23 Användargrupper: lokala, globala och specialgrupper

Transkript

1 23 Användargrupper: lokala, globala och specialgrupper Syftet med grupper och grupphantering är att ge användare tillgång till resurser Syftet med grupper och olika sätt att hantera grupper är alltid att ge användare olika möjligheter i nätverket. Dessa möjligheter kan vara: q Möjlighet att använda Windows NT-datorer (lokal inloggning) Möjligheten att använda en Windows NT-dator styrs av användarrättigheter och behörigheter. Användarrättigheter kan tilldelas globala grupper och lokala grupper samt tre av specialgrupperna. q Åtkomst av utdelade mappar (på Windows NT-datorer och Windows 95/98-datorer) Åtkomst av utdelade mappar styrs av behörighetsposter (Access Control Entry) i behörighetslistor (Access Control List, ACL). Behörighet kan åsättas/tilldelas både globala, lokala och specialgrupper (och även enskilda konton). q Möjlighet att skriva ut på skrivare kopplade till Windows NT-datorer Behörighet att skriva ut styrs på samma sätt som åtkomst av utdelade mappar. Grupper i Windows NT 4.0 kan inte ordnas i en hierarki Det stora problemet med grupper i Windows NT-versioner före Windows NT 5.0 är att grupper inte kan ordnas hierarkiskt (att grupper inte kan göras till medlemmar av andra grupper 815

2 23 Användargrupper: lokala, globala och specialgrupper på godtyckligt sätt). Verkligheten är ofta hierarkisk Företag och organisationer delas nästan alltid in i smärre delar, med kända inbördes förhållanden, vi har väl alla fler än en gång stirrat ett organisationsschema i vitögat: Organisationsschema för MLA-Produkter AB. Delar av organisationsschemat för Nisses plåt, fisk och hemsidor. Det finns olika sätt att organisera I företags- och organisationsvärlden växlar modet vad gäller organisationer: en tid är det endast linjeorganisationer som gäller, för att sedan idiotförklaras och ersättas av matrisorganisationer, vilka i sin tur ersätts (så där fortsätter det). Jag tillhör i och för sig dem som anser att omorganisationer i sig är av godo de håller skärpan uppe. Det finns ofta en projektorganisation, som lever sitt eget liv Inom de allra flesta företag och organisationer finns det en projektorganisation vid sidan av, eller i stället för, den hierarkiska organisationen. 816

3 Grupper i Windows NT 4.0 kan inte ordnas i en hierarki Stora organisationer och företag behöver katalogtjänster Med det ovan anförda är det inte svårt att föreställa sig att det nätverk som större företag och organisationer använder måste likna verkligheten så mycket som möjligt. Man måste alltså kunna efterlikna aktuell organisation, oavsett om det är en linjeorganisation, matrisorganisation, kundstyrd organisation eller någon annan intressant organisation. Detta är en viktig uppgift för katalogtjänsten (eng. Directory Service). Enkelt uttryckt innehåller inte Windows NT någon katalogtjänst (värd namnet), utan vi får hålla tillgodo med Windows NT-domäner och den grupphantering som de innehåller. Det går visserligen att koppla Windows NT-domäner till varandra, men det är mycket arbetskrävande att ändra denna struktur för att följa ändringar i organisationen. Den enda katalogtjänster som finns idag och som kan användas med Windows NT (i någon form) är Novell Directory Services, NDS, samt Banyan StreetTalk. Microsoft kommer att leverera en fullvärdig katalogtjänst i och med Active Directory Services i Windows NT 5.0 (något jag ser mycket fram emot). Det är viktigt att förstå vad Windows NT kan erbjuda För att kunna få Windows NT att motsvara era behov så nära som möjligt vad gäller grupphantering är det viktigt att förstå de möjligheter som finns i Windows NT. Detta låter sig göra i Windows NT-domäner före Windows NT 5.0: q Användarkonton kan ordnas i globala grupper q Globala grupper kan inte göras till medlemmar av andra globala grupper (det finns en enda nivå) q Windows NT-domäner kan kopplas till varandra. De deltar i kopplingen på samma villkor den ena domänen har ingen överhöghet över den andra Detta kapitel handlar om de möjligheter som finns med Windows NT:s grupper. I kapitel 12 kan du läsa om hur det fungerar i kopplade domäner, det är inte någon större skillnad. 817

4 23 Användargrupper: lokala, globala och specialgrupper Gruppers roll i nätadministration Användarkonton hanteras inte enskilt de delas in i grupper vilket ger enklare administration. Hantera alltid grupper, aldrig enskilda användarkonton Låt oss börja med en universell sanning, nämligen att uppfinningen av grupper är något som, kanske mer än något annat, underlättat för nätadministratörer. För den som administrerat ett nätverk är det självklart, men det förtjänas ändå att sättas på pränt: q Hantera alltid grupper, aldrig enskilda användarkonton Med detta menas att man, oavsett form av administration, alltid skall arbeta med grupper. När vi delar ut en resurs till användare upprättar vi först en grupp, gör användarkonton till medlemmar av denna grupp (möjligen gör vi något steg till, mer om detta senare) och ser sedan till att gruppen får tillgång till resursen på önskat sätt. Fördelen med grupper blir uppenbar för envar den dag man behöver ge en ny användare samma möjligheter som en befintlig grupp man gör helt enkelt den nya användarens konto till medlem i gruppen så är det färdigt. 818

5 I Windows NT används alltid användarkonton vilka alltid är med i grupper Det finns ett undantag till denna regel Det finns ett enda undantag till regeln att alltid använda grupper, nämligen användares hemmamappar. Användares hemmamappar hanteras så att det alltid är ett enskilt användarkonto som ges behörighet till sin hemmamapp. Kapitel 22 beskriver olika sätt att hantera användarnas hemmamappar. I Windows NT används alltid användarkonton vilka alltid är med i grupper För att använda en Windows NT-dator måste man uppge namn på användarkonto och tillhörande lösenord. Kontot som används tillhör alltid någon (eller flera) användargrupper. Medlemskapet i gruppen kan ha tilldelats av administratörer eller uppstått genom att användaren gjort något, ex. loggat in lokalt på en viss Windows NT-dator eller försökt nå en Windows NT-dators utdelade resurser via nätverket. Windows NT innehåller grupptyper i vilka administratörer kan styra medlemskap och en grupptyp i vilken det inte går att styra medlemskap. Windows NT Server kan innehålla/använda upp till tre olika grupptyper När Windows NT Server deltar i en datorarbetsgrupp innehåller den två olika grupptyper. Dessa grupptyper kallas lokala grupper och specialgrupper. I en Windows NT-domän tillkommer en tredje grupptyp: globala grupper. Dessa grupptyper har av Microsoft givits olika användningsområden, men det finns ingen uppenbar skillnad mellan lokala grupper och globala grupper vad gäller utdelade resurser. Windows NT Server och Windows NT Workstation i arbetsgrupp innehåller två olika grupptyper I en datorarbetsgrupp finns det ingen dator som är förmer än någon annan, vare sig de använder Windows NT Server, Workstation eller något annat operativsystem. Det finns inga konton som kan användas på andra Windows NT-datorer än den egna, detsamma gäller lokala grupper. De grupptyper som finns: lokala grupper och specialgrupper 819

6 23 Användargrupper: lokala, globala och specialgrupper fungerar på litet olika sätt. Lokala grupper är enklast: de kan endast användas på den egna Windows NT-datorn. Specialgrupperna i Windows NT är verkligen mycket speciella. Några av dem räknas inte ens som Windows NT:s egna (av Microsoft) utan som universella grupper. De universella grupperna kan användas på alla Windows NT-datorer oavsett om de är med i en datorarbetsgrupp eller Windows NT-domän. Windows NT Server i en Windows NT-domän innehåller tre olika grupptyper I en Windows NT-domän har vi givit ett antal datorer i uppdrag att ansvara för domänen. Dessa datorer (de kan vara allt från en dator till alla de datorer som är installerade med Windows NT Server) kallas med ett kollektivt ord för domänkontrollanter//domain Controllers. Inom kollektivet domänkontrollanter är det en dator som i ett visst ögonblick är ännu något förmer än de andra: den primära domänkontrollanten//primary Domain Controller, PDC. De domänkontrollanter som inte är primär domänkontrollant kallas reservdomänkontrollanter//backup Domain Controllers, BDC. På den primära domänkontrollanten har administratörer möjlighet att upprätta globala grupper. Inräknat globala grupper finns det tre olika grupptyper i en Windows NT-domän: q Globala grupper q Lokala grupper q Specialgrupper I min värld vill jag att allt skall vara enkelt så tre olika grupptyper känns som två för många. Finge jag välja behöll jag endast globala grupper. Hantering av grupper Den praktiska hanteringen av grupper sköts med samma verktyg som användarkonton. På Windows NT Workstation är detta Kontohanteraren//User Manager och på Windows NT Server (oavsett om det är en domänkontrollant eller en ren server) är det Kontohanteraren för domäner//user Manager for Domains. Vid första anblicken är det mycket lite som skiljer de båda 820

7 Globala grupper verktygen åt, men efter en stund märker man några klara skillnader. Kontohanteraren/- Kontohanteraren för domäner/- /User Manager /User Manager for Domains q Globala grupper q Lokala grupper q Lokala grupper (för domänkontrollanterna) Den viktigaste skillnaden mellan verktygen är att den ena, Kontohanteraren//User Manager, endast kan hantera den lokala kontodatabasen på en Windows NT Workstation (eller en fristående Windows NT Server). Kontohanteraren för domäner//user Manager for Domains kan hantera domänens kontodatabas och därtill kontodatabaserna på alla de Windows NT-datorer som är icke-domänkontrollanter i domänen. När du arbetar med Kontohanteraren för domäner//user Manager for Domains kommer du att märka att den har ett antal finesser för att göra din administrativa tillvaro något drägligare. Läs mer om Kontohanteraren för domäner//user Manager for Domains i kapitel 13. Globala grupper Globala grupper är mycket enkla: de används för att gruppera domäners användarkonton, vi kan alltså göra domänkonton till medlemmar av globala grupper. Namnet globala grupper kommer av deras inneboende egenskap att kunna användas i hela den egna domänen (samt i de Windows NT-domäner som har en koppling till vår domän). Ur en snäv Windows NT-synvinkel är ju allting Windows NT-domäner, 821

8 23 Användargrupper: lokala, globala och specialgrupper Jorden/Globen består av domäner. Globala grupper kan användas för att ge användarkonton behörighet till resurser på vilken Windows NT-dator eller Windows 95/98-dator som helst i domänen. Denna åtkomst kan ske genom att behörigheter åsätts den globala gruppen direkt eller genom att den globala gruppen görs till medlem av lämplig lokal grupp vilken åsätts behörighet. Möjliga medlemmar i globala grupper Som administratörer finns det endast en sak (objektstyp) vi kan göra till medlem av globala grupper: q Användarkonton (globala konton/domänkonton) upprättade i samma domän En enskild global grupp kan ha hur många medlemmar som helst. Kontohanteraren för domäner//user Manager for Domains används för att styra medlemskap i globala grupper. Det finns inget sätt att göra en global grupp till medlem av en annan global grupper eller specialgrupp. Globala grupper kan göras till medlem av lokala grupper. (Active Directory Services, ADS, i Windows NT 5.0 kommer att ha en typ av grupper (mest lik globala grupper) som fritt kan göras till medlemmar i andra grupper för att åstadkomma en hierarki.) Globala grupper finns i domänens kontodatabas Globala grupper finns endast i domänkontrollanternas kontodatabas. De kan endast tillverkas på den primära domänkontrollanten (PDC). Vid nästa synkronisering av kontodatabasen (en uppgift för tjänsten NetLogon) kommer de nya kontona att finnas i reservdomänkontrollanternas (skrivskyddade) kopia av domänens kontodatabas. Globala grupper verkar över hela domänen (därav benämningen globala) och känns igen på sin ikon som innehåller en glob:. I en nyupprättad domän, när PDC:n är nyinstallerad, finner vi tre globala grupper i domänens kontodatabas: q Domänanvändare//Domain Users q Domängäster//Domain Guests 822

9 Globala grupper q Domänadministratörer//Domain Admins Ingen av de inbyggda globala grupperna kan tas bort. Det finns ingen praktisk övre gräns för hur många egna globala grupper man kan tillverka. Globala grupper kan verka över domängränserna Globala grupper kan verka på alla Windows NT- och Windows 95/98-datorer inom den egna domänen (där de är upprättade). Dessutom kan de användas på alla Windows NT- och Windows 95/98-datorer inom de Windows NT-domäner som har en koppling till vår domän. De kan alltså verka över domängränser. Globala grupper har inte domännamnet som prefix i sin egen domän, man använder endast gruppnamnet. I andra domäner måste man använda även gruppens domännamn (domännamn\gruppnamn) detta sker automatiskt i Kontohanteraren för domäner/ /User Manager for domains och Den här datorn//my Computer när man hanterar behörighetslistor. Domänkonton måste vara medlem av, minst, en global grupp När du upprättar nya domänkonton görs de alltid till medlemmar av gruppen Domänanvändare//Domain Users. Skulle du önska är det lätt att göra konton till medlemmar av flera globala grupper, allt efter era behov. Dock gäller att domänkonton måste vara medlem av minst en global grupp. Du kan alltså inte avlägsna konton från alla globala grupper, minst en måste kontot vara med i. Domänkonton har alltid en primär global grupp Windows NT kan hantera en global grupp som primär grupp för ett domänkonto. Den primära gruppen används inte av Windows NT självt utan av tjänsten Services for Macintosh och även i POSIX-sammanhang. Domänkonton måste vara medlem av en primär grupp Nu vet vi att domänkonton måste vara medlem i minst en global grupp och att de måste ha en primär grupp. Slutsats: domänkonton måste vara med i en primär grupp, denna primära grupp kan vara vilken global grupp som helst. I Kontohanteraren för domäner//user Manager for Domains byter du primär grupp genom att markera användarkonton (ett 823

10 23 Användargrupper: lokala, globala och specialgrupper eller flera) och sedan trycka på knappen Grupper//Groups. Den dialogruta som visas ser ur så här (nästan): Dialogrutan Gruppmedlemskap//Group Memberships i Kontohanteraren för domäner//user Manager for Domains (bilden redigerad). Du byter primär grupp genom att markera gruppens namn i listan Medlem i//member of och sedan trycka på knappen Aktivera//Set. Alla grupper utom den primära kan sedan tas bort från listan Medlem i//member of. Den inbyggda globala gruppen Domänanvändare//Domain Users är annorlunda Den inbyggda gruppen Domänanvändare//Domain Users skiljer sig från andra globala grupper. Användarkonton som upprättas i en domän (det sker alltid i kontodatabasen på den Windows NT Server som för tillfället är primär domänkontrollant) är globala konton/domänkonton och görs automatiskt till medlemmar av den globala gruppen Domänanvändare//Domain Users. Förutom att alla domänkonton som upprättas i en Windows NT-domän alltid görs till medlemmar av Domänanvändare//Domain Users är det faktiskt flera konton än domänkonton som görs till medlemmar. Så här ser den kompletta listan ut: q Alla användarkonton upprättade i samma domän q Alla Windows NT-datorer i domänen (även alla domänkontrollanter) q De Windows 95/98-datorer som du lagt till domänen med Serverhanteraren//Server Manager (för att kunna fjärradmini- 824

11 Globala grupper strera dem) q Konton för alla Windows NT-domäner som har domänkoppling till denna domän Gemensamt för kontonamnen för datorer och domäner är att de alltid avslutas med ett dollartecken, $. När du betraktar medlemmar i Domänanvändare//Domain Users med hjälp av Kontohanteraren för domäner//user Manager for Domains ser du aldrig att kontona för Windows NT-datorer i domänen också är medlemmar det syns endast om man skriver egna program eller med andra verktyg. Ett sådant verktyg är AddUsers.Exe från Microsoft Windows NT Server 4.0 Resource Kit. Det kan användas för att skriva ut innehållet i kontodatabasen till fil och för att upprätta konton och grupper med hjälp av en datafil (den kan använda sina egna datafiler). (Läs mer om AddUsers i kapitel 16.) Det har visat sig kunna störa hantering av programlicenser att det inte endast är användarkonton som är medlemmar i Domänanvändare//Domain Users om du tycker att det används fler licenser än du har användare kan du fråga din leverantör av licenshanteringsprogrammet hur det beräknar licenser (jag har bara hört talas om att Microsoft BackOffice-produkter beter sig på detta sätt). Man skulle kunna fråga sig varför alla datorer och domäner skall vara med i Domänanvändare//Domain Users. Det enkla svaret är att det gör det enklare för en Windows NT-dator att ansluta till en annan Windows NT-dator. Microsoft säger att globala grupper är kraftlösa Ibland, framför allt i Microsofts material, kan man läsa att globala grupper är kraftlösa. Detta hävdar Microsoft därför att de inte utrustat globala grupper med inbyggda användarrättigheter utan man måste göra dem till medlemmar i lokala grupper för att användarna skall kunna åtnjuta några privilegier. Om man tittar litet närmare på användarrättigheter//user Rights märker man att det inte är några svårigheter att tilldela globala grupper de användarrättigheter//user rights man önskar. Det är inte heller några problem att direkt åsätta behörigheter/ /permissions till globala grupper. Den som avgör om globala grupper är kraftlösa är du, inte Microsoft. En sak har dock Microsoft gjort: de har tilldelat 825

12 23 Användargrupper: lokala, globala och specialgrupper lokala grupper (och endast lokala grupper) en radda dolda användarrättigheter avsedda för administration. De tre inbyggda globala grupperna görs till medlemmar av lokala grupper på nya domänmedlemmar Närhelst en Windows NT-dator görs till medlem av en domän skickar den primära domänkontrollanten de tre inbyggda globala grupperna Domänadministratörer//Domain Admins, Domänanvändare//Domain Users och Domängäster//Domain Guests till Windows NT-datorn vilken gör dem till medlem av sina lokala grupper på detta sätt: Denna globala grupp görs till medlem av denna lokala grupp Domänadministratörer/- Administratörer//Administrators /Domain Admins Domänanvändare/- Användare//Users /Domain Users Domängäster/- Gäster//Guests /Domain Guests Domänadministratörer//Domain Admins Den globala gruppen Domänadministratörer//Domain Admins får alla sina administrativa möjligheter enbart genom sitt medlemskap i alla lokala grupper Administratörer//Administrators. Den har inga som helst inbyggda möjligheter. Prova gärna vad som händer om du gör en annan global grupp till medlem av Administratörer//Administrators (endast på en testdator). Domänanvändare//Domain Users Den enda inbyggda egenskap som den globala gruppen Domänanvändare//Domain Users har är att Windows NT Server (den primära domänkontrollanten) alltid gör nya domänkonton till medlemmar av gruppen. Något att tänka på när ni upprättar konton som inte bör vara medlemmar av Domänanvändare//Domain Users (administratörer kan avlägsna dem). 826

13 Lokala grupper Domängäster//Domain Guests Vill ni använda gruppen Domängäster//Domain Guests just för att bereda tillfälliga användare resursåtkomst i domänen måste ni vara noga med att avlägsna alla konton i Domängäster//Domain Guests från Domänanvändare//Domain Users. Nya konton som ni gör till medlemmar av Domängäster//Domain Guests gör alltid Windows NT Server även till medlem av Domänanvändare//Domain Users. Det vore inte så roligt att upptäcka att någon slarvat med detta och en tillfällig användare därmed kommit över filer ämnade endast för anställda. Lokala grupper Lokala grupper finns på alla Windows NT-datorer, oavsett om vi talar om Windows NT Workstation eller Windows NT Server (som domänkontrollant eller ren server). Det spelar inte heller någon roll om datorerna finns i en arbetsgrupp eller i en Windows NT-domän. Man känner igen lokala grupper på ikonen som har en bild av en dator i sig:. Lokala grupper kan upprättas av (nästan) vem som helst Lokala grupper kan upprättas av vem som helst (utom konton som endast är medlem i den lokala gruppen Gäster//Guests) med något av de inbyggda verktygen: q Kontohanteraren//User Manager (på Windows NT Workstation) q Kontohanteraren för domäner//user Manager for Domains (på Windows NT Server) q Kommandot net localgroup /add (i en Kommandotolk/ /Command Prompt) Detta är inte så lyckat och föremål för berättigad kritik. Framför allt är det olyckligt om man följer Microsofts förslag och delar ut resurser till Alla//Everyone med Fullständig behörighet/ /Full Control. Det är inte alltför svårt att mana fram bilden av en användare som, med eller utan avsikt, upprättar en lokal grupp, gör några domänkonton (eller Domänanvändare//Domain Users) till medlemmar av denna lokala grupp och sedan ändrar 827

14 23 Användargrupper: lokala, globala och specialgrupper behörighetslistan för en utdelad resurs så att den nya lokala gruppen tilldelas Ingen behörighet//no Access. Tänk på att möjligheten att upprätta lokala grupper inte är begränsad till den egna Windows NT-datorn. En användare med ett konto i Domänanvändare//Domain Users kan upprätta egna lokala grupper på den primära domänkontrollanten (eftersom Domänanvändare//Domain Users i sin tur är med i Användare/ /Users på domänkontrollanterna). För att upprätta en lokal grupp på den primära domänkontrollanten används Kontohanteraren för domäner//user Manager eller kommandot Net Localgroup (växeln /domain) från en Windows NT Workstation, vilket går bra även för en vanlig användare. I skrivande stund finns det inget inbyggt verktyg som låter dig skydda domänens kontodatabas från detta, men du kan åtminstone se till att du vet vem som gör vad genom att slå på granskning//auditing av Hantering av användare och grupper//user and Group Management. Både medgivna och nekade försök måste granskas. I kapitel 15 kan du läsa mer om granskning//auditing. Microsoft har tagit till sig kritiken mot denna möjlighet och utvecklat ett utmärkt verktyg, Create Alias, som låter dig styra vilka grupper/konton som ges möjlighet att upprätta lokala grupper. Verktyget kan du använda på alla Windows NT-datorer och det är fritt tillgängligt på Microsofts ftp-ställe (i kapitel 16 kan du läsa mer om Create Alias). Microsofts avsikt med lokala grupper Microsofts avsikt med lokala grupper var att de skulle tilldelas användarrättigheter//user rights och behörigheter//permissions (lokal behörighet och delningsbehörighet) för att på så sätt låta användare bruka resurser i nätverket. Microsoft tänker sig alltså att privilegier alltid åtnjuts genom medlemskap i en lokal grupp. Detta medlemskap kan vara direkt eller indirekt. Eftersom Microsoft tilldelat många lokala grupper dolda användarrättigheter, vilka inte går att ändra, måste du använda lokala grupper i en Windows NT-domän det är endast lokala grupper som kan användas för vissa administrativa uppgifter. Om Windows NT-datorn befinner sig i en arbetsgrupp är användarkonton medlemmar i lokala grupper (direkt medlemskap). I en Windows NT-domän är det i stället globala grupper som görs till medlemmar av lokala grupper, om man följer 828

15 Lokala grupper Microsofts grupphanteringsmodell. Lokala grupper kan endast verka i sin egen kontodatabas Lokala grupper kan inte komma utanför den kontodatabas där de upprättats. Detta innebär att en lokal grupp som finns på en Windows NT Workstation inte kan användas på någon annan Windows NT-dator. Detta är både bra och dåligt. Det är bra därför att man alltid uttryckligen måste upprätta lokala grupper på alla Windows NT-datorer, det finns alltså ingen risk att en grupp bara dyker upp. Det är dåligt därför att om en viss grupp av användare har liknande behov av resurser på flera Windows NT-datorer måste administratörerna upprätta flera grupper (kanske med samma namn) på alla Windows NT-datorer där resurserna finns. För att vara alldeles sanningsenlig behöver man inte upprätta lokala grupper på alla datorer som delar med sig av sina resurser. Det beror på om datorn är en Windows NT Server eller inte och om den i så fall är domänkontrollant eller inte. När en domänkontrollant (den primära domänkontrollanten eller en av reservdomänkontrollanterna) delar med sig av sina resurser till nätverksanvändare behöver man bara upprätta lokala grupper en gång på den primära domänkontrollanten. Det gäller eftersom alla domänkontrollanter delar på samma kontodatabas (domänens kontodatabas) vilken finns på den primära domänkontrollanten i skrivbar version och en skrivskyddad kopia på var och en av reservdomänkontrollanterna. Lokala grupper i en datorarbetsgrupp När man ordnat sina Windows NT-datorer i en arbetsgrupp finns det bara lokala grupper (samt specialgrupper, men mer om dem senare). I en arbetsgrupp kommer en användare åt en viss resurs genom att hennes användarkonto görs till medlem i en lokal grupp och denna lokala grupp åsätts behörigheter till resursen. Vi kommer senare att se att det, sånär som på gruppmedlemmar, är ganska liten skillnad mellan arbetsgrupper och Windows NT-domäner vad gäller lokala grupper. Möjliga medlemmar i lokala grupper i arbetsgruppen För en Windows NT-dator som finns i en arbetsgrupp (detta 829

16 23 Användargrupper: lokala, globala och specialgrupper gäller både Windows NT Workstation och Windows NT Server som ren server), gäller att endast användarkonton från den egna kontodatabasen kan göras till medlemmar. Det finns ingen övre gräns för antalet medlemmar i en lokal grupp. Det finns en enda objektstyp som kan göras till medlem i en lokal grupp på en Windows NT-dator i en arbetsgrupp: q Lokala användarkonton från Windows NT-datorns egna kontodatabas Grupphantering på Windows NT-datorer i arbetsgrupp Om vi stannar upp här ett tag finner vi i detta faktum ovan ett mycket starkt argument mot att använda Windows NT-datorer i en arbetsgrupp för att få en vettig grupphantering måste vi upprätta ett eget användarkonto för på varje Windows NT-dator som hon behöver komma åt. Slutsatsen blir, om vi ändå vill använda Windows NT-datorer i arbetsgrupper, att vi inte skall arbeta med vanliga lokala grupper utan någon av grupperna Gäster//Guests (lokal grupp), Alla/ /Everyone (specialgrupp) eller Nätverk//Network (specialgrupp). Du kommer senare i detta kapitel att få lära dig att de två senare grupperna är en styggelse och att de lämnar Windows NT-datorer vidöppna för intrång. I ett helt isolerat nätverk är detta kanske inte ett problem. Har man behov av säkrare hantering är en Windows NT-domän ett mycket bättre val än en arbetsgrupp. (Läs i kapitel 2 om grupphantering i arbetsgrupp.) Lokala grupper i en Windows NT-domän Lokala grupper i Windows NT-domän har samma syfte och ändamål som lokala grupper i en arbetsgrupp. Det finns ingen som helst skillnad i de möjligheter och begränsningar som lokala grupper har i en arbetsgrupp jämfört med i en Windows NT-domän. Skillnaden ligger i hur man faktiskt använder dem och att man i en domän har tillgång till globala grupper vilka kan göras till medlemmar av lokala grupper (detta använder Microsofts grupphanteringsmodell). Om en administratör tidigare hanterat Windows NT-datorer i en arbetsgrupp och då arbetat med lokala grupper för att åsätta behörigheter och tilldela användarrättigheter får hon sin belöning när hon byter till Windows NT-domän. Vad gäller just behörigheter och användarrättigheter är det ingen skillnad i hur 830

17 Lokala grupper man använder lokala grupper i en arbetsgrupp och i en Windows NT-domän så länge man använder Microsofts grupphanteringsmodell. Det som skiljer är vad som kan göras till medlem av lokala grupper. Möjliga medlemmar i lokala grupper i en Windows NTdomän I en Windows NT-domän har man fler möjliga medlemmar i en lokal grupp. Om vi undantar domänkontrollanterna från diskussionen finner vi att följande objekt kan göras till medlemmar av lokala grupper på en Windows NT-dator i en Windows NT-domän: q Globala grupper från den egna domänen q Globala grupper från domäner som den egna domänen har en domänkoppling (förtroendelänk) till Det är de huvudsakliga medlemmarna i en lokal grupp om man följer Microsofts strategi för grupphantering. Förutom de ovanstående kan följande göras till medlemmar av en lokal grupp på en Windows NT-dator i en Windows NT-domän: q Globala användarkonton från den egna domänen q Globala användarkonton från domäner som den egna domänen har en domänkoppling till q Lokala användarkonton från Windows NT-datorns egna kontodatabas Detta är möjliga medlemmar. Beroende på vilken metod ni väljer för att hantera användarkonton och grupper kommer ni kanske inte ens använda lokala grupper för att ge användare tillgång till resurser utan enbart för administrativa göromål. I Microsofts grupphanteringsmodell är det endast globala grupper från den egna domänen och domäner som den egna domänen har en domänkoppling till som i praktiken görs till medlemmar av lokala grupper (du kan läsa mer om Microsofts grupphanteringsmodell i kapitel 7 och alternativ till den i kapitel 8). En lokal grupp kan ha hur många medlemmar som helst. Lokala grupper på domänkontrollanterna i Windows NT- 831

18 23 Användargrupper: lokala, globala och specialgrupper domäner Enär domänkontrollanterna delar på samma kontodatabas (originalet på den primära domänkontrollanten, en skrivskyddad kopia på varje reservdomänkontrollant), kommer varje lokal grupp att vara tillgänglig på alla domänkontrollanter (det är samma grupp, med samma SID). Detta kan vara en faktor när man skall bestämma om en Windows NT Server skall installeras som ren server eller som reservdomänkontrollant (det finns ingen övre gräns för hur många reservdomänkontrollanter man kan ha i en Windows NT-domän). Det enda som skiljer lokala grupper på domänkontrollanter, vad gäller möjligt medlemskap, från andra Windows NT-datorer i domänen är att det inte finns några lokala användarkonton på en domänkontrollant (alla användarkonton i en domäns kontodatabas är domänkonton eller domänlokala konton). Listan över möjliga medlemmar i lokala grupper på domänkontrollanterna ser ut så här: q Globala grupper från den egna domänen q Globala grupper från domäner som den egna domänen har en domänkoppling (förtroendelänk) till q Domänkonton från den egna domänen q Domänlokala användarkonton från den egna domänen q Domänkonton från domäner som den egna domänen har en domänkoppling till Återigen är detta de objekt som det är tekniskt möjligt att göra till medlemmar av lokala grupper på domänkontrollanter. Precis som när det gäller andra lokala grupper är det endast globala grupper från den egna domänen och domäner som den egna domänen har en domänkoppling till som i praktiken görs till medlemmar av lokala grupper på domänkontrollanterna. Återigen gäller detta Microsofts grupphanteringsmodell. Inbyggda lokala grupper på Windows NT i en datorarbetsgrupp Både Windows NT Workstation och Windows NT Server kan användas i en datorarbetsgrupp. Båda får samma uppsättning inbyggda lokala grupper: q Administratörer//Administrators 832

19 Lokala grupper q Ansvariga för säkerhetskopiering//backup Operators q Privilegierade användare//power Users q Ansvariga för duplicering//replicator q Användare//Users q Gäster//Guests Administratörer//Administrators Det finns ingen grupp med mer omfattande privilegier än Administratörer//Administrators. Konton som är medlemmar i Administratörer//Administrators kan upprätta, ändra och radera: q Användarkonton q Globala grupper q Lokala grupper De kan även: q Dela mappar och skrivare q Åsätta användarrättigheter och behörigheter till resurser q Installera operativsystemsfiler och program q Med mera Det kan inte nog framhållas hur viktig och allsmäktig denna grupp är. En titt i Kontohanteraren för domäner//user Manager for Domains (Principer.Rättigheter//Policies.User Rights) avslöjar att gruppen Administratörer//Administrators vid installation av Windows NT tilldelats ett stort antal användarrättigheter//user rights. Utöver de användarrättigheter som syns i Kontohanteraren för domäner//user Manager for Domains är gruppen tilldelad ett antal dolda användarrättigheter, bland dem: q Möjlighet att dela ut en lokal resurs för åtkomst via nätverket q Möjlighet att göra användarkonton till medlem av gruppen Domänadministratörer//Domain Admins (och Administratörer/ /Administrators) q Möjlighet att partionera och formatera diskar Observera att det konto som tjänster//services använder som 833

20 23 Användargrupper: lokala, globala och specialgrupper förvalt konto, LocalSystem/System, är med i Administratörer/ /Administrators och därmed livsfarligt! Alla på Internet vill försöka starta AT-jobb och använda LocalSystem/System. (Läs mer om specialkontot System//System nedan och i kapitel 21.) Ansvariga för säkerhetskopiering//backup Operators Ansvariga för säkerhetskopiering//backup Operators kan utföra följande på Windows NT Server och NT Workstation: q Säkerhetskopiera och återlagra filer q Logga in lokalt på servrar q Avsluta Windows NT på servrar Privilegierade användare//power Users Privilegierade användare//power Users är en speciell lokal grupp tänkt för administration av Windows NT Workstation och Windows NT Server i en datorarbetsgrupp (eller fristående Windows NT Server i en Windows NT-domän). Medlemmar i gruppen kan utföra följande uppgifter: q Upprätta användarkonton q Ändra användarkonton skapade av andra konton än dem som är medlemmar av Privilegierade användare//power Users q Göra konton till medlemmar i Privilegierade användare//power Users q Dela filer och skrivare Ansvariga för duplicering//replicator Denna är en speciell grupp så tillvida att den normalt inte innehåller konton för användare/administratörer utan endast ett konto som används vid mappduplicering. Microsofts tanke med denna grupp är att den endast skall innehålla ett användarkonto för Windows NT-tjänsten Directory [Folder] Replication. Användare//Users Gruppen Användare//Users på Windows NT Workstation (i datorarbetsgrupp eller Windows NT-domän) eller Windows NT Server (i datorarbetsgrupp eller som icke-domänkontrollant i Windows NT-domän) används för att samla alla lokala användarkonton. 834

21 Lokala grupper Lokala användarkonton görs automatiskt till medlemmar av Användare//Users när de upprättas. Kontot Administratör/ /Administrator är den enda medlemmen i en nyinstallerad Windows NT-dators (av ovan nämnda typ) lokala grupp Användare//Users. q Användare//Users har möjlighet att upprätta lokala grupper på all Windows NT-datorer (även domänkontrollanterna) Gäster//Guests Den sista gruppen, Gäster//Guests, är hem för kontot Gäst//Guest, vilket är ett mycket lurigt konto med stor risk för skadeverkning om det används felaktigt. (Läs mer om kontot Gäst//Guest i kapitel 21.) Inbyggda lokala grupper på Windows NT i en Windows NTdomän När vi hanterar en domän får vi plötsligt två olika uppsättningar lokala grupper en för domänkontrollanterna och en för de Windows NT-datorer som inte är domänkontrollanter (Windows NT Workstation och Windows NT Server som ren server/fristående server/medlemsserver). Inbyggda grupper på icke-domänkontrollanter De Windows NT-datorer i en Windows NT-domän som inte är domänkontrollanter är alla de datorer som har Windows NT Workstation och de datorer som har Windows NT Server som ren server/fristående server/medlemsserver). De har samma inbyggda lokala grupper som Windows NT-datorer i en datorarbetsgrupp: q Administratörer//Administrators q Ansvariga för säkerhetskopiering//backup Operators q Privilegierade användare//power Users q Ansvariga för duplicering//replicator q Användare//Users q Gäster//Guests Inbyggda lokala grupper på domänkontrollanter Den primära domänkontrollanten och reservdomänkontrollan- 835

22 23 Användargrupper: lokala, globala och specialgrupper terna i en Windows NT-domän delar på samma kontodatabas (domänens kontodatabas). Deras uppsättning inbyggda lokala grupper skiljer sig från icke-domänkontrollanters genom att Microsoft försett dem med fler grupper tänkta att hjälpa till med administrationen av domänen: q Administratörer//Administrators q Ansvariga för säkerhetskopiering//backup Operators q Serveransvariga//Server Operators q Kontoansvariga//Account Operators q Skrivaransvariga//Print Operators q Ansvariga för duplicering//replicator q Användare//Users q Gäster//Guests När man betraktar de inbyggda lokala grupperna i Windows NT Server i en Windows NT-domän ser man att Microsoft har skickat med ett antal olika lokala grupper, med namn som antyder administrativ användning (Ansvariga // Operators). Microsoft har försett några av grupperna med magiska användarrättigheter så de kan vara till hjälp vid administration. Den största nyttan av dem har man i ett större nätverk, där administrationen är uppdelad på flera personer. Tyvärr har Microsoft kopplat dessa dolda användarrättigheter till en viss grupp så vi kan inte ge dem till en annan grupp. Lokala grupper på domänkontrollanterna är kontrollantlokala Som nämnts tidigare finns domänens kontodatabas i original på den primära domänkontrollanten (där den är skrivbar) och en skrivskyddad kopia på alla reservdomänkontrollanter de delar alltså på samma kontodatabas. Jag brukar ibland säga att domänkontrollanter bjuder på sin kontodatabas till hela domänens fromma. Det är viktigt att du vet att en domänkontrollant inte har någon egen kontodatabas som bara är dess egen detta utrymme tas helt upp av domänens kontodatabas. En följd av det ovanstående är att de inbyggda lokala grupperna och alla de som upprättas på den primära domänkontrollanten kommer att vara tillgängliga på alla reservdomänkontrollanter 836

23 Lokala grupper (vid nästa uppdatering av reservdomänkontrollanternas kopia av domänens kontodatabas). Detta gör att jag ofta använder beteckningen kontrollantlokal för de lokala grupperna på den primära domänkontrollanten samma grupp finns ju på alla domänkontrollanter. Administratörer//Administrators Utöver den makt Administratörer//Administrators har på Windows NT-datorer i en arbetsgrupp får de än mer omfattande privilegier i en Windows NT-domän. I denna kan de dessutom: q Upprätta, ändra och ta bort domänkonton q Hantera domänens kontoprinciper q Hantera globala grupper q Göra användarkonton till medlem av gruppen Domänadministratörer//Domain Admins (och Administratörer//Administrators) q Lägga till och ta bort Windows NT-datorer från domänen q Koppla den egna domänen till andra domäner Serveransvariga//Server Operators Serveransvariga//Server Operators har befogenhet att hantera servrar. De kan: q Dela filer och skrivare q Formatera diskar på servrar q Säkerhetskopiera och återlagra säkerhetskopior q Avsluta servrar q Hantera tjänster (starta, stoppa, avsluta) q Hantera Fjärranslutning/RAS (den är en tjänst) Serveransvariga//Server Operators befogenheter är begränsade, de kan exempelvis inte hantera kontodatabasen eller den underliggande kontosäkerheten. När en medlem av gruppen startar Kontohanteraren för domäner//user Manager for Domains kommer hon att ha samma möjligheter som en vanlig användare d.v.s. hon kan upprätta lokala grupper, men i övrigt inte ändra någonting i kontodatabasen eller dess säkerhetsinställningar. 837

24 23 Användargrupper: lokala, globala och specialgrupper Kontoansvariga//Account Operators Kontoansvariga//Account Operators kan administrera domänens användarkonton och grupper. De kan upprätta, ta bort och ändra: q Användarkonton q Globala grupper q Lokala grupper Kontoansvariga//Account Operators har begränsade möjligheter. De kan inte åsätta användarrättigheter eller ändra någon av följande lokala grupper: q Administratörer//Administrators q Serveransvariga//Server Operators q Kontoansvariga//Account Operators q Skrivaransvariga//Print Operators q Ansvariga för säkerhetskopiering//backup Operators q Kontoansvariga//Account Operators kan inte ändra användar konton som är medlem i Administratörer//Administrators, Domänadministratörer//Domain Admins eller någon av de andra operatörsgrupperna Dessutom kan Kontoansvariga//Account Operators: q Lägga till och ta bort Windows NT-datorer från domänen Använda Kontoansvariga//Account Operators En god användning av Kontoansvariga//Account Operators är om domänen innehåller programsystem med egna administratörer. Låt mig ta Microsoft SQL Server som exempel: enligt uppgift kommer den hemska hanteringen av konton och grupper att försvinna i och med SQL Server 7.0 den kommer att använda de användarkonton och grupper som finns i Windows NT (det har jag längtat efter). Detta innebär att administratörerna i Windows NT-domänen blir ytterst ansvariga även för konton som används i SQL Server. För att bättre fördela arbetet och säkert göra det snabbare kan Windows NT-administratörerna låta dem som har hand om SQL Server 7.0 få ett konto i Kontoansvariga//Account Operators på den primära domänkontrollanten. Med detta konto 838

25 Lokala grupper kan då SQL Server-administratörerna upprätta nya konton i domänen (tyvärr också avlägsna befintliga konton), upprätta nya globala grupper och på sätt sköta sig själva. Vid behov kan detta domänkonto även göras till medlem av en global grupp som i sin tur görs till medlem av den lokala Administratörer//Administrators. En ytterligare administrativ fördel nås om den dator på vilken SQL Server finns installeras som ren server/fristående server/medlemsserver. Med hjälp av det lokala kontot Administratör//Administrator har SQL Server-administratörerna oinskränkt makt på sin egen dator, men ingen makt i domänen. Tack vare att datorn ändå är med i domänen har Windows NT-administratörerna oinskränkt makt på datorn (utom SQL Server-delarna) genom att Domänadministratörer//Domain Admins är med i den datorns lokala grupp Administratörer//Administrators. Eftersom datorn är en medlemsserver och inte en domänkontrollant är den lätt att flytta till en annan Windows NT-domän eller datorarbetsgrupp om det skulle behövas. Om inte detta är en tulipanaros som man både äter och behåller så vet inte jag. Skrivaransvariga//Print Operators Skrivaransvariga//Print Operators har följande befogenheter att hantera skrivare: q Dela skrivare q Avsluta delning av skrivare q Hantera skrivare (inställningar, m.m.) Skrivaransvariga//Print Operators kan även logga in lokalt på en server och avsluta den. Olika grupper på domänkontrollanter och fristående servrar stökar till det De tre operatörsgrupper som endast finns på domänkontrollanter: Kontoansvariga//Account Operators, Skrivaransvariga//Print Operators och Serveransvariga//Server Operators kan lätt stöka till administrationen i domänen. I ett stort nätverk med flera medlemmar i administratörsgrupperna är man ofta angelägen att använda flera skikt för att varje administratör skall ha rätt makt (inte för litet, inte för mycket) för sina uppgifter. När man delar in de olika administratörslagen och gör deras 839

26 23 Användargrupper: lokala, globala och specialgrupper konton till medlemmar av de tre operatörsgrupperna kommer man att finna att de har samma privilegier som vanliga användare på de fristående servrar och Windows NT Workstation (alltså icke-domänkontrollanter) som finns i domänen. Detta beror på två saker: q All administrativ kraft är tilldelad lokala grupper q De tre lokala grupperna Kontoansvariga//Account Operators, Skrivaransvariga//Print Operators och Serveransvariga//Server Operators finns inte på fristående servrar och Windows NT Workstation de har med andra ord ingen som helst kraft där Detta måste tas med i beräkningen innan ni delar upp administrationen på operatörsgrupper och när ni skall avgöra om en server skall bli reservdomänkontrollant eller fristående server. Gör ni alla Windows NT Server till domänkontrollant är även dessa tre grupper tillgängliga på dem. Administrativt vill jag kalla detta ett misstag, jag skulle tro att Microsoft glömde dessa grupper när de gjorde om hanteringen av domänkontrollanter och fristående servrar mellan Windows NT Advanced Server 3.1 och Windows NT Server 3.5. I den första versionen av Windows NT Server, Windows NT Advanced Server 3.1, fanns det inga fristående servrar, alla utom den primära domänkontrollanten var tvungna att vara reservdomänkontrollanter. En väg runt denna begränsning kan vara att upprätta en global grupp med namnet Domänoperatörer//Domain Operators som får bestå av alla operatörskonton. Denna grupp görs sedan till medlem av den lokala gruppen Privilegierade användare//power Users eller Administratörer//Administrators på alla icke-domänkontrollanter. Vilken du skall välja av Privilegierade användare//power Users och Administratörer//Administrators beror på dina behov. Vilka verktyg kan operatörsgrupperna använda Det kan vara till hjälp att tänka på de olika operatörsgrupperna utifrån de administrationsverktyg de kan använda. När jag skriver använda menar jag använda hela verktyget (eller åtminstone med endast små inskränkningar). Lokal grupp Verktyg 840

27 Lokala grupper Ansvariga för säkerhetskopiering/- Backup//Backup (säkerhetskopi- /Backup Operators eringsverktyget) Serveransvariga//Server Operators Serverhanteraren//Server Manager Kontoansvariga//Account Operators Kontohanteraren för domäner/- /User Manager for Domains Skrivaransvariga//Print Operators Mappen Skrivare//Printers (även nåbar från Kontrollpanelen/- /Control Panel) Ansvariga för duplicering//replicator Medlemmar i denna grupp (det brukar inte vara fler än en) är tänkta att användas tillsammans med tjänsten Directory [Folder] Replication eftersom specialkontot System//System inte kan användas över nätverket. Kom ihåg att det ofta finns dolda begränsningar i vad olika gruppers medlemmar kan göra. En medlem i Kontoansvariga/ /Account Operators kan inte hantera medlemskap i någon av administratörsgrupperna (mycket bra, tycker jag). Tillverka en knapp administratör Om du gör ett användarkonto till medlem av de flesta operatörsgrupper får du ett konto som kan göra en del av det som en medlem av Administratörer//Administrators. Det kan vara ett sätt att lära upp någon till administratör. Grupper med samma namn har samma privilegier De grupper som finns både på Windows NT Workstation, Windows NT Server och både i datorarbetsgrupp och Windows NT-domän har samma uppsättning privilegier oavsett var de finns, med undantag för några få saker som endast rör domäner (globala grupper, medlemskap i domänen för Windows NT-datorer). Detta gäller grupperna: q Administratörer//Administrators q Ansvariga för säkerhetskopiering//backup Operators 841

28 23 Användargrupper: lokala, globala och specialgrupper q Ansvariga för duplicering//replicator q Användare//Users q Gäster//Guests Mer om lokala gruppers möjligheter Jag tyckte det verkade lämpligt att avhandla olika lokala gruppers möjligheter och begränsningar i samband med användarrättigheter//user rights, läs mer i nästa kapitel. Snabbjämförelse mellan domänkontrollanter och andra Windows NT-datorer Vad gäller lokala grupper finns det två olika uppsättningar i Windows NT-världen, ur samma urval lokal grupper. Domänkontrollanter i Windows NT-domäner har en uppsättning lokala grupper, alla andra Windows NT-datorer en annan. Lokala grupper på domänkontrollanter Lokala grupper på Windows NT-datorer i arbetsgrupp och icke-domänkontrollanter Det finns två olika uppsättningar av samma urval lokala grupper, domänkontrollanter har en uppsättning och alla andra Windows NT-datorer en annan. 842

29 Lokala grupper Upprätta egna lokala grupper q Inga inbyggda användarrättigheter för ny grupp q Kopierad grupp får inte heller några användarrättigheter Inga inbyggda användarrättigheter för ny grupp Microsofts synsätt vad gäller hantering av globala och lokala grupper bygger på att endast lokala grupper skall ges användarrättigheter och behörighet till resurser. Man kunde då förvänta sig att när man upprättar nya lokala grupper så tilldelas de ett antal standardrättigheter (ex. samma uppsättning som Användare//Users). Så har man inte gjort, nya lokala grupper får inga som helst användarrättigheter. Man måste följaktligen själv alltid se till att varje ny lokal grupp får de användarrättigheter som den behöver. Använder ni någon annan grupphanteringsmodell än Microsofts kan det vara så att nya grupper (lokala eller globala) skall tilldelas användarrättigheterna Åtkomst till den här datorn från nätverket//access this computer from network och Lokal inloggning//log on locally. (Använder ni er av det faktum att alla nya domänkonton görs till medlemmar av Domänanvändare//Domain Users och låter denna grupp fortsätta vara medlem av alla domänmedlemmars lokala grupper Användare//Users behöver nya grupper inte tilldelas någon användarrättighet.) Kopierad grupp får inte heller några användarrättigheter Mallkonton fungerar mycket bra när man vill upprätta nya användarkonton och man skulle önska att man kunde upprätta en mallgrupp för att kunna hantera grupper på samma sätt. Det låter sig inte göra användarrättigheter kopieras inte. Man undrar stillsamt hur de som utformat denna del i Windows NT Server egentligen tänkt och hur mycket erfarenhet av att administrera nätverk de egentligen har. Slutsats Om man ser till att alla användarkonton behåller sitt medlemskap i den globala gruppen Domänanvändare//Domain Users får man inte problem med normala användarrättigheter. Samtliga användarkonton som upprättas i en domän blir alltid medlem av gruppen Domänanvändare//Domain Users. Detta gäller även konton som senare görs till medlemmar av Domänadministratör 843

30 23 Användargrupper: lokala, globala och specialgrupper er//domain Admins. Gemensamma drag för globala och lokala grupper Globala och lokala grupper har det gemensamt att man kan styra medlemskap i dem. En administratör måste alltså göra ett domänkonto till medlem i en global grupp och måste även göra en global grupp till medlem i en lokal grupp. Detta är en avgörande skillnad mellan, å ena sidan, globala och lokala grupper och, å andra sidan, specialgrupperna. Användarkonton kan vara med i obegränsat antal globala (och lokala) grupper Det finns ingen begränsning i hur många globala grupper ett användarkonto kan vara medlem av. Ett användarkonto kan även vara medlem av ett obegränsat antal lokala grupper, men både Microsofts grupphanteringsmodell och globalgruppsmetoden avråder från att göra användarkonton till medlemmar av lokala grupper. Byta namn på grupper Det borde vara enkelt att byta namn på grupper (globala eller lokala), men det visar sig vara omöjligt. Om du behöver byta namn på en grupp får du istället göra en ny grupp och låta medlemmarna i den gamla gruppen ingå i den nya. När det är klart behöver du bara leta rätt på de ställen i nätverket där det gamla gruppnamnet används och byta det mot den nya gruppens namn. De nya gruppen har ju en annan SID än den gamla och det är endast gruppens SID som sparas i behörighetslistor och andra ställen (tack för det, Microsoft ). Inaktivera grupper Det finns inget enkelt sätt att inaktivera grupper i Windows NT. Men, om vi med inaktivera menar att gruppen inte skall användas på en tid för att senare tas bort eller återinsättas i tjänst finns det sätt att kringgå det hela vi gör en ny temporär grupp i vilken vi gör alla befintliga gruppmedlemmar till medlemmar; töm gruppen som skall inaktiveras på gruppmedlemmar; låt den fortsätta vara medlem av lokala grupper och ingå i behörighetslistor. Så länge den inte har några medlemmar är den inaktiverad. 844

31 Specialgrupperna Skall gruppen återupplivas tar man alla gruppmedlemmar från den temporära gruppen och stoppar in dem i den ursprungliga gruppen igen. Specialgrupperna Den tredje grupptypen, specialgrupper, har många ansikten. Å ena sidan finns det specialgrupper som är mycket bra och med vars hjälp man kan åstadkomma enkla och eleganta lösningar på behörighetsproblem. Å andra sidan finns det specialgrupper tänkta att göra det enkelt för vem som helst att komma åt resurser i ett Windows NT-nätverk, utan märkbara tankar på säkerhet. En av dem kan närmast liknas vid en eldsprutande drake. Så länge vi inte öppnar grinden till vår gård går allt bra Det finns sammanlagt sex olika specialgrupper en tillkom i Service Pack 3 och en syns bara vid behörighet för utskrifter, i Registret//Registry samt mappar och filer på NTFS-volymer. Det finns fem specialgrupper på alla Windows NT-datorer (sex i SP3 för Windows NT 4.0). Gemensamt för specialgrupperna är man inte kan styra medlemskap i dem. Medlemskap i en eller flera specialgrupper uppstår alltid på grund av att man gjort/gör något: loggat in lokal på en Windows NT-dator, använder resurser på en server över nätverket, skrivit ut ett dokument, upprättat en ny mapp eller fil. Det finns inget sätt att tillverka egna specialgrupper och man kan inte heller göra specialgrupperna till medlemmar av lokala grupper (självklart inte heller globala grupper). 845

32 23 Användargrupper: lokala, globala och specialgrupper Specialgrupperna sönderfaller i tre grupper, en platshållare, en supergrupp och ett specialkonto När man arbetat med specialgrupperna en tid visar det sig att alla inte alls är grupper. Tre av dem kan betraktas som grupper: q Nätverk//Network q Interaktiv//Interactive q Verifierade användare//authenticated Users Vad är de andra tre? En av dem, Alla//Everyone, är närmast att betrakta som en supergrupp, en grupp som innehåller alla andra grupper. Eftersom Nätverk//Network följaktligen är en del av Alla//Everyone kan den beskrivas som: Alla på Internet//Everyone on the Internet (och alla andra den är en universell grupp). Specialgruppen Skapare Ägare//Creator Owner är inte en grupp över huvudtaget, den är en platshållare för ett användarkonto. Tanken med Skapare Ägare//Creator Owner är man skall kunna ge den användares konto som upprättar en ny nyckel i Registret//Registry; som startar en utskrift; som upprättar en mapp eller fil på en NTFS-volym annan behörighet än andra användare. Vid utskrifter kan man använda Skapare Ägare//Creator Owner för att låta den som startar ett utskriftsjobb kunna ta bort det, under det att andra endast kan lista jobbet (se att det befinner sig i kö för att bli utskrivet). System//System, slutligen är den kanske intressantaste eftersom den samtidigt uppfattas, av Windows NT, som både en grupp och ett användarkonto. Om du använder tjänsten Schedule med specialgruppen/specialkontot System//System och låter At, med växeln /interactive, starta en kommandotolk kommer den att tillhöra System//System. Använd sedan PView från Windows NT Resource Kit (finns både för Windows NT 3.51 och Windows NT 4.0) för att så småningom se denna bild: Knappen Process i gruppen Token i PView:s huvudfönster visar denna information för specialgruppen/specialkontot System//System. 846

33 Specialgrupperna I bilden syns att både användarkonto (User ID) och uppgift om primär grupp//primary group anges som SYSTEM. Nog är System//System speciell, allt. Specialgrupperna uppför sig om de vore antingen globala, lokala eller universella Specialgrupperna uppför sig som om de vore antingen globala (kan verka över hela nätverket), lokala (kan bara verka inom den egna kontodatabasen) eller universella (omfattar mer än Windows NT). De som uppför sig som om de vore globala grupper är: q Verifierade användare//authenticated Users q Skapare Ägare//Creator Owner Dessa specialgrupper uppför sig som om de vore lokala (kan inte verka över nätverket): q Interaktiv//Interactive q System//System Som universella grupper, grupper som omfattar mer än Windows NT, uppför sig: q Nätverk//Network q Alla//Everyone Med universella grupper menar jag att de är inte begränsade till det egna nätverket, utan omfattar alla i universum. Vad gäller Nätverk//Network innebär detta alla i Universum med nätverksmöjlighet. Specialgruppen Alla//Everyone är ju en grupp som i sig innehåller alla andra grupper, den är med andra både global, lokal, den är allestädes närvarande: universell. En för alla, alla för en På varje enskild Windows NT-dator kommer du att kunna hantera specialgrupper, man skulle lätt kunna få för sig att Windows NT-domäner har egna uppsättningar av specialgrupperna. Så är det inte. Som du kan se av gruppernas SID i slutet av detta kapitel har specialgrupperna samma SID på alla Windows NT-datorer och därmed i alla Windows NT-domäner. 847

34 23 Användargrupper: lokala, globala och specialgrupper Detta innebär att de användarrättigheter du åsätter gruppen Alla//Everyone i din Windows NT-domän med automatik kommer att gälla alla andra Windows NT-datorers och Windows NTdomäners specialgrupp Alla//Everyone. Faktum är att Windows NT inte ens uppfattar Alla//Everyone som sin egen specialgrupp, utan som en grupp som omfattar alla i Universum. Den borde kallas den universella gruppen. Nätverk//Network Network är en mycket obehaglig grupp och en grupp som vi aldrig bör tilldela några privilegier i vår domän. Anledningen till denna grupps obehaglighet är att vem som än har kontakt med vår dator via nätverkspaket betraktas av vår dator som medlem i gruppen Nätverk//Network. Betänk då att när vi är kopplade till Internet (även med modem) betraktas alla andra som finns på Internet som medlem av Nätverk//Network! Vad gäller kontakt med Internet gör man bäst att alltid tänka tanken just nu finns det någon på Internet som vill in i min dator och rota runt. Interaktiv//Interactive Vem som än går fram till en Windows NT-dator och använder dess tangentbord för att logga in kommer av den datorn att betraktas som medlem av gruppen Interaktiv//Interactive. För att kunna logga in på en Windows NT-dator måste något av följande villkor vara uppfyllt: q Användaren har ett lokalt konto på datorn (den är med i en arbetsgrupp eller det är en icke-domänkontrollant) och gruppen Användare//Users har tilldelats användarrättigheten Lokal inloggning//log on locally. q Användaren uppger det lokala kontot Gäst//Guest vilket är aktivt på datorn (den är med i en arbetsgrupp eller det är en icke-domänkontrollant) med tomt eller känt lösenord och gruppen Gäster//Guests har tilldelats användarrättigheten Lokal inloggning//log on locally. 848

35 Specialgrupperna q Användaren har ett domänkonto och datorn är med i en Windows NT-domän. Den globala gruppen Domänanvändare//Domain Users har tilldelats användarrättigheten Lokal inloggning//log on locally på datorn eller så är Domänanvändare//Domain Users med i den lokala gruppen vilken Användare//Users tilldelats denna användarrättighet. q Domänkontot Gäst//Guest är aktivt och användaren uppger det. Förutom tomt eller känt lösenord måste gälla att den globala gruppen Domängäster//Domain Guests har tilldelats användarrättigheten Lokal inloggning//log on locally på datorn eller så är Domängäster//Domain Guests med i den lokala gruppen som Gäster//Guests vilken tilldelats denna användarrättighet. Samtliga innehavare av domänkonton samt de som har lokala konton på en viss Windows NT-dator är möjliga medlemmar av Interaktiv//Interactive. Medlemskap uppstår i det ögonblick de verkligen loggat in på datorn. Verifierade användare//authenticated Users Denna grupp infördes av Microsoft i Service Pack 3. Gruppen Verifierade användare//authenticated Users är, enligt Microsoft, användare som medgivits inloggning av domänkontrollanter i den egna domänen eller i domäner som den egna domänen har domänkoppling till. Gruppen kan användas, enligt Microsoft, som ersättning för Alla//Everyone. Om den verkligen fungerar som beskrivs vill jag se att Microsoft går före vad gäller dess användning jag har inte sett att Microsoft använt denna grupp på något ställe, någonstans (kunde de inte skriva om kommandofilerna i Zero Administration Kit, ZAK så att denna grupp används i stället för Alla//Everyone?). Tyvärr har denna grupps ikon ett något olyckligt utseende det är samma ikon som för globala grupper. Kanske byter den utseende i Service Pack

