In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

BiG-Manager unter Microsoft Windows

Werbung 
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Aktualisierungen dieses Artikels
18.04.2006
25.04.2006
05.02.2007
07.02.2007
12.02.2007
Hinweise zu BiG-Manager®
BiG-Manager ® ist eine Anwendung, die ausschließlich auf Microsoft Office Access 2003 basiert. Es werden ausschließlich
Microsoft-Komponenten verwendet. Lediglich für die Datenkomprimierung werden zwei ActiveX-Komponenten des Produkts
Dynazip Max Secure 6.0 (Inner Media, USA) verwendet. Alle BiG-Manager-Funktionalitäten basieren auf Microsoft VBAProjekten. Die GEWIDOR GmbH hat das Produkt Visual Studio Tools für Microsoft Office System Version 2003 käuflich
erworben. Mit dem Erwerb ist das Recht verbunden, Microsoft Office Access 2003 Runtime lizenzgebührenfrei an Kunden
weiterzugeben.
Vorbemerkungen
Für Computerbenutzer in Unternehmen werden Rechte vergeben, die grundsätzlich Verantwortlichkeiten und
Informationsbereitstellung im IT-Bereich abbilden sollen. Datenschutzrichtlinien, Zuständigkeitsbereiche und
Sicherheitsbedürfnisse sind bei der Vergabe von Benutzerrechten zu berücksichtigen.
Mit dem Jahresabschlussentwicklungssystem BiG-Manager werden Jahresabschlüsse von Firmen durch sie selbst oder von
Wirtschaftsprüfern oder Steuerberatern bearbeitet.
Jahresabschlüsse enthalten schutzwürdige Daten und müssen daher geeigneten Berechtigungskonzepten
unterworfen werden. Im Bereich der Wirtschaftsprüfung und Steuerberatung sind die
‚Gesetzlichen Bestimmungen über die Verschwiegenheitspflicht der wirtschaftsprüfenden und steuerberatenden Berufe’ zu
berücksichtigen. In Industrieunternehmen gelten die gesetzlichen Datenschutzbestimmungen und intern von
der Geschäftsleitung implementierte Sicherheits- und Datenschutzrichtlinien.
Im folgenden Artikel sollen die Realisierungsmöglichkeiten solcher Richtlinien in den unten angegebenen Bereichen erläutert
werden. Der Artikel soll auch dazu dienen, Probleme bei fehlenden Zugriffsrechten zu beseitigen.
Betriebssystem
Anwendung
Sonstiges
Benutzerkonten unter Microsoft
Windows XP
und
Microsoft Windows Vista
Einstellungen in der Anwendung
BiG-Manager
In diesem Artikel nicht behandelt:
Verwendung starker Kennwörter
Smart-Cards, lokale Firewall
Virenscanner mit AutoProtect
Help Center der GEWIDOR GmbH
Allgemeingültige Empfehlungen zu Konfigurationen des Betriebssystems und der Anwendung können nicht
gegeben werden. Stattdessen sollen Einstellungsvorschläge gemacht werden abhängig von der Rolle eines
Mitarbeiters im Betrieb und dessen technischen Kenntnissen.
Hinweise
Jedes zwingende Sicherheitskonzept schränkt die Flexibilität ein bei der Reaktion auf unerwartete technische Probleme. U. U.
ist die Lösung von Problemen über telefonischen Support nicht möglich, da der Mitarbeiter keine ausreichenden
Benutzerrechte besitzt, um den Anweisungen des Supportmitarbeiters zu folgen.
Darüber hinaus werden alle implementierten Sicherheitskonzepte Lücken aufweisen, die nur durch verantwortungsvolle
Mitarbeiter mit sicherheitstechnischem Grundwissen geschlossen werden können. Die Durchsetzung eines Sicherheitskonzepts
ist außerdem mit zusätzlichem Zeitaufwand verbunden.
Weiterführende Informationen finden Sie unter den folgenden Links:
Standardgruppen (Microsoft)
Gruppendefinitionen
Sicherheitsrichtlinien (Microsoft)
Richtlinien auf Benutzerkontenebene
UAC (User Account Control) unter Windows Vista
Neuerungen auf Benutzerkontenebene
Benutzerkontenschutz
Übersicht über Neuerungen bei Benutzerkonten
Mark Heitbrink, Regensburg
Gruppenrichtlinien, u. v. a. m.
http://www.gewidor-gmbh.de/OnlineSupport
Informationen zur Sicherheit beim Online Support
Microsoft Office, Microsoft Windows u. a. Microsoft Produkte sind eingetragene Warenzeichen der Microsoft Corporation in den
USA und/oder anderen Ländern. BiG-Manager ist ein eingetragenes Warenzeichen der GEWIDOR GmbH, Leverkusen.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
1 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Benutzerkonten
Microsoft Windows Vista
Die folgenden Informationen beziehen sich auf die Installation von Anwendungen im Ordner
Programme (Program Files) und die Auswirkungen von Benutzerrechten auf die Verwendung der
Anwendungen unter Microsoft Windows XP und Microsoft Windows Vista.
Das Konzept des Benutzerkontos mit den wenigsten Rechten bzw. ein Standardbenutzerkonto ist schon seit vielen Jahren
ein Teil von Windows. Das Arbeiten mit dem Betriebssystem Windows als Standardbenutzer gestaltet sich schon seit jeher
schwierig. Standardbenutzer können weder Software installieren noch deinstallieren, noch Sicherheitseinstellungen ändern
oder scheinbar harmlose Aufgaben wie das Anpassen der Energiespareinstellungen des Rechners oder der Zeitzone
ausführen.
Überdies erfordern viele Softwareanwendungen, die im Laufe des vergangenen Jahrzehnts geschrieben wurden, zur
Ausführung administrative Berechtigungen, da sie auf geschützte Verzeichnisse und Registrierungsschlüssel zugreifen, wie
beispielsweise C:\Programme, C:\Windows oder HKEY_Local_Machine. Anwender, die aus Gründen der Sicherheit,
Windows XP oder frühere Versionen von Windows nur mit Standardbenutzerkonten ausführen wollten, stellten schnell fest,
dass dies schwer durchzuführen war.
Daher waren die meisten Anwender von Windows XP oder früheren Versionen Mitglieder der Administratorgruppe. Das stellt
ein Problem dar, weil durch vollen Zugriff auf ein Rechnersystem seitens des Anwenders auch jede Anwendung und jeder
Dienst auf diesem Rechner denselben Zugriff erhält. Wenn ein Computer durch Schadcode geschädigt wird, hat der
schädigende Programmcode ebenfalls vollständigen Zugriff. Das ist einer der Hauptgründe, dass Windows-Rechner seit
langem schon für externe Angriffe anfällig sind. Außerdem werden dadurch auch einschlägige Datenschutzgesetze
missachtet, was u. U. auch juristische Konsequenzen nach sich zieht.
Um die Auswirkungen schädigender Programme zu reduzieren, verfügt Windows Vista über ein neues Sicherheitsmodell, die
Benutzerkontenverwaltung (User Account Control, UAC), das im Vergleich zur traditionellen Rechteverwaltung eine
bedeutende Veränderung darstellt und fast jeden Windows-Anwender betrifft. Die Benutzerkontenverwaltung wurde
entwickelt, um das Arbeiten des Benutzers mit den geringsten Rechten, nämlich des Standardbenutzers, zu erleichtern und so
letztendlich das Risiko zu reduzieren.
Mit UAC führen alle Nutzer von Windows Vista, auch diejenigen mit administrativen Rechten, gängige Aufgaben am PC
als Standardbenutzer durch. Das Standardbenutzerkonto unter Windows Vista wird auch weiterhin keine administrativen
Rechte haben, was verhindert, dass schädigende Programme, die unabsichtlich durch ein solches Konto heruntergeladen
wurde, sich unbemerkt auf dem Rechner installiert. Schädigende Programme, die auf irgendeine Weise auf einen Rechner
gelangen, können nicht auf geschützte Verzeichnisse oder Registrierungseinträge zugreifen.
