(0) exportieren Drucken
Alle erweitern

Übersicht über die Zugriffssteuerung und Autorisierung

Veröffentlicht: Mai 2012

Letzte Aktualisierung: Mai 2012

Betrifft: Windows 8, Windows Server 2012

Dieses Dokument enthält eine Übersicht über die erweiterten Autorisierungs- und Zugriffssteuerungstechnologien in Windows Server 2012 und Windows 8 sowie dazu, wie mit diesen Features die Netzwerksicherheit verbessert werden kann.

Meinten Sie…

In Windows Server 2012 und Windows 8 wird die Nutzung von System- und Netzwerkressourcen mithilfe der miteinander zusammenhängenden Mechanismen der Authentifizierung und Autorisierung gesteuert. Nach dem Authentifizieren eines Benutzers verwenden Windows Server 2012 und Windows 8 Autorisierungs- und Zugriffssteuerungstechnologien von Windows, um die zweite Phase des Ressourcenschutzes zu implementieren, d. h. es wird ermittelt, ob ein authentifizierter Benutzer über die entsprechenden Berechtigungen für den Zugriff auf eine Ressource verfügt.

Freigegebene Ressourcen stehen außer dem Besitzer der Ressource auch Benutzern und Gruppen zur Verfügung und müssen vor nicht autorisierter Nutzung geschützt werden. Beim Zugriffssteuerungsmodell in Windows Server 2012 und Windows 8 werden Benutzer und Gruppen (auch als Sicherheitsprinzipale bezeichnet) durch eindeutige Sicherheits-IDs (SIDs) dargestellt. Ihnen werden Rechte und Berechtigungen zugewiesen, mit denen dem Betriebssystem mitgeteilt wird, was die einzelnen Benutzer und Gruppen tun dürfen. Jede Ressource hat einen Besitzer, der den Sicherheitsprinzipalen Berechtigungen erteilt. Bei der Zugriffssteuerungsprüfung werden diese Berechtigungen überprüft, um zu ermitteln, welche Sicherheitsprinzipale wie auf die Ressource zugreifen dürfen.

Sicherheitsprinzipale führen Aktionen (wie Lesen, Schreiben, Ändern oder Vollzugriff) an Objekten aus. Zu den Objekten zählen Dateien, Ordner, Drucker, Registrierungsschlüssel und AD DS-Objekte (Active Directory-Domänendienste). Freigegebene Ressourcen weisen mithilfe von Zugriffssteuerungslisten (Access Control Lists, ACLs) Berechtigungen zu, die es Ressourcenmanagern ermöglichen, den Zugriff auf zwei Arten zu steuern:

  • Verweigern des Zugriffs auf nicht autorisierte Benutzer und Gruppen

  • Festlegen von klar definierten Grenzen für den Zugriff, der autorisierten Benutzern und Gruppen gewährt wird

Objektbesitzer erteilen im Allgemeinen eher Sicherheitsgruppen Berechtigungen als einzelnen Benutzern. Benutzer und Computer, die vorhandenen Gruppen hinzugefügt werden, übernehmen die Berechtigungen dieser Gruppe. Wenn ein Objekt (wie etwa ein Ordner) andere Objekte (wie Unterordner und Dateien) enthalten kann, wird er als Container bezeichnet. In einer Hierarchie mit Objekten wird die Beziehung zwischen einem Container und dem entsprechenden Inhalt ausgedrückt, indem der Container als übergeordnete Element und ein Objekt im Container als untergeordnetes Element bezeichnet wird, das die Zugriffssteuerungseinstellungen des übergeordneten Elements erbt. Objektbesitzer definieren häufig Berechtigungen für Containerobjekte statt für einzelne untergeordnete Objekte, um die Verwaltung der Zugriffssteuerung zu erleichtern.

Administratoren, die Windows Server 2012 und Windows 8 verwenden, können die Anwendung und Verwaltung der Steuerung des Zugriffs auf Objekte und Subjekte optimieren, um die folgende Sicherheit bereitzustellen:

  • Schützen Sie eine größere Anzahl und Vielfalt von Netzwerkressourcen vor Missbrauch.

  • Erteilen Sie Benutzern den Zugriff auf Ressourcen auf eine Weise, die den Unternehmensrichtlinien und den Anforderungen ihrer Arbeit entspricht.

  • Ermöglichen Sie es Benutzern, von unterschiedlichen Geräten an unterschiedlichen Standorten auf Ressourcen zuzugreifen.

  • Aktualisieren Sie die Möglichkeit von Benutzern, regelmäßig auf Ressourcen zuzugreifen, wenn sich Unternehmensrichtlinien ändern oder wenn Benutzer ihre Position wechseln, sowie die Möglichkeit, einer wachsenden Zahl von Anwendungsszenarien (wie Zugriff von externen Standorten oder von einer sich schnell erweiternden Vielfalt von Geräten wie Tablet PCs und Mobiltelefone) Rechnung zu tragen.

  • Erkennen und beheben Sie Zugriffsprobleme, wenn berechtigte Benutzer auf Ressourcen nicht zugreifen können, die sie für ihre Arbeit benötigen.

In der folgenden Tabelle sind die Zugriffssteuerungs- und Autorisierungsfeatures in Windows Server 2012 und Windows 8 aufgeführt.

 

Feature/Funktionalität Windows Server 2012 Windows 8

Dynamische Zugriffsteuerung (einschließlich)

  • Zentrale Zugriffsregeln

  • Zentrale Zugriffsrichtlinien

  • Ansprüche

  • Ausdrücke

  • Vorgeschlagene Berechtigungen

X

 

Erweiterter ACL-Editor

X

X

Mithilfe der domänenbasierten dynamischen Zugriffssteuerung können Administratoren Zugriffssteuerungsberechtigungen und Einschränkungen basierend auf klar definierten Regeln anwenden, die sich auf die Vertraulichkeit der Ressourcen, den Auftrag oder die Rolle des Benutzers und die Konfiguration des Geräts beziehen können, das für den Zugriff auf diese Ressourcen verwendet wird.

Beispielsweise kann ein Benutzer über unterschiedliche Berechtigungen verfügen, je nachdem, ob er vom Bürocomputer aus oder mit einem tragbaren Computer über ein virtuelles privates Netzwerk auf die Ressource zugreift. Oder der Zugriff wird nur erlaubt, wenn das Gerät den von den Netzwerkadministratoren definierten Sicherheitsanforderungen entspricht. Wenn die dynamische Zugriffssteuerung verwendet und der Auftrag oder die Rolle des Benutzers geändert wird (was eine Änderung der Kontoattribute des Benutzers in AD DS zur Folge hat), werden die Berechtigungen des Benutzers ohne zusätzliches Eingreifen des Administrators dynamisch geändert.

Die dynamische Zugriffssteuerung bietet die folgenden neuen Features und Konzepte:

Eine zentrale Zugriffsregel ist ein Ausdruck von Autorisierungsregeln, die eine oder mehrere Bedingungen beinhalten können, die sich auf Benutzergruppen, Benutzeransprüche, Geräteansprüche und Ressourceneigenschaften beziehen können. Mehrere zentrale Zugriffsregeln können zu einer zentralen Zugriffsrichtlinie zusammengefasst werden.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Wenn für eine Domäne eine oder mehrere zentrale Zugriffsregeln definiert werden, können Dateifreigabeadministratoren bestimmte Regeln an bestimmte Ressourcen und Geschäftsanforderungen anpassen.

Worin liegen die Unterschiede?

Zentrale Zugriffsregeln waren in früheren Versionen von Windows nicht verfügbar.

Zentrale Zugriffsrichtlinien sind Autorisierungsrichtlinien, die bedingte Ausdrücke enthalten. Wenn es in einem Unternehmen beispielsweise eine Geschäftsanforderung gibt, mit der der Zugriff auf personenbezogene Daten in Dateien auf den Dateibesitzer und die Mitarbeiter der Personalabteilung eingeschränkt wird, die personenbezogene Daten einsehen dürfen, handelt es sich hierbei um eine unternehmensweite Richtlinie, die auf Dateien mit personenbezogenen Daten auf Dateiservern im gesamten Unternehmen angewendet wird. Für die Implementierung dieser Richtlinie muss ein Unternehmen Folgendes können:

  • Es muss die Dateien, die personenbezogene Daten enthalten, identifizieren und kennzeichnen können.

  • Es muss die Gruppe der Mitarbeiter der Personalabteilung identifizieren können, die personenbezogene Daten einsehen dürfen.

  • Es muss die zentrale Zugriffsrichtlinie einer zentralen Zugriffsregel hinzufügen und dann die zentrale Zugriffsregel auf alle Dateien auf den Dateiservern im gesamten Unternehmen anwenden können.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Zentrale Zugriffsrichtlinien dienen als Sicherheitsschirme, die ein Unternehmen auf alle Server anwendet. Diese Richtlinien gelten zusätzlich zu (nicht anstelle von) den lokalen Zugriffsrichtlinien oder freigegebenen Zugriffssteuerungslisten (Discretionary Access Control Lists, DACL), die auf Dateien und Ordner angewendet werden.

Worin liegen die Unterschiede?

Zentrale Zugriffsrichtlinien waren in früheren Versionen von Windows nicht verfügbar.

Bei einem Anspruch handelt es sich um eindeutige, von einem Domänencontroller veröffentlichte Informationen zu Benutzern, Geräten oder Ressourcen. Die Position eines Benutzers, die Abteilungsklassifizierung einer Datei oder der Integritätsstatus eines Computer sind gültige Beispiele für einen Anspruch. Eine Entität kann mehrere Ansprüche aufweisen, und der Zugriff auf Ressourcen kann mit jeder beliebigen Kombination aus Ansprüchen autorisiert werden. In Windows Server 2012 und Windows 8 sind folgende Arten von Ansprüchen verfügbar:

  • Benutzeransprüche: Active Directory-Attribute, die einem bestimmten Benutzer zugeordnet sind.

  • Geräteansprüche: Active Directory-Attribute, die einem bestimmten Computerobjekt zugeordnet sind.

  • Ressourcenattribute: Globale Ressourceneigenschaften, die für die Verwendung bei Autorisierungsentscheidungen gekennzeichnet sind und in Active Directory veröffentlicht wurden.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Mithilfe von Ansprüchen können Administratoren präzise, unternehmensweite Anweisungen zu Benutzern, Geräten und Ressourcen erstellen, die in Ausdrücke, Regeln und Richtlinien integriert werden können.

