Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Aktualisierungen dieses Artikels 18.04.2006 25.04.2006 05.02.2007 07.02.2007 12.02.2007 Hinweise zu BiG-Manager® BiG-Manager ® ist eine Anwendung, die ausschließlich auf Microsoft Office Access 2003 basiert. Es werden ausschließlich Microsoft-Komponenten verwendet. Lediglich für die Datenkomprimierung werden zwei ActiveX-Komponenten des Produkts Dynazip Max Secure 6.0 (Inner Media, USA) verwendet. Alle BiG-Manager-Funktionalitäten basieren auf Microsoft VBAProjekten. Die GEWIDOR GmbH hat das Produkt Visual Studio Tools für Microsoft Office System Version 2003 käuflich erworben. Mit dem Erwerb ist das Recht verbunden, Microsoft Office Access 2003 Runtime lizenzgebührenfrei an Kunden weiterzugeben. Vorbemerkungen Für Computerbenutzer in Unternehmen werden Rechte vergeben, die grundsätzlich Verantwortlichkeiten und Informationsbereitstellung im IT-Bereich abbilden sollen. Datenschutzrichtlinien, Zuständigkeitsbereiche und Sicherheitsbedürfnisse sind bei der Vergabe von Benutzerrechten zu berücksichtigen. Mit dem Jahresabschlussentwicklungssystem BiG-Manager werden Jahresabschlüsse von Firmen durch sie selbst oder von Wirtschaftsprüfern oder Steuerberatern bearbeitet. Jahresabschlüsse enthalten schutzwürdige Daten und müssen daher geeigneten Berechtigungskonzepten unterworfen werden. Im Bereich der Wirtschaftsprüfung und Steuerberatung sind die ‚Gesetzlichen Bestimmungen über die Verschwiegenheitspflicht der wirtschaftsprüfenden und steuerberatenden Berufe’ zu berücksichtigen. In Industrieunternehmen gelten die gesetzlichen Datenschutzbestimmungen und intern von der Geschäftsleitung implementierte Sicherheits- und Datenschutzrichtlinien. Im folgenden Artikel sollen die Realisierungsmöglichkeiten solcher Richtlinien in den unten angegebenen Bereichen erläutert werden. Der Artikel soll auch dazu dienen, Probleme bei fehlenden Zugriffsrechten zu beseitigen. Betriebssystem Anwendung Sonstiges Benutzerkonten unter Microsoft Windows XP und Microsoft Windows Vista Einstellungen in der Anwendung BiG-Manager In diesem Artikel nicht behandelt: Verwendung starker Kennwörter Smart-Cards, lokale Firewall Virenscanner mit AutoProtect Help Center der GEWIDOR GmbH Allgemeingültige Empfehlungen zu Konfigurationen des Betriebssystems und der Anwendung können nicht gegeben werden. Stattdessen sollen Einstellungsvorschläge gemacht werden abhängig von der Rolle eines Mitarbeiters im Betrieb und dessen technischen Kenntnissen. Hinweise Jedes zwingende Sicherheitskonzept schränkt die Flexibilität ein bei der Reaktion auf unerwartete technische Probleme. U. U. ist die Lösung von Problemen über telefonischen Support nicht möglich, da der Mitarbeiter keine ausreichenden Benutzerrechte besitzt, um den Anweisungen des Supportmitarbeiters zu folgen. Darüber hinaus werden alle implementierten Sicherheitskonzepte Lücken aufweisen, die nur durch verantwortungsvolle Mitarbeiter mit sicherheitstechnischem Grundwissen geschlossen werden können. Die Durchsetzung eines Sicherheitskonzepts ist außerdem mit zusätzlichem Zeitaufwand verbunden. Weiterführende Informationen finden Sie unter den folgenden Links: Standardgruppen (Microsoft) Gruppendefinitionen Sicherheitsrichtlinien (Microsoft) Richtlinien auf Benutzerkontenebene UAC (User Account Control) unter Windows Vista Neuerungen auf Benutzerkontenebene Benutzerkontenschutz Übersicht über Neuerungen bei Benutzerkonten Mark Heitbrink, Regensburg Gruppenrichtlinien, u. v. a. m. http://www.gewidor-gmbh.de/OnlineSupport Informationen zur Sicherheit beim Online Support Microsoft Office, Microsoft Windows u. a. Microsoft Produkte sind eingetragene Warenzeichen der Microsoft Corporation in den USA und/oder anderen Ländern. BiG-Manager ist ein eingetragenes Warenzeichen der GEWIDOR GmbH, Leverkusen. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 1 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Benutzerkonten Microsoft Windows Vista Die folgenden Informationen beziehen sich auf die Installation von Anwendungen im Ordner Programme (Program Files) und die Auswirkungen von Benutzerrechten auf die Verwendung der Anwendungen unter Microsoft Windows XP und Microsoft Windows Vista. Das Konzept des Benutzerkontos mit den wenigsten Rechten bzw. ein Standardbenutzerkonto ist schon seit vielen Jahren ein Teil von Windows. Das Arbeiten mit dem Betriebssystem Windows als Standardbenutzer gestaltet sich schon seit jeher schwierig. Standardbenutzer können weder Software installieren noch deinstallieren, noch Sicherheitseinstellungen ändern oder scheinbar harmlose Aufgaben wie das Anpassen der Energiespareinstellungen des Rechners oder der Zeitzone ausführen. Überdies erfordern viele Softwareanwendungen, die im Laufe des vergangenen Jahrzehnts geschrieben wurden, zur Ausführung administrative Berechtigungen, da sie auf geschützte Verzeichnisse und Registrierungsschlüssel zugreifen, wie beispielsweise C:\Programme, C:\Windows oder HKEY_Local_Machine. Anwender, die aus Gründen der Sicherheit, Windows XP oder frühere Versionen von Windows nur mit Standardbenutzerkonten ausführen wollten, stellten schnell fest, dass dies schwer durchzuführen war. Daher waren die meisten Anwender von Windows XP oder früheren Versionen Mitglieder der Administratorgruppe. Das stellt ein Problem dar, weil durch vollen Zugriff auf ein Rechnersystem seitens des Anwenders auch jede Anwendung und jeder Dienst auf diesem Rechner denselben Zugriff erhält. Wenn ein Computer durch Schadcode geschädigt wird, hat der schädigende Programmcode ebenfalls vollständigen Zugriff. Das ist einer der Hauptgründe, dass Windows-Rechner seit langem schon für externe Angriffe anfällig sind. Außerdem werden dadurch auch einschlägige Datenschutzgesetze missachtet, was u. U. auch juristische Konsequenzen nach sich zieht. Um die Auswirkungen schädigender Programme zu reduzieren, verfügt Windows Vista über ein neues Sicherheitsmodell, die Benutzerkontenverwaltung (User Account Control, UAC), das im Vergleich zur traditionellen Rechteverwaltung eine bedeutende Veränderung darstellt und fast jeden Windows-Anwender betrifft. Die Benutzerkontenverwaltung wurde entwickelt, um das Arbeiten des Benutzers mit den geringsten Rechten, nämlich des Standardbenutzers, zu erleichtern und so letztendlich das Risiko zu reduzieren. Mit UAC führen alle Nutzer von Windows Vista, auch diejenigen mit administrativen Rechten, gängige Aufgaben am PC als Standardbenutzer durch. Das Standardbenutzerkonto unter Windows Vista wird auch weiterhin keine administrativen Rechte haben, was verhindert, dass schädigende Programme, die unabsichtlich durch ein solches Konto heruntergeladen wurde, sich unbemerkt auf dem Rechner installiert. Schädigende Programme, die auf irgendeine Weise auf einen Rechner gelangen, können nicht auf geschützte Verzeichnisse oder Registrierungseinträge zugreifen. Soll eine Aufgabe ausgeführt werden, die administrative Rechte erfordert, beispielsweise die Installation von Software oder eine Statusänderung der Windows-Firewall, fordert Windows Vista den Anwender ausdrücklich dazu auf, eine Zustimmung oder eine Berechtigung anzugeben, bevor zeitweise der Status des Anwenders auf Administrator geändert wird, um diese bestimmte Aufgabe ausführen zu können. Für einen Standardbenutzer bedeutet das, dass er einen Benutzernamen und ein Kennwort eines Mitglieds der Administratorgruppe eingeben muss. Falls der Anwender bereits als Administrator registriert ist, muss er lediglich auf die Schaltfläche „Fortsetzen“ (hier Continue) klicken, um weiter arbeiten zu können. Standardbenutzer müssen in einem ähnlich gestalteten Dialog Benutzernamen und ein Kennwort eines Mitglieds der Administratorgruppe eingeben. Die Dialoge zu Benutzerkonto und Berechtigungen liefern Informationen zum Programm oder Ablauf, durch das bzw. durch den die Sicherheit des Rechners beeinflusst werden könnte. Diese UAC-Dialoge sind ein effektiver Weg, um: dem Anwender zu zeigen, welche Aufgaben administrative Rechte erfordern den Anwender daran zu hindern, versehentlich die Computersicherheit zu minimieren Standardbenutzern zeitweilig die Ausführung von administrativen Aufgaben zu gestatten, wenn sie die ausdrückliche Zustimmung des Administrators und die entsprechenden Berechtigungen haben In früheren Versionen von Windows war es für einen Anwender ohne administrative Rechte unverständlich, welche Aktionen er ausführen durfte. In Windows Vista wird ein spezielles Symbol verwendet. Das „Schild“ auf einer Schaltfläche zeigt, dass diese Aufgaben administrative Rechte benötigen. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 2 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Virtualisierung unter Microsoft Windows Vista Viele ältere Windows-Anwendungen setzen einen Zugriff auf Teile des Dateisystems und der Registrierung voraus, die nun unter Windows Vista gesperrt sind. Eine Vielzahl dieser Anwendungen wird nicht sofort aktualisiert. Allerdings bietet Microsoft eine interessante Lösung in Windows Vista, um die Abwärtskompatibilität zu gewährleisten, damit auch ältere Software weiterhin ausgeführt werden kann. Falls diese älteren Anwendungen versuchen, ohne entsprechende Erlaubnis auf geschützte Bereiche des Dateisystems und der Registrierungsdatei zuzugreifen, lenken UAC-Virtualisierungsdienste Schreib- und Leseoperationen von geschützten Bereichen des Dateisystems und der Registrierungsdatei vom Anwender unbemerkt zu ungeschützten benutzerspezifischen Orten um. Dieser Prozess ist auch für ältere Software transparent und wird automatisch durchgeführt. Als Beispiel soll die Microsoft Office Access 2003 basierte Anwendung BiG-Manager dienen, mit der unter Angabe des Datenbankstandortes C:\Programme versucht wird, Mandantendatenbanken zu verwalten. Wird z. B. die Datenbank 9999980 BiG-GmbH Leverkusen auf dem Datenbankstandort C:\Programme angelegt, erwartet der Benutzer Mandantendaten unter C:\Program Files\japman\dat\9999980.... Dies ist unter Windows XP auch tatsächlich der Fall. Windows Vista stellt jedoch automatisch fest, dass der Anwender keine ausreichende Berechtigung hat, die Datei dort zu speichern. Windows Vista legt dann die Beispieldaten an in C:\Benutzer\<Konto>\AppData\Local\VirtualStore\Program Files\<Anwendungsordner\... Windows Vista erlaubt dann die Fortsetzung des Schreibvorgangs in der neuen Datei im Ordner VirtualStore. Für spätere Schreib- und Leseoperationen wird dann immer die Kopie der Datei im Ordner „VirtualStore“ verwendet. Für die Anwendung scheint die Datei weiterhin im Ordner ‚Programme’ gespeichert zu sein. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 3 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. In den meisten Fällen reicht diese Lösung, sie ist allerdings nicht perfekt. Daten, auf die für die Anwendung ein globaler Zugriff möglich scheint, stehen jetzt nur noch dem angemeldeten Benutzer zur Verfügung und sind für andere Anwendungen und Benutzer unsichtbar. Manche Anwendungen erkennen die eine Datei und manche die andere. Wenn die Applikation später versucht, die Mandantendaten zu löschen, scheint das Löschen erfolgreich gewesen zu sein. Allerdings existiert die Datei weiterhin im Verzeichnis ‚Programme’ und ist noch für die Anwendung sichtbar. Versucht die Anwendung, die Datei erneut zu löschen, wird eine Fehlermeldung ‚Zugriff verweigert’ ausgegeben. Außer der virtuellen Speicherung von Mandantendaten wird die Virtualisierung auch für installierte Lizenzen von BiG-Manager ausgeführt, wenn der Installationsort der Ordner ‚Programme’ ist. Dies bedeutet, dass anderen Benutzern, die BiG-Manager starten, bereits installierte Lizenzen nicht zur Verfügung stehen. Obgleich die meisten älteren Anwendungen mit der Virtualisierung ausgeführt werden, ist sie keine langfristige Lösung. Microsoft hat bereits darauf hingewiesen, dass man sich nicht darauf verlassen sollte, dass die Virtualisierung in einer Windows-Version nach Vista noch implementiert sein wird. Systemverhalten bei Installation in einem Unterordner des Ordners Programme Mit administrativen Rechten wurde BiGManager im Ordner c:\program files\common files installiert. Ein gewöhnlicher Benutzer ohne administrative Rechte wird die Fehlermeldung [Lizenzüberprüfung] Die Datenbank kann nicht exklusiv geöffnet werden. Mögliche Ursachen… kein Vollzugriff auf dem Installationsordner von BiG-Manager erhalten. Unter Windows Vista müssen Administratoren solchen Benutzern den Vollzugriff auf den Ordner C:\program Files\common files\japman erteilen. Die Berechtigungen wurden hier für jeden Benutzer erteilt und sind im Windows Explorer durch das Symbol für gemeinesame Nutzung und eine entsprechende Beschreibung im Detailfenster (unten) erkennbar. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 4 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Erteilung des Vollzugriffs für Benutzer Die Zuordnung von Berechtigungen (hier Vollzugriff) für Benutzer des Computers muss mit administrativen Rechten VOR der Installation von Lizenzen erfolgen. Erfolgt sie erst später, wird die Lizenzinstallation bereits in virtualisierten Ordnern des installierenden Benutzers erfolgen. So erteilen Sie den Benutzern des Computers unter Windows Vista Vollzugriff auf den Ordner JAPMAN: Öffnen Sie den Windows Explorer. Klicken Sie mit der rechten Maustaste auf den Ordner C:\Programme\JAPMAN. Wählen Sie Eigenschaften. Wählen Sie das Register Sicherheit. Klicken Sie auf Bearbeiten. Im Dialog Berechtigungen für JAPMAN wählen Sie den Benutzer aus. Aktivieren Sie Vollzugriff in der Spalte ‚Zulassen’. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 5 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Zusammenfassung Mit Microsoft Windows Vista wurden Kernfunktionalitäten des Benutzerkontenschutzes geändert. Die Zuweisung administrativer Rechte zu Benutzern eines Computers löst gewisse Zugriffsprobleme nicht mehr, wenn die Anwendung im besonders geschützten Ordner ‚Programme’ oder einem Unterordner installiert wurde. Die GEWIDOR GmbH empfiehlt, die Anwendung BiG-Manager NICHT im geschützten Ordner Programme zu installieren, da spezielle Berechtigungen eingerichtet werden müssen. Die Installation im Ordner Programme bringt aus Sicht des Benutzerkontenschutzes keinerlei Vorteile, da, unabhängig vom Installationsort, in jedem Falle Vollzugriff für den Installationsordner JAPMAN für Benutzer von BiG-Manager bestehen muss. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 6 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Microsoft Windows XP Auf einem lokalen Computer erhalten Sie möglicherweise die nebenstehende Fehlermeldung. Sie tritt auf, wenn ein Mitarbeiter der Gruppe ‚Benutzer’ angehört und die Anwendung im Ordner ‚Programme’ installiert wurde. Die Gruppe ‚Benutzer’ (limited User) ist unter Microsoft Windows eine Standardgruppe im Active-DirectoryContainer ‚Vordefiniert’ (=BuiltIn). Microsoft beschreibt diese Gruppe wie folgt: Gruppe Beschreibung Standardbenutzerrechte Benutzer Mitglieder dieser Gruppe können die meisten allgemeinen Aufgaben durchführen, wie z. B. das Ausführen von Anwendungen, das Verwenden von lokalen und Netzwerkdruckern sowie das Sperren des Servers. Die Gruppen Domänen-Benutzer, Authentifizierte Benutzer und Interaktiv sind standardmäßig Mitglieder dieser Gruppe. Daher wird jedes in der Domäne erstellte Benutzerkonto Mitglied dieser Gruppe. Keine Standardbenutzerrechte. Was darf ein Benutzer eines Computers nicht, jedoch der Standardbenutzer? Ändern von Rechten im Ordner Programme BiG-Manager muss in einem anderen Ordner installiert werden oder der Administrator muss dem Benutzer Vollzugriff im Ordner Programme zuordnen Ergänzend ist hier hinzuzufügen, dass im Ordner Programme für Benutzer kein Vollzugriff vorgesehen ist. Ändern von Rechten in diversen Unterschlüsseln von HKEY_LOCAL_MACHINE \Software BiG-Manager kann von einem Benutzer nicht installiert werden. Ein Benutzer kann jedoch Service Packs installieren. Erstellen und Löschen von Nicht-Administrativen Freigaben Erstellen, verwalten, löschen und freigeben von lokalen Druckern Schreibzugriff auf den meisten Systemverzeichnissen, inkl. %windir% und %windir%\system32. Veränderung der Systemzeit (per Default) Erstellen von lokalen Gruppen und Benutzern Veränderung von Gruppen und Benutzern, die sie selber erstellt haben Stoppen und starten von Diensten, die nicht automatisch gestartet werden GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 7 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Eigenschaften von Benutzern unter Microsoft Windows XP Benutzer haben per Design eingeschränkte Berechtigungen. BiG-Manager verlangt jedoch die nachfolgend beschriebenen Rechte, um installiert und anschließend verwendet werden zu können. Der Registrierungsschlüssel GEWIDOR GmbH Leverkusen wird bei Installation der Anwendung BiG-Manager erzeugt. Ein Benutzer besitzt die Berechtigung für den Ordner HKEY_LOCAL_MACHINE\ Software nicht und kann daher die Anwendung nicht installieren, nicht reparieren und nicht entfernen. Der Registrierungsordner HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings ist der von Microsoft empfohlene Ordner, um anwendungsspezifische Daten zu speichern. Ein Benutzer hat Vollzugriff auf diesen Ordner. BiG-Manager verwaltet in diesem Ordner diverse Einstellungen, die der Benutzer im Startprogramm angegeben hat. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 8 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Anwendungen müssen i. d. R. mit administrativen Rechten installiert werden. Sehen wir einmal von der Installation ab, müssen noch Berechtigungen zur Verwendung der Software eingeräumt werden. Diese Berechtigungen beziehen sich auf das Dateisystem, d. h. Ordner und Dateien, auf die der Benutzer Vollzugriff haben muss. Wenn die Anwendung im Ordner Programme installiert wurde, muss dem Benutzer Vollzugriff auf den Ordner JAPMAN gewährt werden. Gleiches gilt auch für andere Installationsorte, wobei, von speziellen Berechtigungen abgesehen, Benutzer den Vollzugriff bereits besitzen. Warum ist der Vollzugriff erforderlich? Im Ordner JAPMAN werden Service Packs installiert, Systemdaten verwaltet, Ordner zur Laufzeit generiert und Dateien zur Laufzeit generiert, gelöscht und umbenannt. Diese Operationen auf Ebene des Dateisystems setzen den Vollzugriff voraus. BiG-Manager verwaltet Mandantendatenbanken per Design stets in Unterordnern des Ordners JAPMAN. Die Verwaltung umfangreicher Datenbestände in Unterordnern des Ordners Programme ist nicht nur unüblich, sondern auch unzweckmäßig. Anwendungssoftware und damit bearbeitete primäre Datenbestände (hier Mandantendatenbanken und zugeordnete Microsoft Office-Dokumente) sollten grundsätzlich voneinander getrennt werden. Geschieht dies nicht, müssen Sie den Ordner Programme aller beteiligten Computer eines PTP-Netzwerkes freigeben. Beachten Sie auch, dass sich Freigaben mit Vollzugriff auch immer auf Personen übertragen, die Ihren Computer angreifen wollen. Empfehlung Legen Sie (wie dies BiG-Manager standardmäßig vorschlägt) den Datenbankstandort unter