In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Übersicht über MMC

Werbung 
1.0 Hardware
1.1Hardware-Assitent
Der Hardware-Assistent ist da ,um neue Hardware Treiber zu installiert ,insofern das system sie nicht
selbst schon installiert hat. Oder auch wenn Problem mit irgendeinem Treiber ist kann man ihn über
den Assistenten neu installieren oder beheben lassen.
1.2.1 Geräte-Manager
Im Geräte-Manager kann man die all seine Hardware Komponenten auf einmal sehen. Auf bedarf
kann man auch seine Treiber Aktualisieren oder aber Probleme beheben , wie eine Hardware Treiber
der nicht gefunden oder nicht anerkannt wird.
1.2.2 Hardwareprofile
Wenn man eine Optimale Hardware Einstellung für sich gefundne hat kann man die sich hier als
Profile ab speichert die man dann auf andere Benutzerkonten über tragen werden können.
2.0 Verwaltung/ Allgemeine Informationen über den Verwaltungs Ordner
Übersicht über MMC
Mithilfe von Microsoft Management Console (MMC) können Sie Verwaltungsprogramme (die als
MMC-Konsolen bezeichnet werden) zum Verwalten der Hardware, Software und der
Netzwerkkomponenten des Windows-Systems erstellen, speichern und öffnen. MMC kann unter den
Betriebssystemen Windows 9x und Windows NT ausgeführt werden.
MMC führt keine administrativen Funktionen aus, doch sind Tools in die Konsole eingebunden, die
diese Funktionen übernehmen. Der wichtigste Typ von Tool, das Sie zu einer Konsole hinzufügen
können, wird als Snap-In bezeichnet. Weitere Elemente, die Sie hinzufügen können, sind u. a.
ActiveX-Steuerelemente, Ordner, Taskpadansichten und Tasks.
Sie können MMC in zwei Hauptmodi verwenden: im Benutzermodus, um vorhandene MMC-Konsolen
für die Verwaltung eines Systems zu verwenden, oder im Autorenmodus, in dem Sie neue Konsolen
erstellen oder vorhandene MMC-Konsolen ändern. Weitere Informationen zu den Unterschieden
zwischen dem Benutzer- und dem Autorenmodus finden Sie unter
MMC-Konsolen
Eine neue MMC-Konsole besteht aus einem Fenster, das in zwei Bereiche unterteilt ist. Der linke
Fensterbereich zeigt die Konsolenstruktur an. Die Konsolenstruktur enthält die Elemente, die in einer
Konsole verfügbar sind. Der rechte Fensterbereich enthält das Detailfenster. Das Detailfenster enthält
Informationen sowie Funktionen über diese Elemente. Wenn Sie in der Konsolenstruktur auf
verschiedene Elemente klicken, ändern sich die Informationen im Detailfenster. Im Detailfenster
können viele Arten von Informationen angezeigt werden, einschließlich Webseiten, Grafiken,
Diagramme, Tabellen und Spalten.
Jede Konsole verfügt unabhängig von den Menüs und der Symbolleiste im MMC-Hauptfenster über
eigene Menüs und eine Symbolleiste, die den Benutzer bei der Ausführung von Tasks unterstützen.
Weitere Informationen zum MMC-Hauptfenster finden Sie unter MMC-Fenster.
Das von Ihnen verwendete Betriebssystem verfügt möglicherweise über vorkonfigurierte und
gespeicherte Konsolendateien, die im Menü Programme oder im Ordner Verwaltungsprogramme der
Systemsteuerung zur Verfügung stehen.
Konsolen, die in früheren Versionen von MMC erstellt wurden (Versionen 1.1 und 1.2), können in
MMC, Version 2.0, gelesen werden. Wenn jedoch Konsolen aus früheren Versionen gespeichert oder
bearbeitet werden sollen, muss der Benutzer die Konsolen zuerst in MMC, Version 2.0, konvertieren.
Weitere Informationen finden Sie unter Verwenden alter und neuer Versionen von MMC.
Gruppenrichtlinien und MMC
Nur Administratoren können Gruppenrichtlinien verwenden, um den Zugriff auf bestimmte Snap-Ins zu
ermöglichen oder zu beschränken oder um die Möglichkeiten eines Benutzers oder einer Gruppe zur
Verwendung des Autorenmodus von MMC zu beschränken. Voraussetzung ist, dass die
Gruppenrichtlinien in diesem Netzwerk konfiguriert wurden.
Um Richtlinien für die Benutzer eines bestimmten Computers festlegen zu können, müssen Sie
Administrator dieses Computers sein oder über vergleichbare Rechte verfügen. Um Richtlinien für
eine Organisationseinheit in einer Domäne festlegen zu können, müssen Sie Administrator dieser
Domäne sein oder über vergleichbare Rechte verfügen. Sie können diese Version von MMC nicht zum
Erstellen von Computerrichtlinien, sondern ausschließlich zum Erstellen von Benutzerrichtlinien
verwenden.
Weitere Informationen zu Gruppenrichtlinien finden Sie in der Hilfe.
Weitere Informationen zum Anwendung von Gruppenrichtlinien auf MMC finden Sie unter Festlegen
von Gruppenrichtlinien in MMC.
2.2 Grundlegendes zur Computerverwaltung
Die Computerverwaltung wird ähnlich wie Windows-Explorer in einem zweigeteilten Fenster
angezeigt. Im linken Fensterbereich befindet sich die Konsolenstruktur; im rechten Fensterbereich
werden die Ergebnisse oder Details angezeigt. Bei Auswahl eines Elements in der Konsolenstruktur
werden Informationen zu diesem Element im Detailfenster angezeigt. Diese Informationen können
Details zum Inhalt, zu Daten oder zu weiteren für das ausgewählte Element verfügbaren Tools
umfassen. Wenn Sie z. B. im Programm System unter Freigegebene Ordner auf Sitzungen klicken,
werden Informationen zur aktuellen Benutzersitzung (sofern vorhanden) auf dem Zielcomputer
angezeigt.
Die Konsolenstruktur enthält drei Elemente: System, Datenspeicher und Dienste und Anwendungen.
Weitere Informationen zu diesen Elementen finden Sie unter den folgenden Themen:



Übersicht über "Systemprogramme"
Übersicht über "Datenspeicher"
Übersicht über "Serveranwendungen und -dienste"
Weitere Informationen zum Arbeiten mit einer MMC-Konsolenstruktur finden Sie unter Microsoft
Management Console.
Anmerkung

Gehören Sie nicht zur Gruppe Administratoren, verfügen Sie eventuell nicht über die erforderlichen
Zugriffsrechte, um bestimmte Eigenschaften anzeigen oder bearbeiten oder bestimmte Aufgaben
durchführen zu können.
System ist das erste Element in der Konsolenstruktur der Computerverwaltung. Mithilfe der
Standardprogramme, Ereignisanzeige, Freigegebene Ordner, Lokale Benutzer und Gruppen, Leistungsprotokolle
und Warnungen sowie Geräte-Manager, können Sie Systemereignisse und die Leistung auf dem Zielcomputer
verwalten.
Datenspeicher ist das zweite Element in der Konsolenstruktur der Computerverwaltung. Unter diesem Element
werden Speichergeräte angezeigt, die auf Ihrem momentan verwalteten Computer installiert sind. Mithilfe der
Standardprogramme, Wechselmedien, Defragmentierung und Datenträgerverwaltung, können Sie die
Eigenschaften von Speichergeräten verwalten.
Dienste und Anwendungen ist das dritte Element in der Konsolenstruktur der Computerverwaltung. Das
Element enthält zahlreiche Programme, die Sie bei der Verwaltung von Diensten und Anwendungen auf dem
Zielcomputer unterstützen. So können Sie z. B. das Programm Dienste verwenden, um die Eigenschaften des
Plug & Play-Dienstes anzuzeigen und zu verwalten
Bei einem Dienst handelt es sich um einen Anwendungstyp, der im Hintergrund ausgeführt wird und
mit UNIX-Dämonanwendungen vergleichbar ist. Dienstanwendungen stellen in der Regel Features wie
Client-/Serveranwendungen, Webserver, Datenbankserver und andere serverbasierte Anwendungen
für Benutzer auf lokaler Ebene sowie im Netzwerk bereit.
Sie können Dienste für folgende Aufgaben verwenden:





Starten, Beenden, Anhalten, Fortsetzen oder Deaktivieren von Diensten auf Remote- und lokalen
Computern. Sie müssen über die entsprechenden Berechtigungen verfügen, um Dienste starten,
beenden, anhalten, neu starten und deaktivieren zu können.
Verwalten von Diensten auf lokalen und Remotecomputern (nur auf Remotecomputern, auf denen
Windows XP, Windows 2000 oder Windows NT 4.0 ausgeführt wird).
Einrichten von Wiederherstellungsmaßnahmen, die beim Fehlschlagen eines Dienstes ausgeführt
werden, wie z. B. das automatische Neustarten des Dienstes oder des Computers (nur auf Computern
unter Windows XP oder Windows 2000).
Aktivieren oder Deaktivieren von Diensten für ein bestimmtes Hardwareprofil.
Anzeigen des Status und der Beschreibung jedes Dienstes.
In den Ereignisprotokollen der Ereignisanzeige werden Informationen zu Hardware-, Software- und
Systemproblemen aufgezeichnet. Sie können in Windows XP auch Sicherheitsereignisse überwachen.
Auf einem Computer unter einer beliebigen Version von Windows XP werden Ereignisse in drei
Protokolltypen aufgezeichnet:
Anwendungsprotokoll
Das Anwendungsprotokoll enthält Ereignisse, die von Anwendungen oder Programmen aufgezeichnet
wurden. Von einem Datenbankprogramm könnte beispielsweise ein Dateifehler im
Anwendungsprotokoll aufgezeichnet werden. Die Entwickler des jeweiligen Programms entscheiden,
welche Ereignisse überwacht werden.
Sicherheitsprotokoll
Das Sicherheitsprotokoll enthält Ereignisse wie gültige und ungültige Anmeldeversuche sowie
Ereignisse zur Ressourcenverwendung, z. B. das Erstellen, Öffnen oder Löschen von Dateien oder
anderen Objekten. Die im Sicherheitsprotokoll aufzuzeichnenden Ereignisse werden von einem
Administrator festgelegt. Wenn Sie die Sicherheitsprotokollierung aktiviert haben, werden z. B. die
Anmeldeversuche am System im Sicherheitsprotokoll aufgezeichnet.
Systemprotokoll
Das Systemprotokoll enthält Ereignisse, die von den Windows XP-Systemkomponenten aufgezeichnet
wurden. So wird beispielsweise das Fehlschlagen des Ladens eines Gerätetreibers oder einer
anderen Systemkomponente während des Startens im Systemprotokoll aufgezeichnet. Die von den
Systemkomponenten aufgezeichneten Ereignisarten werden durch Windows XP im Voraus bestimmt.
Auf einem Computer unter Windows, der als Domänencontroller konfiguriert ist, werden Ereignisse in
zwei zusätzlichen Protokollen aufgezeichnet:
Verzeichnisdienstprotokoll
Das Verzeichnisdienstprotokoll enthält Ereignisse, die vom Windows-Verzeichnisdienst aufgezeichnet
wurden. Beispielsweise werden Verbindungsprobleme zwischen dem Server und dem globalen
Katalog im Verzeichnisdienstprotokoll aufgezeichnet.
Dateireplikationsdienst-Protokoll
Das Dateireplikationsdienst-Protokoll enthält Ereignisse, die durch den Dateireplikationsdienst von
Windowsaufgezeichnet wurden. Im Dateireplikationsdienst-Protokoll werden z. B.
Dateireplikationsfehler und -ereignisse aufgezeichnet, die während der Aktualisierung des
Domänencontrollers mit Informationen zu Sysvol-Änderungen auftreten.
Auf einem Computer unter Windows, der als DNS-Server (Domain Name System) konfiguriert ist,
werden Ereignisse in einem zusätzlichen Protokoll aufgezeichnet:
DNS-Serverprotokoll
Das DNS-Serverprotokoll enthält alle Ereignisse, die in Windows vom DNS-Dienst protokolliert
werden. In diesem Protokoll werden Ereignisse aufgezeichnet, die beim Auflösen von DNS-Namen in
IP-Adressen (Internet Protocol) eintreten.
In der Ereignisanzeige werden diese Ereignistypen angezeigt:
Fehler
Ein schwerwiegendes Problem, z. B. ein Daten- oder Funktionalitätsverlust. Wenn z. B. beim Starten
ein Dienst nicht geladen werden konnte, wird ein Fehlerereignis aufgezeichnet.
Achtung
Ein Ereignis, das nicht notwendigerweise von Bedeutung ist, aber auf ein mögliches zukünftiges
Problem hinweist. So wird z. B. ein Warnungsereignis aufgezeichnet, wenn nur noch wenig
Datenträgerspeicher zur Verfügung steht.
Information
Ein Ereignis, das die erfolgreiche Operation einer Anwendung, eines Treibers oder eines Dienstes
beschreibt. Wenn beispielsweise ein Netzwerktreiber erfolgreich geladen wird, wird ein
Informationsereignis aufgezeichnet.
Erfolgsüberwachung
Ein überwachter, erfolgreicher Versuch eines Sicherheitszugriffs. Die erfolgreiche Anmeldung eines
Benutzers am System wird z. B. als Erfolgsüberwachungsereignis aufgezeichnet.
Fehlversuchüberwachung
Ein überwachter, fehlgeschlagener Versuch eines Sicherheitszugriffs. Wenn z. B. der Versuch eines
Benutzers fehlschlägt, auf ein Netzlaufwerk zuzugreifen, wird dies als Fehlerüberwachungsereignis
aufgezeichnet.
Der Ereignisprotokolldienst wird beim Start von Windows automatisch gestartet. Die Anwendungs- und
Systemprotokolle können von allen Benutzern eingesehen werden. Auf die Sicherheitsprotokolle
können nur Administratoren zugreifen.
Standardmäßig ist die Sicherheitsprotokollierung deaktiviert. Sie können die Sicherheitsprotokollierung
mit Gruppenrichtlinien aktivieren. Der Administrator hat auch die Möglichkeit, die
Überwachungsrichtlinien in der Registrierung so einzustellen, dass das System angehalten wird, wenn
das Sicherheitsprotokoll voll ist.
MMC im Autorenmodus
Sie können MMC im Autorenmodus verwenden, um neue Konsolen zu erstellen oder vorhandene
Konsolen zu ändern. Um ein Verwaltungsprogramm zu erstellen, fügen Sie Snap-Ins und andere
Elemente zu einer Konsole hinzu. Sie können weitere Konsolenfenster erstellen, in denen Ansichten
der unterschiedlichen Elemente bereitgestellt werden, aus denen sich eine Konsole zusammensetzt.
Darüber hinaus können Sie Taskpadansichten mit Verknüpfungen erstellen, um Menübefehle von
unterschiedlichen Stellen und Tools in der Konsole aus sowie Befehlszeilenfunktionen auszuführen.
Nachdem Sie eine Konsole gespeichert haben, können Sie sie an Benutzer verteilen.
Snap-Ins
Ein Snap-In stellt die Grundkomponente einer MMC-Konsole dar. Snap-Ins befinden sich immer in
einer Konsole; sie können nicht eigenständig ausgeführt werden.
Wenn Sie eine Komponente installieren, die über ein zugeordnetes Snap-In verfügt, steht dieses
Snap-In jedem Benutzer zur Verfügung, der eine Konsole auf diesem Computer erstellt,
vorausgesetzt, für die jeweilige Person gelten keine Beschränkungen aufgrund einer
Benutzerrichtlinie. Weitere Informationen zu Benutzerrichtlinien finden Sie unter Gruppenrichtlinien
und MMC.
Eigenständige Snap-Ins und Snap-In-Erweiterungen
MMC unterstützt zwei Typen von Snap-Ins: eigenständige Snap-Ins und Snap-In-Erweiterungen. Sie
können ein eigenständiges Snap-In, das normalerweise einfach als Snap-In bezeichnet wird, zu einer
Konsolenstruktur hinzufügen, ohne zuvor ein anderes Element hinzufügen zu müssen. Eine Snap-InErweiterung, die normalerweise als Erweiterung bezeichnet wird, wird immer zu einem eigenständigen
Snap-In oder zu einer Snap-In-Erweiterung hinzugefügt, das oder die sich bereits in der
Konsolenstruktur befindet. Die für ein Snap-In aktivierten Erweiterungen beziehen sich auf die
Objekte, die von dem Snap-In gesteuert werden, z. B. auf einen Computer, einen Drucker, ein Modem
oder ein anderes Gerät.
Wenn Sie zu einer Konsole ein Snap-In oder eine Erweiterung hinzufügen, wird dieses bzw. diese
möglicherweise als neues Element in der Konsolenstruktur angezeigt. Das Hinzufügen des Snap-Ins
oder der Erweiterung kann jedoch auch dazu führen, dass Kontextmenüelemente, weitere
Symbolleisten, Eigenschaftenseiten oder Assistenten zu einem Snap-In hinzugefügt werden, das
bereits in der Konsole installiert ist.
Hinzufügen von Snap-Ins zu einer Konsole
Sie können ein einzelnes Snap-In oder mehrere Snap-Ins und andere Elemente zu einer Konsole
hinzufügen. Zudem können Sie mehrere Instanzen eines bestimmten Snap-Ins zur selben Konsole
hinzufügen, um verschiedene Computer zu verwalten oder um eine beschädigte Konsole zu
reparieren. Wenn Sie eine neue Instanz eines Snap-Ins zu einer Konsole hinzufügen, werden alle
Variablen für die Snap-Ins auf Standardwerte eingestellt und gelten so lange, bis Sie das Snap-In
konfigurieren. Wenn Sie beispielsweise ein bestimmtes Snap-In für die Verwaltung eines
Remotecomputers konfigurieren und dann eine zweite Instanz des Snap-Ins hinzufügen, ist die zweite
Instanz nicht automatisch für die Verwaltung des Remotecomputers konfiguriert.
Normalerweise können Sie nur Snap-Ins hinzufügen, die auf dem Computer installiert sind, den Sie
zum Erstellen einer Konsole verwenden. Falls der Computer jedoch Mitglied einer Domäne ist, haben
Sie die Möglichkeit, MMC zum Downloaden sämtlicher Snap-Ins zu verwenden, die zwar nicht lokal
installiert, jedoch im Active Directory-Verzeichnisdienst verfügbar sind. Weitere Informationen zum
Hinzufügen veröffentlichter Snap-Ins und Erweiterungen zu einer Konsole finden Sie unter Erstellen
von Konsolen. Weitere Informationen zur Weitergabe von Software mithilfe von Active Directory finden
Sie in der Hilfe.
2.7 Leistung
Leistungsobjekte und -indikatoren
Windows XP erhält Leistungsdaten von den Komponenten des Computers. Da eine
Systemkomponente im System arbeitet, generiert diese Leistungsdaten. Diese Daten werden als
Leistungsobjekt bezeichnet. Der Name dieses Objekts wird in der Regel von der jeweiligen
Komponente abgeleitet. Das Objekt Prozessor stellt beispielsweise eine Sammlung der
Leistungsdaten der Prozessoren des Systems dar.
Das Betriebssystem umfasst eine Reihe von Leistungsobjekten, die normalerweise
Hardwarekomponenten entsprechen, wie Speicher, Prozessoren usw. Andere Programme richten
unter Umständen eigene Leistungsobjekte ein. Dienste, wie WINS (Windows Internet Name Service),
oder Serverprogramme, wie Microsoft Exchange, stellen beispielsweise Leistungsobjekte zur
Verfügung. Diese werden anhand von Leistungsdiagrammen und -protokollen überwacht.
Jedes Leistungsobjekt stellt Leistungsindikatoren zur Verfügung, die Daten zu bestimmten Elementen
eines Systems oder Dienstes liefern. Durch den vom Objekt Arbeitsspeicher bereitgestellten
Leistungsindikator Seiten/s wird beispielsweise der Grad der Auslagerung von Speicherseiten erfasst.
In einem System stehen zahlreiche Objekte zur Verfügung. Folgende Standardobjekte werden am
häufigsten zur Überwachung der Systemkomponenten eingesetzt:










Cache
Arbeitsspeicher
Objekte
Auslagerungsdatei
Physischer Datenträger
Vorgang
Prozessor
Server
System
Thread
Die aufgeführten Dienste oder Funktionen von Windows XP, die möglicherweise in einer Konfiguration
verwendet werden, stellen folgende Leistungsobjekte bereit:
Zu überwachende Funktion
Verfügbares Leistungsobjekt
oder zu überwachender Dienst
Objekte ICMP (Internet Control Message Protocol), IP (Internet Protocol),
TCP/IP
NetBT (NetBIOS over TCP/IP), TCP (Transmission Control Protocol) und
UDP (User Datagram Protocol)
Browser-, Arbeitsstations- und
Browser-, Redirector- und Serverobjekte
Serverdienste
QoS-Zugangssteuerung
ACS/RSVP-Dienst- und ACS/RSVP-Schnittstellenobjekte
Windows Internet Name Service
WINS-Objekt
(WINS)
Connection Point Services
Indexdienst
Verzeichnisdienst
Druckserveraktivität
PBServer-Monitor-Objekt
Indexdienst, Indexdienstfilter und HTTP-Indexdienst
NTDS-Objekt (NT Directory Service)
Druckerwarteschlangenobjekt
Wenn Sie im Dialogfeld Leistungsindikatoren hinzufügen auf Erklärung klicken, erhalten Sie eine
Erläuterung zu den Daten, die von dem Leistungsindikator bereitgestellt werden, die dem jeweiligen
Leistungsobjekt entspricht. Informationen zum Hinzufügen von Leistungsindikatoren erhalten Sie unter
So fügen Sie Leistungsindikatoren im Systemmonitor hinzu.
Einige Objekte, beispielsweise Arbeitsspeicher und Server, verfügen lediglich über eine Instanz,
während andere Leistungsobjekte mehrere Instanzen aufweisen können. Wenn ein Objekttyp über
mehrere Instanzen verfügt, können Sie Leistungsindikatoren hinzufügen, um Statistiken für jede
einzelne Instanz oder auch für alle Instanzen gleichzeitig zu erstellen.
Je nach Definition des Leistungsindikators kann es sich bei dem Wert um folgende Elemente handeln:

Die letzte Messung eines Aspekts der Ressourcenverwendung. Dies wird auch als unmittelbare
Leistungsindikatoren bezeichnet.
Ein Beispiel hierfür ist der Wert Prozess\Threadanzahl, der die Anzahl der Threads für einen
bestimmten Prozess zum Zeitpunkt der letzten Messung angibt.

Den Durchschnitt der letzten beiden Messungen in dem Zeitraum zwischen den Abtastvorgängen. (Da
Leistungsindikatoren niemals gelöscht werden, handelt es sich hierbei eigentlich um den Durchschnitt
der Differenz zwischen den Messungen.)
Ein Beispiel hierfür ist der Wert Speicher\Seiten/s, ein Wert pro Sekunde, der auf der
durchschnittlichen Anzahl der Speicherseiten während der letzten beiden Abtastvorgänge
basiert.
Weitere Leistungsindikatortypen können wie im Platform Software Development Kit
beschrieben definiert werden.
Die Kombination aus Computername, Objekt, Leistungsindikator, Instanz und Instanzindex wird als
Leistungsindikatorpfad bezeichnet. Dieser wird in den Tools in der Regel folgendermaßen angegeben:
Computername\Objektname(Instanzname#Indexnummer)\Leistungsindikatorname
Die Angabe Computername ist optional. Wird kein Name angegeben, verwendet Windows XP
standardmäßig den lokalen Computer.
.
2.8 Verwaltung/Lokale Sicherheitsrichtlinie
Kontorichtlinien und lokale Richtlinien
Kontorichtlinien
Alle Sicherheitsrichtlinien sind computerbasierte Richtlinien. Kontorichtlinien werden auf Computern
definiert, wirken sich jedoch auf die Interaktion zwischen Benutzerkonten und dem Computer oder der
Domäne aus. Kontorichtlinien enthalten drei Untermengen:



Kennwortrichtlinien. Diese werden für Domänen- oder lokale Benutzerkonten verwendet. Damit
werden Einstellungen für Kennwörter, wie z. B. Erzwingen und Gültigkeitsdauer, festgelegt.
Kontosperrungsrichtlinien. Diese werden für Domänen- oder lokale Benutzerkonten verwendet. Damit
werden die Umstände und die Zeitdauer für eine Kontosperre festgelegt.
Kerberos-Richtlinien. Diese werden für Domänenbenutzerkonten verwendet. Damit werden auf
Kerberos bezogene Einstellungen, wie z. B. die Gültigkeitsdauer von Tickets und Erzwingen,
festgelegt. Kerberos-Richtlinien sind nicht in den lokalen Computerrichtlinien vorhanden.
Für Domänenkonten kann nur eine Kontorichtlinie festgelegt werden. Die Kontorichtlinie muss in der
Standarddomänenrichtlinie definiert werden und wird von den Domänencontrollern erzwungen, aus
denen die Domäne besteht. Ein Domänencontroller ruft stets die Kontorichtlinie vom
Gruppenrichtlinienobjekt der Standarddomänenrichtlinie ab, selbst wenn für die Organisationseinheit,
die den Domänencontroller enthält, eine andere Kontorichtlinie verwendet wird. Standardmäßig
erhalten Arbeitsstationen und Server, die einer Domäne angehören (wie z. B. Mitgliedscomputer),
dieselbe Kontorichtlinie für ihre lokalen Konten. Lokale Kontorichtlinien können sich jedoch von den
Domänenkontorichtlinien unterscheiden, wie z. B. beim Definieren einer Kontorichtlinie speziell für die
lokalen Konten.
Es gibt in den Sicherheitsoptionen zwei Richtlinien, die sich auch wie Kontorichtlinien verhalten. Diese
lauten wie folgt:


Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen
Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen
Lokale Richtlinien
Diese Richtlinien gelten für einen Computer und enthalten die folgenden Untermengen:



Überwachungsrichtlinien. Hiermit wird bestimmt, ob Sicherheitsereignisse im Sicherheitsprotokoll auf
dem Computer protokolliert werden. Es wird ebenso bestimmt, ob erfolgreiche Versuche,
fehlgeschlagene Versuche oder beide protokolliert werden. (Das Sicherheitsprotokoll ist Teil der
Ereignisanzeige.)
Zuweisen von Benutzerrechten. Hiermit wird bestimmt, welche Benutzer oder Gruppen über
Anmelderechte oder -berechtigungen auf dem Computer verfügen.
Sicherheitsoptionen. Hiermit werden Sicherheitseinstellungen für den Computer aktiviert oder
deaktiviert. Hierzu zählen z. B. digitale Signaturen von Daten, Namen von Administrator- und
Gastkonten, der Zugriff auf Disketten- und CD-ROM-Laufwerke, Treiberinstallation und
Anmeldeaufforderungen.
Da auf einen Computer mehr als eine Richtlinie angewendet werden kann, kann es bei den
Sicherheitsrichtlinieneinstellungen zu Konflikten kommen. Die Vorrangsreihenfolge von oben nach
unten ist Organisationseinheit, Domäne und lokaler Computer. Weitere Informationen finden Sie unter
Anwenden der Sicherheitsrichtlinien.
Arbeitsplatzsicherheit für Dateisystem, Registrierung, Systemdienste
Zur Bearbeitung der Sicherheitseinstellungen für Dateisystem, Registrierung oder Systemdienste auf
dem lokalen Computer müssen Sie folgende Schritte ausführen.
1.
2.
Erstellen oder bearbeiten Sie eine Sicherheitsvorlage. Weitere Informationen finden Sie unter
Definieren einer Sicherheitsvorlage.
Wenden Sie die Vorlage mithilfe von Sicherheitskonfiguration und -analyse auf den lokalen Computer
an. Weitere Informationen erhalten Sie unter So konfigurieren Sie die Arbeitsplatzsicherheit.
Einführung in Benutzerrechte
Administratoren können Gruppenkonten oder einzelnen Benutzerkonten bestimmte Rechte zuweisen.
Durch das Zuweisen dieser Rechte wird Benutzern das Durchführen bestimmter Aktionen gestattet,
beispielsweise die interaktive Anmeldung an einem System oder das Sichern von Dateien und
Verzeichnissen. Benutzerrechte werden im Unterschied zu Berechtigungen nicht einzelnen Objekten
angefügt, sondern für einzelne Benutzerkonten festgelegt. Weitere Informationen zu Berechtigungen
finden Sie unter Auswirkungen der Vererbung auf die Datei- und Ordnerberechtigungen.
Über Benutzerrechte können auf der lokalen Ebene die Möglichkeiten der Einflussnahme für einzelne
Benutzer festgelegt werden. Obwohl Benutzerrechte durchaus einzelnen Benutzerkonten zugewiesen
werden können, sollten sie am besten auf der Ebene von Gruppenkonten verwaltet werden. Dies
gewährleistet, dass einem Benutzer (durch die Vererbung der Gruppenrechte) automatisch dieselben
Rechte wie der Gruppe zugewiesen werden, wenn dieser sich als Mitglied einer Gruppe anmeldet.
Durch das Zuweisen von Benutzerrechten zu Gruppen wird der im Zusammenhang mit der
Kontenverwaltung entstehende Aufwand (im Gegensatz zu einer individuellen Vergabe der
Benutzerrechte) erheblich verringert. Wenn sämtliche Benutzer einer Gruppe dieselben Rechte
erhalten sollen, können Sie der Gruppe diese Rechte einmalig zuweisen. Auf diese Weise müssen Sie
diese Rechte nicht jedem Benutzerkonto einzeln zuweisen.
Einer Gruppe zugewiesene Benutzerrechte gelten für sämtliche Benutzer, die Mitglieder dieser
Gruppe sind. Wenn ein Benutzer Mitglied mehrerer Gruppen ist, werden diesem Benutzer auch
sämtliche für diese Gruppen angegebenen Rechte zugewiesen. In diesem Fall verfügt der Benutzer
über mehrere Sätze von Rechten. Ein Konflikt zwischen den einer Gruppe zugewiesenen Rechten
und den Rechten, die für eine andere Gruppe festgelegt wurden, tritt nur bei bestimmten
Anmelderechten auf. Normalerweise ist ein Konflikt zwischen den verschiedenen Gruppen
zugewiesenen Rechten jedoch nicht zu erwarten. Zum Aufheben der Rechtezuweisung für einen
Benutzer braucht der Administrator nur den entsprechenden Benutzer aus der Gruppe zu entfernen.
Der Benutzer verliert hierdurch auch die ihm zuvor aufgrund der Gruppenmitgliedschaft gewährten
Rechte.
Es gibt zwei Arten von Benutzerrechten: Privilegien, wie z. B. das Recht, Dateien und Verzeichnisse
zu sichern, und Anmelderechte, wie z. B. das Recht, sich lokal an einem System anzumelden.
Weitere Informationen finden Sie unter Privilegien und Anmelderechte.
Privilegien
Es empfiehlt sich, Privilegien Gruppenkonten und nicht einzelnen Benutzerkonten zuzuweisen, um
den Aufwand bei der Kontenverwaltung gering zu halten. Nach dem Zuweisen von Privilegien zu
einem Gruppenkonto werden diese Privilegien neuen Benutzern automatisch zugewiesen, wenn diese
Mitglied der entsprechenden Gruppe werden. Dieses Verfahren der Privilegienverwaltung ist erheblich
einfacher als die Zuweisung individueller Privilegien bei jedem Erstellen eines Benutzerkontos.
In der folgenden Tabelle werden sämtliche Privilegien beschrieben, die einem Benutzer gewährt
werden können.
Privileg
Beschreibung
Dieses Privileg ermöglicht einem Prozess die Authentifizierung als
Benutzer und somit den Zugriff auf sämtliche einem Benutzer
zugängliche Ressourcen. Nur Authentifizierungsdienste auf niedriger
Ebene sollten dieses Privileg benötigen. Beachten Sie, dass sich der
mögliche Zugriff nicht auf den Zugriff beschränkt, der dem Benutzer
als Standard gewährt wird; der aufrufende Prozess fordert
möglicherweise das Hinzufügen von weiteren Privilegien zum
Als Teil des Betriebssystems
handeln
Zugriffstoken an. Der aufrufende Prozess erstellt möglicherweise auch
ein Zugriffstoken, das keine primäre Identität für die
Ereignisprotokollierung im Überwachungsprotokoll bietet.
Prozesse, für die dieses Privileg erforderlich ist, sollten das Konto
LocalSystem (diesem ist das Privileg bereits zugewiesen) anstelle
eines anderen Benutzerkontos verwenden, dem dieses Privileg erst
zugewiesen werden muss.
Standardeinstellung: Keine
Ermöglicht dem Benutzer das Hinzufügen eines Computers zu einer
bestimmten Domäne. Damit dieses Privileg wirksam ist, muss es dem
Arbeitsstationen zu einer Domäne Benutzer als Teil der Standard-Domänencontrollerrichtlinie für die
hinzufügen
Domäne zugewiesen werden. Ein Benutzer mit diesem Privileg kann
bis zu 10 Arbeitsstationen zur Domäne hinzufügen.
Es kann Benutzern auch ermöglicht werden, einen Computer zu einer
Domäne hinzuzufügen, indem sie die Berechtigung Create Computer
Objects für eine Organisationseinheit bzw. für den Container
Computer in Active Directory erhalten. Benutzer mit der Berechtigung
Create Computer Objects können eine unbegrenzte Anzahl von
Computern zur Domäne hinzufügen, unabhängig davon, ob ihnen das
Privileg Arbeitsstationen zu einer Domäne hinzufügen zugewiesen
wurde.
Standardeinstellung: Keine
Bestimmt, welche Konten einen Prozess mit Schreibeigenschaftszugriff auf
einen anderen Prozess verwenden können, um das diesem Prozess
zugewiesene Prozessorkontingent zu erhöhen.
Anpassen der
Arbeitsspeicherquoten für einen
Prozess
Dieses Benutzerrecht wird im Gruppenrichtlinienobjekt des
Standarddomänencontrollers und in der lokalen Sicherheitsrichtlinie
von Arbeitsstationen und Servern definiert.
Standardeinstellung: Administratoren
Ermöglicht einem Benutzer das Umgehen der Datei- und
Verzeichnisberechtigungen für die Sicherung des Systems. Das
Privileg wird nur dann ausgewählt, wenn eine Anwendung den Zugriff
Sichern von Dateien und
Verzeichnissen
über die NTFS-Sicherungs-API (Application Programming Interface,
Schnittstelle für Anwendungsprogrammierung) versucht. Andernfalls
gelten die normalen Datei- und Verzeichnisberechtigungen.
Standardeinstellung: Administratoren und Sicherungs-Operatoren.
Ermöglicht einem Benutzer beim Navigieren in einem Objektpfad im
NTFS-Dateisystem oder in der Registrierung das Durchlaufen
normalerweise nicht zugänglicher Ordner. Dieses Privileg lässt nicht
zu, dass der Benutzer den Inhalt eines Ordners auflistet, sondern
Wechselprüfung umgehen
gewährt dem Benutzer nur das Durchlaufen der Verzeichnisse.
Standardeinstellung: Administratoren, Sicherungs-Operatoren,
Hauptbenutzer, Benutzer und Jeder auf Mitgliedsservern und
Arbeitsstationen. Auf Domänencontrollern gilt dieses Privileg für
Administratoren, Authentifizierte Benutzer und Jeder.
Ermöglicht einem Benutzer das Einstellen der internen Uhr des
Computers.
Ändern der Systemzeit
Standardeinstellung: Administratoren, Hauptbenutzer, Lokaler Dienst
und Netzwerkdienst auf Mitgliedsservern und Arbeitsstationen. Auf
Domänencontrollern gilt dieses Privileg für Administratoren, ServerOperatoren, Lokaler Dienst und Netzwerkdienst.
Ermöglicht einem Prozess das Erstellen eines Tokens, der von
diesem anschließend für den Zugriff auf eine beliebige lokale
Ressource verwendet werden kann. Hierzu muss der Prozess jedoch
mit NtCreateToken() oder anderen APIs für die Tokenerstellung
arbeiten.
Tokenobjekt erstellen
Prozesse, für die dieses Privileg erforderlich ist, sollten das Konto
LocalSystem (diesem ist das Privileg bereits zugewiesen) anstelle
eines anderen Benutzerkontos verwenden, dem dieses Privileg erst
zugewiesen werden muss.
Standardeinstellung: Keine
Ermöglicht einem Benutzer das Erstellen einer Auslagerungsdatei
sowie das Ändern der Größe dieser Datei. Hierzu wird in den
Systemeigenschaften auf der Registerkarte Erweitert unter
Auslagerungsdatei erstellen
Leistungsoptionen eine Größe für die Auslagerungsdatei auf einem
bestimmten Laufwerk angegeben.
Standardeinstellung: Administratoren
Ermöglicht einem Prozess das Erstellen eines Verzeichnisobjekts im
Objekt-Manager von Windows XP Professional. Dieses Privileg eignet
sich für Kernelmoduskomponenten, die den Objektnamespace
Permanent freigegebene Objekte
erstellen
erweitern. Komponenten, die im Kernelmodus ausgeführt werden, ist
dieses Privileg bereits zugewiesen; dieses Privileg muss ihnen nicht
zugewiesen werden.
Standardeinstellung: Keine
Programme debuggen
Ermöglicht einem Benutzer das Einbinden eines Debuggers in einen
beliebigen Prozess. Dieses Privileg gewährt leistungsstarken Zugriff auf
entscheidende Komponenten des Betriebssystems.
Standardeinstellung: Administratoren
Ermöglicht es einem Benutzer, die Einstellung Für Delegierungszwecke
vertraut für ein Benutzer- oder Computerobjekt in Active Directory zu
ändern. Der Benutzer oder Computer, dem dieses Privileg gewährt wird,
muss auch über Schreibzugriff für die Kontokontrollflags des jeweiligen
Objekts verfügen. Die Delegierung der Authentifizierung ist eine von
Zuweisen der Vertrauensstellung
mehrstufigen Client/Server-Anwendungen verwendete Funktion. Sie
für Delegierungszwecke an
ermöglicht einem Front-End-Dienst, die Anmeldeinformationen eines Clients
Benutzer- und Computerkonten
bei der Authentifizierung an einem Back-End-Dienst zu verwenden. Dies ist
nur möglich, wenn sowohl Client als auch Server unter Konten ausgeführt
werden, denen für die Delegierung vertraut wird. Ein Missbrauch dieses
Privilegs oder der Einstellung Für Delegierungszwecke vertraut kann zu
einer Gefährdung des Netzwerkes durch trojanische Pferde führen, wenn
diese die Identität einwählender Clients übernehmen und die
Anmeldeinformationen dieser Clients für einen Zugriff auf
Netzwerkressourcen verwenden.
Standardeinstellung: Dieses Privileg wird niemandem auf
Mitgliedsservern und Arbeitsstationen zugewiesen, da es in diesem
Kontext bedeutungslos ist. Auf Domänencontrollern wird dieses
Privileg standardmäßig Administratoren zugewiesen.
Ermöglicht einem Benutzer das Herunterfahren eines Computers von einem
Remotestandort im Netzwerk aus. (Siehe auch Privileg System
herunterfahren).
Herunterfahren von einem
Remotesystem aus
Standardeinstellung: Administratoren auf Mitgliedsservern und
Arbeitsstationen. Auf Domänencontrollern wird dieses Privileg
standardmäßig Administratoren und Server-Operatoren zugewiesen.
Sicherheitsüberwachungen
generieren
Ermöglicht einem Prozess, Einträge im Sicherheitsprotokoll zu generieren.
Das Sicherheitsprotokoll wird für die Verfolgung nicht autorisierter
Systemzugriffe verwendet. (Siehe auch Privileg Überwachungs- und
Sicherheitsprotokoll verwalten.)
Standardeinstellung: Lokaler Dienst und Netzwerkdienst.
Zeitplanungspriorität anheben
Ermöglicht einem Prozess mit Schreibeigenschaftszugriff auf einen anderen
Prozess, die Ausführungspriorität für diesen Prozess zu erhöhen. Ein
Benutzer mit diesem Privileg kann die Planungspriorität für einen Prozess in
Task-Manager ändern.
Standardeinstellung: Administratoren
Ermöglicht einem Benutzer das Installieren und Deinstallieren von
Plug & Play-Gerätetreibern. Dieses Privileg wirkt sich nicht auf die
Möglichkeit aus, Treiber für Geräte zu installieren, die Plug & Play nicht
unterstützen. Treiber für nicht Plug & Play-fähige Geräte können nur von
Administratoren installiert werden.
Standardeinstellung: Administratoren. Es wird empfohlen, dieses
Privileg keinem anderen Benutzer zuzuweisen. Gerätetreiber werden
Laden und Entfernen von
Gerätetreibern
als vertrauenswürdige (oder sehr privilegierte) Programme ausgeführt.
Ein Benutzer mit dem Privileg Laden und Entfernen von
Gerätetreibern könnte dieses Privileg unabsichtlich durch Installieren
von bösartigem Code, der als Gerätetreiber getarnt ist, missbrauchen.
Es wird davon ausgegangen, dass Administratoren sehr sorgfältig
vorgehen und nur Treiber mit bestätigten digitalen Signaturen
installieren.
Seiten im Speicher sperren
Ermöglicht einem Prozess, Daten im physischen Speicher zu belassen und
damit die Auslagerung in den virtuellen Speicher auf dem Datenträger zu
verhindern. Das Zuweisen dieses Privilegs kann zu einer bedeutenden
Verschlechterung der Systemleistung führen.
Standardeinstellung: Wird niemandem zugewiesen. Bestimmten
Systemprozessen ist dieses Privileg bereits zugewiesen.
Verwalten von Überwachungsund Sicherheitsprotokoll
Ermöglicht einem Benutzer die Angabe von Überwachungsoptionen für den
Objektzugriff auf persönliche Ressourcen, beispielsweise Dateien, Active
Directory-Objekte und Registrierungsschlüssel. Die Überwachung des
Objektzugriffs wird nur ausgeführt, wenn sie in der Überwachungsrichtlinie
(unter Sicherheitseinstellungen, Lokale Richtlinien) aktiviert wurde. Die
Vergabe dieses Privilegs an einen Benutzer ermöglicht außerdem das
Einsehen und Löschen des Sicherheitsprotokolls in der Ereignisanzeige.
Die Vergabe dieses Privilegs an einen Benutzer ermöglicht außerdem
das Einsehen und Löschen des Sicherheitsprotokolls in der
Ereignisanzeige.
Standardeinstellung: Administratoren
Umgebungswerte für Firmware
ändern
Ermöglicht sowohl einem Prozess (über eine API) als auch einem Benutzer
(über die Systemeigenschaften) das Ändern der Systemumgebungsvariablen.
Standardeinstellung: Administratoren
Ermöglicht einem Benutzer den Einsatz der
Leistungsüberwachungsprogramme von Windows XP Professional für die
Überwachung der Leistung von systemfremden Prozessen.
Profil eines einzelnen Prozesses
erstellen
Standardeinstellung: Administratoren und Hauptbenutzer auf
Mitgliedsservern und Arbeitsstationen. Auf Domänencontrollern wird
dieses Privileg nur Administratoren zugewiesen.
Systemleistungsprofil erstellen
Ermöglicht einem Benutzer den Einsatz der
Leistungsüberwachungsprogramme für die Überwachung der Leistung der
Systemprozesse.
Standardeinstellung: Administratoren
Ermöglicht es dem Benutzer eines tragbaren Computers, den Computer durch
Klicken auf PC trennen im Startmenü abzudocken.
Entfernen des Computers aus der
Dockingstation
Standardeinstellung: "Administratoren", "Benutzer" und
"Hauptbenutzer".
Bestimmt, welche Benutzerkonten einen Prozess initiieren können, um das
mit einem gestarteten Unterprozess verknüpfte Standardtoken zu ersetzen.
Dieses Benutzerrecht wird im Gruppenrichtlinienobjekt des
Ein Prozessebenentoken ersetzen Standarddomänencontrollers und in der lokalen Sicherheitsrichtlinie
von Arbeitsstationen und Servern definiert.
Standardeinstellung: Lokaler Dienst und Netzwerkdienst.
Ermöglicht einem Benutzer, Datei- und Verzeichnisberechtigungen beim
Wiederherstellen von gesicherten Dateien und Verzeichnissen zu umgehen
Wiederherstellen von Dateien und
und außerdem einen beliebigen gültigen Sicherheitsprinzipal als Besitzer
Verzeichnissen
eines Objekts anzugeben. (Siehe auch Privileg Dateien und Verzeichnisse
sichern.)
Standardeinstellung: Administratoren und Sicherungs-Operatoren.
Ermöglicht einem Benutzer das Herunterfahren des lokalen Computers.
Standardeinstellung: Administratoren, Sicherungs-Operatoren,
Hauptbenutzer und Benutzer auf Arbeitsstationen. Auf
System herunterfahren
Mitgliedsservern gilt dieses Privileg für Administratoren,
Hauptbenutzer und Sicherungs-Operatoren. Auf Domänencontrollern
wird dieses Privileg Administratoren, Konten-Operatoren, SicherungsOperatoren, Druck-Operatoren und Server-Operatoren zugewiesen.
Synchronisieren der
Verzeichnisdienstdaten
Ermöglicht einem Prozess, Verzeichnissynchronisierungsdienste
bereitzustellen. Dieses Privileg ist nur auf Domänencontrollern von
Bedeutung.
Standardeinstellung: Keine
Übernehmen des Besitzes an
Dateien und Objekten
Ermöglicht einem Benutzer, die Besitzrechte für ein zu sicherndes Objekt im
System zu übernehmen, beispielsweise für Active Directory-Objekte, NTFSDateien und -Ordner, Drucker, Registrierungsschlüssel, Dienste, Prozesse
sowie Threads.
Standardeinstellung: Administratoren
Einige Privilegien können die für ein Objekt angegebenen Berechtigungen überschreiben.
Beispielsweise ist ein als Mitglied der Gruppe Sicherungsoperatoren in einem Domänenkonto
angemeldeter Benutzer berechtigt, auf allen Domänenservern Sicherungsvorgänge durchzuführen.
Dies erfordert jedoch eine Leseberechtigung für alle Dateien auf diesen Servern, auch wenn die für
einige dieser Dateien durch die Benutzer festgelegten Berechtigungen ausdrücklich jeden
Benutzerzugriff (auch durch Mitglieder der Gruppe Sicherungsoperatoren) verweigern. Ein
Benutzerrecht, in diesem Fall das Recht, eine Sicherung vorzunehmen, hat Vorrang vor allen Dateiund Verzeichnisberechtigungen.
Anmelderechte
In der folgenden Tabelle werden die Anmelderechte aufgeführt und beschrieben. Diese
Standardeinstellungen gelten für Windows XP Professional.
Anmelderecht
Auf diesen Computer vom
Netzwerk aus zugreifen
Beschreibung
Ermöglicht es einem Benutzer, eine Verbindung mit dem Computer über das
Netzwerk herzustellen.
Standardeinstellung: Administratoren, Jeder, Benutzer, Hauptbenutzer
und Sicherungs-Operatoren.
Anmeldung über
Terminaldienste zulassen
Ermöglicht es einem Benutzer, sich an diesem Computer über eine
Remotedesktopverbindung anzumelden.
Standardeinstellung: Administratoren und Remotedesktopbenutzer.
Ermöglicht einem Benutzer die Anmeldung anhand einer Batchwarteschlange.
Anmelden als
Stapelverarbeitungsauftrag
Standardeinstellung: Keine.
Wenn die Internet-Informationsdienste (Internet Information Services, IIS)
installiert sind, wird das Recht automatisch einem vordefinierten Konto
für den anonymen Zugriff auf IIS zugewiesen.
Anmelden als Dienst
Gestattet einem Sicherheitsprinzipal die Anmeldung als Dienst. Dienste können
so konfiguriert werden, dass Sie unter dem Konto LocalSystem, Lokaler Dienst
oder Netzwerkdienst ausgeführt werden, die über ein vordefiniertes Recht zum
Anmelden als Dienst verfügen. Jedem Dienst, der unter einem separaten
Benutzerkonto ausgeführt wird, muss dieses Recht zugewiesen werden.
Standardeinstellung: Keine
Ermöglicht es einem Benutzer, sich mithilfe der Tastatur des Computers
anzumelden.
Lokale Anmeldung
Standardeinstellung: Administratoren, Hauptbenutzer, Benutzer, Gast
und Sicherungs-Operatoren.
Anmelden als Dienst
Gestattet einem Sicherheitsprinzipal die Anmeldung als Dienst. Dienste können
so konfiguriert werden, dass Sie unter dem Konto LocalSystem, Lokaler Dienst
oder Netzwerkdienst ausgeführt werden, die über ein vordefiniertes Recht zum
Anmelden als Dienst verfügen. Jedem Dienst, der unter einem separaten
Benutzerkonto ausgeführt wird, muss dieses Recht zugewiesen werden.
Standardeinstellung: Keine
Zugriff vom Netzwerk auf
diesen Computer verweigern
Verbietet es einem Benutzer oder einer Gruppe, eine Verbindung mit dem
Computer über das Netzwerk herzustellen.
Standardeinstellung: Keine
Verbietet es einem Benutzer oder einer Gruppe, sich direkt mithilfe der Tastatur
anzumelden.
Lokale Anmeldung verweigern
Standardeinstellung: Keine
Anmeldung als Batchauftrag
verweigern
Verbietet es einem Benutzer oder einer Gruppe, sich anhand einer
Batchwarteschlange anzumelden.
Standardeinstellung: Keine
Verbietet es einem Benutzer oder einer Gruppe, sich als Dienst anzumelden.
Anmeldung als Dienst
verweigern
Anmeldung über
Terminaldienste verweigern
Standardeinstellung: Keine
Verbietet es einem Benutzer oder einer Gruppe, sich als Terminaldiensteclient
anzumelden.
Standardeinstellung: Keine
Das spezielle Benutzerkonto LocalSystem verfügt über die meisten dieser Privilegien und
Anmelderechte, da sämtliche zum Betriebssystem gehörenden Prozesse mit diesem Konto verbunden
sind und ihnen sämtliche Rechte zugewiesen sein müssen.
Bei einem Dienst handelt es sich um einen Anwendungstyp, der im Hintergrund
ausgeführt wird und mit UNIX-Dämonanwendungen vergleichbar ist.
Dienstanwendungen stellen in der Regel Features wie Client-/Serveranwendungen,
Webserver, Datenbankserver und andere serverbasierte Anwendungen für Benutzer
auf lokaler Ebene sowie im Netzwerk bereit.
2.4 Dienste
Sie können Dienste für folgende Aufgaben verwenden:





Starten, Beenden, Anhalten, Fortsetzen oder Deaktivieren von Diensten auf Remoteund lokalen Computern. Sie müssen über die entsprechenden Berechtigungen
verfügen, um Dienste starten, beenden, anhalten, neu starten und deaktivieren zu
können.
Verwalten von Diensten auf lokalen und Remotecomputern (nur auf
Remotecomputern, auf denen Windows XP, Windows 2000 oder Windows NT 4.0
ausgeführt wird).
Einrichten von Wiederherstellungsmaßnahmen, die beim Fehlschlagen eines Dienstes
ausgeführt werden, wie z. B. das automatische Neustarten des Dienstes oder des
Computers (nur auf Computern unter Windows XP oder Windows 2000).
Aktivieren oder Deaktivieren von Diensten für ein bestimmtes Hardwareprofil.
Anzeigen des Status und der Beschreibung jedes Dienstes.
Berechtigungen für Dienste
Jeder Dienst verfügt über bestimmte Berechtigungen, die Sie für jeden Benutzer oder
jede Gruppe erteilen oder verweigern können. Sie können die Berechtigungen für
einzelne Dienste mithilfe von Sicherheitsvorlagen festlegen. Weitere Informationen
zu diesem Thema finden Sie unter Sicherheitsvorlagen.
Dienste müssen sich an einem Konto anmelden, um auf die Ressourcen und Objekte
des Betriebssystems zugreifen zu können. Einige Dienste sind standardmäßig für die
Anmeldung am lokalen Systemkonto konfiguriert. Dieses Konto hat Vollzugriff auf
das System. Wenn sich ein Dienst am lokalen Systemkonto auf einem
Domänencontroller anmeldet, hat dieser Dienst Zugriff auf die gesamte Domäne.
Andere Dienste sind für die Anmeldung an den Konten LocalService oder
NetworkService konfiguriert, bei denen es sich um speziell integrierte Konten
handelt, die mit authentifizierten Benutzerkonten vergleichbar sind. Diese Konten
verfügen über dieselben Zugriffsrechte auf Ressourcen und Objekte wie Mitglieder
der Gruppen Benutzer. Durch diesen eingeschränkten Zugriff kann das System
geschützt werden, falls einzelne Dienste oder Vorgänge gefährdet sind.
Dienste, die mit dem Konto LocalService ausgeführt werden, greifen als Nullsitzung
ohne Anmeldeinformationen auf Netzwerkressourcen zu. Dienste, die mit dem Konto
NetworkService ausgeführt werden, greifen unter Verwendung der
Anmeldeinformationen des Computerkontos auf Netzwerkressourcen zu.
Weitere Informationen zum Konfigurieren eines Dienstes finden Sie unter So
konfigurieren Sie den Starttyp eines Dienstes.
Achtung

Durch Ändern des Kontos, mit dem ein Dienst ausgeführt wird, kann möglicherweise
der Dienst nicht mehr ordnungsgemäß ausgeführt werden.
In der folgenden Tabelle sind die einzelnen Berechtigungen für Dienste aufgelistet,
die Sie anwenden können.
Berechtigung
Vollzugriff
Vorlage abfragen
Vorlage ändern
Status abfragen
Abhängigkeiten
auflisten
Starten
Beenden
Unterbrechen und
Fortsetzen
Abfragen
Benutzerdefinierte
Steuerung
Löschen
Berechtigungen lesen
Berechtigungen
ändern
Besitz übernehmen
Zulässige Aufgaben
Durchführen sämtlicher Funktionen. Mit dieser Berechtigung werden
dem Benutzer automatisch alle Dienstberechtigungen erteilt.
Festlegen der einem Dienstobjekt zugeordneten
Konfigurationsparameter.
Ändern der Konfiguration eines Dienstes.
Zugreifen auf Informationen zum Dienststatus.
Ermitteln aller anderen Dienste, die vom angegebenen Dienst
abhängig sind.
Starten eines Dienstes.
Beenden eines Dienstes.
Unterbrechen und Fortsetzen des Dienstes.
Berichten der aktuellen Statusinformationen für den Dienst.
Senden einer benutzerdefinierten Steuerungsanforderung oder einer
dienstspezifischen Anforderung an den Dienst.
Löschen eines Dienstes.
Lesen der dem Dienst zugewiesenen Sicherheitsberechtigungen.
Ändern der dem Dienst zugewiesenen Sicherheitsberechtigungen.
Ändern eines Sicherheitsschlüssels oder Ändern einer Berechtigung
eines Dienstes, der nicht im Besitz des Benutzers ist.
3.0 Benutzerkonten
Hier kann man sich ein neues Konto für ein anderen Benutzer oder ein Gast Anlegt oder
seinen Aktuelles Konto Bearbeiten oder löschen.
3.1 Benutzerkonten
Die Vorteil die sich mit mehren Konten ergib ,insofern es mehrer Benutzer gib.
3.2 Typen
Auf dem Bild kann man jetzt sehen welche verschieden Typen von Benutzer es gib der
Administrator oder der Begrenzte Nutzer.
3.3 Wechsel
Wenn man jetzt von der Position des bild auf Benutzer wechseln geht kann man zwischen den
Benutzer wechseln ohne die anderen Programme zu schlissen oder irgendetwas an Daten zu
verlieren .
3.4 Datenaustausch
Bei diesem Fenster kann man die Daten zwischen den mehreren Benutzer Tauchen oder nur
Rüber Kopieren .
4.0 Workstation
Eine Workstation wird heute zu Tag mit 2 dingen in Verbindung gebracht
1.Mit einem Hochleistungs- Rechner oder
2.Mit einer Netzwerk Verbindung die einen Server als Steuerungs- Einheit hat bzw. und
(Clients) als Benutzer.
Diese Verbindung ist wie folgt Aufgebaut: Der Server der allen Benutzer seinen Aufgabe zu
teilt ist der Adimistrator (mit den Veränderungs- Rechten )und der Client ist der Benutzer der
zugewiesen Daten ( der Benutzer.)
5.0 Desktop Anpassung
Unter Design hat man die Möglichkeit zwischen 2 vorgefertigten Windows Models zu
Wählen das Alte bzw. Klassik oder das neue XP Model.
5.1 Desktop
Hier kann man sich nach belieben ein Hintergrundbild aussuchen.
5.1.1 Desktopelemente
Unter Desktopelemente kann man sich das Desktop so gestallten wie man es gerne hätte z.b.
Die Standart Icons wie Arbeitsplatz falls man sie gelöscht hat oder sie auf einmal weg sind.
Nun ja wenn man zu viel „Müll“ auf dem Desktop haben sollte kann man es Übersichtlichter
über „Desktop jetzt bereinigen“ machen.
5.2 Desktopelemente/Web
Hier Kann sich der Benutzer nach Lust und laue sein Bildschirmschoner verändern und unter z.B. 3DRohre kann man zwischen mehren Optionen wählten die man dort sieht. Anzeigeeinstellung verändert
sich je nach Grafikkarte.
5.3.1 Darstellung
Darstellung ist fast das selbe wie Designs nur das man jetzt viel mehr Optionen hat seine
eignes Layout zu machen ,insofern es einen interessiert.
5.3.2 Effekte
Nun ja dies ist wieder eine Benutzer frage welche vorleiben man hat und ob es ein wirklichen
Effekt auf das benutzen des Rechners hat , es mach am meisten sinn wenn man das
Kantenglätten bei TFT bzw. Laptops (ClearType) Benutzt, damit die großen Buchstaben oder
Zahlen noch immer gut lesbar sind.
5.4 Desktop Anpassung/Einstellung
Bei Einstellung kann man sich die Bildschirmauflösung verändern oder die
Farbqualität verändern
Zugehörige Unterlagen
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Abacus 2.0 - Preisliste - LABanalytics Abacus 2.0
Abacus 2.0 - Preisliste - LABanalytics Abacus 2.0
Funktion
Funktion
PROFFIX Preisliste Kauf
PROFFIX Preisliste Kauf
SNT Übung 1
SNT Übung 1
Nur eine Schnittstelle Konfiguration
Nur eine Schnittstelle Konfiguration
SERVQUAL Fragebogen zur Kunden - Goethe
SERVQUAL Fragebogen zur Kunden - Goethe
als PPSX Präsentation
als PPSX Präsentation
2. Benutzer verwalten
2. Benutzer verwalten
Praktikum Workgroup Computing 1
Praktikum Workgroup Computing 1
K ey Bank III SPEZIFIKATION
K ey Bank III SPEZIFIKATION
Mit User Experience Design effizient Produkte entwickeln, die
Mit User Experience Design effizient Produkte entwickeln, die
Benutzungsordnung des Instituts für Soziologie
Benutzungsordnung des Instituts für Soziologie
Fachliche Grundlagen - L@N-ORG
Fachliche Grundlagen - L@N-ORG
Hardwarevoraussetzungen für Client / Server
Hardwarevoraussetzungen für Client / Server
Fachbegriffe im E-Business
Fachbegriffe im E-Business
Wichtige Begriffe aus dem E-Business
Wichtige Begriffe aus dem E-Business
network identity SAVERNOVA™
network identity SAVERNOVA™
3_Internet_Einfuehrung
3_Internet_Einfuehrung
Wirtschaftliche Online-Werbung unter Berücksichtigung des
Wirtschaftliche Online-Werbung unter Berücksichtigung des
Diabetisches Fußsyndrom: Kooperation ist der Schlüssel zum Erfolg
Diabetisches Fußsyndrom: Kooperation ist der Schlüssel zum Erfolg
Herunterladen
Werbung