Microsoft Windows Xp Professional-Systembetreuer: Workstation

Windows 2000 Professional

Systembetreuer: Workstation

W2000S 00-0-00-70-63 Autoren: M. Dausch, Dr. H. Siegmund, Dr. W. Titz Inhaltliches Lektorat: L. Voll 2. Auflage: November 2000 (280201)

Ó by HERDT-Verlag, Nackenheim, Germany Internet: http://www.herdt.de Alle Rechte vorbehalten. Kein Teil des Werkes darf in irgendeiner Form (Druck, Fotokopie, Microfilm oder einem anderen Verfahren) ohne schriftliche Genehmigung des Herausgebers reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. Diese Unterlage wurde mit großer Sorgfalt erstellt und geprüft. Trotzdem können Fehler nicht vollkommen ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen.

WINDOWS

Microsoft

INHALTSVERZEICHNIS

Windows 2000 Professional - Systembetreuer: Workstation

1 Das Betriebssystem Windows 2000 Professional ................................................... 4 1.1 1.2

1.3

1.4

1.5

Was Sie wissen sollten ..............................................4 Windows 2000 Professional.......................................5 1.2.1 Einsatzbereich..............................................5 1.2.2 32-Bit-Betriebssystem mit preemptivem Multitasking ..................................................6 1.2.3 Multiprocessing-Fähigkeit .............................6 Die Architektur von Windows 2000 ............................6 1.3.1 Der Aufbau von Windows 2000 ....................7 1.3.2 Die Speicherverwaltung................................8 Dateisysteme ............................................................8 1.4.1 Die unterschiedlichen Dateisysteme .............8 1.4.2 NTFS - New Technology File System ...........9 1.4.3 Neuheiten von NTFS Version 5 ..................10 Active Directory Services.........................................11

5.3

5.4 5.5 5.6 5.7 5.8 5.9 5.10 5.11 5.12

6 Microsoft Management Console (MMC).....62 6.1

2 Grundlagen des Netzwerkbetriebs ............ 12 2.1

2.2

2.3

Aufbau von Netzwerken...........................................12 2.1.1 Grundlagen der Datenkommunikation.........12 2.1.2 Arbeitsgruppen...........................................13 2.1.3 Domänen ...................................................14 2.1.4 Client/Server-Aufgabenverteilungen ...........14 Netzwerkprotokolle..................................................15 2.2.1 TCP/IP .......................................................15 2.2.2 NetBIOS/NetBEUI ......................................16 Identifikation im Netzwerk ........................................16 2.3.1 Manuelle Konfiguration von IP-Nummern....16 2.3.2 Automatische Vergabe von IP-Nummern ....17

3 Installation.................................................... 18 3.1

Eingabegeräte verwalten......................................... 45 5.3.1 Mauseinstellungen anpassen ..................... 46 5.3.2 Tastatureinstellungen anpassen................. 46 Anzeigeeigenschaften einstellen ............................. 48 Anwendungsprogramme installieren........................ 49 Windows-Komponenten verwalten........................... 50 Aktuelle Konfiguration einsehen und dokumentieren ........................................................ 51 Einstellungen des Betriebssystems ändern.............. 53 Hardware-Profile erstellen ....................................... 56 Dienste starten und verwalten ................................. 57 Geräte aktivieren und deaktivieren .......................... 59 Energieverwaltung .................................................. 60

6.2

6.3

Konsole und Snap-Ins ............................................. 62 6.1.1 Grundlagen ................................................ 62 6.1.2 Mit der MMC lösbare Aufgaben .................. 63 6.1.3 Aufbau und Funktionen der MMC ............... 64 Konsole erstellen und anpassen.............................. 65 6.2.1 MMC starten .............................................. 65 6.2.2 Zugriffsmodus einstellen ............................ 65 6.2.3 Snap-In hinzufügen/entfernen .................... 66 6.2.4 Snap-In erweitern....................................... 67 6.2.5 Taskpads und Tasks erstellen .................... 67 6.2.6 Konsole sichern ......................................... 72 6.2.7 Zugriff auf Autorenmodus beschränken ...... 73 Konsole öffnen ........................................................ 73

7 Netzwerkeinstellungen verwalten...............76 7.1

Netzwerkidentifikation ändern.................................. 76 7.1.1 Computernamen ändern ............................ 77 7.1.2 Computer einer Domäne hinzufügen .......... 77 7.1.3 Computer einer Arbeitsgruppe hinzufügen ................................................. 78 Netzwerkeinstellungen ändern ................................ 78 7.2.1 TCP/IP konfigurieren.................................. 79 7.2.2 Erweiterte Einstellungen............................. 80 Netzwerkkomponenten verwalten............................ 81

Die Installation planen und vorbereiten ....................18 3.1.1 Hard- und Software-Anforderungen ............18 3.1.2 Installationsvorbereitung.............................19 3.1.3 Checkliste ..................................................22 Neuinstallation.........................................................22 3.2.1 Installationsart auswählen ..........................22 3.2.2 Setup beginnen ..........................................23 3.2.3 Der Setup-Assistent ...................................25 3.2.4 Netzwerkverbindung konfigurieren..............26 3.2.5 Installation abschließen ..............................27 Aktualisieren eines Betriebssystems........................28 3.3.1 Windows 95/98 aktualisieren ......................28 3.3.2 Windows NT Workstation aktualisieren.......30 Automatische Installation.........................................30 Fehlerbehandlung ...................................................31 3.5.1 Allgemeine Probleme beheben...................31 3.5.2 Setup-Protokolle verwenden.......................32

