Begleitmaterial zum Unterricht M117 «Benutzer & Zugriffsrechte»

Der Benutzeraccount und der Zugriff auf Verzeichnisse und Dateien

Zu diesem Thema finden sie bei den Fachbeiträgen einen Artikel mit derselben Bezeichnung. Lesen sie diesen sorgfältig durch. Selbstverständlich dürfen sie auch andere Quellen nutzen.

1. Betriebssystemfunktionen

Benennen sie die in dieser Zeichnung angedeuteten Betriebssystemfunktionen.

2. Betriebsszenarien

Vergleichen sie die beiden gezeigten Betriebsszenarios Einzelplatzrechner (Bild links) und IT-Umgebung (Bild rechts) bezüglich den folgenden Kriterien:

  • Anzahl der Benutzer (Anzahl)
  • Benutzerverwaltung (ja/Nein/Begründung)
  • Passwort (Erforderlich Ja/Nein Begründung)
  • Zugriffsrechte (Vorgesehen Ja/Nein Begründung)

Hinweis: In M117 ist Client-Server bzw. zentrale Benutzerverwaltung (Directory Services) noch kein Thema. Wir beschränken uns auf Peer-to-Peer. Das bedeutet, dass jeder PC seine eigene Benutzerverwaltung hat und somit nur lokale Benutzer besitzt.

3. Beschränkte Sicherheitseinstellung bei Microsoft

3.1 Aufgabe

Unter welcher Bezeichnung/Benennung werden bei den beschränkte Sicherheitseinstellungen die folgenden Zugriffsberechtigungen zusammengefasst?

  • Alle Rechte auf Objekt und untergeordnetem Objekte. Lesen / Schreiben / Löschen / Modifizieren / Besitzübernahme
  • Objektänderungen (inkl. untergeordneten) nicht erlaubt. Leserecht für alle Attribute & Inhalte.
  • Nur Leserechte. Dateiausführung & Verzeichnisdurchsuchung nicht erlaubt.
  • Auf Verzeichnisse bezogen: Gleich wie „Lesen, Ausführen“. Lesen/Durchsuchen von Verzeichnis & Unterverzeichnissen. Lesen von Objekt-Attributen.
  • Nur schreibender Zugriff. Dateiausführung & Verzeichnisdurchsuchung nicht erlaubt. Setzen von Datei/Verzeichnis-Attributen erlaubt. Nur Leserechte auf Berechtigungen von Dateien/Verzeichnissen.
  • Änderungen & Löschen des Objekts Ändern der Berechtigungen & Besitzübernahme nicht erlaubt Kein Löschen von untergeordneten Objekten. Leserecht auf alle Objektoptionen.

3.2 Aufgabe

3.3 Aufgabe

Was trifft zu?

  • Datei in Form eines Programms/Batch kann auch ausgeführt (Execute) werden?
  • Datei kann gelesen werden?
  • Datei wird vom System entfernt bzw. hinausgeführt?
  • Metadaten einer Datei werden angezeigt?
  • Keine Antwort richtig?

3.4 Aufgabe

Was trifft zu?

  • Daten im File können auch geändert werden?
  • Zusätzliches Löschen des Objekts?
  • Dateipfad ändern?
  • Keine Antwort richtig?

3.5 Aufgabe

Was trifft zu?

  • Zusätzlich «Berechtigungen ändern»?
  • Zusätzlich «Besitz übernehmen»?
  • Zusätzlich «Untergeordnete Ordner/Dateien löschen»?
  • Vollzugriff auf das ganze Dateisystem?
  • Zusätzlich Administratorenrechte übernehmen, wenn nicht bereits als Administrator eingeloggt?

3.6 Aufgabe

Was trifft zu?

  • Vollzugriff?
  • Ändern?
  • Lesen, Ausführen?
  • Ordnerinhalt auflisten?
  • Lesen?
  • Schreiben?

3.7 Aufgabe

Was trifft zu?

  • Vollzugriff?
  • Ändern?
  • Lesen, Ausführen?
  • Ordnerinhalt auflisten?
  • Lesen?
  • Schreiben?

3.8 Aufgabe

Was trifft zu?

  • «testuser» kann sein Verzeichnis nicht mehr ändern oder löschen?
  • «testuser» kann sein Verzeichnis lesen?
  • Es werden Administratorenrechte benötigt, um dem Benutzer «testuser» wieder Schreibzugriff auf sein Verzeichnis zu ermöglichen?
  • Da das Verzeichnis «TestDirectoryA» vom Benutzer «testuser» erzeugt wurde, hat er grundsätzlich alle elementaren Rechte darauf?

4. Praxisarbeit mit Windows

Bevor sie mit dieser Aufgabe beginnen, lesen sie im Fachbeitrag «Benutzer & Zugriffsrechte» den Abschnitt «Zugriffsrechte bei Microsoft-Windows in der Praxis»

In dieser Aufgabe realisieren sie auf einem (virtuellen) WIN-PC (gemäss IPERKA) die

  • Netzwerkeinstellungen
  • Useraccounts
  • Dateiablagen
  • Zugriffsrechte
  • Dateifreigaben

Voraussetzungen:

  • Eingesetzte Virtualisierungs-SW: vmWare
  • Betriebssystem: Aktuelles MS-WINDOWS Betriebssystem, Pro-Version, Deutsch
  • Sie haben auf dem Gastsystem (ihr Notebook) vmWare installiert und eine virtuelle Maschine eingerichtet.
  • In den Virtual Machine Settings ist der Network Adapter auf Bridged gestellt. (=Direkt mit der physikalischen Netzwerkkarte verbunden)
  • Es wurde auf der virtuellen Maschine ein Windows Betriebssystem in der Pro-Version, Deutsch installiert
  • Die vmWare-Tools sind auf dem virtuellen PC installiert.
    Die vmWare-Tools sind in vmWare bereits enthalten, müssen aber auf der aktuellen virtuellen Maschine noch installiert werden.
    Die vmWare-Tools für Windows lassen sich wie folgt installieren: Auf dem laufenden virtuellen WIN-PC > Menuleiste von vmWare/Player/Manage/Install_vmWare_Tools.
    Installieren sie diese Tools und überprüfen Sie, ob nun Daten vom virtuellen WIN-PC auf das Gastsystem kopiert werden können.

Erstellen Sie zuerst als Planung die folgenden Dokumente:

