eingeschränkten Zugriff kann das System geschützt werden, falls einzelne
Dienste oder Vorgänge gefährdet sind. Dienste,
die über das Konto "Lokaler Dienst" ausgeführt werden, greifen
alls Nullsitzung ohne Anmeldeinformationen auf Netzwerk-
ressourcen zu.
Netzwerk
Die Gruppe "Netzwerk" repräsentiert Benutzer, die derzeit über
das Netzwerk auf bestimmte Ressourcen zugreifen (im
Gegensatz zu Benutzern, die sich für den Zugriff auf die Ressource lokal
an dem Computer anmelden, auf dem die
Ressource enthalten ist). Jeder Benutzer, der über das Netzwerk auf eine
bestimmte Ressource zugreift, wird automatisch
zur Gruppe "Netzwerk hinzugefügt.
Netzwerkdienst
Das Konto "Netzwerkdienst" ist ein spezielles vordefiniertes Konto
ähnlich einem authentifizierten Benutzerkonto.
Es verfügt über dieselben Zugriffsrechte auf Ressourcen und Objekte
wie Mitglieder der Gruppe "Benutzer". Durch diesen
eingeschränkten Zugriff kann das System geschützt werden, falls einzelne
Dienste oder Vorgänge gefährdet sind.
Dienste, die über das Konto "Netzwerkdienst" ausgeführt
werden, greifen mithilfe der Anmeldeinformationen des Computer-
kontos auf Netzwerkressourcen zu.
Andere Organisationen
Diese Gruppe enthält Benutzer, die sich aus einer anderen Domäne heraus
authentifiziert haben. Das Hinzufügen der
Gruppe zu einer ACL führt dazu, dass eine Überprüfung ausgeführt
wird, um sicherzustellen, dass ein Benutzer aus
einer anderen Gesamtstruktur oder Domäne sich gegenüber einem bestimmten
Dienst authentifizieren darf.
Selbst
Die Gruppe "Selbst" ist ein Platzhalter in einem ACE für ein
Benutzer-, Gruppen-, oder Computerobjekt im Active Directory.
Berechtigungen für "Prinzipalselbst" werden dem Sicherheitsprinzipal
gewährt, der durch das Objekt dargestellt wird.
Während einer Zugriffsüberprüfung ersetzt das Betriebssystem
den Sicherheitsbezeichner für "Prinzipalselbst" durch den
Sicherheitsbezeichner für den Sicherheitsprinzipal, der durch das Objekt
dargestellt wird.
Dienst
Die Gruppe "Dienst" enthält alle Sicherheitsprinzipale, die als
Dienst angemeldet sind. Die Mitgliedschaft wird durch das
Betriebssystem gesteuert.
System
Die Gruppe "System" wird vom Betriebssystem und von Diensten verwendet,
die unter Windows ausgeführt werden. Sie
verfügt über Rechte ähnlich denen der Gruppe "Administratoren".
Das Konto "System" ist ein internes Konto, welches
im Benutzer-Manager nicht aufgeführt wird und anderen Gruppen nicht hinzugefügt
werden kann. Auch lassen sich ihm
keine Benutzerrechte zuweisen. Bei der Vergabe von Dateiberechtigungen wird
das Konto "System" hingegen angezeigt.
Terminalserverbenutzer
Die Gruppe "Terminalserverbenutzer" umfasst alle Benutzer, die an
einem Terminaldiensteserver angemeldet sind, d.h.
im Anwendungskompatibilitätsmodus der Terminaldienste, Version 4.0.
Diese Organisation
Falls vertrauenswürdige Domänen für Gesamtstrukturen vorhanden
sind, wird die Gruppe "Diese Organisation" vom
Authentifizierungsserver zu den Authentifizierungsdaten eines Benutzers hinzugefügt,
vorausgesetzt, die SID für
"Andere Organisation" ist noch nicht vorhanden.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006