Vordefinierte Gruppen
Vorwort
Windows Server 2003 bietet eine ganze Reihe vordefinierter Gruppen. Vordefinierte
Gruppen werden automatisch erstellt, wenn Sie
eine Active Directory Domäne anlegen. Sie können vordefinierte Gruppen
vrwenden, um den Zugriff aauf freigegebene Ressourcen
zu verwalten und spezielle domänenweite administrative Funktionen zu deligieren.
So könnten Sie beispielsweise das Benutzer-
konto eines Junioradministrators der Gruppe "Konten-Operatoren" hinzufügen,
um ihm die Erstellung von Benutzerkonten und
Gruppen zu ermöglichen.
Vielen vordefinierten Gruppen werden automatisch bestimmte
Benutzerrechte zugewiesen, die bestimmen, was die einzelnen
Gruppen und deren Mitglieder innerhalb des Bereichs einer Domäne oder einer
Gesamtstruktur tun dürfen. Benutzerrechte
Benutzerrechte autorisieren Mitglieder einer Gruppe zur Durchführung bestimmter
Handlungen z.B. zum Anmelden an
einem lokalen System oder zum Sichern von Dateien und Ordnern. So hat etwa ein
Mitglied der Gruppe "Sicherungs-Operatoren"
das Recht, Sicherungsoperationen für alle Domänencontroller in der
Domäne durchzuführen. Deswegen ist es zur Einrichtung
einer effektiven Sicherheitsstrategie für ein Netzwerk wichtig, die Standardrechte
der einzelnen vordefinierten Gruppen zu
kennen. In diesem Abschnitt beschreiben wir die einzelnen vordefinierten Gruppen
und die mit ihnen verknüpften Rechte
und Fähigkeiten.
Konten Operatoren
Mitglieder der Gruppe "Konten-Operatoren" können Konten für
Benutzer, Gruppen und Computer in den Containern
Benutzer oder Computer
und den Organisationseinheiten der Domäne (mit Ausnahme der Organisataionseinheit
Domänen-Controller) erstellen, ändern
und löschen. Mitglieder dieser Gruppe dürfen die Gruppe "Administratoren"
oder
"Domänen-Admins" sowie die Konten für Mitglieder dieser
Gruppen nicht ändern. Mitglieder dieser Gruppe können
sich lokal an Domänencontrollern in der Domäne anmelden und diese
herunterfahren. Da diese Gruppe erhebliche
Zugriffsrechte in der Domäne besitzt, sollten Sie beim Hinzufügen
von Benutzern mit Bedacht vorgehen. Mitglieder
dieser Gruppe haben u.A. die folgenden Standardbenutzerrechte:
Lokal anmelden zulassen
Herunterfahren
des Systems
Warnung!
Sofern Sie nicht genau wissen, was Sie tun, sollten Sie die Standardzuweisungen
der Benutzerrechte auf einem
Produktionscomputer niemals ändern. Müssen Sie diese Standardzuweisungen
einmal wiederherstellen, dann
verwenden Sie hierzu die Sicherheitsvorlage "setup_security.inf" die
Bestandteil von Windows Server 2003 ist.
Sicherheitsvorlagen werden mit dem Snap In "Sicherheits Konfiguration und
Analyse" oder mit dem Befehlszeilen
Kontrahenten "secedit" angewendet.
Administratoren
Mitglieder der Gruppe "Administratoren" haben Vollzugriff auf den
Server und können Benutzern nach Bedarf
Benutzerrechte und Zugriffsberechtigungen zuweisen. Gehen Sie beim Hinzufügen
von Benutzern mit Bedacht vor.
Wenn die Gruppe "Domänen-Admins" einer Domäne hinzugefügt
wird, wird sie automatisch auch Mitglied dieser
Gruppe. Das Standardbenutzerkonto "Administrator" wird Mitglied der
Gruppe "Administratoren". Mitglieder dieser
Gruppe genießen praktisch alle Benutzerrechte, die auf einem Sytem vorhanden
sind.
Sicherungs-Operatoren
Die Mitglieder dieser Gruppe können alle Dateien auf Domänencontrollern
in der Domäne sichern und wiederherstellen,
und zwar unabhängig von ihren eigenen individuellen Berechtigungen für
diese Dateien. Sicherungs-Operatoren können
sich außerdem an Domänencontrollern anmelden und diese herunterfahren.
Diese Gruppe besitzt keine Standard-
mitglieder. Da diese Gruppe erhebliche Zugriffsrechte auf Domänencontrollern
besitzt, sollten Sie beim Hinzufügen
von Benutzern mit Bedacht vorhgehen. Mitglieder dieser Gruppüe haben u.A.
die folgenden Standardbenutzerrechte:
Sichern von Dateien und Verzeichnissen
Lokal anmelden
zulassen
Wiederherstellen
von Dateien und Verzeichnissen
Herunterfahren
des Systems
Erstellungen eingehender Gesamtstrukturvertrauensstellung
Diese Gruppe erscheint nur in der Gesamtstruktur-Stammdomäne. Mitglieder
dieser Gruppe können unidirektionale
eingehende Gesamtstrukturvertrauensstellungen für die Gesamtstruktur Stammdomäne
erstellen. Beispielsweise
können Mitglieder dieser Gruppe in der Gesamtstruktur A eine von der Gesamtstruktur
B aus eingehende, unidirektionale
Gesamtstrukturvertrauensstellung erstellen. Diese ermöglicht Benutzern
in der Gesamtstruktur A den Zugriff auf
Ressourcen in der Gesamtstruktur B. Mitgliedern diser Gruppe ist die Berechtigung
Eingehende Gesamtstruktur-
vertrauensstellung erstellen für die Gesamtstruktur Stammdomäne
erteilt. Diese Gruppe hat keine Standardmitglieder
und keine Standardbenutzerrechte.
Netzwerkkonfigurations-Operatoren
Diese Gruppe ist für Mitarbeiter vorgesehen, die für die verwaltung
der Netzwerkkonfiguration von Servn und Arbeits-
stationen in einer domäne zuständig sind. Mitglieder dieser Gruppe
könnn Änderungen an TCP/IP Einstellungen
(Transmission Control Protocol/Internet Protocol) vornehmen und TCP/IP-Adressen
auf Domänencontrollern
in der Domäne erneuern und freigeben. Diese Gruppe hat eine Standardmitglieder
und keine Standardbenutzerrechte.
Leistungsprotokollbenutzer
Mitglieder dieser Gruppe können Leistungsindikatoren, Protokolle und Warnungen
auf Domänencontrollern in der Domäne
lokal und von Remoteclients aus verwalten, ohne Mitglieder der Gruppe "Administratoren"
zu sein. Mitglieder dieser
Gruppe haben keine Standardbenutzerrechte.
Systemmonitorbenutzer
Mitglieder dieser Gruppe können Leistungsindikatoren auf Domänencontrollern
in der domäne lokal und von Remoteclients
aus überwachen, ohne Mitglied der Gruppe "Administratoren" oder
"Leistungsprotokollbenutzer" zu sein. Diese Gruppe
hat keine Standardmitglieder und keine Standardbenutzerrechte.
Prä-Windows 2000 kompatibler Zugriff
Mitglieder diesre Gruppe haben Lesezugriff auf alle Benutzer und Gruppen in
der Domäne. Diese Gruppe dient zur
Abwärtskompatibilität mit Computern unter Windows NT 4.0 und früher.
Standardmäßig ist die Sonderidentität
"Authentifizierter Benutzer" Mitglied dieser Gruppe. Mitglieder dieser
Gruppe haen die folgenden Standardbenutzerrechte:
Auf diesen Computer vom Netzwerk aus zugreifen
Auslassen
der durchsuchenden Überprüfung
Druck-Operatoren
Mitglieder dieser Gruppe können Drucker, die mit Domänencontrollern
in der Domäne verbunden sind, verwalten,
einrichten, freigeben und löschen. Darüber hinaus können sie
Active Directory Druckerobjekte in der Domäne verwalten.
Da Mitglieder dieser Gruppe Gerätetreiber auf allen Domänencontrollern
in der Domäne laden und entfernen können, sollten
Sie biem Hinzufügen von Benutzern mit Bedacht vorgehen. Ein Mitglied der
Gruppe "Druck-Operatoren", welches böse
Absichten hegt, könnte die Kontrolle über einen Domänencontroller
übernehmen. Diese Gruppe besitzt keine
Standardmitglieder. Mitglieder dieser Gruppe haben die folgenden Standardbenutzerrechte:
Lokal anmelden zulassen
Herunterfahren
des Systems
Remotedesktopbenutzer
Mitglieder dieser Gruppe können sich entfernt an Domänencontrollern,
Member Servern, in der Domäne anmelden.
Diese Gruppe hat keine Standardmitglieder und keine Standardbenutzerrechte.
Server-Operatoren
An Domänencontrollern können sich Mitglieder dieser Gruppe interaktiv
anmelden, außerdem können sie freigegebene
Ressourcen erstellen und löschen, bestimmte Dienste starten und beenden,
Dateien sichern und wiederherstellen, die
Festplatte formatieren und den Computer herunterfahren. Diese Gruppe besitzt
keine Standardmitglieder.
Mitglieder dieser Gruppe haben die folgenden Standardbenutzerreche:
Sichern von Dateien und Verzeichnissen
Ändern
der Systemzeit
Erzwingen
des Herunterfahrens von einem Remotesystem aus
Lokal anmelden
zulassen
Wiederherstellen
von Dateien und Verzeichnissen
Herunterfahren
des Systems
Terminalserver-Lizenzserver
Mitglieder dieser Gruppe haben Zugriff auf die Terminalserver-Lizenzserver auf
dem System.
Diese Gruppe hat keine Standardmitglieder und keine Standardbenutzerrechte.
Benutzer
Mitglieder dieser Gruppe können die meisten allgemeinen Aufgaben durchführen,
wie z.B. das Ausführen von
Anwendungen, das Verwenden von lokalen und Netzwerkdruckern sowie das Sperren
des Servers. Die Gruppen
"Domänen-Benutzer", "Authentifizierter Benutzer", und
"Interaktiv" sind standardmäßig Mitglieder dieser Gruppe.
Daher wird jedes in der Domäne erstellte Benutzerkonto Mitglied dieser
Gruppe. Mitglieder dieser Gruppe haben
keine Standardbenutzerrechte.
Windows-Autorisierungszugriffsgruppe
Diese Gruppe ist vorhanden, um das Gewähren von Kontoberechtigungen zu
vereinfachen, wenn die Gruppeninformationen
eines Benutzers abgefragt werden sollen. Mitglieder dieser Gruppe haben Zugriff
auf das berechnete Attribut
tokenGroupsGlobalAndUniversal für Benutzerobjekte.
Fügen Sie dieser Gruppe nur Mitglieder hinzu, wenn dies von
einer Anwendung explizit gefordert wird. Standardmäßig ist nur die
Gruppe "Unternehmensdomänencontroller"
Mitglied dieser Gruppe.
Praxistipp:
In der Praxis werden vordefinierte Gruppen häufig falsch verwendet. So
kommt es häufig vor, dass Benutzer der
Gruppe "Hauptbenutzer" hinzugefügt werden, damit eine Anwendung,
die mit normalen Benutzerprivilegien nicht
läuft, wie gewünscht verwendte werden kann. Zwar ist dies besser,
als dem Benutzer gleich der Gruppe "Administratoren"
hinzuzufügen, aber diese Vorgangsweise ist natürlich trotzdem riskant,
denn dem Benutzer werden unnötige
Rechte gewährt, die später missbräuchlich eingesetzt werden können.
Und auch dann, wenn der Benutzer die erhöhten
Rechte der Gruppe "Hauptbenutzer" niemals bewusst missbrauchen würde,
könnten ein Virus oder ein Trojaner
von diesen zusätzlichen Privilegien profitieren, ohne dass der Benutzer
dies merkt.
Ein plausibler Weg bestünde, dass Sie einen Benutzer mit Hauptbenutzerrechten
erstellen, und eine Verknüpfung
auf dem Desktop des Mitarbeiters anlegen die mit Hilfe des Befehls "runas"
das jeweilige Programm unter Verwendung
des angelegten Benutzers startet.
Eine weitere Möglichkeit wäre die Registrierung für das jeweilige
Programm zu bearbeiten. In vielen Fällen
scheitert der Programmstart des maßgeblich schlecht Programmierten Programmes
daran, dass der Benutzer
oder die Gruppe mehr Rechte benötigt als vorhanden sind. Erhöhen Sie
deshalb ggf. das Recht auf den
Registrierungszweig des Programmes.
Möglicherweise kombinieren Sie die Möglichkeiten mit "runas"
und der Registrierungsbearbeitung.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006