Soll eine Aufgabe ausgeführt werden, die administrative Rechte erfordert, beispielsweise die Installation von Software oder
eine Statusänderung der Windows-Firewall, fordert Windows Vista den Anwender ausdrücklich dazu auf, eine Zustimmung
oder eine Berechtigung anzugeben, bevor zeitweise der Status des Anwenders auf Administrator geändert wird, um diese
bestimmte Aufgabe ausführen zu können. Für einen Standardbenutzer bedeutet das, dass er einen Benutzernamen und ein
Kennwort eines Mitglieds der Administratorgruppe eingeben muss.
Falls der Anwender bereits als
Administrator registriert ist, muss er
lediglich auf die Schaltfläche
„Fortsetzen“ (hier Continue) klicken,
um weiter arbeiten zu können.
Standardbenutzer müssen in einem
ähnlich gestalteten Dialog
Benutzernamen und ein Kennwort eines
Mitglieds der Administratorgruppe
eingeben.
Die Dialoge zu Benutzerkonto und Berechtigungen liefern Informationen zum Programm oder Ablauf, durch das bzw. durch
den die Sicherheit des Rechners beeinflusst werden könnte. Diese UAC-Dialoge sind ein effektiver Weg, um:
dem Anwender zu zeigen, welche Aufgaben administrative Rechte erfordern
den Anwender daran zu hindern, versehentlich die Computersicherheit zu minimieren
Standardbenutzern zeitweilig die Ausführung von administrativen Aufgaben zu gestatten, wenn sie die ausdrückliche
Zustimmung des Administrators und die entsprechenden Berechtigungen haben
In früheren Versionen von Windows war es für einen Anwender ohne administrative Rechte unverständlich, welche
Aktionen er ausführen durfte. In Windows Vista wird ein spezielles Symbol verwendet. Das „Schild“ auf einer
Schaltfläche zeigt, dass diese Aufgaben administrative Rechte benötigen.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
2 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Virtualisierung unter Microsoft Windows Vista
Viele ältere Windows-Anwendungen setzen einen Zugriff auf Teile des Dateisystems und der Registrierung voraus, die nun
unter Windows Vista gesperrt sind. Eine Vielzahl dieser Anwendungen wird nicht sofort aktualisiert. Allerdings bietet Microsoft
eine interessante Lösung in Windows Vista, um die Abwärtskompatibilität zu gewährleisten, damit auch ältere Software
weiterhin ausgeführt werden kann.
Falls diese älteren Anwendungen versuchen, ohne entsprechende Erlaubnis auf geschützte Bereiche des Dateisystems und
der Registrierungsdatei zuzugreifen, lenken UAC-Virtualisierungsdienste Schreib- und Leseoperationen von geschützten
Bereichen des Dateisystems und der Registrierungsdatei vom Anwender unbemerkt zu ungeschützten
benutzerspezifischen Orten um. Dieser Prozess ist auch für ältere Software transparent und wird automatisch
durchgeführt.
Als Beispiel soll die Microsoft Office Access 2003 basierte Anwendung BiG-Manager dienen, mit der unter Angabe des
Datenbankstandortes C:\Programme versucht wird, Mandantendatenbanken zu verwalten.
Wird z. B. die Datenbank 9999980 BiG-GmbH Leverkusen auf dem Datenbankstandort C:\Programme angelegt, erwartet der
Benutzer Mandantendaten unter C:\Program Files\japman\dat\9999980....
Dies ist unter Windows XP auch tatsächlich der Fall.
Windows Vista stellt jedoch automatisch fest, dass der Anwender keine ausreichende Berechtigung hat, die Datei dort zu
speichern. Windows Vista legt dann die Beispieldaten an in
C:\Benutzer\<Konto>\AppData\Local\VirtualStore\Program Files\<Anwendungsordner\...
Windows Vista erlaubt dann die Fortsetzung des Schreibvorgangs in der neuen Datei im Ordner VirtualStore. Für spätere
Schreib- und Leseoperationen wird dann immer die Kopie der Datei im Ordner „VirtualStore“ verwendet. Für die Anwendung
scheint die Datei weiterhin im Ordner ‚Programme’ gespeichert zu sein.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
3 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
In den meisten Fällen reicht diese Lösung, sie ist allerdings nicht perfekt.
Daten, auf die für die Anwendung ein globaler Zugriff möglich scheint, stehen jetzt nur noch dem
angemeldeten Benutzer zur Verfügung und sind für andere Anwendungen und Benutzer unsichtbar.
Manche Anwendungen erkennen die eine Datei und manche die andere. Wenn die Applikation später versucht, die
Mandantendaten zu löschen, scheint das Löschen erfolgreich gewesen zu sein. Allerdings existiert die Datei weiterhin im
Verzeichnis ‚Programme’ und ist noch für die Anwendung sichtbar. Versucht die Anwendung, die Datei erneut zu löschen, wird
eine Fehlermeldung ‚Zugriff verweigert’ ausgegeben.
Außer der virtuellen Speicherung von Mandantendaten wird die Virtualisierung auch für installierte Lizenzen von BiG-Manager
ausgeführt, wenn der Installationsort der Ordner ‚Programme’ ist. Dies bedeutet, dass anderen Benutzern, die BiG-Manager
starten, bereits installierte Lizenzen nicht zur Verfügung stehen.
Obgleich die meisten älteren Anwendungen mit der Virtualisierung ausgeführt werden, ist sie keine langfristige Lösung.
Microsoft hat bereits darauf hingewiesen, dass man sich nicht darauf verlassen sollte, dass die Virtualisierung in einer
Windows-Version nach Vista noch implementiert sein wird.
Systemverhalten bei Installation in einem Unterordner des Ordners Programme
Mit administrativen
Rechten wurde BiGManager im Ordner
c:\program files\common
files installiert.
Ein gewöhnlicher
Benutzer ohne
administrative Rechte
wird die Fehlermeldung
[Lizenzüberprüfung]
Die Datenbank kann nicht
exklusiv geöffnet werden.
Mögliche Ursachen…
kein Vollzugriff auf dem
Installationsordner von
BiG-Manager
erhalten.
Unter Windows Vista
müssen Administratoren
solchen Benutzern den
Vollzugriff auf den
Ordner
C:\program
Files\common
files\japman
erteilen.
Die Berechtigungen
wurden hier für jeden
Benutzer erteilt und sind
im Windows Explorer
durch das Symbol für
gemeinesame Nutzung
und eine entsprechende
Beschreibung im
Detailfenster (unten)
erkennbar.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
4 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Erteilung des Vollzugriffs für Benutzer
Die Zuordnung von Berechtigungen (hier Vollzugriff) für Benutzer des Computers muss mit
administrativen Rechten VOR der Installation von Lizenzen erfolgen.
Erfolgt sie erst später, wird die Lizenzinstallation bereits in virtualisierten Ordnern des
installierenden Benutzers erfolgen.
So erteilen Sie den Benutzern des Computers unter Windows Vista Vollzugriff auf den Ordner JAPMAN:
Öffnen Sie den Windows Explorer.
Klicken Sie mit der rechten Maustaste auf den Ordner
C:\Programme\JAPMAN.
Wählen Sie Eigenschaften.
Wählen Sie das Register Sicherheit.
Klicken Sie auf Bearbeiten.
Im Dialog
Berechtigungen für JAPMAN
wählen Sie den Benutzer aus.