Worin liegen die Unterschiede?

Ansprüche waren in früheren Versionen von Windows nicht verfügbar.

Bedingte Ausdrücke sind eine Erweiterung der Zugriffssteuerungsverwaltung in Windows Server 2012 und Windows 8, mit denen der Zugriff auf Ressourcen gewährt oder verweigert wird, wenn bestimmte Bedingungen zu Gruppenmitgliedschaft, Standort oder Sicherheitsstatus eines Geräts erfüllt sind. Ausdrücke werden über das Dialogfeld "Erweiterte Sicherheitseinstellungen" des ACL-Editors oder des Editors für zentrale Zugriffsregeln im Active Directory-Verwaltungscenter (AD AC) verwaltet.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Mithilfe von Ausdrücken können Administratoren den Zugriff auf vertrauliche Ressourcen mit flexiblen Bedingungen in zunehmend komplexeren Geschäftsumgebungen leichter verwalten.

Worin liegen die Unterschiede?

Die Möglichkeit, bedingte Ausdrücke über Ansprüche zu implementieren, gab es in früheren Versionen von Windows nicht.

Mithilfe von vorgeschlagenen Berechtigungen können Administratoren die Auswirkungen möglicher Änderungen auf Zugriffssteuerungseinstellungen exakter modellieren, ohne die Änderungen tatsächlich vornehmen zu müssen.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Wenn Sie den effektiven Zugriff auf eine Ressource vorhersagen können, können Sie Berechtigungen für diese Ressourcen planen und konfigurieren, bevor Sie diese Änderungen tatsächlich implementieren.

Worin liegen die Unterschiede?

Vorgeschlagene Berechtigungen waren in früheren Versionen von Windows nicht verfügbar.

Weitere Verbesserungen in Windows Server 2012 und Windows 8, die die dynamische Zugriffssteuerung unterstützen:

  • Unterstützung im Kerberos-Authentifizierungsprotokoll zur zuverlässigen Bereitstellung von Benutzeransprüchen, Geräteansprüchen und Gerätegruppen.

    Geräte, auf denen Windows 8 und Windows Server 2012 ausgeführt wird, können standardmäßig Kerberos-Tickets für die dynamische Zugriffssteuerung verarbeiten, die für die Verbundauthentifizierung erforderliche Daten enthalten. Domänencontroller, auf denen Windows Server 2012 ausgeführt wird, können Kerberos-Tickets mit Informationen zur Verbundauthentifizierung ausgeben und auf diese reagieren. Wenn eine Domäne für die Erkennung der dynamischen Zugriffssteuerung konfiguriert wurde, empfangen Geräte, auf denen Windows 8 ausgeführt wird, bei der Erstauthentifizierung Ansprüche von Domänencontrollern, auf denen Windows Server 2012 ausgeführt wird, und beim Einreichen von Dienstticketanforderungen Verbundauthentifizierungstickets. Die Verbundauthentifizierung ergibt ein Zugriffstoken, der die Identität des Benutzers und des Geräts in Ressourcen enthält, die die dynamische Zugriffssteuerung erkennen.

  • Unterstützung für die Verwendung der KDC-Gruppenrichtlinieneinstellung (Key Distribution Center, Schlüsselverteilungscenter) zur Aktivierung der dynamischen Zugriffssteuerung für eine Domäne.

    Alle Domänencontroller, auf denen Windows Server 2012 ausgeführt wird, müssen dieselbe Einstellung für die Richtlinie für administrative Vorlagen aufweisen, die sich unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\KDC\Unterstützung für die dynamische Zugriffssteuerung und die Kerberos-Hochrüstung befindet.

  • Unterstützung in Active Directory zum Speichern von Benutzer- und Geräteansprüchen, Ressourceneigenschaften und Objekten der zentralen Zugriffsrichtlinie.

  • Unterstützung für die Verwendung von Gruppenrichtlinien zur Bereitstellung von Objekten der zentralen Zugriffsrichtlinie.

    Mithilfe der neuen Gruppenrichtlinieneinstellung Computerkonfiguration\Richtlinien\ Windows-Einstellungen\Sicherheitseinstellungen\Dateisystem\Zentrale Zugriffsrichtlinie können Sie Objekte der zentralen Zugriffsrichtlinie für Dateiserver in Ihrem Unternehmen bereitstellen.

  • Unterstützung für anspruchsbasierte Dateiauthentifizierung und Überwachung für Dateisysteme mithilfe von Gruppenrichtlinien und globaler Objektzugriffsüberwachung.

    Sie müssen die in Phasen ausgeführte Überwachung der zentralen Zugriffsrichtlinie aktivieren, um den effektiven Zugriff der zentralen Zugriffsrichtlinie mithilfe von vorgeschlagenen Berechtigungen zu überwachen. Diese Einstellung wird für den Computer unter Erweiterte Überwachungsrichtlinienkonfiguration in den Sicherheitseinstellungen eines Gruppenrichtlinienobjekts konfiguriert. Nachdem Sie die Sicherheitsrichtlinieneinstellung im Gruppenrichtlinienobjekt konfiguriert haben, können Sie das Gruppenrichtlinienobjekt für Computer im Netzwerk bereitstellen.

