Bestimmen der effektiven Berechtigungen von AD-Objekten

Mit dem Tool "Effektive Berechtigungen" kann man die effektiven Rechte für ein Active-Directory-Objekt ermitteln und verändern. Dabei werden sowohl die durch die Gruppenmitgliedschaft gültigen Berechtigungen als auch die geerbten Recht berücksichtigt.

"Spezielle Berechtigungen" sind immer grau, d.h. geerbt, ein Haken auf grauem Grund zeigt hier, dass unter "Erweitert" zusätzliche Berechtigungen vergeben wurden.

Um diese Funktion zu verwenden, müssen vorher unter Ansicht "Erweiterte Funktionen" im MMC-SnapIn "AD Benutzer und Computer" aktiviert werden.


Tatsächlich können die angezeigten Berechtigungen des Benutzers abweichen, da Berechtigungen auf Basis der Anmeldemethode eines Benutzers erteilt oder verweigert werden können. Diese anmeldungsspezifischen Informationen können vom Tool Effektive Berechtigungen nicht bestimmt werden. Ein Benutzer verfügt wenn er lokal angemeldet ist über andere Berechtigungen als wenn er über ein Netzwerk angemeldet wäre.

Es werden also keine Freigabe-Berechtigungen, sondern nur NTFS-Berechtigungen geprüft!

Optionen für die Offline-Zwischenspeicherung

Der Windows-Server bietet bei der Offline-Freigabe drei unterschiedliche Möglichkeiten an:


"Manuelles Zwischenspeichern von Dokumenten" eignet sich besonders für einen freigegeben Ordner an dessen Dateien mehrere Benutzer Änderungen vornehmen. Dies ist auch die Standardoption, hier werden nur die gewünschten Dateien und Ordner offline bereit gestellt.


Bei der Option "Automatisches Zwischenspeichern von Dokumenten" stehen die Dokumente erst zur Verfügung, wenn sie einmal geöffnet wurden. Wurden sie noch nicht geöffnet stehen auch offline nicht zur Verfügung. Ältere Dokumente werden automatisch durch neuere Versionen ersetzt.

"Für hohe Leistung optimieren" ist eine Option die ausführbare Programme immer aus dem Offline-Cache lädt und nicht übers Netz um dieses zu entlasten.

"Nicht offline verfügbar machen" stellt sicher dass Daten nicht offline auf einen lokalen Arbeitsplatz kopiert werden und wird bei sensiblen Daten aus Sicherheitsgründen verwendet.

Konfigurieren von NTFS-Berechtigungen für domänenlokale Gruppen

Hier kann man erkennen, wie die NFTS-Berechtigungen einer frischen Freigabe üblicherweise aussehen. Die meisten Berechtigungen sind geerbt und nicht erwünscht, insbesondere die "Jeder"-Rechte sollten für sensible Daten nicht gesetzt sein.


Nun werden die erweiterten NTFS-Berechtigungen zunächst komplett entfernt indem das Häkchen vor der Vererbung gelöscht wird.


Danach erst werden sie dann gezielt an den Administrator und die entsprechende domänenlokale Gruppe neu vergeben.

Outlook 2003 auf XP-Client einrichten

Für einen Exchange-Server sollte wegen des MAPI-Protokolls und Features wie öffentliche Ordner und Adressbüchern auf dem Server am besten Outlook (nicht Express!) verwendet werden. Die Konfiguration nach dem ersten Programmstart ist hier auch am einfachsten:


Mit Exchange-Server verbinden, andere Profile am besten unter "Systemsteuerung/Mail" löschen.
http://www.gsi.de/informationen/outlook_konfiguration.html
Dabei wird das MAPI-Protokoll statt POP3/SMTP verwendet:
http://de.wikipedia.org/wiki/MAPI

Der DNS der Domain muss im AD eingetragen sein. Dafür sollte das dynamische DNS verwendet werden, nicht zu verwechseln mit DHCP, kann im DNS auf den DC kontrolliert werden, bei Bedarf ein "ipconfig /registerdns" machen.

Unter Extras/Optionen/Nachrichtenformate sollte RTF (=Rich Text Format) abgeschaltet werden weil sonst Empfänger anderer Clients eine "winmail.dat" bekommen mit der sie nichts anfangen können.

Freigegebene Ordner konfigurieren mit dem Ordnerfreigabe-Assistenten

Der Ordnerfreigabe-Assistent kann freigegebene Ordner konfigurieren, man kann ihn z.B. im MMC als Snap-In lokale Computerverwaltung im Kontextmenü der Freigaben aufrufen.
Durch Freigeben von Ressourcen stellt man diese zur Verwendung durch andere Benutzer im Netzwerk zur Verfügung. Dabei muss man bei der Freigabe von Ordnern mit Systemdateien und -ressourcen vorsichtig sein, es ist sicher zu stellen, dass der angegebene Ordner oder die angegebene Ressource keine Informationen enthält, auf die Benutzer nicht zugreifen sollen.


Der Freigabename ist der Name, der für die freigegebene Ressource verwendet werden soll. Der Freigabename muss angegeben werden. Es ist ein kurzer und aussagekräftiger Name zu wählen, sodass Benutzer ihn auf einfache Art identifizieren können.


Benutzerdefinierte Freigabe- und Ordnerberechtigungen werden verwendet wenn man spezifischen Benutzern oder Gruppen den Zugriff erteilen oder verweigern möchten. Die erteilten Berechtigungen sollte man auf die unbedingt zum Ausführen erforderlicher Funktionen benötigten Berechtigungen beschränken. Insbesondere muss man beachten, dass die Gruppe "Jeder" in vielen Fällen entfernt werden muss!

Es macht auch Sinn, der Gruppe "Jeder" den Vollzugriff übers Netzwerk zu geben um die effektiven Zugriffsmöglichkeiten über NTFS-Berechtigungen zu steuern.

Mit einem $-Zeichen hinter dem Freigabenamen wird die Freigabe versteckt, die Freigabe kann nur mit Eingabe von "Freigabename$" verwendet werden. Es ist nicht möglich, eine existierende Freigabe nachträglich mit einem $-Zeichen zu versehen! Die Freigabe muss dann erst gelöscht und neu als versteckte Freigabe angelegt werden.
tweetbackcheck