Aktivieren Sie
Vollzugriff
in der Spalte ‚Zulassen’.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
5 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Zusammenfassung
Mit Microsoft Windows Vista wurden Kernfunktionalitäten des Benutzerkontenschutzes
geändert. Die Zuweisung administrativer Rechte zu Benutzern eines Computers löst gewisse
Zugriffsprobleme nicht mehr, wenn die Anwendung im besonders geschützten Ordner
‚Programme’ oder einem Unterordner installiert wurde.
Die GEWIDOR GmbH empfiehlt, die Anwendung BiG-Manager NICHT im geschützten Ordner
Programme zu installieren, da spezielle Berechtigungen eingerichtet werden müssen. Die
Installation im Ordner Programme bringt aus Sicht des Benutzerkontenschutzes keinerlei
Vorteile, da, unabhängig vom Installationsort, in jedem Falle Vollzugriff für den
Installationsordner JAPMAN für Benutzer von BiG-Manager bestehen muss.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
6 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Microsoft Windows XP
Auf einem lokalen Computer
erhalten Sie möglicherweise
die nebenstehende
Fehlermeldung.
Sie tritt auf, wenn ein
Mitarbeiter der
Gruppe ‚Benutzer’
angehört und die Anwendung
im
Ordner ‚Programme’
installiert wurde.
Die Gruppe ‚Benutzer’ (limited User) ist unter Microsoft Windows eine Standardgruppe im Active-DirectoryContainer ‚Vordefiniert’ (=BuiltIn). Microsoft beschreibt diese Gruppe wie folgt:
Gruppe
Beschreibung
Standardbenutzerrechte
Benutzer
Mitglieder dieser Gruppe können die meisten allgemeinen Aufgaben
durchführen, wie z. B. das Ausführen von Anwendungen, das Verwenden
von lokalen und Netzwerkdruckern sowie das Sperren des Servers. Die
Gruppen Domänen-Benutzer, Authentifizierte Benutzer und
Interaktiv sind standardmäßig Mitglieder dieser Gruppe. Daher wird jedes
in der Domäne erstellte Benutzerkonto Mitglied dieser Gruppe.
Keine Standardbenutzerrechte.
Was darf ein Benutzer eines Computers nicht, jedoch der Standardbenutzer?
Ändern von Rechten im Ordner Programme
BiG-Manager muss in einem anderen Ordner installiert
werden oder der Administrator muss dem Benutzer
Vollzugriff im Ordner Programme zuordnen
Ergänzend ist hier hinzuzufügen, dass im Ordner Programme für Benutzer kein Vollzugriff vorgesehen ist.
Ändern von Rechten in diversen Unterschlüsseln von
HKEY_LOCAL_MACHINE \Software
BiG-Manager kann von einem Benutzer nicht installiert
werden.
Ein Benutzer kann jedoch Service Packs installieren.
Erstellen und Löschen von Nicht-Administrativen Freigaben
Erstellen, verwalten, löschen und freigeben von lokalen
Druckern
Schreibzugriff auf den meisten Systemverzeichnissen, inkl.
%windir% und %windir%\system32.
Veränderung der Systemzeit (per Default)
Erstellen von lokalen Gruppen und Benutzern
Veränderung von Gruppen und Benutzern, die sie selber
erstellt haben
Stoppen und starten von Diensten, die nicht automatisch
gestartet werden
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
7 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Eigenschaften von Benutzern unter Microsoft Windows XP
Benutzer haben per Design eingeschränkte Berechtigungen. BiG-Manager verlangt jedoch die
nachfolgend beschriebenen Rechte, um installiert und anschließend verwendet werden zu können.
Der Registrierungsschlüssel
GEWIDOR GmbH Leverkusen
wird bei Installation der
Anwendung BiG-Manager
erzeugt.
Ein Benutzer besitzt die
Berechtigung für den
Ordner
HKEY_LOCAL_MACHINE\
Software
nicht und kann daher die
Anwendung
nicht installieren,
nicht reparieren und
nicht entfernen.
Der Registrierungsordner
HKEY_CURRENT_USER\
Software\
VB and VBA Program
Settings
ist der von Microsoft
empfohlene Ordner, um
anwendungsspezifische
Daten zu speichern.
Ein Benutzer hat
Vollzugriff
auf diesen Ordner.
BiG-Manager verwaltet in
diesem Ordner diverse
Einstellungen, die der
Benutzer im Startprogramm
angegeben hat.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
8 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Anwendungen müssen i. d. R. mit administrativen Rechten installiert werden. Sehen wir einmal von der Installation ab,
müssen noch Berechtigungen zur Verwendung der Software eingeräumt werden.
Diese Berechtigungen beziehen sich auf das Dateisystem, d. h. Ordner und Dateien, auf die der Benutzer Vollzugriff haben
muss.
Wenn die Anwendung im
Ordner
Programme
installiert wurde, muss
dem Benutzer
Vollzugriff
auf den Ordner
JAPMAN
gewährt werden.
Gleiches gilt auch für
andere Installationsorte,
wobei, von speziellen
Berechtigungen
abgesehen, Benutzer den
Vollzugriff bereits besitzen.
Warum ist der Vollzugriff
erforderlich?
Im Ordner JAPMAN werden
Service Packs installiert,
Systemdaten verwaltet,
Ordner zur Laufzeit
generiert und Dateien zur
Laufzeit generiert, gelöscht
und umbenannt. Diese
Operationen auf Ebene des
Dateisystems setzen den
Vollzugriff voraus.
BiG-Manager verwaltet Mandantendatenbanken per Design stets in Unterordnern des Ordners JAPMAN.
Die Verwaltung umfangreicher Datenbestände in Unterordnern des Ordners Programme ist nicht nur unüblich, sondern auch
unzweckmäßig. Anwendungssoftware und damit bearbeitete primäre Datenbestände (hier Mandantendatenbanken und
zugeordnete Microsoft Office-Dokumente) sollten grundsätzlich voneinander getrennt werden.
Geschieht dies nicht, müssen Sie den Ordner Programme aller beteiligten Computer eines PTP-Netzwerkes
freigeben. Beachten Sie auch, dass sich Freigaben mit Vollzugriff auch immer auf Personen übertragen, die Ihren
Computer angreifen wollen.
Empfehlung
Legen Sie (wie dies BiG-Manager standardmäßig
vorschlägt) den Datenbankstandort unter
Freigabe
hier \\primergy2003\data\
Dabei ist ‚Freigabe’ der UNC-Name auf einem FileServer. Daten werden dann unter
\\primergy2003\data\japman\dat
verwaltet, wobei die Ordnerstruktur \japman\dat
automatisch und unveränderbar von BiG-Manager
angehängt wird.
Besitzt Ihr lokaler Computer zwei Festplattenlaufwerke
(z. B. C für Betriebssystem und installierte Software und
D für die Datenhaltung) wählen Sie
D:\DATA
als lokalen Datenbankstandort.
Daten werden dann unter
d:\data\japman\dat
verwaltet
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
Server
Freigabe sys\japman
Arbeitsstation
Festplatten C, D
Gleiches gilt für die Arbeitsstation.
Auch dort sollte die Freigabe D:\DATA
zur Datenverwaltung von BiG-Manager
verwendet werden. In einem PTPNetzwerk muss dann DATA und nicht die
gesamte Festplatte D für andere
Benutzer freigegeben werden.
