Skip to content

Freigabe-Berechtigungen und NTFS-Berechtigungen

MCSE Windows unterscheidet zwischen Freigabe-Berechtigungen und NTFS-Berechtigungen. Beim Zugriff über das Netzwerk sind zwei Hindernisse beim Zugriff zu berücksichtigen: Sind für eine Ressource sowohl Freigabe- als auch NTFS-Berechtigungen aktiviert, so gilt für den Benutzer die effektive Berechtigung mit der größten Einschränkung. Die verschiedenen Benutzer- und Gruppen-Berechtigungen eines Benutzers werden als kleinster Nenner kombiniert.

Ein Ausnahme ist dabei "verweigern", das immer gilt und alles andere außer Kraft setzt. In der Prüfung wird sowas dann als NTFS-Berechtigung abgefragt, die für alle Benutzer zufällig gesetzt wurde. Ein bestimmter Benutzer hat zwar durch seine Gruppe die notwendigen NTFS- und Netzwerk-Rechte für einen Ordner, kommt aber trotzdem nicht an seine Datei.

Freigabe-Berechtigungen können nur auf dem Server bei der Freigabe eines Ordners eingestellt werden.

Objektzugriffsversuche überwachen

MCSE In den erweiterten Sicheitseinstellungen kann der Zugriff auf Dateien überwacht werden. Das kann nur der Administrator einstellen oder ein anderen Benutzer der in den Überwachungsrichtlinien dieses Recht bekommen hat.

Backup-Strategien

MCSE Unter Programme/ Zubehör/ Systemprogramme/ Sicherung findet sich das NTBackup mit man komfortabel mit einem Assistenten seine Daten sichern kann. Dabei sind für die Prüfung die unterschiedlichen Arten von Backups zu kennen:


Ein Vollbackup (hier als "Normal" bezeichnet) ist die Sicherung aller Daten, unabhängig vom Datum ihrer letzten Sicherung. Dabei wird das Archiv-Bit gelöscht.

Bei der inkrementellen Datensicherung (auch Zuwachssicherung genannt) werden nur die Daten gesichert, die sich seit der letzten Datensicherung (meist der letzten inkrementellen Sicherung) verändert haben oder neu hinzu gekommen sind. Auch hier wird das Archiv-Bit gelöscht.
Die Vorteile sind eine geringere zu sichernde Datenmenge und schnellere Datensicherung. Der Nachteil ist ein relativ großer Aufwand bei der Wiederherstellung von Daten, da mehrere Sicherungen hintereinander überspielt werden müssen.

Bei einer differenziellen Sicherung werden die seit der letzten vollständigen Datensicherung geänderten oder neu erstellten Daten vollständig gespeichert. Die Nachteile sind eine größere zu sichernde Datenmenge und längere Datensicherung im Vergleich zur inkrementellen Sicherung. Hier wird das Archiv-Bit nicht gelöscht, damit beim nächsten Durchlauf die seit dem Vollbackup geänderten Daten erneut gesichert werden.
Der Vorteil ist ein relativ geringer Aufwand bei der Wiederherstellung von Daten, da maximal zwei Sicherungen, die letzte Volldatensicherung und die letzte differentielle Sicherung überspielt werden müssen.

Microsoft kennt auch noch die Kopie-Sicherung: Hier wird ein Vollbackup gemacht ohne das Archiv-Bit zu verändern. So etwas kann sinnvoll sein wenn eine zusätzliche Kopie für das Archiv oder zur Verwahrung an einem sicheren Ort angefertigt werden soll.

Täglich ist eine Methode von NTBackup bei der abhängig vom Datum der letzten Änderung gesichert wird. Das kann verwendet werden um die heute geänderten Daten auf ein Medium wie CD-ROM zu archivieren.

Windows 98 verwendet übrigens das Programm Msbackup um Sicherungen zu erstellen. Damit kann Ntbackup nicht umgehen, denn es ist nicht in der Lage die Software-Komprimierung von Msbackup zu verarbeiten.

NTFS-Berechtigungen für Ordner löschen und setzen

MCSE Für jeden Ordner können im Register "Sicherheit" die Berechtigungen geändert werden. Die Berechtigungen werden normalerweise vom darüber liegenden Objekt geerbt. Diese Berechtigungen lassen sich komplett entfernen, wenn man das Häkchen bei der Vererbung löscht.


Danach lassen sich Gruppen oder Benutzer mit Rechten ausstatten. Die normalen Rechte sind "Lesen", "Ausführen" und den "Inhalt anzeigen".


Das Recht "Ändern" muss extra erstellt werden! Nur so können Dateien geändert werden, "Schreiben" heisst nur, dass neue Dateien angelegt werden.

Der "Vollzugriff" erlaubt auch die Rechte zu ändern und den Besitz zu übernehmen.

Das Attribut "Verweigern" hat Priorität und wirkt sich auf die bereits gesetzten Rechte aus, die dadurch sofort angepasst werden.

Beim Kopieren auf das gleiche Laufwerk werden die Rechte des Zielverzeichnisses übernommen, weil eine neue Datei angelegt wird. Dagegen bleiben beim Verschieben die Rechte erhalten, weil sie ja nur umgehängt wird. Über die Laufwerksgrenze hinaus wird nicht wirklich verschoben, sondern kopiert und gelöscht.

Als Administrator kann man jederzeit den Besitz eines Ordners wieder übernehmen und dann die Rechte neue vergeben.
http://support.microsoft.com/kb/308419/de

Benutzer anlegen und Passwort-Richtlinien ändern

MCSE Unter "Programme/Verwaltung/Computer" können Benutzer angelegt werden. Die Konfiguration ist trivial, das serverbasierte Profil wird später noch ausführlich behandelt.


Unter "Programme/Verwaltung/Lokale Sicherheitsrichtlinie" lassen sich die Eigenschaften für die verwendeten Passwörter konfigurieren. Das Bild zeigt die Defaults für die Kennwörter. Wie oft darf oder muss das Kennwort geändert werden, wie lang und komplex soll es sein? Nur die maximale Länge ist nicht einstellbar, das sind immer 14 Zeichen.


Auch der Umgang mit Fehlversuchen ist einstellbar. Das funktioniert aber erst nach der ersten erfolgreichen Anmeldung, sonst werden Fehlversuche nicht entsprechend behandelt. Die Zeitangaben in Minuten scheinen auch nicht exakt zu sein, es wurde auch schon gesperrt obwohl die angegebene Zeit schon um war.

Setzt man die Anzahl der zwischenzuspeichernden vorherigen Anmeldungen auf Null so kann man sicherstellen, dass die Benutzer keinen Zugriff auf ihre Computer erhalten, solange sie nicht von einem Domänencontroller authentifiziert wurden (das ist sonst nämlich eine begrenzte Anzahl für den Offline-Betrieb möglich).

Diese Einstellungen sind nur über die Domain einstellbar, lokale Richtlinien werden immer überschrieben! Soll eine Einstellung nur für einen Rechner gelten, darf er nicht Mitglied der Domäne sein.

Hier würden sich auch biometrische Authentifizierungssysteme einhaken, die aber nicht viel bringen fingerabdruck.mpg .
tweetbackcheck