Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Einfuhrung in die System-Administration - Verwaltung von Benutzer-Ressourcen

6.2. Verwaltung von Benutzer-Ressourcen

Benutzer-Accounts zu erstellen, ist nur ein Teil des Aufgabenbereiches eines Systemadminstrators. Die Verwaltung von Benutzer-Ressourcen ist ebenfalls ein essentieller Bestandteil. Deshalb m�ssen drei Punkte in Betracht gezogen werden:

  • Wer auf gemeinsam genutzte Daten zugreifen kann

  • Wo Benutzer auf diese Daten zugreifen k�nnen

  • Welche Beschr�nkungen sind einger�umt worden, um den Missbrauch von Ressourcen zu verhindern

Die folgenden Abschnitte behandeln kurz jedes dieser Themen.

6.2.1. Wer kann auf gemeinsam genutzte Daten zugreifen

Der Zugang eines Benutzers zu einer Applikation, einer Datei oder einem Verzeichnis wird von den Berechtigungen bestimmt, die in Bezug auf diese Applikation, diese Datei oder dieses Verzeichnis Anwendung finden.

Zus�tzlich ist es oft hilfreich, wenn verschiedene Berechtigungen f�r verschiedene Benutzerklassen Anwendung finden. Zum Beispiel sollte ein gemeinsam benutzter tempor�rer Speicher in der Lage sein, die unbeabsichtigte (oder auch b�swillige) L�schung der Datei eines Benutzers durch alle anderen Benutzer zu verhindern, wobei dem Besitzer der Datei trotzdem voller Zugang gew�hrt wird.

Ein weiteres Beispiel ist die Zugriffsberechtigung zum Heimverzeichnis eines Benutzers. Nur der Besitzer des jeweiligen Heimverzeichnisses sollte in der Lage sein hierbei Dateien zu erstellen oder einzusehen. Allen anderen Benutzern sollte der Zugang verweigert werden (ausser der Benutzer gibt dazu seine Einwilligung). Dies erh�ht den pers�nlichen Datenschutz des jeweiligen Benutzers und verhindert die m�gliche Unterschlagung von pers�nlichen Dateien.

Es gibt jedoch viele Situationen, in denen mehrere Benutzer Zugang zu den selben Ressourcen auf einem Rechner ben�tigen. In diesem Fall ist eine vorsichtige Erstellung von gemeinsamen Gruppen eventuell notwendig.

6.2.1.1. Gemeinsame Gruppen und Daten

Wie in der Einleitung bereits erw�hnt, sind Gruppen logische Konstruktionen, welche dazu benutzt werden k�nnen, Accounts f�r spezielle Zwecke in Cluster zu verpacken.

Wenn Benutzer innerhalb eines Unternehmens verwaltet werden, ist es ratsam festzulegen, auf welche Daten von gewissen Abteilungen zugegriffen werden kann, auf welche Daten von anderen nicht zugegriffen werden sollte und welche Daten von allen benutzt werden sollten. Dies genauestens festzulegen ist h�chsthilfreich in der Erstellung einer passenden Gruppenstruktur, gemeinsam mit den entsprechenden Rechten auf die gemeinsamen Daten.

Nehmen Sie zum Beispiel an, dass die Abteilung zur Einbringung von Au�enst�nden eine Liste aller Konten f�hren muss, welche r�ckst�ndig in deren Zahlungen sind. Diese m�ssen jene Liste auch gemeinsam mit der Inkassoabteilung benutzen k�nnen. Wenn beide Abteilungen zu Mitgliedern einer Gruppe genannt Accounts gemacht werden, so kann diese Information in einem gemeinsamen Verzeichnis abgelegt werden (welches der Accounts-Gruppe angeh�rt), welches eine Gruppen-Lese-/Schreibberechtigung auf dieses Verzeichnis besitzt.

