Standard Benutzergruppen unter Windows NT

Hier eine ▄bersicht der vordefinierten Gruppen und der ihnen zugewiesenen Rechte und Funktionen. Diese Berechtigungen werden im USERMANAGER unter dem Menⁿ "Richtlinien" -> "Benutzerrechte" vergeben. Dort k÷nnen Sie auch VerΣnderungen an diesen Einstellungen vornehmen.

NT Workstation	Administrator	Sicherungs Operator	Jeder	Benutzer	Hauptbenutzer	GΣste
Lokale Anmeldung	JA	JA	JA	JA	JA	JA
Zugriff auf diesen Computer vom Netz	JA		JA		JA
▄bernehmen des Besitzes an Dateien und Objekten	JA
Verwalten von ▄berwachungs- und Sicherheitsprotokoll	JA
─ndern der Systemzeit	JA				JA
System herunterfahren	JA	JA	JA		JA
Herunterfahren von einem Fernsystem aus	JA				JA
Sichern von Dateien und Verzeichnissen	JA	JA
Wiederherstellen von Dateien und Verzeichnissen	JA	JA
Erzeugen und Verwalten von Benutzerkonten	JA				JA
Erzeugen und Verwalten von lokalen Gruppen	JA			JA	JA
Erteilen von Benutzerrechten	JA
Sperren der Arbeitsstation	JA		JA		JA
Zugriff auf eine gesperrte Arbeitsstation	JA
Formatieren der Festplatte	JA
Erzeugen von Gruppen	JA				JA
Speichern lokaler Profile	JA	JA			JA
Verzeichnisse freigeben im Netz	JA				JA
Drucker freigeben im Netz	JA	JA			JA

NT Server	Administrator	Server Operator	Konten Operator	Drucker Operator	Sicherungs Operator	Jeder	Benutzer
Lokale Anmeldung	JA	JA	JA	JA	JA
Zugriff auf diesen Computer vom Netz	JA					JA
▄bernehmen des Besitzes an Dateien und Objekten	JA
Verwalten von ▄berwachungs- und Sicherheitsprotokoll	JA
─ndern der Systemzeit	JA	JA
System herunterfahren	JA	JA	JA	JA	JA		JA
Herunterfahren von einem Fernsystem aus	JA	JA
Sichern von Dateien und Verzeichnissen	JA	JA			JA
Wiederherstellen von Dateien und Verzeichnissen	JA	JA			JA
Erzeugen und Verwalten von Benutzerkonten	JA		JA
Erzeugen und Verwalten von globalen Gruppen	JA		JA
Erzeugen und Verwalten von lokalen Gruppen	JA		JA
Erteilen von Benutzerrechten	JA
Sperren des Servers	JA	Ja				JA
Sperren der Arbeitsstation	JA	JA
Zugriff auf eine gesperrte Arbeitsstation	JA
Zugriff auf einen gesperrten Server		JA
Formatieren der Festplatte	JA	JA
Erzeugen von Gruppen	JA	JA
Speichern lokaler Profile	JA	JA	JA	JA	JA
Verzeichnisse freigeben im Netz	JA	JA
Drucker freigeben im Netz	JA	JA		JA

Die nun aufgefⁿhrten Gruppen, werden von NT standardmΣ▀ig angelegt und k÷nnen auch nicht gel÷scht werden. Die Aufteilung der Gruppen ist schon recht gut durchdacht und bedarf nur einigen ─nderungen um es den jeweiligen Anforderungen anzupassen.

Administratoren:

Die Gruppe hat die meisten Rechte und hat damit die gr÷▀te Kontrolle ⁿber das Netz. Trotzdem kann ein Mitglied dieser Gruppe nicht standardmΣ▀ig auf alle Dateien im Netz zugreifen. Fⁿr den Zugriff auf Dateien muss der Gruppe die Berechtigung dazu vorliegen. Der Administrator hat aber die M÷glichkeit das Eigentumsrecht fⁿr eine Datei zu ⁿbernehmen. Was aber bei eingeschalteter ▄berwachung im Sicherheitsprotokoll festgehalten wird. Desweiteren kann er das Eigentumsrecht nicht wieder an den Eigentⁿmer der Datei zurⁿckgeben.

Da diese Gruppe die gesamten Rechte im Netz hat, sollte die Benutzung nur zur Systemverwaltung benutzt werden, die auch die volle Kontrolle ⁿber das System erfordern. Alle anderen Aufgaben sollten nach M÷glichkeit von Benutzerkonten erledigt werden die in anderen Gruppen mit weniger Rechten eingerichtet wurden. Dadurch ist auch der Personenkreis, der zu den Administratoren geh÷rt sehr klein zu halten.

DomΣnen-Admins:

Diese Gruppe ist Mitglied in der lokalen Gruppe der Administratoren und somit haben die Personen die dieser Gruppe angeh÷ren auf allen Rechnern der DomΣne administrative Rechte.

Server-Operatoren:

Alle notwendigen Rechte zur Verwaltung der Server und zwar:

Druckerfreigabe
Netzwerkfreigaben einrichten
Anlegen von Sicherungskopien auf dem Server, herstellen von Dateien und setzen der Systemzeit
Server herunterfahren

Alle arbeiten auf dem Server die nicht mehr Rechte ben÷tigen sollten mit diesen Konto durchgefⁿhrt werden.