36 23 Användargrupper: lokala, globala och specialgrupper Alla//Everyone Specialgruppen Alla//Everyone är så speciell till sin natur att den kan sägas innehålla grupperna Interaktiv//Interactive och Nätverk//Network som medlemmar. Jag tänker alltid på den som innehållandes alla grupper, alla användare och alla andra (egna användare och andras datorbusar). Alla//Everyone skall vi sky som pesten just för att Nätverk/ /Network är medlem och för att Alla//Everyone används oöverlagt och slarvigt av Microsoft. Ex. är användarrättigheten att komma åt en dator via nätverket utdelad till Alla//Everyone. (Kom ihåg: Alla på Internet//Everyone on the Internet.) Eftersom alla konton (inklusive gäster) är medlemmar i Alla//Everyone och denna grupp alltid, som standard, får tillgång till delade resurser bör man tänka igenom hur man vill använda behörigheter. Ett resultat som många kommer fram till är att alltid avlägsna Alla//Everyone från behörighetslistan för delade resurser och lokala resurser. En varning! Om du avlägsnar en viss användarrättighet från Alla//Everyone måste du nästan alltid tilldela användarrättigheten till en annan grupp: Domänadministratörer//Domain Admins, Domänanvändare//Domain Users eller andra (Administratörer/ /Administrators, Användare//Users). Det kan lätt hända att ingen grupp får en viss användarrättighet annars, vilket kan innebära att ingen användare kan logga in (om du ändrar Lokal inloggning//log on locally). En ytterligare varning! Om du tilldelar gruppen Alla//Everyone behörigheten Ingen behörighet//no Access innebär detta att ingen någonsin kan komma åt resursen (utdelad mapp, skrivare eller lokal mapp/fil). Behörigheten Ingen behörighet//no Access har så stor tyngd att den alltid tar överhanden över andra behörigheter. Gruppen Alla//Everyone påverkas av kontot Gäst//Guest Hur farlig gruppen Alla//Everyone blir styrs i hög grad om kontot Gäst//Guest på Windows NT-datorn är aktivt eller inte. Om Alla//Everyone är en eldsprutande drake så är kontot Gäst//Guest grinden in till vår gård. 850

37 Specialgrupperna Kontot Gäst//Guest aktivt När kontot Gäst//Guest är aktivt innebär det att gruppen Alla//Everyone alltid ges tillträde till resurser där man använt Alla//Everyone i behörighetslistan. Vi har alltså bjudit in Alla på Internet. Vi har öppnat grinden till gården och släppt in draken vi vet bara inte när den kommer öppna gapet och spruta sin förgörande eld. Kontot Gäst//Guest inaktivt På de datorer där kontot Gäst//Guest är inaktivt kommer gruppen Alla//Everyone inte att beredas tillträde även om man tilldelat dem behörigheter. Eftersom Alla//Everyone har ett så omfattande innehåll kanske det vore bra med ett förtydligande, följande konton kommer att beredas tillträde även när kontot Gäst//Guest är inaktivt: q Konton från den egna domänen kommer att beredas tillträde q Konton från domäner till vilka vår domän har en domänkoppling kommer att beredas tillträde q Konton från domäner till vilka vår domän inte har en domän koppling, men där kontonamn och lösenord är samma som ett konto i vår egen domän Det kanske låter underligt att den som råkar ha ett kontonamn (ex. Administratör//Administrator) och lösenord (ex. password, hemligt, eller något annat mindre väl valt) kan ansluta till resurser i vår domän. Tyvärr är det gjort så i Windows NT att när vår domän inte har någon domänkoppling till någon annan domän är det endast själva kontonamnet som intresserar domänkontrollanterna. När vi kopplar vår domän till en annan med en domänkoppling behandlar domänkontrollanterna alltid kontonamnen och domännamnet för kontot som en enhet i detta fall räcker det inte att ha samma kontonamn och lösenord för att komma åt resurser i en annan domän. Skapare ägare//creator Owner Den mycket trevliga platshållaren Skapare Ägare//Creator Owner syns i tre olika behörighetslistor: 851

38 23 Användargrupper: lokala, globala och specialgrupper q I behörighetsposter för nycklar (och undernycklar) i Registret//Registry (nycklar är det enda som har behörighetslistor i Registret//Registry) där posten för Skapare Ägare//Creator Owner anger behörighet till nya undernycklar för det användarkonto som upprättar den nya undernyckeln q I behörighetsposter för skrivare där posten för Skapare Ägare//Creator Owner anger behörighet för de utskriftsjobb som användare beordrar. Den användare som beordrar ett utskriftsjobb kommer att få den behörighet som åsatts Skapare Ägare//Creator Owner i behörighetslistan för skrivaren q I behörighetsposter för mappar på NTFS-volymer anger Skapare Ägare//Creator Owner den behörighet som kommer att gälla nya mappar och/eller filer för det användarkonto som upprättar nya mappar/filer Skapare Ägare//Creator Owner, är en platshållare för det användarkonto som startar en utskrift; upprättar en ny nyckel i Registret//Registry; upprättar en ny mapp eller fil på en NTFSvolym. Skapare Ägare//Creator Owner tilldelas den behörighet man vill att den framtida ägaren skall åtnjuta. (Skapare Ägare/ /Creator Owner har alltså ingen funktion i den behörighetslista där den förekommer under eget namn den är enbart en platshållare för ett framtida användarkonto.) Behörighetsposten med Skapare Ägare//Creator Owner finns alltid en nivå ovanför där den skall användas. På den nivå där posten med Skapare Ägare//Creator Owner finns har den posten ingen som helst effekt, den är endast en platshållare för användarkonton (eller Administratörer//Administrators). Skapare ägare//creator Owner och Registret//Registry Registret//Registry i Windows NT är skyddat av behörigheter mycket likt mappar och filer på en NTFS-volym. Skillnaden mellan lokal behörighet i NTFS och behörighet i Registret/ /Registry är den att Registret//Registry skyddas av en ganska sammansatt struktur på behörigheterna. Denna struktur upprättas vid installationen av Windows NT och de flesta gör bäst i att inte ändra den. Skapare ägare//creator Owner och utskrifter Den som skriver ut en fil anses av Windows NT också vara ägare av själva utskriftsuppdraget. Detta gör det enkelt och elegant 852

39 Specialgrupperna att låta alla hantera sina egna utskrifter ex. avbryta dem om så skulle behövas. Skapare ägare//creator Owner och NTFS-volymer På en NTFS-volym utdelas Skapare ägare//creator Ownerbehörigheten på mappnivå. En ny ägare till en mapp eller den som upprättar filer i mappen ges behörighet tilldelad Skapare ägare//creator Owner. Man kan göra trevliga och eleganta saker med Skapare ägare//creator Owner, man kan ex. ge den som äger en mapp eller fil mer omfattande behörighet än andra (för att göra standarddokumentmappar i vilka alla får läsa dokument, men endast den som äger dokumentet får ändra i det, o.a.). Skapare ägare//creator Owner är användbar då en användare vill upprätta filer i en gemensam mapp med Fullständig behörig het//full Control för sig själv och kanske Läsa//Read för alla andra. Man undersöker vilket konto eller grupp som äger en mapp/fil genom att markera objektet och i snabbmenyn välja Egenskaper//Properties, därpå fliken Säkerhet//Security och sist knappen Ägandeskap//Ownership. Skapare ägare//creator Owner och behörighetslistor (lokal behörighet) Det är ganska intressant (och kraftfullt) att använda Skapare ägare//creator Owner i behörighetslistor för lokal behörighet. Gruppen är endast tillgänglig för mappar i NTFS, inte för filer. Du finner en noggrann genomgång i kapitel 25. Specialkontot System//System System//System är inte enbart en specialgrupp, utan samtidigt både en specialgrupp och ett specialkonto. Det är operativsystemet självt i form av kontot LocalSystem//LocalSystem. LocalSystem//LocalSystem är det konto som tjänster använder (om inget annat sägs). LocalSystem//LocalSystem är en angelägenhet för lokal behörighet, eftersom kontot inte kan verka över nätverket, och man måste vara noggrann med att alltid ge System//System nödiga behörigheter till mappar och filer som använda kommandofiler 853

40 23 Användargrupper: lokala, globala och specialgrupper kan behöva använda (tänk också på att System//System behöver kunna köra program (X-behörigheten lokalt om det är ett Win32- program, RX om det är ett Win16-program (förmodligen ett krav från NTVDM)). En vanlig felkälla när man använder AT-jobb i Windows NT är att inte ge nödiga behörigheter (för lite eller för omfattande) till System//System eller försöker använda LocalSystem//Local- System för en tjänst som behöver komma åt resurser över nätverket (vilket System//System inte kan). Tänk på att alla jobb som startas av tjänsten Schedule kommer att fungera som om de vore startade av den användare som anges i egenskaper för tjänsten. Dialogrutan för att ange användarkonto för en viss tjänst nås via Kontrollpanelen//Control Panel, Tjänster//Services, Konfigurera/ /Startup. Systemkonto//System Account och LocalSystem//LocalSystem i dialogrutan ovan är samma sak jag tycker inte att det är riktigt tydligt. Kontot LocalSystem//LocalSystem är lösenordslöst om du ändå skriver in ett lösenord kommer Windows NT att strunta i det. En annan grop som Microsoft grävt åt oss är att lösenordsändringar inte slår igenom för de användarkonton du använder för tjänster. Om du använder ett annat konto än LocalSystem//LocalSystem måste du själv ändra lösenord i dialogrutan ovan så fort du ändrar lösenordet för kontot (ex. i Kontohanteraren för 854

41 Grupper skall ha ägare och sista förbrukningsdatum domäner//user Manager for domains). System//System är medlem av Administratörer//Administrators, men inte av Domänadministratörer//Domain Admins, vilket man kan utnyttja till sin fördel i behörighetslistor. Läs mer om System//System/LocalSystem//LocalSystem i kapitel 21. Grupper skall ha ägare och sista förbrukningsdatum q Ägas av användarna q Sista förbrukningsdatum Ägas av användarna En viktig princip är att varje användargrupp (kontogrupp) har en ägare. Man kan lätt se två skäl till detta: säkerhet och för att underlätta administrationsbördan. Ur säkerhetssynvinkel är det viktigt att inte användare fritt kan be administratörer att göra deras konto till medlemmar av en viss grupp och därmed få tillgång till dokument de inte borde har behörighet till. Om grupper har ägare underlättar det administrationen genom att det endast är ägaren som tillåts ge administratörer i uppdrag att göra konton till medlemmar av gruppen. För ägaren skall följande gälla: q Skall vara en av dem som ingår i gruppen (om möjligt), annars någon högre ansvarig på berörd avdelning. q Skall inte vara någon av dem som administrerar nätverket (om inte gruppen är just en administrationsgrupp). q Endast ägaren avgör vilket konto som skall vara medlem i gruppen. Detta är mycket viktigt för säkerheten då endast de som arbetar med vissa filer kan avgöra hur viktiga de är. q Endast ägaren avgör om en grupp är inaktuell och därmed kan tas bort (jmf. nedan). Ange ägare av grupp i Windows NT Server Eftersom Microsoft inte verkar vara av samma åsikt som jag finns det inget inbyggt sätt att ange gruppägare i Windows NT Server. Vi är hänvisade till att använda fältet Beskrivning//Description när vi upprättar grupper. En standard skulle kunna vara att 855

42 23 Användargrupper: lokala, globala och specialgrupper antingen inleda eller avsluta beskrivningen med vem som äger gruppen. Bäst-före-datum När ett nätverk växer är det lätt hänt att grupper som inte längre används ligger och skräpar. Det är svårt för administratörer att hålla reda på vilka grupper som fortfarande är aktuella och vilka som skulle kunna tas bort de måste ständigt fråga ägaren om de kan ta bort en viss grupp. Det bättre sättet vore att kunna tidsbegränsa en grupps giltighetstid, efter denna tid inaktiveras gruppen. Självfallet skulle administratörerna få besked om händelsen någon tid i förväg så att de kunde fråga ägaren om gruppen skall användas efter detta datum. Snyggast vore det om en påminnelse om förnyelse skickades till ägaren som i sin tur skickade sitt beslut till administratörerna. Detta borde inte vara någon svårighet i elpostsystem som stöder MAPI/VIM/CMC. Ange bäst-före-datum Till skillnad från användarkonton finns det inget inbyggt sätt i Windows NT Server att ange bäst-före-datum och vi är återigen hänvisade till att använda fältet Beskrivning//Description. Datumangivelser När man anger datum är det viktigt med konsekvens och man bör även ägna en tanke åt andra länders sätt att ange datum. I Sverige är det vanligt att ange datum som, ex., när man menar den 1:a februari 1998, i USA ser detta ofta ut som 02/01/98. Mitt förslag är att använda engelska förkortningar för månadsnamnen och skriva 01-Feb-1998 (eller 1998-Feb-01) eller faktiskt använda ISO-standarden och skriva i de sammanhang när man behöver sortera på datum. Skrivsättet åååå-mm-dd gör att datum alltid blir rätt sorterade. Namngivning av grupper q Ingen standard q Konsekvens viktig q DomänGrupp domgrupp 856

43 Namngivning av grupper q gprojektgrupp lprojektgrupp Ingen standard Ingenstans i Microsofts handböcker för Windows NT Server finns någon rekommendation för hur man namnger lokala och globala grupper. Detta trots att en konsekvent namngivning av grupper och även resurser väsentligt kan underlätta den administrativa bördan i ett större nätverk med många användarkonton och varierande behov av behörigheter och säkerhetskrav. Konsekvens viktig Vilken metod man än väljer att namnge sina grupper är konsekvens och likformighet av nöden. Är vi konsekventa blir det lättare för oss att ändra i framtiden och även att lämna över administrationen av nätverket till någon annan. Olika förslag Microsofts (indirekta) förslag De tre inbyggda globala grupper som finns i Windows NT Server är faktiskt samtliga konsekvent namngivna de har förledet Domän//Domain: Domänanvändare//Domain Users, Domänadministratörer//Domain Admins, Domängäster//Domain Guests. Man skulle alltså kunna tänka sig att ge detta förled, Domän/ /Domain, till samtliga globala grupper som man upprättar i domänen. Eventuellt skulle Domän//Domain kunna kortas ned till endast dom, ex. domprojektkvalitet. Lokala grupper skulle då kunna ges samma namn som den globala gruppen, fast med förledet lok, ex. lokprojektkvalitet (minns att tanken i Microsofts grupphanteringsmodell är att globala grupper alltid görs till medlemmar av lokala grupper för att få behörighet till resurser). Ett något mer ambitiöst förslag Vi utgår från förslaget ovan, men ger de båda grupperna förleden glb (för global) respektive lok (för lokal). Om vi vill kan vi korta dessa till endast en bokstav och får då, ex., gprojektkvalitet och lprojektkvalitet. Vi nöjer oss inte med detta eftersom vårt nätverk är så stort att vi har flera personer till vår hjälp. Arbetet 857

44 23 Användargrupper: lokala, globala och specialgrupper är uppdelat så att en person sköter tänkandet och de andra det praktiska. Hon som har hand om tänkandet har kommit på att om vi kodar in behörigheterna för gruppen redan i gruppnamnet underlättar vi för oss själva när vi skall utföra arbetet med att åsätta behörigheter. Rent praktiskt kan vi alltså tänka oss att gruppen Projekt- Kvalitet skall ha Ändra//Change-behörighet till resursen \\freja\kvalitetsproj och vi upprättar grupper med namnet gcprojektkvalitet och lcprojektkvalitet (där c efter l och g anger Ändra//Change). Denna metod gör det väldigt enkelt att ge olika medlemmar i kvalitetsprojektet olika behörighet till mappen \\freja\kvalitets- Proj. Vi antar att vi dels har projektmedlemmar som behöver kunna ändra filer i mappen och dels medlemmar som endast behöver kunna läsa innehållet i filer i mappen. Då upprättar vi dessa grupper (i Microsofts grupphanteringsmodell, annars hoppar vi bara över de lokala grupperna): Global grupp Lokal grupp Behörighet till mappen gcprojektkvalitet lcprojektkvalitet Ändra//Change grprojektkvalitet lrprojektkvalitet Läsa//Read Detta är ett mycket ambitiöst förslag, det viktiga är att tänka igenom sin grupphantering, lägga fast rutiner (gärna skriva ned hur man tänkt...) och sedan följa dem. Få eller många grupper q Ingen standard q Många grupper få användare i varje grupp q Få grupper många användare i varje När nätverket blir större blir det viktigt att tänka igenom vilken filosofi man skall använda vid grupphantering. Enda anledningen till att vi hanterar grupper är ju att vi vill ge användare tillgång till (eller stänga dem ute från) olika resurser i nätverket. Den fråga som infinner sig ganska snart är huruvida vi skall arbeta med få grupper eller många grupper. Frågan kan synas konstig, men jag skall förklara vad jag menar nedan. 858

45 Få eller många grupper Få grupper många användare i varje Om vi arbetar med få grupper och därmed många användarkonton i varje grupp försöker vi ge resursbehörigheter till så få grupper som möjligt. Detta kan lätt föra med sig att vi får en konstlad grupphantering, en grupphantering som bara handlar om nätverket och dess administration. Ex. om personer som arbetar på två olika avdelningar behöver tillgång till en resurs upprättar vi endast en grupp och ger denna behörighet till resursen i stället för att kanske använda avdelningsgrupper och ge båda avdelningarna behörighet till resursen. Låt oss anta att vi skall ge alla anställda tillgång till en mapp vilken skall användas för att utbyta filer inom hela organisationen. Med den fastlagda gruppfilosofin upprättar vi då en grupp som heter gcalla (vi upprättar också en lokal grupp på den dator där resursen finns och kallar den lcalla om vi använder Microsofts grupphanteringsmetod). I denna grupp blir alla anställdas användarkonton medlemmar. Många grupper få användare i varje grupp Om vi accepterar att arbeta med behörigheter till flera grupper avseende en resurs har vi bättre möjlighet att dela in användarkonton i naturliga, för organisationen, användargrupper. I stället för att, som ovan, göra en grupp av alla de anställdas användarkonton gör vi användargrupper utgående från företagets organisation: Avdelning Ekonomiavd Säljavd Supportavd Ledning Marknadsavd Utvecklingsavd Lager Personalavd Tillverkning Gruppnamn gcekonomiavd gcsäljavd gcsupportavd gcledning gcmarknadsavd gcutvecklingsavd gclager gcpersonalavd gctillverkning 859

46 23 Användargrupper: lokala, globala och specialgrupper Inköp Spedition och export gcinköp gcspeditionexport Dessa globala grupper används sedan i behörighetslistor för att tilldelas lokal behörighet och delningsbehörighet. I Microsofts grupphanteringsmodell gör vi i stället dessa grupper till medlemmar av lokala grupper för att den vägen ge dem tillgång till resurser. Grupphantering i Windows NT Server 5.0 När de första uppgifterna om Windows NT 5.0 började sippra ut innehöll de en glad nyhet: de lokala grupperna skulle försvinna. Jag har alltid tyckt att det är för många grupper i Windows NT så denna nyhet tilltalade mig (LAN Manager, på sin tid, hade inga lokala grupper). Vartefter jag hörde mer om detta sjönk min tillfredsställelse: det visade sig att Microsoft tänkt sig att när en primär domänkontrollant med Windows NT Server 4.0 uppgraderas till Windows NT 5.0 skulle alla befintliga lokala grupper tas bort. Detta innebar att alla som följt Microsofts grupphanteringsmodell skulle bli rejält satta på pottan. Under TechEd '98 i New Orleans kom nästa överraskning: de lokala grupperna skulle inte tas bort, Microsoft hade inte minskat antalet grupptyper och gruppvarianter utan ökat på dem (jag behåller de engelska namnen): q Global Domain Groups q Local Domain Groups q Universal Groups q Special Groups q Distribution List-Only Groups Det är inte alldeles klart vilka egenskaper och uppgifter dessa grupper har, men detta verkar klart: Global Domain Groups Motsvarar de globala grupper som finns idag, med ett mycket viktigt undantag: dessa grupper kan fritt göras till medlemmar av varandra. Vi kan alltså återskapa vårt organisationsschema med Global Domain Groups. 860

47 Security Identifier, SID och Relative Identifier, RID Local Domain Groups Detta är troligen dagens lokala grupper, möjligen endast dagens kontrollantlokala grupper. Universal Groups Universella grupper är sådana som publiceras i den globala katalogen, GC. Special Groups Dessa verkar vara dagens specialgrupper utan ändringar (jag får alltså tillfälle att ondgöra mig över Alla/ /Everyone även i Windows NT 5.0). Distribution List-Only Groups Grupper som endast används för att skicka elpost (Universal Groups som publiceras i den globala katalogen, GC) Det är för tidigt att dra några långtgående slutsatser, vi får minst vänta in beta 2 av Windows NT 5.0. Låt oss dock glädjas åt att de nya globala grupperna blir sådana att de fritt kan göras till medlemmar av varandra. Centralt i Windows NT 5.0 och dess Active Directory Services (katalogtjänsten, med samma uppgift som Novell Directory Services, NDS) finner vi den globala katalogen (Global Catalogue, GC). Den globala katalogen är den sökbara delen av katalogtjänsten, administratörer bestämmer vad som skall finnas (publiceras) i den globala katalogen. Vi kommer alltså få (verkar det som) möjlighet att endast publicera de grupper vi själva önskar (stor förbättring). Windows NT 5.0 kommer mycket enkelt att kunna fungera i en blandad miljö med både Windows NT 3 och Windows NT 4.0 du kan dock inte utnyttja några av de nya funktionerna i Windows NT 5.0 så länge den finns i en blandad miljö. Security Identifier, SID och Relative Identifier, RID Vad gäller användarkonton, datorkonton och grupper av alla slag har de ett gemensamt de har alla varsin Security Identifier, SID. (Läs mer om SID i kapitel 5 och 14.) Global grupp SID RID (hexadecimalt) Domänadministratörer/- S n1-n2-n x200 /Domain Admins 861

48 23 Användargrupper: lokala, globala och specialgrupper Domänanvändare/- S n1-n2-n x201 /Domain Users Domängäster/- S n1-n2-n x202 /Domain Guests Lokal grupp SID RID (hexadecimalt) Administratörer/- S x220 /Administrators Användare//Users S x221 Gäster//Guests S x222 Privilegierade användare/- S x223 /Power Users Kontoansvariga/- S x224 /Account Operators Serveransvariga/- S x225 /Server Operators Skrivaransvariga/- S x226 /Print Operators Ansvariga för säkerhets- S x227 kopiering//backup Operators Ansvariga för duplicering/- S x228 /Replicator Specialgrupp Alla//Everyone Skapare ägare//creator Owner Nätverk//Network Interaktiv//Interactive Verifierade användare//authenticated Users System//System SID S S S S S S Du finner en del information om SID i TechNet, men jag måste 862

49 Specialgrupper som inte syns, men finns ändå varna för artikel Q Artikeln skrevs någon gång under 1997, och innehöll då ett antal felaktiga SID. Först den 8:e april 1998 ändrade Microsoft så att de i artikeln uppgivna SID:arna stämmer med tabellen ovan. (Jag har låtit ett mig närstående Visual Basic-program kontrollera att mina uppgifter stämmer.) Specialgrupper som inte syns, men finns ändå Det finns ett antal specialgrupper som aldrig syns, men finns ändå. Jag tror inte att de kan användas av datorbusar och vet inte själv vad de används (eller är tänkta att användas) till. De syns först när du skriver egna program för att undersöka Windows NT-datorers kontodatabaser. I samband med specialgrupper skiljer Windows NT mellan sina egna och universella. De vars SID börjar med S-1-5 anser Windows NT vara sina egna specialgrupper. Gruppnamnen för dessa grupper inleds nästan alltid med NT Authority som ägarnamn. Specialgrupp Null Local Creator Group Creator Owner Server Creator Group Server NT Authority\Dialup NT Authority\Batch NT Authority\Service NT Authority\Anonymous Logon NT Authority\Server Logon Builtin\Builtin SID S S S S S S S S S S S Det finns information om några av dem i Microsoft Developer Network, MSDN, inte alla: 863

50 23 Användargrupper: lokala, globala och specialgrupper Creator Group Enligt MSDN kan denna SID användas i stället för Skapare ägare//creator Owner (S-1-3-0) för att låta användarens primära grupp (en global grupp) bli ägare av nya objekt (såsom mappar och filer på NTFS). Den är tillgänglig för den som skriver Windows NT-program, inte annars. NT Authority\Dialup De användare som ansluter via uppringd förbindelse. NT Authority\Batch Det finns fyra inloggningstyper, interaktiv, över nätverket, som kommandofil och som en tjänst. Detta är en av dem. NT Authority\Service Det finns fyra inloggningstyper, interaktiv, över nätverket, som kommandofil och som en tjänst. Detta är en av dem. NT Authority\Anonymous Logon Detta är den SID som används vid anonym inloggning till Windows NT. Anonym inloggning används ex. när en användare studerar utdelade resurser på en server, innan hon ansluter till en av dem. NT Authority\Server Logon Kan vara den som används när två Windows NT-datorer upprättar en secure channel mellan sig. NT Authority är en egen kontodatabas som finns inne i alla kontodatabaser Den NT Authority som säger sig äga några av de dolda specialgrupperna ovan är närmast att betrakta som en kontodatabas vilken Microsoft bygger in i alla Windows NT-datorer. Eftersom alla dess grupper och konton har samma SID (eftersom alla olika NT Authority bara är kopior av den ur-nt Authority som Microsoft har där borta i Redmond) så är de olika kopiorna av konton och grupper att betrakta som samma. D.v.s. gruppen/kontot Batch i en Windows NT-dator är samma som gruppen/konto Batch i alla andra Windows NT-datorer. NT Authority äger faktiskt samtliga konton och grupper vars SID börjar på S-1-5 (utom de som börjar på S ). Den kompletta listan över alla konton och grupper som ägs av NT Authority ser ut så här. NT Authority\Dialup S

51 Specialgrupper som inte syns, men finns ändå NT Authority\Nätverk//Network NT Authority\Batch NT Authority\Interaktiv//Interactive NT Authority\Logon NT Authority\Service NT Authority\Anonymous Logon NT Authority\Server Logon NT Authority\Verifierade användare/- /Authenticated Users NT Authority\System//System S S S S S S S S S Builtin är också en egen kontodatabas som finns i alla Windows NT-datorer Om du jämför SID:en för Builtin\Builtin (S ) med SID:arna för de inbyggda lokala grupperna ser du en slående likehet i början av de lokala grupperna SID. Det visar sig att alla inbyggda lokala grupper faktiskt tillhör den inbyggda kontodatabasen Builtin. (Du kan se Builtin i Registret//Registry. Se kapitel 9 om du vill veta mer om det.) Vid inloggning används ytterligare en specialgrupp: Logon Windows NT hanterar inte endast behörighet till mappar, filer och skrivare utan även saker som det skrivbord (Windowstation) som alla inloggade användare tilldelas. För att säkert kunna hantera olika Windowstation på samma dator (Windows NT är förberett för att klara det) uppfann Microsoft en särskild inloggnings-sid. Denna inloggnings-sid görs ny för varje inloggad användare och ny för varje inloggning. Den första delen av inloggnings- SID:en är fast: S När en användare loggar in får hon en inloggnings-sid som ser ut som: S n1-n2. (Jag ser nästan alltid en nolla som första heltal: S n2.) Inloggnings-SID:en är den som används i Loggboken//Event Viewer om du granskar in- och utloggning, som enda SID. Jag skulle gärna se att Microsoft lät skriva dit även användarkontots egen SID. 865

52 23 Användargrupper: lokala, globala och specialgrupper Ingen//None: en global grupp på Windows NT Workstation Det finns en global grupp på alla Windows NT Workstation (och alla Windows NT Server som inte är domänkontrollanter). Jag upptäckte den själv av en slump, men det har funnits information i KnowledgeBase (TechNet) om den. Du ser den aldrig i något inbyggt verktyg, men AddUsers från Resource Kit hittar den alltid (åtminstone tidiga versioner av AddUsers). Vid inloggning görs användare till medlemmar av Ingen//None (enligt den borttagna artikeln i KnowledgeBase), men jag vet inte vilket syfte den har. Det som förvånar mig mest är att den försöker vara så lik domänens globala grupp Domänanvändare//Domain Users. Dess namn är visserligen Inget//None, men den kommentar som är sparad tillsammans med namnet säger: Vanliga användare//ordinary Users. Det är samma kommentar som för Domänanvändare//Domain Users. Gruppens SID innehåller grund-sid:en för den aktuella Windows NT Workstation (eller Windows NT Server i arbetsgrupp eller som fristående server i domän) samt RID = 513. Nu blev det än mer intressant. RID = 513 är samma som Domänanvändare/ /Domain Users. Det skulle vara roligt att veta hur den har gruppen är tänkt, Microsoft. Ett vet jag: denna grupp har ingen praktisk användning så du kan lugnt glömma bort den i ditt dagliga värv. Hjälpfrågor 1. Vilken är den enda (lokala) användargrupp som endast finns i Windows NT Workstation och Windows NT Server installerad som ren server? 2. Ange två lokala grupper som finns i både Windows NT Workstation och Windows NT Server? 3. Nämn en befintlig grupp som ger möjlighet att administrera skrivare? 866

53 Hjälpfrågor 4. Vad kan du göra till medlem av global grupp? 5. Vad kan du lägga i en lokal grupp? 6. Vad används lokala grupper till? 7. Vad används globala grupper till? 8. Varför är gruppen Nätverk//Network farlig? 9. Vilket är det övergripande syftet med grupper och slikt? 10.Nämn ett grundläggande problem med grupper i Windows NT före Windows NT 5.0 och Active Directory? 11.Vilka olika grupptyper finner du i en Windows NT-domän? 12.Hur många grupptyper står att finna i en datorarbetsgrupp baserad på Windows NT? 13.Kan man upprätta egna specialgrupper? 14.Hur många egna grupper kan man upprätta? 15.Vad är Security Identifier, SID? 16.När det gäller specialgrupperna finns det enligt författaren goda och dåliga, hur ser den listan ut? 17.Specialgrupperna och de inbyggda lokala grupperna har fasta och oföränderliga SID:ar, vad innebär det? 867

54 23 Användargrupper: lokala, globala och specialgrupper Förslag till svar på frågor 1. Vilken är den enda (lokala) användargrupp som endast finns i Windows NT Workstation och Windows NT Server installerad som ren server? Den lokala gruppen Privilegierade användare//power Users finns endast i de Windows NT-datorer som är icke-domänkontrollanter, d.v.s. alla Windows NT Workstation och de Windows NT Server som är installerade som fristående server (i Windows NT-domän eller Windows NT Server i en arbetsgrupp. 2. Ange två lokala grupper som finns i både Windows NT Workstation och Windows NT Server? De lokala grupperna Administratörer//Administrators, Ansvariga för duplicering//replicator, Ansvariga för säkerhetskopiering//backup Operators, Användare//Users och Gäster//Guests finns i både Workstation & Server. 3. Nämn en befintlig grupp som ger möjlighet att administrera skrivare? Gruppen Skrivaransvariga//Print Operators åtnjuter privilegiet att hantera de domänens skrivare som finns på domänkontrollanterna. Det är endast på domänkontrollanterna som gruppen Skrivaransvariga//Print Operators finns. På icke-domänkontrollanter kan gruppen Privilegierade användare//power Users användas. 4. Vad kan du göra till medlem av global grupp? Det enda som kan göras till medlem i en domäns globala grupper är användarkonton från den egna domänen. 5. Vad kan du lägga i en lokal grupp? Så länge vi rör oss inom en domän bör man endast göra 868

55 Förslag till svar på frågor globala grupper från den egna eller kopplad domän till medlemmar i en lokal grupp. Vi kan även göra lokala användarkonton, domänkonton från den egna och kopplade domäner till medlemmar av lokala grupper på en Windows NT-dator. I den rekommenderade metoden för grupphantering använder vi lokala grupper för administration. Behörighet tilldelas endast globala grupper. 6. Vad används lokala grupper till? I Microsofts grupphanteringsmetod är det alltid lokala grupper som tilldelas användarrättigheter//user Rights samt åsätts lokal behörighet och delningsbehörighet//local and Share Permissions. I den rekommenderade metoden för grupphantering använder vi lokala grupper för administration. Behörighet tilldelas endast globala grupper. 7. Vad används globala grupper till? I Microsofts grupphanteringsmetod är globala gruppers enda funktion att vara behållare för domänkonton från den egna domänen. I den rekommenderade grupphanteringsmetoden använder vi globala grupper för att tilldela dem användarrättigheter och åsätta behörigheter. 8. Varför är gruppen Nätverk//Network farlig? Gruppen Nätverk//Network är farlig därför att den omfattar alla dem som har någon form av nätverkskontakt med vår dator. Denna kontakt kan vara i samma nätverk, från ett annat LAN i samma WAN eller från Internet om det finns en sådan koppling. Det spelar ingen roll vilket operativsystem användaren har och inte heller om deras inloggning validerats. Det riktigt farliga med Nätverk//Network är det sätt som Microsoft använder Alla//Everyone, i vilken Nätverk//Network ingår. 9. Vilket är det övergripande syftet med grupper och slikt? Det övergripande syftet med grupper är att styra användares tillgång till resurser. Grupper gör det enklare för administratörer. 869

56 23 Användargrupper: lokala, globala och specialgrupper 10.Nämn ett grundläggande problem med grupper i Windows NT före Windows NT 5.0 och Active Directory? Grupper i Windows NT 4.0 och tidigare kan inte göras till medlemmar av grupper på sådant sätt att man kan låta dem härma den organisation i divisioner och grupper som finns i företag och andra organisationer de är inte hierarkiska. 11.Vilka olika grupptyper finner du i en Windows NT-domän? I en Windows NT-domän finns det tre olika grupptyper: q q q Globala grupper Lokala grupper Specialgrupper 12.Hur många grupptyper står att finna i en datorarbetsgrupp baserad på Windows NT? I en datorarbetsgrupp baserad på Windows NT finns det två olika grupptyper: q q Lokala grupper Specialgrupper Detta är samma typ av grupper som även finns i Windows NT-domäner, faktum är att specialgrupperna är identiskt lika med dem som finns i Windows NT-domäner. 13.Kan man upprätta egna specialgrupper? Det går inte att upprätta egna specialgrupper, endast Microsoft kan göra nya sådana. Ett exempel på en ny specialgrupp är Verifierade användare//authenticated Users som kom i Service Pack 3 för Windows NT Hur många egna grupper kan man upprätta? Den övre gränsen för summan av användarkonton, datorkonton, lokala grupper och globala grupper är fyra miljarder stycken (eg ). 15. Vad är Security Identifier, SID? Vad gäller användarkonton, datorkonton och grupper av alla slag har de ett gemensamt de har alla varsin Security Identifier. En SID i Windows NT består av tre eller fyra delar: 870

57 Förslag till svar på frågor q q q q Versionsnummer för SID (SID i Windows NT 4.0 har versionsnummer 1 och det kommer att gälla även i Windows NT 5.0) Märkningsdel (talar om vilken del av Windows NT som upprättat konton/gruppen) En unik del (tre 32-bitars heltal som aldrig skall upprepas) (finns om kontot är ett användarkonto, en global grupp eller en ny lokal grupp) Relative Identifier (32-bitars heltal, RID är ett löpnummer som börjar på 1000 och räknas upp till drygt fyra miljarder ( (2 32 )) 16.När det gäller specialgrupperna finns det enligt författaren goda och dåliga, hur ser den listan ut? Goda specialgrupper: q q Skapare ägare//creator Owner Verifierade användare//authenticated Users (förmodligen) Dåliga specialgrupper: q q Alla//Everyone (värst, alla kategorier) Nätverk//Network Mindre lyckade specialgrupper: q System//System 17. Specialgrupperna och de inbyggda lokala grupperna har fasta och oföränderliga SID:ar, vad innebär det? En effekt av att specialgrupperna och de inbyggda lokala grupperna har fasta SID:ar är att det i praktiken finns en enda uppsättning av dem. Det vill säga, en Windows NT-dator kan inte avgöra om en specialgrupp hör till den egna domänen, en annan domän eller kanske en datorarbetsgrupp. Likaså är det tack vare detta som man enkelt flyttar en disk med NTFS mellan två Windows NT-datorer i en domän och i en datorarbetsgrupp: eftersom det är samma Administratörer/ /Administrators och att dessa alltid kan ta över ägandeskap av mappar och filer på NTFS-volymer spelar det ingen roll hur behörighetlistorna för volymen ser ut, medlemmar av 871

58 23 Användargrupper: lokala, globala och specialgrupper gruppen Administratörer//Administrators skaffar sig enkelt tillgång till innehållet på disken. 872