Skip to main content.

Security :: Benutzerrechte unter Windows

Benutzerrechte unter Windows

Die NT-basierenden Windowsversionen kennen je nach Ausführung und Version zumindest die folgenden Anwendergruppen mit bestimmten vorgegebenen Rechten (Quelle: diese Informationen stammen aus der Hilfedatei von Windows 2000):

  • Administratoren
    Mitglieder der Gruppe "Administratoren" besitzen für den Computer Vollzugriff, d. h. alle Rechte. Diese Gruppe ist die einzige vordefinierte Gruppe, der im System alle vordefinierten Rechte und Fähigkeiten automatisch erteilt werden.
  • Sicherungsoperatoren
    Die Mitglieder der Gruppe "Sicherungs-Operatoren" können Dateien auf dem Computer sichern und wiederherstellen, und zwar unabhängig davon, ob Berechtigungen zum Schutz dieser Dateien existieren. Sie können sich auch am Computer anmelden und diesen herunterfahren. Allerdings sind sie nicht berechtigt, Sicherheitseinstellungen zu ändern.
  • Hauptbenutzer oder PowerUser
    Mitglieder der Gruppe "Hauptbenutzer" sind berechtigt, Benutzerkonten zu erstellen. Sie können jedoch nur die Konten ändern und löschen, die von ihnen selbst erstellt wurden. Mitglieder dieser Gruppe sind berechtigt, lokale Gruppen zu erstellen und Benutzer aus lokalen Gruppen, die von ihnen selbst erstellt wurden, zu entfernen. Darüber hinaus können sie Benutzer aus den Gruppen "Hauptbenutzer", "Benutzer" und "Gäste" entfernen.

    Sie sind nicht berechtigt, die Gruppen "Adminstratoren" oder "Sicherungs-Operatoren" zu ändern, Besitzrechte an Dateien zu erwerben, Verzeichnisse zu sichern oder wiederherzustellen, Gerätetreiber zu laden oder zu entfernen oder Sicherheits- und Überwachungsprotokolle zu verwalten.
  • Benutzer
    Mitglieder der Gruppe "Benutzer" sind zur Ausführung der meisten allgemeinen Aufgaben berechtigt, beispielsweise können sie Anwendungen ausführen, lokale und Netzwerkdrucker verwenden und die Arbeitsstation herunterfahren und sperren. Benutzer können lokale Gruppen zwar erstellen, sind jedoch nur zur Änderung der lokalen Gruppen berechtigt, die von ihnen selbst erstellt wurden. Benutzer sind nicht dazu berechtigt, Verzeichnisse freizugeben oder lokale Drucker zu erstellen.
  • Gäste
    Die Gruppe "Gäste" ermöglicht gelegentlichen oder einmaligen Benutzern die Anmeldung am vordefinierten Gastkonto einer Arbeitsstation unter Erteilung eingeschränkter Rechte. Mitglieder der Gruppe "Gäste" sind außerdem berechtigt, das System herunterzufahren.
  • Replikationsoperatoren
    Die Gruppe "Replikations-Operator" unterstützt Funktionen für die Verzeichnisreplikation. Das einzige Mitglied der Gruppe "Replikations-Operator" sollte ein Domänenbenutzerkonto sein, über das die Anmeldung an den Replikationsdiensten des Domänencontrollers möglich ist. Fügen Sie dieser Gruppe keine Benutzerkonten wirklicher Benutzer hinzu.

Anmerkung: Weder Administrator- noch Hauptbenutzerrechte sind für ein normales Arbeiten sinnvoll oder erforderlich und bergen grosse Gefahren auf Rechnern - insbesondere wenn darüber Mail- und Internetzugang und/oder Datenträgeraustausch betrieben wird (auch USB-Sticks sind Datenträger).

In den neueren Windowsvarianten gibt es weitere Benutzergruppen, wie z.B. NetMeeting bzw. RemoteDesktop, wo es um die Regulierung von Zugriffen von ausserhalb geht und die nur mit grossem Bedacht gesetzt werden sollten - weil auch hier grosse Risiken liegen.

Den jeweiligen Gruppen können einfach weitere Inhaber von Benutzerkonten zugeordnet werden. Ziel der Aktion ist letzlich, dass jeder Anwender am Rechner nur das darf, was er für das normale Arbeiten wirklich benötigt. In vielen Fällen wird es unangenehm sein, z.B. keine Drucker installieren zu können oder andere Kleinigkeiten zu ändern. Hierfür gibt es aber zum Glück bereits vorbereitete sogenannte administrative Vorlagen und weitere Einstellmöglichkeiten, um hier ein "Finetuning" für die jeweilige Benutzergruppe vornehmen zu können. Hierzu könnte empfohlen werden, das Druckerhandling und das Einstellen von Datum und Uhrzeit zu ermöglichen und ggf. auch einige Änderungen an der Netzwerkeinstellung zugänglich zu machen - an die ein normaler Benutzer sonst nicht herankommt.

So hat sogenannte Malware (böse Software) kaum eine Chance sich auf einem Rechner einzunisten und zu starten. Spätestens ab einem Neustart ist der Spuk meist vorbei oder lässt sich leicht entfernen.

Bitte beachten Sie: Alle Logos, Textmarken, Markenzeichen, Handelsmarken und Trademarks sind Eigentum der jeweiligen Firmen.
Was das BSI vergessen hat zurück | weiter NoAdmin - Arbeiten ohne Administratorrechte
Seitenanfang