Standard Benutzergruppen unter Windows NT
Gültig für: Windows NT
Hier eine Übersicht der vordefinierten Gruppen und der ihnen zugewiesenen Rechte und Funktionen. Diese Berechtigungen werden im USERMANAGER unter dem Menü "Richtlinien" -> "Benutzerrechte" vergeben. Dort können Sie auch Veränderungen an diesen Einstellungen vornehmen.
|
NT Workstation |
Admin |
Sicherungs |
Jeder |
Benutzer |
Haupt- |
Gäste |
|
Lokale Anmeldung |
JA |
JA |
JA |
JA |
JA |
JA |
|
Zugriff auf diesen Computer vom Netz |
JA |
- |
JA |
- |
JA |
- |
|
Übernehmen des Besitzes an Dateien und Objekten |
JA |
- |
- |
- |
- |
- |
|
Verwalten von Überwachungs- und Sicherheitsprotokoll |
JA |
- |
- |
- |
- |
- |
|
Ändern der Systemzeit |
JA |
- |
- |
- |
JA |
- |
|
System herunterfahren |
JA |
JA |
JA |
- |
JA |
- |
|
Herunterfahren von einem Fernsystem aus |
JA |
- |
- |
- |
JA |
- |
|
Sichern von Dateien und Verzeichnissen |
JA |
JA |
- |
- |
- |
- |
|
Wiederherstellen von Dateien und Verzeichnissen |
JA |
JA |
- |
- |
- |
- |
|
Erzeugen und Verwalten von Benutzerkonten |
JA |
- |
- |
- |
JA |
- |
|
Erzeugen und Verwalten von lokalen Gruppen |
JA |
- |
- |
JA |
JA |
- |
|
Erteilen von Benutzerrechten |
JA |
- |
- |
- |
- |
- |
|
Sperren der Arbeitsstation |
JA |
- |
JA |
- |
JA |
- |
|
Zugriff auf eine gesperrte Arbeitsstation |
JA |
- |
- |
- |
- |
- |
|
Formatieren der Festplatte |
JA |
- |
- |
- |
- |
- |
|
Erzeugen von Gruppen |
JA |
- |
- |
- |
JA |
- |
|
Speichern lokaler Profile |
JA |
JA |
- |
- |
JA |
- |
|
Verzeichnisse freigeben im Netz |
JA |
- |
- |
- |
JA |
- |
|
Drucker freigeben im Netz |
JA |
JA |
- |
- |
JA |
- |
|
NT Server |
Admin |
Server |
Konten |
Drucker |
Sicherungs |
Jeder |
Benutzer |
|
Lokale Anmeldung |
JA |
JA |
JA |
JA |
JA |
- |
- |
|
Zugriff auf diesen Computer vom Netz |
JA |
- |
- |
- |
- |
JA |
- |
|
Übernehmen des Besitzes an Dateien und Objekten |
JA |
- |
- |
- |
- |
- |
- |
|
Verwalten von Überwachungs- und Sicherheitsprotokoll |
JA |
- |
- |
- |
- |
- |
- |
|
Ändern der Systemzeit |
JA |
JA |
- |
- |
- |
- |
- |
|
System herunterfahren |
JA |
JA |
JA |
JA |
JA |
- |
JA |
|
Herunterfahren von einem Fernsystem aus |
JA |
JA |
- |
- |
- |
- |
- |
|
Sichern von Dateien und Verzeichnissen |
JA |
JA |
- |
- |
JA |
- |
- |
|
Wiederherstellen von Dateien und Verzeichnissen |
JA |
JA |
- |
- |
JA |
- |
- |
|
Erzeugen und Verwalten von Benutzerkonten |
JA |
- |
JA |
- |
- |
- |
- |
|
Erzeugen und Verwalten von globalen Gruppen |
JA |
- |
JA |
- |
- |
- |
- |
|
Erzeugen und Verwalten von lokalen Gruppen |
JA |
- |
JA |
- |
- |
- |
- |
|
Erteilen von Benutzerrechten |
JA |
- |
- |
- |
- |
- |
- |
|
Sperren des Servers |
JA |
Ja |
- |
- |
- |
JA |
- |
|
Sperren der Arbeitsstation |
JA |
JA |
- |
- |
- |
- |
- |
|
Zugriff auf eine gesperrte Arbeitsstation |
JA |
- |
- |
- |
- |
- |
- |
|
Zugriff auf einen gesperrten Server |
|
JA |
- |
- |
- |
- |
- |
|
Formatieren der Festplatte |
