Hallo,
seit dem letzten Update sind entscheidende Teile, wenn nicht gar alles der VRNW im Ordner "VR-NetWorld" unter "Gemeinsame Dokumente". Das hat zwar zur Folge das jetzt jeder user die VRNW nutzen kann, aber auch jeder eingeschränkte Nutzer Mist machen kann. Welche Rechte kann ich einschränken um unbeabsichtigte Änderungen im Ordner "VR-NetWorld" zu verhindern? Der Ordner "VR-NetWorld" wird auch noch in der Netzwerkumgebung der anderen PC im LAN angezeigt läßt sich das unterbinden?

Danke, Cord

Hallo Cord,

deine Fragen haben eigentlich nur sehr eingeschränkt mit der Software zu tun. Aber erstmal der Reihe nach.

Möchtest Du, das eingeschränkte Nutzer die VRNWS nutzen können? Dann ist deine jetzige Konstellation die Sinnvollste! Die Ablage der Datenbanken im "gemeinsame Dokumente" hat den Zweck, dass auf die Datenbanken zugegriffen werden kann, ohne dass eingeschränkte Nutzer erweiterte Rechte auf das VRNWS Verzeichnis haben.

Wenn Du die Konstellation so nicht haben wolltest, warum hast Du dann diese Option nach dem Update gewählt? Wenn Du die Frage mit Nein beantwortet hättest, wären die Pfade wie gehabt geblieben.

Wenn Du Dir an dieser Stelle Gedanken über Sicherheit machst, frage ich mich schon, warum Du das Verzeichnis (oder wahrscheinlich die ganze Partition C) für das Netzwerk freigegeben hast? Wenn Du das nicht wünschst, solltest Du das über Kontextmenue im Dateiexplorer ändern.

Generell scheint es so zu sein, dass dein Sicherheitskonzept überdacht werden sollte.

Gruß

Holger Fischer

Hallo Holger,

Du hast natürlich recht das ganze ist mehr eine XP Frage. Vielen Dank das Du trotzdem darauf eingegangen bist.

Ja, ich möchte VRNW als eingeschränkter Nutzer nutzen.

Mir war nicht wirklich klar was diese Option bedeutet bzw. wie sie realisiert ist.

Ich habe kein Verzeichniss freigeben (jedenfalls nicht auf C) "Gemeinsame Dokumente" ist (zumindest bei mir) standardmäßig freigegeben und somit auch alle Unterordner.

Außerdem darf die Gruppe "Jeder" in "Gemeinsame Dokumente" fast alles außer "Vollzugriff" und "spezielle Berechtigungen" Da VRNW im Ordner "VR-NetWorld" darunter liegt erbt es alle Rechte, eben auch das "Jeder" alles darf. Ist das wirklich sinnvoll?

Das sind jetzt natürlich alles Betriebssystem Fragen, aber sollte die Standartinstallation einer Homebankingsoftware nicht die größt mögliche Sicherheit ohne Eingriff des unbedarften Kunden bieten?

Ich habe "Gemeinsame Dokumente" jetzt die Netzwerkfreigabe entzogen, jetzt kann ich wenigstens nicht mehr über das Netz auf den Ordner "VR-NetWorld" zugreifen.

Du hast recht, ich stehe noch am Anfang was das Sicherheitskonzept angeht, das hier sind nur Fragen die dabei auftauchen.

Wie gesagt Danke fürs Mitdenken und die Tipps.

Viele Grüße, Cord

Hallo Cord,

ok, dann ist bei Dir nicht das VR-NetWorld Software Programmverzeichnis freigegeben, sondern das Datenverzeichnis.

Bis zur Version 3.1 lagen alle Daten immer im eigentlichen VRNWS Verzeichnis, was die Rechtevergabe unter Umständen etwas kompliziert gemacht hat. Mit der Version 3.2 wurde das Konzept für VISTA (da ist die Pfadstruktur immer so) auch optional für Win2000 und WinXP übernommen. Sprich die Daten und andere veränderbare Dateien werden in einem Ordner unterhalb AllUsers abgelegt, so dass diese allen Windows Nutzern zur Verfügung gestellt werden kann, ohne das zusätzlich das VRNWS Verzeichnis frei gegeben werden muß. Wer das unter XP nicht wünscht, kann die Frage mit Nein beantworten, dann bleibt die alte Verzeichnisstruktur bestehen. Grundsätzlich erleichtert die Nutzung der Windowssicherheitsrichtlinien das Arbeiten mit eingeschränkten Benutzern.
Wenn Du also diese Konfiguration hast, ist die Konstellation schon recht sinnvoll. Natürlich geht es auch anders. Nur dann mußt Du halt sehr genau wissen, wo Du welche Rechte vergibst.

Gruß

Holger

Hallo Cord,

was du oben beschreibst ist in der Tat -teilweise- Standardvorgabe von XP und wahrscheinlich auch Vista. Der Ordner Gemeinsame Dokumente ist werksseitig mit einer Netzwerkfreigabe versehen und berechtigt ist das fiktive Benutzerkonto "Jeder".
Ich meine das gilt aber nicht für jede Konfiguration, eventuell nur dann wenn die einfache Dateifreigabe aktiviert ist, man sich also selbst der Steuerung der Freigaben entziehen will (für mich die höchste Form der Strafe wert...).

Das Benutzerkonto "Jeder" bedeutet aber anders als viele vermuten eben nicht das Recht, dass jedermann zugreifen kann, sondern das jedes existierende Benutzerkonto auf dem Rechner (oder der Domäne) zugreifen darf. Das Zugriffsrecht existiert also für alle Benutzer des Rechner, aber nicht für "Fremde". Fremde ohne eigenes Benutzerkonto/Kennwort werden in Windows durch das Gastkonto repräsentiert.

Das "wie" bezogen auf die Rechte der Benutzerkonten hinter "Jeder" ergibt sich nun einerseits relativ grob aus den Rechten der Freigabe an sich (also nur Lesen,Schreiben oder Vollzugriff) als auch zusätzlich und viel feiner aus den NTFS-Rechten aus der Registerkarte Sicherheit.

Ein sehr guter Admin hat mir mal vermittelt, dass man alle Berechtigungen im Netzwerk über Vollzugriff für Jeder einrichtet und den Rest mit NTFS-Rechten regelt. Nur das soll der richtige Weg sein

Das Gastkonto ist übrigens böse und gehört deaktiviert.

Ich überlege gerade: Wäre nicht das Verzeichnis "All Users\Anwendungsdaten" als Speicherort für die Datenbanken eventuell alternativ sinnvoll?

Hallo Holger, Hallo FRAG,

okay jetzt geht es nur noch um Windows, aber vielleicht ist das ja auch für den einen oder anderen interessant.
Ich habe ein XP pro, ich benutze nicht die einfache Dateifreigabe, mein Gastkonto ist nicht aktiviert. Auf dem Rechner soll grundsätzlich ohne Admin-Rechten gearbeitet werden. Es gibt Zugriffe auf Freigaben über LAN auch mit alten win '98 PC. Es gibt keine Domäne, nur lokale Benutzer.

Das ist aber eigentlich egal. Was mich blos gewundert hat ist das es doch möglich sein muss ein Programm auf einem PC mit ntfs so zu installieren bzw. updaten das es ohne Eingriff das Nutzers mit eingeschränkten Rechten läuft und trotzdem die Programmverzeichnisse nicht von Nutzern mit eingeschränkten Rechten verändert werden können.

Wie ich das verstehe habe ich jetzt das Gleiche in umgekehrt.
Vorher mußte ich einzelnen eingeschränkten Nutzern Schreibrechte in bestimmten VRNWS Verzeichnissen geben.
Jetzt muss ich herraus bekommen welche Rechte ich entziehen kann.
Warscheinlich wäre es in meinem Fall besser gewesen die Datenbank nach dem Update nicht zu verschieben.

Ich kann damit leben, es arbeiten nur vertrauenswürdige Leute mit dem Rechner. Aber ist das sinnvoll oder habe ich das falsch verstanden?

Viele Grüße und einen noch sonnigen Tag, Cord