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
9 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Zusammenfassung
Vor- und Nachteil der Zuordnung eines Mitarbeiters zur Gruppe ‚Benutzer’:
Vorteil
Nachteile
Starke Einschränkung der Rechte bzgl. Veränderung
relevanter Einstellungen des Computers gemäß dem
Prinzip der geringsten Rechte
(LUA, Least-Privileged User Account)
Problembeseitigung i. d. R. nur durch Administrator
möglich
Telefonischer Support im ‚Vor-Ort’-Einsatz’ bei
Konfigurationsproblemen nicht möglich
Probleme, die andere Anwendungen verursachen
können, wenn sie spezielle Berechtigungen
voraussetzen (im Einzelfall zu überprüfen)
Anmerkungen (Quelle Microsoft TechNet)
Es gehört zu den Binsenweisheiten der Netzwerkverwaltung, dass sich Nutzbarkeit und Sicherheit gegenseitig aufheben,
und dass eine erhöhte Sicherheit die Nutzbarkeit verringert.
Hinweis
Wichtig ist zu beachten, dass es sich bei der Nutzbarkeit um Benutzerfreundlichkeit, nicht jedoch um die Möglichkeit der
Benutzer handelt, an ihren Computern jede beliebige Änderung vorzunehmen.
Der LUA-Ansatz hindert die Benutzer an der Administration ihrer Computer, nicht jedoch an deren Verwendung. Das
Entfernen der Administratorrechte schafft produktivere Benutzer, das diese weniger von der Arbeit abgelenkt werden und
weniger Möglichkeiten haben, ihre Computer falsch zu konfigurieren.
Wenn den Benutzern jedoch eine Konfigurationsoption angezeigt wird, die sie nicht ändern können, führt dies
möglicherweise zu einer gewissen Unzufriedenheit und vermehrten Anrufen beim Helpdesk. Mithilfe der Gruppenrichtlinie
können Sie Elemente der Windows-Oberfläche für die Benutzer ausblenden. Wenn den Benutzern lediglich die Optionen
angezeigt werden, die sie ändern können, erscheinen die Konfigurationseinschränkungen weitaus weniger ärgerlich. Wenn
der LUA-Ansatz gemeinsam mit der Gruppenrichtlinie implementiert wird, können Sie eine vereinfachte Oberfläche
erstellen, auf der lediglich die vom Benutzer anpassbaren Konfigurationsoptionen angezeigt werden.
Beim Department of Defense Trusted Computer System Evaluation Criteria, (DOD-5200.28-STD), auch als Orange Book
bekannt, handelt es sich um einen anerkannten Standard für die Computersicherheit. In dieser Publikation wird das
geringste Recht als Prinzip definiert, das erfordert, dass jedem Subjekt in einem System die geringst möglichen
Berechtigungen (oder niedrigsten Freigaben) zugewiesen werden, die für die Leistung der autorisierten Aufgaben
erforderlich sind. Das Anwenden dieses Prinzips schränkt den Schaden ein, der durch ein Versehen, einen Fehler oder die
nicht autorisierte Verwendung entstehen kann”.
Es ist wichtig, den Unterschied zwischen Rechten und Berechtigungen zu kennen. Rechte definieren die Aufgaben,
die ein Benutzer auf einem Computer ausführen kann, während Berechtigungen definieren, was ein Benutzer mit
einem Objekt auf einem Computer durchführen kann. Daher benötigt ein Benutzer das Recht zum Herunterfahren
des Computers und die Berechtigung für den Zugriff auf eine Datei.
Die jüngsten Fortschritte der Netzwerktechnologien, bspw. die permanente Verbindung zum Internet, bieten
Organisationen aller Größen erhebliche Vorteile. Leider vergrößert eine Verbindung zwischen einem Computer und einem
Netzwerk, insbesondere dem Internet, das Risiko böswilliger Software- sowie externer Angriffe. Während noch alte Risiken
verwaltet werden, werden neue entdeckt oder entwickelt.
Das Internetsicherheitsunternehmen Sophos hat ermittelt, dass die Anzahl entdeckter böswilliger Programme von 45.879
im November 1999 auf 114.082 im November 2005 angewachsen ist. Dies bedeutet eine jährliche Steigerung von
mindestens 10 Prozent. Im November 2005 entdeckte Sophos mehr als 1.900 neue Beispiele für böswillige Software, wie
z. B. Viren, Trojaner und Spyware-Programme. Andere Antivirenanbieter melden ähnliche Zuwächse der Anzahl und Arten
von böswilliger Software.
Wenn den Benutzern auf den Clientcomputern Administratorrechte eingeräumt werden, vergrößert dies das
Risiko durch böswillige Software beträchtlich. Wenn ein Benutzer oder Administrator sich mit
Administratorrechten anmeldet, verfügen auch die jeweils ausgeführten Programme (z. B. Browser, E-MailClients und Instant Messaging-Programme) ebenfalls über Administratorrechte. Wenn diese Programme
böswillige Software aktivieren, kann diese sich selbst installieren, Dienste (wie z. B. Antivirenprogramme)
verändern und sich sogar vor dem Betriebssystem verbergen. Benutzer können böswillige Software
unabsichtlich und ohne Kenntnis ausführen, indem sie beispielsweise eine gefährdete Website besuchen oder
auf eine Verknüpfung in einer E-Mail klicken.
Böswillige Software stellt für Organisationen vielfältige Gefährdungen dar, die vom Abfangen der Anmeldeinformationen
eines Benutzers mit einer Tastatureingabenprotokollierung bis zum Erreichen der vollständigen Kontrolle über einen
Computer oder ein gesamtes Netzwerk unter Verwendung eines Rootkits reichen können. Böswillige Software kann dazu
führen, dass auf Websites nicht mehr zugegriffen werden kann, dass Daten zerstört oder beschädigt und dass Festplatten
neu formatiert werden. Dies kann zu zusätzlichen Kosten für das Desinfizieren der Computer, das Wiederherstellen von
Dateien und das erneute Eingeben oder Erstellen von Daten führen. Außerdem können Projektteams durch Virenangriffe
Termine verpassen, was zu Vertragsverletzungen und einem Vertrauensverlust beim Kunden führen kann. Organisationen,
die rechtlichen Verpflichtungen unterliegen, können verurteilt und mit Strafen belegt werden.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
10 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Szenario: Einrichtung eines Benutzers im ActiveDirectory (AD)
Das folgende Beispiel zeigt das Systemverhalten von BiG-Manager nach Einrichtung eines neuen Benutzers im AD unter
Microsoft Windows Server 2003. Dabei wurden die Einstellungen unverändert verwendet, die standardmäßig von Microsoft
beim Anlegen eines Benutzers vorgesehen wurden.
Ort
Active Directory
Aktion
Einrichtung des Benutzers
Arbeitsstation
Systemsteuerung
Benutzerkonten
Hinzufügen
Details, Abbildung, Hinweise
Eigenschaft
Benutzer mit eingeschränktem
Zugriff
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
11 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
Ort
Arbeitsstation
Aktion
Anmeldung als
Benutzer
testuser
Starten der
Lizenzverwaltung
von BiG-Manager
D-51379 Leverkusen.
Review 12.02.2007.
Details, Abbildung, Hinweise
Windows richtet das Benutzerkonto ein
BiG-Manager wurde zu einem früheren Zeitpunkt vom Administrator installiert
Die mit dem Startvorgang ausgeführten Überprüfungen bzgl. der Benutzerrechte
werden fehlerfrei ausgeführt.
Meldungen mit dem Fehlercode [GID xxxx] erscheinen nicht.
1004
1005
1006
[GID 1004 Setup]
Der Installationsort der Anwendung BiG-Manager konnte nicht aus der Registratur
gelesen werden.
(Betrifft HKEY_LOCAL_MACHINE\ Software \Gewidor GmbH Leverkusen)
Die Anwendung ist nicht oder nicht korrekt installiert.
Sie müssen Setup für BiG-Manager erneut ausführen, um das Problem zu beheben.
Es wird empfohlen, BiG-Manager zuvor über 'Systemsteuerung, Software' zu
deinstallieren.
[GID 1005 Benutzerrechte]
Schreibfehler beim Zugriff auf die Windows-Registratur.
