TU Chemmnitz

Admin-nt

TU Chemnitz > URZ > Kurse > Unterlagen > Admin-nt

2. Grundlagen

2.1. Filesysteme

2.1.1. NTFS

Dieses Dateisystem ist neu im Windows NT 4.0. Es vereinigt Eigenschaften, die aus anderen Filesystemen (UNIX, Netware, AFS) lange bekannt sind, mit nützlichen neuen Fähigkeiten:

Jeder Benutzer muß sich am Windows NT-System anmelden. Das Umgehen der Anmeldung ist nicht möglich (wie im Windows 95). Durch die erfolgreiche Authentifizierung gegenüber dem System erlangt der Benutzer ein Zugriffstoken, das seine ID und die ID aller Gruppen, denen er angehört, enthält.

Wenn ein Benutzer eine Datei erzeugt, wird er der Besitzer dieser Datei. Er allein entscheidet, wer das File wie benutzen darf. Die Benutzer-ID wird in der MFT (Master File Table) abgelegt. Die MFT enthält für jede Datei einen Satz, in dem Verwaltungsinformationen zur Datei gespeichert werden (Größe, Zeitpunkt der Erstellung, klassische Dateiattribute usw.).
Ein wesentlicher Bestandteil eines MFT-Records ist die ACL (Access Control List). Mit der ACL wird die Zugriffsberechtigung für Verzeichnisse und Dateien gesteuert.

Folgende Berechtigungen können vergeben werden:

X

Die Berechtigungen r,w und x besitzen für Verzeichnisse diese Bedeutung:

r

enthaltene Filenamen auslisten

w

neue Dateien/Unterverzeichnisse anlegen
(nicht notwendig zum Löschen enthaltener Dateien!!!)

x

in ein Verzeichnis wechseln

32-Bit-Anwendungsprogramme benötigen nur das Recht X, um ausgeführt werden zu können. Dieses Recht erlaubt aber kein Kopieren oder Verschieben des Programmes. BATCH-Programme und 16-Bit-Anwendung benötigen zusätzlich das Recht R.

Interessant ist das Recht O. Der Administrator (oder irgendein anderer Nutzer) kann im Windows NT kein File einem anderen Nutzer übergeben, ohne daß dieser es bemerkt (wie das z.B. im UNIX mit chown möglich ist). Jemand der ein File "verschenken" will, kann dem "zu Beschenkenden" nur das Recht O erteilen. Den Besitz übernehmen muß dieser dann selbst.




Berechtigungen können für einzelne Benutzer oder Benutzerklassen erteilt oder entzogen werden. Dabei können - analog zum AFS - vordefinierteBezeichnungen wie Vollzugriff, Anzeigen, Lesen usw. eingesetzt werden, um eine Kombination von Einzelberechtigungen auszuwählen.

X

Folgende Bezeichnungen können benutzt werden:
 

kein Zugriff

Anzeigen

rx

Lesen

rx

Hinzufügen

wx

Hinzufügen + Lesen

rwx

Ändern

rwxd

Vollzugriff

rwxdpo

Das Standardrecht Anzeigen kann nur für Verzeichnisse vergeben werden. Bei Verzeichnissen besteht der Unterschied zwischen Anzeigen und Lesen darin, daß man bei der Berechtigung Lesen auch den Inhalt von Files, die im Verzeichnis stehen, lesen darf.




Im NTFS werden für Verzeichnisse zwei Zugriffsberechtigungen festgelegt.

X

Der erste Wert gibt die Berechtigungen für das Verzeichnis selbst an, der zweite Wert bestimmt, welche Zugriffsberechtigungen Files erhalten, die in diesem Verzeichnis neu angelegt werden.

Neu angelegte Unterverzeichnisse erben die Zugriffberechtigungen, des übergeordneten Directories.




Beim Zugriff auf ein File oder Verzeichnis werden die Berechtigungen, die ein Benutzer aufgrund seiner ID und seiner Gruppenzugehörigkeiten erlangt, addiert.

Ausnahme 1: Dem Nutzer oder einer Gruppe ist explizit das Attribut "kein Zugriff" zugewiesen.
Es besteht also ein Unterschied, ob ein Nutzer oder einer Nutzergruppe in einer ACL nicht auftritt oder in einem ACE (Access Control Entry) mit der Berechtigung "kein Zugriff" eingetragen ist.

Ausnahme 2: Besitzt ein Nutzer aufgrund der bestehenden NTFS-Berechtigungen keine Zugriffserlaubnis, darf er trotzdem auf das Objekt zugreifen, wenn er über ein entsprechendes Recht verfügt. Rechte werden mit den Systemrichtlinien erteilt und haben den Vorrang gegenüber NTFS-Berechtigungen. Ein derartiges Recht kann z.B. lauten: "Sichern von Dateien" oder "Verwalten des Überwachungs- und Sicherheitsprotokolls".

2.1.2. FAT

Dieses Filesystem wurde aus der MS-DOS-Welt vor allem aus Kompatibiltätsgründen beibehalten. Alle Beschränkungen bestehen weiterhin (8.3-Name, Filesystemgröße max. 2 GB, kein Zugriffsschutz, Pfadlänge begrenzt usw.).

Auf PC's, die ausschließlich mit Windows NT arbeiten, sollte kein FAT-Filesystem angelegt werden.

MS-DOS (das evtl. als "Zweitsystem" auf dem PC steht) kann nicht auf NTFS-Filesysteme zugreifen (das DOS-Utility NTFSDOS erlaubt nur lesenden Zugriff auf Files, die im NTFS für jeden Benutzer lesbar sind).

Werden von Windows NT aus Files in ein FAT-Filesystem kopiert, gehen die Zugriffsberechtigungen verloren.

Die Umwandlung FAT in NTFS läßt sich ohne Datenverlust mit dem Kommandozeilenprogramm CONVERT realisieren.

2.1.3. VFAT

steht für Virtual FAT

Herkunft: Windows 95, Windows NT 3.x

keine Unterstützung unter Windows NT 4 (außer auf Diskette)

2.1.4. HPFS

stammt aus der OS/2-Welt

ab Windows NT 4.0 keine Unterstützung mehr

2.2. Freigabe von Ressourcen

Damit ein Benutzer über das Netz auf Ressourcen eines anderen Computers zugreifen kann, bedarf es an diesem PC der Freigabe der Ressource.

Freigegeben werden können:

Um eine Freigabe zu definieren, kann mit Administratorrechten wie folgt vorgegangen werden:

Mit der Definition von Freigaben wird ein Windows NT-System zum Fileserver. Benutzt wird das SMB-Protokoll.

In der Netzwerkumgebung

X

ist die Freigabe auf allen berechtigten Maschinen sichtbar (versteckte Freigaben werden nicht angezeigt)

X

In der Systemsteuerung --> Serversymbol kann eine Liste der freigegebenen Ressourcen angezeigt werden incl. der aktuell mit der Ressource verbundenen Benutzer.

X

X




Auf Files kann mittels UNC-Namen (universal naming convention) zugegriffen werden. Der Freigabename wird zur Bildung eines UNC-Namens benutzt.

Die allgemeine Form eines UNC-Namen sieht so aus:

\\servername\freigabename\pfadname\basename

z.B.

\\primus\profiles\dgr\ntuser.dat

Das Konzept der Freigaben ist einfach und universell einsetzbar.

Nachteile:

2.3. Rechte

Berechtigungen sind einzelnen Objekten (Files, Verzeichnissen, Freigaben, Laufwerken, Drucker) zugeordnet.

Rechte gelten dagegen für das gesamte System.

Rechte haben gegenüber Berechtigungen den Vorrang. Beispielsweise wird es kaum einen Benutzer geben, der die Berechtigung besitzt, alle Files des Systems zu lesen. Aber in die Datensicherung müssen natürlich alle Files einbezogen werden. Besitzt ein Benutzer das Recht zum "Sichern von Dateien und Verzeichnissen", werden die für Dateien und Verzeichnisse geltenden Restriktionen außer Kraft gesetzt und die Datensicherung erlaubt.

Folgende Rechte können vergeben werden:

Alle diese Rechte gehören standardmäßig nur Mitgliedern der Gruppe "Administratoren".

Bei der Windows NT-Installation werden aber auch einige spezielle Gruppen (z.B. Server-Operatoren, Konten-Operatoren, Druck-Operatoren, Sicherungs-Operatoren) eingerichtet, die standardmäßig über einige der o.g. Rechte verfügen.
Diese Gruppen haben aber zunächst keine Mitglieder.

Rechte werden mit dem Benutzermanager weiteren Benutzern oder Gruppen erteilt bzw. entzogen.

X

X

2.4. Netzwerkkonzepte

Grundsätzlich kann jeder PC mit Windows NT isoliert betrieben werden. Das heißt, die Komponenten

befinden sich alle lokal auf dem PC. Die Verwaltung der Benutzer des PC's erfolgt lokal, alle benötigten Ressourcen (Drucker, Scanner, usw.) sind direkt mit dem PC verbunden ....




Kriterien wie Verfügbarkeit von Ressourcen, Effizienz, Datensicherheit, Erweiterbarkeit, Administrationsaufwand usw. machen den Netzverbund mehrerer PC's meist sinnvoll.




Vor dem Aufbau eines NT-Netzwerk sind zunächst verschiedene Vorüberlegungen nötig.

Windows NT unterscheidet zwischen Systemen, die direkt an das Netzwerk angeschlossen sind und solchen, die auf Anforderung eine Modemverbindung aufbauen.
Im ersten Fall geht das System davon aus, daß die Verbindung permanent verfügbar ist.
Da die Aufbau der Netzinfrastruktur der Uni weitgehend abgeschlossen ist, soll auf Themen wie Verkabelung, Netztopologie usw. hier nicht eingegangen werden. Entsprechende Informationen finden Sie hier. Innerhalb der Uni werden PC's in die TCP/IP-Umgebung des Campusnetzes integriert. Theoretische Grundlagen zum Problemkreis Netzprotokolle, IP-Adressierung usw. stehen in diesem Dokument.

Neben dem TCP/IP-Protokoll hat im Windows NT das NetBEUI-Protokoll große Bedeutung. Es ist relativ einfach zu konfigurieren und ist in abgeschlossenen, kleinen Umgebungen sehr schnell.
Die Identifikation der PC's (Knoten) im Netzwerk erfolgt durch NetBIOS-Namen. NetBIOS ist eine Schnittstelle, über die Anwendungen kommunizieren können. Welche Anwendung sich auf welches Protokoll stützt, bleibt dem Anwender dabei weitgehend verborgen. Vor der Installation muß aber klar sein, welche Protokolle eingerichtet werden müssen und wie diese zu konfigurieren sind. Z.B. muß das IPX-Protokoll auf der NT-Workstation installiert werden, wenn auf einen Novell-Netware-Fileserver zugegriffen werden soll.




Bei der Erarbeitung der Nutzungstechnologie ist die Festlegung der Dienste, die von Servern zu erbringen sind, eine wichtige Entscheidung.




Windows NT wird in zwei Versionen angeboten. Es gibt eine CD Windows NT-Server und eine CD Windows NT Workstation. Vor Beginn der Installation muß klar sein, wo die Servervariante benötigt wird und an welchen PC's die Workstation-Version ausreicht.

Wesentliche Unterschiede sind:

Server-Version Workstation-Version
Benutzeranzahl (gezählt werden File- und Printserververbindungen, named Pipes, Mailslots) unbegrenzt 10
Aufgaben in einer Domain Verwaltungsfunktionen (mindestens ein Computer in einer Domain muß mit der Serverversion betrieben werden) Klient
verschiedene Dienste nicht bzw. nur eingeschränkt verfügbar
Kosten hoch niedriger (etwa ein Viertel)

Windows NT kennt zwei grundsätzliche Modelle für die Zusammenarbeit von NT-Servern und NT-Workstations

Arbeitsgruppe: Anzahl von Computern, die Ressourcen gemeinsam nutzen. Alle miteinander verbundenen Rechner sind gleichgestellt. Jeder Computer kann der Arbeitsgruppe seine lokalen Ressourcen (Laufwerke, Drucker) zur Verfügung stellen und somit die Funktionalität eines File- bzw. Printservers übernehmen.

Auf jedem Rechner existiert eine eigenständige Benutzerverwaltung, deshalb ist keine benutzerspezifische Freigabe von Ressourcen möglich.

Eine Arbeitsgruppe muß keinen NT-Server enthalten.




Domain: Gruppe von NT-Workstations und NT-Servern (mindestens einer) mit zentraler Benutzer- und Sicherheitsverwaltung

Die Verwaltungsfunktion übernimmt ein (meist) dedizierter Server, der selbst kein Arbeitsplatz ist. Er wird als Primary Domain Controller (PDC) bezeichnet und ist für alle sicherheitsrelevanten Informationen der Domain verantwortlich (z.B. Benutzer- und Computerkonten, Systempolicy, Benutzergruppen).

Das Anlegen und Verwalten von Benutzern erfolgt mit dem Benutzermanager für Domains. In einer Domain können bis zu 50000 Benutzer angelegt werden. Die Benutzerkonten gelten in der gesamten Domain, lokale Accounts auf den Workstations sind nicht erforderlich.

Bei der Anmeldung an einem konkreten Rechner loggt sich der Nutzer in der Domain ein. Er kann auf alle freigegebenen Ressourcen der Domain zugreifen, sofern es die für ihn festgelegten Zugriffsberechtigungen erlauben.

Zur Erhöhung der Ausfallsicherheit einer Domain können Backup Domain Controller (BDC) eingesetzt werden.

In einer Windows NT-Domain können somit vier verschiedene Computertypen auftreten:

Die NT-Domain darf nicht mit anderen Domains (IP, NIS, DNS) verwechselt werden. Sie kann am ehesten mit der NIS-Domain aus der UNIX-Welt verglichen werden.




Ein Computer kann nicht gleichzeitig einer Arbeitsgruppe und einer Domain angehören. 




Bei der Aufnahme einer NT-Workstation in eine NT-Domain, werden die Domain-Admins (globale Nutzergruppe) zu Mitgliedern der lokalen Gruppe "Administratoren" auf der Workstation und in die lokale Gruppe "Benutzer" wird die Gruppe "Domain-Benutzer" aufgenommen.

Der Domain-Administrator besitzt also auch auf den Workstations alle Befugnisse.

Mehrere Windows NT-Domains können zu einer Verwaltungseinheit zusammengefaßt werden. Das geschieht durch die Vereinbarung von Vertrauensverhältnissen. Alle Benutzerkonten der beteiligten Domains sollten auf einem PDC zentral verwaltet werden (Trusted Domain). In den vertrauenden Domains können Zugriffsberechtigungen an Benutzerkonten der Trusted Domain erteilt werden.
Angenommen die Domain ,,MATHE'' vertraut der Domain ,,URZ''. Ein Anwender mit einem Benutzerkonto in der Domain ,,URZ'' kann sich aufgrund dieses Vertrauensverhältnisses auch an Workstations der Domain ,,MATHE'' anmelden.

Vertrauensstellungen gelten nicht wechselseitig. Auch vertraut die Domain ,,MATHE'' nicht automatisch der Domain ,,REKTORAT'', wenn die Domain ,,URZ'' der Domain ,,REKTORAT'' vertraut.

2.5. Benutzerprofile

Im Benutzerprofil werden benutzerspezifische Einstellungen gespeichert.

Im Kapitel "Servereinsatz" werden Benutzerprofile ausführlich behandelt (Abschnitt 4.2.4.).

2.6. Registrierdatenbank (Registry)

Die Registry dient zum Ersatz der aus Windows 3.1. bekannten, unüberschaubaren INI-Files. Aus Gründen der Kompatibilität existieren aber INI-Files weiterhin! INI-Files sind immer nutzerunabhängig. Sie stehen lokal auf einer Workstation --> Problem !

In der Registry können Konfigurationsdaten für das System und die Anwendungssoftware gespeichert werden.
(In der UNIX-Welt gibt keine 1:1 Entsprechung für die Registry. Funktionell übernimmt sie Aufgaben, die im UNIX die Umgebungsvariablen und sog. Punkt-Files erfüllen.)


Ähnlich dem Filesystem erfolgt die Daten-Speicherung in der Registry in einer Baumstruktur. Jedoch wird hier nicht von Ordnern und Dateien, sondern von Schlüsseln und Einträgen gesprochen.

Jeder Schlüssel kann Unterschlüssel (Subschlüssel) und Einträge enthalten.

Ein Eintrag besteht aus:

Beispiel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Pameters]
"EnablePlainTextPassword"=dword:00000001

Schlüssel: HKEY_LOCAL_MACHINE
Subschlüssel: SYSTEM\CurrentControlSet\Services\Rdr\Pameters
Wertname: EnablePlainTextPassword
Werttyp: dword
Wert: 00000001


Welche Bedeutung ein spezieller Registry-Eintrag besitzt (und auch umgekehrt, welche Funktionalität mit welchem Registry-Eintrag erreicht werden kann) ist selten sofort ersichtlich. Die meisten Einstellungen werden vom System, einem Installationsprogramm, von Anwendungen usw. vorgenommen und ausgewertet. Fast immer bleibt zunächst verborgen, was, wo und warum eingetragen ist. Diese Einstellungen sind oft nicht (bzw. nur an "geheimen" Stellen) dokumentiert.

Einige Beispiele für Einträge in der Registry:

Es gibt Tausende derartiger Einträge!

Hauptschlüssel:

HKEY_LOCAL_MACHINE enthält Angaben zur Hardware, zum Betriebssystem, zum Bootvorgang, über lokal installierte Anwendungssoftware sowie Sicherheitsinformationen (Paßworte, Benutzerrechte, Benutzerkonten, ...)

HKEY_USERS enthält u.a. den Teilschlüssel DEFAULT mit dem Standard-Benutzerprofil

HKEY_CURRENT_USER enthält die spezifischen Einstellungen des aktuell angemeldeten Benutzers (Hintergrund- und Fensterfarben, Netzverbindungen (Laufwerke, Drucker), Umgebungsvariablen, Tastatur, ...)
(Link auf HKEY_USERS\SID des aktuellen Nutzers)

HKEY_CURRENT_CONFIG enthält die Einstellungen des aktuellen Hardware-Profils (Hardwareprofile dienen zur Anpassung der Systemumgebung (z.B. PC nur manchmal im Netz))
(Link auf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current)

HKEY_CLASSES_ROOT hier stehen die Zuordnungenen zwischen Dateinamen-Erweiterung (TXT, BAT, DOC, ...) und zum Öffenen von Dateien dieses Typs einzusetzendem Programm (Dateiverknüpfungen) und die OLE-Registrierung (object linking and embedding).
(Link auf HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES)


Die Registry setzt sich aus mehreren Files zusammen, die im Ordner \WINNT\SYSTEM32\CONFIG stehen. Die Filenamensuffix in \WINNT\SYSTEM32\CONFIG bedeuten: Die Größe der Registry ist auf 102 MB begrenzt.

Die Registry ist keine Textdatei, zur Bearbeitung wird deshalb ein spezieller Editor benötigt (regedit.exe und regedt32.exe). Die Handhabung gleicht dem Dateimanager.

X

Verschiedene Registry-Schlüssel können bzw. sollten nicht mit dem regedit bearbeitet werden. Zur Veränderung dieser Einträge dienen spezielle Tools. Zum Beispiel kann der Teilschlüssel SAM (Security Account Manager) im Hauptschlüssel HKEY_LOCAL_MACHINE nur mit dem Benutzermanager bearbeitet werden.




Analog dem NTFS-Filesystem können auch für Registry-Schlüssel und Werte Sicherheitsrichtlinien vergeben werden. Diese Sicherheitsrichtlinien stehen selbst in der Registry (HKEY_LOCAL_MACHINE\SECURITY). Allerdings sind nach der Systeminstallation nur wenige Schlüssel gegen Veränderung durch jedermann geschützt (z.B. HKEY_LOCAL_MACHINE\Security). Die Sicherheitsrichtlinien können nur mit dem regedt32 eingestellt werden.

X

Wenn einem Nutzer durch spezielle Policy-Einstellungen untersagt ist, daß er Programme zum "Bearbeiten der Registry" einsetzen kann, so kann er trotzdem "regedit file.reg" ausgeführen. (Das geht naturlich auch durch anklicken dieses Symboles.)