JA |
JA |
- |
- |
- |
- |
- |
|
Erzeugen von Gruppen |
JA |
JA |
- |
- |
- |
- |
- |
|
Speichern lokaler Profile |
JA |
JA |
JA |
JA |
JA |
- |
- |
|
Verzeichnisse freigeben im Netz |
JA |
JA |
- |
- |
- |
- |
- |
|
Drucker freigeben im Netz |
JA |
JA |
- |
JA |
- |
- |
- |
Die nun aufgeführten Gruppen werden von NT standardmäßig angelegt und können auch nicht gelöscht werden. Die Aufteilung der Gruppen ist schon recht gut durchdacht, und es bedarf nur einiger Änderungen, um sie den jeweiligen Anforderungen anzupassen.
Administratoren:
Diese Gruppe hat die meisten Rechte und hat damit die größte Kontrolle über das Netz. Trotzdem kann ein Mitglied dieser Gruppe nicht standardmäßig auf alle Dateien im Netz zugreifen. Für den Zugriff auf Dateien muss der Gruppe die Berechtigung dazu vorliegen. Der Administrator kann aber das Eigentumsrecht für eine Datei zu übernehmen, was bei eingeschalteter Überwachung im Sicherheitsprotokoll festgehalten wird. Des Weiteren kann er das Eigentumsrecht nicht wieder an den Eigentümer der Datei zurückgeben.
Da diese Gruppe die gesamten Rechte im Netz hat, sollte die Benutzung nur zur Systemverwaltung benutzt werden, die die volle Kontrolle über das System erfordert. Alle anderen Aufgaben sollten nach Möglichkeit von Benutzerkonten erledigt werden, die in anderen Gruppen mit weniger Rechten eingerichtet wurden. Dadurch ist auch der Personenkreis, der zu den Administratoren gehört, sehr klein zu halten.
Domänen-Admins:
Diese Gruppe ist Mitglied in der lokalen Gruppe der Administratoren und somit haben die Personen, die dieser Gruppe angehören, auf allen Rechnern der Domäne administrative Rechte.
Server-Operatoren:
Alle notwendigen Rechte zur Verwaltung der Server und zwar:
- Druckerfreigabe
- Netzwerkfreigaben einrichten
- Anlegen von Sicherungskopien auf dem Server, herstellen von Dateien und setzen der Systemzeit
- Server herunterfahren
Alle Arbeiten auf dem Server, die nicht mehr Rechte benötigen, sollten mit diesen Konto durchgeführt werden.
Sicherungs-Operatoren:
Mitglieder dieser Gruppe können alle Daten sichern und wieder herstellen. Es ist für diese Aufgabe nicht nötig Administrative Rechte zu besitzen.
Reproduktions-Operatoren:
Dieses Konto sollte nicht für Benutzer, sondern ausschließlich nur zum Starten des Reproduktionsdienstes benutzt werden, der einige besondere Rechte benötigt. Die hier eingetragenen Konten sollten nicht über das Recht "Zugriff auf diesen Computer vom Netz" und "Lokale Anmeldung" verfügen, da dies für den Reproduktionsdienst nicht benötigt wird und somit zu einer höheren Sicherheit beiträgt.
Druck-Operatoren:
Mitglieder dieser Gruppe können Drucker auf dem Domänencontroller hinzufügen und die Zugriffsrechte verwalten. Standardmäßig können Sie sich auch an einem Server anmelden und ihn herunterfahren, soll das nicht von diesen Leuten durchgeführt werden, sollte ihnen das Recht genommen werden.