(Betrifft: HKEY_CURRENT_USER \Software \VB And VBA Settings \BiGStart)
Sie besitzen wahrscheinlich nicht die notwendigen Benutzerrechte (Vollzugriff auf
den angegebenen Registrierungsordner). Wenden Sie sich an den
Systemadministrator, um das Problem zu beheben.
[GID 1006 Benutzerrechte]
Auf eine benötigte Windows-Systemkomponente (Wscript.Network) konnte nicht
zugegriffen werden.
Mögliche Ursachen:
(1) Das Objekt ist auf diesem Computer nicht korrekt installiert bzw. registriert.
(2) Sie besitzen möglicherweise nicht die notwendigen Benutzerrechte
(Ausführen der Datei 'wshom.ocx' im Windows-Systemordner).
Wenden Sie sich an den Systemadministrator, um das Problem zu beheben.
Starten einer
Lizenz
Die Sicherheitswarnung
erscheint für das
digital signierte
VBA-Projekt BiGManager unter
Windows XP
benutzerbezogen
und muss hier
mit Öffnen
bestätigt
werden.
Wird die Option
‚Dateien von
dieser Quelle
vertrauen’ nicht
aktiviert,
erscheint diese
Meldung bei
jedem
Programmstart.
Standorte für
Datenbanken
Möglicherweise ist der Zugriff auf verbundene Netzlaufwerke unter der
Benutzeranmeldung nicht möglich, da Netzlaufwerkverbindungen von Windows XP
benutzerbezogen verwaltet werden. Hat der Administrator z. B. unter seiner
Anmeldung N als verbundenes Netzlaufwerk definiert, wird der Benutzer testuser
keinen Verbindung herstellen können.
Empfehlung
Um das Problem zu beseitigen sollten Netzwerkverbindungen über UNCNamen eingerichtet werden. Solche Verbindungen gelten für alle Benutzer.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
12 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
Ort
Arbeitsstation
Aktion
Starten der
Aktualisierung
von
Dokumenten
oder Öffnen von
Dokumenten
D-51379 Leverkusen.
Review 12.02.2007.
Details, Abbildung, Hinweise
Möglicherweise startet der Windows-Installer beim Versuch Microsoft Office-Dokumente
zu aktualisieren oder zu öffnen.
MS
Installer
3.1
Installierte
Office
Version
unter
AdminAnmeldung
SKU
gefolgt von
einer
internen
Nummer
von
Microsoft
verweist
auf das
OfficeProdukt
SKU-Nummern können den Microsoft KB-Artikeln entnommen werden.
Dieses Problem ist bekannt und beschrieben
im Microsoft Knowledge Base-Artikel
http://support.microsoft.com/kb/896866/
und im Supportbereich
http://www.gewidor-gmbh.de/Support/XBIGTECS.HTM
der GEWIDOR GmbH (Suchbegriff ‚SKU’).
Weitere
Funktionalitäten
Nach Reparatur der Office-Installation für den Benutzer testuser tritt das Problem nicht
mehr auf.
Alle weiteren Funktionalitäten von BiG-Manager sind fehlerfrei ausführbar.
Zusammenfassung LUA für BiG-Manager
BiG-Manager ist unter einem Standardbenutzerkonto mit der Eigenschaft
‚Eingeschränkter Benutzer’ in vollem Umfang ablauffähig, wenn als Installationsort ein
anderer Ordner als ‚Programme’ verwendet wird.
Unter Berücksichtigung der übrigen Hinweise zur Sicherheit kann das Prinzip der
geringsten Rechte (LUA) für eine BiG-Manager-Installation ohne Einschränkung der
Funktionalitäten der Anwendung angewandt werden.
Entscheidend für die zukünftige Sicherheit ist die Installation der von Microsoft
herausgegebenen Sicherheitsupdates für das Betriebssystem und die Office-Produkte.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
13 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Checkliste für Einstellungen in der Anwendung BiG-Manager
Gehen Sie nach folgender Checkliste vor, um die Anwendung BiG-Manager bzgl. sicherheitsrelevanter Aspekte zu
konfigurieren.
Abkürzungen
HÜ
ÜB
Bereich
Benutzer
Hauptübersicht
Übersicht Bearbeitung
Aktion
Hinweis
Menü
Legen Sie mindestens zwei Benutzer
an.
Wenn Sie nur einen Benutzer
anlegen, wird BiG-Manager stets
eine automatische Anmeldung mit
diesem Benutzer ausführen.
Allgemeingültige Empfehlungen für
die übrigen Rechte können nicht
gemacht werden, da der
Mitarbeiter ein Assistent, ein
Prüfer, ein Prüfungsleiter oder ein
Partner sein kann.
HÜ, Systemdaten
-> Benutzer, Rechte
Im Transaktionsprotokoll werden
relevante Änderungen in der
Datenbank protokolliert. Sie
erlauben z. B. dem Prüfungsleiter
Änderungen nachzuvollziehen.
HÜ, Systemdaten
-> Logbuch
Entfernen Sie mindestens folgende
Rechte für Mitarbeiter:
Benutzereigenschaften
Logbucheinstellung...
Ein-/Ausschalten und
löschen von Einträgen
Prüffelder
Abschlussposten
Protokollierung
Aktivieren Sie die
Transaktionsprotokollierung.
Dateisystem
Die vollständigen Daten einer Firma werden in einem Unterordner des Ordners JAPMAN\DAT verwaltet.
Wie sind diese Daten standardmäßig geschützt und wie lässt sich der Schutz erhöhen?
Bereich
Aktion
Systemverhalten
Menü
Datenbank
Zugriff eines Benutzers auf die
Datenbank über eine Vollversion
von Microsoft Access
Ein solcher Zugriff ist nicht möglich, da
die GEWIDOR GmbH Datenbanken
unter Microsoft Office Access 2003 seit
November 2004 kennwortgeschützt
ausliefert.
entfällt
Datenbank
und
Dokumente
Datenbanken und Dokumente
können auf Dateiebene mit einem
Kennwort geschützt werden.
Einfacher
Schutz
In den Mandantensystemdaten
wird ein Kennwort eingegeben.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Datenbanken, die noch nicht mit
Versionen von BiG-Manager ab 14.01
konvertiert wurden sind ungeschützt.
Datenbanken und Dokumente im
Bearbeitungsordner werden
verschlüsselt gespeichert. Die Daten
können von angemeldeten Benutzern
nur eingesehen und bearbeitet werden,
wenn der Schutz unter Angabe des
Kennwortes aufgehoben wird.
Um auch Daten in Archiven zu
schützen, müssen diese unter Angabe
eines Kennwortes komprimiert werden.
Benutzer müssen das Kennwort bei
Auswahl des Mandanten angeben, um
darauf zugreifen zu können. Auf
Dateisystemebene sind die Dokumente
nicht geschützt.
Gemäß IDW PS 460 ist die
Vertraulichkeit der Arbeitspapiere des
Abschlussprüfers (z. B. in einem
Netzwerk) nur dann gegeben, wenn
geeignete Benutzerrechte auf Ebene
des Dateisystems zugeordnet wurden.
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
HÜ, Mandant
-> Schützen
HÜ, Mandant
-> Mandantensystemdaten
BIGUSERS.DOC
14 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Arbeitsunterbrechung
Wenn Sie Ihre Arbeit vorübergehend unterbrechen wollen, gehen Sie wie folgt vor, um anderen Personen den Zugang zu
schutzwürdigen Daten zu verweigern:
Bei Wiederaufnahme Ihrer
Arbeit verlangt BiG-Manager
eine erneute Anmeldung mit
Ihrem Kennwort..