  • Transformation oder Filterung von Anspruchsrichtlinienobjekten, die Active Directory-Gesamtstruktur-Vertrauensstellungen durchlaufen. Mit Windows Server 2012 können Sie ein- und ausgehende Ansprüche, die eine Gesamtstruktur-Vertrauensstellung durchlaufen, filtern oder transformieren. Es gibt drei grundlegende Szenarien für die Filterung und Transformation von Ansprüchen:

    • Auf Werten basierende Filterung: Filter können basierend auf dem Wert eines Anspruchs definiert werden. Damit kann in der vertrauenswürdigen Gesamtstruktur verhindert werden, dass Ansprüche mit bestimmten Werten an die vertrauende Gesamtstruktur gesendet werden. Domänencontroller in vertrauenden Gesamtstrukturen können mithilfe der wertbasierten Filterung Rechteerweiterungsangriffe verhindern, indem sie die von der vertrauenswürdigen Gesamtstruktur eingehenden Ansprüche mit bestimmten Werten filtern.

    • Auf dem Anspruchstyp basierende Filterung: Filter werden nicht nach dem Wert des Anspruchs, sondern basierend auf dem Anspruchstyp definiert. In Windows Server 2012 können Sie den Anspruchstyp am Namen des Anspruchs erkennen. Die auf dem Anspruchstyp basierende Filterung wird in der vertrauenswürdigen Gesamtstruktur verwendet. Mit der auf dem Anspruchstyp basierenden Filterung wird verhindert, dass Windows Ansprüche sendet, die Informationen zur vertrauenden Gesamtstruktur preisgeben.

    • Auf dem Anspruchstyp basierende Transformation: Damit wird ein Anspruch geändert, bevor er an das gewünschte Ziel gesendet wird. Die auf dem Anspruchstyp basierende Transformation wird in der vertrauenswürdigen Gesamtstruktur verwendet, um einen bekannten Anspruch, der bestimmte Informationen enthält, zu generalisieren. Mit einer Transformationen können Sie den Anspruchstyp, den Anspruchswert oder beides generalisieren.

Da Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung neue Kerberos-Authentifizierungserweiterungen erfordern, müssen alle Domänen, die die dynamische Zugriffssteuerung unterstützen, über genügend Domänencontroller verfügen, auf denen Windows Server 2012 ausgeführt wird, um die Authentifizierung über Kerberos-Clients zu unterstützen, die die dynamische Zugriffssteuerung unterstützen. Standardmäßig müssen Geräte, auf denen Windows 8 oder Windows Server 2012 ausgeführt wird, Domänencontroller, auf denen Windows Server 2012 ausgeführt wird, an anderen Standorten verwenden. Wenn Domänencontroller dieser Art nicht verfügbar sind, treten bei der Authentifizierung Fehler auf. Daher muss eine der folgenden Bedingungen erfüllt sein:

  • Jede Domäne, die die dynamische Zugriffssteuerung unterstützt, muss genügend Domänencontroller aufweisen, auf denen Windows Server 2012 ausgeführt wird, um die Authentifizierung von allen Geräten aus zu unterstützen, auf denen Windows 8 oder Windows Server 2012 ausgeführt wird.

  • Bei Geräten mit Windows 8 oder Windows Server 2012, die Ressourcen nicht mithilfe von Ansprüchen oder Verbundidentität schützen, muss die Unterstützung des Kerberos-Protokolls für die dynamische Zugriffskontrolle deaktiviert werden.

Bei Domänen, die Benutzeransprüche unterstützen, müssen alle Domänencontroller mit Windows Server 2012 mit den entsprechenden Einstellungen zur Unterstützung von Ansprüchen, der Verbundauthentifizierung und der Bereitstellung der Kerberos-Hochrüstung konfiguriert werden. Konfigurieren Sie die Einstellungen in der KDC-Richtlinie für administrative Vorlagen wie folgt:

  • Immer Ansprüche bereitstellen: Verwenden Sie diese Einstellung, wenn auf allen Domänencontrollern Windows Server 2012 ausgeführt wird. Legen Sie zudem die Domänenfunktionsebene auf Windows Server 2012 fest.

  • Unterstützt: Wenn Sie diese Einstellung verwenden, werden Domänencontroller überwacht, um sicherzustellen, dass die Anzahl der Domänencontroller, auf denen Windows Server 2012 ausgeführt wird, für die Anzahl der Clientcomputer ausreicht, die auf Ressourcen zugreifen müssen, die durch die dynamische Zugriffssteuerung geschützt werden.

Wenn sich die Benutzerdomäne und die Dateiserverdomäne in unterschiedlichen Gesamtstrukturen befinden, müssen alle Domänencontroller im Gesamtstrukturstamm des Dateiservers auf der Funktionsebene von Windows Server 2012 festgelegt werden.

Wenn Clients die dynamische Zugriffssteuerung nicht erkennen, muss zwischen den beiden Gesamtstrukturen eine bidirektionale Vertrauensstellung bestehen.

