Erben von Berechtigungen
Vorwort
Wenn Sie Berechtigungen für ein Objekt vergeben erstellen Sie eine explizite
Berechtigung. Müssten Sie jedoch Berechtigungen für jeden
einzelnen Ordner, jede Datei, jeden Registrierungswert und jedes Active Directory-Objekt
individuell vergeben, dann stünden Sie vor
einer schweren Aufgabe. Die Verwaltung solcher einzelnen ACLs, würde sich
angesichts ihrer schieren Anzahl die Leistungsfähigkeit
von Windows Server 2003 erheblich schmälern.
Um die verwaltung von Berechtigungen effizienter zu machen,
verwendet Windows Server 2003 das Konzept der Vererbung.
Wenn Windows Server 2003 frisch installiert wurde, sind für die meisten
Objekte nur geerbte Berechtigungen vorhanden. Vererbte
Berchtigungen hat ein Objekt von dem ihm übergeordneten Objekt erhalten.
So verwendet beispielsweise das Dateisystem vererbte
Berechtigungen. Dies bedeutet, dass jedem neuen Ordner, den Sie im Stammverzeichnis
C:\ anlegen, genau die gleichen Berechtigungen
zugewiesen werden wie dem Stammverzeichnis C:\ selbst. Ähnlich erbt auch
jeder Unterschlüssel, den Sie im Registrierungsschlüssel
HKEY_LOCAL_MACHINE\SOFTWARE erstellen, die Berechtigungen des ihm übergeordneten
Schlüssels.
Wichtiger Hinweis:
Explizit zulassende Berechtigungen haben immer Vorrang vor geerbten Verweigerungsberechtigungen
Wenn Sie die Berechtigungen für einen übergeordnetes
Objekt eingestellt haben, erben neue untergeordnete Objekte diese Berechtigungen
automatisch. Sie können dies Standardverhalten jedoch außer Kraft
setzen. Um beim Beispiel des Dateisystems zu bleiben: Wenn Sie nicht
wollen, dass untergeordnete Ordner Berechtigungen erben, klicken Sie im Dialogfeld
Eigenschaften des betreffenden Ordners auf
der
Registerkarte Sicherheit auf die Schaltfläche
Erweitert und ergänzen Sie dann im Dialogfeld
Erweiterte Sicherheitseinstellungen die
gewünschten Berechtigungen. Danach wählen Sie in der Liste Übernehmen
für den Eintrag Nur diesen Ordner,
wenn Sie Berechtigungen
für den übergeordneten Ordner einstellen (Abbildung 1).
Die Möglichen Auswahlen in dieser Liste werden oft falsch verstanden. Die
anscheinend verwirrende Einstellung für viele Administratoren
kann aber jedoch mit nur zwei Zeilen beantwortet werden:
Um Berechtigungen festzulegen, die nicht für den übergeordneten Ordner
gelten, sondern nur vererbt werden sollen, wählen Sie Nur
Unterordner
und Dateien, Nur Unterordner oder Nur
Dateien. Andere Objekte wie etwa die Registrierung bieten eine ähnliche
Funktionalität
Tipp:
Ist die Liste Übernehmen für deaktiviert,
dann wurde die Berechtigung vom übergeordneten Objekt geerbt. Sie können
die Vererbung nur für
explizite Berechtigungen ändern (Berechtigungen die Sie hinzugefügt
haben).
Vergessen Sie nicht der Gruppe "System" die notwendigen Berechtigungen
zu geben. Sollen Sie dies einmal vergessen, so könnte es sein,
dass wenn das Betriebssystem selbst auf die Daten in diesem Ordner zugreift
(Backup, Virenscanner, etc) nicht zugreifen kann und deshalb
Fehler entstehen. Ich persönlich gebe immer der Gruppe System das Recht
Vollzugriff. Allerdings könnte diese Option in
Hochsicherheitssystemen nicht gewünscht sein. In diesem Falle rate ich
Ihnen die Option entweder zu testen oder auf ensprechende andere
Sicherungsmittel wie IPSec, Zertifikate oder ähnlichen Methoden zurückzugreifen.
Sie können auch das Erverhalten der untergeordneten Objekte
kontrolliren. Wenn SIe nicht wollen, dass ein Objekt die berechtigungen des
ihm
übergeordneten Objekts erbt, öffnen Sie das Dialogfeld Erweiterte
Sicherheitseinstellungen und deaktivieren Sie das Kontrollkästchen
Berechtigungen übergeordneter Objekte, sofern
vererbbar, über alle untergeordneten Objekte verbreiten. Sie werden
nun aufgefordert, die
vererbten Berechtigungen auf explizite Berechtigungen zu kopieren oder aber
die geerbten Berechtigungen einfach zu verwerfen.