Sicherungs-Operatoren:

Mitglieder dieser Gruppe k÷nnen alle Daten sichern und wieder herstellen. Es ist fⁿr diese Aufgabe nicht n÷tig Administrative Rechte zu besitzen.

Reproduktions-Operatoren:

Dieses Konto sollte nicht fⁿr Benutzer sondern ausschlie▀lich nur fⁿr das Starten des Reproduktionsdienstes benutzt werden, der einige besondere Rechte ben÷tigt. Die hier eingetragenen Konten sollten nicht ⁿber das Recht "Zugriff auf diesen Computer vom Netz" und "Lokale Anmeldung" verfⁿgen, da dies fⁿr den Reproduktiosdienst nicht ben÷tigt wird und somit zu einer h÷heren Sicherheit beitrΣgt.

Druck-Operatoren:

Mitglieder dieser Gruppe k÷nnen Drucker auf dem DomΣnencontroller hinzufⁿgen und die Zugriffsrechte verwalten. StandardmΣ▀ig k÷nnen Sie sich auch an einem Server anmelden und ihn herunterfahren, soll das nicht von diesen Leuten durchgefⁿhrt werden, sollte ihnen das Recht genommen werden.

Konten-Operatoren:

Haben die Erlaubnis die meisten Konten anzulegen, zu verwalten und zu l÷schen. Auf folgende Gruppen haben Sie keine Zugriffsm÷glichkeiten:

Administratoren
DomΣnen-Admins
Konten-Operatoren
Sicherungs-Operatoren
Druck-Operatoren
Server-Operatoren

Diese Gruppe entspricht also in weiten Sinne der Gruppe "Hauptbenutzer"

Hauptbenutzer:

Dieser Benutzer hat eingeschrΣnkte administrative Funktionen. Somit kann ein USER aus dieser Gruppe Verzeichnisse im Netz freigeben, Druckertreiber installieren und freigeben und einige allgemeine Programmgruppen verwalten. (Hauptbenutzer, Benutzer und GΣste, auf alle weiteren Gruppen haben Sie aber keinen Einflu▀ und k÷nnen Sie auch nicht verΣndern) sowie neue Gruppen erstellen. Sie haben das Recht sich am Server anzumelden die DomΣne herunterzufahren und neue Rechner in die DomΣne einzufⁿgen.

Benutzer:

Diese Gruppe enthΣlt alle ben÷tigten Rechte, die ein USER braucht um mit den Rechner arbeiten zu k÷nnen. Jeder neu angelegte Benutzer wird standardmΣ▀ig Mitglied der Gruppe.

DomΣnen-Benutzer:

Diese Gruppe ist gleichzusetzen mit der Gruppe "Benutzer" und bezieht sich nur auf DomΣnen. Jeder neu angelegter Benutzer in einer DomΣne wird automatisch Mitglied in dieser Gruppe.

Alle Benutzer die nur normale Arbeiten am Rechner durchfⁿhren und keine weiteren Rechte ben÷tigen, sollten nur dieser Gruppe angeh÷ren.

GΣste:

Diese Gruppe enthΣlt nur wenige Rechte fⁿr Benutzer. Da es trotzdem mit diesen Konto leicht zu einem Sicherheitsrisiko kommen kann, sollte man das Konto deaktivieren. In den meisten Netzen ist es sowieso nicht erwⁿnscht, das sich nicht bekannte Benutzer anmelden und Zugriff auf einige Resourcen haben.

DomΣnen-GΣste:

Siehe "GΣste" nur in Bezug auf die ganze DomΣne

Besondere Gruppen:

Diese Gruppen tauchen nicht in der Auflistung des Benutzer - Managers auf und werden nur bei der Verwaltung der Resourcen angezeigt. Es ist nicht m÷glich Mitglieder von Hand diesen Gruppen zuzuweisen.

Ersteller - Besitzer:

EnthΣlt den Benutzer der die neue Datei/Resource angelegt hat.

Interaktiv:

Benutzer die sich lokal an einem Rechner anmelden sind automatisch Mitglied in dieser Gruppe.

Jeder:

Jeder Benutzer ist Mitglied dieser Gruppe (Lokale und Netzwerkbenutzer)

Netzwerk:

Benutzer die sich an das Netzwerk anmelden sind automatisch Mitglied in dieser Gruppe.

System:

Zugriff fⁿr das System (Dienste usw.) auf die Resourcen. Dieses Konto ist nur fⁿr das Betriebsystem vorgesehen.

Mit diesen Gruppen bestimmt man die User, die fⁿr die Verwaltung der Userrechte und Aufgaben zustΣndig sind.
Um die Rechte fⁿr den Verzeichniszugriff zu regeln sollten jetzt noch frei definierte Gruppen angelegt werden, die jeweils den n÷tigen Aufgaben der Abteilungen entsprechen. Mit solchen Gruppen sollte ausschlie▀lich festgelegt werden welche Daten die Anwender sehen, lesen und verΣndern dⁿrfen. Die Vergabe von solchen Rechten sollte aus administrativen Grⁿnden nie direkt an USER- Accounts erfolgen.

$d:\programm\forehelp\htmlgifs\home.gif$

Bessere Sicherheit der lokal gespeicherten Benutzerdatenbank

http://www.winfaq.de