Wenn Ansprüche beim Verlassen einer Gesamtstruktur transformiert werden, müssen alle Domänencontroller im Gesamtstrukturstamm des Benutzers auf der Funktionsebene von Windows Server 2012 festgelegt werden.

Ein Dateiserver, auf dem Windows Server 2012 ausgeführt wird, verfügt über eine Gruppenrichtlinieneinstellung, die angibt, ob Benutzeransprüche für Benutzertoken abgerufen werden müssen, die keine Ansprüche enthalten. Diese Einstellung ist standardmäßig auf Automatisch festgelegt, was dazu führt, dass diese Gruppenrichtlinieneinstellung auf An festgelegt wird, wenn eine zentrale Richtlinie vorhanden ist, die Benutzer- und/oder Geräteansprüche für diesen Dateiserver enthält. Wenn der Dateiserver freigegebene Zugriffssteuerungslisten mit Benutzeransprüchen enthält, muss diese Gruppenrichtlinie auf An festgelegt werden, sodass der Server weiß, dass er Ansprüche für Benutzer anfordern muss, die beim Zugriff auf den Server keine Ansprüche bereitstellen.

Der ACL-Editor wurde neu gestaltet und zeigt wichtige Informationen zum Bewerten und Verwalten der Zugriffssteuerung übersichtlicher an. So werden beispielsweise auf der Registerkarte Effektiver Zugriff präzisere Informationen zum effektiven Zugriff für das Festlegen von Berechtigungen sowie Hilfe zur Behandlung von Fehlern bei der Zugriffssteuerung angezeigt. In Windows Server 2012 und Windows 8 können Administratoren eine Zusammenfassung des effektiven Zugriffs eines bestimmten Prinzipals mit einer Zugriffsberichtskarte anzeigen, die den effektiven Zugriff angibt, der auf Berechtigungen und Richtlinien basiert. So können Benutzer Szenarien aus der Praxis simulieren, indem sie Werte für Benutzer- und Geräteattribute angeben.

noteHinweis
Die neuen Optionen für Geräte- und Benutzeransprüche werden nur angezeigt, wenn eine zentrale Zugriffslinie auf die Ressource angewendet wird.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Die Verwaltung der Zugriffssteuerung ist eine der wichtigsten und potenziell komplexesten Sicherheitsaufgaben, die ein Administrator durchführen kann. Und der ACL-Editor ist eines der wichtigsten Sicherheitstools, die einem Windows-Administrator zur Verfügung stehen. Am ACL-Editor wurden Änderungen vorgenommen, um diese wichtigen Aufgaben zum Festlegen und Verwalten der Zugriffssteuerung sowie zum Fehlerbeheben bei der Zugriffssteuerung zu erleichtern.

Worin liegen die Unterschiede?

Der ACL-Editor wurde optimiert und enthält nun weniger Registerkarten und Dialogfelder. Zudem wurde die Benutzeroberfläche benutzerfreundlicher gestaltet. Diese Änderungen werden im folgenden Abschnitt beschrieben.

Die Eigenschaftenseite für die erweiterten Sicherheitsberechtigungen in Windows 8 und Windows Server 2012 enthält Registerkarten für Berechtigungen, Freigabe, Überwachung, Effektiver Zugriff und Zentrale Richtlinie. Darüber hinaus können Sie zum Hinzufügen neuer Sicherheitsprinzipale das Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen verwenden.

Wenn ein Computer und die zugehörigen Ressourcen geschützt werden sollen, müssen Sie die Berechtigungen der Benutzer berücksichtigen. Sie können einen oder mehrere Computer schützen, indem Sie Benutzern oder Gruppen bestimmte Berechtigungen erteilen. Sie können zum Schutz eines Objekts (z. B. einer Datei oder eines Ordners) beitragen, indem Sie Berechtigungen zuweisen, durch die Benutzer oder Gruppen bestimmte Aktionen für dieses Objekt ausführen können. In der folgenden Tabelle werden die auf der Berechtigungseigenschaftenseite Sicherheit vorhandenen wichtigsten Sicherheitsinformationen beschrieben.

noteHinweis
Die aufgeführten Berechtigungstypen variieren in Abhängigkeit vom ausgewählten Objekttyp.

 

Element Beschreibung

Name

Benennt das aktuell ausgewählte Objekt und dessen Speicherort.

Besitzer

Benennt den Besitzer des Objekts und erlaubt einem Administrator oder Benutzer mit entsprechenden Berechtigungen das Ändern des Besitzers.

Ressourceneigenschaften

Zeigt ggf. zusätzliche Sicherheitsinformationen zur Ressource an, z. B. Einstellungen für betriebliche Auswirkungen und Aufbewahrung.

noteHinweis
Wenn keine Ressourcenattribute vorhanden sind, wird die Verknüpfung Ressourceneigenschaften nicht angezeigt.

Berechtigungseinträge

Zeigt Folgendes an:

  • Namen von Prinzipalen, denen der Zugriff auf dieses Objekt erteilt wurde.

  • Art des Zugriffs ("Zulassen" oder "Verweigern"), der den Prinzipalen erteilt wird. Wenn das Zulassen oder Verweigern des Zugriffs auf einer benutzerdefinierten Bedingung basiert, wird diese Bedingung auch aufgeführt.

