BDD 2007: Sicherheit – Handbuch für das Feature-Team

Anhang F: Einschränken der Dateiberechtigungen auf Bereitstellungsservern

Veröffentlicht: 30. Nov 2006

Der Clientinstallations-Assistent auf dem Zielcomputer fordert den Administrator auf, die Anmeldeinformationen für die Domäne einzugeben. Dieses Domänenbenutzerkonto muss über Lesezugriff auf die verborgene Bereitstellungsfreigabe verfügen. Wenn die Deployment Workbench die Bereitstellungsfreigabe erstellt, wird der Gruppe der lokalen Administratoren standardmäßig uneingeschränkter Zugriff gewährt, während die Gruppe der lokalen Benutzer Lesezugriff erhält. Standardmäßig gehören alle Mitglieder der Gruppe der Domänenadmininstratoren auch der Gruppe der lokalen Administratoren an, und alle Domänenbenutzer sind Mitglieder der Gruppe der lokalen Benutzer.

Wenn daher die Konten, über die die Clientcomputer bereitgestellt werden, Mitglieder der Domänenbenutzergruppe sind, erhalten die Teammitglieder ausreichenden Zugriff auf die Bereitstellungsfreigabe. Erhöhen Sie den Schutz der NTFS-Dateisystemberechtigungen für diesen freigegebenen Ordner noch weiter, indem Sie die standardmäßigen Administrator- und Benutzerberechtigungen aufheben. Im Normalfall benötigen nur solche Benutzer uneingeschränkten Zugriff, die Abbilder aktualisieren (beispielsweise Benutzer, die die Deployment Workbench ausführen). Benutzer, die für die Bereitstellung der Clientcomputer zuständig sind, benötigen Lesezugriff. Für den Fall, dass Benutzerstatusdaten in einem freigegebenen Ordner gespeichert werden, muss das Konto über die entsprechenden Schreib- und Leseberechtigungen für diesen freigegebenen Ordner verfügen.

So schränken Sie die Dateiberechtigungen auf Bereitstellungsservern ein

  1. Öffnen Sie Windows-Explorer auf dem Bereitstellungscomputer.

  2. Klicken Sie mit der rechten Maustaste auf die Bereitstellungsfreigabe, die in der Deployment Workbench konfiguriert wurde, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf Hinzufügen. Geben Sie im Dialogffeld Benutzer, Computeroder Gruppen auswählen den Namen der Gruppe ein, die die Verwaltung der Abbilder übernimmt. Klicken Sie anschließend auf OK.

  4. Aktivieren Sie im Dialogfeld Eigenschaften das Kontrollkästchen Uneingeschränkten Zugriff zulassen.

  5. Klicken Sie auf Hinzufügen. Geben Sie im Dialogfeld Benutzer, Computeroder Gruppen auswählen den Namen der Gruppe ein, deren Mitglieder neue Clientcomputer installieren. Klicken Sie anschließend auf OK.

    Die standardmäßigen Leseberechtigungen sind ausreichend.

  6. Klicken Sie auf die Standardadministratorberechtigung und dann auf Entfernen.

  7. Klicken Sie auf die Standardbenutzerberechtigung und dann auf Entfernen.

  8. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.

Anzeigen: