16.10.2001

Wiederholung vom 15.10.:

Regeln für NTFS - Rechte

- Rechte werden vererbt (das heisst, Unterordner übernehmen die Sicherheitseinstellungen von übergeordneten Ordnern)

Ich kann die Zulassen-Rechte nicht einfach entfernen; ich muss erst das Häkchen unten wegnehmen...

- Vererbung kann unterbrochen werden

- Standard: JEDER hat Vollzugrif auf Laufwerke

- Rechte sind kumulativ, aber

- verweigern ist dominant

- Dateirechte überschreiben die Ordnerrechte (nur für die Datei!)

- Neue NTFS - Objekte erben die Einstellungen des übergeordneten Ordners (verschieben, kopieren)

> Wenn ein Administrator die Besitzrechte übernimmt, ist automatisch die Gruppe der Administratoren Besitzer, auch wenn es im Windowsfenster anders steht...

Übungsaufgabe:

Es wird eine Firma "Mini" simuliert mit folg. Abteilungen und Benutzern:

 

Abteilung Mitarbeiter
GF Chef
Verwaltung Ver1, Ver2
Produktion Pro1, Pro2, Pro3

Softwareanforderungen:

 

                Abteilung                    Textverarbeitung                 Tabellenkalkulation                  Prozesssteuerung       
   notepad.exe calc.exe sol.exe
GF X - -
Verw. X X -
Pro - - X

+ ein Ordner zum Datenaustausch in der Firma

Lösungsansatz: Ein Ordner erstellen namens "Firma"

 

Lösung:

1) Benutzer anlegen

2) Gruppen anlegen (Ver, Pro, GF)

3) Benutzer in die Gruppen fügen

4) Ordner "Mini" erstellen, Vererbung unterbrechen, Admin-Vollzugriff, JEDER raus!

Besser wäre es, wenn ein Ordner "Anwendungen" hieße und die drei Programmordner darin wären...

- Hauptordner "Mini" bekommt "Lesen"

- Ver, Pro, GF bekommen auf "austausch" das zusätzliche Ändern-Recht

- "text" bekommt zusätzlich zur Vererbung für GF und Ver. "Ausführen"; dasselbe gilt für die anderen Ordner

► Vorteil: Im Anwendungsdatenordner werden keine Daten abgelegt

- Anwendungen in den jew. Ordner kopieren (wenn man das als letztes macht, übernehmen sie ja die Rechte der Zielordner...)

Empfehlungen (MS):

- nicht mehr Rechte vergeben als nötig

- Rechte möglichst immer für Gruppen vergeben

- Benutzer zu Gruppen zusammenfassen

- Rechte auf Ordner vergeben statt auf Dateien

- Anwendungsordner: Lesen + Ausführen, Lesen, Ordnerinhalt auflisten (nur für benötigte Gruppen)

- Datenordner: ändern (nur für benötigte Gruppen)

- "Verweigern" vermeiden

- erst planen, dann einrichten

NTFS - Attribute

- Versteckt (im Standard-Modus wird die Datei nicht angezeigt)

- schreibgeschützt (Datei kann nicht beschrieben werden)

- System

- Archiv (später)

erweiterte NTFS - Attribute

- Archiv + Index - Attribute

- Komprimierungs- und Verschlüsselungsattribute (Es geht nur eines von beiden)

► Anwendung möglichst auf Ordnerebene

Komprimierung ( O-Ton des Dozenten: meistens Blödsinn)

- wird durch das System gesteuert (NTFS - Treiber)

- ist nur im gespeicherten Zustand komprimiert

- beim Kopieren ist die dekomprimierte Grösse der Datei relevant

- Abwägung zwischen Platzeinsparung auf der einen und Performancegewinn auf der anderen Seite

► Keine bereits komprimierten (Zip-) Dateien nochmal komprimieren

- keine Komprimierung für Dateien, die sich häufig ändern

- Anzeigefarbe für kompr. Dateien/Ordner kann aktiviert werden

► Beim Verschieben oder Kopieren treten wieder die Ordnerrechte in Kraft

Verschlüsselung: (Encrypted File System, EFS)

- transparent (das System übernimmt die Ver-/ Entschlüsselung)

- nur der Besitzer darf auf eine verschlüsselte Datei zugreifen (bedingt)

- Um EFS zu verwenden, ist ein Wiederherstellungsagent nötig (Standard: Administrator; weitere sind möglich)

► Ein Wiederherstellungsagent kann nur die Dateien wieder zugänglich machen, die verschlüsselt wurden, als er Wiederherstellungsagent war.

- Die Dateien sind nur verschlüsselt, wenn sie gespeichert sind (keine Verschlüsselung bei Netztransport).

- Die Datei ist nach Kopieren oder Verschieben auf eine beliebige NTFS - Partition verschlüsselt

- Beim Verschieben oder Kopieren auf FAT - Partitionen muss man die Dateien entschlüsseln dürfen, denn sie sind ebenfalls nicht entschlüsselt

► Sicherungsoperatoren dürfen die Daten im Auftrag des Wiederherstellungsagenten oder des Besitzers (der Datei) sichern und wiederherstellen

Start\Programme\Verwaltung\Lokale Sicherheitsrichtlinie

► Legt man in einem als Administrator verschlüsseltem Ordner eine Datei an, so ist diese ebenfalls verschlüsselt. Als normaler Benutzer kann ich die Datei nicht öffnen, aber ich kann sie auf derselben NTFS - Partition verschieben oder löschen (nicht kopieren). 

► Wird eine verschlüsselte Datei in einen komprimierten Ordner verschoben, so bleibt sie verschlüsselt und wird nicht komprimiert.

NTFS - Datenträgerkontingente (Quotas):

(Plattenplatzeinteilung)

- Einschränken bzw. Überwachen des von Benutzern verwendeten Platzes.

- Berechnung des verwendeten Platzes auf Basis des Besitzes

- NTFS - Komprimierung wird bei der Berechnung ignoriert (Es wird die volle Grösse verwendet).

- freier Platz bei Installationen wird aus dem Kontingent des Benutzers berechnet.

- Konfiguration und Geltungsbereich ist die NTFS - Partition (der NTFS - Datenträger)

LW E: \Eigenschaften\Kontingente

Das ist eine allgemeine Einstellung.

Unter "Kontingenteinträge" kann ich explizit für jeden Benutzer die Grösse angeben (Nicht für Gruppen), und überschreibe damit die Einstellungen.

Der vorgegebene Administrator kann nicht eingeschränkt werden und die Benutzerbenachrichtigung lautet ähnlich wie: "Laufwerk zu voll!" Unter der Protokollierung steht's dann...