Freigabe hier \\primergy2003\data\ Dabei ist ‚Freigabe’ der UNC-Name auf einem FileServer. Daten werden dann unter \\primergy2003\data\japman\dat verwaltet, wobei die Ordnerstruktur \japman\dat automatisch und unveränderbar von BiG-Manager angehängt wird. Besitzt Ihr lokaler Computer zwei Festplattenlaufwerke (z. B. C für Betriebssystem und installierte Software und D für die Datenhaltung) wählen Sie D:\DATA als lokalen Datenbankstandort. Daten werden dann unter d:\data\japman\dat verwaltet GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 Server Freigabe sys\japman Arbeitsstation Festplatten C, D Gleiches gilt für die Arbeitsstation. Auch dort sollte die Freigabe D:\DATA zur Datenverwaltung von BiG-Manager verwendet werden. In einem PTPNetzwerk muss dann DATA und nicht die gesamte Festplatte D für andere Benutzer freigegeben werden. [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 9 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Zusammenfassung Vor- und Nachteil der Zuordnung eines Mitarbeiters zur Gruppe ‚Benutzer’: Vorteil Nachteile Starke Einschränkung der Rechte bzgl. Veränderung relevanter Einstellungen des Computers gemäß dem Prinzip der geringsten Rechte (LUA, Least-Privileged User Account) Problembeseitigung i. d. R. nur durch Administrator möglich Telefonischer Support im ‚Vor-Ort’-Einsatz’ bei Konfigurationsproblemen nicht möglich Probleme, die andere Anwendungen verursachen können, wenn sie spezielle Berechtigungen voraussetzen (im Einzelfall zu überprüfen) Anmerkungen (Quelle Microsoft TechNet) Es gehört zu den Binsenweisheiten der Netzwerkverwaltung, dass sich Nutzbarkeit und Sicherheit gegenseitig aufheben, und dass eine erhöhte Sicherheit die Nutzbarkeit verringert. Hinweis Wichtig ist zu beachten, dass es sich bei der Nutzbarkeit um Benutzerfreundlichkeit, nicht jedoch um die Möglichkeit der Benutzer handelt, an ihren Computern jede beliebige Änderung vorzunehmen. Der LUA-Ansatz hindert die Benutzer an der Administration ihrer Computer, nicht jedoch an deren Verwendung. Das Entfernen der Administratorrechte schafft produktivere Benutzer, das diese weniger von der Arbeit abgelenkt werden und weniger Möglichkeiten haben, ihre Computer falsch zu konfigurieren. Wenn den Benutzern jedoch eine Konfigurationsoption angezeigt wird, die sie nicht ändern können, führt dies möglicherweise zu einer gewissen Unzufriedenheit und vermehrten Anrufen beim Helpdesk. Mithilfe der Gruppenrichtlinie können Sie Elemente der Windows-Oberfläche für die Benutzer ausblenden. Wenn den Benutzern lediglich die Optionen angezeigt werden, die sie ändern können, erscheinen die Konfigurationseinschränkungen weitaus weniger ärgerlich. Wenn der LUA-Ansatz gemeinsam mit der Gruppenrichtlinie implementiert wird, können Sie eine vereinfachte Oberfläche erstellen, auf der lediglich die vom Benutzer anpassbaren Konfigurationsoptionen angezeigt werden. Beim Department of Defense Trusted Computer System Evaluation Criteria, (DOD-5200.28-STD), auch als Orange Book bekannt, handelt es sich um einen anerkannten Standard für die Computersicherheit. In dieser Publikation wird das geringste Recht als Prinzip definiert, das erfordert, dass jedem Subjekt in einem System die geringst möglichen Berechtigungen (oder niedrigsten Freigaben) zugewiesen werden, die für die Leistung der autorisierten Aufgaben erforderlich sind. Das Anwenden dieses Prinzips schränkt den Schaden ein, der durch ein Versehen, einen Fehler oder die nicht autorisierte Verwendung entstehen kann”. Es ist wichtig, den Unterschied zwischen Rechten und Berechtigungen zu kennen. Rechte definieren die Aufgaben, die ein Benutzer auf einem Computer ausführen kann, während Berechtigungen definieren, was ein Benutzer mit einem Objekt auf einem Computer durchführen kann. Daher benötigt ein Benutzer das Recht zum Herunterfahren des Computers und die Berechtigung für den Zugriff auf eine Datei. Die jüngsten Fortschritte der Netzwerktechnologien, bspw. die permanente Verbindung zum Internet, bieten Organisationen aller Größen erhebliche Vorteile. Leider vergrößert eine Verbindung zwischen einem Computer und einem Netzwerk, insbesondere dem Internet, das Risiko böswilliger Software- sowie externer Angriffe. Während noch alte Risiken verwaltet werden, werden neue entdeckt oder entwickelt. Das Internetsicherheitsunternehmen Sophos hat ermittelt, dass die Anzahl entdeckter böswilliger Programme von 45.879 im November 1999 auf 114.082 im November 2005 angewachsen ist. Dies bedeutet eine jährliche Steigerung von mindestens 10 Prozent. Im November 2005 entdeckte Sophos mehr als 1.900 neue Beispiele für böswillige Software, wie z. B. Viren, Trojaner und Spyware-Programme. Andere Antivirenanbieter melden ähnliche Zuwächse der Anzahl und Arten von böswilliger Software. Wenn den Benutzern auf den Clientcomputern Administratorrechte eingeräumt werden, vergrößert dies das Risiko durch böswillige Software beträchtlich. Wenn ein Benutzer oder Administrator sich mit Administratorrechten anmeldet, verfügen auch die jeweils ausgeführten Programme (z. B. Browser, E-MailClients und Instant Messaging-Programme) ebenfalls über Administratorrechte. Wenn diese Programme böswillige Software aktivieren, kann diese sich selbst installieren, Dienste (wie z. B. Antivirenprogramme) verändern und sich sogar vor dem Betriebssystem verbergen. Benutzer können böswillige Software unabsichtlich und ohne Kenntnis ausführen, indem sie beispielsweise eine gefährdete Website besuchen oder auf eine Verknüpfung in einer E-Mail klicken. Böswillige Software stellt für Organisationen vielfältige Gefährdungen dar, die vom Abfangen der Anmeldeinformationen eines Benutzers mit einer Tastatureingabenprotokollierung bis zum Erreichen der vollständigen Kontrolle über einen Computer oder ein gesamtes Netzwerk unter Verwendung eines Rootkits reichen können. Böswillige Software kann dazu führen, dass auf Websites nicht mehr zugegriffen werden kann, dass Daten zerstört oder beschädigt und dass Festplatten neu formatiert werden. Dies kann zu zusätzlichen Kosten für das Desinfizieren der Computer, das Wiederherstellen von Dateien und das erneute Eingeben oder Erstellen von Daten führen. Außerdem können Projektteams durch Virenangriffe Termine verpassen, was zu Vertragsverletzungen und einem Vertrauensverlust beim Kunden führen kann. Organisationen, die rechtlichen Verpflichtungen unterliegen, können verurteilt und mit Strafen belegt werden. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 10 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Szenario: Einrichtung eines Benutzers im ActiveDirectory (AD) Das folgende Beispiel zeigt das Systemverhalten von BiG-Manager nach Einrichtung eines neuen Benutzers im AD unter Microsoft Windows Server 2003. Dabei wurden die Einstellungen unverändert verwendet, die standardmäßig von Microsoft beim Anlegen eines Benutzers vorgesehen wurden. Ort Active Directory Aktion Einrichtung des Benutzers Arbeitsstation Systemsteuerung Benutzerkonten Hinzufügen Details, Abbildung, Hinweise Eigenschaft Benutzer mit eingeschränktem Zugriff GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 11 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista Ort Arbeitsstation Aktion Anmeldung als Benutzer testuser Starten der Lizenzverwaltung von BiG-Manager D-51379 Leverkusen. Review 12.02.2007. Details, Abbildung, Hinweise Windows richtet das Benutzerkonto ein BiG-Manager wurde zu einem früheren Zeitpunkt vom Administrator installiert Die mit dem Startvorgang ausgeführten Überprüfungen bzgl. der Benutzerrechte werden fehlerfrei ausgeführt. Meldungen mit dem Fehlercode [GID xxxx] erscheinen nicht. 1004 1005 1006 [GID 1004 Setup] Der Installationsort der Anwendung BiG-Manager konnte nicht aus der Registratur gelesen werden. (Betrifft HKEY_LOCAL_MACHINE\ Software \Gewidor GmbH Leverkusen) Die Anwendung ist nicht oder nicht korrekt installiert. Sie müssen Setup für BiG-Manager erneut ausführen, um das Problem zu beheben. Es wird empfohlen, BiG-Manager zuvor über 'Systemsteuerung, Software' zu deinstallieren. [GID 1005 Benutzerrechte] Schreibfehler beim Zugriff auf die Windows-Registratur. (Betrifft: HKEY_CURRENT_USER \Software \VB And VBA Settings \BiGStart) Sie besitzen wahrscheinlich nicht die notwendigen Benutzerrechte (Vollzugriff auf den angegebenen Registrierungsordner). Wenden Sie sich an den Systemadministrator, um das Problem zu beheben. [GID 1006 Benutzerrechte] Auf eine benötigte Windows-Systemkomponente (Wscript.Network) konnte nicht zugegriffen werden. Mögliche Ursachen: (1) Das Objekt ist auf diesem Computer nicht korrekt installiert bzw. registriert. (2) Sie besitzen möglicherweise nicht die notwendigen Benutzerrechte (Ausführen der Datei 'wshom.ocx' im Windows-Systemordner). Wenden Sie sich an den Systemadministrator, um das Problem zu beheben. Starten einer Lizenz Die Sicherheitswarnung erscheint für das digital signierte VBA-Projekt BiGManager unter Windows XP benutzerbezogen und muss hier mit Öffnen bestätigt werden. Wird die Option ‚Dateien von dieser Quelle vertrauen’ nicht aktiviert, erscheint diese Meldung bei jedem Programmstart. Standorte für Datenbanken Möglicherweise ist der Zugriff auf verbundene Netzlaufwerke unter der Benutzeranmeldung nicht möglich, da Netzlaufwerkverbindungen von Windows XP benutzerbezogen verwaltet werden. Hat der Administrator z. B. unter seiner Anmeldung N als verbundenes Netzlaufwerk definiert, wird der Benutzer testuser keinen Verbindung herstellen können. Empfehlung Um das Problem zu beseitigen sollten Netzwerkverbindungen über UNCNamen eingerichtet werden. Solche Verbindungen gelten für alle Benutzer. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 12 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista Ort Arbeitsstation Aktion Starten der Aktualisierung von Dokumenten oder Öffnen von Dokumenten D-51379 Leverkusen. Review 12.02.2007. Details, Abbildung, Hinweise Möglicherweise startet der Windows-Installer beim Versuch Microsoft Office-Dokumente zu aktualisieren oder zu öffnen. MS Installer 3.1 Installierte Office Version unter AdminAnmeldung SKU gefolgt von einer internen Nummer von Microsoft verweist auf das OfficeProdukt SKU-Nummern können den Microsoft KB-Artikeln entnommen werden. Dieses Problem ist bekannt und beschrieben im Microsoft Knowledge Base-Artikel http://support.microsoft.com/kb/896866/ und im Supportbereich http://www.gewidor-gmbh.de/Support/XBIGTECS.HTM der GEWIDOR GmbH (Suchbegriff ‚SKU’). Weitere Funktionalitäten Nach Reparatur der Office-Installation für den Benutzer testuser tritt das Problem nicht mehr auf. Alle weiteren Funktionalitäten von BiG-Manager sind fehlerfrei ausführbar. Zusammenfassung LUA für BiG-Manager BiG-Manager ist unter einem Standardbenutzerkonto mit der Eigenschaft ‚Eingeschränkter Benutzer’ in vollem Umfang ablauffähig, wenn als Installationsort ein anderer Ordner als ‚Programme’ verwendet wird. Unter Berücksichtigung der übrigen Hinweise zur Sicherheit kann das Prinzip der geringsten Rechte (LUA) für eine BiG-Manager-Installation ohne Einschränkung der Funktionalitäten der Anwendung angewandt werden. Entscheidend für die zukünftige Sicherheit ist die Installation der von Microsoft herausgegebenen Sicherheitsupdates für das Betriebssystem und die Office-Produkte. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 13 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Checkliste für Einstellungen in der Anwendung BiG-Manager Gehen Sie nach folgender Checkliste vor, um die Anwendung BiG-Manager bzgl. sicherheitsrelevanter Aspekte zu konfigurieren. Abkürzungen HÜ ÜB Bereich Benutzer Hauptübersicht Übersicht Bearbeitung Aktion Hinweis Menü Legen Sie mindestens zwei Benutzer an. Wenn Sie nur einen Benutzer anlegen, wird BiG-Manager stets eine automatische Anmeldung mit diesem Benutzer ausführen. Allgemeingültige Empfehlungen für die übrigen Rechte können nicht gemacht werden, da der Mitarbeiter ein Assistent, ein Prüfer, ein Prüfungsleiter oder ein Partner sein kann. HÜ, Systemdaten -> Benutzer, Rechte Im Transaktionsprotokoll werden relevante Änderungen in der Datenbank protokolliert. Sie erlauben z. B. dem Prüfungsleiter Änderungen nachzuvollziehen. HÜ, Systemdaten -> Logbuch Entfernen Sie mindestens folgende Rechte für Mitarbeiter: Benutzereigenschaften Logbucheinstellung... Ein-/Ausschalten und löschen von Einträgen Prüffelder Abschlussposten Protokollierung Aktivieren Sie die Transaktionsprotokollierung. Dateisystem Die vollständigen Daten einer Firma werden in einem Unterordner des Ordners JAPMAN\DAT verwaltet. Wie sind diese Daten standardmäßig geschützt und wie lässt sich der Schutz erhöhen? Bereich Aktion Systemverhalten Menü Datenbank Zugriff eines Benutzers auf die Datenbank über eine Vollversion von Microsoft Access Ein solcher Zugriff ist nicht möglich, da die GEWIDOR GmbH Datenbanken unter Microsoft Office Access 2003 seit November 2004 kennwortgeschützt ausliefert. entfällt Datenbank und Dokumente Datenbanken und Dokumente können auf Dateiebene mit einem Kennwort geschützt werden. Einfacher Schutz In den Mandantensystemdaten wird ein Kennwort eingegeben. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Datenbanken, die noch nicht mit Versionen von BiG-Manager ab 14.01 konvertiert wurden sind ungeschützt. Datenbanken und Dokumente im Bearbeitungsordner werden verschlüsselt gespeichert. Die Daten können von angemeldeten Benutzern nur eingesehen und bearbeitet werden, wenn der Schutz unter Angabe des Kennwortes aufgehoben wird. Um auch Daten in Archiven zu schützen, müssen diese unter Angabe eines Kennwortes komprimiert werden. Benutzer müssen das Kennwort bei Auswahl des Mandanten angeben, um darauf zugreifen zu können. Auf Dateisystemebene sind die Dokumente nicht geschützt. Gemäß IDW PS 460 ist die Vertraulichkeit der Arbeitspapiere des Abschlussprüfers (z. B. in einem Netzwerk) nur dann gegeben, wenn geeignete Benutzerrechte auf Ebene des Dateisystems zugeordnet wurden. Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de HÜ, Mandant -> Schützen HÜ, Mandant -> Mandantensystemdaten BIGUSERS.DOC 14 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Arbeitsunterbrechung Wenn Sie Ihre Arbeit vorübergehend unterbrechen wollen, gehen Sie wie folgt vor, um anderen Personen den Zugang zu schutzwürdigen Daten zu verweigern: Bei Wiederaufnahme Ihrer Arbeit verlangt BiG-Manager eine erneute Anmeldung mit Ihrem Kennwort.. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 15 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Anhang Standardgruppen Quelle Microsoft 21.01.2005 Standardgruppen, wie z. B. die Gruppe Domänen-Admins, sind Sicherheitsgruppen, die beim Erstellen einer Active Directory-Domäne automatisch erstellt werden. Mithilfe dieser vordefinierten Gruppen können Sie den Zugriff auf freigegebene Ressourcen steuern und bestimmte domänenweite Verwaltungsfunktionen delegieren. Informationen zu Standardgruppen, die auf lokalen Computern gespeichert sind, finden Sie unter Lokale Standardgruppen. Vielen Standardgruppen werden automatisch Benutzerrechte zugewiesen, die es Mitgliedern der Gruppe gestatten, bestimmte Aktionen in einer Domäne auszuführen, wie z. B. das Anmelden an einem lokalen System oder das Sichern von Dateien und Ordnern. Beispielsweise hat ein Mitglied der Gruppe SicherungsOperatoren die Berechtigung, Sicherungsvorgänge für alle Domänencontroller in der Domäne auszuführen. Wenn Sie einen Benutzer zu einer Gruppe hinzufügen, erhält der Benutzer alle Benutzerrechte, die dieser Gruppe zugewiesen sind, sowie alle Berechtigungen, die dieser Gruppe in freigegebenen Ressourcen zugewiesen sind. Weitere Informationen zu Benutzerrechten und -berechtigungen finden Sie unter Gruppentypen. Gruppen können mithilfe von Active Directory-Benutzer und -Computer verwaltet werden. Standardgruppen befinden sich in den Containern: Container Darin enthalten Vordefiniert Gruppen mit dem Gruppenbereich "Lokale Domäne" Benutzer Gruppen mit dem Gruppenbereich "Global" bzw. "Lokale Domäne". Die Gruppen in diesen Containern können innerhalb der Domäne zwar in andere Gruppen oder Organisationseinheiten, nicht aber in andere Domänen verschoben werden. Aus Sicherheitsgründen wird empfohlen, dass Mitglieder von Standardgruppen mit umfassenden Verwaltungsberechtigungen Ausführen als verwenden, um administrative Aufgaben auszuführen. Weitere Informationen finden Sie unter Verwenden von "Ausführen als". Informationen zu Sicherheitsempfehlungen finden Sie unter Active Directory – Empfehlungen. Informationen zu zusätzlichen Sicherheitsmaßnahmen zum Schutz von Active Directory finden Sie unter Schützen von Active Directory. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 16 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Gruppen im Container "Vordefiniert" (BuiltIn) Quelle Microsoft 21.01.2005 Die folgende Tabelle beschreibt die Standardgruppen im Container Vordefiniert und listet die den einzelnen Gruppen zugewiesenen Benutzerrechte auf. Vollständige Beschreibungen der in der Tabelle aufgeführten Benutzerrechte finden Sie unter Zuweisen von Benutzerrechten. Informationen zum Bearbeiten dieser Rechte finden Sie unter Bearbeiten von Sicherheitseinstellungen für ein Gruppenrichtlinienobjekt. Gruppe Beschreibung Standardbenutzerrechte Konten-Operatoren Mitglieder dieser Gruppe können Konten für Benutzer, Gruppen und Computer in den Containern Benutzer oder Computer und den Organisationseinheiten der Domäne erstellen, ändern und löschen, mit Ausnahme der Organisationseinheit Domänen-Controller. Mitglieder dieser Gruppe dürfen die Gruppe Administratoren oder Domänen-Admins sowie die Konten für Mitglieder dieser Gruppen nicht ändern. Mitglieder dieser Gruppe können sich lokal an Domänencontrollern in der Domäne anmelden und diese herunterfahren. Da diese Gruppe erhebliche Zugriffsrechte in der Domäne besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen. Lokal anmelden zulassen; Herunterfahren des Systems. Administratoren Mitglieder dieser Gruppe haben Vollzugriff auf alle Auf diesen Computer vom Netzwerk GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 17 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Domänencontroller in der Domäne. Standardmäßig sind die Gruppen Domänen-Admins und Organisations-Admins Mitglieder der Gruppe Administratoren. Das Konto Administrator ist ebenfalls ein Standardmitglied. Da diese Gruppe Vollzugriff in der Domäne besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen. zugreifen; Anpassen von Speicherkontingenten für einen Prozess; Sichern von Dateien und Verzeichnissen; Auslassen der durchsuchenden Überprüfung; Ändern der Systemzeit; Erstellen einer Auslagerungsdatei; Debuggen von Programmen; Ermöglichen, dass Computerund Benutzerkonten für Delegierungszwecke vertraut wird; Erzwingen des Herunterfahrens von einem Remotesystem; Anheben der Zeitplanungspriorität; Laden und Entfernen von Gerätetreibern; Lokal anmelden zulassen; Verwalten von Überwachungs- und Sicherheitsprotokollen; Verändern des Firmwareumgebungswerts; Erstellen eines Profils für einen Einzelprozess; Erstellen