Gebruikerstip 26 (April 2003)


Gebruikersbeheer en rechten

In alle moderne besturingssystemen wordt er gebruik gemaakt van gebruikersbeheer. Dit houdt in dat op alle moderne systemen zoals WindowsXP, MacOsX, Linux enz. er bepaalde gedeeltes van de computer kunnen worden opengesteld, en, minstens zo belangrijk, bepaalde delen kunnen worden afgesloten. Een veel gehoorde kreet is: "ik hoef niets aan gebruikersbeheer te doen, ik geef gewoon iedereen volledige toegang via een en dezelfde naam/wachtwoord combinatie" (waarbij er meestal geen sprake is van een wachtwoord). Dit is geen behoorlijke manier om uw systeem(en) te beheren, er zijn veel redenen te noemen om juist wel gebruik te maken van de beheermogelijkheden, immers niet iedereen hoeft hetzelfde te doen op een systeem, en alleen al het beperken van mogelijkheden en het daarmee vereenvoudigen van taken is al zinvol! (immers: wanneer u alleen maar gebruik wilt maken van de mogelijkheden om tekst te verwerken op een machine, dan is het toch niet meer dan logisch dat u alleen dat terugvindt in uw startmenu en op uw bureaublad, u heeft er dan niets aan om ook dat tekenprogramma of dat spel daar te vinden). Gebruik maken van rechten en gebruikersbeheer is dus zeker zinvol en heeft niets te maken met mensen wel of niet vertrouwen, maar veel meer met het beschermen van de structuur van uw besturingssysteem en het intact houden van ieders eigen instellingen en persoonlijke voorkeuren.

Deze tip is te groot om in een keer te behandelen, vandaar dat de tip van deze maand gaat over gebruikersbeheer onder Windows (zowel Windows 2000 als Windows XP en tot op zekere hoogte Windows NT 4). De tip van volgende maand gaat over gebruikersbeheer onder Linux, en daarmee in feite over gebruikersbeheer onder Unix in het algemeen, en daarmee dus ook het gebruikersbeheer onder MacOsX.

Maar eerst nog enkele algemene opmerkingen: Voor een effectief gebruikersbeheer is het niet alleen noodzakelijk om gebruik te maken van gebruikers en groepen met bepaalde rechten, maar moeten de gebruikers ook zelf meewerken. Een gebruikersaccount zonder wachtwoord is namelijk vragen om problemen! Een bedrijf dat gebruikersaccounts heeft zonder wachtwoord, kan net zo goed geen gebruikersaccounts instellen, aangezien gebruikers nauwelijks nog kijken onder welke naam ze zich aanmelden, immers een maal op <enter> drukken is voldoende om het systeem te kunnen gebruiken. Moedig uw gebruikers daarom aan om altijd gebruik te maken van naam en wachtwoord. De tweede opmerking is speciaal voor systeembeheer: maak het uzelf niet te ingewikkeld, het is in principe mogelijk om de rechten voor iedere gebruiker zeer nauw te definieren, maar dat is lang niet altijd wenselijk. Wanneer er voor iedere gebruiker een exact gedefinieerd profiel bestaat, is het zeer eenvoudig om het overzicht te verliezen, en is het aanpassen van profielen in een veranderende situatie, vooral met veel gebruikers een hels karwei. Definiëer rechten zoveel mogelijk op basis van (standaard) groepsprofielen. Dit maakt ook dat veranderingen in een organisatie eenvoudig door te voeren zijn in het systeem (denk bijvoorbeeld aan een stagiair die opgewaardeerd moet worden tot medewerker, met de daarbijbehorende extra rechten). Tenslotte: een systeem is lokaal altijd te benaderen; wanneer iemand fysieke toegang tot een systeem heeft, kan deze persoon in principe ook het gehele systeem controleren. Dit is echter niet altijd even eenvoudig, en voor normaal gebruik is dit dan ook geen probleem, immers wanneer iemand de moeite neemt om een compleet systeem te kraken, dan is deze persoon ofwel daartoe gerechtigd, of er is iets heel anders aan de hand, en dan is het te hopen dat de politie al onderweg is...

