De rechten en permissies van lokale groepen
Door het al of niet voorkomen van een account in de accountdatabase van de NT-server
kan men er voorzorgen dat een gebruiker al of niet toegang krijgt tot de gedeelde bronnen.
Daarnaast bestaan er middelen om aan te geven wat een gebruiker op de NT-server mag
uitvoeren. Men spreekt van USER RIGHTS of RECHTEN en PERMISSIONS of
PERMISSIES.
Rechten en permissies kan men per individuele gebruiker instellen maar ook per groep
gebruikers. Het volstaat de gewenste gebruikers in een groep te definiëren en de rechten
en permissies toe te kennen aan de groep.
We onderscheiden lokale en globale groepen.
1. lokale groepen
Lokale groepen gelden enkel voor de accountdatabase van het domein waarin de groep
gecreëerd werd.
Een aantal lokale groepen worden bij de installatie van NT aangemaakt en kunnen niet
verwijderd worden:
- administrators
- server operators
- account operators
- print operators
- backup operators
- guests
- users
- replicators
Een nieuwe lokale groep kan aangemaakt worden via user manager for domains, new
local group
Na het invoeren van naam en omschrijving kan men met de add-knop de members toevoegen
Een veelvoorkomende vraag: welke user in welke groep?
te controleren op 2 manieren:
- vanuit groep
dubbelklik op de groepsnaam
- vanuit user
dubbelklik op de usernaam en klik op de groups-knop
2. lokale groepen en user rights
User rights zijn systeemrechten m.a.w. ze handelen over toegang tot het netwerk,
of je lokaal kan inloggen, of je reservekopieën kunt maken, enz...
Via user manager for domains, policies, user rights krijgt men een overzicht van de
rechten en welke groepen of users dit recht hebben.
Als bijlage vindt u een tabel met de user rights voor de standaard lokale groepen. Deze
tabel kan je hier als worddocument downloaden.
Uit de tabel valt af te leiden dat elke lokale groep zijn eigen rechten heeft, die niet
kunnen gewijzigd worden. Een nieuwe gebruiker bepaalde rechten geven kan door hem toe te
voegen in een specifieke lokale groep.
Daarnaast bestaat de mogelijkheid eigen lokale groepen aan te maken met eigen specifieke
rechten.
b.v. een nieuwe lokale groep CURSISTEN heeft automatisch het recht: toegang tot
het netwerk aangezien de speciale groep Everyone dit recht heeft.
Wil men dat de leden van de groep cursisten lokaal kunnen inloggen dat moet men bij het
recht: log on locally de groep cursisten toevoegen.
opmerkingen
- sommige rights zijn voorzien voor latere versies van NT b.v. afsluiten van een systeem
op afstand
- de groep administrators is de machtigste groep op het systeem.
- een aantal rechten zijn eigen aan de groep en zijn niet te zien (build-in rights)
- bij het toekennen van rights worden 4 speciale lokale groepen gebruikt die niet in de
lijst voorkomen:
- EVERYONE: alle aangemaakt users automatisch in deze groep
- CREATOR-OWNER: iedereen die op een NTFS-partitie een directory aanmaakt komt in deze
groep terecht
- INTERACTIVE: iedereen die lokaal kan inloggen op de server
- NETWORK: iedereen die via het netwerk de server kan bereiken
Selecteert men een recht en add om groepen of individuele users toe te voegen, dan kan
men eventueel gebruik maken van deze 4 speciale groepen.
-men kan een lokale groep NIET toevoegen aan een lokale groep, wel kan men een globale
groep toevoegen aan een lokale groep.
oefeningen
oefening 1: 2 gebruikers Jan en Piet moeten een backup van de server-software
kunnen maken en daarbij kunnen inloggen op de server.
oefening 2: zelfde vraag maar de backup moet gebeuren vanaf een werkstation, dus
beide gebruikers mogen niet kunnen inloggen op de server.
Opgelet: andere backupusers moeten dat wel nog kunnen!
3. lokale groepen en permissions
Onder permissies verstaat men rechten op objecten als directories en files.
Immers bij het delen van directories kan men bepalen:
- wie toegang heeft tot de directory
- wat men in die directory kan uitvoeren
De mogelijke permissies zijn afhankelijk van het geïnstalleerde filesysteem, vandaar:
A. permissies in een FAT-systeem
- Welke?
- Enkel NO ACCESS, READ, CHANGE en FULL CONTROL op directory-niveau.
- Hoe instellen?
- Kies de gedeelde directory en selecteer de properties, sharing en druk
de toets permissions.
Druk de add-knop en voeg ofwel individuele users ofwel lokale groepen toe. Daarmee
bepaal je wie er toegang heeft.
Selecteer daarna type of access en maak een keuze uit de volgende mogelijkheden:
| no access |
geen enkele toegang tot de directory, subdirectories en files |
| read |
de files en subdirectories kan men bekijken
gegevens in files kunnen bekeken worden en exe-files kunnen uitgevoerd worden
doch men kan geen subdirectory aanmaken of hernoemen
kopiëren of verplaatsen van files is uitgesloten |
| change |
men kan files en subdirectories in de gedeelde directory toevoegen, de namen wijzigen
of wissen
de gegevens in een file kunnen bekeken,gewijzigd en gewist worden
exe-files kunnen uitgevoerd en gewist worden
kopiëren en verplaatsen van files is mogelijk |
| full control |
idem als change aangevuld met:
toelating om permissies te wijzigen
men kan eigenaar worden van een file of directory
opgelet: beiden zijn enkel mogelijk in een NTFS-systeem |
- Opgelet!!!!
-
| druk de apply-toets om de ingestelde permissies te activeren |
| plaatst men een directory als gedeeld dan krijgt de groep EVERYONE automatisch
volledige toegang |
| in een FAT-systeem is full control gelijk aan een change-permissie |
| in een FAT-systeem kan men enkel permissies toekennen aan een gedeelde directory,
m.a.w. wie lokaal toegang heeft kan alles |
| permissies zijn cumulatief , indien een gebruiker tot een READ-groep behoort doch ook
tot een CHANGE-groep dan heeft die gebruiker de CHANGE-permissie. De NO ACCESS-permissie
overschrijft alles. |
| permissies op een directory gelden automatisch voor alle onderliggende files en
subdirectories |
- Hoe te zien wie toegang en welke permissies?
- 2 manieren:
- selecteer de properties van de gedeelde directory; kies sharing en
daarna permissions
- vanuit administrative tools, server manager, de computer selecteren en vanuit het
menu de optie shared directories kiezen, properties,permissions
- 0efeningen
- oefening 1:
Maak een lokale groep CURSISTEN met de nodige gebruikers. Creëer een directory GEMEEN op
de server en zorg voor een TXT- en EXE-file.
Probeer wijzigen , uitvoeren en kopiëren met een READ- en CHANGE-permissieoefening
2:
De lokale groep CURSISTEN heeft de 'no access'-permissie op de directory GEMEEN. De
root-directory staat geshared met als naam C-DRIVE en de groep EVERYONE heeft de full
control-permissie.
Hoe kan een gebuiker van de groep CURSISTEN de directory GEMEEN benaderen?
oefening 3
Wat is het verschil tussen de volgende share-vormen van de directory GEMEEN?
- everyone no access en cursisten read
- everyone full control en cursisten read
- alleen cursisten read
voor
- een gebruiker uit de groep cursisten
- een nieuw aangemaakte gebruiker
oefening 4
De lokale groepen N12 paar en N12 onpaar werden op de server aangemaakt en bevatten de
computers met respectievelijk de pare en onpare nummers
De gedeelde directory GEMEEN mag enkel toegankelijk zijn voor de groep N12 onpaar.
Wat is het verschil tussen de volgende permissions-vormen van de directory GEMEEN?
- everyone full control en N12 paar no access
- N12 onpaar full control
B. permissies in een NTFS-systeem
- Welke?
- De keuze uit NO ACCESS, LIST,READ,ADD, ADD & READ, CHANGE en FULL CONTROL.
Bovendien kan men permissies instellen op directory- en/of fileniveau
- Hoe instellen?
- Selecteer de properties van de directory of de file(s). Kies security,permissions.
Met de add-knop kan men bepalen wie toegang heeft (individuele users en/of lokale
groepen) en met type af access kan men het soort toegang definiëren.
Daarnaast ziet men in het 'directory permissions'-venster wie de eigenaar is van de file
of de directory en kan men voor directories automatisch de ingestelde permissies
overhevelen naar onderliggende files en/of subdirectories
type of access:een overzicht:
algemene schrijfwijze: soort permissie(dir-niveau)(file-niveau)
| soort permissie |
dir-niveau |
file-niveau |
NO ACCESS
|
none
geen toegang tot directory en onderliggende subdirectories |
none
geen toegang tot de file |
LIST
|
RX
files en subdirectories zijn te zien
subdirectories kan men selecteren |
not specified
kan niet om file-niveau ingesteld worden
geen toegang tot files |
READ
|
RX
files en subdirectories zijn te zien
subdirectories kan men selecteren |
RX
datafiles kan men bekijken en exe-files zijn uitvoerbaar |
ADD
|
WX
files en subdirectories kan men toevoegen |
not specified
kan niet om file-niveau ingesteld worden
geen toegang tot files |
ADD & READ
|
RWX
files en subdirectories zijn te zien
subdirectories kan men selecteren
files en subdirectories kan men toevoegen doch de namen zijn niet te wijzigen |
RX
datafiles kan men bekijken en exe-files zijn uitvoerbaar |
CHANGE
|
RWXD
files en subdirectories zijn te zien
subdirectories kan men selecteren
files en subdirectories kan men toevoegen en wissen
namen zijn te wijzigen |
RWXD
datafiles kan men bekijken en exe-files zijn uitvoerbaar
datafiles zijn te wijzigen wissen is mogelijk |
FULL CONTROL
|
ALL
files en subdirectories zijn te zien
subdirectories kan men selecteren
files en subdirectories kan men toevoegen en wissen
namen zijn te wijzigen
men kan eigenaar worden van de directory
men kan de directory-permissies wijzigen |
ALL
datafiles kan men bekijken en exe-files zijn uitvoerbaar
datafiles zijn te wijzigen
men kan eigenaar worden van de file
men kan de file-permissies wijzigen |
- opmerkingen
- - R=READ, X=EXECUTE,D=DELETE, W=WRITE, P=change PERMISSIONS, O=take OWNERSHIP
- - met de opties special directory access en special file access kan men
nog andere permissiecombinaties maken.
- oefeningen
- Maak een gedeelde directory VOORBEELD op de server en zorg dat de groep CURSISTEN
full control-permissie heeft.
Elke gebruiker van de groep CURSISTEN maakt een redirection zodat drive Z overeenkomt met
de VOORBEELD-directory op de server. Daarna creëert elke gebruiker een eigen directory.
Welke zijn de permissies van deze directories?
- idem als vorige oefening doch de groep CURSISTEN heeft Add & Read-permissie
op de gedeelde directory VOORBEELD. Verklaar het probleem.
- verwijder de directories op de server. Verklaar het probleem .
Zorg dat de administrator eigenaar wordt van de directories en files om het probleem op te
lossen.
- idem als oefening doch de groep CURSISTEN heeft Add-permissie. Probeer een file
of directory te kopiëren vanuit deze computer en vanuit windows verkenner. Wat is het
verschil?
Wie is de eigenaar van de files?
- plaats er een TXT- en EXE-file in de directory VOORBEELD. De groep CURSISTEN heeft een
full control-permissie op dirniveau en no access-permissie op fileniveau. Welke
bewerkingen zijn mogelijk?
- besluiten
-
- - users met full control op dirniveau kunnen files wissen, wat ook de permissies op
fileniveau mogen zijn
- - in tegenstelling tot FAT-permissies worden NTFS-permissies op directories geplaatst
die niet noodzakelijk als gedeeld staan. NTFS-permissies gelden dus zowel lokaal als via
het netwerk
- - wie lokaal een directory aanmaakt wordt de eigenaar en heeft full control
(All)(All)-permissie
- - wie via het netwerk een directory creëert wordt de eigenaar en krijgt de permissie
van de hogere directory
- - indien een lid van de groep ADMINISTRATORS een directory aanmaakt dan bezitten
alle leden van de groep het eigenaarsschap
- - alleen de eigenaar van een directory of file kan de permissies veranderen.
- - dir- en filepermissies zijn complementair, m.a.w. zij vullen elkaar op een logische!!!
manier aan.
b.v. READ voor directory en NO ACCESS-permissie voor onderliggende files: files te zien
b.v. READ permissie voor files en NO ACCESS-permissie voor directory : files niet te
zien
b.v. CHANGE voor dir en NO ACCESS voor files: files te zien maar niet uitvoerbaar
- - gecopieerde files krijgen de permissies van de directory, verplaatste files behouden
hun permissies
4. Attributes, FAT- en NTFS-permissies
In een FAT-systeem kent een directory FAT-permissies en attributes (eigenschappen,
properties). Attributes primeren op FAT-permissies.
b.v. Indien een directory geshared is met full control op FAT-niveau en een
file heeft read only -permissie als eigenschap dan is de file read only.
Een NTFS-systeem kent zelfs 3 soorten permissies: attributes, FAT- en NTFS-permissies.
Ook hier primeren de attributes op de permissies. FAT- en NTFS-permissies vullen elkaar
aan.
b.v. een directory VOORBEELD wordt als gedeeld geplaatst met volgende permissies:
| FAT |
NTFS |
resultaat |
| de groep EVERYONE heeft FULL CONTROL |
de lokale groep CURSISTEN heeft NO ACCESS |
elke user van de groep CURSISTEN heeft geen toegang tot de directory, zowel lokaal als
over het netwerk |
| de groep EVERYONE krijgt NO ACCESS |
FULL CONTROL voor de groep CURSISTEN |
alleen lokaal is de directory te bereiken, niet van over het netwerk |
| de groep EVERYONE krijgt FULL CONTROL |
FULL CONTROL voor de groep CURSISTEN |
de directory is zowel lokaal als over het netwerk bereikbaar |
besluiten
- het best laat men de FAT-instelling op de defaultwaarde: EVERYONE met FULL
CONTROL-permissie staan en bepaalt men de toegang met de NTFS-permissies.
- bemerk het dominerend karakter van de NO ACCESS-permissie
- bedenk dat attributes voor alle users gelden , FAT voor gedeelde directories en NTFS
voor lokale en gedeelde directories
5. Beveiliging op een WIN95-server
WIN95 maakt een onderscheid tussen toegangsbeheer op SHARE-niveau en toegangsbeheer op
GEBRUIKERS-niveau. De instelling kan men wijzigen door de eigenschappen van netwerkomgeving
te selecteren en daarna de optie: toegangsbeheer
- A. SHARE-niveau
De gedeelde directory kan door iedereen benaderd worden, onafhankelijk van het paswoord.
Bij het delen op de WIN95-server kan men het toegangstype ( alleen lezen en volledige
toegang) bepalen en eventueel koppelen aan een paswoord. Het toegangstype is echter
door iedereen te wijzigen op de WIN95-server ook al kent men het inlogpaswoord niet
Indien een correct inlogpaswoord dan zijn zowel D als E bereikbaar.
Indien een verkeerd inlogpaswoord dan zijn er 2 mogelijkheden:
- de WIN95-optie aanmelden bij windows NT-domein aan: noch D noch E bereikbaar tenzij men
annuleren kiest bij het inloggen; dan is D bereikbaar
- de WIN95-optie aanmelden bij windows NT-domein af: D bereikbaar E niet
- B. GEBRUIKERS-niveau
- Bij het activeren van dit toegangsbeheer moet men de domeinnaam ingeven waarvan men de
accountdatabase wil gebruiken.
Alle reeds gedeelde directories moeten opnieuw als gedeeld geplaatst worden.
Bij het sharen kan men bepalen:
- wie toegang krijgt: iedereen, groep of individuele user
- wat kan uitgevoerd worden: alleen lezen, volledige toegang of aangepaste toegang
(zie NT-beveiliging)
besluit
Alleen wie zich correct aanmeldt zal toegang krijgen tot de gedeelde
bronnen, zowel van NT als van WIN95, en krijgt de ingestelde permissies
MAAR wie het paswoord niet kent kan in de inlogprocedure annuleren kiezen en via de
eigenschappen van netwerkomgeving het toegangsbeheer op shareniveau plaatsen. De gedeelde
WIN95-directories zijn opnieuw door iedereen bereikbaar, tenzij men via de profiles de