M 4.50 Strukturierte Systemverwaltung unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Benutzergruppen sind unter Windows NT Zusammenstellungen von Benutzerkonten. Wenn ein Benutzerkonto zu einer Gruppe hinzugefügt wird, erhält der betreffende Benutzer alle Rechte und Berechtigungen, die der Gruppe erteilt wurden. So kann man leicht bestimmte Benutzer mit gemeinsamen Möglichkeiten ausstatten. Nach Möglichkeit sollten die Rollen der Mitarbeiter auf Gruppen abgebildet und diesen Gruppen entsprechend ihren Bedürfnissen die Zugriffsrechte zugeteilt werden.

Die Verwendung von Gruppen an Stelle der Zuweisung von Rechten und Berechtigungen an einzelne Benutzer erleichtert die Administration und trägt durch größere Transparenz zur Erhöhung der Systemsicherheit bei. Auch bei einer geringen Anzahl von Mitarbeitern sollten Gruppen gebildet werden. Hierdurch müß bei einer Erweiterung keine grundsätzliche Umstrukturierung der Rechtestrukturen durchgeführt werden.

Rechte und Berechtigungen sind additiv, d. h. für einen Benutzer, der Mitglied in mehreren Gruppen ist, gilt in Bezug auf eine Ressource die jeweils weitestgehende Zugriffsberechtigung. Es gibt allerdings eine Ausnahme: Ist ein Benutzer Mitglied einer Gruppe, der auf eine Ressource die Zugriffsberechtigung "Kein Zugriff" zugeteilt wurde, so kann der Benutzer auf diese Ressource nicht zugreifen, auch dann nicht, wenn er Mitglied einer anderen Gruppe ist, der auf diese Ressource die Zugriffsberechtigung "Vollzugriff" erteilt wurde (siehe auch M 4.53Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT).

Beispiel:

Benutzer Meier ist Mitglied der Gruppen "A" und "B". Der Gruppe "A" wurde auf ein Verzeichnis "Rechnung" die Zugriffsberechtigung "Lesen", der Gruppe "B" wurden auf dieses Verzeichnis die Zugriffsberechtigungen "Lesen und Schreiben" zugewiesen. Der Benutzer Meier hat damit auf das Verzeichnis "Rechnung" die Zugriffsberechtigungen "Lesen und Schreiben".

Das Benutzergruppenkonzept von Windows NT unterscheidet zwischen globalen und lokalen Gruppen.

Lokale Gruppen

Die Gruppe wird "lokal" genannt, weil ihr Berechtigungen und Rechte nur für den Rechner erteilt werden können, auf dem sie definiert wurde. Auf Rechnern unter dem Betriebssystem Windows NT (d. h. sowohl Servern als auch Workstations), die keiner Domäne angehören, gibt es nur lokale Gruppen. Um die Vergabe von Rechten und Berechtigungen zu strukturieren, wird auf solchen Rechnern ausschließlich dieser Gruppentyp benutzt.

Gehört ein Rechner unter Windows NT einer Domäne an, so sind lokale Gruppen ebenfalls verfügbar. Sie können dann Benutzerkonten aus dem eigenen Rechner und Benutzerkonten und globale Gruppen aus der eigenen Domäne und aus vertrauten Domänen beinhalten. Lokale Gruppen können keine Berechtigungen auf Ressourcen anderer Domänen erhalten. Es ist nicht möglich, eine lokale Gruppe zum Mitglied einer anderen lokalen Gruppe zu machen. Lokale Gruppen werden im Benutzermanager durch ein Gruppensymbol mit einem Computer dargestellt.

Globale Gruppen

Wenn ein Rechner, auf dem Windows NT ausgeführt wird, einer Domäne angehört, gibt es einen weiteren Gruppentyp, dem der Zugriff auf die Arbeitsstation ermöglicht werden kann. Es handelt sich um die " Globale Gruppe ", die an mehreren Orten verwendet werden kann: in der eigenen Domäne, auf Servern, auf Arbeitsstationen der Domäne und in vertrauten Domänen. Wenn eine Arbeitsstation einer Domäne angehört, bedeutet dies, daß den globalen Gruppen der Domäne und der vertrauten Domänen Berechtigungen und Rechte für die Arbeitsstation sowie die Zugehörigkeit zu lokalen Gruppen der Arbeitsstation erteilt werden können. Eine globale Gruppe kann nur Benutzerkonten der eigenen Domäne enthalten.