X

Auch mit einem eigenen Programm (C-Funktionenen: RegCreateKeyEx, RegQueryValueEx, RegSetValueEx, ...) kann dieser Nutzer die Registry modifizieren. Auch die setup.exe, die fast alle Anwendungen zur ihrer Installation benutzen, führen oftmals diese Funktionen aus. Die Sicherheitsrichtlinien werden dabei ausgewertet. Leider muß aber an vielen Stellen das Hinzufügen neuer Werte gestattet sein (nur die Veränderung vorhandener Werte ist unterbunden).

Daraus resultieren beispielsweise Registry-Einstellungen an Pool-PC wie diese:

X

Ein beliebiger Nutzer hatte offenbar das Programm DUMETER.EXE aus seinem HOME-Verzeichnis installiert. Das Installationsprogramm war der "Meinung" sich im Regsitry-Schlüssel für die Maschine verewigen zu müssen.

Der PC reagiert daraufhin bei jeder anderen Anmeldung so:

X

2.7. Systemrichtlinien (Policies)

Mit Systemrichtlinien kann der Administrator den Handlungsspielraum der Benutzer einschränken.

Die Einstellungen in den Policies (sie stehen auf jedem Domain-Controller in der Freigabe NETLOGON; Default Name: NTCONFIG.POL) überschreiben die Eintragungen in der lokalen Registry. Der Administrator kann damit Einfluß auf Einstellungen in folgenden Registry-Hives nehmen:

Leider ist dieses Konzept nicht allgemeingültig, weil der Administrator nur jene Registry-Einträge überschreiben kann, für die der Systemrichtlinien-Editor diese Möglichkeit vorsieht. Der Systemrichtlinien-Editor hält vor dem Administrator verborgen, welcher Registry-Eintrag durch welche Policy-Einstellung überschrieben wird. Beachtet werden muß ferner, daß Registry-Einträge, die mittels Policies überschrieben wurden, ihren ursprünglichen Wert nicht wieder annehmen, wenn die Systemrichtlinie für den PC oder die Person nicht mehr gilt. Das bedeutet, daß der Administrator sehr sorgfältig mit Restriktionen umgehen muß, da er diese nicht mehr (oder nur sehr aufwendig mit regedit zurücknehmen kann.

Im Kapitel "Servereinsatz" wird auf die Systemrichtlinien noch ausführlicher eingegangen (Abschnitt 4.4.).

2.8. Dienste

Als Dienst wird ein Prozeß bezeichnet, der Systemfunktionen "im Hintergrund" realisiert. Dienste sind nicht im Systemkern implementiert. Ein Dienst arbeitet auch, wenn kein Benutzer angemeldet ist. Meistens werden sie bei jedem Booten des PC's automatisch gestartet. Jeder Dienst läuft unter der ID eines bestimmten Benutzers mit dessen Rechten und Zugriffsberechtigungen.

Zwischen Diensten können Abhängigkeiten bestehen, d.h. es gibt Dienste, die voraussetzen, daß ein oder mehrere andere Dienste (oder Treiber) laufen.

Die Dienste des lokalen Computers werden über das Applet "Dienste" der Systemsteuerung verwaltet.

X

Vorsicht Falle

Beim Installieren von System- oder Anwendungssoftware können auch neue Dienste eingerichtet werden. Diese werden u.U. nicht als Systemdienst eingetragen, sondern laufen mit der ID des Nutzers, der die Installation der Software vornahm. Dabei wird auch das Paßwort dieses Nutzers dem Dienst zugeordnet!!! (Offensichtlich kann das Paßwort des aktuellen Nutzers vom Installationsprogramm festgestellt werden)

X

Wenn der Nutzer irgendwann später sein Paßwort ändert, startet der Dienst nicht mehr!!!




Der Administrator benutzt überlicherweise grafische Tools zur Bewältigung seiner Aufgaben.

Es stehen aber auch Kommandos zur Verfügung, die in BATCH-Scripts sinnvoll eingesetzt werden können (z.B. net use, net user, net start, net pause)


Frame verlassen Zur Homepage des URZ
Dietmar Grunewald , Dezember 1999, letzte Änderung:  04.09.2001

Ursula Riedel
05. April 2003
Technische Universität Chemnitz, Straße der Nationen 62, 09107 Chemnitz
Impressum - Copyright © 2005 by TU Chemnitz, alle Rechte vorbehalten.
Druckansicht