  • Ob Berechtigungen vererbt wurden. Wenn Berechtigungen vererbt werden, werden der Pfad und der Name des Objekts, von dem die Berechtigungen vererbt wurden, aufgeführt.

  • Ob Berechtigungen dieser Ressource von untergeordneten Objekten geerbt werden.

Hinzufügen

Ermöglicht das Hinzufügen von einer oder mehreren Sicherheitseinstellungen für ein Objekt.

noteHinweis
Wenn diese Schaltfläche nicht verfügbar ist, verfügen Sie möglicherweise nicht über die Berechtigung zum Ändern von Sicherheitseinstellungen.

Entfernen

Ermöglicht das Löschen von Sicherheitseinstellungen für ein Objekt.

noteHinweis
In Domänenumgebungen, in denen die dynamische Zugriffssteuerung verwendet wird und Sie über die entsprechenden Berechtigungen verfügen, können Sie auf Entfernen klicken, um den Zugriffssteuerungseintrag (Access Control Entry, ACE) zu entfernen.

noteHinweis
Wenn diese Schaltfläche nicht verfügbar ist, verfügen Sie möglicherweise nicht über die Berechtigung zum Ändern von Sicherheitseinstellungen, oder diese Berechtigungen wurden vererbt. Vererbte Berechtigungen können nicht entfernt oder geändert werden.

Bearbeiten

Ermöglicht das Ändern von Sicherheitseinstellungen für ein Objekt.

noteHinweis
In Domänenumgebungen, in denen die dynamische Zugriffssteuerung verwendet wird und Sie über die entsprechenden Berechtigungen verfügen, können Sie mit der Schaltfläche Bearbeiten Bedingungen ändern.

noteHinweis
Wenn diese Schaltfläche deaktiviert ist, verfügen Sie möglicherweise nicht über die Berechtigung zum Ändern von Sicherheitseinstellungen.

Vererbung deaktivieren/aktivieren

Öffnet ein Dialogfeld, in dem Sie folgende Aktionen ausführen können:

  • Konvertieren vererbter Berechtigungen in explizite Berechtigungen im Objekt, wodurch sie bearbeitbar werden.

  • Entfernen von allen vererbten übergeordneten Berechtigungen aus dem Objekt.

Mit Vererbte Berechtigungen wiederherstellen werden Sperren für vererbte Berechtigungen aufgehoben.

Alle Berechtigungen für untergeordnete Objekte durch vererbbare Berechtigungen von diesem Objekt ersetzen

Ersetzt Berechtigungen in untergeordneten Objekten eines Ordners. Diese Option wird für Dateien nicht angezeigt.

Wenn dieses Kontrollkästchen deaktiviert wird, können die Berechtigungen für die einzelnen (über- oder untergeordneten) Objekte eindeutig sein.

Auf der Registerkarte Freigabe wird eine schreibgeschützte Liste der Berechtigungen für einen freigegebenen Ordner oder ein freigegebenes Objekt angezeigt. Diese Registerkarte wird nur angezeigt, wenn der Ordner oder das Objekt bereits freigegeben wurde. Sie können die Berechtigungen für die Registerkarte Freigabe für jedes Objekt ändern, indem Sie im Datei-Explorer-Menüband auf die Schaltfläche Freigeben für klicken und Erweiterte Freigabe auswählen, oder indem Sie mit der rechten Maustaste auf das Objekt klicken, Eigenschaften auswählen und dann auf die Registerkarte Freigabe klicken.

 

Element Beschreibung

Netzwerkadresse für diese Freigabe

Listet den Pfad zur freigegebenen Ressource auf.

Berechtigungseinträge

Listet die Berechtigungstypen ("Zulassen" oder "Verweigern"), die Domäne und den Benutzernamen des Sicherheitsprinzipals sowie die Berechtigungen für das Objekt auf.

Ansicht

Enthält zusätzliche Berechtigungsinformationen zu einem ausgewählten freigegebenen Ordner oder Objekteintrag.

Das Einrichten von Überwachungsrichtlinien stellt einen wichtigen Aspekt der Sicherheit dar. Durch das Überwachen der Objekterstellung und -bearbeitung können Sie mögliche Sicherheitsprobleme verfolgen, den Zugriff der Benutzer kontrollieren und einen Nachweis im Fall einer Sicherheitsverletzung führen.

Folgende sind häufig auftretende zu überwachende Ereignisse:

  • Zugriffe auf Objekte, wie Dateien und Ordner.

  • An- und Abmeldungen von Benutzern am System.

  • Änderungen an Benutzer- und Gruppenkonten.

Sie können für einen Benutzer oder für eine Gruppe in Abhängigkeit von der Art der Überwachung, von der Quelle der Vererbung, vom Zugriffstyp und vom Ziel über einen oder mehrere Überwachungseinträge verfügen. Weitere Informationen zum Planen und Konfigurieren der Sicherheitsüberwachung finden Sie unter Sicherheitsüberwachung (Übersicht).

noteHinweis
Sie müssen ein Mitglied der Domäne sein und über eine Sitzung mit Domänenauthentifizierung mit der Ressource verbunden sein, um domänenbasierte Überwachungsberechtigungen anzuzeigen. Benutzer, die nicht der Domäne angehören, und Benutzer, die mithilfe anderer Methoden auf die Ressource zugreifen (z. B. mit dem Befehl net use), können keine Überwachungsberechtigungen anzeigen, die Domänenzugriff erfordern.