8 Hardware hinzufügen...................................82

4 Systemstart .................................................. 34

9 Internetzugang einrichten und konfigurieren ................................................94

3.2

3.3

3.4 3.5

4.1 4.2 4.3 4.4 4.5

Der Boot-Vorgang ...................................................34 Windows 2000 startet ..............................................36 Die Anmeldung........................................................37 Optionen des Systemstarts......................................38 Notfallinformationen sichern ....................................39

7.2

7.3

8.1 8.2 8.3 8.4 8.5 8.6 8.7

9.1 9.2 9.3

5 Anpassungen............................................... 40 5.1 5.2

Workstation konfigurieren - die Systemsteuerung ....40 Desktop anpassen...................................................41 5.2.1 Startmenü anpassen ..................................41 5.2.2 Taskleiste anpassen...................................42 5.2.3 Bildschirmdarstellung anpassen .................42

Hardware-Komponenten und Treiber....................... 82 Das WDM-Treibermodell ......................................... 83 Hardware automatisch installieren ........................... 83 Hardware manuell installieren ................................. 85 Gängige Hardware installieren ................................ 87 Hardware deinstallieren........................................... 90 Problembehandlung ................................................ 91

Internetzugang - Grundlagen................................... 94 Internetzugang einrichten ........................................ 95 Internet Explorer konfigurieren ................................ 98 9.3.1 Einstellungen einsehen .............................. 98 9.3.2 Temporäre Internetdateien ......................... 99 9.3.3 Sicherheitseinstellungen vornehmen ........ 100

10 Lokale Benutzerverwaltung ......................106 10.1

Konzept der Benutzerverwaltung........................... 106 10.1.1 Lokale Anmeldung und Authentifizierung ...................................... 107 10.1.2 Anmeldung im Netzwerk........................... 108

I

Inhaltsverzeichnis

10.2 10.3 10.4 10.5 10.6

10.7

10.1.3 Fernanmeldung ........................................108 10.1.4 Anmeldungsarten .....................................109 10.1.5 Vordefinierte lokale Konten.......................109 Anmelden..............................................................110 Eigenes Kennwort ändern .....................................110 Benutzer verwalten................................................111 Lokale Gruppen verwalten.....................................116 Benutzerumgebung verwalten ...............................119 10.6.1 Die Benutzerumgebung............................119 10.6.2 Profilpfad, Anmeldeskript und Stammverzeichnis einrichten....................121 Benutzerprofile erstellen und verwalten .................122

11 Gruppenrichtlinien .................................... 124 11.1

11.2 11.3

11.4

11.5

11.6

Grundlagen zu Gruppenrichtlinien .........................124 11.1.1 Lokale Richtlinien .....................................125 11.1.2 Domänenweite Richtlinien und das Active Directory ........................................125 11.1.3 Richtlinien einsetzen ................................125 Richtlinienverwaltung in der MMC..........................126 Computerkonfiguration ..........................................127 11.3.1 Software-Einstellungen.............................127 11.3.2 Windows-Einstellungen ............................127 11.3.3 Administrative Vorlagen............................128 Benutzerkonfiguration............................................128 11.4.1 Software-Einstellungen.............................129 11.4.2 Windows-Einstellungen ............................129 11.4.3 Administrative Vorlagen............................129 Anwendungsbeispiele............................................130 11.5.1 Gruppenrichtlinien einrichten ....................130 11.5.2 Kontosperrung einrichten .........................130 11.5.3 Gruppenberechtigungen verwalten ...........131 11.5.4 System überwachen.................................131 Sicherheitsvorlagen...............................................132 11.6.1 Überblick über Sicherheitsvorlagen ..........132 11.6.2 Sicherheitsvorlagen anwenden.................133

14.2

14.3

Datenträger einrichten........................................... 164 14.2.1 Die Datenträgerverwaltungskonsole ......... 165 14.2.2 Datenträger hinzufügen............................ 166 14.2.3 Datenträger löschen................................. 169 14.2.4 Festplatte konvertieren............................. 169 14.2.5 Datenträger defragmentieren ................... 171 NTFS-Datenträger verwalten................................. 172 14.3.1 Kontingente zuweisen .............................. 173 14.3.2 Laufwerke indizieren ................................ 173

15 Systemüberwachung und -pflege............ 174 15.1 15.2 15.3 15.4 15.5 15.6

Überwachung........................................................ 174 Ereignisanzeige .................................................... 174 Task-Manager....................................................... 177 Auslastung kontrollieren ........................................ 178 Systemmonitor ...................................................... 179 Leistung des Systems steigern.............................. 183

16 Die Registrierungsdatenbank .................. 184 16.1 16.2 16.3 16.4 16.5 16.6 16.7 16.8

Die Windows 2000-Registrierung .......................... 184 Registrierungsdaten ansehen................................ 186 Registrierungsdaten bearbeiten............................. 187 Registrierungsdaten hinzufügen ............................ 188 Zugriffsberechtigungen erteilen ............................. 189 Besitz an einem Schlüssel übernehmen ................ 190 Schlüssel überwachen .......................................... 190 Ein Beispiel aus der Registrierungsdatenbank ....... 191

17 Datensicherung ......................................... 192 17.1 17.2 17.3 17.4 17.5

Sicherungsarten und -strategien............................ 192 Manuelle Datensicherung...................................... 194 Regelmäßige Datensicherung ............................... 196 Sicherung wiederherstellen ................................... 199 Berichte einsehen ................................................. 201

18 Die Eingabeaufforderung ......................... 202 12 Dateien und Verzeichnisse freigeben...... 134 12.1 12.2 12.3 12.4 12.5 12.6 12.7

Ressourcen gemeinsam nutzen.............................134 Verzeichnisse freigeben ........................................134 Berechtigungen auf Freigabeebene .......................136 NTFS-Berechtigungen...........................................137 Berechtigungen kombinieren .................................140 Besitz übernehmen ...............................................140 Verzeichnisse und Dateien überwachen ................141

18.1 18.2 18.3 18.4 18.5 18.6 18.7 18.8

Nutzen der Eingabeaufforderung........................... 202 Eingabeaufforderung anpassen............................. 203 Die Befehle der Eingabeaufforderung.................... 204 MS-DOS-Befehle und Windows 2000.................... 204 Individuelle Startumgebung ................................... 205 PIF-Datei erstellen ................................................ 207 Spezielle Umgebung für ein Anwendungsprogramm ............................................................. 210 Speicherresidente Programme .............................. 211

13 Drucker verwalten ..................................... 144 13.1 13.2 13.3 13.4 13.5 13.6 13.7

Drucker im Netzwerk .............................................144 Drucker installieren................................................146 Drucker konfigurieren ............................................150 Druckerwarteschlange verwalten ...........................153 Mehrere Druckerwarteschlangen verwalten ...........159 Druckserver verwalten...........................................160 Probleme beim Drucken beheben..........................161

14 Datenträgerverwaltung ............................. 162 14.1

Datenträger ...........................................................162 14.1.1 Festplattentypen.......................................162 14.1.2 Basisfestplatten und dynamische Festplatten ...............................................163 14.1.3 Partitionen, logische Laufwerke und dynamische Datenträger ..........................163

19 Warten, Optimieren, Aktualisieren .......... 212 19.1 19.2 19.3

Regelmäßig optimieren ......................................... 212 Windows updaten.................................................. 214 Service Packs für Windows 2000 .......................... 216

20 Fehlerdiagnose.......................................... 218 20.1 20.2 20.3 20.4 20.5

Das Windows-Berichtsprogramm .......................... 218 Die Hilfedateien..................................................... 219 Assistenten zur Problembehandlung ..................... 219 Die Wiederherstellungskonsole ............................. 220 Informationen aus dem Internet ............................. 220

Stichwortverzeichnis...................................... 222

12

Windows 2000 Professional - Systembetreuer: Workstation

12

Dateien und Verzeichnisse freigeben In diesem Kapitel erfahren Sie à

wie Sie anderen Benutzern im Netzwerk Dateien und Verzeichnisse auf Ihrer Workstation zugänglich machen

à

wie der Zugriff auf freigegebene Dateien und Verzeichnisse geregelt wird

Voraussetzungen ü

Grundkenntnisse der Bedienung von Windows 2000

12.1 Ressourcen gemeinsam nutzen Sie können Dateien und Verzeichnisse, die sich auf einem lokalen Computer befinden, für andere Benutzer im Netzwerk zur Verfügung stellen. Diese Ressourcen müssen dazu freigegeben werden. Sie erhalten einen Freigabenamen, mit dem über das Netzwerk auf sie zugegriffen werden kann. Der Zugriff auf freigegebene Ressourcen wird über Berechtigungen reglementiert und abgesichert. Die Zugriffsberechtigungen werden an Benutzer und Gruppen vergeben, die so einen eingeschränkten Zugang zu der Freigabe erhalten. Die verfügbaren Zugriffsberechtigungen sind vom Dateisystem des Datenträgers abhängig, auf dem sich die Freigabe befindet. Ressourcen auf FAT-formatierten Datenträgern können ausschließlich mit Freigabeberechtigungen abgesichert werden. NTFS-Datenträger erlauben zusätzlich die Sicherung mit NTFSBerechtigungen, die dann auch mit Freigabeberechtigungen kombiniert werden können. NTFS-Berechtigungen bieten eine Reihe von Vorteilen. Regeln Sie, soweit möglich, daher den Zugriff auf eine Freigabe mit NTFS-Berechtigungen.

12.2 Verzeichnisse freigeben Þ

Klicken Sie mit der rechten Maustaste auf - EXPLORER, und lassen Sie sich den Inhalt des Datenträgers anzeigen, der das freizugebende Verzeichnis enthält.

Þ

Markieren Sie das Verzeichnis, und wählen Sie im Menü = DATEI den Menüpunkt FREIGABE.

oder Klicken Sie mit der rechten Maustaste auf das Verzeichnis, und wählen Sie den Kontextmenüpunkt FREIGABE. Þ

Þ

134

Wählen Sie im Register FREIGABE die Option DIESEN ORDNER FREIGEBEN =. Übernehmen Sie den Ordnernamen als Freigabenamen, oder vergeben Sie einen eigenen Freigabenamen >. Legen Sie bei Bedarf eine maximale Anzahl von gleichzeitigen Benutzerzugriffen fest ?.

> ?