Globale Gruppen können nur auf dem primären Domänencontroller definiert werden. Es ist nicht möglich, daß andere Gruppen Mitglied einer globalen Gruppe werden. Globale Gruppen werden im Benutzermanager durch ein Gruppensymbol mit einem Globus dargestellt.

Zusammenfassend empfiehlt sich folgendes Vorgehen zur strukturierten Systemverwaltung:

Rechte und Berechtigungen werden lokalen Gruppen zugewiesen. Benutzer werden Mitglied in globalen Gruppen, und die globalen Gruppen werden Mitglied in lokalen Gruppen.

Neben der Unterscheidung in lokale und globale Gruppen gibt es auch noch die Unterscheidung zwischen vordefinierten Benutzergruppen, besonderen Gruppen und frei definierten Benutzergruppen:

Vordefinierte Benutzergruppen

Welche Aktionen ein Benutzer durchführen kann, hängt von den Gruppenmitgliedschaften seines Benutzerkontos ab. Es sind mehrere Gruppen in Windows NT vordefiniert, und standardmäßig wird jeder Gruppe ein bestimmter Satz von Benutzerrechten erteilt. Bei Bedarf können mit dem Benutzermanager zusätzliche Gruppen erstellt und definiert werden, mit denen den ihnen zugewiesenen Benutzern der Zugriff auf individuell zusammengestellte Ressourcen ermöglicht wird.

Zusätzlich zu den Rechten werden einigen der vordefinierten lokalen Gruppen vordefinierte Funktionen zugeteilt. Rechte und Zugriffsberechtigungen können den Gruppen und Benutzerkonten direkt erteilt und ihnen entzogen werden. Dagegen sind die vordefinierten Funktionen nicht direkt verwaltungsfähig. Vordefinierte Funktionen können für einen Benutzer nur bereitgestellt werden, wenn der Benutzer zum Mitglied einer geeigneten lokalen Gruppe ernannt wird.

Auf Rechnern, die unter dem Betriebssystem Windows NT als Mitgliedsserver (Server ohne Domänencontroller-Funktionalität) oder als Workstation konfiguriert sind, werden folgende lokale Gruppen standardmäßig bei der Installation eingerichtet:

• Administratoren
• Sicherungs-Operatoren
• Hauptbenutzer
• Replikations-Operatoren
• Benutzer
• Gäste

Die Rechte und Funktionen, die unter Windows NT auf Workstations und Servern, die nicht als Domänencontroller konfiguriert sind, bestimmten vordefinierten lokalen Gruppen erteilt werden, sind in der folgenden Tabelle angegeben:

Auf Servern, die unter dem Betriebssystem Windows NT als Domänencontroller konfiguriert sind, werden folgende lokale Gruppen standardmäßig bei der Installation eingerichtet:

• Administratoren
• Sicherungs-Operatoren
• Server-Operatoren
• Konten-Operatoren
• Druck-Operatoren
• Replikations-Operatoren
• Benutzer
• Gäste

Außerdem werden in dieser Konfiguration folgende globale Gruppen bei der Installation angelegt:

• Domänen-Admins
• Domänen-Benutzer
• Domänen-Gäste

Die Rechte und Funktionen, die unter Windows NT auf Domänencontrollern bestimmten vordefinierten lokalen Gruppen erteilt werden, sind in der folgenden Tabelle angegeben:

Hinweis: Die oben beschriebenen Rechte, die unter Windows NT standardmäßig vergeben sind, sind alle einzeln daraufhin zu überprüfen, ob sie mit der festgelegten Sicherheitsstrategie vereinbar sind (siehe M 2.91 Festlegung einer Sicherheitsstrategie für das Windows NT Client-Server-Netz ). So sollte beispielsweise das Recht "Zugriff auf diesen Computer vom Netz" der Gruppe "Jeder" entzogen werden. Ob es ersatzweise der Gruppe "Benutzer" zugestanden wird, ist im einzelnen zu klären.

Die folgenden vordefinierten Gruppen stehen unter Windows NT zur Verfügung:

• Administratoren - Die Gruppe " Administratoren " ist die mächtigste Gruppe in Windows NT. Die Mitglieder dieser Gruppe verwalten die Gesamtkonfiguration des Systems. Das vordefinierte Benutzerkonto "Administrator" ist Mitglied der Gruppe " Administratoren ". Falls ein Rechner einer Domäne angehört, ist die Gruppe " Domänen-Admins " standardmäßig Mitglied der Gruppe " Administratoren " dieses Rechners.

  Hinweis: Benutzerkonten dieser Gruppe sollten nur zu Systemverwaltungsarbeiten verwendet werden, die die volle Kontrolle über das System erfordern. Arbeiten, die unter eingeschränkten Rechten durchgeführt werden können, sollten nach Möglichkeit von Benutzerkonten aus erledigt werden, die einer der anderen Gruppen angehören, um die Gefährdung des Systems durch Arbeiten mit unbeschränkten Rechten zu reduzieren.

  Insbesondere sollte für jeden Administrator zur Erledigung der täglichen Routinearbeiten jeweils ein Benutzerkonto angelegt werden, das nur der Gruppe "Benutzer" oder einer bzw. mehreren frei definierten Gruppen angehört. Die Anzahl der Benutzerkonten in der Gruppe "Administratoren" sollte so gering wie möglich gehalten werden.

  Administratoren sind der normalen Zugriffskontrolle unterworfen und besitzen nicht automatisch Zugriff auf jede Datei. Bei Bedarf kann ein Administrator den Besitz einer Datei übernehmen und dadurch auf sie zugreifen. Der Administrator kann die Datei jedoch in diesem Fall nicht wieder an den ursprünglichen Besitzer zurückgeben, da Windows NT hierzu keine Funktion bereitstellt.

• Domänen-Admins - Die globale Gruppe der " Domänen-Admins " ist Mitglied der lokalen Gruppe der Administratoren für die betreffende Domäne und der lokalen Gruppen der Administratoren jedes Rechners in der Domäne, so daß die Domänen -Administratoren die Domänencontroller, alle Server und alle anderen Rechner in der Domäne verwalten können. Das vordefinierte Administratorkonto des Domänencontrollers ist Mitglied der Gruppe " Domänen-Admins ".
• Hauptbenutzer - Die unter Windows NT Workstation definierte lokale Gruppe " Hauptbenutzer " stellt den Benutzerkonten ihrer Mitglieder eingeschränkte administrative Funktionen bereit. Ein Hauptbenutzer kann Verzeichnisse im Netz freigeben, die interne Uhr des Computers einstellen, Drucker installieren, freigeben und verwalten sowie allgemeine Programmgruppen erstellen. Sie können Benutzerkonten und Gruppen erstellen und die von ihnen erstellten Benutzerkonten und Gruppen ändern und löschen, und sie können für die Gruppen " Hauptbenutzer ", " Benutzer " und " Gäste " Mitglieder entfernen bzw. hinzufügen.

  Hauptbenutzer können jedoch nicht die Gruppen " Administratoren ", " Domänen-Admins ", " Konten-Operatoren ", " Sicherungs-Operatoren ", " Druck-Operatoren " und " Server-Operatoren " verändern oder löschen, und sie können auch keine Benutzerkonten von Administratoren verändern oder löschen.

  Hinweis: Diese Gruppe sollte verwendet werden, um Untersystemverwalter zu definieren, die den Systemverwalter von gewissen Routineaufgaben, insbesondere in der Verwaltung der Benutzerkonten, entlasten, ohne jedoch dazu die volle Kontrolle über das System zu erhalten.

• Konten-Operatoren - Die auf Domänencontrollern definierte lokale Gruppe " Konten-Operatoren " entspricht weitgehend der unter Windows NT Workstation definierten Gruppe " Hauptbenutzer ".
• Benutzer - Die Zugehörigkeit zur lokalen Gruppe " Benutzer " bietet die Funktionen, die ein Benutzer zur Durchführung der alltäglichen Aufgaben benötigt. Mit Ausnahme der vordefinierten Administrator- und Gastkonten gehören alle Benutzerkonten der Arbeitsstation der Gruppe " Benutzer " an. Wird ein neues Benutzerkonto hinzugefügt, so wird es automatisch Mitglied dieser Gruppe. Falls ein Rechner einer Domäne angehört, ist die Gruppe der Domänen-Benutzer standardmäßig Mitglied der Gruppe " Benutzer " dieses Rechners.

  Hinweis: Normalerweise sollten alle Benutzer, die keine erweiterten Rechte benötigen, nur dieser vordefinierten Gruppe sowie geeigneten frei definierten Gruppen angehören, die die Organisationsstruktur widerspiegeln. Zuordnungen zu den anderen vordefinierten Gruppen sollten nur in begründeten Einzelfällen vorgenommen werden. Dies bedeutet auch, daß Benutzer keine Administratorrechte auf ihren Arbeitsplatzrechnern erhalten sollten.

• Domänen-Benutzer - Domänen-Benutzer - Die globale Gruppe der "Domänen-Benutzer" enthält ursprünglich das eingebaute Konto des Administrators für die betreffende Domäne. Beim Anlegen neuer Konten werden diese automatisch in die Gruppe der "Domänen-Benutzer" eingetragen. Diese Gruppe ist standardmäßig Mitglied der lokalen Gruppe "Benutzer" für die betreffende Domäne und der lokalen Gruppen der "Benutzer" jedes Rechners in der Domäne, so daß die "Domänen-Benutzer" normalen Zugang und normale Rechte und Berechtigungen bezüglich aller Rechner in der Domäne haben.
• Gäste - Die lokale Gruppe " Gäste " ermöglicht es dem gelegentlichen oder einmaligen Benutzer, sich anzumelden und mit eingeschränktem Funktionsumfang zu arbeiten. Das vordefinierte Gastbenutzerkonto ist Mitglied der Gruppe " Gäste ". Die der Gruppe " Benutzer " erteilten Ressourcenberechtigungen können der Gruppe " Gäste " vorenthalten werden, so daß die Möglichkeiten der Mitglieder dieser Gruppe geeignet eingeschränkt werden können.

  Hinweis: Nach Möglichkeit sollten dieser Gruppe außer dem vordefinierten Gastkonto keine weiteren Benutzerkonten angehören, und das vordefinierte Gastkonto sollte gesperrt sein (siehe M 4.55 Sichere Installation von Windows NT ). Außerdem sollte es vorsorglich mit einem Paßwort versehen werden, um unbefugten Zugriffen vorzubeugen, falls es kurzfristig entsperrt werden sollte.

• Domänen-Gäste - Die globale Gruppe der " Domänen-Gäste " enthält ursprünglich das eingebaute Gastbenutzerkonto für die betreffende Domäne. Diese Gruppe ist Mitglied der lokalen Gruppe der Gäste für die betreffende Domäne.
• Sicherungs-Operatoren - Die Mitglieder der lokalen Gruppe "Sicherungs-Operatoren", die standardmäßig auf allen Rechnern unter Windows NT definiert ist, können Dateien und Verzeichnisse sichern und wiederherstellen.

  Hinweis: Datensicherungen und die Wiederherstellung gesicherter Daten sollten von einem Mitglied dieser Gruppe durchgeführt werden. Es ist hierzu nicht erforderlich, ein Administratorkonto zu verwenden.

• Druck-Operatoren - Die Mitglieder der auf Domänencontrollern definierten lokalen Gruppe " Druck-Operatoren " können Drucker auf den Domänencontrollern verwalten. Sie können sich auch auf diesen Servern anzumelden und sie herunterfahren.

  Hinweis: Die Verwaltung von Druckern sollte von Mitgliedern dieser Gruppe durchgeführt werden, um die unnötige Nutzung von Administratorkonten zu vermeiden.

• Server-Operatoren - Die Mitglieder der auf Domänencontrollern definierten lokalen Gruppe "Server-Operatoren" können die Drucker- und Netzfreigaben auf dem jeweiligen Domänencontroller verwalten. Weiterhin können sie Dateien und Verzeichnisse sichern und wiederherstellen, den Domänencontroller sperren und freigeben, die Festplatten des Domänencontrollers formatieren und die Systemzeit verändern. Schließlich können sie sich auch auf dem Domänencontroller anmelden und ihn herunterfahren. Hinweis: Routinearbeiten zur Steuerung der Domänencontroller sollten von Mitgliedern dieser Gruppe durchgeführt werden, soweit sie mit den Rechten dieser Gruppe ausgeführt werden können. Nur Arbeiten, die die völlige Kontrolle über das System erfordern, sollten von Administratorkonten aus durchgeführt werden.
• Replikations-Operator - Die auf Rechnern unter Windows NT definierte lokale Gruppe "Replikations-Operator" unterstützt die Funktionen der Verzeichnisreproduktion. Der Gruppe "Replikations-Operator" sollte als einziges Mitglied ein Domänenbenutzerkonto angehören, das zum Anmelden des Replikationsdienstes der Arbeitsstation dient.

  Hinweis: Dieser Gruppe sollten keine Konten von Benutzern hinzugefügt werden, und das dort vorhandene Benutzerkonto sollte nicht über die Rechte " Lokale Anmeldung " und " Zugriff auf diesen Computer vom Netz " verfügen.

Besondere Gruppen

Zusätzlich zu den oben erwähnten vordefinierten Gruppen erstellt Windows NT einige spezielle, interne Gruppen, die vom Benutzermanager nicht angezeigt werden. Sie werden jedoch in manchen Fällen in der Gruppenliste angezeigt, beispielsweise beim Zuweisen von Berechtigungen zu Verzeichnissen, Dateien, freigegebenen Netzverzeichnissen oder Druckern.

• Jeder - Jeder, der am Computer arbeitet. Dazu zählen alle lokalen und Fernbenutzer (d. h. die Gruppen " INTERAKTIV " und " NETZWERK " zusammengenommen). Sie können auf das Netz zugreifen, sich mit den freigegebenen Netzverzeichnissen der Arbeitsstation verbinden und den Drucker der Arbeitsstation verwenden.
• INTERAKTIV - Jeder, der am Computer lokal arbeitet.
• NETZWERK - Alle Benutzer, die über das Netz mit diesem Computer verbunden sind.
• SYSTEM - Das Betriebssystem.
• ERSTELLER-BESITZER - Der Benutzer, der folgendes erstellt hat oder besitzt: ein Verzeichnis, eine Datei in einem Verzeichnis, einen Drucker oder ein Dokument, das zu einem Drucker gesendet wurde.

Mit Hilfe von frei definierten Benutzergruppen ist es möglich, die Organisationsstruktur einer Institution auf die Rechtestruktur abzubilden. So kann für jede Organisationseinheit, also z. B. für jedes Referat bzw. für jede Abteilung, eine Gruppe gebildet werden, in der die Benutzer der jeweiligen Organisationseinheit zusammengefaßt sind. Den Gruppen werden dann die notwendigen Berechtigungen auf Ressourcen zugewiesen. Werden innerhalb der Institution für vorübergehende Aufgaben Projektgruppen gebildet, so können auch diese durch Zusammenfassung der Projektgruppenmitglieder in einer entsprechenden frei definierten Gruppe abgebildet werden.

Bei der Erstellung von frei definierten Benutzergruppen auf dem primären Domänencontroller ist festzulegen, ob diese vom Typ lokal oder global sind.

Ergänzende Kontrollfragen:

• Wurde eine Strategie zur Verteilung der Benutzer auf die vordefinierten Gruppen entsprechend den von diesen Benutzern benötigten Rechten festgelegt?
• Ist diese Strategie dokumentiert?
• Wird regelmäßig kontrolliert, ob die Zuordnung der Benutzer zu den Gruppen noch mit den aktuellen Aufgaben dieser Benutzer übereinstimmt?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000