 

Element Beschreibung

Name

Benennt das aktuell ausgewählte Objekt.

Überwachungseinträge: Typ

Listet das Ergebnis auf, für das die Überwachungsrichtlinie übernommen werden soll. Mögliche Ergebnisse sind "Erfolg", "Fehler" oder "Alle".

Überwachungseinträge: Prinzipal

Listet den Namen des Objekts auf, für das die Überwachungsrichtlinien übernommen werden sollen.

Überwachungseinträge: Zugriff

Listet Berechtigungstypen auf, wie z. B. Vollzugriff, Ordner durchsuchen/Datei ausführen, Attribute lesen und Löschen. Beinhaltet Datei- und Ordnerberechtigungen, Active Directory-Objektberechtigungen und Dateiserverberechtigungen.

Überwachungseinträge: Geerbt von

Benennt das Objekt, von dem Berechtigungen geerbt werden. Sie können vererbte Überwachungseinträge aus dem übergeordneten Objekt (soweit vorhanden) hinzufügen.

Überwachungseinträge: Anwenden auf

Listet die untergeordneten Objekte auf, auf die der Überwachungseintrag angewendet wird.

Vererbung deaktivieren

Öffnet ein Dialogfeld, in dem Sie folgende Aktionen ausführen können:

  • Konvertieren vererbter ACEs in explizite ACEs im Objekt, sodass sie bearbeitet werden können.

  • Entfernen von allen vererbten übergeordneten Überwachungs-ACEs aus dem Objekt.

noteHinweis
Durch Wiederherstellen vererbter Berechtigungen werden Sperren für vererbte Überwachungs-ACEs aufgehoben.

Alle Überwachungseinträge für untergeordnete Objekte durch vererbbare Überwachungseinträge von diesem Objekt ersetzen

Bestehende vererbbare Überwachungseinträge aller untergeordneten Objekte werden durch vererbbare Überwachungseinträge dieses Objekts ersetzt.

Wenn dieses Kontrollkästchen deaktiviert wird, können die Überwachungseinstellungen für die einzelnen (über- oder untergeordneten) Objekte eindeutig sein.

noteHinweis
Diese Option ist nur für Ordner und Container verfügbar.

Die Registerkarte Effektiver Zugriff bietet Administratoren Informationen zu effektiven Berechtigungen, um sie bei der Behandlung von Zugriffssteuerungsproblemen zu unterstützen. Mithilfe der Registerkarte Effektiver Zugriff können Benutzer eine Zusammenfassung der effektiven Zugriffsberechtigungen für ein bestimmtes Objekt, einen bestimmten Benutzer, einen bestimmten Computer oder eine bestimmte Gruppe, den Berechtigungstyp (z. B. Freigabe, Datei oder Richtlinie) zur Einschränkung des Zugriffs sowie optionale Ausdrücke im Zusammenhang mit dem Zugriff dieses Benutzers, dieses Computers oder dieser Gruppe auf die Ressource anzeigen.

noteHinweis
Sie müssen ein Mitglied der Domäne sein und über eine Sitzung mit Domänenauthentifizierung mit der Ressource verbunden sein, um domänenbasierte effektive Zugriffsberechtigungen, Ansprüche und Attribute anzuzeigen. Benutzer, die nicht der Domäne angehören, und Benutzer, die mithilfe anderer Methoden auf die Ressource zugreifen (z. B. mit dem Befehl "net use"), können möglicherweise lokale effektive Zugriffsinformationen anzeigen, jedoch keine Berechtigungen, Ansprüche und Attribute, die Domänenzugriff erfordern.

 

Element Beschreibung

Benutzer auswählen

Öffnet das Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen, um die Sicherheitsprinzipale anzugeben, für die Sie effektive Zugriffsberechtigungen anzeigen möchten.

Gruppenmitgliedschaft einschl.

Ermöglicht Ihnen das Hinzufügen einer oder mehrerer Gruppenmitgliedschaften zum Token für einen Benutzer, sodass Sie die möglichen Auswirkungen dieser Änderung auf die Berechtigungen dieses Sicherheitsprinzipals und des Objekts anzeigen können.

Gerät auswählen

Öffnet das Dialogfeld Computer oder Gruppe auswählen, um die Sicherheitsprinzipale anzugeben, für die Sie effektive Zugriffsberechtigungen anzeigen möchten.

Gruppenmitgliedschaft einschl.

Ermöglicht Ihnen das Hinzufügen einer oder mehrerer Gruppenmitgliedschaften zum Token für das Gerät, um die möglichen Auswirkungen dieser Änderung auf die Berechtigungen des Sicherheitsprinzipals für dieses Objekt anzuzeigen.

Neuen Benutzeranspruch hinzufügen

Erlaubt einem Benutzer mit entsprechenden Berechtigungen festzustellen, was passieren würde, wenn ein neuer Benutzeranspruch auf die Ressource angewendet wird.

noteHinweis
Diese Option wird nur angezeigt, wenn eine zentrale Zugriffsrichtlinie auf die Ressource zutrifft.