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
15 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Anhang
Standardgruppen
Quelle Microsoft 21.01.2005
Standardgruppen, wie z. B. die Gruppe Domänen-Admins, sind Sicherheitsgruppen, die beim Erstellen einer
Active Directory-Domäne automatisch erstellt werden. Mithilfe dieser vordefinierten Gruppen können Sie den
Zugriff auf freigegebene Ressourcen steuern und bestimmte domänenweite Verwaltungsfunktionen delegieren.
Informationen zu Standardgruppen, die auf lokalen Computern gespeichert sind, finden Sie unter Lokale
Standardgruppen.
Vielen Standardgruppen werden automatisch Benutzerrechte zugewiesen, die es Mitgliedern der Gruppe
gestatten, bestimmte Aktionen in einer Domäne auszuführen, wie z. B. das Anmelden an einem lokalen System
oder das Sichern von Dateien und Ordnern. Beispielsweise hat ein Mitglied der Gruppe SicherungsOperatoren die Berechtigung, Sicherungsvorgänge für alle Domänencontroller in der Domäne auszuführen.
Wenn Sie einen Benutzer zu einer Gruppe hinzufügen, erhält der Benutzer alle Benutzerrechte, die dieser
Gruppe zugewiesen sind, sowie alle Berechtigungen, die dieser Gruppe in freigegebenen Ressourcen
zugewiesen sind. Weitere Informationen zu Benutzerrechten und -berechtigungen finden Sie unter
Gruppentypen.
Gruppen können mithilfe von Active Directory-Benutzer und -Computer verwaltet werden.
Standardgruppen befinden sich in den Containern:
Container
Darin enthalten
Vordefiniert
Gruppen mit dem Gruppenbereich "Lokale Domäne"
Benutzer
Gruppen mit dem Gruppenbereich "Global" bzw. "Lokale Domäne".
Die Gruppen in diesen Containern können innerhalb der Domäne zwar in andere Gruppen oder Organisationseinheiten, nicht
aber in andere Domänen verschoben werden.
Aus Sicherheitsgründen wird empfohlen, dass Mitglieder von Standardgruppen mit umfassenden
Verwaltungsberechtigungen Ausführen als verwenden, um administrative Aufgaben auszuführen. Weitere
Informationen finden Sie unter Verwenden von "Ausführen als". Informationen zu Sicherheitsempfehlungen finden Sie
unter Active Directory – Empfehlungen. Informationen zu zusätzlichen Sicherheitsmaßnahmen zum Schutz von Active
Directory finden Sie unter Schützen von Active Directory.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
16 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Gruppen im Container "Vordefiniert" (BuiltIn)
Quelle Microsoft 21.01.2005
Die folgende Tabelle beschreibt die Standardgruppen im Container Vordefiniert und listet die den einzelnen Gruppen
zugewiesenen Benutzerrechte auf. Vollständige Beschreibungen der in der Tabelle aufgeführten Benutzerrechte finden Sie
unter Zuweisen von Benutzerrechten. Informationen zum Bearbeiten dieser Rechte finden Sie unter Bearbeiten von
Sicherheitseinstellungen für ein Gruppenrichtlinienobjekt.
Gruppe
Beschreibung
Standardbenutzerrechte
Konten-Operatoren
Mitglieder dieser Gruppe können Konten für
Benutzer, Gruppen und Computer in den
Containern Benutzer oder Computer und den
Organisationseinheiten der Domäne erstellen,
ändern und löschen, mit Ausnahme der
Organisationseinheit Domänen-Controller.
Mitglieder dieser Gruppe dürfen die Gruppe
Administratoren oder Domänen-Admins sowie
die Konten für Mitglieder dieser Gruppen nicht
ändern. Mitglieder dieser Gruppe können sich lokal
an Domänencontrollern in der Domäne anmelden
und diese herunterfahren. Da diese Gruppe
erhebliche Zugriffsrechte in der Domäne besitzt,
sollten Sie beim Hinzufügen von Benutzern mit
Bedacht vorgehen.
Lokal anmelden zulassen; Herunterfahren des
Systems.
Administratoren
Mitglieder dieser Gruppe haben Vollzugriff auf alle
Auf diesen Computer vom Netzwerk
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
17 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Domänencontroller in der Domäne. Standardmäßig
sind die Gruppen Domänen-Admins und
Organisations-Admins Mitglieder der Gruppe
Administratoren. Das Konto Administrator ist
ebenfalls ein Standardmitglied. Da diese Gruppe
Vollzugriff in der Domäne besitzt, sollten Sie beim
Hinzufügen von Benutzern mit Bedacht vorgehen.
zugreifen; Anpassen von
Speicherkontingenten für einen Prozess;
Sichern von Dateien und Verzeichnissen;
Auslassen der durchsuchenden Überprüfung;
Ändern der Systemzeit; Erstellen einer
Auslagerungsdatei; Debuggen von
Programmen; Ermöglichen, dass Computerund Benutzerkonten für Delegierungszwecke
vertraut wird; Erzwingen des Herunterfahrens
von einem Remotesystem; Anheben der
Zeitplanungspriorität; Laden und Entfernen
von Gerätetreibern; Lokal anmelden
zulassen; Verwalten von Überwachungs- und
Sicherheitsprotokollen; Verändern des
Firmwareumgebungswerts; Erstellen eines
Profils für einen Einzelprozess; Erstellen eines
Profils der Systemleistung; Entfernen des
Computers von der Dockingstation;
Wiederherstellen von Dateien und
Verzeichnissen; Herunterfahren des Systems;
Übernehmen des Besitzes von Dateien und
anderen Objekten.
SicherungsOperatoren
Die Mitglieder dieser Gruppe können alle Dateien
auf Domänencontrollern in der Domäne sichern
und wiederherstellen, und zwar unabhängig von
ihren eigenen individuellen Berechtigungen für
diese Dateien. Sicherungs-Operatoren können sich
außerdem an Domänencontrollern anmelden und
diese herunterfahren. Diese Gruppe besitzt keine
Standardmitglieder. Da diese Gruppe erhebliche
Zugriffsrechte auf Domänencontroller besitzt,
sollten Sie beim Hinzufügen von Benutzern mit
Bedacht vorgehen.
Sichern von Dateien und Verzeichnissen;
Lokal anmelden zulassen; Wiederherstellen
von Dateien und Verzeichnissen;
Herunterfahren des Systems.
Gäste
Die Gruppe Domänen-Gäste ist standardmäßig
ein Mitglied dieser Gruppe. Das Konto Gast
(standardmäßig deaktiviert) ist ebenfalls ein
Standardmitglied dieser Gruppe.
Keine Standardbenutzerrechte.
Erstellungen
eingehender
Gesamtstrukturvertrauensstellung
(wird nur in der
GesamtstrukturStammdomäne
angezeigt)
Mitglieder dieser Gruppe können unidirektionale,
eingehende Gesamtstrukturvertrauensstellungen
für die Gesamtstruktur-Stammdomäne erstellen.
Beispielsweise können Mitglieder dieser Gruppe in
der Gesamtstruktur A eine von der
Gesamtstruktur B aus eingehende, unidirektionale
Gesamtstrukturvertrauensstellung erstellen. Diese
ermöglicht Benutzern in der Gesamtstruktur A den
Zugriff auf Ressourcen in der Gesamtstruktur B.
Mitgliedern dieser Gruppe ist die Berechtigung
Eingehende
Gesamtstrukturvertrauensstellung erstellen
für die Gesamtstruktur-Stammdomäne erteilt.
Diese Gruppe besitzt keine Standardmitglieder.
Weitere Informationen zum Erstellen von
Gesamtstrukturvertrauensstellungen finden Sie
unter Erstellen einer
Gesamtstrukturvertrauensstellung.
Keine Standardbenutzerrechte.
