Rechteverwaltung

    Runas, UAC, Fast User Switching: Als Administrator mit Standardrechten arbeiten

    An Windows 8 anmeldenEs gehört zu den goldenen Regeln der Sys­tem­verwaltung, dass Admini­stratoren nicht perma­nent mit vollen Privi­legien arbeiten sollen. Für nor­male Tätigkeiten (Mail, Web, Office) reicht die Anmeldung als Standardnutzer. Die erhöhten Rech­te bleiben Situationen vorbehalten, in denen sie erforderlich sind. Windows bietet dafür mehrere Optionen.

    Zugriffsrechte für OUs im Active Directory anzeigen mit PowerShell

    Rechte für OUs delegieren in Active Directory-Benutzer und -ComputerDie Bedeutung eines gewissen­haften Rechte-Manage­ments für das AD und seine Objekte ist unbe­stritten. Unter den Bord­mitteln eignen sich GUI-Tools vor allem für das Zuteilen und Ent­ziehen der Berechtigungen, während Power­Shell besonders flexibel bei der Auswer­tung der ACLs ist.

    Herunterfahren von Windows mittels GPO verbieten

    Befehl "Herunterfahren" im Startmenü von Windows 7Während es auf einer Workstation normalerweise jedem Benutzer überlassen bleibt, wann er seinen PC herunter­fährt bzw. neu startet, sollte man das dafür nötige Recht am Server sparsam vergeben. Das gilt besonders für Terminal-Server, wo ein Reboot gleich mehrere User-Sessions betrifft.

    AccessEnum: Benutzerrechte für NTFS und Registry analysieren

    NTFS-Berechtigungen für Dateien und OrdnerEin akkurates Rechte-Management für Dateien und Ordner ist nicht nur kritisch, sondern unter Windows auch notorisch unübersichtlich. Einige Zusatz-Tools vereinfachen diese Aufgabe. Dazu zählt auch das kostenlose AccessEnum, das bei der Aufbereitung der Daten eigene Wege geht.

    Freigabe für Roaming Profiles und Ordnerumleitung einrichten: Name, Berechtigungen, Cache

    Roaming ProfilesMöchte man Server-gespeicherte Profile oder Ordnerumleitung nutzen, dann benötigt man dafür eine zentrale Ablage, die bestimmte Voraus­setzungen erfüllen sollte. Dazu gehören korrekt vergebene NTFS- und Freigaberechte sowie die Konfiguration von Offline-Files und Access Based Enumeration.

    Icacls, Takeown, PowerShell: Besitzer von Dateien unter NTFS ändern

    Besitzer einer Datei ändernBeim Management der Zugriffs­rechte für Dateien und Verzeich­nisse spielt der Besitzer eine wesent­liche Rolle, weil er anderen Benutzern Privilegien zuweisen oder entziehen kann. Möchte man den Besitz mehrerer Dateien über­nehmen, dann ist der Einsatz von Tools für die Kommando­zeile am effizientesten.

    Dumpsec: Berechtigungen für Freigaben, NTFS und Registry anzeigen

    Zugriffsrechte über Dynamic Access Control regeln.Die Zugriffs­berech­tigungen für IT-Ressourcen zu ver­walten, ist eine kritische Aufgabe der System­administration. Nachdem man sich mit den Bord­mitteln von Windows nur schwer einen Überblick über die vergebenen Rechte verschaffen kann, füllen Tools von Drittanbietern diese Lücke. Eines davon ist der Klassiker Dumpsec.

    Zugriffsrechte auf Freigaben anzeigen, ändern und entziehen mit PowerShell

    Zugriffsrechte für SharesDas mit Windows 8 und Server 2012 einge­führ­te Modul SmbShare kann nicht nur Verzeich­nisse freigeben oder deren Freigabe wieder beenden, sondern bietet auch mehrere Cmdlets für die Verwal­tung der Zugriffsrechte.

    LAPS: Lokale Administrator-Passwörter zentral verwalten mit GPOs

    Kennwort ändern in RemotedesktopViele Systemverwalter verwenden der Einfachheit halber für die lokalen Admin-Konten auf allen PCs das gleiche Passwort. Um die damit verbundenen Risiken zu beseitigen, bietet Microsoft nun mit Local Administrator Password Solution (LAPS) ein kostenloses Werkzeug für die zentrale Verwaltung dieser Kennwörter an.

    HP ArcSight User Analytics verhindert Insider-Angriffe

    Die RSA-Konferenz gilt als "Mekka" der IT-Security-Fachleute. Auf der diesjährigen Veranstaltung Ende April hat HP mehrere neue Sicherheitslösungen vorgestellt. Eine davon, HP ArcSight User Behavior Analytics, zielt auf ein ganz besonderes Problem ab: Datendiebstähle und Cyber-Angriffe durch illoyale eigene Mitarbeiter oder von Dienstleistern, etwa Administratoren von Service-Providern.

    Seiten