Rechteverwaltung

    NTFS-Zugriffsrechte mit Berechtigungen für Freigaben kombinieren

    Freigabeberechtigungen bearbeitenDie Vergabe von Berechtigungen für Dateien und Verzeichnisse gehört zum täglichen Brot der Systemverwaltung. Unter Windows ist die Steuerung der Zugriffsrechte jedoch inkonsistent und sorgt gelegentlich für Zweifel, was eine Aktion tatsächlich bewirkt. Zusätzlich kompliziert wird die Rechtevergabe dadurch, dass Windows unterscheidet, ob ein Benutzer lokal oder über das Netz auf eine Ressource zugreift.

    psexec: Programme mit System-Privilegien starten

    Das Administrator-Konto ist unter Windows nicht das am höchsten privilegierte. Anders als etwa unter Linux, wo der lokale root-Account alles darf, gibt es unter Windows Bereiche, die auch Administratoren nicht zugänglich sind, etwa der Registry-Zweig HKEY_LOCAL_MACHINE\SECURITY. Er scheint leer, wenn regedit.exe nur mit Administra­tor-Privilegien gestartet wurde, ist aber in Wirklichkeit mit Unter­schlüsseln und Werten gefüllt.

    UAC: Sicherheit der Benutzerkontensteuerung auf Vista-Level erhöhen statt abschalten

    UAC thumbnailIm Zuge der 2007 von Publikumszeitschriften nahezu einstimmig vollzogenen Vista-Verrisse kam auch die Benutzerkontensteuerung (UAC) mit in das Kreuzfeuer der Kritik: Die Sicherheitsfunktion wurde allgemein als Belästigung des Benutzers betrachtet und Anleitungen, wie man UAC abschalten kann, befinden sich nach wie vor stabil auf den Suchmaschinen-Rankings ganz vorne.

    Windows: Nicht löschbare Dateien löschen

    Besitz übernehmen und Rechte setzen – dann kann man löschen (komprimierte Darstellung der Ausgabe)Zuweilen kommt es vor, dass Windows sich hartnäckig weigert, bestimmte Dateien zum Löschen freizugeben. Das geschieht etwa nach dem Löschen von Benutzer­profilen: Hatte der Benutzer Rechte für seine Dateien und Verzeichnisse individuell vergeben und dabei die für Ad­minis­tra­toren und das System entfernt, sind diese für den Ad­minis­tra­tor zunächst nicht löschbar. Selbst wenn es das betreffende Benutzerkonto gar nicht mehr gibt, sind die ACLs mit dessen UID/GID noch mit der Datei verbunden.

    NTFS-Zugriffsrechte beim Kopieren und Verschieben vererben

    … und kopiert oder verschiebt anschließend eine Datei hinein, auf die man alle Rechte besitzt. Diese lässt sich danach nicht löschenJede Datei und jeder Ordner, die oder auf einem NTFS-Datenträger erstellt wird, erhält damit – neben anderen Attributen wie etwa dem Dateinamen, den Datumsstempeln und dem Inhalt – einen voreingestellten Satz an Zugriffsrechten. Diese definieren, welcher Benutzer welche Berechtigungen für diese Datei oder diesen Ordner besitzt. Welche Rechte voreingestellt sind, ist im Prinzip einfach: Der Ordner, in welchem die neue Datei oder der Ordner entsteht, vererbt seine eigenen Rechte an die „Kinder“.

    Die Active-Directory-Rechteverwaltungsdienste

    AD RMSDie Active-Directory-Rech­te­ver­wal­tungsdienste (AD Rights Management Services, RMS) schaffen eine Infrastruktur, um Rechte an Dokumenten zu vergeben. Diese sind dateisystemunabhängig, halten also auch dann vor, wenn der Benutzer das Dokument etwa auf einen per (ex-)FAT formatierten USB-Stick verschiebt. Außerdem sind sie feiner granulierbar, als dies alleine per Zu­griffs­be­rech­ti­gungen auf Dateien und Ordner im Active Directory möglich wäre: Nur per Zu­griffs­be­rech­ti­gung ließe sich beispielsweise nicht verhindern, dass eine berechtigte Person ein Dokument an eine unberechtigte weitergibt.