| |
Montag, 4. Dezember 2006Bestimmen der effektiven Berechtigungen von AD-Objekten
Mit dem Tool "Effektive Berechtigungen" kann man die effektiven Rechte für ein Active-Directory-Objekt ermitteln und verändern. Dabei werden sowohl die durch die Gruppenmitgliedschaft gültigen Berechtigungen als auch die geerbten Recht berücksichtigt.
   "Spezielle Berechtigungen" sind immer grau, d.h. geerbt, ein Haken auf grauem Grund zeigt hier, dass unter "Erweitert" zusätzliche Berechtigungen vergeben wurden. Um diese Funktion zu verwenden, müssen vorher unter Ansicht "Erweiterte Funktionen" im MMC-SnapIn "AD Benutzer und Computer" aktiviert werden.  Tatsächlich können die angezeigten Berechtigungen des Benutzers abweichen, da Berechtigungen auf Basis der Anmeldemethode eines Benutzers erteilt oder verweigert werden können. Diese anmeldungsspezifischen Informationen können vom Tool Effektive Berechtigungen nicht bestimmt werden. Ein Benutzer verfügt wenn er lokal angemeldet ist über andere Berechtigungen als wenn er über ein Netzwerk angemeldet wäre. Es werden also keine Freigabe-Berechtigungen, sondern nur NTFS-Berechtigungen geprüft! Freitag, 1. Dezember 2006Optionen für die Offline-Zwischenspeicherung
Der Windows-Server bietet bei der Offline-Freigabe drei unterschiedliche Möglichkeiten an:
 "Manuelles Zwischenspeichern von Dokumenten" eignet sich besonders für einen freigegeben Ordner an dessen Dateien mehrere Benutzer Änderungen vornehmen. Dies ist auch die Standardoption, hier werden nur die gewünschten Dateien und Ordner offline bereit gestellt.  Bei der Option "Automatisches Zwischenspeichern von Dokumenten" stehen die Dokumente erst zur Verfügung, wenn sie einmal geöffnet wurden. Wurden sie noch nicht geöffnet stehen auch offline nicht zur Verfügung. Ältere Dokumente werden automatisch durch neuere Versionen ersetzt. "Für hohe Leistung optimieren" ist eine Option die ausführbare Programme immer aus dem Offline-Cache lädt und nicht übers Netz um dieses zu entlasten. "Nicht offline verfügbar machen" stellt sicher dass Daten nicht offline auf einen lokalen Arbeitsplatz kopiert werden und wird bei sensiblen Daten aus Sicherheitsgründen verwendet. 
Donnerstag, 30. November 2006Konfigurieren von NTFS-Berechtigungen für domänenlokale Gruppen
Hier kann man erkennen, wie die NFTS-Berechtigungen einer frischen Freigabe üblicherweise aussehen. Die meisten Berechtigungen sind geerbt und nicht erwünscht, insbesondere die "Jeder"-Rechte sollten für sensible Daten nicht gesetzt sein.
  Nun werden die erweiterten NTFS-Berechtigungen zunächst komplett entfernt indem das Häkchen vor der Vererbung gelöscht wird.   Danach erst werden sie dann gezielt an den Administrator und die entsprechende domänenlokale Gruppe neu vergeben.  
Donnerstag, 30. November 2006
Freigegebene Ordner konfigurieren ... Geschrieben von MCSE
in 70-290 um
09:09Kommentare (0) Trackbacks (0) Freigegebene Ordner konfigurieren mit dem Ordnerfreigabe-Assistenten
Der Ordnerfreigabe-Assistent kann freigegebene Ordner konfigurieren, man kann ihn z.B. im MMC als Snap-In lokale Computerverwaltung im Kontextmenü der Freigaben aufrufen.
Durch Freigeben von Ressourcen stellt man diese zur Verwendung durch andere Benutzer im Netzwerk zur Verfügung. Dabei muss man bei der Freigabe von Ordnern mit Systemdateien und -ressourcen vorsichtig sein, es ist sicher zu stellen, dass der angegebene Ordner oder die angegebene Ressource keine Informationen enthält, auf die Benutzer nicht zugreifen sollen.   Der Freigabename ist der Name, der für die freigegebene Ressource verwendet werden soll. Der Freigabename muss angegeben werden. Es ist ein kurzer und aussagekräftiger Name zu wählen, sodass Benutzer ihn auf einfache Art identifizieren können.   Benutzerdefinierte Freigabe- und Ordnerberechtigungen werden verwendet wenn man spezifischen Benutzern oder Gruppen den Zugriff erteilen oder verweigern möchten. Die erteilten Berechtigungen sollte man auf die unbedingt zum Ausführen erforderlicher Funktionen benötigten Berechtigungen beschränken. Insbesondere muss man beachten, dass die Gruppe "Jeder" in vielen Fällen entfernt werden muss!    Es macht auch Sinn, der Gruppe "Jeder" den Vollzugriff übers Netzwerk zu geben um die effektiven Zugriffsmöglichkeiten über NTFS-Berechtigungen zu steuern. Mit einem $-Zeichen hinter dem Freigabenamen wird die Freigabe versteckt, die Freigabe kann nur mit Eingabe von "Freigabename$" verwendet werden. Es ist nicht möglich, eine existierende Freigabe nachträglich mit einem $-Zeichen zu versehen! Die Freigabe muss dann erst gelöscht und neu als versteckte Freigabe angelegt werden. Mittwoch, 29. November 2006
Zuweisen eines Managers zu einer Gruppe Geschrieben von MCSE
in 70-290 um
11:38Kommentare (0) Trackbacks (0) Zuweisen eines Managers zu einer Gruppe
Einer Gruppe kann ein Manager zugewiesen werden. Damit können die zuständigen Personen für eine Gruppe nachvollzogen werden und eine Berechtigung für Hinzufügen und Entfernen von Personen aus einer Gruppe delegiert werden. Den DL-Gruppen sollen (bei der A-G-DL-P-Strategie) natürlich keine (A-)Benutzer sondern G-Gruppen hinzugefügt werden.
  Die Verwaltung von AD-Objekten kann auch mit einem Assistenten zur Zuweisung der Objektverwaltung erledigt werden:    
|
SucheKategorien |
Loopback