Wenn Sie entscheiden, die Berechtigungen nicht zu kopieren, dann müssen
Sie unmittelbar darauf explizite Berechtigungen vergeben, damit
Benutzer auf das Objekt zugreifen können.
Abbildung 1; Berechtigungen werden standardmäßig
vererbt, aber dieses Verhalten kann
manuell außer Kraft gesetzt werden.
Wenn Sie die Vererbung beim untergeordneten Objekt deaktiviert
haben und sie später wieder aktivieren wollen, so können Sie dies
im
Dialogfeld Erweiterte Sicherheitseinstellungen
des übergeordneten Ordners tun. Aktivieren Sie einfach das Kontrollkästchen
Berechtigungen für alle untergeordneten Objekte
durch die angezeigten Einträge, sofern anwendbar, erstetzen. Windows
Server
2003 wird nun alle expliziten Berechtigungen für alle untergeordneten Objekte
durch die vererbten Berechtigungen ersetzen. Dies ist
eine hervorrangende Möglichkeit, Dateien, Ordner oder Registrierungswerte
wiederherzustellen, die ein Benutzer durch Entfernen
geerbter Berechtigungen dem Zugriff entzogen hat.
Ein Beispiel um Vererbungen
zu veranschaulichen:
Beispiel 1:
Das Stammlaufwerk D:\ besitzt folgende Berechtigungen:
System -> Vollzugriff
Gruppe Backoffice -> Lesen, Lesen und Auführen, Ordnerinhalt Auflisten
Gruppe Administratoren -> Vollzugriff
Gruppe Produktion -> Ändern
Ein Unterordner existiert mit dem Namen "Datenproduktion".
Ca. 12 Ordner unterhalb dieses Ordners existiert der Ordner "Projekt47".
Der Benutzer Jörg ist Miglied der Gruppe Backoffice.
Sie möchten nun, dass der Benutzer Jörg im Ordner "Projekt47"
Dateien schreiben kann, möchten ihn aber nicht zur Gruppe Produktion
hinzufügen.
Damit dies funktioniert, könnten Sie jetzt entweder
eine weiter Gruppe erstellen mit Jörg als Mitglied dieser Gruppe welcher
Sie die
zusätzliche Berechtigung schreiben zuweisen, das wäre denkbar wenn
es mehrere Benutzer gibt die für diesen Ordner
Schreibrechte benötigen. Handelt sich es aber nur um den einen Benutzer,
so können Sie diesen explizit eine Brechtigung
für diesen einen Ordner hinzufügen indem Sie die Eigenschaften
des Ordners "Projekt47" öffnen, das Dialogfeld Sicherheit
auswählen
und mit hinzufügen, Jörg auswählen
und ihm das Recht schreiben gewähren.
In diesem Fall haben Sie eine Kombination aus vererbten und expliziten Berechtigungen.
Dies ist die beste Lösung da der normale
Vererbungsprozess weder für den Ordner "Datenproduktion" noch
für Unterordner des Ordners "Projekt47" nicht beeinflusst wird.
Beispiel 2:
Selber Fall wie oben. Nur möchten Sie dieses mal, dass dem Unterordner
Namens "Entwicklung", der im Ordner "Datenproduktion" besteht
und den Unterordnern des Ordners "Entwicklung" andere Berechtigungen
vererbt werden, als es am Stammlaufwerk D:\ definiert ist.
Welche Berechtigungen hier getroffen werden sollen spielt jetzt keine Rolle,
erfinden Sie welche.
Um diese Berechtigung zu bewerkstelligen müssen wir ab dem Ordner "Entwicklung"
ein anderes Rechteschema vergeben, denn es sollen
alle anderen Ordner unterhalb von "Datenproduktion" bzw. dem Laufwerk
D:\ nicht geändert werden.
Dazu wählen Sie jetzt die Eigenschaften
des Ordners "Entwicklung" und wechseln wieder in das Dialogfeld Sicherheit
und von dort
das Feld Erweitert.
Angelangt an diesem Punkt deaktivieren Sie das Kontrollkästchen Berechtigungen
übergeordneter Objekte auf untergeordnete
Objekte, sofern anwendbar vererben, und wählen anschließend
bei der Abfrage Kopieren.
Bestätigen Sie die Erweiterten Eigenschaften und passen Sie jetzt mit hinzufügen
und entfernen die Berechtigungen an.
Wenn Sie nun einen Unterordner oder eine Datei im Ordner "Entwicklung"
erzeugen, sehen Sie in dessen Sicherheitseigenschaften, dass
die soeben getroffenen Einstellungen ab nun vererbt werden.
Tipp:
Sie erkennen vererbte Berechtigungen auch daran, dass diese in den Sicherheitseinstellungen
"grau Hinterlegt" erscheinen.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006