Neuen Geräteanspruch hinzufügen

Erlaubt einem Benutzer mit entsprechenden Berechtigungen festzustellen, was passieren würde, wenn ein neuer Geräteanspruch auf die Ressource angewendet wird.

noteHinweis
Diese Option wird nur angezeigt, wenn eine zentrale Zugriffsrichtlinie auf die Ressource zutrifft.

Effektiven Zugriff anzeigen

Generiert die effektiven Zugriffsberechtigungen für die von Ihnen ausgewählten Sicherheitsprinzipale.

Effektiver Zugriff

Zeigt für Berechtigungen Zulassen ein Häkchen und für Berechtigungen Verweigern ein X an.

Berechtigung

Gibt die Berechtigung an, die für den Sicherheitsprinzipal ausgewertet wird.

Zugriff eingeschränkt durch

Gibt an, ob die Zugriffssteuerungseinstellung durch Berechtigungen für die Datei oder den freigegebenen Ordner eingeschränkt ist und ob optionale zentrale Zugriffsregeln für den Zugriff dieses Benutzers, Computer oder dieser Gruppe auf diese Ressource gelten.

Die Registerkarte Zentrale Richtlinie ist eine optionale Eigenschaftenseite, die angezeigt wird, wenn zentrale Zugriffsrichtlinien vorhanden sind oder wenn eine zentrale Zugriffsrichtlinie auf die Ressource angewendet wurde.

noteHinweis
Sie müssen ein Mitglied der Domäne sein und über eine Sitzung mit Domänenauthentifizierung mit der Ressource verbunden sein, um Informationen zur zentralen Zugriffsrichtlinie anzuzeigen.

Weitere Informationen zur zentralen Zugriffsrichtlinie finden Sie unter Dynamische Zugriffssteuerung.

 

Element Beschreibung

Zentrale Zugriffsrichtlinie

Listet den Namen der zentralen Zugriffsrichtlinie auf, die auf das Objekt angewendet wird.

Beschreibung

Zeigt die Beschreibung der zentralen Zugriffsrichtlinie an, die vom Administrator beim Erstellen der Richtlinie eingegeben wurde.

Es gelten folgende zentrale Zugriffsregeln

Listet eine oder mehrere zentrale Zugriffsrichtlinien auf.

Wählen Sie einen Eintrag für eine zentrale Zugriffsrichtlinie aus, und erweitern Sie diesen, um die Beschreibung der zentralen Zugriffsrichtlinie, das betreffende Objekt sowie die angewendeten Zugriffsberechtigungen anzuzeigen.

Ändern

Ermöglicht einem Benutzer mit entsprechenden Berechtigungen das Anzeigen und Auswählen verfügbarer zentraler Zugriffsrichtlinien.

Im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen können Sie Zugriffssteuerungslisten neue Sicherheitsprinzipale hinzufügen.

 

Element Details

Objekttypen

Ermöglicht die Auswahl der gewünschten Objekttypen. Mögliche Typen sind Computer, Benutzer, Gruppen, Kontakte oder integrierte Sicherheitsprinzipale.

Pfade

Definiert das Stammverzeichnis, in dem die Suche beginnen soll.

Namen überprüfen

Sucht alle übereinstimmenden oder ähnlichen Objektnamen, die im Feld Geben Sie die zu verwendenden Objektnamen ein aufgeführt sind. Dafür werden die ausgewählten Objekttypen und der ausgewählte Verzeichnisort verwendet.

Geben Sie die zu verwenden Objektnamen ein (Beispiele)

Dient zur Eingabe der Objektnamen, die Sie suchen. Sie können mehrere Objekte suchen, indem Sie die Objektnamen durch ein Semikolon voneinander trennen. Verwenden Sie eine der folgenden Syntaxbeispiele:

  • Anzeigename (Beispiel: Vorname Nachname)

  • Objektname (Beispiel: Computer1)

  • Benutzername (Beispiel: Benutzer1)

  • Objektname@Domänenname (Beispiel: Benutzer1@Domäne1)

  • Domänenname\Objektname (Beispiel: Domäne1\Benutzer1)

Erweitert

Ermöglicht die Auswahl erweiterter Suchoptionen. Erweitere Suchoptionen können deaktivierte Konten, Konten mit nicht ablaufenden Kennwörtern oder die Anzahl der Tage seit der letzten Anmeldung beinhalten. Darüber hinaus können Sie anpassen, welche Informationen in die Suchergebnisse einbezogen werden.

Der erweiterte ACL-Editor ist auf jedem Computer verfügbar, auf dem Windows Server 2012 oder Windows 8 installiert ist.

Weitere Informationen zu Änderungen bei der Zugriffssteuerung und Autorisierung in Windows Server 2012 und Windows 8 finden Sie in den folgenden Ressourcen.

 

Art der Inhalte Verweise

Produktbewertung

Dynamische Zugriffssteuerung: Szenarioübersicht

Dynamische Zugriffssteuerung: Erweiterbarkeit für Entwickler

Verwandte Technologien

Neues bei der Sicherheitsüberwachung

Neues in den Active Directory-Domänendiensten

Neues bei der Kerberos-Authentifizierung

Datei-und Speicherdienste: Übersicht

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft