15.10.2001

Benutzerprofile:

- Desktop (Farbe, Hintergrund, Dateien)

- Startmenü (Programme)

- Eigene Dateien

- Lokale Einstellungen

- Favoriten

lokales Profil (Standart):

\Dokumente und Einstellungen\%username%\

Dort befinden sich neben dem Desktop-Ordner und anderen die

Registry-Datei für den jew. Benutzer (NTUSER.DAT)

Liste der Profile

Steht "Konto unbekannt", oder eine Nummer da drin, wurde ein Benutzer angelegt, dieser angemeldet und hinterher wieder gelöscht

► Die Liste der Benutzer kann nur der Administrator sehen; ein Benutzer nur sein eigenes; ein Hauptbenutzer sieht auch die, die er selbst verwaltet.

Ändere ich den Typ, erscheint ein Auswahlfenster:

Ein Servergespeichertes Profil enthält Freigabeordner

Die Vorteile:
- die Sicherung (es muss nur von einem PC ein Backup angelegt werden)
- PC-unabhäniges Userprofil (wanderndes Profil)
- Verwaltung von einem Rechner aus

Nachteile:
- Hoher Netzwerkverkehr (der Ordner "Eigene Dateien" wird bei der Anmeldung KOMPLETT geladen!)

Unter Verwaltung\Eigenschaften des Benutzers\Profil\Profilpfad

Profilpfad: \\Servername\Freigabename\%username%

► Wenn ich die NTUSER.DAT in NTUSER.MAN umbenenne, wird das Profil als "obligatorisch" angezeigt, das System holt die Daten aus dem Profil trotzdem noch, aber speichert keine Änderungen mehr ab.

Es gibt zwei Profile, die automatisch angelegt werden: default user und all users

default wird geladen, wenn ein Benutzer sich das erste Mal anmeldet, all users enthält Eigenschaften, die immer geladen werden.

  Inhalt von All users

Erste Anmeldung:

- default user Profil wird geladen

- all users Profil wird geladen

erste Abmeldung:

- persönliches Profil wird angelegt

jede weitere Anmeldung:

- das persönliche Profil wird geladen

- das all users Profil wird geladen

jede weitere Abmeldung:

- Änderungen am persönlichen Profil werden gespeichert

NTFS - Rechte, - Attribute, - Kontingente

1. Grundvorraussetzung: - eine NTFS-formatierte Partition

Zugriffsicherheit unter W2k

---------------Zugriff-------------------->, ,

Bei der Anmeldung:

Benutzer erhält ein Token

- SID des Benutzers (Zahl, die den Benutzer eindeutig identifiziert)

- SID (GID) der Gruppen, in denen der Benutzer Mitglied ist (Group ID)

- spezielle Rechte (Privilegien)

Voreinstellungen sind zu finden unter: Start\Programme\Verwaltung\lokale Sicherheitsrichtlinien\lokale Richtlinien\Zuweisen von Benutzerrechten

► Mit dem DOS-Tool WhoamI kann man das Token des angemeldeten Benutzers auslesen.

Whoami /user /groups liefert folgendes Ergebnis

Jedes NTFS-Objekt hat eine ACL (Zugriffskontrollliste):

- Besitzer des Objektes

- DACL:        SID1            Lesen

                      SID6            Vollzugriff

                                                                        Wer darf mit welchen Rechten Zugreifen?

- SACL:        SID4            Lesen

                                                                        Welche Zugriffe werden überwacht?

NTFS - Rechte, -Attribute, -Kontingente

NTFS - Rechte

Vollzugriff

Ändern

Lesen, Ausführen

Ordnerinhalt auflisten

Lesen

Schreiben

Die vordefinierten Rechte sind aus Einzelrechten zusammengesetzt:

z.B.:

- Besitzrechte übernehmen (Mann kann den Besitz einer Datei übernehmen und damit deren Berechtigungen ändern)

► Wenn einer der Administratoren den Besitz übernimmt, wird die gesammte Gruppe Besitzer, wenn ein User den Besitz übernimmt, wird nur der User Besitzer

- Berechtigungen ändern

NTFS - Rechte:

- Bei Rechten aus versch. Gruppen werden die Rechte aufsummiert (Das nennt man kumulativ)

- Das "Verweigerungsrecht" ist dominant

► Verweigerung sollte selten verwendet werden.

NTFS - Rechte werden standartmässig vererbt; das heisst: wenn auf einem Laufwerk Vollzugriff herrscht, sind alle Unterordner ebenfalls mit Vollzugriff erreichbar.

Die Vererbung kann unterbrochen werden, es erscheint die angezeigte Meldung (Erklärung später)

Ein neues NTFS - Objekt erbt die Eigenschaften des Übergeordneten Ordners

► Der Standart ist: JEDER Vollzugriff auf Laufwerksebene.