Konten-Operatoren:
Haben die Erlaubnis die meisten Konten anzulegen, zu verwalten und zu löschen. Auf folgende Gruppen haben Sie keine Zugriffsmöglichkeiten:
- Administratoren
- Domänen-Admins
- Konten-Operatoren
- Sicherungs-Operatoren
- Druck-Operatoren
- Server-Operatoren
Diese Gruppe entspricht also im weiten Sinne der Gruppe "Hauptbenutzer".
Hauptbenutzer:
Dieser Benutzer hat eingeschränkte administrative Funktionen. So mit kann ein USER aus dieser Gruppe Verzeichnisse im Netz freigeben, Druckertreiber installieren und freigeben und einige allgemeine Programmgruppen verwalten. (Hauptbenutzer, Benutzer und Gäste, auf alle weiteren Gruppen haben Sie aber keinen Einfluss und können Sie auch nicht verändern) sowie neue Gruppen erstellen. Sie haben das Recht sich am Server anzumelden die Domäne herunterzufahren und neue Rechner in die Domäne einzufügen.
Benutzer:
Diese Gruppe enthält alle benötigten Rechte, die ein USER braucht um mit den Rechner arbeiten zu können. Jeder neu angelegte Benutzer wird standardmäßig Mitglied der Gruppe.
Domänen-Benutzer:
Diese Gruppe ist gleichzusetzen mit der Gruppe "Benutzer" und bezieht sich nur auf Domänen. Jeder neu angelegter Benutzer in einer Domäne wird automatisch Mitglied in dieser Gruppe.
Alle Benutzer, die nur Normale Arbeiten am Rechner durchführen und keine weiteren Rechte benötigen, sollten nur dieser Gruppe angehören.
Gäste:
Diese Gruppe enthält nur wenige Rechte für Benutzer. Da es trotzdem mit diesen Konto leicht zu einem Sicherheitsrisiko kommen kann, sollte man das Konto deaktivieren. In den meisten Netzen ist es sowieso nicht erwünscht, dass sich nicht bekannte Benutzer anmelden und Zugriff auf einige Ressourcen haben.
Domänen-Gäste:
Siehe "Gäste" nur in Bezug auf die ganze Domäne
Besondere Gruppen:
Diese Gruppen tauchen nicht in der Auflistung des Benutzer - Managers auf und werden nur bei der Verwaltung der Ressourcen angezeigt. Es ist nicht möglich, Mitglieder von Hand diesen Gruppen zuzuweisen.
Ersteller - Besitzer:
Enthält den Benutzer der die neue Datei/Ressource angelegt hat.
Interaktiv:
Benutzer die sich lokal an einem Rechner anmelden sind automatisch Mitglied in dieser Gruppe.
Jeder:
Jeder Benutzer ist Mitglied dieser Gruppe (Lokale und KBenutzer)
Netzwerk:
Benutzer die sich an das Netzwerk anmelden sind automatisch Mitglied in dieser Gruppe.
System:
Zugriff für das System (Dienste usw.) auf die Ressourcen. Dieses Konto ist nur für das Betriebssystem vorgesehen.
Mit diesen Gruppen bestimmt man die User, die für die Verwaltung der Userrechte und Aufgaben zuständig sind.
Um die Rechte für den Verzeichniszugriff zu regeln, sollten jetzt noch frei definierte Gruppen angelegt werden, die jeweils den nötigen Aufgaben der Abteilungen entsprechen. Mit solchen Gruppen sollte ausschließlich festgelegt werden, welche Daten die Anwender sehen, lesen und verändern dürfen. Die Vergabe von solchen Rechten sollte aus administrativen Gründen nie direkt an USER- Accounts erfolgen.
WinFAQ: Startseite | WinFAQ: HTMLMenü | WinFAQ: Java Version
Der Tipp enthält einen Fehler oder Sie haben noch eine Ergänzung dafür? Schreiben Sie uns über die Feedback-Seite an: Feedback-Formular
URL: http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0599.htm
WinFAQ ® Version 9.01 Copyright © 1996/2016 by Frank Ullrich