Windows Netzwerke
Ein Netzwerk
einrichten unter WinXP
|
Weitere Rechner mit der Installationsdiskette konfigurieren Haben Sie vom Assistenten eine Installationsdiskette anlegen lassen, dann gehen Sie jetzt so vor: Legen Sie die Diskette in den Computer, der als nächstes konfiguriert werden soll. Im Startmenü wählen Sie Arbeitsplatz und öffnen dann das Diskettenlaufwerk. Rufen Sie Netsetup auf. Einige Dateien werden auf dem Rechner installiert, und eventuell ist ein Neustart nötig. Bei Windows XP Rechnern startet dagegen sofort der Installationsassistent. Folgen Sie den Anweisungen des Assistenten wie eben beschrieben, um auch diesen Computer für das Netzwerk zu konfigurieren. Weitere Rechner mit der Windows XP-CD konfigurieren Haben Sie die Windows XP-CD griffbereit, dann legen Sie diese CD ins Laufwerk des Rechners, der als nächster konfiguriert werden soll. Nach einigen Sekunden öffnet sich das Willkommen-Fenster. Geschieht dies nicht, dann öffnen Sie die CD im Explorer und starten das Programm Setup von Hand per Doppelklick. Klicken Sie auf Zusätzliche Aufgaben durchführen. Klicken Sie dann auf Kleines Firmen- oder Heimnetzwerk einrichten. Der Assistent startet. Gehen Sie nun vor wie eben beschrieben, um auch diesen Rechner für das Netzwerk zu konfigurieren. Das Heimnetzwerk testen Haben Sie alle Rechner eingerichtet, dann können Sie Ihr Heimnetzwerk sofort ausprobieren: Wählen Sie im Startmenü Netzwerkumgebung. Ein Fenster öffnet sich und zeigt Ihnen alle freigegebenen Ordner in Ihrem Heimnetzwerk an, die Sie erreichen können. Dieser Vorgang kann eine Weile dauern, wenn Rechner im Netzwerk nicht eingeschaltet sind, zu denen früher schon eine Verbindung bestand, weil Windows XP dann einige Sekunden auf diese Rechner wartet. Klicken Sie links in der Liste Netzwerkaufgaben auf Arbeitsgruppencomputer anzeigen. Jetzt sehen Sie alle Computer Ihres Heimnetzwerks. Öffnen Sie einen Computer in dieser Ansicht, dann sehen Sie alle freigegebenen Ordner und Geräte dieses Computers. Der Netzwerkinstallations-Assistent hat bereits alle Drucker und den Ordner Gemeinsame Dokumente freigegeben. Funktioniert Ihr Heimnetzwerk wie geplant, dann entdecken Sie nun die Möglichkeiten Ihres neuen Netzwerks in P Kapitel 13. Wollen Sie sich dagegen näher anschauen, was der Heimnetzwerkassistent hinter den Kulissen getrieben hat, und wie Sie die Netzwerkeinstellungen von Hand ändern, dann ist das nächste Kapitel ebenfalls für Sie richtig. Netzwerkprobleme im Heimnetzwerk meistern Der Heimnetzwerk-Assistent funktioniert nur dann reibungslos, wenn Sie ihn auf einem frischen System ausführen. Wurde das Netzwerk bereits konfiguriert, dann kann er nicht mehr alle Einstellungen automatisch einstellen, und Verbindungsprobleme können die Folge sein. Ist Ihnen das passiert, dann verwenden Sie die folgenden Strategien, um Konfigurationsfehler zu finden und zu korrigieren. Netzwerkumgebung zeigt nur eigenen Computer an Werden andere Computer nicht in der Netzwerkumgebung angezeigt, dann warten Sie ein paar Minuten. Die Netzwerkumgebung funktioniert wie ein Netzwerk-Telefonbuch, und ein Dienst muss zuerst prüfen, welche Computer eingeschaltet und erreichbar sind. Dieser Vorgang kann ein paar Minuten dauern. Wollen Sie so lange nicht warten, dann können Sie die Netzwerkverbindung auch von Hand und ohne den Suchdienst aufbauen: Finden Sie zuerst den Computernamen des Rechners heraus, den Sie erreichen wollen. Dazu öffnen Sie beim Zielcomputer das Startmenü und klicken mit der rechten Maustaste auf Arbeitsplatz. Wählen Sie Eigenschaften. Das Fenster Systemeigenschaften öffnet sich. Aktivieren Sie die Registerkarte Computername. Hinter Computername: wird nun der Name des Computers angegeben. Zum Namen gehört nicht der Punkt am Ende des Namens. Lassen Sie diesen Punkt weg. Wählen Sie nun auf dem Computer, von dem aus Sie eine Verbindung herstellen wollen, im Startmenü Ausführen. Geben Sie zwei umgekehrte Schrägstriche und dann den Computernamen ein, also zum Beispiel \\TEST62 Eingabe. Der Rechner versucht nun, über das Netzwerk eine Verbindung zum Computer TEST62 aufzubauen. Gelingt dies, dann öffnet sich ein Explorer-Fenster, und Sie sehen die auf diesem Rechner freigegebenen Ressourcen. Kann die Verbindung nicht hergestellt werden, dann ergibt sich eine mehrsekündige Wartepause, in der der Rechner nach dem Zielrechner sucht. Anschließend erscheint eine Fehlermeldung. Kann der Zielrechner nicht erreicht werden, dann liegen ernsthafte Verbindungsprobleme vor. In den meisten Fällen ist eine falsche Konfiguration des TCP/IPProtokolls schuld, die sich leicht beheben lässt. Aber auch Verkabelungsfehler und nicht eingeschaltete Computer können Schuld sein. Ein Computer wird nicht angezeigt, wenn ich Arbeitsgruppencomputer anklicke Der Befehl Arbeitsgruppencomputer anzeigen im Fenster Netzwerkumgebung zeigt alle Computer an, die Mitglied in derselben Arbeitsgruppe sind. In welcher Arbeitsgruppe ein Computer Mitglied ist, wird bei der Konfiguration des Netzwerks festgelegt, kann aber auch nachträglich geändert werden. Jeder Computer kann nur Mitglied in einer einzigen Arbeitsgruppe oder einer Domäne sein. So prüfen Sie die Mitgliedschaft in einer Arbeitsgruppe und ändern diese: Öffnen Sie das Startmenü und klicken Sie mit der rechten Maustaste auf Arbeitsplatz. Im Kontextmenü wählen Sie Eigenschaften. Registerkarte Computername. Jetzt sehen Sie hinter Arbeitsgruppe:, in welcher Arbeitsgruppe Ihr Computer Mitglied ist. Wollen Sie Mitglied in einer anderen Arbeitsgruppe sein, dann klicken Sie auf die Schaltfläche Ändern. Das Fenster Computernamen ändern öffnet sich. Aktivieren Sie im Bereich Mitglied von die Option Arbeitsgruppe: Dahinter geben Sie den Namen der Arbeitsgruppe ein, in der Ihr Computer geführt werden soll. Dann klicken Sie auf OK. Die neuen Einstellungen werden erst nach einem Neustart wirksam, weil sich Ihr Rechner neu ans Netzwerk anmelden muss. Die Netzwerkumgebung zeigt einen Computer überhaupt nicht an Werden zwar die meisten, aber nicht alle Computer in der Netzwerkumgebung angezeigt, dann prüfen Sie, obSie die nicht aufgeführten Computer direkt erreichen können (siehe vorangegangene Rezepte) Wenn ich versuche, auf einen freigegebenen Ordner zuzugreifen, wird mir mitgeteilt, dass mir die erforderlichen Berechtigungen fehlen, oder es erscheinen andere sonderbare Fehlermeldungen Das einfache Heimnetzwerk verwendet die Gast Authentifizierung: alle Netzwerkzugriffe werden über das spezielle Gast-Benutzerkonto abgewickelt. Diese Form des Netzwerkzugriffs ist besonders sicher und einfach, weil Eindringlinge im Namen des Gast-Kontos keinen nennenswerten Schaden anrichten können. Allerdings funktioniert das Netzwerk nur dann richtig, wenn alle beteiligten Computer die Gast-Authentifizierung verwenden. Wurde das Netzwerk bereits von Hand umkonfiguriert, dann kann es sein, dass die Gast-Authentifizierung nicht mehr eingeschaltet ist. Im • Kapitel 13 lesen Sie, wie Sie die Authentifizierungsart wählen und ausführlich testen. Bleiben die Probleme bestehen, dann stellen Sie sicher, dass der freigegebene Ordner, auf den Sie zugreifen wollen, auch tatsächlich mit dem Freigabeassistenten freigegeben wurde. Wurde der Ordner auf andere Weise freigegeben, dann sind seine NTFS-Zugriffsberechtigungen unter Umständen noch so eingestellt, dass dem Gast-Konto kein Zugriff gewährt wird. Weitere Fehlermöglichkeiten liegen im Benutzerkonto, das Sie verwenden. Wenn Sie auf einen fremden Computer zugreifen und dort nicht die Gast-Anmeldung aktiv ist, dann werden Sie unter Ihrem aktuellen Benutzernamen angemeldet. Gibt es auf dem Zielrechner ein Konto mit diesem Namen, dann überprüft Windows XP Ihr Anmeldekennwort und gestattet den Zugriff nur, wenn das Kennwort Ihres Kontos mit dem Kennwort des Kontos auf dem Zielsystem übereinstimmt. Gibt es auf dem Zielsystem kein Benutzerkonto Ihres Namens, dann öffnet sich ein Fenster, in das Sie den Benutzernamen und das Kennwort eines Kontos eingeben müssen, das auf dem Zielsystem vorhanden ist. Eine weitere Falle lauert bei Benutzerkonten, für die kein Kennwort festgelegt wurde. Solche Konten dürfen aus Sicherheitsgründen keine Netzwerkzugriffe durchführen. Legen Sie in diesem Fall zuerst ein Kennwort für das Konto fest. |
Die »Einfache
Dateifreigabe« verstehen Das Heimnetzwerk verwendet eine besondere Form der Netzwerkanmeldung: alle Benutzer, die über das Netzwerk zugreifen, werden dem Konto Gast zugeordnet. Das löst gleich mehrere Probleme in einfachen Netzwerken: o Eindringlinge können als Nutzer des stark eingeschränkten GastBenutzerkontos das System nicht beschädigen, selbst wenn diese Eindringlinge einen ungesicherten Hintereingang in das System gefunden haben. o Alle Netzwerkbenutzer werden in einen Topf geworfen. Komplizierte Zugangsberechtigungen für einzelne Benutzer oder verschiedene Gruppen müssen nicht eingerichtet werden. Die Freigabe von Ordnern im Netzwerk ist auch für Anfänger einfach und mit wenigen Klicks zu lösen. o Eine Benutzeranmeldung ist nicht mehr nötig, weil nicht zwischen unterschiedlichen Netzwerkbenutzern unterschieden wird. Damit können auch Benutzer von Windows 95, 98 und Millennium freigegebene Ordner auf Windows XP-Systemen nutzen, ohne verwirrende Anmeldedialoge zu sehen. Professionelle Netzwerker werden allerdings auch eine Reihe von Einschränkungen bemängeln, die sich aus der Vereinfachung zwingend ergeben: o Weil nicht mehr zwischen unterschiedlichen Netzwerkbenutzern unterschieden wird, können Administratoren nicht mehr mit erhöhten Privilegien via Netzwerk auf Windows XP Systeme zugreifen. Die administrativen Freigaben wie zum Beispiel C$, über die ein Administrator auf das Laufwerk C:\ zugreifen konnte, funktionieren nicht mehr. o Es kommt zu teils verwirrenden Anmeldedialogen, wenn versucht wird, auf geschützte Ordner zuzugreifen. Ganz gleich, welcher Benutzername und welches Kennwort eingegeben wird: der Zugriff wird stets verweigert. Das ist natürlich kein Wunder, denn intern leitet Windows XP den Benutzer auf das Gast-Konto um, das auf die geschützten Ordner keinen Zugriff hat. o Werden Ordner nicht mit dem Freigabe-Assistenten freigegeben, dann kann der Zugriff via Netzwerk auf solche Ordner ebenfalls in ständigen »Zugriff verweigert«-Meldungen enden. Nur der Assistent passt die lokalen NTFS-Zugriffsberechtigungen automatisch so an, dass das Gast-Konto darauf zugreifen kann. Einfache Dateifreigabe abschalten Deshalb können Sie selbst entscheiden, welche Form der Netzwerkanmeldung Windows XP verwenden soll: die neue einfache oder die klassische Anmeldung: 1. Wählen Sie im Startmenü Systemsteuerung und öffnen Sie das Modul Ordneroptionen. Das Fenster Ordneroptionen öffnet sich. 2. Aktivieren Sie die Registerkarte Ansicht. Schalten Sie die Option Einfache Dateifreigabe verwenden ab, wenn Sie die klassische Anmeldung verwenden möchten. Wenn Sie die einfache Dateifreigabe abschalten, dann ändern sich die folgenden Dinge: Anwender, die über das Netzwerk auf Ihren Rechner zugreifen wollen, müssen sich mit einem gültigen Benutzernamen und Kennwort ausweisen. Der Benutzername muss einem Benutzerkonto entsprechen, das auf Ihrem Rechner angelegt ist. Sie sind selbst dafür verantwortlich, die Zugriffsberechtigungen für freigegebene Ordner zu setzen. Deshalb ändert sich das FreigabeDialogfeld, das Sie sehen, wenn Sie Ordner im Netzwerk freigeben. Mit ihm können Sie jetzt nur noch den Ordner freigeben. Hilfsoptionen wie Netzwerkbenutzer dürfen Dateien verändern, die die Zugriffsrechte für die Jeder-Gruppe automatisch setzen, fehlen jetzt. Dafür erscheint auf der Eigenschaften-Seite des Ordners die zusätzliche Registerkarte Sicherheit, über die Sie die Zugriffsberechtigungen selbst in jedem gewünschten Detail setzen können. o Ganz wichtig: Haben Sie Ordner im Netzwerk freigegeben, während die einfache Dateifreigabe abgeschaltet war, und schalten Sie die einfache Dateifreigabe später wieder ein, dann sind diese Ordner nicht mehr über das Netzwerk nutzbar, es sei denn, Sie haben explizit der Gruppe Jeder Zugriffsrechte gewährt. In der Praxis haben sich die folgenden Empfehlungen bewährt, um Sicherheitsproblemen aus dem Weg zu gehen: Haben Sie weder Lust noch Interesse, die Feineinstellungen des Netzwerks zu verwalten, dann verwenden Sie den Netzwerkinstallations-Assistent, um das Netzwerk einzurichten. Geben Sie Ordner anschließend nur über den Freigabe-Assistenten frei: ein Rechtsklick auf den Ordner und die Option Freigabe und Sicherheit wählen genügt. Windows kümmert sich jetzt nahtlos und im Hintergrund um alle wichtigen Einstellungen. o Benötigen Sie volle Kontrolle über das Netzwerk und den Netzwerkzugriff, dann verzichten Sie auf den Netzwerkinstallations-Assistenten. Richten Sie Ihr Netzwerk auf klassische Weise ein. Wie dies geschieht, ist im nächsten Kapitel beschrieben. Schalten Sie die einfache Dateifreigabe ab. Auf den folgenden Seiten finden Sie einige Szenarien, um die neue GastAnmeldung zu testen und vollends zu verstehen. Die Gast-Anmeldung testen Ist die Gast-Anmeldung aktiv, dann sind alle besonders geschützten Freigaben nicht mehr erreichbar. Probieren Sie dies aus, indem Sie sich von einem anderen System aus mit der administrativen Freigabe C$ Ihres Systems verbinden: 1. Wählen Sie im Startmenü Ausführen, und geben Sie ein: \\Rechnername\C$ Eingabe. Ersetzen Sie »Rechnername« durch den Namen eines Rechners in Ihrem Netzwerk. 2. Ein Anmeldefenster erscheint, und zwar unabhängig davon, ob Sie Administrator sind oder gewöhnlicher Benutzer. Die Gast-Anmeldung unterscheidet nicht zwischen Netzwerkbenutzern. 3. Ganz gleich, welches Benutzerkonto und welches Kennwort Sie eingeben: eine Verbindung wird nicht hergestellt. Sie werden auf dem Zielrechner automatisch auf das Gast-Konto umgeleitet, das keinen Zugriff auf die geschützte Freigabe C$ hat. Schalten Sie die Option Einfache Dateifreigaben verwenden ab, dann funktioniert das Beispiel von eben plötzlich. Allerdings nicht sofort: Erst wenn Sie sich ab- und wieder anmelden, werden die neuen Einstellungen wirksam. Der Grund: Es besteht noch eine laufende Netzwerksitzung, die nach wie vor die alten Einstellungen verwendet. Beenden Sie die laufende Sitzung manuell, dann werden die Einstellungen sofort wirksam. Neue freigegebene Ordner anlegen Legen Sie nun über den offiziellen Freigabe-Assistenten einen neuen freigegebenen Ordner an. Sorgen Sie zunächst dafür, dass Windows XP auch tatsächlich den einfachen Freigabe-Assistenten verwendet. Nur mit ihm lassen sich funktionierende Freigaben im Heimnetzwerk garantieren: 1. Wählen Sie im Startmenü Systemsteuerung, und öffnen Sie das Modul Ordneroptionen. Das Fenster Ordneroptionen öffnet sich. 2. Aktivieren Sie die Registerkarte Ansicht. Wählen Sie die Option Einfache Dateifreigabe verwenden. Dann klicken Sie auf OK. Nun legen Sie sich einen neuen freigegebenen Ordner an: 1. Klicken Sie mit der rechten Maustaste auf eine freie Stelle des Desktops, und wählen Sie Neu/Ordner. Nennen Sie den neuen Ordner TEST. 2. Klicken Sie den neuen Ordner mit der rechten Maustaste an, und wählen Sie Freigabe und Sicherheit. Aktivieren Sie die Registerkarte Freigabe. 3. Aktivieren Sie im Bereich Netzwerkfreigabe und -sicherheit die Option Diesen Ordner im Netzwerk freigeben. Ist diese Option nicht wählbar und wird im unteren Teil des Fensters gemeldet, dass das Netzwerk bei Ihnen aus Sicherheitsgründen noch nicht aktiviert ist, dann haben Sie den Netzwerkinstallations-Assistenten noch nicht ausgeführt. Lesen Sie unten, was hinter dieser Meldung steckt. 4. Aktivieren Sie im Bereich Netzwerkfreigabe und -sicherheit die Option Netzwerkbenutzer dürfen Dateien verändern, um anderen Netzwerkbenutzern zu erlauben, den Inhalt des freigegebenen Ordners zu verändern. Klicken Sie dann auf OK. 5. Der freigegebene Ordner wird mit einer servierenden Hand gekennzeichnet. Wechseln Sie nun zu einem anderen Computer, und verbinden Sie sich von dort aus zu dem freigegebenen Ordner. 6. Wählen Sie auf dem fremden Computer im Startmenü zum Beispiel Ausführen, und geben Sie ein: \\COMPUTERNAME\TEST Eingabe. Ein Explorer-Fenster öffnet sich, und Sie erhalten ohne weiteren Anmeldedialog Zugriff auf den freigegebenen Ordner. Über Datei/Neu/Textdatei könnten Sie darin zum Beispiel eine Textdatei anlegen, denn Sie besitzen Vollzugriff. |
Die Freigabe-Optionen
sind abgeblendet! Unter Umständen können Sie den Ordner auf Ihrem Desktop gar nicht freigeben, weil die Option Diesen Ordner im Netzwerk freigeben abgeblendet ist. Im unteren Teil des Fensters finden Sie die Erklärung: Die Optionen sind abgeblendet, weil ein übergeordneter Ordner dies verbietet. Sind Ihre persönlichen Daten geschützt, dann umfasst dieser Schutz auch die Ordner Eigene Dateien und Desktop. Sie können dann keine Ordner freigeben, die in Ihrem Benutzerprofil lagern. Dieser Schutz ist gewollt und wird von Windows XP automatisch eingerichtet, sobald Sie das erste Benutzerkonto mit einem Kennwort schützen. Der Schutz erstreckt sich nicht nur auf die Benutzerprofile. Auch Ordner, die innerhalb von Systemordnern wie dem Windows-Ordner liegen, lassen sich mit der Einfachen Dateifreigabe nicht freigeben. Welcher Ordner ist wohl der »übergeordnete« Ordner, in dem der Desktop liegt und der die Freigabe verhindert? Um das herauszufinden, klicken Sie einfach im unteren Teil des Dialogfeldes im Bereich der Erklärung auf den Link anderen Ordner. Jetzt öffnet sich das Freigabefenster des übergeordneten Ordners, der für die Einschränkung verantwortlich ist. Der Name des übergeordneten Ordners trägt den Namen Ihres Benutzerkontos: es ist Ihr Benützerprofil. Wollen Sie künftig in der Lage sein, Ordner in Ihrem Profil für andere freizugeben, dann schalten Sie die Option Diesen Ordner nicht freigeben ab. Klicken Sie auf OK. Die Ordnerberechtigungen der Unterordner werden geändert. Wiederholen Sie das Beispiel von eben. Sie müssen nun höchstens noch auf Klicken Sie hier, wenn Sie sich des Sicherheitsrisikos bewusst sind, aber Dateien dennoch freigeben möchten, ohne den Assistenten auszuführen klicken, um die Freigabe zu aktivieren. Der Hintergrund dieser Warnung ist einfach: Haben Sie den Netzwerkinstallations-Assistenten nicht ausgeführt, dann wurde die Internet-Firewall Ihres Internetzugangs nicht aktiviert. Fremde Internetnutzer könnten jetzt auf Ihre Freigaben ebenfalls zugreifen. Erscheint die Warnung bei Ihnen, dann schalten Sie unbedingt die Internet-Firewall von Hand ein. Jetzt können Sie den Ordner im Beispiel von eben freigeben. o Alle Unterordner des Benutzerprofils (einschließlich Eigene Dateien und Desktop) sind normalerweise über die Option Diesen Ordner nicht freigeben geschützt. Erst wenn diese Option im BenutzerprofilOrdner abgeschaltet wird, können Ordner im Netzwerk freigegeben werden, die im Benutzerprofil lagern. o Systemordner sind ebenfalls geschützt und können nicht freigegeben werden. o Alle sonstigen Ordner können jederzeit freigegeben werden, solange Sie die nötigen Berechtigungen dazu haben. Natürlich können Sie als Normalanwender keine Ordner in den Profilen anderer Benutzer freigeben. o Haben Sie nicht den Netzwerkinstallations-Assistenten verwendet oder aus anderen Gründen die Internet-Firewall Ihres Internetanschlusses nicht aktiviert, dann erscheint eine zusätzliche Sicherheitswarnung, über die Sie sich explizit hinwegsetzen müssen, um Ordner freigeben zu können. Die Warnung hat ernste Hintergründe: Weil die einfache Dateifreigabe den Zugriff auf Netzwerkfreigaben über die Jeder-Gruppe regelt, erlaubt sie anonyme Anmeldungen. Solange Sie mit dem Internet verbunden sind und keine Firewall verwenden, könnte jeder aus dem Internet heraus Ihre Freigaben mitnutzen. Ausgewählte Inhalte in freigegebenen Geben Sie einen Ordner frei, dann wird sein gesamter Inhalt einschließ lich aller Unterordner freigegeben. Probieren Sie das zunächst aus: 1. Öffnen Sie den Ordner, den Sie auf Ihrem Desktop freigegeben haben. Legen Sie darin einen neuen Ordner an: Datei/Neu/Ordner. Nennen Sie diesen Ordner Test2. 2. Wechseln Sie zum anderen Computer, der sich bereits mit dem freigegebenen Ordner verbunden hatte. Hier ist Ihr neu angelegter Ordner Test2 bereits aufgetaucht. Auch auf diesen Ordner haben Sie nun ferngesteuert volle Zugriffsrechte und könnten zum Beispiel auch in ihm neue Dateien anlegen. 3. Möchten Sie verhindern, dass der neue Ordner Test2 freigegeben ist, obwohl er sich in einem freigegebenen Ordner befindet, dann wechseln Sie zurück zu dem Computer, der den Ordner freigibt. Klicken Sie den neuen Ordner mit der rechten Maustaste an, und wählen Sie im Kontextmenü Freigabe und Sicherheit. 4. Das Freigabefenster öffnet sich, das den Zugriff auf Ordner über das Netzwerk regelt. Aktivieren Sie im Bereich Lokale Freigabe und Sicherheit die Option Diesen Ordner nicht freigeben. Diese Option ist abgeblendet, wenn der Ordner nicht auf einem NTFS-Laufwerk gespeichert ist. Unterordner können nur auf NTFS-Laufwerken gesperrt werden. Auf anderen Laufwerken sind Unterordner immer freigegeben. 5. Klicken Sie auf OK. Wechseln Sie nun zurück zu dem Computer, der über das Netzwerk auf Ihren Ordner zugreift. Dort ist der Zugriff auf den neuen Ordner plötzlich verboten. Identifizierung im Heimnetzwerk verstehen Um zu verstehen, wie Windows XP im einfachen Heimnetzwerk die Sicherheit garantiert, machen Sie ein weiteres Experiment. Legen Sie ferngesteuert über das Netzwerk in einem freigegebenen Ordner eine Textdatei an. Wechseln Sie dann zu dem Rechner, der den Ordner freigibt, und öffnen Sie den freigegebenen Ordner. Die Datei liegt darin. Um herauszufinden, unter welchem Benutzerkonto Windows XP den Netzwerkbenutzer führt, der diese Datei gerade angelegt hat, lassen Sie sich die Sicherheitseinstellungen der Datei zeigen. Das funktioniert allerdings nur, wenn der freigegebene Ordner auf einem NTFS-Laufwerk gespeichert ist: 1. Schalten Sie um von der einfachen Benutzerführung in die klassischen Sicherheits-Dialoge. Dazu wählen Sie im Explorer-Fenster Extras/Ordneroptionen und aktivieren Sie die Registerkarte Ansicht. 2. Schalten Sie die Option Einfache Dateifreigabe verwenden ab. Klicken Sie auf OK. 3. Klicken Sie nun die vom Netzwerkbenutzer angelegte Datei mit der rechten Maustaste an und wählen Sie Eigenschaften. Aktivieren Sie die Registerkarte Sicherheit. 4. Klicken Sie auf die Schaltfläche Erweitert. Das Fenster Erweiterte Sicherheitseinstellungen für Neu Textdokument öffnet sich. Aktivieren Sie die Registerkarte Besitzer. Im Feld Aktueller Besitzer dieses Elements: lesen Sie, wer diese Datei angelegt hat: Gast. Windows XP hat den Netzwerkbenutzer also unabhängig von seiner tatsächlichen Identität dem Gast-Konto zugeordnet. 5. Schließen Sie alle Fenster wieder. Bevor Sie die Option Einfache Dateifreigabe verwenden wieder aktivieren, sollten Sie noch ein weiteres Experiment unternehmen: Klicken Sie den auf Ihrem Desktop freigegebenen Ordner mit der rechten Maustaste an, und wählen Sie Freigabe und Sicherheit. Aktivieren Sie die Registerkarte Freigabe. 2. Das Dialogfeld sieht nun ganz anders aus als zuvor. Da Sie die Option Einfache Dateifreigabe verwenden abgeschaltet haben, sehen Sie nun in das ungeschminkte Gesicht des klassischen Freigabe-Dialogs. Dieses Dialogfeld verrät Ihnen weitaus mehr Informationen, zum Beispiel auch, wie Windows XP den Zugriff auf den Ordner im Netzwerk sichert. Klicken Sie auf die Schaltfläche Berechtigungen. 3. Jetzt sehen Sie, dass Windows XP auf der Registerkarte Freigabeberechtigungen der Gruppe Jeder Vollzugriff gewährt hat. Dies erklärt, warum jeder vom Netzwerk aus auf diesen Ordner zugreifen und darin auch Änderungen vornehmen darf. 4. Es erklärt aber noch nicht, wie Windows XP den Zugriff auf neu angelegte Ordner im freigegebenen Ordner wieder unterbunden hat. Um das herauszufinden, schließen Sie das Fenster. Öffnen Sie den freigegebenen Ordner auf dem Desktop, und klicken Sie den Ordner mit der rechten Maustaste an, den Sie eben aus der Freigabe wieder herausgenommen haben. Wählen Sie Eigenschaften. 5. Aktivieren Sie die Registerkarte Sicherheit. Diese ist nur vorhanden, wenn der Ordner auf einem NTFS-Laufwerk gespeichert ist. In der Sicherheitsliste sehen Sie, dass Windows XP nur noch dem System und dem Besitzer der Datei Zugriff gewährt. Da alle Netzwerkbenutzer das Konto Gast verwenden, hat das Netzwerk keinen Zugriff auf diesen Ordner mehr. 6. Wiederholen Sie diese Schritte zur Kontrolle an einem Ordner, dem Sie nicht die Freigabe entzogen haben. Legen Sie notfalls kurz einen neuen Ordner in Ihrem freigegebenen Ordner an. Hier zeigen die Sicherheitseinstellungen, dass auch Administratoren und vor allen Dingen die Gruppe Jeder Zugriff haben. 7. Klicken Sie einen solchen Eintrag in der oberen Liste an, dann sind die Häkchen in der unteren Liste in der Spalte Zulassen abgedunkelt und nicht änderbar. Diese Berechtigungen wurden also nicht neu gesetzt. Sie wurden vom übergeordneten Ordner geerbt. 8. Woher die Vererbungen stammen, finden Sie als nächstes heraus. Klicken Sie auf die Schaltfläche Erweitert. Ein neues Fenster öffnet sich. 9. In der Liste Berechtigungseinträge sehen Sie, woher die Berechtigungen stammen. Der Vollzugriff für Jeder stammt - anders als all die übrigen Berechtigungen - von dem Ordner, den Sie freigegeben haben. Der Freigabe-Assistent hat diesen Eintrag also angelegt. |
Probleme mit Freigaben meistern Und genau diese Erkenntnisse sind von größter Wichtigkeit: Geben Sie Ordner nämlich nicht über den Freigabe-Assistenten frei, sondern auf anderem Wege, dann wird der Ordner zwar im Netzwerk korrekt freigegeben, aber die NTFS-Zugriffsberechtigungen werden nicht so eingestellt, wie sie für die Gast-Anmeldung notwendig wären.Auch das sollten Sie sich genauer ansehen. Wenn Sie den bisherigen Beispielen gefolgt sind, dann ist die Option Einfache Dateifreigabe verwenden abgeschaltet. Legen Sie nun einen Ordner an, ohne den Freigabe-Assistenten zu verwenden: 1. Legen Sie einen neuen Ordner auf dem Desktop an: Rechtsklick/ Neu/Ordner. Nennen Sie ihn KI assi sch. 2. Klicken Sie den Ordner mit der rechten Maustaste an, und wählen Sie Freigabe und Sicherheit. Aktivieren Sie die Registerkarte Freigabe. 3. Der klassische Freigabe-Dialog erscheint. Aktivieren Sie die Option Diesen Ordner freigeben. Klicken Sie dann auf OK. Der Ordner ist freigegeben. 5. Schalten Sie deshalb die einfache Dateifreigabe wieder ein: In einem beliebigen Explorer-Fenster wählen Sie Extras/Optionen, klicken auf Ansicht und schalten die Option Einfache Dateifreigabe verwenden wieder ein. Dann klicken Sie auf OK.6. Klicken Sie nun den eben freigegebenen Ordner auf Ihrem Desktop noch einmal mit der rechten Maustaste an. Wählen Sie wieder Freigabe und Sicherheit, und aktivieren Sie die Registerkarte Freigabe.7. Diesmal erscheint wieder der Freigabe-Assistent. Deaktivieren Sie im Bereich Netzwerkfreigabe und -sicherheit die Option Diesen Ordner im Netzwerk freigeben, falls die Option gewählt ist, und wählen Sie sie erneut. Klicken Sie auf die Schaltfläche Übernehmen.B. Versuchen Sie nun erneut, sich mit dem freigegebenen Ordner zu verbinden. Nun klappt die Verbindung, denn der Freigabe-Assistent hat dem Ordner ein Zugriffsrecht für die Gruppe jeder erteilt.4. Versuchen Sie sich nun, von einem anderen System aus mit diesem Ordner zu verbinden. Die Verbindung scheitert mit der Meldung, dass Ihnen Berechtigungen fehlen. Der Grund ist klar: in aller Regel wird der Gruppe jeder kein Zugriff gewährt. Dies passiert erst, wenn Sie den Freigabe-Assistenten verwenden.n5. Schalten Sie deshalb die einfache Dateifreigabe wieder ein: In einem beliebigen Explorer-Fenster wählen Sie Extras/Optionen, klicken auf Ansicht und schalten die Option Einfache Dateifreigabe verwenden wieder ein. Dann klicken Sie auf OK. 6. Klicken Sie nun den eben freigegebenen Ordner auf Ihrem Desktop noch einmal mit der rechten Maustaste an. Wählen Sie wieder Freigabe und Sicherheit, und aktivieren Sie die Registerkarte Freigabe. 7. Diesmal erscheint wieder der Freigabe-Assistent. Deaktivieren Sie im Bereich Netzwerkfreigabe und -sicherheit die Option Diesen Ordner im Netzwerk freigeben, falls die Option gewählt ist, und wählen Sie sie erneut. Klicken Sie auf die Schaltfläche Übernehmen. 8. Versuchen Sie nun erneut, sich mit dem freigegebenen Ordner zu verbinden. Nun klappt die Verbindung, denn der Freigabe-Assistent hat dem Ordner ein Zugriffsrecht für die Gruppe jeder erteilt. Die »Einfache Dateifreigabe« verstehen Das Heimnetzwerk verwendet eine besondere Form der Netzwerkanmeldung: alle Benutzer, die über das Netzwerk zugreifen, werden dem Konto Gast zugeordnet. Das löst gleich mehrere Probleme in einfachen Netzwerken: 1. Eindringlinge können als Nutzer des stark eingeschränkten GastBenutzerkontos das System nicht beschädigen, selbst wenn diese Eindringlinge einen ungesicherten Hintereingang in das System gefunden haben. 2. Alle Netzwerkbenutzer werden in einen Topf geworfen. Komplizierte Zugangsberechtigungen für einzelne Benutzer oder verschiedene Gruppen müssen nicht eingerichtet werden. Die Freigabe von Ordnern im Netzwerk ist auch für Anfänger einfach und mit wenigen Klicks zu lösen. 3. Eine Benutzeranmeldung ist nicht mehr nötig, weil nicht zwischen unterschiedlichen Netzwerkbenutzern unterschieden wird. Damit können auch Benutzer von Windows 95, 98 und Millennium freigegebene Ordner auf Windows XP-Systemen nutzen, ohne verwirrende Anmeldedialoge zu sehen. Professionelle Netzwerker werden allerdings auch eine Reihe von Einschränkungen bemängeln, die sich aus der Vereinfachung zwingend ergeben: 4. Weil nicht mehr zwischen unterschiedlichen Netzwerkbenutzern unterschieden wird, können Administratoren nicht mehr mit erhöhten Privilegien via Netzwerk auf Windows XP Systeme zugreifen. Die administrativen Freigaben wie zum Beispiel C$, über die ein Administrator auf das Laufwerk C:\ zugreifen konnte, funktionieren nicht mehr. 5. Es kommt zu teils verwirrenden Anmeldedialogen, wenn versucht wird, auf geschützte Ordner zuzugreifen. Ganz gleich, welcher Benutzername und welches Kennwort eingegeben wird: der Zugriff wird stets verweigert. Das ist natürlich kein Wunder, denn intern leitet Windows XP den Benutzer auf das Gast-Konto um, das auf die geschützten Ordner keinen Zugriff hat. Werden Ordner nicht mit dem Freigabe-Assistenten freigegeben, dann kann der Zugriff via Netzwerk auf solche Ordner ebenfalls in ständigen »Zugriff verweigert«-Meldungen enden. Nur der Assistent passt die lokalen NTFS-Zugriffsberechtigungen automatisch so an, dass das Gast-Konto darauf zugreifen kann. 6. Klicken Sie auf die Schaltfläche Kopieren, um die bisher vererbten Rechte direkt in der Datei zu verwalten. Klicken Sie auf OK. 7. Die Häkchen in der Spalte Zulassen sind plötzlich nicht mehr abgeblendet. Klicken Sie in der oberen Liste auf Jeder, denn diese Gruppe regelt, wie Netzwerkbenutzer diese Datei nutzen dürfen. Schalten Sie dann die Berechtigungen für Ändern und Schreiben aus. Klicken Sie auf OK. 8. Greifen Sie jetzt von einem Netzwerkrechner aus auf den freigegebenen Ordner zu. Darin befindet sich Ihre Datei Readme.txt. Sie können diese Datei nun öffnen und ihren Inhalt lesen. Sobald Sie aber versuchen, die Datei zu speichern oder zu löschen, wird der Zugriff verweigert. Gerade haben Sie gesehen, wie nützlich es sein kann, selbst Hand an die NTFS-Zugriffsberechtigungen zu legen. Für die meisten Anwendungsfälle genügt die Automatik, die das Heimnetzwerk benutzt, aber wenn Ihnen diese Automatik in Einzelfällen nicht flexibel genug ist, haben Sie jetzt gesehen, wie Sie die NTFS-Zugriffsrechte von Hand anpassen und feinjustieren. Mehr zu den NTFS-Zugriffsrechten lesen Sie im t Kapitel 19. WICHTIG Die NTFS-Zugriffsrechte regeln nicht nur, wie Netzwerkbenutzer auf die damit geschützten Ordner, Dateien und Objekte zugreifen dürfen. Die NTFS-Zugriffsrechte regeln auch, was lokal angemeldete Benutzer tun dürfen und was nicht. Beschränken Sie sich deshalb bei eigenen Experimenten stets auf die Gruppe Jeder, die die Netzwerkbenutzer repräsentiert. Andernfalls kann es Ihnen passieren, dass Sie sich selbst oder andere Benutzer ausschließen. Freigaben über Computerverwaltung Auch über die Computerverwaltung lassen sich Freigaben einrichten. Hier bietet Ihnen das Dialogfeld verschiedene Vorschläge für die Zugangsberechtigungen an. Diese Vorschläge haben aber nur dann einen Sinn, wenn Sie nicht die einfache Dateifreigabe verwenden, weil sonst ja ohnehin alle Netzwerk-Anwender unter demselben Gast-Konto geführt werden und eine weitere Differenzierung der Zugriffsberechtigungen sinnlos wäre. 1. Klicken Sie im Startmenü mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie Verwalten. Das Fenster Computerverwaltung öffnet sich. 2. Expandieren Sie links den Zweig Freigegebene Ordner, und klicken Sie mit der rechten Maustaste auf Freigaben. Wählen Sie Neue Freigabe. 3. Geben Sie den Ordner an, den Sie freigeben wollen, sowie den Freigabenamen. Klicken Sie auf Weiter. 4. Jetzt können Sie aus verschiedenen typischen Zugriffsberechtigungen auswählen. Gast-Authentifizierung und klassische Authentifizierung In professionellen Netzwerken kann es viele gute Gründe geben, die Gast-Authentifizierung abzuschalten, zum Beispiel, weil Administratoren wie bei früheren Windows-Versionen mit ihren erhöhten Privilegien über das Netzwerk auf Windows XP zugreifen wollen, oder weil generell Netzwerknutzer mit individuell unterschiedlichen Berechtigungen arbeiten können sollen. Bevor Sie die Gast-Authentifizierung abschalten, sollten Sie sich allerdings auch der Konsequenzen bewusst sein: Die Gast-Authentifizierung beschränkt wirkungsvoll den Zugriff auf den Rechner vom Netzwerk aus. Schalten Sie diesen Sicherheitsmechanismus aus, dann müssen Sie selbst über strikte Freigabeberechtigungen und die Vergabe sicherer Kennwörter dafür sorgen, dass keine unbefugten Personen über das Netzwerk in den Rechner eindringen können. Ohne die Gast-Authentifizierung versucht Windows XP jeden Netzwerkbenutzer zu erkennen. Das führt dazu, dass bei der Herstellung einer Netzwerkverbindung Anmeldefenster erscheinen können. Bei älteren Windows-Betriebssystemen wie 95, 98 und Millennium gibt es jedoch keine sichere Benutzerauthentifizierung, und die Anmeldefenster akzeptieren nur ein Kennwort, aber keinen Benutzernamen. Benutzer solcher Windows-Versionen müssen also von vornherein mit dem richtigen Benutzernamen angemeldet sein und können diesen nachträglich nicht eingeben. TIPP Grundsätzlich sollten Sie die Gast-Authentifizierung einschalten und sehen, wie weit Sie damit kommen. Entstehen Probleme, zum Beispiel, weil Sie als Administrator Systeme fernverwalten wollen oder weil Sie Benutzern unterschiedliche Netzwerkberechtigungen zuweisen müssen, dann ist es immer noch früh genug, die Gast-Authentifizierung abzuschalten. |
Die Gast-Authentifizierung abschalten Schauen Sie sich die Wirkung dieser Abschaltung an einem konkreten Beispiel an: 1. Greifen Sie von einem Netzwerkrechner aus auf eine geschützte administrative Freigabe Ihres Computers zu. Wenn Ihr Computer den Netzwerknamen Comp12 trägt, dann wählen Sie auf dem Netzwerkrechner im Startmenü Ausführen und geben ein: \\Comp12\C$ Eingabe. 2. Ein Anmeldedialog erscheint, denn der Zugriff auf C$ ist geschützt. Da der Zielrechner den Anwender wegen der Gast-Authentifizierung immer als Gast erkennt, bleibt der Zugriff verweigert, ganz gleich, welche Benutzernamen und Kennwörter Sie eingeben. 3. Schalten Sie nun auf dem Zielrechner die Gast-Authentifizierung ab. Dazu wählen Sie im Startmenü Verwaltung/Lokale Sicherheitsrichtlinie. 