eines Profils der Systemleistung; Entfernen des Computers von der Dockingstation; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems; Übernehmen des Besitzes von Dateien und anderen Objekten. SicherungsOperatoren Die Mitglieder dieser Gruppe können alle Dateien auf Domänencontrollern in der Domäne sichern und wiederherstellen, und zwar unabhängig von ihren eigenen individuellen Berechtigungen für diese Dateien. Sicherungs-Operatoren können sich außerdem an Domänencontrollern anmelden und diese herunterfahren. Diese Gruppe besitzt keine Standardmitglieder. Da diese Gruppe erhebliche Zugriffsrechte auf Domänencontroller besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen. Sichern von Dateien und Verzeichnissen; Lokal anmelden zulassen; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems. Gäste Die Gruppe Domänen-Gäste ist standardmäßig ein Mitglied dieser Gruppe. Das Konto Gast (standardmäßig deaktiviert) ist ebenfalls ein Standardmitglied dieser Gruppe. Keine Standardbenutzerrechte. Erstellungen eingehender Gesamtstrukturvertrauensstellung (wird nur in der GesamtstrukturStammdomäne angezeigt) Mitglieder dieser Gruppe können unidirektionale, eingehende Gesamtstrukturvertrauensstellungen für die Gesamtstruktur-Stammdomäne erstellen. Beispielsweise können Mitglieder dieser Gruppe in der Gesamtstruktur A eine von der Gesamtstruktur B aus eingehende, unidirektionale Gesamtstrukturvertrauensstellung erstellen. Diese ermöglicht Benutzern in der Gesamtstruktur A den Zugriff auf Ressourcen in der Gesamtstruktur B. Mitgliedern dieser Gruppe ist die Berechtigung Eingehende Gesamtstrukturvertrauensstellung erstellen für die Gesamtstruktur-Stammdomäne erteilt. Diese Gruppe besitzt keine Standardmitglieder. Weitere Informationen zum Erstellen von Gesamtstrukturvertrauensstellungen finden Sie unter Erstellen einer Gesamtstrukturvertrauensstellung. Keine Standardbenutzerrechte. NetzwerkkonfigurationsOperatoren Mitglieder dieser Gruppe können Änderungen an TCP/IP-Einstellungen vornehmen und TCP/IPAdressen auf Domänencontrollern in der Domäne erneuern und freigeben. Diese Gruppe besitzt keine Standardmitglieder. Keine Standardbenutzerrechte. Systemmonitorbenutzer Mitglieder dieser Gruppe können Leistungsindikatoren auf Domänencontrollern in der Domäne lokal und von Remoteclients aus überwachen, ohne Mitglied der Gruppen Administratoren oder Leistungsprotokollbenutzer zu sein. Keine Standardbenutzerrechte. Leistungsprotokollbenutzer Mitglieder dieser Gruppe können Leistungsindikatoren, Protokolle und Warnungen auf Domänencontrollern in der Domäne lokal und Keine Standardbenutzerrechte. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 18 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. von Remoteclients aus verwalten, ohne Mitglied der Gruppe Administratoren zu sein. Prä-Windows 2000 kompatibler Zugriff Mitglieder dieser Gruppe haben Lesezugriff auf alle Benutzer und Gruppen in der Domäne. Diese Gruppe dient zur Abwärtskompatibilität mit Computern unter Windows NT 4.0 und früher. Die Sondergruppe Jeder ist standardmäßig Mitglied dieser Gruppe. Weitere Informationen zu Sondergruppen finden Sie unter Sondergruppen. Fügen Sie zu dieser Gruppe nur Benutzer hinzu, die Windows NT 4.0 oder früher verwenden. Auf diesen Computer vom Netzwerk aus zugreifen; Auslassen der durchsuchenden Überprüfung. Druck-Operatoren Mitglieder dieser Gruppe können Drucker, die mit Domänencontrollern in der Domäne verbunden sind, verwalten, einrichten und freigeben. Darüber hinaus können sie Active Directory-Druckerobjekte in der Domäne verwalten. Mitglieder dieser Gruppe können sich lokal an Domänencontrollern in der Domäne anmelden und diese herunterfahren. Diese Gruppe besitzt keine Standardmitglieder. Da Mitglieder dieser Gruppe Gerätetreiber auf allen Domänencontrollern in der Domäne laden und entfernen können, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen. Lokal anmelden zulassen; Herunterfahren des Systems. Remotedesktopbenutzer Mitglieder dieser Gruppe können sich remote an Domänencontrollern in der Domäne anmelden. Diese Gruppe besitzt keine Standardmitglieder. Keine Standardbenutzerrechte. ReplikationsOperator Diese Gruppe unterstützt Funktionen der Verzeichnisreplikation und wird vom Dateireplikationsdienst auf Domänencontrollern in der Domäne verwendet. Diese Gruppe besitzt keine Standardmitglieder. Fügen Sie keine Benutzer zu dieser Gruppe hinzu. Keine Standardbenutzerrechte. Server-Operatoren An Domänencontrollern können sich Mitglieder dieser Gruppe interaktiv anmelden. Außerdem können sie freigegebene Ressourcen erstellen und löschen, bestimmte Dienste starten und beenden, Dateien sichern und wiederherstellen, die Festplatte formatieren und den Computer herunterfahren. Diese Gruppe besitzt keine Standardmitglieder. Da diese Gruppe erhebliche Zugriffsrechte auf Domänencontroller besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen. Sichern von Dateien und Verzeichnissen; Ändern der Systemzeit; Erzwingen des Herunterfahrens von einem Remotesystem aus; Lokal anmelden zulassen; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems. Benutzer Mitglieder dieser Gruppe können die meisten allgemeinen Aufgaben durchführen, wie z. B. das Ausführen von Anwendungen, das Verwenden von lokalen und Netzwerkdruckern sowie das Sperren des Servers. Die Gruppen Domänen-Benutzer, Authentifizierte Benutzer und Interaktiv sind standardmäßig Mitglieder dieser Gruppe. Daher wird jedes in der Domäne erstellte Benutzerkonto Mitglied dieser Gruppe. Keine Standardbenutzerrechte. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 19 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Gruppen im Container "Benutzer" Quelle Microsoft 21.01.2005 Die folgende Tabelle beschreibt die Standardgruppen im Container Benutzer und listet die den einzelnen Gruppen zugewiesenen Benutzerrechte auf. Vollständige Beschreibungen der in der Tabelle aufgeführten Benutzerrechte finden Sie unter Zuweisen von Benutzerrechten. Informationen zum Bearbeiten dieser Rechte finden Sie unter Bearbeiten von Sicherheitseinstellungen für ein Gruppenrichtlinienobjekt. Beschreibung Gruppe Standardbenutzerrechte Zertifikatherausgeber Mitglieder dieser Gruppe dürfen Zertifikate für Benutzer und Computer veröffentlichen. Diese Gruppe besitzt keine Standardmitglieder. Keine Standardbenutzerrechte. DnsAdmins (wird mit DNS installiert) Mitglieder dieser Gruppe haben Administratorzugriff auf den DNSServerdienst. Diese Gruppe besitzt keine Standardmitglieder. Keine Standardbenutzerrechte. DnsUpdateProxy (wird mit DNS installiert) Die Mitglieder dieser Gruppe sind DNSClients, die dynamische Updates im Auftrag von anderen Clients, wie z. B. DHCPServern, ausführen können. Diese Gruppe besitzt keine Standardmitglieder. Keine Standardbenutzerrechte. Domänen-Admins Mitglieder dieser Gruppe haben Vollzugriff auf die Domäne. Diese Gruppe ist standardmäßig ein Mitglied der Gruppe Administratoren auf allen Domänencontrollern, allen Domänenarbeitsstationen und allen Domänenmitgliedsservern, wenn diese der Domäne hinzugefügt werden. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe. Da diese Gruppe Vollzugriff in der Domäne besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen. Auf diesen Computer vom Netzwerk zugreifen; Anpassen von Speicherkontingenten für einen Prozess; Sichern von Dateien und Verzeichnissen; Auslassen der durchsuchenden Überprüfung; Ändern der Systemzeit; Erstellen einer Auslagerungsdatei; Debuggen von Programmen; Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird; Erzwingen des Herunterfahrens von einem Remotesystem; Anheben der Zeitplanungspriorität; Laden und Entfernen von Gerätetreibern; Lokal anmelden zulassen; Verwalten von Überwachungs- und Sicherheitsprotokollen; Verändern der Firmwareumgebungswerte; Erstellen eines Profils für einen Einzelprozess; Erstellen eines Profils der Systemleistung; Entfernen des Computers von der Dockingstation; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems; Übernehmen des Besitzes von Dateien und anderen Objekten. Domänencomputer Diese Gruppe enthält alle Arbeitsstationen und Server, die der Domäne angehören. Standardmäßig wird jedes erstellte Computerkonto automatisch Mitglied dieser Gruppe. Keine Standardbenutzerrechte. Domänencontroller Diese Gruppe enthält alle Domänencontroller in der Domäne. Keine Standardbenutzerrechte. Domänen-Gäste Diese Gruppe enthält alle Gäste der Domäne. Keine Standardbenutzerrechte. Domänen-Benutzer Diese Gruppe enthält alle Benutzer der Domäne. Standardmäßig wird jedes in der Domäne erstellte Benutzerkonto automatisch Mitglied dieser Gruppe. Mit dieser Gruppe können alle Benutzer in der Domäne repräsentiert werden. Sollen z. B. Keine Standardbenutzerrechte. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 20 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. alle Benutzer in dieser Domäne Zugriff auf einen Drucker haben, können Sie dieser Gruppe Zugriffsberechtigungen für den Drucker zuweisen (oder die Gruppe Domänen-Benutzer zu einer lokalen Gruppe auf dem Druckserver hinzufügen, die über Berechtigungen für den Druckerzugriff verfügt). Organisations-Admins (wird nur in der GesamtstrukturStammdomäne angezeigt) Mitglieder dieser Gruppe haben Vollzugriff auf alle Domänen in der Gesamtstruktur. Diese Gruppe ist standardmäßig Mitglied der Gruppe Administratoren auf allen Domänencontrollern in der Gesamtstruktur. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe. Da diese Gruppe über Vollzugriff auf die Gesamtstruktur verfügt, sollten Sie beim Hinzufügen von Benutzern zu der Gruppe mit Bedacht vorgehen. Auf diesen Computer vom Netzwerk zugreifen; Anpassen von Speicherkontingenten für einen Prozess; Sichern von Dateien und Verzeichnissen; Auslassen der durchsuchenden Überprüfung; Ändern der Systemzeit; Erstellen einer Auslagerungsdatei; Debuggen von Programmen; Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird; Erzwingen des Herunterfahrens von einem Remotesystem aus; Anheben der Zeitplanungspriorität; Laden und Entfernen von Gerätetreibern; Lokal anmelden zulassen; Verwalten von Überwachungs- und Sicherheitsprotokollen; Verändern der Firmwareumgebungswerte; Erstellen eines Profils für einen Einzelprozess; Erstellen eines Profils der Systemleistung; Entfernen des Computers von der Dockingstation; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems; Übernehmen des Besitzes von Dateien und anderen Objekten. Richtlinien-ErstellerBesitzer Mitglieder dieser Gruppe können Gruppenrichtlinien in der Domäne ändern. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe. Da diese Gruppe erhebliche Zugriffsrechte in der Domäne besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen. Keine Standardbenutzerrechte. IIS_WPG (wird mit IIS installiert) Die Gruppe IIS_WPG ist die IIS 6.0Arbeitsprozessgruppe (Internet Information Services, Internetinformationsdienste). In IIS 6.0 gibt es Arbeitsprozesse für bestimmte Namespaces. Beispielsweise gibt es für den Namespace www.microsoft.com einen Arbeitsprozess, der unter einer zur Gruppe IIS_WPG hinzugefügten Identität ausgeführt werden kann, wie z. B. MicrosoftAccount. Diese Gruppe besitzt keine Standardmitglieder. Keine Standardbenutzerrechte. RAS- und IAS-Server Server in dieser Gruppe haben Zugriff auf die RAS-Eigenschaften von Benutzern. Keine Standardbenutzerrechte. Schema-Admins (wird nur in der GesamtstrukturStammdomäne angezeigt) Mitglieder dieser Gruppe können das Active Directory-Schema ändern. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe. Da diese Gruppe erhebliche Zugriffsrechte in der Gesamtstruktur besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen. Keine Standardbenutzerrechte. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 21 / 22 Microsoft Windows Benutzerkontensteuerung und Einstellungen in der Anwendung BiG-Manager Technische Hinweise zu Microsoft Windows Vista D-51379 Leverkusen. Review 12.02.2007. Technische Hinweise zu Microsoft Windows Vista 1. Deaktivierung der Benutzerkontensteuerung So deaktivieren Sie die Benutzerkontensteuerung: Start Ausführen Msconfig Tools Benutzerkontensteuerung deaktivieren 2. Anpassung der Darstellung BiG-Manager verwendet primär den Schrifttyp TAHOMA. Möglicherweise wird dieser Schrifttyp bei Fettschrift an den Kanten unsauber dargestellt. So ändern Sie die Darstellung von Bildschirmschriftarten: Systemsteuerung Anpassung Fensterfarbe und – darstellung Eigenschaften für klassische Darstellung öffnen Effekte Folgende Methode zum Kantenglätten … Verwenden Sie die Methode Standard statt Clear Type. GEWIDOR GmbH Kölner Str. 38 51379 Leverkusen Tel +49 2171 72040 Fax +49 2171 48665 [email protected] www.gewidor-gmbh.de BIGUSERS.DOC 22 / 22