Wenn man die Zugriffs­rechte auf Verzeich­nisse für viele Rechner an­passen möchte, dann lässt sich auch diese Auf­gabe über die Gruppen­richt­linien erledigen. Damit spart man sich nicht nur die inter­aktive Konfi­guration, sondern stellt auch sicher, dass die Berech­tigungen künftig nicht mehr von der Vorgabe abweichen.

Microsoft meldet eine weitere Schwach­stelle in Windows 10 (ab 1809). Sie erlaubt es An­greifern, die Privi­legien des SYSTEM-Kontos zu er­langen. Voraus­setzung ist jedoch, dass sie berech­tigt sind, Code auf dem Rechner auszu­führen. Ursache sind zu groß­zügige Berech­tigungen für Dateien wie SAM oder SYSTEM.

Admini­stratoren sind gelegent­lich gezwungen, Pro­grammen im Kon­text der Konten SYSTEM oder Trusted Installer auszu­führen, wenn diese Owner von Dateien und Registry-Schlüsseln sind. Nach­dem die Bord­mittel dafür keine ein­fache Möglich­keit vor­sehen, über­nehmen kosten­lose Utilities diese Auf­gabe.

Fügt man Computer oder Benutzer zu einer Sicherheits­gruppe im Active Directory hinzu, dann wirkt sich dies nicht sofort aus. Damit verbun­dene Berech­tigungen greifen erst nach dem erneuten An­melden eines Users oder dem Reboot des Com­puters. Dies lässt sich durch Erneuern der Kerberos-Tickets ver­meiden.

In Microsoft Teams kann der Administrator über Richt­linien bestimmen, welche Funktionen für welche Benutzer zur Ver­fügung stehen. So empfiehlt es sich etwa, Schülern im Online-Unterricht Rechte zu entziehen. Sinn­voll kann es aber auch sein, bei der Einführung von Teams erst nur einige Basis­funk­tionen frei­zuschalten.

Mit Server 2008 R2 führte Microsoft den AD-Papierkorb ein, um das Wieder­herstellen von gelöschten Objekten zu verein­fachen. Standard­mäßig bleibt dieses Feature den Domänen-Admins vorbehalten. Wenn man diese Auf­gabe etwa an den Help­desk delegieren will, muss man die Berech­tigungen anpassen.

Ein plan­volles Management von Datei­berech­tigungen schützt sen­sible Infor­mationen gegen unbe­fugten Zugriff. Die Praxis sieht in vielen Firmen aber meist anders aus, wenn der Über­blick über jahre­lang gewachsene Struk­turen verloren geht. Ein Tools-gestützter Service von BAYOOSOFT hilft beim Auf­räumen.

Das Eins­chalten oder das Zurück­holen einer virtu­ellen Maschine aus dem ge­speicherten Zu­stand kann mit dem Fehler scheitern, wonach das Konto nicht über die erfor­derlichen Berech­tigungen zum Öffnen der virtu­ellen Fest­platte ver­füge. Die Änderung der Zugriffs­rechte auf die VHD löst das Prob­lem aber nicht immer.

Microsoft Teams gliedert sich in Teams und darunter­liegende Kanäle. Selbst die Mit­glieder von abteilungs­über­greifenden Projekten können sich ohne Zutun der IT-Abteilung damit selbst orga­nisieren. Dies gilt auch für das Rechte-Management, wo Adminis­tratoren nur in einigen Fällen ein­greifen müssen.

Freigabe- und andere Funktions­postfächer sind prak­tisch, um eine Abteilung, Projekte oder Services per Mail erreichbar zu machen. Zudem bieten sie Mit­gliedern eines Teams einen zen­tralen Speicher. Vergibt man auf sie Berech­tigungen für verknüpfte Post­fächer, dann können beim Entzug derselben Prob­leme auftreten.