  • Tabelle mit den Netzwerkeinstellungen:
    IP, Netzmaske, Router und DNS-Server1+2 gemäss Lehrervorgabe
    Arbeitsgruppe = MATEC
  • Tabelle mit allen Benutzern: Name und Funktion der Mitarbeiter. Geeignete Wahl der Usernamen. Alle Mitarbeiter erhalten das Initialpasswort «hello», das sie beim ersten Einloggen ändern müssen.
    Das sind die verlangten Benutzerinnen und Benutzer (Familienname + Vorname)
    ⇒ Muster Fritz, Chef
    ⇒ Seong-Woo Yanku, Grafiker
    ⇒ Bösch Dénise, Grafikerin
    ⇒ Weber Heinrich, Grafiker
    ⇒ Di Caprio Hannelore-Magdalena, Sekretärin
    ⇒ Mc Grath Alex, Sekretär
    ⇒ D’Alfonso Mario, Werbetexter
    ⇒ Mart Xaver, Werbetexter
    ⇒ Weber Heinrich, Werbetexter
    ⇒ Ihr-Name Ihr-Vorname, PC-Administrator (damit sind SIE gemeint)
    Hinweis zu den Benutzernamen. Um Probleme zu vermeiden sei auf folgendes hingewiesen: Keine Umlaute verwenden, weil nichtdeutsche Tastaturen diese Tasten nicht explizit anbieten. Leerzeichen, Satzzeichen und Akzentzeichen vermeiden. Dies kann z.B. bei Script-Programmen oder Portierung auf andere Betriebssysteme Probleme bereiten. Max. Anzahl der Zeichen beachten. Eindeutigkeit der Namen gewährleisten.
  • Tabelle mit allen Gruppen. Diese Tabelle soll aufzeigen, welche Benutzer welchen Gruppen angehören. Pro Mitarbeiterfunktion soll eine Gruppe erstellt werden. (Benutzer und Gruppen können auch in einer einzigenTabelle zusammengefasst werden.)
  • Berechtigungsmatrix (Tabelle). Diese Tabelle definiert, welche Gruppen/Benutzer auf welche Daten wie Zugriff haben. Benutzen sie folgende Kürzel:
    X bedeutet «Kein Zugriff»
    L bedeutet «Lesen»
    S bedeutet «Schreiben»
    V bedeutet «Vollzugriff»
    Beachten sie, dass zum Schreiben auch Leserechte benötigt werden.
    Vollzugriff hat prinzipiell nur der Administrator.
    (Wie «Kein Zugriff», «Lesen» und «Schreiben» in dieser Praxisarbeit umgesetzt werden soll, kann in den vorangegangenen Aufgaben erlernt werden.)
    Die Vorgaben zu den Projekt- und Gruppen-Dateiablagen:
    ⇒ Für die Daten wird ein Verzeichnis C:\DATEN erstellt.
    ⇒ Die im folgenden verlangten Dateiablagen sollen unter C:\DATEN liegen.
    ⇒ Allgemeine Daten (Vorlagen, Musterverträge, Infoblätter, Berichte etc.)
    ⇒ Pro Benutzer eine zusätzliche persönliche Dateiablage
    ⇒ Gruppendaten (Sekretariat, Bilddatenbank, Grafik, Werbetexte)
    ⇒ Ein Verzeichnis für den Datenaustausch über das Netzwerk (Dateifreigabe)
    Hinweis zu Homeverzeichnis: Am Homeverzeichnis C:\Benutzer soll nichts geändert werden. Es soll nur ein zusätzlicher Speicherplatz pro Benutzer auf C:\Daten erstellt werden. Auf diesen hat der Benutzer aber exklusiven Zugriff.
    Hinweis zum Datenaustausch über das Netzwerk (Dateifreigabe): Damit ist eine Netzwerkdateifreigabe gemeint, auf die alle Benutzer Lese/Schreibzugriff haben.
    Hinweis zur Dateiablage: Korrekt wäre, die User-Dateien von den Systemdateien zu trennen, indem zwei Laufwerke installiert werden oder mindestens die Harddisk in zwei Partitionen aufgeteilt wird. Damit soll verhindert werden, dass ausufernden Anspruch von Usern auf Plattenkapazität das System in die Knie zwingen kann. In dieser Übung wird aber auf zwei Partitionen verzichtet bzw. auf die Problematik nur hingedeutet, indem alle User-Dateien im Verzeichnis C:\Daten zu liegen kommen.

Nach der Planung folgt die Realisierung auf ihrem PC:
Erstellen bzw. konfigurieren sie nun ihren virtuellen Windows-PC gemäss ihrer vorausgegangenen Planung. Tipp: Für das Einrichten von Ethernet und Benutzer etc. gibt es Windows Schellstartkommandos:

  • Eingabeaufforderung = cmd.exe
  • Netzwerkverbindungen (IP) = ncpa.cpl
  • Systemeigenschaften (Hostname/Arbeitsgruppe) = sysdm.cpl
  • Benutzer und Gruppen = lusrmgr.msc

Weitere Windows Schellstartkommandos finden sie im entsprechenden Fachbeitrag auf dieser Webseite (WIN/MAC-Tipps)

Danach sollen sie ihre Arbeit gründlich testen (Kontrollieren):
Prüfen sie die Netzwerkeinstellungen, Useraccounts, Gruppenzugehörigkeiten, Zugriffsrechte etc. Lassen sie sich von ihren Mitschülern auch den von ihnen freigegebene Ordner überprüfen.

