24 Användarrättigheter//User Rights Vad är användarrättigheter//user rights Användarrättigheter är grundläggande privilegier, såsom rättigheten att sitta ned framför och logga in på en viss Windows NT-dator och även rättigheten att över huvudtaget komma åt en Windows NT-dator via nätverket. Windows NT är det en enda operativsystem från Microsoft som har användarrättigheter//user rights. Det är inte helt ovanligt att administratörer har svårt att ta till sig detta med användar rättigheter det finns också risk för sammanblandning med behörigheter. Ur säkerhetssynvinkel är det mycket viktigt att du vet vad användarrättigheter är och hur Microsoft har givit olika grupper olika användarrättigheter vid installation. Det kanske viktigaste är att du vet mer om de inbyggda användarrättigheter som en del grupper tilldelats av Microsoft och hur du kan utnyttja dem. Hur används användarrättigheter I Microsofts grupphanteringsmodell är det alltid lokala grupper som tilldelas användarrättigheter. De lokala grupperna är samma lokala grupper som alltid: Administratörer//Administrators, Användare//Users, m.fl., samt de lokala grupper ni själva upprättar. I den rekommenderade grupphanteringsmodellen kan även globala grupper tilldelas användarrättigheter. Verktyg för att hantera användarrättigheter Du har redan gissat att det är Kontohanteraren//User Manager eller Kontohanteraren för domäner//user Manager for Domains vi använder för att hantera användarrättigheter. 873
24 Användarrättigheter//User Rights Användarrättigheterna når du i menyvalet Principer.Rättigheter//Policies.User Rights. Menyvalet Principer.Rättigheter//Policies.User Rights för att hantera användarrättigheter. Tyvärr har Microsoft valt att vända på tillvaron för oss vad gäller användarrättigheter. När vi arbetar med dem i Kontohanteraren//User Manager eller Kontohanteraren för domäner//user Manager for Domains måste vi studera och ändra en rättighet i taget. Vi kan inte direkt se alla rättigheter en grupp tilldelats, vi kan endast se vilka grupper som tilldelats en viss rättighet (vilket jag tycker känns omvänt). För att förstå hur det är gjort föreslår jag att du ägnar några minuter åt listan Rättighet//Right. Byt mellan de olika användarrättigheterna och studera vilka lokala grupper som tilldelats vilka användarrättigheter. Listan Rättighet//Right visar vilka grupper som tilldelats en viss användarrättighet. Notera att datorn ovan ändrats sedan installation. Märk att listan över grupper inte uppdateras förrän du stänger kombilistan Rättighet//Right. 874
Inställningar för användarrättigheter gäller per kontodatabas Inställningar för användarrättigheter gäller per kontodatabas Inställningar av användarrättigheter sparas i kontodatabasen på samma ställe som konton och grupper. Av detta följer att inställningen för användarrättigheter gäller för alla Windows NT-datorer som delar på samma kontodatabas. Med andra ord: q Alla domänkontrollanter (den primära domänkontrollanten och de reservdomänkontrollanter som finns) har alltid samma inställning för användarrättigheter. Ändringar görs i kontodatabasen på den primära domänkontrollanten för att sedan kopieras till alla reservdomänkontrollanter. q Alla icke-domänkontrollanter (alla Windows NT Workstation och alla Windows NT Server som är installerade som ren server/medlemsserver) har en egen, privat, inställning av användarrättigheter som endast gäller på den enskilda datorn för lokala konton. Vid inloggning till domänen med domänkonton gäller alltid domänkontrollanternas inställning, oavsett från vilken dator användaren loggar in inställningen följer kontot, inte datorn. Planera vilka grupper som skall ha vissa användarrättigheter Sin långa vana trogen har Microsoft sett till att det är lätt att använda och komma åt Windows NT-datorer. När jag säger lätt menar jag lätt för vem som helst. Microsoft har ju till och med uppfunnit en speciell grupp som betyder vem som helst: gruppen Alla//Everyone. I mitt tycke har denna grupp inget som helst berättigande i en Windows NT-domän. Det verkar som om Microsoft har kommit på delvis andra tankar också, Service Pack 3 installerar en ny grupp som kallas Verifierade användare/ /Authenticated Users. Denna grupp utgörs av alla dem som loggat in till den egna domänen eller domäner till vilken vår domän har domänkoppling. Studera listan över användarrättigheter noga och jämför med era planer för domänsäkerhet. I mina Windows NT-domäner ser jag alltid till att ta bort gruppen Alla//Everyone från alla användarrättigheter (i stället för Alla//Everyone använder jag Domänanvändare//Domain Users, vilka ju är mina egna användare). 875
24 Användarrättigheter//User Rights Det finns fyra typer av användarrättigheter//user rights På Windows NT-datorer finns det fyra typer av användarrättigheter, något som ställer till en viss förvirring: q Grundläggande användarrättigheter q Avancerade användarrättigheter q Användarrättigheter från Local Security Authority (LSA) q Osynliga (indirekta) användarrättigheter Det finns fyra typer av användarrättigheter//user rights, men Det finns fyra typer av användarrättigheter (vilket jag strax skall visa) men Microsoft har valt att presentera tre av dem i samma lista och har helt struntat i att behandla den fjärde. I Kontohanteraren//User Manager eller Kontohanteraren för domäner//user Manager for Domains kan du studera grundläggande, avancerade och LSA-rättigheter. Grundläggande användarrättigheter q Avsluta Windows NT//Shut down the system Behövs för att kunna välja Start.Avsluta.Avsluta//Start.Shut Down.Shut Down eller Start.Avsluta.Starta om//start.shut Down/Restart q Bli ägare till filer och andra objekt//take ownership of files and other objects Ger möjlighet att ta över ägandeskap av mappar och filer på NTFS. q Fjärravsluta Windows NT//Force shutdown from a remote system Behövs för kunna använda programmet ShutGUI eller Shutdown.Exe från Windows NT Resource Kit. q Hantera gransknings- och säkerhetslogg//manage auditing and security log Behövs för att kunna använda Loggboken//Event Viewer. q Lokal inloggning//log on locally Rättighet att gå fram till datorn och använda dess tangentbord för att logga in (se nedan om LSA-rättigheter). 876
Avancerade användarrättigheter q Läsa in/ta bort drivrutiner//load and unload device drivers Behövs för att kunna lägga till utrustning och drivrutiner till dessa, installera nya skrivare och annat. q Säkerhetskopiera filer och kataloger [mappar]//back up files and directories [folders] Behövs för att kunna säkerhetskopiera filer. q Återställa filer och kataloger [mappar]//restore files and directories [folders] Behövs för att kunna återställa filer från en säkerhetskopia. q Åtkomst till den här datorn från nätverket//access this computer from network Rättigheten att ens få hälsa på datorn via nätet (se nedan om LSA-rättigheter). q Ändra systemtid//hange the system time Behövs för att ändra datum och tid på datorn. Avancerade användarrättigheter De avancerade användarrättigheterna är till för dem som utvecklar program för Windows NT, med ett par undantag. Användarrättigheten Kringgå bläddringskontroll//bypass traverse checking medger att en användare kan stega upp och ned i ett mappträd även om hon inte har behörighet att lista innehållet i mappar på vägen. Rättigheten Logga in som en tjänst//log on as a service (denna är dock en LSA-rättighet) ger ett användarkonto möjlighet att låta sig användas av en tjänst//service för att sköta en del åligganden (ex. tjänsten Katalogduplicering [Mappduplicering]//Directory [Folder] Replication använder ofta ett användarkonto med denna användarrättighet). q Agera som en del av operativsystemet//act as part of the operating system q Ersätta token för process//replace a process level token q Felsöka program//debug programs q Hantera granskning//generate security audits q Kringgå bläddringskontroll//bypass traverse checking Medger att en användare kan stega upp och ned i ett mappträd även om hon inte har behörighet att lista innehållet i mappar 877
24 Användarrättigheter//User Rights på vägen. q Logga in som batch-jobb//log on as a batch job (se nedan om LSA-rättigheter) q Logga in som en tjänst//log on as a service (se nedan om LSA-rättigheter) q Låsa sidor i minnet//lock pages in memory q Lägg till arbetsstationer till domän//add workstations to domain q Skapa permanent delade objekt//reate permanent shared objects q Skapa token-objekt//reate a token object q Skapa växlingsfil//reate a pagefile q Studera enstaka processer//profile single process q Studera systemprestanda//profile system performance q Ändra inställningar för maskinvarumiljö//modify firmware environment values q Ändra prioriteter för trådar//increase scheduling priority q Öka kvoter//increase quotas De kvoter som avses är bl.a. diskkvoter, alltså hur mycket utrymme på disk som får användas. Användarrättigheten har ingen funktion i Windows NT 4.0, men alla förväntar sig att den skall få det i Windows NT 5.0. Användarrättigheter från Local Security Authority, LSA Användarrättigheterna från LSA är speciella, så speciella att Microsoft inte ens berättar att det är något som skiljer dem från de grundläggande användarrättigheterna. Man kan dock se spår av detta om man använder en amerikansk Windows NT med inställningar för Sverige: LSA-rättigheterna listas alltid på engelska. (Intressant nog gäller även omvändningen: en svensk Windows NT med inställningar för ett annat land än Sverige kommer alltid att visa dessa fyra användarrättigheter på svenska.) Jag vet inte vad som exakt gör dessa rättigheter annorlunda, 878
Användarrättigheter från Local Security Authority, LSA men jag vet att de exempelvis inte syns i den Access Token (nyckelkortet) som upprättas när man loggar in. q Lokal inloggning//log on locally Rättighet att gå fram till datorn och använda dess tangentbord för att logga in. q Åtkomst till den här datorn från nätverket//access this computer from network Rättigheten att ens få hälsa på datorn via nätet. En användare som vill komma åt en utdelad resurs på en Windows NT-dator måste tillhöra en grupp som har denna användarrättighet innan hon kan nå själva resursen (denna användarrättighet har större tyngd än behörighet). q Logga in som batch-jobb//log on as a batch job Rättighet att logga in som en kommandofil. q Logga in som en tjänst//log on as a service Rättighet att logga in som en tjänst//service. Denna behövs för alla konton som används av tjänster//services i Windows NT. Faktum är att dessa fyra användarrättigheter direkt avspeglar de fyra olika inloggningssätt som finns i Windows NT:s APIanrop LogonUser. Dessa olika sätt att kunna logga in återkommer i Loggboken//Event Viewer om vi granskar in- och utloggning (se kapitel 15). Samtliga fyra handlar om inloggning Alla fyra användarrättigheter från LSA handlar om inloggning. Man skulle kunna tro att Åtkomst till den här datorn från nätverket inte är en inloggningsrättighet, men det är den. Varje gång en användare försöker använda en resurs på en Windows NT-dator sker det en inloggning på den Windows NT-datorn. Jag brukar alltid föreställa mig att det sker en dold inloggning och att servern visar fram denna dialogruta: 879
24 Användarrättigheter//User Rights Tänkt inloggningsdialog vid åtkomst av Windows NT-dator via nätverket (från en annan Windows NT-dator). Om Gäster//Guests inte har Lokal inloggning//log on locally Om Gäster//Guests inte har användarrättigheten Lokal inloggning//log on locally uppträder något ganska (o)lustigt när man kopplar sig till den datorn om man uppger ett användarnamn som inte finns får man meddelandet: User has not been granted the requested logon type. Detta beror på att Windows NT alltid uppfattar okända konton som om det vore kontot Gäst//Guest (ett ganska farligt beteende, minst sagt). Dolda (indirekta) användarrättigheter Vissa saker i Windows NT styrs tyvärr inte av direkta och uttryckliga användarrättigheter. Ex. är rättigheten att dela ut resurser för användning via nätverket en osynlig (indirekt) användarrättighet som medlemmar av gruppen Administrators//Administratörer och några andra åtnjuter. Microsoft har en lista över de indirekta användarrättigheterna på sidan 71 f i den engelska bruksanvisningen för Windows NT 4.0 oncepts and Planning (en del av dokumentationspaketet). Samma information finner du på sidan 77 f i den svenska bruksanvisningen Begrepp och planering. För din bekvämlighet återger jag dessa uppgifter här: 880
Dolda (indirekta) användarrättigheter Domänkontrollanter Dold användarrättighet AO Ad BO Ev G PU R PO SO U Lägga till Windows NTdator till domän Upprätta och hantera domänkonto (användarkonto) Upprätta och hantera globala grupper Upprätta och hantera lokala grupper Tilldela och ta bort användarrättigheter Hantera granskning av systemhändelser Låsa datorn Öppna/avbryta låsning av dator Formatera datorns hårddiskar Upprätta allmänna programgrupper Dela ut och avbryta delning av mappar Dela ut och avbryta delning av skrivare AO: Kontoansvariga//Account Operators Ad: Administratörer//Administrators BO: Ansvariga för säkerhetskopering//backup Operators Ev: Alla//Everyone G: Gäster//Guests PU: Privilegierade användare//power Users 881
24 Användarrättigheter//User Rights PO: Skrivaransvariga//Print Operators R: Ansvariga för duplicering//replicator SO: Serveransvariga//Server Operators U: Användare//Users Icke-domänkontrollanter På icke-domänkontrollanter (alla Windows NT Workstation och de Windows NT Server som är installerade som ren server/medlemsserver i en Windows NT-domän) tillkommer gruppen Privilegierade användare//power Users och de olika operatörsgrupperna (utom Ansvariga för säkerhetskopiering//backup Operators) faller bort. Dold användarrättighet AO Ad BO Ev G PU R PO SO U Lägga till Windows NT-dator till domän Upprätta och hantera domänkonto (användarkonto) Upprätta och hantera globala grupper Upprätta och hantera lokala grupper Tilldela och ta bort användarrättigheter Hantera granskning av systemhändelser Låsa datorn Öppna/avbryta låsning av dator Formatera datorns hårddiskar Upprätta allmänna programgrupper 882
Användarrättigheter man skall se upp med Dold användarrättighet AO Ad BO Ev G PU R PO SO U Dela ut och avbryta delning av mappar Dela ut och avbryta delning av skrivare Användarrättigheter man skall se upp med Det finns några användarrättigheter som är farligare än de flesta andra: q Säkerhetskopiera filer och kataloger//backup files and directories q Återställa filer och kataloger//restore files and directories q Åtkomst till den här datorn från nätverket//access this computer from network Säkerhetskopiera filer och kataloger//backup files and directories Rättigheten att säkerhetskopiera filer fungerar så att det inte spelar någon som helst roll hur behörigheter till filerna är utdelade alla filer kan säkerhetskopieras ändå. Detta innebär att den som via gruppmedlemskap har tilldelats denna rättighet kan ta med sig alla filer från en server till en annan Windows NT-dator och återställa dem där. Filerna kan vara ett företags lönelistor eller en organisations hemliga verksamhetsplan något man förmodligen helst behåller för sig själv. Återställa filer och kataloger [mappar]//restore files and directories [folders] Anledningen till dess farlighet är att även den har större tyngd än behörigheter. Det är möjligt att lägga tillbaka gamla, nästa tomma, filer från en säkerhetskopia vilket skulle kunna innebära att mycket jobb försvinner och, förmodligen, orsaka en del upprördhet. Jag föreslår att denna rättighet inte delas ut till någon utanför administratörsgruppen, kanske bör en enda person ha den (betänk dock semestrar och vård av sjukt barn, o.dyl.). 883
24 Användarrättigheter//User Rights Åtkomst till den här datorn från nätverket//access this computer from network Användarrättigheten att nå en Windows NT-dator via nätverket verkar harmlös, men om du använder Windows NT 4.0 utan att ha lagt på Service Pack 3 innebär denna användarrättighet att vem som helst kommer åt Registret//Registry på alla Windows NT-datorer (både Workstation och Server). Användarrättigheter och den hemska gruppen Alla//Everyone Microsoft gör det ibland enkelt för sig och tilldelar den hemska gruppen Alla//Everyone användarrättigheter. Så är ex. användarrättigheten att komma åt en dator via nätverket utdelad till Alla//Everyone. Jag hävdar att så skall det inte vara. Byt gärna ut Alla//Everyone mot de grupper som verkligen behöver komma åt datorerna, Domänanvändare//Domain Users (kanske Användare//Users) och, i några fall, Domänadministratörer//Domain Admins (eller Administratörer//Administrators). På Windows NT Workstation har Alla//Everyone rättighet att logga in lokalt och att avsluta Windows NT. För att verkligen kunna logga in måste man ha ett användarkonto på datorn, i den egna domänen eller i en domän till vilken den egna domänen har en domänkoppling. Användarrättigheter och sammankopplade domäner När man hanterar sammankopplade domäner finns det en viktig skillnad mellan att låta Alla//Everyone eller Domänanvändare/ /Domain Users (Användare//Users) åtnjuta användarrättigheter. Om du låter användarrättigheterna Åtkomst till den här datorn från nätverket//access this computer from network och Lokal inloggning//log on locally båda vara tilldelade Alla//Everyone kommer användare från den domän till vilken du kopplar din domän att kunna logga in på Windows NT-datorer i din Windows NT-domän. Likaså har de möjlighet till åtkomst av dina Windows NT-datorer via nätverket. Resurser i din domän utdelade till Alla//Everyone kommer likaså den andra domänens användare åt utan ytterligare åtgärder. Skulle du i stället välja att tilldela användarrättigheter till den globala gruppen Domänanvändare//Domain Users eller alla lokala grupper med namnet Användare//Users kommer användare från domäner till vilka din domän har en domänkoppling inte 884
Det saknas användarrättigheter att automatiskt kunna använda dina Windows NT-datorer, vare sig för inloggning eller utdelade resurser. Du måste i detta fall antigen tilldela användarrättighet direkt till den domänens globala grupp Domänanvändare//Domain Users eller göra samma grupp till medlem av alla lokala grupper Användare//Users i din egen domän. Det saknas användarrättigheter För mycket i Windows NT styrs av gruppmedlemskap, det vore bättre om vi hade tillgång till fler användarrättigheter med fler nivåer. Jag skulle verkligen uppskatta möjligheten att kunna styra vilka som får upprätta nya användarkonton, ändra användarkonton (utom lösenordet), ändra lösenord, ändra av andra upprättade konton, av andra upprättade grupper, o.s.v. En dröm vore om det ginge att ordna så att man kunde ge ett konto möjlighet att ändra lösenord (och endast lösenord) för utvalda konton. Med denna möjlighet skulle vi kunna låta pålitliga personer ta ansvar för en grupps konton och kunde bistå med lösenordsbyte när ett lösenord glömts bort eller gått över tiden. Det löses kanske i nästa version Det verkar som om Microsoft till Windows NT 5.0 bestämt sig för att göra det möjligt att administrera ett Windows NT-nät på ett betydligt kraftfullare sätt än hittills. Om man får tro information som gavs redan under Microsoft TechEd i Nice juli 1997 kommer min dröm ovan att uppfyllas. Microsoft arbetar på att göra administrationen av Windows NT 5.0 så kraftfull och flexibel som möjligt. I framtiden kanske vi får särskilda administratörer för administration av administrationsverktygen. Den Windows NT 5.0-version som visades under TechEd i New Orleans 1998 innehöll (så vitt jag kunde se) samma användarrättigheter som Windows NT 4.0. Det skall bli intressant att se hur det utvecklas. Kanske kommer användarrättigheter att spela en annan roll i Windows NT 5.0. 885
24 Användarrättigheter//User Rights Varning för fel och missuppfattningar Om du tycker att det är något sammansatt och omfattande, detta med användarrättigheter, kanske du finner en viss tröst i att även Microsoft går fel ibland. På sidan 15 i Windows NT Workstation 4.0 Resource Kit redogörs för en metod att tillse att enskilda användare inte kan dela ut resurser på sina datorer. Den beskrivna metoden går ut på att ta bort rättigheten Skapa permanent delade objekt//reate Permanent Shared Object från alla grupper. Detta är helt galet, denna användarrättighet har ingenting med utdelning av mappar och skrivare att göra. Vid installation delas den dessutom inte ut till någon grupp, så vilken grupp skall man ta bort den från? Intressant att notera är att på sidan 180 i samma bok står det vad den verkligen skall användas till och även att ingen grupp är tilldelad denna användarrättighet (vid installation). Förslag till inställningar för användarrättigheter I dessa tider har säkerhetsfrågor fått stor uppmärksamhet något jag tycker är mycket bra. När man studerar vilka rättigheter som är åsatta vilka grupper ser man det gamla vanliga budskapet från Microsoft lätt att använda (men svårt att administrera). Så till exempel är det fritt fram för vem som helst att, via nätverket, pilla på en dator som är installerad med Windows NT Workstation eller Windows NT Server. Senare i detta kapitel finner du ett stort antal tabeller där jag undersökt vilka användarrättigheter som tilldelats användargrupper i olika installation av Windows NT 4.0. Tabellerna nedan är ett försök att tilldela användarrättigheter så att Windows NT-datorerna i domänen blir åtkomliga endast för administratörer och användare i den egna domänen. Användarrättigheter på domänkontrollanterna och andra Windows NT Server i domänen Domänkontrollanterna är din domäns viktigaste datorer ur säkerhetssynvinkel eftersom de innehåller domänens kontodatabas med de allsmäktiga medlemmarna i den globala gruppen Domänadministratörer//Domain Admins. Min åsikt är enkel det är endast den egna domänens användare och administratörer som har behov att komma åt 886
Förslag till inställningar för användarrättigheter domänkontrollanterna. De datorer som är installerade med Windows NT Server, men inte är domänkontrollanter kan oftast behandlas på samma sätt som domänkontrollanterna (då förutsätter jag att de endast används för att dela resurser, inte som arbetsplatser). Skulle du ha Windows NT Server som brukas av användare kan du använda den andra tabellen. I tabellen antas att du har ett stort nätverk i vilket det finns flera nivåer av administratörer, alltså medlemmar av de olika operatörsgrupperna. Tilldela endast privilegier för de grupper som verkligen används i ditt nätverk alltför omfattande privilegier är alltid en säkerhetsrisk. Skulle ert nätverk ha koppling till Internet (fast koppling eller via modem) kanske du väljer att inte låta gruppen Administratörer//Administrators och inte heller operatörsgrupperna komma åt Windows NT-datorer via nätverket (återstår endast gruppen Domänanvändare//Domain Users eller Användare//Users). Detta för att minska skadan när någon på Internet lyckas knäcka lösenordet till ett konto som är med i Domänadministratörer/ /Domain Admins eller i någon av operatörsgrupperna. När de vill administrera måste de följaktligen gå till domänkontrollanterna och slå sig ned där (under sommaren är det ganska skönt i datorhallen ). För att denna metod skall fungera måste du ta bort administratörernas konton från Domänanvändare//Domain Users eller göra en annan global grupp med endast användas konton som medlemmar och tilldela denna grupp rätt användarrättighet (i annat fall ges administratörernas konton denna användarrättighet genom medlemskapet i Domänanvändare//Domain Users). (Jag är medveten om att gruppen Privilegierade användare/ /Power Users inte finns på domänkontrollanter jag hoppas att tabellernas likhet hjälper förståelsen.) Grundläggande användarrättigheter Avsluta Windows NT Bli ägare till filer och andra objekt Fjärravsluta Win- 887
24 Användarrättigheter//User Rights dows NT Hantera gransknings- och säkerhetslogg Lokal inloggning Läsa in/ta bortdrivrutiner Säkerhetskopiera filer och kataloger [mappar] Återställa filer och kataloger [mappar] Åtkomst till den här datorn från nätverket Ändra systemtid Avancerade användarrättigheter Agera som en del av operativsystemet Ersätta token för process Felsöka program Hantera granskning Kringgå bläddrings- kontroll Logga in som batch-jobb Logga in som en tjänst Låsa sidor i minnet Lägg till arbetsstationer till domän Skapa permanent delade objekt 888
Förslag till inställningar för användarrättigheter Skapa token-objekt Skapa växlingsfil Studera enstaka processer Studera systemprestanda Ändra inställningar för maskinvarumiljö Ändra prioriteter för trådar Öka kvoter Användarrättigheter på användares Windows NT Workstation (och Windows NT Server) Grundläggande användarrättigheter Avsluta Winddows NT Bli ägare till filer och andra objekt Fjärravsluta Win- dows NT Hantera gransknings- och säkerhetslogg Lokal inloggning Läsa in/ta bort drivrutiner Säkerhetskopiera filer och kataloger [mappar] Återställa filer och kataloger [mappar] 889
24 Användarrättigheter//User Rights Åtkomst till den här datorn från nätverket Ändra systemtid Avancerade användarrättigheter Agera som en del av operativsystemet Ersätta token för process Felsöka program Hantera granskning Kringgå bläddrings- kontroll Logga in som batch-jobb Logga in som en tjänst Låsa sidor i minnet Lägg till arbetsstationer till domän Skapa permanent delade objekt Skapa token-objekt Skapa växlingsfil Studera enstaka processer Studera systemprestanda Ändra inställningar för maskinvarumiljö Ändra prioriteter för trådar Öka kvoter 890
Ett gott råd till den som tycker om att ha kontroll över sitt nätverk En liten varning om du ändrar från förvalda inställningar Om du väljer att ändra inställningarna för användarrättigheter måste du vara medveten om att detta kommer att öka din admini strationsbörda men förmodligen även säkerheten (du kommer att sova bättre, men inte lika länge). Ett gott råd till den som tycker om att ha kontroll över sitt nätverk När jag arbetade som nätverksadministratör i större skala än i dag försökte jag uppnå två saker det skulle vara lätt för användarna och jag ville veta vad som försiggick i datornätet. Om du delar denna strävan och är beredd att lägga ned något mer tid på att få ordning på ditt Windows NT-nät har jag ett gott råd angående användarrättigheter och behörigheter. Bakgrunden till mitt råd är att de lokala grupper som används för att åsätta behörighet är samma lokala grupper som används för att åsätta användarrättighet. Mitt råd: använd en uppsättning lokala grupper enbart för användarrättigheter och en annan uppsättning lokala grupper för behörigheter (om du använder Microsofts grupphanteringsmodell). Mer påtagligt är mitt råd att använda gruppen Användare//Users enbart för användarrättigheter och egna, av dig upprättade lokala grupper, för att åsätta lokal behörighet och delningsbehörighet. Låt Användare//Users bli ditt verktyg för att ge alla dina domänanvändare grundläggande privilegier på Windows NT-datorer i din domän. Använd sedan egna lokala grupper för att dela ut mappar och skrivare till användare (via gruppmedlemskap). Om du gör detta till regel kommer du att märka att det blir mycket lättare att hålla isär användarrättigheter och behörigheter. När en ny Windows NT-dator görs till medlem av din domän görs Domänanvändare//Domain Users från den primära domänkontrollanten till medlem av den lokala gruppen Användare//Users på Windows NT-datorn. Eftersom gruppen Användare//Users har som enda uppgift att ge användare grundläggande användarrättig heter behöver du inte vara rädd att domänanvändare ges tillgång till resurser på den nya domänmedlemmen. Den dag du kopplar samman din egen Windows NT-domän med en annan Windows NT-domän behöver du bara låta din globala grupp Domänanvändare//Domain Users bli medlem av Användare//Users på alla Windows NT-datorer i den domän 891
24 Användarrättigheter//User Rights som ha en domänkoppling till din för att dina användare skall ges användarrättighet till den andra domänens datorer. Åtkomst av resurser sker sedan via lokala grupper som upprättats av administratörerna i den andra domänen. Använder ni hellre globalgruppsmetoden så tilldelas vissa användarrättigheter till globala grupper (se kapitel 8 för mer information om globalgruppsmetoden). Användarrättigheter med oväntade beteenden När jag slår på Granskning//Auditing inträffar alltid samma sak: användarrättigheten Öka prioriteten för trådar//increase scheduling priority (SeIncreaseBasePriorityPrivilege) orsakar alltid ett fel som loggas i Loggboken//Event Viewer som: Event ID: 578 Source: Security Type: Failure Audit ategory: Privilege Use Privileged object operation: Object Server: Security Object Handle: 4294967295 Process ID: 2154302688 Primary User Name: SYSTEM Primary Domain: NT AUTHORITY Primary Logon ID: (0x0,0x3E7) lient User Name: ceciliac lient Domain: UTGARD lient Logon ID: (0x0,0x20F6) Privileges: SeIncreaseBasePriorityPrivilege Jag vet inte varför detta händer och jag har inte hittat något om detta beteende i TechNet jag kanske frågar Microsoft vid tillfälle. Något följdfel har jag aldrig kunnat spåra, jag hoppas att det inte finns slika. Användarrättigheter omedelbart efter installation Nedan finner du ett antal tabeller som jag sammanställt efter att ha undersökt vilka faktiska användarrättigheter som tilldelats olika grupper på olika Windows NT-datorer (Windows NT 892
Användarrättigheter omedelbart efter installation Workstation 4.0 och Windows NT Server 4.0 både i arbetsgrupp och i Windows NT-domän). Jag har valt att behålla Microsofts indelning i grundläggande och avancerade användarrättigheter. Windows NT Workstation i arbetsgrupp Grundläggande användarrättigheter Access this computer from network Back up files and directories hange the system time Force shutdown from a remote system Load and unload device drivers Log on locally Manage auditing and security log Restore files and directories Shut down the system Take ownership of files and other objects Avancerade användarrättigheter//advanced user rights Act as part of the operating system Add workstations to domain Bypass traverse checking 893