4. Expandieren Sie links den Zweig Lokale Richtlinien/Sicherheitsoptionen. Wählen Sie rechts die Richtlinie: Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten. Öffnen Sie die Richtlinie per Doppelklick. Das Fenster Eigenschaften von Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten öffnet sich. 5. Aktivieren Sie die Registerkarte Lokale Sicherheitseinstellung. In der Ausklappliste ist eingestellt: Nur Gast/lokale Benutzer authentifizieren sich als Gast. Stellen Sie stattdessen ein: Klassisch/lokale Benutzer authentifizieren sich als sie selbst. Klicken Sie auf OK. 6. Versuchen Sie nun erneut, von einem Netzwerkcomputer auf die administrative Freigabe zuzugreifen. Prinzipiell ist dies nun möglich. Wird stattdessen noch immer der Zugriff verweigert, dann ist daran die laufende Netzwerksitzung schuld, die noch besteht und in der Sie noch als Gast geführt werden. Löschen Sie diese Sitzung also. 7. Dazu klicken Sie im Startmenü mit der rechten Maustaste auf Arbeitsplatz und wählen Verwalten. Expandieren Sie links den Zweig System/Freigegebene Ordner/Sitzungen. Rechts sehen Sie alle laufenden Sitzungen und in der Spalte Gast, ob diese Sitzung als Gast-Anmeldung geführt wird. Entfernen Sie alle Sitzungen per Rechtsklick und Sitzung schließen. Versuchen Sie nun erneut, sich mit der administrativen Freigabe zu verbinden. Sofern Sie auf dem Netzwerkrechner als Administrator angemeldet sind oder ein Administrator-Benutzerkonto samt Kennwort auf dem Zielsystem angeben, wird Ihnen der Zugriff gewährt. Sie haben gleich eine Reihe wesentlicher Punkte entdeckt: o Nur wenn die Gast-Authentifizierung abgeschaltet ist, können Sie sich als bestimmte Person anmelden und deren Rechte nutzen. o Die Umschaltung von Gast-Authentifizierung auf klassisch und umgekehrt zeigt erst Wirkung, wenn sich Netzwerknutzer neu anmelden. Laufende Netzwerksitzungen bleiben im alten Status. Wollen Sie also, dass die Umschaltung sofort wirksam wird, dann beenden Sie anschließend alle laufenden Netzwerksitzungen anderer Computer. Die Richtlinie Eigenschaften von Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten ist gleichbedeutend mit der Einstellung Einfache Dateifreigabe verwenden, die Sie sehen, wenn Sie in einem Explorer-Fenster Extras/Optionen wählen und die Register Ansicht in den Vordergrund holen. Ist die Option aktiviert, dann wird die Richtlinie auf Nur Gast/lokale Benutzer authentifizieren sich als Gast eingestellt, ist sie deaktiviert, dann wird die Richtlinie auf Klassisch/lokale Benutzer authentifizieren sich als sie selbst eingestellt. Die Gast-Authentifizierung einschalten Die Gast-Authentifizierung wird auf prinzipiell demselben Wege wieder eingeschaltet, wie Sie sie eben ausgeschaltet haben. Allerdings funktioniert die Gast-Authentifizierung nicht, wenn Sie sie auf diese Weise zum ersten Mal einschalten. Sie funktioniert nur dann, wenn sie früher schon einmal aktiv war und durch den Netzwerkinstallations-Assistenten freigeschaltet wurde. Woran liegt das? Die Gründe sind eigentlich naheliegend: o Die Gast-Authentifizierung leitet alle Netzwerkanmeldungen auf das Gast-Konto um. Weil dieses Konto anfangs deaktiviert ist, bekommen Netzwerknutzer stets die Meldung ein Konto sei deaktiviert. Erst wenn Sie das Gast-Konto aktivieren, kann Windows XP die Netzwerknutzer auf dieses Konto umleiten. Der Warnhinweis im Freigabe-Assistenten, der von »gesperrten Netzwerkfunktionen« spricht, bezieht sich genau auf diese Aktivierung. Ist das Gast-Konto deaktiviert, dann erscheint der Hinweis, sonst nicht. o Alle Zugriffe auf freigegebene Ressourcen werden über das GastKonto abgewickelt. Allerdings ist es dem Gast-Konto normalerweise verboten, sich über das Netzwerk anzumelden. Nur die lokale Anmeldung ist erlaubt. In den Vorgaben erhalten Netzwerkbenutzer also die Meldung, Richtlinien verbieten die Anmeldung über das Netzwerk. Damit die Gast-Authentifizierung reibungslos funktioniert, muss dem Gast-Konto also zusätzlich erlaubt werden, sich über das Netzwerk anzumelden. Beide Einstellungen werden vom Netzwerkinstallations-Assistenten automatisch vorgenommen. Ebenso gut ist das aber auch manuell möglich: Gast-Konto aktivieren So gehen Sie vor, um das Gast-Konto zu aktivieren: 1. Klicken Sie im Startmenü Arbeitsplatz mit der rechten Maustaste an, und wählen Sie Verwalten. Das Fenster Computerverwaltung öffnet sich. 2. Expandieren Sie links den Zweig System/Lokale Benutzer und Computer/Benutzer, und klicken Sie auf Benutzer. 3. Doppelklicken Sie auf das Konto Gast in der rechten Spalte. Deaktivieren Sie die Option Konto ist deaktiviert, und klicken Sie auf OK. Das Konto ist freigeschaltet. Der Warnhinweis im Freigabe-Assistenten erscheint jetzt nicht mehr, und Ordner können nun über ihn freigegeben werden. Netzwerkanmeldung für das Gast-Konto erlauben Nun muss dem Gast-Konto nur noch erlaubt werden, sich über das Netzwerk anzumelden. Das geschieht so: 1. Wählen Sie in der Systemsteuerung Verwaltung/Lokale Sicherheitsrichtlinie. Das Fenster Lokale Sicherheitseinstellungen öffnet sich. 2. Expandieren Sie links den Zweig Lokale Richtlinien/Zuweisen von Benutzerrechten, und klicken Sie auf Zuweisen von Benutzerrechten. 3. Öffnen Sie rechts die Richtlinie Zugriff vom Netzwerk auf diesen Computer verweigern, und streichen Sie das Konto Gast aus der Liste. |
© by Ress Design Group, 2001 - 2024