NetzwerkkonfigurationsOperatoren
Mitglieder dieser Gruppe können Änderungen an
TCP/IP-Einstellungen vornehmen und TCP/IPAdressen auf Domänencontrollern in der Domäne
erneuern und freigeben. Diese Gruppe besitzt
keine Standardmitglieder.
Keine Standardbenutzerrechte.
Systemmonitorbenutzer
Mitglieder dieser Gruppe können
Leistungsindikatoren auf Domänencontrollern in
der Domäne lokal und von Remoteclients aus
überwachen, ohne Mitglied der Gruppen
Administratoren oder
Leistungsprotokollbenutzer zu sein.
Keine Standardbenutzerrechte.
Leistungsprotokollbenutzer
Mitglieder dieser Gruppe können
Leistungsindikatoren, Protokolle und Warnungen
auf Domänencontrollern in der Domäne lokal und
Keine Standardbenutzerrechte.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
18 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
von Remoteclients aus verwalten, ohne Mitglied
der Gruppe Administratoren zu sein.
Prä-Windows 2000
kompatibler Zugriff
Mitglieder dieser Gruppe haben Lesezugriff auf alle
Benutzer und Gruppen in der Domäne. Diese
Gruppe dient zur Abwärtskompatibilität mit
Computern unter Windows NT 4.0 und früher. Die
Sondergruppe Jeder ist standardmäßig Mitglied
dieser Gruppe. Weitere Informationen zu
Sondergruppen finden Sie unter Sondergruppen.
Fügen Sie zu dieser Gruppe nur Benutzer hinzu,
die Windows NT 4.0 oder früher verwenden.
Auf diesen Computer vom Netzwerk aus
zugreifen; Auslassen der durchsuchenden
Überprüfung.
Druck-Operatoren
Mitglieder dieser Gruppe können Drucker, die mit
Domänencontrollern in der Domäne verbunden
sind, verwalten, einrichten und freigeben. Darüber
hinaus können sie Active Directory-Druckerobjekte
in der Domäne verwalten. Mitglieder dieser Gruppe
können sich lokal an Domänencontrollern in der
Domäne anmelden und diese herunterfahren.
Diese Gruppe besitzt keine Standardmitglieder. Da
Mitglieder dieser Gruppe Gerätetreiber auf allen
Domänencontrollern in der Domäne laden und
entfernen können, sollten Sie beim Hinzufügen von
Benutzern mit Bedacht vorgehen.
Lokal anmelden zulassen; Herunterfahren des
Systems.
Remotedesktopbenutzer
Mitglieder dieser Gruppe können sich remote an
Domänencontrollern in der Domäne anmelden.
Diese Gruppe besitzt keine Standardmitglieder.
Keine Standardbenutzerrechte.
ReplikationsOperator
Diese Gruppe unterstützt Funktionen der
Verzeichnisreplikation und wird vom
Dateireplikationsdienst auf Domänencontrollern in
der Domäne verwendet. Diese Gruppe besitzt
keine Standardmitglieder. Fügen Sie keine
Benutzer zu dieser Gruppe hinzu.
Keine Standardbenutzerrechte.
Server-Operatoren
An Domänencontrollern können sich Mitglieder
dieser Gruppe interaktiv anmelden. Außerdem
können sie freigegebene Ressourcen erstellen und
löschen, bestimmte Dienste starten und beenden,
Dateien sichern und wiederherstellen, die
Festplatte formatieren und den Computer
herunterfahren. Diese Gruppe besitzt keine
Standardmitglieder. Da diese Gruppe erhebliche
Zugriffsrechte auf Domänencontroller besitzt,
sollten Sie beim Hinzufügen von Benutzern mit
Bedacht vorgehen.
Sichern von Dateien und Verzeichnissen;
Ändern der Systemzeit; Erzwingen des
Herunterfahrens von einem Remotesystem
aus; Lokal anmelden zulassen;
Wiederherstellen von Dateien und
Verzeichnissen; Herunterfahren des Systems.
Benutzer
Mitglieder dieser Gruppe können die meisten
allgemeinen Aufgaben durchführen, wie z. B. das
Ausführen von Anwendungen, das Verwenden von
lokalen und Netzwerkdruckern sowie das Sperren
des Servers. Die Gruppen Domänen-Benutzer,
Authentifizierte Benutzer und Interaktiv sind
standardmäßig Mitglieder dieser Gruppe. Daher
wird jedes in der Domäne erstellte Benutzerkonto
Mitglied dieser Gruppe.
Keine Standardbenutzerrechte.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
19 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Gruppen im Container "Benutzer"
Quelle Microsoft 21.01.2005
Die folgende Tabelle beschreibt die Standardgruppen im Container Benutzer und listet die den einzelnen Gruppen
zugewiesenen Benutzerrechte auf. Vollständige Beschreibungen der in der Tabelle aufgeführten Benutzerrechte finden Sie
unter Zuweisen von Benutzerrechten. Informationen zum Bearbeiten dieser Rechte finden Sie unter Bearbeiten von
Sicherheitseinstellungen für ein Gruppenrichtlinienobjekt.
Beschreibung
Gruppe
Standardbenutzerrechte
Zertifikatherausgeber
Mitglieder dieser Gruppe dürfen Zertifikate
für Benutzer und Computer veröffentlichen.
Diese Gruppe besitzt keine
Standardmitglieder.
Keine Standardbenutzerrechte.
DnsAdmins (wird mit DNS
installiert)
Mitglieder dieser Gruppe haben
Administratorzugriff auf den DNSServerdienst. Diese Gruppe besitzt keine
Standardmitglieder.
Keine Standardbenutzerrechte.
DnsUpdateProxy (wird
mit DNS installiert)
Die Mitglieder dieser Gruppe sind DNSClients, die dynamische Updates im Auftrag
von anderen Clients, wie z. B. DHCPServern, ausführen können. Diese Gruppe
besitzt keine Standardmitglieder.
Keine Standardbenutzerrechte.
Domänen-Admins
Mitglieder dieser Gruppe haben Vollzugriff
auf die Domäne. Diese Gruppe ist
standardmäßig ein Mitglied der Gruppe
Administratoren auf allen
Domänencontrollern, allen
Domänenarbeitsstationen und allen
Domänenmitgliedsservern, wenn diese der
Domäne hinzugefügt werden. Das Konto
Administrator ist standardmäßig Mitglied
dieser Gruppe. Da diese Gruppe Vollzugriff
in der Domäne besitzt, sollten Sie beim
Hinzufügen von Benutzern mit Bedacht
vorgehen.
Auf diesen Computer vom Netzwerk
zugreifen; Anpassen von
Speicherkontingenten für einen Prozess;
Sichern von Dateien und Verzeichnissen;
Auslassen der durchsuchenden
Überprüfung; Ändern der Systemzeit;
Erstellen einer Auslagerungsdatei;
Debuggen von Programmen;
Ermöglichen, dass Computer- und
Benutzerkonten für Delegierungszwecke
vertraut wird; Erzwingen des
Herunterfahrens von einem
Remotesystem; Anheben der
Zeitplanungspriorität; Laden und
Entfernen von Gerätetreibern; Lokal
anmelden zulassen; Verwalten von
Überwachungs- und
Sicherheitsprotokollen; Verändern der
Firmwareumgebungswerte; Erstellen
eines Profils für einen Einzelprozess;
Erstellen eines Profils der
Systemleistung; Entfernen des
Computers von der Dockingstation;
Wiederherstellen von Dateien und
Verzeichnissen; Herunterfahren des
Systems; Übernehmen des Besitzes von
Dateien und anderen Objekten.
Domänencomputer
Diese Gruppe enthält alle Arbeitsstationen
und Server, die der Domäne angehören.
Standardmäßig wird jedes erstellte
Computerkonto automatisch Mitglied dieser
Gruppe.