Gebruikersbeheer onder Windows is een relatief nieuw gegeven. Ook onder Windows 9x bestond er al een, rudimentaire, vorm van gebruikersbeheer (rudimentair omdat bijvoorbeeld met de <esc>-knop de aanmeldprocedure omzeild kon worden). Met Windows NT werd gebruikersbeheer onderdeel van het besturingssysteem. Hierin was het wel mogelijk om gebruikers dwingende rechten op te leggen, en was het met het NTFS bestandssysteem ook mogelijk om rechten tot bepaalde delen van de harde schijf te beperken. Het gebruikersbeheer zoals dat bestond in Windows NT is met Windows 2000 verder uitgebouwd en daarna vrijwel compleet overgenomen in Windows XP. Echter een verschil: WindowsXP gaat in de "home"-versie uit van beheerdersrechten voor alle (nieuwe) gebruikers, terwijl Windows 2000 en WindowsXP "professional" vragen welke rechten u de nieuwe gebruiker wilt toekennen. Voor dit toekennen van rechten wordt er uitgegaan van standaard groeps-profielen. In Windows 2000 / XP zijn de volgende (relevante) standaard profielen te vinden:

De volgorde van deze lijst is niet gebaseerd op de rechten van de groepen, maar alfabetisch. Een correcte lijst in volgorde van meer naar minder rechten zou zijn:

Voor "Domain" users / administrators geldt dat zij in principe dezelfde rechten hebben als "gewone" users / administrators, maar dan niet op de lokale machine, maar voor het domein (= de groep) waartoe de machines behoren. Als gewone gebruiker heeft u niets met deze "domain" groepen te maken. Om dezen te kunnen gebruiken heeft u een netwerk nodig met daarin een Windows server die optreedt als "domain controller". Het voordeel van dit systeem is dat u gebruikers met hun rechten slechts een maal hoeft te definiëren en dat deze rechten dan geldig zijn voor alle machines binnen het domain.
Voor normaal gebruik, dus binnen een enkele machine of binnen een werkgroep, voegt u nieuwe gebruikers toe aan de groep "Users". Met de rechten die deze groep heeft, kunt u in principe alle taken uitvoeren die een gebruiker wil / moet uitvoeren. Gebruikers hebben niet het recht om programma´s te installeren. Wilt u een gebruiker wel de rechten geven om programma´s te installeren, dan moet u deze gebruiker tenminste "Power User" maken. U geeft een gebruiker daarmee impliciet ook de rechten om programma´s te verwijderen en alle andere rechten die bij de privileges van deze groep horen. Gebruikers die tot de groep "Guests" behoren mogen een machine wel gebruiken, maar hebben niet het recht om te schrijven naar de harde schijf (met uitzondering van de tijdelijke map).

Zoals gezegd kunt u ook bepaalde mappen alleen toegankelijk maken voor bepaalde mensen. Dit kan handig zijn om bijvoorbeeld iedere gebruiker (of gebruikersgroep) een eigen, met de groep gedeelde documenten map te geven. Hiervoor moet u de koppeling voor de documentenmap laten verwijzen naar de juiste map, en op die map de gebruikersgroep lees en schrijfrechten geven. U kunt op deze map bijvoorbeeld ook andere gebruikers alleen leesrechten geven. Hiervoor dient zoals gezegd de harde schijf wel NTFS geformatteerd te zijn. U kunt dan met de rechter muisknop op een map klikken, en onder het tabblad rechten bepaalde gebruikers, en rechten voor die gebruikers toevoegen of weghalen. Een opmerking hierbij: Het is onder Windows mogelijk om ook de groep "Administrators" te weren uit een map. Dit is absoluut af te raden! Immers wanneer de groep er zelf om de een of andere reden niet meer in kan, kan dan meteen niemand meer bij de gegevens in de betreffende map. Geef de beheerder dus altijd toegang tot alle mappen.

In een netwerk heeft een gebruiker die "Administrator" is op de ene machine, daarmee nog geen beheerders rechten op een andere machine. Ook dit is uit veiligheidsoverwegingen. Wilt u op beide machines "Administrator" rechten, dan moet u voor de betreffende gebruiker op beide machines een account aanmaken met de bijbehorende rechten.

Een laatste opmerking: pas op met gebruikersbeheer met betrekking tot veel Windows programma´s. Er zijn nogal wat programma´s die voor Windows geschreven zijn, maar die het concept gebruikersbeheer zoals dat door het besturingssysteem geïmplementeerd is, niet ondersteunen. Het gevolg hiervan is dat deze programma´s niet of niet goed werken onder een "User" account. Er bestaan twee mogelijke oplossingen voor dit probleem: u geeft de gebruikers die het betreffende programma moeten gebruiken meer rechten, of u verandert de rechten van de groep "Users" zodanig dat de onderdelen die het programma nodig heeft daarbinnen vallen. De tweede optie is aanmerkelijk veiliger dan de eerste, maar ook iets ingewikkelder.

Zoals gezegd volgende maand deel twee: gebruikersbeheer onder Unix Wilt u meer weten over gebruikersbeheer, of heeft u aanvullende tips, stuur ons dan een e-mail.



home