Hallo greenracer,
jetzt kommt ziemlich viel Theorie.
Der Netzwerkinstallations - Assistent
Vorwort
Das einfache Heimnetzwerk verwendet die Gast-Authentifizierung, alle Netzwerkzugriffe werden über das spezielle Gast-Benutzerkonto abgewickelt. Diese Form des Netzwerkzugriffs ist besonders sicher und einfach, weil Eindringlinge im Namen des Gast-Kontos keinen nennenswerten Schaden anrichten können. Allerdings funktioniert das Netzwerk nur dann richtig, wenn alle beteiligten Computer die Gast-Authentifizierung verwenden. Wurde das Netzwerk bereits von Hand umkonfiguriert, dann kann es sein, dass die Gast- Authentifizierung nicht mehr eingeschaltet ist. Bleiben die Probleme bestehen, dann stellen Sie sicher, dass der freigegebene Ordner, auf den Sie zugreifen wollen, auch tatsächlich mit dem Freigabeassistenten freigegeben wurde. Wurde der Ordner auf andere Weise freigegeben, dann sind seine NTFSZugriffsberechtigungen unter Umständen noch so eingestellt, dass dem Gast-Konto kein Zugriff gewährt wird. Weitere Fehlermöglichkeiten liegen im Benutzerkonto, das Sie verwenden. Wenn Sie auf einen fremden Computer zugreifen und dort nicht die Gast-Anmeldung aktiv ist, dann werden Sie unter Ihrem aktuellen Benutzernamen angemeldet. Gibt es auf dem Zielrechner ein Konto mit diesem Namen, dann überprüft Windows XP Ihr Anmeldekennwort und gestattet den Zugriff nur, wenn das Kennwort Ihres Kontos mit dem Kennwort des Kontos auf dem Zielsystem übereinstimmt. Gibt es auf dem Zielsystem kein Benutzerkonto Ihres Namens, dann öffnet sich ein Fenster, in das Sie den Benutzernamen und das Kennwort eines Kontos eingeben müssen, das auf dem Zielsystem vorhanden ist. Eine weitere Falle lauert bei Benutzerkonten, für die kein Kennwort festgelegt wurde. Solche Konten dürfen aus Sicherheitsgründen keine Netzwerkzugriffe durchführen. Legen Sie in diesem Fall zuerst ein Kennwort für das Konto fest.
A) Die ?Einfache Dateifreigabe? verstehen
Das Heimnetzwerk verwendet eine besondere Form der Netzwerkanmeldung: Alle Benutzer, die über das Netzwerk zugreifen, werden dem Konto Gast zugeordnet. Das löst gleich mehrere Probleme in einfachen Netzwerken: Eindringlinge können als Nutzer des stark eingeschränkten Gast-Benutzerkontos das System nicht beschädigen, selbst wenn diese Eindringlinge einen ungesicherten Hintereingang in das System gefunden haben. Alle Netzwerkbenutzer werden in einen Topf geworfen. Komplizierte Zugangsberechtigungen für einzelne Benutzer oder verschiedene Gruppen müssen nicht eingerichtet werden. Die Freigabe von Ordnern im Netzwerk ist auch für Anfänger einfach und mit wenigen Klicks zu lösen. Eine Benutzeranmeldung ist nicht mehr nötig, weil nicht zwischen unterschiedlichen Netzwerkbenutzern unterschieden wird. Damit können auch Benutzer von Windows 95, 98 und Millennium freigegebene Ordner auf Windows XP-Systemen nutzen, ohne verwirrende Anmeldedialoge zu sehen. Professionelle Netzwerker werden allerdings auch eine Reihe von Einschränkungen bemängeln, die sich aus der Vereinfachung zwingend ergeben: Weil nicht mehr zwischen unterschiedlichen Netzwerkbenutzern unterschieden wird, können Administratoren nicht mehr mit erhöhten Privilegien via Netzwerk auf Windows XP Systeme zugreifen. Die administrativen Freigaben wie zum Beispiel C$, über die ein Administrator auf das Laufwerk C:\ zugreifen konnte, funktionieren nicht mehr. Es kommt zu teils verwirrenden Anmeldedialogen, wenn versucht wird, auf geschützte Ordner zuzugreifen. Ganz gleich, welcher Benutzername und welches Kennwort eingegeben wird: der Zugriff wird stets verweigert. Das ist natürlich kein Wunder, denn intern leitet Windows XP den Benutzer auf das Gast-Konto um, das auf die geschützten Ordner keinen Zugriff hat. Werden Ordner nicht mit dem Freigabe-Assistenten freigegeben, dann kann der Zugriff via Netzwerk auf solche Ordner ebenfalls in ständigen »Zugriff verweigert«-Meldungen enden. Nur der Assistent passt die lokalen NTFS-Zugriffsberechtigungen automatisch so an, dass das Gast-Konto darauf zugreifen kann.
B) Benötigen Sie volle Kontrolle über das Netzwerk und den Netzwerkzugriff, dann verzichten Sie auf den Netzwerkinstallationsassistenten.
So richten Sie Ihr Netzwerk auf manuelle Weise ein.
Folgende 4 Änderungen werden vom Netzwerkinstallationsassisten vorgenommen.
1. Gast-Konto aktivieren
2. Netzwerkanmeldung für das Gast-Konto erlauben
3. Die Gast-Authentifizierung einschalten
4. Ressourcen freigeben - Jeder Gruppe einrichten
1. Gast-Konto aktivieren
- Klicken Sie im Startmenü ?Eigenschaften von Arbeitsplatz? mit der rechten Maustaste an, und wählen Sie ?Verwalten?. Das Fenster ?Computerverwaltung? öffnet sich.
- Expandieren Sie links den Zweig ?System/Lokale Benutzer und Computer/Benutzer?, und klicken Sie auf ?Benutzer?.
- Doppelklicken Sie auf das ?Konto Gast? in der rechten Spalte.
- Deaktivieren Sie die Option ?Konto ist deaktiviert?, und klicken Sie auf ?OK?.
- Das Konto ist freigeschaltet.
2. Netzwerkanmeldung für das Gast-Konto erlauben
Nun muss dem Gast-Konto nur noch erlaubt werden, sich über das Netzwerk anzumelden.
- Wählen Sie in der Systemsteuerung ?Verwaltung/Lokale Sicherheitsrichtlinie?. Das Fenster ?Lokale Sicherheitseinstellungen? öffnet sich.
- Expandieren Sie links den Zweig ?Lokale Richtlinien/Zuweisen von Benutzerrechten?, und klicken Sie auf ?Zuweisen von Benutzerrechten?.
- Öffnen Sie rechts die Richtlinie ?Zugriff vom Netzwerk auf diesen Computer verweigern?, und streichen Sie das Konto ?Gast? aus der Liste.
- Ab sofort ist dem Konto Gast erlaubt sich über das Netzwerk anzumelden.
3. Die Gast-Authentifizierung einschalten
- Die ?Richtlinie Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten? ist gleichbedeutend mit der Einstellung ?Einfache Dateifreigabe verwenden?, die Sie sehen, wenn Sie in einem Explorer-Fenster ?Extras/Optionen? wählen und das Register ?Ansicht? in den Vordergrund holen.
- Ist die Option aktiviert, dann wird die Richtlinie auf ?Nur Gast/lokale Benutzer authentifizieren sich als Gast? eingestellt, ist sie deaktiviert, dann wird die Richtlinie auf ?Klassisch/lokale Benutzer authentifizieren sich als sie selbst? eingestellt.
- Nur wenn die Gast - Authentifizierung abgeschaltet ist, können Sie sich als bestimmte Person anmelden und deren Rechte nutzen.
- Die Umschaltung von Gast - Authentifizierung auf klassisch und umgekehrt zeigt erst Wirkung, wenn sich Netzwerknutzer neu anmelden.
- Laufende Netzwerksitzungen bleiben im alten Status. Wollen Sie also, dass die Umschaltung sofort wirksam wird, dann beenden Sie anschließend alle laufenden Netzwerksitzungen anderer Computer.
4. Ressourcen freigeben - Jeder Gruppe einrichten
- Klicken Sie nun ein Laufwerk im Arbeitsplatz mit der rechten Maustaste an. Wählen Sie ?Freigabe und Sicherheit?, und aktivieren Sie die Registerkarte ?Freigabe?.
- Es erscheint der Freigabe-Assistent.
- Deaktivieren Sie im Bereich ?Netzwerkfreigabe und ?sicherheit? die Option ?Diesen Ordner im Netzwerk freigeben?, falls die Option gewählt ist, und wählen Sie sie erneut an.
- Klicken Sie auf die Schaltfläche ?Übernehmen?.
- Der Freigabe-Assistent hat dem Ordner ein Zugriffsrecht für die Gruppe ?Jeder? erteilt, Weil die ?Einfache Dateifreigabe? den Zugriff auf Netzwerkfreigaben über die ?Jeder-Gruppe? regelt.
5. Wenn Sie die einfache Dateifreigabe abschalten, dann ändern sich die folgenden Dinge:
- Anwender, die über das Netzwerk auf Ihren Rechner zugreifen wollen, müssen sich mit einem gültigen Benutzernamen und Kennwort ausweisen.
- Der Benutzername muss einem Benutzerkonto entsprechen, das auf Ihrem Rechner angelegt ist. Sie sind selbst dafür verantwortlich, die Zugriffsberechtigungen für freigegebene Ordner zu setzen.
- Deshalb ändert sich das ?Freigabe Dialogfeld?, das Sie sehen, wenn Sie Ordner im Netzwerk freigeben. Mit ihm können Sie jetzt nur noch den Ordner freigeben - Hilfsoptionen wie Netzwerkbenutzer dürfen Dateien verändern, die die Zugriffsrechte für die Jeder-Gruppe automatisch setzen, fehlen jetzt.
- Dafür erscheint auf der Eigenschaften-Seite des Ordners die zusätzliche Registerkarte Sicherheit, über die Sie die Zugriffsberechtigungen selbst in jedem gewünschten Detail setzen können.
- Ganz wichtig: Haben Sie Ordner im Netzwerk freigegeben, während die einfache Dateifreigabe abgeschaltet war, und schalten Sie die einfache Dateifreigabe später wieder ein, dann sind diese Ordner nicht mehr über das Netzwerk nutzbar, es sei denn, Sie haben explizit der Gruppe Jeder Zugriffsrechte gewährt.
Schlußwort
In der Praxis haben sich die folgenden Empfehlungen bewährt, um Sicherheitsproblemen aus dem Weg zu gehen:
Haben Sie weder Lust noch Interesse, die Feineinstellungen des Netzwerks zu verwalten, dann verwenden Sie den Netzwerkinstallations - Assistent, um das Netzwerk einzurichten. Geben Sie Ordner anschließend nur über den Freigabe - Assistenten frei: ein Rechtsklick auf den Ordner und die Option Freigabe und Sicherheit wählen genügt. Windows kümmert sich jetzt nahtlos und im Hintergrund um alle wichtigen Einstellungen.
PeSch 03.10.2002 StaKaDa Med. III
viele Grüße
Peter