Schlussendlich erfolgt die elektronische Auswertung:
Ihre Arbeit wird elektronisch ausgewertet. Erstellen sie dazu auf dem VPC ein Verzeichnis C:\BATCH und kopieren sie das Auswertungsprogramm dorthin:

  • C:\BATCH\tool (Verzeichnis mit den Auswertungstools)
  • C:\BATCH\M117AuswertungV3.bat (Batchfile für die Auswertung)

Um das Auswertungsprogramm erfolgreich auszuführen, müssen sie einen Benutzer erstellen und diesen der Gruppe Administratoren hinzufügen. Anschliessend als diesen User einloggen und die Batchdatei ausführen.

Dieses Programm liest nun ihre Systemkonfigurationsdaten aus und erstellt damit eine Textdatei (Installationsauswertung). Drucken sie das Auswertungsfile aus und geben sie das Protokoll visiert dem Lehrer zur Kontrolle ab.

Das Auswertungsprogramm bitte hier downloaden: AuswertungM117.zip

5. Musterlösungen zu den Aufgaben «Beschränkte Sicherheitseinstellung bei Microsoft»

5.1 Aufgabe

Unter welcher Bezeichnung/Benennung werden bei den beschränkte Sicherheitseinstellungen die folgenden Zugriffsberechtigungen zusammengefasst?

  • VOLLZUGRIFF: Alle Rechte auf Objekt und untergeordnetem Objekte. Lesen / Schreiben / Löschen / Modifizieren / Besitzübernahme
  • LESEN/AUSFÜHREN: Objektänderungen (inkl. untergeordneten) nicht erlaubt. Leserecht für alle Attribute & Inhalte.
  • LESEN: Nur Leserechte. Dateiausführung & Verzeichnisdurchsuchung nicht erlaubt.
  • ORDNERINHALT AUFLISTEN: Auf Verzeichnisse bezogen: Gleich wie „Lesen, Ausführen“. Lesen/Durchsuchen von Verzeichnis & Unterverzeichnissen. Lesen von Objekt-Attributen.
  • SCHREIBEN: Nur schreibender Zugriff. Dateiausführung & Verzeichnisdurchsuchung nicht erlaubt. Setzen von Datei/Verzeichnis-Attributen erlaubt. Nur Leserechte auf Berechtigungen von Dateien/Verzeichnissen.
  • ÄNDERN: Änderungen & Löschen des Objekts Ändern der Berechtigungen & Besitzübernahme nicht erlaubt Kein Löschen von untergeordneten Objekten. Leserecht auf alle Objektoptionen.

5.2 Aufgabe

5.3 Aufgabe

Was trifft zu?

  • Datei in Form eines Programms/Batch kann auch ausgeführt (Execute) werden

5.4 Aufgabe

Das trifft zu:

  • Zusätzliches Löschen des Objekts

5.5 Aufgabe

Das trifft zu:

  • Zusätzlich «Berechtigungen ändern»
  • Zusätzlich «Besitz übernehmen»
  • Zusätzlich «Untergeordnete Ordner/Dateien löschen»

5.6 Aufgabe

Das trifft zu:

  • Ändern
  • Lesen, Ausführen
  • Ordnerinhalt auflisten
  • Lesen
  • Schreiben

5.7 Aufgabe

Das trifft zu:

  • Lesen, Ausführen
  • Ordnerinhalt auflisten
  • Lesen

5.8 Aufgabe

Das trifft zu:

  • «testuser» kann sein Verzeichnis nicht mehr ändern oder löschen
  • «testuser» kann sein Verzeichnis lesen
  • Es werden Administratorenrechte benötigt, um dem Benutzer «testuser» wieder Schreibzugriff auf sein Verzeichnis zu ermöglichen