Rechteverwaltung

    NTFS-Berechtigungen über Gruppenrichtlinien anpassen

    Dateiberechtigungen Windows ExplorerWenn man die Zugriffs­rechte auf Verzeich­nisse für viele Rechner an­passen möchte, dann lässt sich auch diese Auf­gabe über die Gruppen­richt­linien erledigen. Damit spart man sich nicht nur die inter­aktive Konfi­guration, sondern stellt auch sicher, dass die Berech­tigungen künftig nicht mehr von der Vorgabe abweichen.

    CVE-2021-36934 ("HiveNightmare"): Erhöhte Privilegien durch laxe Zugriffsrechte auf SAM-Datenbank

    SicherheitslückeMicrosoft meldet eine weitere Schwach­stelle in Windows 10 (ab 1809). Sie erlaubt es An­greifern, die Privi­legien des SYSTEM-Kontos zu er­langen. Voraus­setzung ist jedoch, dass sie berech­tigt sind, Code auf dem Rechner auszu­führen. Ursache sind zu groß­zügige Berech­tigungen für Dateien wie SAM oder SYSTEM.

    AdvancedRun, NSudo: Programme als SYSTEM oder Trusted Installer ausführen

    SYSTEM-Konto als Besitzer eines Registry-SchlüsselsAdmini­stratoren sind gelegent­lich gezwungen, Pro­grammen im Kon­text der Konten SYSTEM oder Trusted Installer auszu­führen, wenn diese Owner von Dateien und Registry-Schlüsseln sind. Nach­dem die Bord­mittel dafür keine ein­fache Möglich­keit vor­sehen, über­nehmen kosten­lose Utilities diese Auf­gabe.

    Mitgliedschaften in AD-Gruppen ohne Neustart oder Abmelden aktualisieren

    Kerberos-TicketsFügt man Computer oder Benutzer zu einer Sicherheits­gruppe im Active Directory hinzu, dann wirkt sich dies nicht sofort aus. Damit verbun­dene Berech­tigungen greifen erst nach dem erneuten An­melden eines Users oder dem Reboot des Com­puters. Dies lässt sich durch Erneuern der Kerberos-Tickets ver­meiden.

    Microsoft Teams: Berechtigungen an Benutzer und Gruppen zuweisen mittels Richtlinien

    Microsoft TeamsIn Microsoft Teams kann der Administrator über Richt­linien bestimmen, welche Funktionen für welche Benutzer zur Ver­fügung stehen. So empfiehlt es sich etwa, Schülern im Online-Unterricht Rechte zu entziehen. Sinn­voll kann es aber auch sein, bei der Einführung von Teams erst nur einige Basis­funk­tionen frei­zuschalten.

    Wiederherstellung von Objekten aus dem Active Directory-Papierkorb delegieren

    Recycle BinMit Server 2008 R2 führte Microsoft den AD-Papierkorb ein, um das Wieder­herstellen von gelöschten Objekten zu verein­fachen. Standard­mäßig bleibt dieses Feature den Domänen-Admins vorbehalten. Wenn man diese Auf­gabe etwa an den Help­desk delegieren will, muss man die Berech­tigungen anpassen.

    BAYOOSOFT Berechtigungsaudit: Vollständige Analyse aller Zugriffsrechte auf Dateien und Verzeichnisse

    BAYOOSOFT BerechtigungsauditEin plan­volles Management von Datei­berech­tigungen schützt sen­sible Infor­mationen gegen unbe­fugten Zugriff. Die Praxis sieht in vielen Firmen aber meist anders aus, wenn der Über­blick über jahre­lang gewachsene Struk­turen verloren geht. Ein Tools-gestützter Service von BAYOOSOFT hilft beim Auf­räumen.

    Fehler beim Starten einer Hyper-V VM: Synthetic SCSI Controller Zugriff verweigert

    Error TeaserDas Eins­chalten oder das Zurück­holen einer virtu­ellen Maschine aus dem ge­speicherten Zu­stand kann mit dem Fehler scheitern, wonach das Konto nicht über die erfor­derlichen Berech­tigungen zum Öffnen der virtu­ellen Fest­platte ver­füge. Die Änderung der Zugriffs­rechte auf die VHD löst das Prob­lem aber nicht immer.

    Neues Team in Microsoft Teams anlegen und verwalten

    Microsoft TeamsMicrosoft Teams gliedert sich in Teams und darunter­liegende Kanäle. Selbst die Mit­glieder von abteilungs­über­greifenden Projekten können sich ohne Zutun der IT-Abteilung damit selbst orga­nisieren. Dies gilt auch für das Rechte-Management, wo Adminis­tratoren nur in einigen Fällen ein­greifen müssen.

    Exchange-Funktionspostfach: Der Zugriffssteuerungseintrag für das Objekt kann nicht entfernt werden, da er nicht vorhanden ist

    Freigegebenes Postfach in Exchange Freigabe- und andere Funktions­postfächer sind prak­tisch, um eine Abteilung, Projekte oder Services per Mail erreichbar zu machen. Zudem bieten sie Mit­gliedern eines Teams einen zen­tralen Speicher. Vergibt man auf sie Berech­tigungen für verknüpfte Post­fächer, dann können beim Entzug derselben Prob­leme auftreten.

    Seiten