WinFuture-Forum.de: Zugriffsberechtigungen: Authentifizierte Benutzer - WinFuture-Forum.de

Zum Inhalt wechseln

Alle Informationen zum Thema Windows 7 in unserem Special. Windows 7 Download, FAQ und neue Funktionen im Überblick.
  • 2 Seiten +
  • 1
  • 2

Zugriffsberechtigungen: Authentifizierte Benutzer


#1 Mitglied ist offline   Verprida 

  • Gruppe: aktive Mitglieder
  • Beiträge: 292
  • Beigetreten: 13. Juni 16
  • Reputation: 4

geschrieben 24. Mai 2017 - 20:25

Hallo,

Ich bin ein privater PC Anwender. Mein Computer ist ein normaler klassischer Einzelarbeitsplatz mit Internetzugang. Sonst kein Netzwerk. Ich habe 2 Konten eingerichtet. Nämlich Standardbenutzer, den ich normalerweise verwende und ein Administrator.

Nun gibt es bei den Zugriffsberechtigungen auf Ordner (Eigenschaften->Sicherheit) die Gruppe "Autentifizierte Benutzer".

1 Frage: Wenn ich diese Gruppe lösche, betrifft dies dann nur den betreffenden Ordner und die zugehörigen Unterordner über welchen ich über "Eigenschaften" den Tab "Sicherheit aufgerufen habe, vorausgesetzt, ich habe "vererbbare Berechtigungen des Uebergeordnerten Objekts einschliessen" deaktiviert. (?)

2 Frage: Brauche ich diese Gruppe überhaupt? Was wird anders, wenn ich diese Gruppe lösche.
(Was mir aufgefallen ist, ist, dass beim "autentifizierten Benutzer" "Schreiben" und "ändern" zugelassen ist, aber in meinem Standardkonto "Schreiben" und "ändern" nicht zugelassen ist. Was bedeutet das? Was ich auch festgestellt habe ist, dass ich mit dem Standardkonto "Schreiben" kann, obwohl in meinem Standardkonto "Schreiben" und "ändern" nicht zugelassen ist. Hat das etwas mit den Rechten des "autentifizierten Benutzer" zu tun?)

Eine Antwort würde mich freuen.
0

Anzeige



#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 24. Mai 2017 - 20:33

Laß das alles so, wie es ist. Besonders, wenn Dich das Windows-Berechtigungsmodell als Einzelplatzbenutzer eh nicht betrifft.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#3 Mitglied ist offline   Verprida 

  • Gruppe: aktive Mitglieder
  • Beiträge: 292
  • Beigetreten: 13. Juni 16
  • Reputation: 4

geschrieben 24. Mai 2017 - 20:42

Hallo RalphS

Ich habe im Sinn die Schreibrechte auf meine Backup-Dateien auf der externen Festplatte für das Standardkonto einzuschränken um das Backup vor Ransomware zu schützen. Dabei sind beim Recherchieren diese Fragen aufgetaucht.
0

#4 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 24. Mai 2017 - 21:00

In dem Fall gilt: Alles das, was "Du" darfst, darf eine Software, welche in Deinem Kontext läuft, auch.

Egal warum, also ob das auf Einzelbenutzer- oder auf Gruppenbasis fußt.

Externe Festplatten sind an dieser Stelle ein Problem: Das Berechtigungsmodell ist nämlich instanzspezifisch. Wenn nicht gerade eine Domain im Hintergrund steht (was privat normalerweise nie der Fall ist) dann gelten Benutzerkontexte insbesondere NUR im Kontext der zugehörigen Windowsinstanz.

Heißt: Wenn Du jetzt eine Festplatte her nimmst und dieser Festplatte die "allgemeinen" Zugriffsrechte entziehst, dann wirst Du auf diese Festplatte nur von diesem Windows-System aus zugreifen können. Anderer Rechner? Geht nicht. Windows neu installiert? Geht auch nicht. Ausnahme: Mit einem Adminkonto lassen sich die Berechtigungen neu schreiben, sodaß Zugriff wieder möglich ist.

(Externe) Festplatte abklemmen ist daher die einzig sinnvolle Maßnahme.


Ansonsten kannst Du grob umrissen:

- Ein Verzeichnis anlegen
- Diesem Verzeichnis die Vererbung DEaktivieren und auf Anfrage alle Berechtigungen ENTFERNEN lassen
- Jetzt mußt Du einen Benutzerkontext haben, in welchem die Backup+Restoreanwendung laufen soll. Nennen wir den Benutzer B_und_R.
- Dieser Benutzerkontext muß auf dem Ordner MODIFY (Ändern) bekommen.
- Läuft Dein Backup-Tool in zwei klaren Modi (Backup einmal, Restore ein andermal) kannst Du zwei Benutzer anlegen und nur der Backup-Benutzer muß ÄNDERN, für RESTORE reicht LESEN für Dateien und LESEN+AUSFÜHREN für Ordner. Außerdem muß RESTORE ins Zielsystem schreiben können.
Am besten kriegst Du das hin, indem Du beide den Backup-Operatoren hinzufügst und dann bei Bedarf dieser Gruppe Zugriffsrechte VERWEIGERST (also dort Haken setzen). Dann ist für Mitglieder der Gruppe der jeweilige Zugriff grundsätzlich nicht mehr möglich.


