Fachbeitrag «Benutzer & Zugriffsrechte»

Eine Aufgabe des Betriebssystems: Benutzer-Accounting & Dateiberechtigungen

1. Betriebssystemfunktionen

  • Die Benutzerverwaltung ist keine zentrale Aufgabe eines Betriebssystems (Nicht jedes Betriebssystem unterstützt eine Benutzerverwaltung wie z.B. das ältere Betriebssystem DOS, das keine keine Benutzer und keine Zugriffsrechte kennt)
  • Der Speicher muss verwaltet werden wie z.B. der Sekundärspeicher in Form von Harddisks über ein Filesystem wie z.B. NTFS, FAT, EXT
  • Das Filesystem sollte heutzutags Zugriffsrechte unterstützen (FAT32 unterstützt dies z.B. nicht)
  • Zugriffsrechte bzw. Dateiberechtigungen erfordern eine Benutzerverwaltung

2. Betriebssystemszenarios

Um uns der Problematik Zugriffsrechte und Benutzer-Accounting zu nähern, möchten wir uns vorerst einmal ein paar Gedanken machen, welche Betriebsszenarions für ein elektronisches Gerät grundsätzlich in Frage kommen:

Sind Geräte und Daten nicht gefährdet (Lesen/Schreiben/Löschen etc.) und auch nicht vernetzt, kann auf die Benutzerverwaltung mit Vergabe von Zugriffsrechten verzichtet werden. Ohne eine solche Zugriffsregelung ist auch kein Useraccounting nötig. Sollten trotzdem mehrere Benutzer ein Gerät teilen, wie das z.B. bei einem Kopierautomaten der Fall ist, vergibt man so allerdings auch die Chance, die Gerätenutzung personenbezogen abzurechnen.

 

Beim PC-Sharing sieht das nun anders aus. Da möchte man seine Daten vor fremdem Zugriff geschützt wissen. Darum werden nun Zugriffsrechte nötig. Dies bedingt aber auch eine Benutzerverwaltung (Useraccounting). Das heisst, man muss sich zuerst gegenüber dem System mit persönlichem Usernamen und Passwort ausweisen (Authenifizierung). Diese Massnahme ist erst recht unverzichtbar, wenn das Gerät zusätzlich an ein Netzwerk angeschlossen ist, weil dadurch ein Gefährdungsrisiko von ausserhalb besteht.

 

In M117-Kurs (Peer-toPeer-Netze) wird das Useraccounting lokal auf den PC beschränkt. In einer modernen IT-Umgebung geschieht dies allerdings auf einem zentralen Server und ist somit wesentlich flexibler. (Stichwort Directory Services, bei WIN Activ Directory)

 

Wichtig: In diesem Fall sollen die Dateiberechtigungen nicht pro Benutzer sondern pro Gruppe erteilt werden.

3. Zutrittsregeln

3.1 Datenzugriff Intern und Extern

Der Dateizugriff für lokale Benutzer ist über die Zugriffsrechte geregelt. Für externe Benutzer existiert noch zusätzlich eine Hürde, nämlich die Dateifreigabe:

3.2 Zugriff auf Dateien und Verzeichnisse

Es kann auf Daten lesend und schreibend zugegriffen werden. Wobei die Dateien in einer baumartigen Verzeichnisstruktur abgelegt sind. (Verzeichnis oder Directory und Datei oder File)

3.3 Zugriffsrechte am Beispiel von UNIX/LINUX

Auf was wird zugegriffen:

  • Datei (File): Text, Bild, Ton, Film, Programm, Tabelle …
  • Verzeichnis (Directory): Verzeichnis = Dateiliste (und somit auch ein File)
  • Die Benutzer dürfen gemäss erteilten Berechtigungen auf Dateien oder Verzeichnisse zugreifen

Es werden die drei folgenden Zugriffsarten auf Verzeichnisse bzw. Dateien unterschieden:

  • Lesezugriff (READ): Datei lesen, Bild anschauen, Ton hören …
  • Schreibzugriff (WRITE): Text schreiben, Bild erstellen …
  • Ausführender Zugriff (EXECUTE): (=Ausführrechte für ein Programm wie z.B. word.exe oder ein Batchfile)

Wobei diese drei Benutzerkreise existieren:

  • Benutzer (=Owner, Eigentümer der Datei/Verzeichnis)
  • Gruppe (=Group, Eigentümergruppe der Datei/Verzeichnis)
  • Rest der Welt/Die anderen (=Others)

Nachteil dieses Systems: Es kann nur eine Person oder Gruppe Eigentümer sein. Alle anderen gelten als «Others» oder «Rest der Welt». (Dieser Nachteil wird übrigens mit ACL behoben.)

