Benutzerverwaltung - Administrative und nicht administrative Benutzer
Benutzerverwaltung
Windows steuert den Zugriff auf seine Resourcen, Dateisystem, Registry, Drucker usw., mit Hilfe einer eigenständigen Sicherheitsdatenbank. Diese Sicherheitsdatenbank befindet sich entweder in der Registry auf Nicht-Domain Controllern oder in einer Jet (Joint Engine Technology) Datenbank auf Domain Controllern. Den Zugriff auf diese Datenbank steuert der Security Accounts Manager (SAM).
Lokale Nutzerverwaltung - Registry-basierte Nutzerverwaltung
Jeder Nicht-Domain Controller verwaltet Nutzer und Gruppen in der lokalen Nutzerverwaltung. Die dort angelegten Nutzer und Gruppen können nur für die Zugriffssteuerung auf lokale Resourcen, wie Dateisysteme oder Drucker verwendet werden. Es ist nicht möglich lokale Nutzer oder Gruppen an andere Windows PCs im Netzwerk zu exportieren, um diese dann dort für die Zugriffssteuerung auf Resourcen zu benutzen.
Den Export von Nutzern und Gruppen beherrschen nur Domain Controller, welche nur auf Windows Server Installationen eingerichtet werden können.
Active Directory – Datenbank-basierte Nutzerverwaltung
Active Directory ist eine datenbank-basierte Nutzerverwaltung. Active Directory Nutzer und Gruppen können an autorisierte Clients exportiert werden, um auf diesen Clients den Zugriff die Ressourcen, wie z.B. Dateien und Drucker, zu steuern. Ausführliche Informationen über Active Directory finden Sie in der Windows Server 2003 Online Hilfe: Active Directory.
Administrative und nicht administrative Gruppen
Die Benutzerverwaltung unter Windows kann grob in privilegierte (administrative) Gruppen und nicht privilegierte (nicht administrative) Gruppen eingeteilt werden.
Die wichtigsten Gruppen unter Windows sind:
| Lokale Gruppe | Privilegien | Mitglieder |
|---|---|---|
| Administratoren | Mitglieder dieser Gruppe verfügen über Vollzugriff und können Benutzern nach Bedarf Benutzerrechte und Zugriffssteuerungsberechtigungen zuweisen. | Administrator |
| Benutzer | Mitglieder dieser Gruppe können die meisten allgemeinen Aufgaben durchführen, wie z. B. das Ausführen von Anwendungen, das Verwenden von lokalen und Netzwerkdruckern sowie das Sperren des PCs. Benutzer dürfen keine Verzeichnisse freigeben oder lokale Drucker erstellen. | Authentifizierte Benutzer, Interaktiv |
| Gäste | Für Mitglieder dieser Gruppe wird bei der Anmeldung ein temporäres Profil erstellt, das gelöscht wird, wenn das Mitglied sich abmeldet. Das Gastkonto (standardmäßig deaktiviert) ist ebenfalls Standardmitglied dieser Gruppe. | Gast |
| Hauptbenutzer | Mitglieder dieser Gruppe können Benutzerkonten erstellen und anschließend die von ihnen erstellten Konten ändern und löschen. Sie können lokale Gruppen erstellen und anschließend den von ihnen erstellten lokalen Gruppen Benutzer hinzufügen oder aus ihnen entfernen. Sie können darüber hinaus den Gruppen Hauptbenutzer, Benutzer und Gäste Benutzer hinzufügen oder aus ihnen entfernen. Mitglieder können freigegebene Ressourcen erstellen und die von ihnen erstellten freigegebenen Ressourcen verwalten. Sie können nicht den Besitz von Dateien übernehmen, Verzeichnisse sichern oder wiederherstellen, Gerätetreiber laden oder entladen oder Sicherheits- und Überwachungsprotokolle verwalten. | keine |
Administrative Gruppen sind alle Gruppen, deren Mitglieder globale Änderungen am System vornehmen können, dazu zählen:
- Administratoren
- Domänen-Administratoren
- Hauptbenutzer
- Netzwerkkonfigurations-Operatoren
- Sicherungs-Operatoren
Zu nicht administrative Gruppen gehören alle Gruppen, deren Mitglieder keine globalen Änderungen am System vornehmen können. Dies sind u.a.
- Benutzer
- Gäste
Benutzerkonten erhalten ihre Privilegien über die Mitgliedschaft in Gruppen. Dies bedeutet:
Jedes Mitglied der Gruppe Administratoren, erhält über Mitgliedschaft in der Gruppe Administratoren automatisch Vollzugriff auf das System.
Da bei einer Standardinstallation von Windows während des Setups ein Standardbenutzer angelegt wird, welcher in die lokale Administratorengruppe gestellt wird, sind die massiven Sicherheitsprobleme in Windows-Umgebungen nicht verwunderlich.
Hinweise zum sicheren Betrieb von Windows Installationen mit Hilfe der Benutzung von nicht privilegierten Nutzergruppen der Benutzerverwaltung und der Benutzung der nicht privilegierten Programmausführung mit Hilfe von Sofwareeinschränkungen finden Sie unter „Grundregeln für den sicheren Betrieb von Windows-Systemen".