Ganz wichtig: Funktioniert nur, wenn der jeweilige Benutzer nicht direkt oder indirekt Mitglied der Administratorengruppe ist. Die dürfen nämlich bis auf weiteres Berechtigungen ändern. Einem lokalen Administrator entwas zu verbieten bringt daher effektiv eine Stolperfalle, aber keinen wirksamen Schutz.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#5 Mitglied ist offline   Verprida 

  • Gruppe: aktive Mitglieder
  • Beiträge: 292
  • Beigetreten: 13. Juni 16
  • Reputation: 4

geschrieben 24. Mai 2017 - 21:29

 Zitat (RalphS: 24. Mai 2017 - 21:00)

Heißt: Wenn Du jetzt eine Festplatte her nimmst und dieser Festplatte die "allgemeinen" Zugriffsrechte entziehst, dann wirst Du auf diese Festplatte nur von diesem Windows-System aus zugreifen können.


Das ist ja interessant.

3. Frage:
Was sind die allgemeinen Zugriffrechte? Ich habe bei mir die folgenden "Gruppen- oder Benutzernamen" gefunden:
-Autentifizierte Benutzer
-SYSTEM
-Administratoren
-Benutzer
Welches sind jetzt die "allgemeinen Zugriffsrechte"? Diejenigen unter "Autentifizierte Benutzer", "SYSTEM", "Administratoren" oder "Benutzer"?

 Zitat (RalphS: 24. Mai 2017 - 21:00)

Heißt: Wenn Du jetzt eine Festplatte her nimmst und dieser Festplatte die "allgemeinen" Zugriffsrechte entziehst, dann wirst Du auf diese Festplatte nur von diesem Windows-System aus zugreifen können. Anderer Rechner? Geht nicht. Windows neu installiert? Geht auch nicht. Ausnahme: Mit einem Adminkonto lassen sich die Berechtigungen neu schreiben, sodaß Zugriff wieder möglich ist.

4. Frage:
Heisst das, dass die "allgemeinen Zugriffsrechte" auf der Festplatte gespeichert werden und gar nicht im Windows-System?

 Zitat (RalphS: 24. Mai 2017 - 21:00)

Ausnahme: Mit einem Adminkonto lassen sich die Berechtigungen neu schreiben, sodaß Zugriff wieder möglich ist.

5. Frage: Dann könnte ich also auch nicht einfach mit einer Emercency-Boot-Disk als Administrator das Backup-Restore durchführen? Sondern müsste zuerst die Rechte wieder ändern? Oder müsste ich zuerst gewisse Benutzerkonten wieder erstellen?

Dieser Beitrag wurde von Verprida bearbeitet: 26. Mai 2017 - 17:56

0

#6 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 25. Mai 2017 - 04:12

- Dateisystemberechtigungen tun mehr oder weniger das, was der Name vermuten läßt: sie geben Berechtigungen im Dateisystem und werden auch dort gespeichert.

- Konkret Windows verwaltet diese über Zugriffslisten (Access Control Lists, ACLs).

- Es wird also auf jedem Dateisystemobjekt (Datei, Ordner, etc) eine Zuordnung gespeichert: Konto X hat den Zugriffssatz Y.

- Benutzerkonten in Windows werden über einen Security Identifier (SID) gespeichert. Das ist eine Zeichenfolge, die mit S- losgeht und in weiterer Folge aus Zahlen und Bindestrichen besteht.

- Diese SIDs als Zugriffskennung für Benutzerkonten können auf verschiedene Art erstellt werden:

-> Als Standardwert. Einem bestimmten Schema folgend identifiziert ein SID auch ein bestimmtes Konto. Authentifizierte Benutzer gehören da dazu. Das Administratorkonto und die -gruppe. Andere von Windows selber angelegte Benutzergruppen und -konten.

-> Als generierten Wert. Selbst erstellte Gruppen und Benutzerkonten erhalten diese.

- Kurz zusammengefaßt sind also Administratoren o.ä. "allgemeine" und analog "meine Kollegen" "spezielle" Konten, hier Gruppen; für Benutzerkonten ("Administrator" vs "Icke") gilt aber dasselbe.


- Jedes Windows-System erstellt die SIDs automatisch und eindeutig. Deshalb können auf fünf Windowsmaschinen fünf Konten mit demselben Namen existieren, die aber alle einen anderen SID haben. "Peter" auf PC1 ist ein anderer "Peter" als auf PC2. AUSNAHME: Die allgemeinen Benutzer und -gruppen. Die sind überall identisch und die SIDs dafür bekannt (siehe zB TechNET).

- Die erwähnten "allgemeinen Zugriffsrechte" sind damit diejenigen, die diesen klar definierten Benutzerkonten und -gruppen zugeordnet sind, denn die sind überall bekannt. Die anderen nicht. Mit "Allgemeine Zugriffsrechte" war an dieser Stelle insbesondere nicht "Lesen" oder "Schreiben" oder "Ändern" gemeint.

- Wenn man also eine externe Festplatte hat und die NTFS-formatiert ist und man legt dort im Kontext vom erwähnten "Peter" eine Datei an, dann darf auf dem Windows-System der "Peter" das, was ihm dort eingeräumt wurde an Berechtigungen.

- Knippert man die Festplatte aber ab und hängt sie an einen anderen PC, oder man installiert Windows neu, dann wird in den Dateisystemeigenschaften nun kein "Peter" mehr angezeigt, sondern nur "Unbekanntes Konto". Das kommt daher, daß das "andere Windows" nicht weiß, welcher Benutzer zu diesem SID gehört. AUSNAHME: Beide PCs stehen in derselben Domain; in diesem Fall übernimmt ein(oder mehr) dedizierte® PC(s) ("Domain Controller") die Benutzerverwaltung.


- Im Endergebnis führt das dazu, daß wenn man:

-> Einem Dateisystemobjekt alle Berechtigungen entzieht außer die für ein spezifisches Benutzerobjekt (hier: "Peter"), dann hat man auf dieses Dateisystemobjekt nur dann Zugriff, wenn man mit dem "Peter" auf demjenigen PC mit demjenigen Windows arbeitet, welches diesen Peter ursprünglich angelegt hatte. Alle anderen bekommen keinen Zugriff.

-> Wenn man aber mit einem Konto kommt, was Adminrechte hat, kann man die Zugriffslisten ändern. Man kann also ggf. nicht zugreifen, kann sich aber selbst Zugriff verschaffen. Das ist ein Feature von Windows (bedenke: es ist ein MEHRbenutzersystem) was dafür sorgt, daß wenn sich jemand selber ausgesperrt hat, oder wenn jemand bewußt allen anderen Zugriff verweigern will, daß man dem entgegenwirken kann.


Im Klartext und zusammngefaßt heißt das für externe Festplatten, daß man dort zwar Dateisystemberechtigungen setzen kann, diese jedoch nur für diesen PC gelten, AUßER man verwendet zB das "Administrator" (oder SYSTEM oder sonst ein ähnlich geartetes) Konto für die Aufgaben, die dort schreiben können sollen und gewährt für Authentifizierte Benutzer Lesen(plus Ausführen) sonst gar nichts. Dann darf das immer noch jeder lesen, aber geschrieben werden darf nicht, solange wie nicht per Administratorenkonto dies wieder geändert wird.

Wichtig: Dann darfst Du mit Deinem "normalen" Benutzerkonto KEIN Administrator sein, sonst darf jede Malware das potentiell ändern (UAC muß eh an sein) UND in letzter Konsequenz darfst Du dann mit diesem Benutzerkonto die bewußten Backupdaten nicht ändern oder löschen oder sonstwas. Dürftest Du es doch, wäre die Aktion selbst sinnlos.

Außerdem ist an dieser Stelle kritisch, daß wenn Du ein Backup wiederherstellen willst, der verwendete Boot-Stick virenfrei ist und das im Backup enthaltene System ebenfalls. Ansonsten kann nicht sichergestellt werden, daß Du Dir beim Wiederherstellungsvorgang schon das System verseuchst.

Dieser Beitrag wurde von RalphS bearbeitet: 25. Mai 2017 - 04:13

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#7 Mitglied ist offline   Verprida 

  • Gruppe: aktive Mitglieder
  • Beiträge: 292
  • Beigetreten: 13. Juni 16
  • Reputation: 4

geschrieben 25. Mai 2017 - 09:31

Danke @RalphS für die ausführliche Antwort.

Das ist ein komplexes Thema. Natürlich sind noch weitere Fragen aufgetaucht. Ich hoffe ich strapaziere Deine Geduld nicht alzu sehr. Ich denke als Antwort würde mir unter den entsprechenden Fragen "ja" oder "nein" genügen:

6. Frage:
Angenommen ich habe 2 Administrator- Konten erstellt. Den Standardadministrator, der immer im Windows dabei ist und einen zusätzlichen Administrator (z.B. Administrator Maier). Jetzt ist der Standardadministrator ein allgemeines Konto und der Administrator Maier ein spezielles Konto. Richtig?

7. Frage:
Wie ist das, wenn ich jetzt mit dem Administrator Maier die Schreibrechte des Standardadministrators auf den Ordner OXXX einschränke? Kann ich dann die Schreibrechte für den Standardadministrator (auf dem gleichen PC) nur wieder mit dem Administrator Maier zurückgeben oder kann sich auch der Standardadministrator selbst diese Schreibrechte wieder zurückgeben?

8. Frage:
Und umgekehrt:
Wie ist das, wenn ich jetzt mit dem Standardadministrator die Schreibrechte des Administrators Maier auf den Ordner OXXX einschränke? Kann ich dann die Schreibrechte für den Administrator Maier (auf dem gleichen PC) nur wieder mit dem Standardadministrator zurückgeben oder kann sich auch der Administrator Maier selbst seine Schreibrechte wieder zurückgeben?

9. Frage:
Wie ist das, wenn ich jetzt mit dem Standardadministrator die eigenen Schreibrechte des Standardadministrators auf den Ordner OXXX einschränke? Kann sich dann der Standardadministrator die Schreibrechte (auf dem gleichen PC) wieder selbst zurückgeben?

10. Frage:
Wie ist das, wenn ich jetzt mit dem Standardadministrator die eigenen Schreibrechte des Standardadministrators auf den Ordner OXXX einschränke? Könnte ich dann auch mit einem neu erstellten Administrator (z.B. Admin Kunz auf dem gleichen PC) die Schreibrechte des Standardadministrators wiederherstellen?


Gruss
Verprida

Dieser Beitrag wurde von Verprida bearbeitet: 26. Mai 2017 - 17:57

0

#8 Mitglied ist offline   Candlebox 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.111
  • Beigetreten: 08. Juli 04
  • Reputation: 389
  • Geschlecht:Männlich

geschrieben 25. Mai 2017 - 09:58

Ich kann nur anraten, das angelesene Wissen im eigenen Szenario einfach mit einem Mülldatenträger bis zum exzess durchzuexerzieren und zu üben.

Schult, man hat keinen Druck für den Extremfall, ist auf diesen Gau vorbereitet und man reagiert im Falle eines Falles souveräner.

Zumindest habe ich die Rechtevergabe seinerzeit so richtig, nur durch Trial and Error so richtig verstanden.

Und: Verweigern gilt vor Erlauben, immer im Hinterkopf behalten.

Dieser Beitrag wurde von Candlebox bearbeitet: 25. Mai 2017 - 10:05

»Man kann die Realität ignorieren, aber man kann nicht die Konsequenzen der ignorierten Realität ignorieren.« ~Ayn Rand
0

#9 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 25. Mai 2017 - 12:23

:blink: :blink:

Ich glaube, hier liegt ein grundsätzliches Mißverständnis vor.

-1- Wie Candlebox schreibt, idealerweise mal reinlesen in die Windows-Rechtevergabe.

-2- Das Windows-Rechtesystem ist relativ komplex. Es gibt:

> Gruppen. Designierte Zusammenschlüsse von Benutzern, üblicherweise in einem semantischen Kontext.

> Benutzer. Ich und Du und er und sie und es. Außerdem Systemdienste und vieles anderes mehr. In jedem Fall ein konkreter Kontext: Man kann sich als Benutzer anmelden, als Gruppe jedoch nicht.

> Rechte. Das, was man mit einem Dateisystemobjekt so machen kann: Lesen, Schreiben, Ausführen und so weiter.

> Berechtigungen. Der Status, den man für Benutzer und Gruppen einem bestimmten Rechteobjekt auf einem Dateisystemobjekt geben kann (wird's schon konfus?). So kann Benutzer Peter in der Benutzergruppe "Freunde" Zugriff auf den Ordner C:\Freunde bekommen, und zwar ganz konkret für das Recht Lesen darf er das (Berechtigung ERLAUBT) aber für Schreiben wieder nicht (Berechtigung nicht erteilt). Und dann gibt es noch einen Freund Paul. Der war böse und darf nun nicht mehr LESEN(erlaubt). Weil aber die FREUNDE alle lesen dürfen (=> die GRUPPE hat die Berechtigugn ERLAUBT auf dem Recht LESEN) muß man dem Paul das aktiv VERWEIGERN, sonst darf er doch lesen, was er aber nicht sollte.

Auf der ganzen Chose gibt es eine Hierarchie, wie schon implizit angedeutet.

# Zuerstmal ist gar nichts erlaubt. Ist für den Franz kein effektives Recht zugewiesen worden, dann darf er nicht.

# Benutzer Franz ist aber in einer Gruppe "Anwender". Definiere ich für die "Anwender" einen Berechtigungssatz, gilt dieser für alle Mitglieder implizit.

# Als nächstes kann man Rechte vererben. Es gibt also einen Ordner Projekte unter Anwender (so: C:\Anwender\Projekte). Dem Ordner Anwender gibt man ÄNDERN: Erlaubt für die Anwendergruppe. Dann vererbt man dieses Recht und die Anwender dürfen auch im Unterordner Projekte ÄNDERN.

# Jetzt kann man Berechtigungen auf Rechte VERBIETEN. Das wird immer zuletzt angewandt und zieht daher im Zweifelsfall immer. Man kann also unter \Anwender einen Ordner "Zur Information" haben. Wenn man nix macht, dürfen per Vererbung die Anwender in diesem Ordner ÄNDERN. Sollen sie aber nicht, es soll nur LESEN erlaubt sein. Also muß in diesem Ordner SCHREIBEN "verboten" werden (dafür gibt es den Haken).

# Es gibt eine Ausnahme vom "Verbieten überschreibt alles": Wenn man für ein Recht "Verbieten" vererbt hat und auf einem Unterordner explizit erlaubt, dann ist das wieder zugelassen. Sonst nicht.


# Windows kennt "allgemeine" Benutzer und Gruppen.

# Wichtig an dieser Stelle, nochmal zur Hervorhebung: Gruppen und Benutzer identifizieren sich NUR über ihren SID.

# ERGO würde, wenn ich mich hinstelle und die Gruppe "JEDER" *lösche*, oder den eingebauten ADMINSTRATOR, dann kann ich weder die Gruppe noch das Konto ohne Weiteres wiederherstellen. Natürlich kann man eine Gruppe "Jeder" oder einen neuen "Administrator" wieder anlegen, aber das ist nicht dasselbe Konto wie vorher. Dasselbe gilt auch für jeden anderen Benutzer oder Gruppe: Wird der Fritz mit einem beispielhaften SID von S-1-5-0001 gelöscht und neu erstellt, dann heißt das Konto hinterher zwar auch Fritz, hat aber einen anderen SID (zB S-1-5-0002) und ist damit ein anderer Fritz, der mit dem ersten Fritz nicht das Geringste zu tun hat.


# Man kann (sollte) diese Benutzer und Gruppen nicht löschen, kann sie aber verwenden. Das gilt insbesondere für die Gruppen.

# Wenn ich also einen Hänsel habe und eine Gretel und ich stecke die beide in die Administratoren-Gruppe, so wie sie von Windows bereitgestellt wird, dann sind beide eben Administratoren. Nichts anderes macht Windows, wenn man ein Konto anlegt und dieses als Administrator erstellt (Protip: es gibt in der Systemsteuerung bzw in der Verwaltungskonsole einen Eintrag Lokale Benutzer und Gruppen, zu erreichen unter anderem via lusrmgr.msc, das ist die "richtige" Benutzerverwaltung von Windows.)

# Beide (Hänsel und Gretel) dürfen dann auch alles, was ein Administrator darf. Warum? Sie stehen in der Gruppe. Und als Administratoren haben sie insbesondere Zugriff auf das Berechtigungssystem ALLER Benutzer. Das ist einer von vielen Gründen, warum das Internetsurfen als Administrator so gefährlich ist.

# Windows-Gruppen sind vom Rechtesystem her insbesondere NICHT atomisch und auch nicht ergänzend, sondern inclusive. Das unterscheidet Windows von Linux und anderen Unixoiden, da ist das nämlich anders.

# Insbesondere die Gruppe JEDER umfaßt unter Windows JEDEN. Verbietet man also für JEDER etwas, dann gilt das auch für JEDEN (also wirklich jeden) wegen "Verbieten vor allem anderen". Auch für Administratoren.

# Authentifizierte Benutzer sind angemeldete Benutzer. Jeder, der sich erfolgreich am System anmelden konnte, steckt da drin und bekommt die via dieses Gruppenkontos konfigurierten Berechtigungssatz für ein Dateisystemobjekt.

# Ähnliches gilt für andere Benutzergruppen. Die sind nicht namentlich so definiert, sondern durch das, was Microsoft für diese von Haus aus zugewiesen hat (man kann das selber durchaus ändern, wenn man das will).

# Entsprechend hat ein Backup-Operator (als Mitglied dieser Gruppe) das Recht, "alles" zu lesen. Wäre das anders, könnte kein Backup erstellt werden, was wirklich alle Dateien enthält, OHNE Administratorenrechte zu vergeben, denn kein Benutzerkonto darf von Haus aus die Dateien eines anderen lesen und wenn Marie ein Backup in ihrem Benutzerkontext ausführen würde (und kein Administrator oder Backup-Operator ist) dann sind am Ende die Dateien von \Users\Marie im Backup drin, die von Fritz und Hans und Paul und Gerda und so weiter aber nicht. Das wäre also ein bißchen... schlecht.

# Und zu guter Letzt gibt es dann noch PSEUDObenutzer und Gruppen. Hierzu zählen unter anderem ERSTELLER, BESITZER und dergleichen. Die sind dafür da, abstrakte Berechtigungen setzen zu können. Beispiel: Ich habe einen Ordner \Allgemeines und da soll jeder drin sein Zeug reintun dürfen. Wenn ich aber für JEDEN "ÄNDERN" zulasse, dann heißt das, daß wenn Peter eine Infodatei anlegt, daß Paul die wieder löschen kann. Das war nicht Sinn der Sache gewesen. Also kann ich auf dem Ordner Allgemeines für das Pseudoobjekt "Ersteller" das Recht "Ändern" gewähren und für "Jeder" das Recht "Lesen+Ausführen". Nun darf jeder etwas Eigenes erstellen, aber sowie das da ist, kann das Objekt nur noch von demjenigen geändert werden, der es erstellt hat und die anderen dürfen nur noch lesen (und ausführen). Das ginge ohne Pseudokonten wie "Ersteller" nicht.


# Für weitere Info schaust Du am besten in die TechNET, wo das von MS haarklein erläutert ist. Protip: Englischkenntnisse mitbringen und deren nicht-sehr-hilfreiche Auto-Übersetzung durch Auswahl des en-us Sprachschemas umgehen. Sonst sind die Artikel dort nur sehr bedingt lesbar.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#10 Mitglied ist offline   Verprida 

  • Gruppe: aktive Mitglieder
  • Beiträge: 292
  • Beigetreten: 13. Juni 16
  • Reputation: 4

geschrieben 26. Mai 2017 - 07:33

 Zitat (Candlebox: 25. Mai 2017 - 09:58)

Ich kann nur anraten, das angelesene Wissen im eigenen Szenario einfach mit einem Mülldatenträger bis zum exzess durchzuexerzieren und zu üben.

 Zitat (RalphS: 25. Mai 2017 - 12:23)

-1- Wie Candlebox schreibt, idealerweise mal reinlesen in die Windows-Rechtevergabe.

Ich denke ihr habt recht.

Ich werde mich da mal reinlesen und dann diese informativen Beiträge von Dir @RalphS nocheinmal durchgehen.
Und dann Versuche mit einem externen Datenträger machen.

Bevor ich mich an die Versuche mit dem externen Datenträger mache hätte ich dazu noch Fragen, betreffend eines Resets dieses Datenträgers nach Abschluss der Versuche.

11. Frage: Wenn ich einen leeren Datenträger(z.B. ein USB Srecker) für die Versuche verwende, sind dann alle Rechtevergaben auch wieder gelöscht bzw. geresettet, wenn ich nach Beendigung der Versuche den Datenträger neu formatiere? Gilt das auch für den schlimmsten Fall, wenn ich sowohl für die Benutzergruppe, wie auch die Administratorgruppe die Schreibrechte verboten habe? Oder kann es schlimmsten falls tatsächlich sein, dass ich nachher den Datenträger fortwerfen muss, da nicht mehr zu gebrauchen oder zu retten?
12. Frage: Wenn ich nur Versuche in einem Unterordner mache, bei dem ich zuvor "vererbbare Berechtigungen des Uebergeordneten Objektes einschliessen" abgewählt hatte, kann ich dann, wenn ich mich bei diesem Unterordner oder bei den Unterordnern dieses Unterordners verhäddere, einfach wieder den Haken "vererbbare Berechtigungen des Uebergeordneten Objektes einschliessen" aktivieren, und das verhädderte geht wieder weg, da die Rechte ja vom nicht verhädderten übergeordneten Ordner verwendet werden?
13. Frage: Wenn ich nur Versuche in einem Unterordner mache, bei dem ich zuvor "vererbbare Berechtigungen des Uebergeordneten Objektes einschliessen" abgewählt hatte: Kann ich jetzt einfach diesen Unterordner (in dem ich die Versuche gemacht habe) löschen, und dann sind auch alle verhädderten Rechtevergaben gelöscht? Dann kann ich wieder einen neuen Unterordner machen und dann dort wieder experimentieren. Ohne, dass noch irgendwelche verhädderten Rechte des gelöschten Ordners irgendwo auf dem Datenträger herumschwirren oder sich irgendwo verstecken oder lauern?


Danke für Eure Hilfe.

Dieser Beitrag wurde von Verprida bearbeitet: 26. Mai 2017 - 17:57

0

#11 Mitglied ist offline   Verprida 

  • Gruppe: aktive Mitglieder
  • Beiträge: 292
  • Beigetreten: 13. Juni 16
  • Reputation: 4

geschrieben 27. Mai 2017 - 10:18

So, ich habe mich jetzt in die Basics eingearbeitet und anschliessend Deine Beiträge nochmals durchgearbeitet. Weil Deine Beiträge sehr gut auf meine Unklarheiten zugeschnitten waren, habe ich durch Deine Informationen noch zusätzliche Erkenntnisse gewonnen, bzw. sie haben es mir vereinfacht, die Erklärungen im Internet zu verstehen.

Lieber RalphS; nun versuche ich mir noch meine Fragen mit eigenen Worten zu beantworten, damit Du siehst, dass ich doch einiges verstanden habe und Deine Mühe nicht umsonst war. :)


 Zitat (Verprida: 24. Mai 2017 - 20:25)

1 Frage: Wenn ich die Gruppe "Autentifizierte Benutzer" Edit: unter Ordner->Eigenschaften->Sicherheit aus der Liste lösche, betrifft dies dann nur den betreffenden Ordner und die zugehörigen Unterordner über welchen ich über "Eigenschaften" den Tab "Sicherheit aufgerufen habe, vorausgesetzt, ich habe "vererbbare Berechtigungen des Uebergeordnerten Objekts einschliessen" deaktiviert. (?)

Ja.

 Zitat (Verprida: 24. Mai 2017 - 20:25)

2 Frage: Brauche ich diese Gruppe überhaupt? Was wird anders, wenn ich diese Gruppe lösche Edit: aus der Liste unter Ordner->Eigenschaften->Sicherheit ?
(Was mir aufgefallen ist, ist, dass beim "autentifizierten Benutzer" "Schreiben" und "ändern" zugelassen ist, aber in meinem Standardkonto "Schreiben" und "ändern" nicht zugelassen ist. Was bedeutet das? Was ich auch festgestellt habe ist, dass ich mit dem Standardkonto "Schreiben" kann, obwohl in meinem Standardkonto "Schreiben" und "ändern" nicht zugelassen ist. Hat das etwas mit den Rechten des "autentifizierten Benutzer" zu tun?)

Wenn man als Benutzer eingeloggt ist, erhält man die Rechte, die für die Benutzergruppe definiert sind und zusätzlich noch die Rechte, die für den "autentifizierten Benutzer" definiert sind. Wenn man jetzt den "autentifizierten Benutzer" Edit: aus der Liste unter Ordner->Eigenschaften->Sicherheit löscht, hat man keine Schreib- und Aender- Rechte mehr als eingeloggter Benutzer.

 Zitat (Verprida: 24. Mai 2017 - 21:29)

3. Frage:
Was sind die allgemeinen Zugriffrechte? Ich habe bei mir die folgenden "Gruppen- oder Benutzernamen" gefunden:
-Autentifizierte Benutzer
-SYSTEM
-Administratoren
-Benutzer
Welches sind jetzt die "allgemeinen Zugriffsrechte"? Diejenigen unter "Autentifizierte Benutzer", "SYSTEM", "Administratoren" oder "Benutzer"?

Alle Benutzer und Gruppen, die man nicht selber erstellt hat (sondern direkt von Windows erstellt worden sind), regeln die "allgemeinen Zugriffsrechte". Im Gegensatz zu den "selbst erstellten" Benutzer und Gruppen bleiben die allgemeinen Zugriffsrechte, die man mit PC A auf der externen Festplatte verändert hat, gleich, auch wenn man die externe Festplatte mit PC B betreibt. Konkret: folgende Benutzer und Gruppen in obigem Beispiel regeln "allgemeine Zugriffsrechte": Autentifizierte Benutzer, SYSTEM, Administratoren, Benutzer.

 Zitat (Verprida: 24. Mai 2017 - 21:29)

4. Frage:
Heisst das, dass die "allgemeinen Zugriffsrechte" auf der Festplatte gespeichert werden und gar nicht im Windows-System?

Ja.

 Zitat (Verprida: 24. Mai 2017 - 21:29)

5. Frage: Dann könnte ich also auch nicht einfach mit einer Emercency-Boot-Disk als Administrator das Backup-Restore durchführen? Sondern müsste zuerst die Rechte wieder ändern? Oder müsste ich zuerst gewisse Benutzerkonten wieder erstellen?

Wenn der Gruppe Administratoren das "Schreibrecht" nicht entzogen wurde, kann ohne weiteres mit einer Emercency-Boot-CD als Administrator das Backup Restore durchgeführt werden.

 Zitat (Verprida: 25. Mai 2017 - 09:31)

6. Frage:
Angenommen ich habe 2 Administrator- Konten erstellt. Den Standardadministrator, der immer im Windows dabei ist und einen zusätzlichen Administrator (z.B. Administrator Maier). Jetzt ist der Standardadministrator ein allgemeines Konto und der Administrator Maier ein spezielles Konto. Richtig?

Falsch. Beides sind spezielle Konten, da selber erstellt.
Ja, richtig, aber: den Standardadministrator kann man nicht erstellen, wenn es diesen ja schon gibt.

 Zitat (Verprida: 25. Mai 2017 - 09:31)

7. Frage:
Wie ist das, wenn ich jetzt mit dem Administrator Maier die Schreibrechte des Standardadministrators Administrators Adam auf den Ordner OXXX einschränke? Kann ich dann die Schreibrechte für den Standardadministrator Administrator Adam (auf dem gleichen PC) nur wieder mit dem Administrator Maier zurückgeben oder kann sich auch der Standardadministrator Administrator Adam selbst diese Schreibrechte wieder zurückgeben?