Klicken Sie auf BERECHTIGUNGEN @, um Freigabeberechtigungen zu vergeben, oder auf ZWISCHENSPEICHERN A, um Verzeichnis freigeben festzulegen, ob und wie Daten aus der Freigabe lokal auf Client-Computern gespeichert werden sollen. Klicken Sie dann auf ÜBERNEHMEN und OK.

@ A

12

Dateien und Verzeichnisse freigeben Das freigegebene Verzeichnis und sein Inhalt sind jetzt unter dem Freigabenamen im Netzwerk verfügbar. Sie erkennen dies an einer geöffneten Hand unter dem Ordnersymbol. Standardmäßig hat Windows 2000 der Systemgruppe JEDER die Berechtigung VOLLZUGRIFF erteilt. Das bedeutet, dass für jeden Benutzer ein uneingeschränkter Zugriff auf die Freigabe möglich ist, einschließlich Gästen. Wenn Sie den Zugriff beschränken möchten, müssen Sie unbedingt Zugriffsberechtigungen planen und vergeben wie weiter unten beschrieben. Windows 2000 unterstützt lange Freigabenamen. Wenn jedoch auch Benutzer von Computern unter MS-DOS oder Windows 3.x auf eine Freigabe zugreifen, sollten Sie sich an die 8.3-Regel für Freigabenamen halten.

Þ

Wenn Sie die Freigabe eines Verzeichnisses widerrufen möchten, aktivieren Sie die Option DIESEN ORDNER NICHT FREIGEBEN. Die Freigabe ist damit beendet, die Einstellungen der Freigabeberechtigungen bleiben aber erhalten.

Mit einer Freigabe verbinden Es bestehen zwei Möglichkeiten, von einem Client-Computer aus eine Verbindung zu einem freigegebenen Verzeichnis aufzubauen.

Temporäre Verbindung

Þ

Doppelklicken Sie auf das Symbol NETZWERKUMGEBUNG auf dem Windows 2000-Desktop.

Þ

Finden Sie in der Netzwerkumgebung den Netzwerkcomputer, auf dem sich die Freigabe befindet.

Þ

Stellen Sie durch Doppelklicken auf die Freigabe eine Verbindung her.

Diese Verbindung ist nur vorübergehend. Sie wird nach Schließen des Verzeichnisses wieder abgebrochen. Wenn Sie eine permanente Verbindung einrichten wollen, müssen Sie mit der Freigabe ein Netzlaufwerk verbinden. Diese Verbindung bleibt zumindest für die Dauer einer Sitzung erhalten, kann aber auch beim nächsten Systemstart automatisch wiederhergestellt werden.

Netzlaufwerk verbinden

Þ

Klicken Sie mit der rechten Maustaste auf das Symbol NETZWERKUMGEBUNG, und wählen Sie den Kontextmenüpunkt NETZLAUFWERK VERBINDEN.

Þ

Tragen Sie bei ORDNER = den UNC-Pfad zur Freigabe ein. Falls Sie den Pfad nicht kennen, wählen Sie DURCHSUCHEN >.

=

>

?

Þ

Wenn Sie die Verbindung auch für weitere Sitzungen erhalten möchten, aktivieren Sie das Kontrollfeld VERBINDUNG BEI ANMELDUNG WIEDERHERSTELLEN ?.

Þ

Klicken Sie auf die Schaltfläche FERTIG STELLEN. Netzlaufwerk verbinden Das freigegebene Verzeichnis ist jetzt unter dem angegebenen Laufwerksbuchstaben auf dem Client-Computer verfügbar.

Wenn die Freigabe mit Berechtigungen geschützt ist, werden Sie beim Herstellen einer Verbindung möglicherweise nach einem Benutzernamen und einem Kennwort gefragt. In einer Arbeitsgruppe müssen Sie ein Benutzerkonto des Computers verwenden, auf dem die Freigabe gespeichert ist. In einer Domäne wird die Gültigkeit des Benutzerkontos beim Herstellen der Verbindung vom Domänencontroller überprüft.

Verborgene Freigaben Normalerweise ist eine Freigabe für die Benutzer sichtbar. Möchten Sie eine Freigabe verbergen, hängen Sie an den Freigabenamen ein Dollarzeichen ($) an. Die Freigabe ist jetzt über das Netz verfügbar, für Benutzer in der Netzwerkumgebung aber nicht sichtbar. Benutzer können sich mit der Freigabe verbinden, indem sie im Dialogfenster NETZLAUFWERK VERBINDEN den Pfad zu der verborgenen Freigabe angeben. 135

12

Windows 2000 Professional - Systembetreuer: Workstation Auch das Betriebssystem erzeugt eine Reihe von verborgenen Freigaben, um selbst auf bestimmte Daten zugreifen zu können. Für diese Freigaben können Sie die Berechtigungen jedoch nicht verändern. Es gibt außerdem noch einige administrative Freigaben, die nur für Administratoren und Verwaltungspersonal sichtbar und zugänglich sind. Dazu gehören beispielsweise die Stammverzeichnisse jedes Laufwerks und das Stammverzeichnis von Windows 2000.

