Zugriffsrechte mit Gruppenrichtlinien steuern

01.06.2006 von Martin Kuppinger
Eine der interessantesten Herausforderungen im Zusammenhang mit Gruppenrichtlinien ist die Steuerung von Zugriffsberechtigungen. Gruppenrichtlinien können Berechtigungen sowohl im Dateisystem als auch für Freigaben und in der Registry steuern. Die Vorgehensweise wird in diesem Artikel erläutert.

Nur selten werden Gruppenrichtlinien in der Praxis tatsächlich genutzt, um Berechtigungen auf Zielsystemen zu steuern. Dafür gibt es folgende Gründe:

Der dritte der genannten Punkte steht in engem Zusammenhang mit dem ersten Aspekt. Faktisch ist der Konfigurationsaufwand zumindest bei der Vergabe von Berechtigungen im Dateisystem überschaubar, weil dort mit der Vererbung gearbeitet werden kann. Bei der Registry ist der Aufwand in der Tat höher, weil es mehr spezifische Festlegungen zu beachten gilt. In beiden Fällen kann aber die Nutzung vordefinierter Sicherheitsvorlagen helfen, den Aufwand zu minimieren.

Eingeschränkte Gruppen

Im Bereich der Sicherheitskonfiguration sind eingeschränkte Gruppen eine der interessantesten Funktionen, die es bei den Gruppenrichtlinien überhaupt gibt. Mit ihnen können Eigenschaften für sicherheitssensitive Gruppen, die lokal auf den Zielsystemen gespeichert werden, gesetzt werden:

Die Funktion sollte ausschließlich zur Konfiguration lokaler Gruppen auf Arbeitsstationen und Mitgliedsservern eingesetzt werden. Die Steuerung von Gruppen auf Domänencontrollern und damit im Active Directory darf nicht über diese Schnittstelle erfolgen.

Eingeschränkte Gruppen werden im entsprechenden Bereich unterhalb von Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen definiert. Die Gruppen können dort über den Befehl Gruppe hinzufügen aus dem Kontextmenü in die Liste aufgenommen werden. Dabei reicht es aus, den Gruppennamen anzugeben. Das System arbeitet auf Basis von Gruppennamen und nicht von SIDs (Security Identifiers), da die lokalen Gruppen ja auf jedem System, auf das die Gruppenrichtlinie angewendet wird, unterschiedliche SIDs haben.

Bei den Eigenschaften einer Gruppe können anschließend die Mitglieder und Mitgliedschaften konfiguriert werden. Die Benutzer und Gruppen, die hier angegeben werden, kann man entweder aus dem Active Directory auswählen oder explizit angeben (Bild 1). Zu beachten ist dabei, dass man nur Benutzer und Gruppen, die in der Domäne definiert sind, sinnvoll zuordnen kann.

Bild 1: Die Eigenschaften einer eingeschränkten Gruppe.

Nachdem die Einstellungen definiert wurden, werden die Änderungen bei der nächsten Aktualisierung der Gruppenrichtlinie in den lokalen Systemen umgesetzt. Alle Benutzer und Gruppen, die in der eingeschränkten Gruppe aufgeführt sind, werden in die lokale Gruppe aufgenommen. Alle Benutzer und Gruppen aus der lokalen Gruppe, die nicht bei der eingeschränkten Gruppe definiert sind, werden entfernt. Das gilt auch für administrative Konten. Daher muss die Nutzung eingeschränkter Gruppen genau geplant werden.

Diese Funktionalität ist allerdings mit einem großen Fragezeichen zu versehen, denn mit den domänenlokalen Gruppen kann man eine direkt in Active Directory-Benutzer und -Computer integrierte Alternative nutzen, die das gleiche Ergebnis bringt. Diese Gruppen werden im Active Directory verwaltet, erscheinen aber auf Mitgliedssystemen als lokale Gruppen. Statt solche Gruppen über den Umweg der eingeschränkten Gruppen zu steuern, können sie auch zentral angelegt werden. Die Zuordnungen von Benutzern und anderen Gruppen gelten in diesem Fall generell für alle Systeme.

Allerdings gibt es hier durchaus Unterschiede. Das liegt schon daran, dass man mit Gruppenrichtlinien den Geltungsbereich sehr genau steuern kann. Eine Gruppe Lokales Druckermanagement kann in verschiedenen Gruppenrichtlinien unterschiedliche Mitglieder und Mitgliedschaften haben. Außerdem wird man in der Regel für Server und für einzelne Benutzer sehr unterschiedliche Vorgaben bezüglich der domänenlokalen Gruppen treffen wollen.

Zudem sind die eingeschränkten Gruppen am besten geeignet, um bestehende Gruppen zu modifizieren. Ein gutes Beispiel ist die Gruppe Hauptbenutzer, der immer wieder unterschiedliche Mitglieder – typischerweise aus im Active Directory definierten globalen Gruppen – zugewiesen werden sollen.

Für ein durchgängiges, effizientes Management von Gruppen und Zugriffsberechtigungen über alle Systeme im Netzwerk hinweg ist die Verwendung der eingeschränkten Gruppen in jedem Fall unverzichtbar.

Sicherheit im Dateisystem

Die Sicherheit des Dateisystems wird über den Ordner Dateisystem parallel zu den eingeschränkten Gruppen bearbeitet. Der Ordner ist standardmäßig leer. Einige der Sicherheitsvorlagen enthalten aber Festlegungen wie beispielsweise die Datei setup security.inf, mit der die Sicherheitseinstellungen zum Zeitpunkt der Installation wiederhergestellt werden können (Bild 2). So differenziert wird man aber in der Regel nicht vorgehen. Die Vorlage legt Berechtigungen für einzelne Dateien fest, in der Praxis wird man dagegen eher auf der Ebene von Ordnern arbeiten.

Bild 2: Über die Gruppenrichtlinien können auch Berechtigungen im Dateisystem konfiguriert werden.

Bei der Konfiguration solcher Berechtigungen muss mit Datei hinzufügen zunächst eine Datei aus dem lokalen Dateisystem ausgewählt werden. Hier liegt auch die größte Herausforderung: Alle Systeme, für die Berechtigungen im Dateisystem gesetzt werden, müssen die gleichen Laufwerks- und Verzeichnisstrukturen haben. Das kann sehr kompliziert werden, wenn man versucht, möglichst alle Systeme mit nur einer Gruppenrichtlinie zu erfassen. Wenn man aber, wie im vorangegangenen Artikel beschrieben, mit einer größeren Zahl von Gruppenrichtlinien arbeitet, ist das in der Regel unproblematisch, da man beispielsweise bei Servern mit dem gleichen Einsatzbereich oder bei Clients immer vergleichbare Verzeichnisstrukturen vorfinden wird.

Nach der Festlegung der Berechtigungen, für die der Standarddialog angezeigt wird, kommt das wichtigste Dialogfeld (Bild 3). Darin wird festgelegt, wie die Berechtigungen umgesetzt werden, ob entweder mit Vererbung gearbeitet wird oder ob die Berechtigungen in Unterordnern und Dateien überschrieben werden. Außerdem können Sie auch angeben, dass Sicherheitseinstellungen nicht verändert werden dürfen.

Bild 3: Die Detaileinstellungen für die Konfiguration von Berechtigungen.

Was im ersten Moment nach erheblichem Aufwand aussieht, ist in der Praxis relativ leicht umzusetzen. Abgesehen von der Konfiguration von Sicherheitseinstellungen für die wichtigsten Systemordner, bei denen man sich an den vordefinierten Sicherheitsrichtlinien orientieren kann, muss man nur die wenigen lokalen Anwendungsund Datenordner modifizieren. Dabei kann man in den meisten Fällen auf der höchsten Ebene Berechtigungen festlegen und ab diesem Punkt mit der Vererbung arbeiten.

Spezielle Ordner wie Eigene Dateien sind in der Regel deshalb unproblematisch, weil dafür bereits sinnvolle und strenge Zugriffsberechtigungen im System konfiguriert sind und daher überhaupt keine Anpassungen vorgenommen werden müssen.

Sicherheit in der Registry

Das für die Steuerung von Berechtigungen in der Registry verwendete Konzept ist fast identisch zur Steuerung von Berechtigungen im Dateisystem. Die Einstellungen finden sich bei Registrierung (Bild 4). Dort können ebenfalls Schlüssel aufgenommen und modifiziert werden. Wenn man diesen Bereich überhaupt über die ohnehin relativ restriktiven Standardeinstellungen hinaus konfiguriert, wird man sich in der Regel auf wenige einzelne Einstellungen beschränken oder eine der vorkonfigurierten Sicherheitsvorlagen als Basis benutzen und für die eigenen Anforderungen adaptieren.

Bild 4: Die Festlegungen zur Sicherheit in der Registry.

Sicherheitsvorlagen

Eine wichtige Basis für die Steuerung von Zugriffsberechtigungen auf das Dateisystem und die Registry sind die Sicherheitsvorlagen. Auf diese kann im Kontextmenü des Knotens Sicherheitseinstellungen über den Befehl Richtlinie importieren zugegriffen werden. Es werden die standardmäßig definierten Sicherheitsvorlagen und gegebenenfalls entsprechende eigene Vorlagen angezeigt. Diese können importiert werden. Wichtig ist die Option Vor dem Importieren aufräumen, mit der die bisher konfigurierten Einstellungen im Bereich Sicherheitseinstellungen zunächst gelöscht und anschließend die Informationen aus der Sicherheitsvorlage importiert werden (Bild 5). Das stellt sicher, dass genau die und nur die Parameter, die in der Sicherheitsvorlage definiert sind, auch bei den Systemen gesetzt werden, auf die die Gruppenrichtlinie angewendet wird.

Bild 5: Vor dem Importieren von Sicherheitsvorlagen – hier auch als Richtlinien bezeichnet – kann die aktuelle Gruppenrichtlinie „aufgeräumt“ werden.

Sehr nützlich ist, dass der Teil mit den Sicherheitseinstellungen auch in eigene Sicherheitsvorlagen exportiert werden kann, sobald daran Änderungen vorgenommen wurden. Damit lässt sich eine einmal definierte Konfiguration exportieren und in anderen Domänen oder bei anderen Gruppenrichtlinien wieder importieren.

Sicherheitsvorlagen und Gruppenrichtlinien-Management

Bei der Konfiguration von Sicherheitseinstellungen in den Gruppenrichtlinien stellt sich die Frage, wie man diese am besten verwaltet. Wenn man dem im vorigen Artikel beschriebenen Konzept folgt, ist das allerdings relativ einfach. Man kann bei diesem Modell entscheiden, ob man die Sicherheitseinstellungen allgemeinen Richtlinien wie denen für Arbeitsstationen, Server oder Domänencontroller zuordnen möchte oder ob man besser mit speziellen Richtlinien, in denen nur diese Parameter gesetzt werden, arbeitet. Die Entscheidung hängt vor allem davon ab, wie viele unterschiedliche Einstellungen für die Sicherheit genutzt werden.