Wenn beide Mitglieder der Gruppe Administratoren sind (und das sind sie, wenn der Nutzer das nicht selber geändert hat), und das Schreibrecht durch "verweigern" in der Gruppe Adminstratoren entzogen wurde, dann kann sowohl der Administrator Maier, wie auch der Standardadministrator Administrator Adam die Schreibrechte wieder zurückgeben, durch deaktivieren des Hakens bei den Schreibrechten. (Achtung: In diesem Fall hat Administrator Maier nicht nur das Schreibrecht vom Standardadministrator Administrator Adam, sondern auch automatisch das Schreibrecht von sich selbst eingeschränkt.)

 Zitat (Verprida: 25. Mai 2017 - 09:31)

8. Frage:
Und umgekehrt:
Wie ist das, wenn ich jetzt mit dem Standardadministrator Administrator Adam die Schreibrechte des Administrators Maier auf den Ordner OXXX einschränke? Kann ich dann die Schreibrechte für den Administrator Maier (auf dem gleichen PC) nur wieder mit dem Standardadministrator Administrator Adam zurückgeben oder kann sich auch der Administrator Maier selbst seine Schreibrechte wieder zurückgeben?

siehe Antwort bei Frage 7.

 Zitat (Verprida: 25. Mai 2017 - 09:31)

9. Frage:
Wie ist das, wenn ich jetzt mit dem Standardadministrator Administrator Adam die eigenen Schreibrechte des Standardadministrators Administraors Adam auf den Ordner OXXX einschränke? Kann sich dann der Standardadministrator Administrator Adam die Schreibrechte (auf dem gleichen PC) wieder selbst zurückgeben?

siehe Antwort bei Frage 7.

 Zitat (Verprida: 25. Mai 2017 - 09:31)

10. Frage:
Wie ist das, wenn ich jetzt mit dem Standardadministrator Administrator Adam die eigenen Schreibrechte des Standardadministrators Administrators Adam auf den Ordner OXXX einschränke? Könnte ich dann auch mit einem neu erstellten Administrator (z.B. Admin Kunz auf dem gleichen PC) die Schreibrechte des Standardadministrators Administrators Adam wiederherstellen?

Ja, weil der neu erstellte Administrator automatisch auch Teil der Gruppe Administratoren ist.

Falls trotzdem noch etws nicht stimmen sollte, bin ich natürlich für Korrekturen dankbar.

Gruss
Verprida

Edit: durchgestrichen = editiert (war ein Denkfehler)

Dieser Beitrag wurde von Verprida bearbeitet: 27. Mai 2017 - 13:46

0

#12 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 27. Mai 2017 - 11:56

Grad nur kurz drübergegangen, daher kein Anspruch auf Vollständigkeit.

Was mir aber aufgefallen ist, ist der von Dir erwähnte Standardadministrator, der bei Windows immer dabei ist. Ja, das ist ein Standardkonto. Nein, der ist nicht selber erstellt. Wenn Du nicht schon hast, schau mal in Richtung "well-known SIDs" (sollte es insbesondere auch in der TechNET einen Artikel zu geben, evtl auch in der MSDN library).

Und noch ein zweiter Punkt. Es gibt einen Unterschied, ob ich ein Konto LÖSCHE (egal ob Benutzer oder Gruppe) oder ob ich diesen Eintrag aus der Zugriffsliste eines Dateisystemobjekts rauswerfe.

Lösche ich den Benutzer oder die Gruppe, dann gibt es das nicht mehr. Der Benutzer hat dann nirgendwo mehr Zugriff und die Gruppe auch nicht, bzw. die Benutzer, die ursprünglich Teil der Gruppe waren.

Entferne ich den Eintrag vom Dateisystemobjekt, dann heißt das nur, daß es für dieses Objekt keine explizite Zugriffsberechtigungen mehr gibt. Die können noch vererbt werden oder ggf. aus anderen, zugeordneten Gruppen stammen. Benutzer und/oder Gruppe sind aber natürlich noch da. Wär auch schlecht, wenn Du das eigene Benutzerkonto löschst, nur um den Zugriff auf X oder Y oder so zu verbieten - das Ergebnis DAVON wäre dann nämlich, daß Du Dich nicht mehr mit Deinem Verprida einloggen könntest, Dein Windows-Profil wäre effektiv verloren und Du müßtest schauen, daß Du Deine Benutzerdaten aus dem nun defekten Profilordner rausbekommen kannst (*).



Neuen Benutzer anlegen, dessen Profilordner löschen und den ursprünglichen dort hinverschieben und danach dann die Zugriffsberechtigungen ordentlich umsetzen KANN helfen... muß aber nicht. Probieren würde ich es nicht wollen.)
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#13 Mitglied ist offline   Verprida 

  • Gruppe: aktive Mitglieder
  • Beiträge: 292
  • Beigetreten: 13. Juni 16
  • Reputation: 4

geschrieben 27. Mai 2017 - 14:15

Vielen Dank für Dein Feedback @RalphS.

Ich habe das noch
korrigiert (Standardaministrator; war ein Denkfehler),
bzw. ergänzt (wo genau ich zu löschen gedenke).


Was mir immer noch nicht klar ist und ich auch nicht ausprobieren will, da ich meine Festplatte nicht unbrauchbar machen will:

Szenario 1)
Annahme: meine externe Festplatte ist J: (eine Partition)
Ich mache einen Rechtsklick auf "J: -> Eigenschaften -> Sicherheit" und lösche in der Liste dort alle Gruppen und Benutzernamen. Jetzt ist doch diese Festplatte rechtelos. Oder? Heisst das, wenn ich mich dann neu einlogge und die Festplatte einstecke, dass der Computer diese Festplatte nicht mehr erkennt? Da ja kein Benutzer mehr Rechte auf dieser Festplatte hat?
Und wenn ja, kann man diese jetzt auch nicht neu formatieren? Wäre diese Festplatte nicht mehr zu retten? Müsste ich diese jetzt wegwerfen?