12.3 Berechtigungen auf Freigabeebene Grundlagen Berechtigungen auf Freigabeebene regeln nur den Netzzugriff auf freigegebene Ressourcen. Sie sind bei lokalem Zugriff unwirksam. Freigabeberechtigungen können für Verzeichnisse auf Datenträgern vergeben werden, die mit FAT oder NTFS formatiert sind. Mit Freigabeberechtigungen kann nur das ganze freigegebene Verzeichnis reglementiert werden, jedoch keine einzelnen enthaltenen Unterverzeichnisse und Dateien. Beispiel: Auf dem Computer Designer befindet sich das freigegebene Verzeichnis Vorlagen, das die zwei Dateien Text und Clipart enthält. Der Datenträger ist mit FAT formatiert, und es wurde die Freigabeberechtigung LESEN für die Gruppe JEDER vergeben. Für die beiden Dateien Text und Clipart können nun keine eigenen Berechtigungen mehr vergeben werden, weil diese bereits durch das übergeordnete Verzeichnis bestimmt sind. Wenn sich Benutzerin Maria über das Netzwerk anmeldet, kann sie beide Dateien im Verzeichnis lesen. Wenn sie sich jedoch lokal anmeldet, hat sie die Zugriffsberechtigungen ihres lokalen Kontos, die Freigabeberechtigung LESEN tritt außer Kraft. Windows 2000 kennt drei Freigabeberechtigungen mit unterschiedlichen Ebenen der Zugriffsbeschränkung. Jede dieser Freigabeberechtigungen können Sie einzeln vergeben oder verweigern. Standardmäßig vergibt Windows 2000 die Berechtigung VOLLZUGRIFF an die Gruppe JEDER. Freigabeberechtigung

Zugriffsmöglichkeiten

Lesen

Ein Benutzer kann Verzeichnisse und Unterverzeichnisse, Dateien, Dateiinhalte und Dateiattribute ansehen. Programmdateien können ausgeführt werden.

Ändern

Zusätzlich zur Berechtigung LESEN kann der Benutzer Verzeichnisse erstellen, Dateien erstellen und Verzeichnisse hinzufügen, Dateiinhalte verändern und hinzufügen, Verzeichnisse und Dateien löschen und Dateiattribute ändern.

Vollzugriff

Zusätzlich zur Berechtigung ÄNDERN kann der Benutzer den Besitz an Dateien übernehmen und die Berechtigungen für Dateien ändern.

Freigabeberechtigungen verwalten Planungsrichtlinien Das Freigeben von Verzeichnissen ist mit Sicherheitsrisiken verbunden, wenn Benutzer Zugriff auf Informationen bekommen, die nicht für sie bestimmt sind. Planen Sie daher vorher genau, welchen Benutzern Sie welche Freigabeberechtigungen erteilen. Organisieren Sie die Benutzer in Gruppen entsprechend der Zugriffsberechtigungen, die sie für ihre Arbeit benötigen. Weisen Sie dann diesen Gruppen die entsprechenden Berechtigungen zu. Vergeben Sie Berechtigungen möglichst nur an einzelne Benutzer, um ihnen gezielt Berechtigungen aus ihrer Gruppenzugehörigkeit zu entziehen.

Freigabeberechtigungen erteilen und ändern

136

Þ

Markieren Sie im Windows-Explorer das freigegebene Verzeichnis, und wählen Sie im Menü DATEI den Menüpunkt FREIGABE.

Þ

Klicken Sie im Register FREIGABE auf die Schaltfläche BERECHTIGUNGEN.

12

Dateien und Verzeichnisse freigeben Þ

Das folgende Dialogfenster zeigt Ihnen ein Listenfeld mit Benutzern oder Gruppen, denen Sie Freigabeberechtigungen zuweisen können =. Markieren Sie eine Gruppe oder einen Benutzer, und aktivieren Sie entweder die Kontrollfelder ZULASSEN oder VERWEIGERN für die jeweilige Berechtigung >.

@

Þ

Wenn Sie den Zugriff für eine Gruppe oder einen Benutzer vollständig unterbinden wollen, verweigern Sie nur die Berechtigung VOLLZUGRIFF.

Þ

Klicken Sie anschließend auf ÜBERNEHMEN und danach auf OK. Benutzer hinzufügen Falls der benötigte Benutzer oder die Gruppe noch nicht aufgeführt ist, klicken Sie auf HINZUFÜGEN ?. Das Dialogfenster BENUTZER, COMPUTER ODER GRUPPEN AUSWÄHLEN wird geöffnet. = Markieren Sie den Benutzer oder die Gruppe, die Sie hinzufügen wollen, und klicken Sie auf HINZUFÜGEN @. Verlassen Sie dieses Dialogfenster mit Klicken auf OK, und weisen Sie die Berechtigungen zu wie oben beschrieben.

Þ

Þ

12.4 NTFS-Berechtigungen

?

>

Freigabeberechtigungen erteilen

Grundlagen NTFS-Berechtigungen zur Regelung des Zugriffs auf gemeinsam benutzte Ressourcen bieten einige wesentliche Vorteile gegenüber Freigabeberechtigungen. NTFS-Berechtigungen ermöglichen þ

feine Abstufung der Zugriffsberechtigungen

þ

Vererbung von Berechtigungen auf untergeordnete Verzeichnisse und Dateien

þ

differenzierte Zugriffsbeschränkungen für Dateien und Verzeichnisse innerhalb einer Freigabe

þ

Wirksamkeit auch bei lokaler Anmeldung des zugreifenden Benutzers

Sie bieten damit deutlich höhere Sicherheit gegen unberechtigten Zugriff als Freigabeberechtigungen. Verwenden Sie immer NTFS-Berechtigungen zur Zugriffsbeschränkung, wenn NTFS als Dateisystem zur Verfügung steht.

Notizen

137

12

Windows 2000 Professional - Systembetreuer: Workstation NTFS-Berechtigungen für Verzeichnisse und Dateien unterscheiden sich voneinander. Verzeichnisse können standardmäßig mit folgenden Berechtigungen ausgestattet werden: NTFSVerzeichnisberechtigung

Zugriffsmöglichkeiten

Lesen

Unterverzeichnisse auflisten, Dateien lesen, Berechtigungen, Besitzrechte und Attribute einsehen

Schreiben

Unterverzeichnisse erstellen, Dateien erstellen, Berechtigungen und Besitzrechte einsehen und Attribute ändern

Ordnerinhalt auflisten

Unterverzeichnisse und Dateien auflisten und lesen

Lesen, Ausführen

Zusätzlich zu den Möglichkeiten Lesen und Ordnerinhalt auflisten kann durch ein Verzeichnis navigiert werden, auch ohne Berechtigung für dieses Verzeichnis

Ändern

Zusätzlich zu den Möglichkeiten Schreiben und Lesen, Ausführen Verzeichnisse löschen

Vollzugriff

Zusätzlich zu den Möglichkeiten aus allen übrigen Berechtigungen Unterverzeichnisse und Dateien löschen, den Besitz übernehmen und Berechtigungen ändern

Für Dateien können standardmäßig diese NTFS-Berechtigungen vergeben werden: NTFS-Dateiberechtigung

Zugriffsmöglichkeiten

Lesen

Datei lesen, Berechtigungen, Besitzrechte und Attribute einsehen

Schreiben

Datei überschreiben, Berechtigungen und Besitzrechte einsehen und Attribute ändern

Lesen, Ausführen

Zusätzlich zur Möglichkeit LESEN Anwendungen ausführen

Ändern

Zusätzlich zu den Möglichkeiten SCHREIBEN und LESEN, AUSFÜHREN Datei ändern und löschen

Vollzugriff

Zusätzlich zu den Möglichkeiten aus allen übrigen Berechtigungen den Besitz übernehmen und Berechtigungen ändern

Sie haben jedoch die Möglichkeit, sowohl die NTFS-Berechtigungen für Verzeichnisse als auch für Dateien gezielt zu modifizieren und so einzelnen Benutzern oder Gruppen Sonderberechtigungen zu vergeben. NTFS-Berechtigungen werden normalerweise vom übergeordneten Verzeichnis, an dem sie eingerichtet wurden, an alle enthaltenen Unterverzeichnisse und Dateien weitergegeben. Diese Vererbung von Berechtigungen kann aber deaktiviert werden.

Effektive Berechtigungen Die tatsächlichen NTFS-Berechtigungen eines Benutzers für eine bestimmte Ressource setzen sich kumulativ aus allen Berechtigungen zusammen, die er aufgrund seiner Mitgliedschaft in verschiedenen Gruppen besitzt. Ein Benutzer verfügt über die Summe aller NTFS-Berechtigungen der Gruppen, deren Mitglied er ist. Damit steht ihm normalerweise die am wenigsten einschränkende Berechtigung zur Verfügung. Beispiel: Benutzer Michael ist Mitglied in den Gruppen Planung und Fertigung. Die Gruppe Planung hat für das Verzeichnis Projekte die Berechtigung ÄNDERN, während die Gruppe Fertigung nur über die Berechtigung LESEN verfügt. Benutzer Michael hat daher aufgrund seiner Mitgliedschaft in der Gruppe Planung ebenfalls die Berechtigung ÄNDERN. Eine wichtige Ausnahme bildet die Verweigerung der Berechtigung VOLLZUGRIFF. VOLLZUGRIFF VERWEIGERN überschreibt alle anderen NTFS-Berechtigungen für eine Ressource. Der Benutzer kann dann nicht mehr auf diese Ressource zugreifen. Das gilt auch, wenn nur einer Gruppe der Vollzugriff auf die Ressource verweigert wurde, in der er Mitglied ist. VOLLZUGRIFF VERWEIGERN bietet damit eine ähnliche Funktionalität wie die bisherige Berechtigung KEIN ZUGRIFF unter Windows NT 4.0 Workstation.

138

12

Dateien und Verzeichnisse freigeben Datei- und Verzeichnisberechtigungen Für Dateien können andere NTFS-Berechtigungen vergeben werden als für das übergeordnete Verzeichnis. Die Dateiberechtigungen gelten dann vorrangig vor den Verzeichnisberechtigungen. Dateiberechtigungen überschreiben also Verzeichnisberechtigungen. Hat ein Benutzer aufgrund seiner Gruppenmitgliedschaft mehrere NTFS-Berechtigungen für eine Datei, sind diese auf Dateiebene wiederum kumulativ. Der Benutzer verfügt über die am wenigsten einschränkenden Berechtigungen, die ihm selbst oder den Gruppen, in denen er Mitglied ist, für die Datei erteilt wurden. Beispiel: Benutzerin Maria besitzt für die Datei Firma im Verzeichnis Projekte die Berechtigung VOLLZUGRIFF. Auf das Verzeichnis Projekte hingegen hat sie keinen Zugriff. Sie kann die Datei Firma bearbeiten, wenn sie diese direkt mit einer exakten Pfadangabe öffnet, weil die Dateiberechtigung die Verzeichnisberechtigung überschreibt. Sie kann jedoch nicht das übergeordnete Verzeichnis öffnen, um so die Datei zu finden.

NTFS-Berechtigungen verwalten Für NTFS-Berechtigungen gelten ähnliche Planungsrichtlinien wie für Freigabeberechtigungen. Eine sorgfältig entwickelte Struktur mit Benutzergruppen entsprechend den benötigten Berechtigungen reduziert den Verwaltungsaufwand erheblich. Die Planung der Benutzergruppen kann dabei sämtliche möglichen Abstufungen in den NTFS-Berechtigungen nutzen. Beachten Sie besonders die Auswirkung von VOLLZUGRIFF VERWEIGERN auf die Mitglieder einer Gruppe, die eine Ressource gemeinsam nutzen soll.

NTFS-Berechtigungen erteilen und ändern

Þ

Þ

Þ

Klicken Sie im Explorer mit der rechten Maustaste auf das Objekt, dessen NTFS-Berechtigungen Sie ändern wollen, und wählen Sie im Kontextmenüpunkt EIGENSCHAFTEN das Register SICHERHEITSEINSTELLUNGEN.

=

Markieren Sie in der Liste NAME = den Benutzer oder die Gruppe, für die Sie NTFS-Berechtigungen erteilen wollen. Falls sie noch nicht aufgeführt sind, klicken Sie auf HINZUFÜGEN > und verfahren Sie wie im Abschnitt Freigabeberechtigungen erteilen und ändern beschrieben. Aktivieren Sie nun die Kontrollfelder ZULASSEN oder VERfür die einzelnen NTFS-Berechtigungen nach Bedarf ?. Wenn Sie den Zugriff vollständig unterbinden wol- @ len, verweigern Sie nur die Berechtigung VOLLZUGRIFF. WEIGERN

Þ

>

? A

Deaktivieren Sie das Kontrollfeld VERERBBARE ÜBERGEORDNE- NTFS-Berechtigungen erteilen BERECHTIGUNGEN ÜBERNEHMEN @, wenn Sie aus dem übergeordneten Verzeichnis keine NTFS-Berechtigungen beibehalten wollen. Diese Option steht nicht beim übergeordneten Verzeichnis selbst zur Verfügung. TE

Þ Þ

Klicken Sie anschließend auf ÜBERNEHMEN, und bestätigen Sie mit OK. Durch Klicken auf die Schaltfläche ERWEITERT A erreichen Sie die Dialogfenster ZUGRIFFSEINund BERECHTIGUNGSEINTRAG FÜR..., in denen Sie Benutzern oder Gruppen gezielt veränderte Sonderberechtigungen erteilen können. STELLUNGEN FÜR...

Sonderberechtigungen erteilen

Þ

Markieren Sie im Dialogfenster ZUGRIFFSEINSTELLUNGEN FÜR... aus der Liste Berechtigungseinträge B den Benutzer oder die Gruppe, für die Sie Sonderberechtigungen einstellen möchten. Klicken Sie anschließend auf die Schaltfläche ANZEIGEN/BEARBEITEN C. Klicken Sie auf HINZUFÜGEN D, um neue Benutzer oder Gruppen in die Liste aufzunehmen.

Þ

Aktivieren Sie im Dialogfenster BERECHTIGUNGSEINTRAG FÜR... nach Bedarf die Kontrollfelder ZULASSEN und VERWEIGERN E für die einzelnen Sonderberechtigungen. Bestätigen Sie die Einstellungen mit OK.

Þ

Klicken Sie in ZUGRIFFSEINSTELLUNGEN FÜR... auf ÜBERNEHMEN und OK. 139

12

Windows 2000 Professional - Systembetreuer: Workstation

B

E D

C

Zugriffseinstellungen Erweiterte Berechtigungen

12.5 Berechtigungen kombinieren Zur Regelung des Zugriffs auf freigegebene Verzeichnisse können Freigabeberechtigungen und NTFS-Berechtigungen kombiniert werden. NTFS-Berechtigungen können nur für Ressourcen auf Datenträgern vergeben werden, die mit dem Dateisystem NTFS formatiert sind. Verwenden Sie NTFS aber nur, wenn keine Clients unter MS-DOS, Windows 3.x oder Windows 9x darauf zugreifen müssen. Diese Betriebssysteme können nur FATformatierte Datenträger erkennen. Ressourcen lassen sich unter FAT nur mit Freigabeberechtigungen schützen. Bei der Kombination von Freigabeberechtigungen und NTFS-Berechtigungen tritt die jeweils am meisten einschränkende Zugriffsberechtigung in Kraft. Beispiel: Im Verzeichnis Finanzen befinden sich die Unterverzeichnisse Projektmittel und Sonderausgaben. Das Verzeichnis Finanzen ist mit der Freigabeberechtigung und der NTFS-Berechtigung VOLLZUGRIFF für JEDER versehen. Die Gruppe Projektleiter besitzt für beide Unterverzeichnisse die NTFS-Berechtigung VOLLZUGRIFF. Die Gruppe Mitarbeiter hat für das Unterverzeichnis Sonderausgaben die NTFS-Berechtigung LESEN, während ihr der Vollzugriff auf Projektmittel verweigert wurde. Sowohl Maria als auch Thomas sind als Benutzer Mitglied der Gruppe JEDER. Beide können daher auf das Verzeichnis Finanzen uneingeschränkt zugreifen. Maria ist Mitglied der Gruppe Projektleiter und kann auf beide Unterverzeichnisse ebenfalls uneingeschränkt zugreifen. Thomas ist jedoch Mitglied in der Gruppe Mitarbeiter und darf daher nur das Unterverzeichnis Sonderausgaben lesen. Auf Projektmittel hat er keinen Zugriff.

12.6 Besitz übernehmen Unter Windows 2000 haben alle Dateien, Verzeichnisse und Drucker einen Besitzer. Das ist zunächst derjenige Benutzer, der das Objekt erstellt hat. Der Besitzer kann Berechtigungen auf das Objekt erteilen oder verwehren und so auch Administratoren vom Zugriff auf das Objekt ausschließen. Es ist jedoch aus Gründen der Systemsicherheit nicht möglich, die Besitzrechte direkt an andere Benutzer zu übertragen. Allerdings kann ein Administrator unabhängig von den vorhandenen Berechtigungen jederzeit den Besitz an einem Objekt übernehmen. Besitzer des Objektes wird dann die Gruppe ADMINISTRATOREN. Den Besitz an einem Objekt übernehmen können Benutzer oder Gruppen mit der NTFS-Berechtigung VOLLZUGRIFF oder der Sonderberechtigung BESITZ ÜBERNEHMEN. So übernehmen Sie den Besitz an einem Objekt:

140

12

Dateien und Verzeichnisse freigeben Þ

Þ

Þ

Klicken Sie im Explorer mit der rechten Maustaste auf das Objekt, dessen Besitz Sie übernehmen wollen, und wählen Sie im Kontextmenüpunkt EIGENSCHAFTEN das Register SICHERHEITSEINSTELLUNGEN. Normalerweise informiert Sie Windows darüber, dass Sie die Berechtigungen nicht einsehen, aber den Besitz übernehmen können. Bestätigen Sie mit OK, und klicken Sie dann auf die Schaltfläche ERWEITERT.

= >

Wählen Sie im folgenden Dialogfenster ZUdas Register BE? SITZER. Der aktuelle Besitzer dieses Elements wird Ihnen angezeigt =. Markieren Sie unter BESITZER ÄNDERN AUF > den entsprechenden Eintrag, und klicken Sie auf ÜBERNEHMEN und OK. Besitz übernehmen Wenn Sie auch den Besitz untergeordneter Objekte übernehmen wollen, aktivieren Sie das entsprechende Kontrollfeld ?. GRIFFSEINSTELLUNGEN FÜR...

12.7 Verzeichnisse und Dateien überwachen Windows 2000 bietet die Möglichkeit, den Benutzerzugriff auf Verzeichnisse und Dateien zu überwachen. Voraussetzung für eine Überwachung ist die Einrichtung einer Überwachungsrichtlinie für Zugriffe auf Objekte wie Verzeichnisse und Dateien. Die überwachten Ereignisse werden von Windows als Sicherheitsprotokolle abgelegt, die Sie in der Ereignisanzeige einsehen können. - PROGRAMME - VERWALTUNG - LOKALE SICHERHEITSEINSTELLUNGEN - LOKAWenn Sie über LE RICHTLINIEN - ÜBERWACHUNGSRICHTLINIEN eine Überwachungsrichtlinie eingerichtet haben, gehen Sie zur Aktivierung der Überwachung einzelner Verzeichnisse und Dateien folgendermaßen vor:

Notizen

141

12

Windows 2000 Professional - Systembetreuer: Workstation Þ

Þ

Klicken Sie im Explorer mit der rechten Maustaste auf das Objekt, das Sie überwachen wollen, und wählen Sie im Kontextmenüpunkt FREIGABE das Register SICHERHEITSEINSTELLUNGEN. Klicken Sie auf die Schaltfläche ERWEITERT. Wählen Sie im folgenden Dialogfenster ZUFÜR... das Register ÜBERWACHUNG. Klicken Sie auf HINZUFÜGEN =, um neue Benutzer auszuwählen, deren Aktivität Sie überwachen wollen, oder auf ANZEIGEN/BEARBEITEN >, um vorhandene Überwachungseinträge zu bearbeiten. GRIFFSEINSTELLUNGEN

Þ

Þ

Þ

=

>

Vergeben Sie einen Namen für den neuen Überwachungseintrag, und bestätigen Sie mit OK. Das nun geöffnete Dialogfenster ÜBERWACHUNGSEINTRAG FÜR... listet alle Ak- Überwachung von Zugriffen tivitäten auf, die Sie für das Objekt überwachen lassen können. Aktivieren Sie die gewünschten Aktivitäten. In der Standardeinstellung werden alle Verzeichnisse und Dateien überwacht, die sich in der Verzeichnisstruktur unterhalb des Objektes befinden. Wenn Sie nur das Objekt selbst und seinen direkten Inhalt überwachen wollen, aktivieren Sie das Kontrollfeld ÜBERWACHUNGSEINTRÄGE NUR FÜR OBJEKTE UND/ODER CONTAINER DIESES CONTAINERS ÜBERNEHMEN. Klicken Sie auf OK und anschließend im Dialogfenster ZUGRIFFSEINSTELLUNGEN FÜR... auf ÜBERNEHMEN und auf OK. Wenn Sie keine Überwachungsrichtlinie eingerichtet hatten, werden Sie darauf hingewiesen, dies zu tun, bevor die Überwachung in Kraft treten kann. Zu überwachende Ereignisse auswählen

142

Dateien und Verzeichnisse freigeben

12

Notizen

143