Ein Verzeichnis ist auch eine Datei: Das Leserecht auf ein Verzeichnis bedeutet, dass man berechtigt ist, den Verzeichnis-Inhalt zu lesen bzw. aufzulisten. Schreibrechte auf einem Verzeichnis wiederum, dass man am Verzeichnis Änderungen vornehmen darf, wie z.B. darin eine neue Datei/Verzeichnis erstellen, eines umbenennen oder gar löschen.
Um Berechtigungen mit chmod, chown oder chgrp zu ändern, muss man am Verzeichnis, in dem sich das File befindet, die entsprechenden Rechte besitzen.

So ändert man die Benutzerrechte mit dem UNIX-Befehl «chmod»:
Die Berechtigung wird mit 9 Bit, aufgeteilt in 3-er Gruppen angegeben. Die erste Gruppe bezieht sich auf den Owner, die zweite auf die Gruppe und die dritte auf Others.

Beispiele:

  • chmod 664 myfile.txt bedeutet: Owner:rw, Group:rw, Other:r
  • chmod 755 myfile.txt bedeutet: Owner:rwx, Group:rx, Other:rx

Alternative Variante für die Vergabe von Rechten:
Als Beispiel soll myfile.txt folgende Berechtigungen erhalten: Owner=rwx, Group=rx, Other=none
Und die entsprechenden drei nacheinander ausgeführten Befehle lauten:

  1. chmod u=rwx myfile.txt
  2. chmod g=rx myfile.txt
  3. chmod o= myfile.txt

So ändert man den Besitzer: chown <neuerOwnerName> <FileName>
Beispiel: chown felix /home/felix

So ändert man die Gruppe: chgrp <neuerGroupName> <FileName>
Beispiel: chgrp users /home/felix

Die Erweiterung ACL (Access Control List)
Im Unterschied zu einfachen Zugriffsrechten sind ACL’s feiner einstellbar. So können einer Datei für mehrere Benutzer und Gruppen unterschiedliche Rechte vergeben werden, während reguläre Zugriffsrechte nur die Rechtevergabe für einen Benutzer, eine Gruppe und den „Rest der Welt“ zulassen.

4. Sicherheitseinstellungen bei Microsoft-Windows

Obwohl auf Dateien und Ordner nur lesend, schreibend oder ausführend zugegriffen werden kann, wird in Microsoft noch etwas detaillierter unterschieden. Und zwar in der beschränkten bzw. erweiterten Sicherheitseinstellungen. Ausserdem wird jeder Datei und Verzeichnis ein Zugriffskontrolldeskriptor zugeordnet, der eine ACL enthalten kann.

4.1 Die beschränkte Sicherheitseinstellung bei Microsoft-Windows

  • Lesen: Nur Leserechte. Dateiausführung & Verzeichnisdurchsuchung nicht erlaubt.
  • Schreiben: Nur schreibender Zugriff. Dateiausführung & Verzeichnisdurchsuchung nicht erlaubt. Setzen von Datei/Verzeichnis-Attributen erlaubt. Nur Leserechte auf Berechtigungen von Dateien/Verzeichnissen.
  • Lesen, Ausführen: Objektänderungen (inkl. untergeordneten) nicht erlaubt. Leserecht für alle Attribute & Inhalte.
  • Ordnerinhalt auflisten: Auf Verzeichnisse bezogen: Gleich wie „Lesen, Ausführen“. Lesen/Durchsuchen von Verzeichnis & Unterverzeichnissen. Lesen von Objekt-Attributen.
  • Ändern: Änderungen & Löschen des Objekts Ändern der Berechtigungen & Besitzübernahme nicht erlaubt Kein Löschen von untergeordneten Objekten. Leserecht auf alle Objektoptionen.
  • Vollzugriff: Alle Rechte auf Objekt und untergeordnetem Objekte. Lesen/Schreiben/Löschen/Modifizieren/Besitzübernahme

4.2 Die erweiterten Sicherheitseinstellungen bei Microsoft Windows

4.3 Hinweis zu Sicherheitseinstellungen bei Microsoft-Windows

Windows bietet für das Setzen der Zugriffsberechtigung zwei Möglichkeiten:

  • «Zulassen» bedeutet, das darf dieser Benutzer tun
  • «Verweigern» bedeutet, das darf dieser Benutzer nicht tun

«Verweigern» hat höhere Priorität als «Zulassen». Ist ein Benutzer Mitglied von zwei unterschiedlichen Gruppen, von der die eine zugelassenen Zugriff auf eine Datei hat und die andere verweigerten Zugriff, hat dieser Benutzer im Endeffekt keinen Zugriff auf diese Datei. Darum im Normalfall auf die Option «Verweigern» verzichten. Wenn die Zugriffsberechtigung nicht zugelassen wird, d.h. kein Häckchen bei «Zulassen» gesetzt ist, wird dieses Zugriffsrecht auch nicht gewährt. Es braucht dazu kein spezielles «Verweigern».

