Hallo!
Bevor jetzt jemand lacht - das ist durchaus ernst gemeint und auch (für mich) nicht so leicht zu beantworten:
Folgendes:
Ich installiere Windows auf NTFS und vergebe dort die Dateisystemberechtigungen.
Nun installiere ich ein zweites Windows (gleich wo) und möchte nun wissen …
Berechtigungen, die gesetzt wurden auf
… Administratoren
… Authentifizierte Benutzer
… System
… Jeder (da kann ich es mir noch vorstellen)
Sind diese Berechtigungen und dort gültig, wo ich sie gesetzt habe, oder auch in einem zweiten Windows?
Ich denke, daß diese auch im zweiten Windows gültig sind bzw. gleich behandelt werden.
Da shee ich aber dann ein großes Sicherheitsrisiko.
Wenn das so ist, dann darf plötzlich wieder „jeder“ auf die Dateien von einem anderen Windows zugreifen, ich brauche diesen nur kurzfristig zur lokalen Gruppe der Administratoren (in dem laufendem Windows) hinzufügen.
Gibts jemand, der sich darüber bereits Gedanken gemacht hat?
Gruß!
Herbert
Moien
Ich installiere Windows auf NTFS und vergebe dort die
Dateisystemberechtigungen.
Im 2. Windows haben die ACL (= Rechte) keinerlei Bedeutung, da es die Usernamen nicht zuordnen kann. Man muss als Admin die Rechte neu an die jeweiligen Leute vergeben.
Da shee ich aber dann ein großes Sicherheitsrisiko.
… ich nicht, weiso auch ?
cu
Wenn das so ist, dann darf plötzlich wieder „jeder“ auf die
Dateien von einem anderen Windows zugreifen, ich brauche
diesen nur kurzfristig zur lokalen Gruppe der Administratoren
(in dem laufendem Windows) hinzufügen.
Genau so ist das: Wenn du einem beliebigen Konto Administratorrechte gibst, dann hat dieses Konto Administratorrechte. Soweit du das berechtigt als Sicherheitsrisiko betrachten musst, solltest du aber nicht das Betriebssystem, sondern den Administrator austauschen.
Gruss
Schorsch
Hallo,
das Problem liegt hier bei „Jeder“: es ist zwar Jeder in Windows 1 Jeder in Windows 2, aber Jeder ist eben Jeder, deshalb soll man das ja auch nie verwenden, und wenn, sollte man genau wissen was man tut.
Macht man aber Meier zum Admin, so ist Meier W2 eben nicht Meier W1, und damit entsteht dadurch auch kein Sicherheitsproblem.
Man erhält allerdings u.U. seltsame Anzeigen der Zugriffsrechte, weil W2 von den Usern des W1 auch die Namen nicht kennt, nur die SIDs.
Gruss Reinhard
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Leider wenig hilfreich!
Hallo!
Dank Dir für die Antwort - leider ist diese wenig hilfreich!
Ich habe gesehen, daß gewissen Gruppen eindeutige SIDs haben und daher die Berechtigungen zum Teil nicht auf eine Installation von Windows beschränft sind.
Da zu gehören ganz sicher solche wie
… Administratoren, jeder, (authentifizierter Benutzer ??)
Kongret: Wenn ich Berechtigungen für „Administratoren“ (Mehrzahl) vergebe, dann wird eine bestimmte SID verwendet, die auch in der nächsten Installation von Windows (2k, xp, 2k3) verwendet wird, und somit sind die Berechtigungen OS - Übergreifend.
Und genau das war die Frage: Welche Berechtigungen beziehen sich nicht auf die installiete Version von Windows, sondern sind auch in anderen Windows - Installation gültig.
Und da sehe ich schon ein Sicherheitsproblem:
ich vergebe Berechtigungen in dem Glauben, daß diese „absolut“ sind und dann kommt jemand, gibt die Festplatte in eine andere Maschine - und alle DAteien sind offen zugänglich.
Also mir gibt das zu bedenken, ich hatte gehofft, daß es Leute gibt, die sich darüber bereits Gedanken gemacht haben.
Gruß und Dank!
Herbert
Hallo Schorsch!
Die Antwort geht leider an der Frage vorbei!
Die Frage war so gemeint: welche Security IDs (SIDs) sind global und daher nicht auf eine Installation beschränkt.
Ich habe bereits die Lösung gefunden:
http://support.microsoft.com/kb/243330
Das ganze nennt sich well known SIDs und wird hier dokumentiert.
Ich denke schon, daß das eine wichtige Sache ist, und sich viele Administratoren damit in falscher Sicherheit wiegen.
Dank Dir!
Herbert
das Problem liegt hier bei „Jeder“: es ist zwar Jeder in
Windows 1 Jeder in Windows 2, aber Jeder ist eben
Jeder, deshalb soll man das ja auch nie verwenden, und wenn,
sollte man genau wissen was man tut.
Macht man aber Meier zum Admin, so ist Meier W2 eben nicht
Meier W1, und damit entsteht dadurch auch kein
Sicherheitsproblem.
Man erhält allerdings u.U. seltsame Anzeigen der
Zugriffsrechte, weil W2 von den Usern des W1 auch die Namen
nicht kennt, nur die SIDs.
Hallo!
Die Frage war, welche Benutzer/Gruppen unabhängig von der Installation sind. Ich hatte das schon mehrmals gesehen, daß Berechtigungen die ich mit einer Maschine mache, auf einer anderen erkannt und zugewiesen wurde. Andere Benutzer/Gruppen wurden nicht erkannt, da steht dann die SID.
HIer steht auch warum:
http://support.microsoft.com/kb/243330
Gruß und Dank!
Herbert
Hallo Herbert,
nicht gleich die Flinte ins Korn werfen!
Vielleicht sind heute Abend ein paar interessante Antworten auf deine Fragen hier im Forum zu finden. Es ist doch Pfingsten und viele der Experten genießen sicherlich das schöne Wetter.
Halt durch und ein wenig Geduld…
Herzliche Grüße, Achim
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Moien
Und da sehe ich schon ein Sicherheitsproblem:
ich vergebe Berechtigungen in dem Glauben, daß diese „absolut“
sind und dann kommt jemand, gibt die Festplatte in eine andere
Maschine - und alle DAteien sind offen zugänglich.
Ja und ? Das war schon immer so und globale SID ändern daran herzlich wenig. (welcher NTFS-reader ausser der Treiber aus windows hält sich schon an ALC’s ?) Wenn du die Platte an sich absicher willst dann nim EFS und vergiss ACL. EFS ist zwar auch eine Krücke, aber damit verliert man eher Daten als dass sie in den falschen Händen landen.
EFS ist mit sehr grosser Vorsicht zu geniessen.
cu
Hallo Herbert,
sind und dann kommt jemand, gibt die Festplatte in eine andere
Maschine - und alle DAteien sind offen zugänglich.
Also, wenn bei Dir einfach irgendein Heini mit ´nem Schraubenzieher in der Hand vorbeikommen kann, nimmt sich die HD und baut sie in eine andere Maschine - dann liegt Dein Sicherheitsproblem aber ganz woanders. Wie wär´s mit einem Server, der in einem speziell gesicherten Raum steht?
Wenn ich physikalischen Zugriff auf Dein System habe (und ein bißchen in Ruhe gelassen werde), ist Hacken nun wirklich kein Problem. Eine Serverplatte im alten Novell (Bindery) konnte man in weniger als 5 Minuten knacken.
Grüße,
Tim
Hi,
ich vestehe aber immer noch nicht warum da ein Sicherheitsproblem siehst? Schließlich kann sich keiner unter dem Gruppenaccount am System anmelden.
Gruss
Quaser