Keine Standardbenutzerrechte.
Domänencontroller
Diese Gruppe enthält alle
Domänencontroller in der Domäne.
Keine Standardbenutzerrechte.
Domänen-Gäste
Diese Gruppe enthält alle Gäste der
Domäne.
Keine Standardbenutzerrechte.
Domänen-Benutzer
Diese Gruppe enthält alle Benutzer der
Domäne. Standardmäßig wird jedes in der
Domäne erstellte Benutzerkonto
automatisch Mitglied dieser Gruppe. Mit
dieser Gruppe können alle Benutzer in der
Domäne repräsentiert werden. Sollen z. B.
Keine Standardbenutzerrechte.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
20 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
alle Benutzer in dieser Domäne Zugriff auf
einen Drucker haben, können Sie dieser
Gruppe Zugriffsberechtigungen für den
Drucker zuweisen (oder die Gruppe
Domänen-Benutzer zu einer lokalen
Gruppe auf dem Druckserver hinzufügen,
die über Berechtigungen für den
Druckerzugriff verfügt).
Organisations-Admins
(wird nur in der
GesamtstrukturStammdomäne
angezeigt)
Mitglieder dieser Gruppe haben Vollzugriff
auf alle Domänen in der Gesamtstruktur.
Diese Gruppe ist standardmäßig Mitglied
der Gruppe Administratoren auf allen
Domänencontrollern in der Gesamtstruktur.
Das Konto Administrator ist
standardmäßig Mitglied dieser Gruppe. Da
diese Gruppe über Vollzugriff auf die
Gesamtstruktur verfügt, sollten Sie beim
Hinzufügen von Benutzern zu der Gruppe
mit Bedacht vorgehen.
Auf diesen Computer vom Netzwerk
zugreifen; Anpassen von
Speicherkontingenten für einen Prozess;
Sichern von Dateien und Verzeichnissen;
Auslassen der durchsuchenden
Überprüfung; Ändern der Systemzeit;
Erstellen einer Auslagerungsdatei;
Debuggen von Programmen;
Ermöglichen, dass Computer- und
Benutzerkonten für Delegierungszwecke
vertraut wird; Erzwingen des
Herunterfahrens von einem
Remotesystem aus; Anheben der
Zeitplanungspriorität; Laden und
Entfernen von Gerätetreibern; Lokal
anmelden zulassen; Verwalten von
Überwachungs- und
Sicherheitsprotokollen; Verändern der
Firmwareumgebungswerte; Erstellen
eines Profils für einen Einzelprozess;
Erstellen eines Profils der
Systemleistung; Entfernen des
Computers von der Dockingstation;
Wiederherstellen von Dateien und
Verzeichnissen; Herunterfahren des
Systems; Übernehmen des Besitzes von
Dateien und anderen Objekten.
Richtlinien-ErstellerBesitzer
Mitglieder dieser Gruppe können
Gruppenrichtlinien in der Domäne ändern.
Das Konto Administrator ist
standardmäßig Mitglied dieser Gruppe. Da
diese Gruppe erhebliche Zugriffsrechte in
der Domäne besitzt, sollten Sie beim
Hinzufügen von Benutzern mit Bedacht
vorgehen.
Keine Standardbenutzerrechte.
IIS_WPG (wird mit IIS
installiert)
Die Gruppe IIS_WPG ist die IIS 6.0Arbeitsprozessgruppe (Internet Information
Services, Internetinformationsdienste). In
IIS 6.0 gibt es Arbeitsprozesse für
bestimmte Namespaces. Beispielsweise gibt
es für den Namespace
www.microsoft.com einen
Arbeitsprozess, der unter einer zur Gruppe
IIS_WPG hinzugefügten Identität
ausgeführt werden kann, wie z. B.
MicrosoftAccount. Diese Gruppe besitzt
keine Standardmitglieder.
Keine Standardbenutzerrechte.
RAS- und IAS-Server
Server in dieser Gruppe haben Zugriff auf
die RAS-Eigenschaften von Benutzern.
Keine Standardbenutzerrechte.
Schema-Admins (wird nur
in der GesamtstrukturStammdomäne
angezeigt)
Mitglieder dieser Gruppe können das Active
Directory-Schema ändern. Das Konto
Administrator ist standardmäßig Mitglied
dieser Gruppe. Da diese Gruppe erhebliche
Zugriffsrechte in der Gesamtstruktur
besitzt, sollten Sie beim Hinzufügen von
Benutzern mit Bedacht vorgehen.
Keine Standardbenutzerrechte.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
21 / 22
Microsoft Windows
Benutzerkontensteuerung und
Einstellungen in der Anwendung BiG-Manager
Technische Hinweise zu Microsoft Windows Vista
D-51379 Leverkusen.
Review 12.02.2007.
Technische Hinweise zu Microsoft Windows Vista
1. Deaktivierung der Benutzerkontensteuerung
So deaktivieren Sie die Benutzerkontensteuerung:
Start
Ausführen
Msconfig
Tools
Benutzerkontensteuerung deaktivieren
2. Anpassung der Darstellung
BiG-Manager verwendet primär den Schrifttyp TAHOMA.
Möglicherweise wird dieser Schrifttyp bei Fettschrift an den Kanten unsauber dargestellt.
So ändern Sie die Darstellung von Bildschirmschriftarten:
Systemsteuerung
Anpassung
Fensterfarbe und –
darstellung
Eigenschaften für
klassische Darstellung
öffnen
Effekte
Folgende Methode zum
Kantenglätten …
Verwenden Sie die
Methode
Standard
statt
Clear Type.
GEWIDOR GmbH Kölner Str. 38
51379 Leverkusen
Tel +49 2171 72040
Fax +49 2171 48665
[email protected]
www.gewidor-gmbh.de
BIGUSERS.DOC
22 / 22
Zugehörige Unterlagen
Als global agierender Hersteller von Antriebskomponenten für
Als global agierender Hersteller von Antriebskomponenten für
Einführung in die Informatik - torei
Einführung in die Informatik - torei
System Engineers
System Engineers
Bewerberbogen kaufmännisch - JOBexpress Bergisch Land GmbH
Bewerberbogen kaufmännisch - JOBexpress Bergisch Land GmbH
Inside Partner Manager - innotec Marketing GmbH
Inside Partner Manager - innotec Marketing GmbH
Produkte und Leistungen solvtec ® IT CAQ
Produkte und Leistungen solvtec ® IT CAQ
Systemvoraussetzungen SQL Server
Systemvoraussetzungen SQL Server
Installation ab 1013
Installation ab 1013
Gesucht! - TU Berlin
Gesucht! - TU Berlin
Technische Rahmenbedingungen
Technische Rahmenbedingungen
OctoWare®TN Gesundheit Kommunalhygiene - Easy
OctoWare®TN Gesundheit Kommunalhygiene - Easy
Gewünschte Technologien Projekt-Übersicht jetzt - Sw
Gewünschte Technologien Projekt-Übersicht jetzt - Sw
Systemanforderungen für MuseumPlus und eMuseumPlus
Systemanforderungen für MuseumPlus und eMuseumPlus
Systemvoraussetzungen standard
Systemvoraussetzungen standard
Document
Document
IT-Voraussetzung 7-1-0-x
IT-Voraussetzung 7-1-0-x
CRM Anwendung SuccessControl Enterprise Version
CRM Anwendung SuccessControl Enterprise Version
E-R-PLUS Systemanforderungen Januar 2016
E-R-PLUS Systemanforderungen Januar 2016
Software-Architekt und –Entwickler Schwerpunkt: Microsoft
Software-Architekt und –Entwickler Schwerpunkt: Microsoft
Technische Daten
Technische Daten
BiG-Manager Professional
BiG-Manager Professional
Herunterladen
Werbung