5. Zugriffsrechte bei Microsoft-Windows in der Praxis

Zugriffsrechte unter WIN: Die Zugriffsrechte unter MS-WINDOWS findet man in den «Dateieigenschaften» unter der Rubrik «Sicherheit».

Vererbung von Zugriffsrechten: Berechtigungen werden standardmässig an die untere Hierarchieebene vererbt. Das heisst, dass im Unterverzeichnis dieselben Zugriffsrechte gelten, wie im Übergeordneten. Will man diese Vererbungskette aufbrechen, muss man bei WINDOWS in den erweiterten Sicherheitseinstellungen die «Vererbbaren Berechtigungen des übergeordneten Objekts» ausschliessen. Danach hat man die Möglichkeit, die übergeordneten Berechtigungen zu kopieren oder zu entfernen.

Freigabe: Externen Benutzern können sie Verzeichnisse über die Dateifreigabe zur Verfügung stellen. Dazu müssen sie die Eigenschaften des Verzeichnis aufrufen und in den Freigaben die «Erweiterte Freigabe» wählen. Danach geben sie diesen Ordner frei, indem sie einen geeigneten Freigabenamen wählen und die Berechtigungen vergeben. In unserem Fall ist es OK, wenn sie dem Benutzer «Jeder» Lesen und Ändern erlauben. Nun kann zwar jeder Benutzer, der auf dem System eingetragen ist, die Freigabe wählen, aber nur derjenige Benutzer, der auch die entsprechenden Zugriffsrechte hat, kann weiteres tun. (Zugriffsrechte siehe Dateieigenschaften-Sicherheit)

UNC-Pfad: UNC-Pfad bedeutet Unified Naming Convention Pfad und ist ein Standard zur Bezeichnung von Netzwerkadressen in der Form:

  • \\Hostname\Freigabename
  • \\IP-Adresse\Freigabename
  • \\FQDN\Freigabename

FQDN = Full Qualified Domain Name wie z.B. pc01.tbz.local. Der Domainname muss aber von einem DNS-Server aufgelöst werden können.
Der UNC-Pfad wird z.B. beim Verbinden von Netzlaufwerken angegeben.

Freigabe nutzen: Windows-Explorer öffnen (Windows-Taste und «E»-Taste) und in der Adresszeile den UNC-Pfad der Freigabe eingeben. Anschliessend muss man sich gegenüber dem dateifreigebenden System mit einem dortigen lokalen User authentifizieren.

Netzlaufwerk verbinden / Freigabe einbinden: Windows-Explorer öffnen (Windows-Taste und «E»-Taste) und im Menubereich «Netzlaufwerk verbinden» wählen. Damit können sie dem freigegebenen Netzwerkordner einen Laufwerksbuchstaben zuweisen. Wenn die entsprechende Checkbox angewählt ist, wird die Verbindung bei erneuter Anmeldung sogar wiederhergestellt. Wenn eine Netzlaufwerkverbindung zum ersten Mal erstellt wird, muss man sich gegenüber dem dateifreigebenden System mit einem dortigen lokalen User authentifizieren. (Wir erinnern uns: In Modul 117 wird nur die lokale Benutzerverwaltung thematisiert. Im späteren Modul 159 werden zentrale Verwaltungskonzepte sog. Directory Services bzw. Windows Aktiv Directory behandelt.)

Umstellen des Anmeldefensters: Sobald mehrere Benutzer im System erfasst sind, wird das Standardverfahren beim Einloggen etwas mühsam. Unter Standardverfahren ist gemeint, dass die Benutzer als Benutzersymbole im Anmeldefenster angezeigt werden. In den Sicherheitseinstellungen (secpol.msc) kann unter

  • Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen / Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen AKTIVIEREN

das Anmeldefenster dahin geändert werden, dass anstelle der Benutzersymbole nun eine Eingabezeile «Benutzername» angezeigt wird.