Szenario 2) (welches ich lieber auch nicht ausprobieren will)
Annahme: meine externe Festplatte ist J: (eine Partition)
Ich mache einen Rechtsklick auf J: -> Eigenschaften -> Sicherheit
Dort ist bei mir ja folgendes eingetragen:
"autentifizierter Benutzer", SYSTEM, Administratoren, Benutzer.
Nun deaktiviere ich bei "autentifizierter Benutzer", SYSTEM und Administratoren die Haken bei "ändern" und "Schreiben".
Ich logge mich neu ein. Jetzt hat niemand mehr Schreibrechte auf dieser Festplatte. Können jetzt die Schreibrechte trotzdem wieder durch den Adninistrator (der ja gar keine Schreibrechte mehr hat) wieder zurückgegeben werden?

Oder anders gefragt: Braucht der Administrator gar keine Schreibrechte, um die Berechtigungen eines Objektes zu ändern auf dem keine Schreibrechte mehr existieren?
0

#14 Mitglied ist offline   Candlebox 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.111
  • Beigetreten: 08. Juli 04
  • Reputation: 389
  • Geschlecht:Männlich

geschrieben 27. Mai 2017 - 15:03

 Zitat (Verprida: 27. Mai 2017 - 14:15)


Was mir immer noch nicht klar ist und ich auch nicht ausprobieren will, da ich meine Festplatte nicht unbrauchbar machen will:

Damit hast du es eigentlich nicht wirklich verstanden, das soll nicht böse klingen.

RalphS Ausführungen, sind lang, richtig, aber wie die Rechtevergabe eben, kompliziert und schwer zu verstehen wenn man bei 0 anfängt und nur die Theorie verfolgt.

Empfehlung: Investiere in einen billigen Datenträger zum aktiven rumspielen, wenn du immernoch Angst ob der Daten auf deinem Master-Backupdatenträger hast.
Eventuell rettet es Dir dann im Extremfall den Hintern, weil Du weißt, was Du tust und nicht tun darfst.
»Man kann die Realität ignorieren, aber man kann nicht die Konsequenzen der ignorierten Realität ignorieren.« ~Ayn Rand
0

#15 Mitglied ist offline   Verprida 

  • Gruppe: aktive Mitglieder
  • Beiträge: 292
  • Beigetreten: 13. Juni 16
  • Reputation: 4

geschrieben 29. Mai 2017 - 18:23

Ich versuche es:

 Zitat (Verprida: 27. Mai 2017 - 14:15)

Szenario 1)
Annahme: meine externe Festplatte ist J: (eine Partition)
Ich mache einen Rechtsklick auf "J: -> Eigenschaften -> Sicherheit" und lösche in der Liste dort alle Gruppen und Benutzernamen. Jetzt ist doch diese Festplatte rechtelos. Oder? Heisst das, wenn ich mich dann neu einlogge und die Festplatte einstecke, dass der Computer diese Festplatte nicht mehr erkennt? Da ja kein Benutzer mehr Rechte auf dieser Festplatte hat?
Und wenn ja, kann man diese jetzt auch nicht neu formatieren? Wäre diese Festplatte nicht mehr zu retten? Müsste ich diese jetzt wegwerfen?

Doch, die Festplatte wird trotzdem erkannt.
Die Festplatte kann (trotz fehlender Rechte) durch den Besitzer des Laufwerks formatiert werden. (Solange das Konto des Besitzers nicht gelöscht wurde in "Computer->verwalten->lokale Benutzer und Gruppen"). (Wer ist der Besitzer?: Rechtsklick auf J: -> Eigenschaften->Sicherheit->Erweitert->Besitzer. ))
Falls das Konto des Besitzers jedoch gelöscht wurde in "Computer->verwalten->lokale Benutzer und Gruppen", kann die Festplatte trotzdem formatiert werden, nachdem der Administrator den Besitz übernommen hat. Dies kann er allerdings nur, wenn er das Recht hat, den Besitz zu übernehmen.

 Zitat (Verprida: 27. Mai 2017 - 14:15)

Szenario 2) (welches ich lieber auch nicht ausprobieren will)
Annahme: meine externe Festplatte ist J: (eine Partition)
Ich mache einen Rechtsklick auf J: -> Eigenschaften -> Sicherheit
Dort ist bei mir ja folgendes eingetragen:
"autentifizierter Benutzer", SYSTEM, Administratoren, Benutzer.
Nun deaktiviere ich bei "autentifizierter Benutzer", SYSTEM und Administratoren die Haken bei "ändern" und "Schreiben".
Ich logge mich neu ein. Jetzt hat niemand mehr Schreibrechte auf dieser Festplatte. Können jetzt die Schreibrechte trotzdem wieder durch den Adninistrator (der ja gar keine Schreibrechte mehr hat) wieder zurückgegeben werden?

Ja, wenn der Administrator das Recht hat, den Besitz zu übernehmen. (Rechtsklick auf J: -> Eigenschaften->Sicherheit->Erweitert->Berechtigungen->Berechtigungen ändern->Bearbeiten->Berechtigung "Besitz übernehmen")

 Zitat (Verprida: 27. Mai 2017 - 14:15)

Oder anders gefragt: Braucht der Administrator gar keine Schreibrechte, um die Berechtigungen eines Objektes zu ändern auf dem keine Schreibrechte mehr existieren?

Nein, er braucht keine, sofern er das Recht hat, den Besitz zu übernehmen.

Dieser Beitrag wurde von Verprida bearbeitet: 29. Mai 2017 - 18:23

0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0