6.2.1.2. Gruppenstruktur festlegen

Einige der Herausforderungen, mit denen Systemadministratoren bei der Erstellung von gemeinsamen Gruppen konfrontiert sind:

  • Welche Gruppen sind zu erstellen

  • Wer wird einer bestimmten Gruppe zugeordnet

  • Welche Art von Berechtigungen sollten diese gemeinsamen Ressourcen besitzen

Eine vern�nftige Vorgehensweise ist dabei von Nutzen. Eine M�glichkeit ist das Widerspiegeln der Unternehmensstruktur bei der Erstellung von Gruppen. Zum Beispiel, wenn es eine Finanzabteilung gibt, erstellen Sie ein Gruppe genannt Finanzen und machen alle Mitglieder dieser Abteilung zu Mitgliedern dieser Gruppe. Sollten die Finanzinformationen zu heikel f�r den Einblick durch das gesamte Unternehmen, jedoch von h�chster Wichtigkeit f�r Vorgesetzte innerhalb der Organisation sein, so erteilen Sie allen Vorgesetzen Gruppen-Level-Berechtigungen auf alle Verzeichnisse und Daten zuzugreifen, welche von der Finanzabteilung genutzt werden, indem Sie alle Vorgesetzten zur Finanz-Gruppe hinzuf�gen.

Es hat sich auch bew�hrt auf Nummer sicher zu gehen, wenn gewisse Berechtigungen an Benutzer vergeben werden. Auf diesem Weg ist es h�chst unwahrscheinlich, dass heikle Informationen in die falschen H�nde geraten.

Durch diese Vorgehensweise bei der Erstellung der Gruppenstruktur in Ihrem Unternehmen kann der Bedarf nach Zugriff auf gemeinsame Daten innerhalb des Unternehmens sicher und effektiv gedeckt werden.

6.2.2. Wo Benutzer auf gemeinsame Daten zugreifen

Wann immer Daten von verschiedenen Benutzern gemeinsam benutzt werden, ist es �blich einen zentralen Server (oder eine Gruppe von Servern) zu benutzen, welcher bestimmte Verzeichnisse f�r andere Rechner im Netzwerk zug�nglich macht. Auf diese Art werden Daten an einem Ort gespeichert. Die Synchronisation von Daten zwischen mehreren Rechnern wird dadurch hinf�llig.

Bevor Sie dementsprechend vorgehen, m�ssen Sie zuallererst festlegen, welche Systeme Zugriff auf die zentral gespeicherten Daten haben sollen. Dabei sollten Sie Notizen von den Betriebssystemen machen, die von den jeweiligen Systemen benutzt werden. Diese Information hat Einfluss auf Ihre F�higkeit eine solche Vorgehensweise zu implementieren, da Ihr Speicherserver die F�higkeit besitzen muss, dessen Daten an jedes einzelne Betriebssystem in Ihrem Unternehmen weitergeben zu k�nnen.

Ungl�cklicherweise k�nnen Konflikte bez�glich Datei-Eigentum auftreten, sobald Daten von mehreren Computern in einem Netzwerk gemeinsam benutzt werden.

6.2.2.1. Globale Eigentumsfragen

Es hat Vorteile, wenn Daten zentral gespeichert werden und auf diese von verschiedenen Rechnern im Netwerk zugegriffen werden kann. Stellen Sie sich jedoch f�r einen Moment vor, dass jeder dieser Rechner eine logisch-verwaltete Liste von Benutzer-Accounts besitzt. Was passiert, wenn die Liste der Benutzer auf jedem dieser Systeme nicht einheitlich mit der Liste von Benutzern auf dem zentralen Server ist? Oder sogar noch schlimmer: Was w�re wenn die Liste von Benutzern auf jedem einzelnen dieser Systeme nicht einmal miteinander �bereinstimmen?

Vieles h�ngt davon ab, wie Benutzer und Zugriffsrechte in jedem System implementiert sind. In einigen F�llen ist es jedoch m�glich, dass Benutzer A eines Systems eigentlich als Benutzer B auf einem anderen System bekannt ist. Dies kann zu einem richtigen Problem werden, wenn Daten innerhalb dieser Systeme gemeinsam benutzt werden. Daten, auf die von Benutzer A zugegriffen werden kann, k�nnen pl�tzlich ebenso von Benutzer B von einem anderen Systemgelesen werden.

Aus diesem Grund benutzen viele Unternehmen eine Art Benutzerdatenbank. Dies garantiert, dass Benutzerlisten sich auf verschiedenen Systemen nicht �berschneiden.

6.2.2.2. Heimverzeichnisse

Ein weiteres Problem, mit dem sich Systemadministratoren auseinandersetzen m�ssen, ist die Frage, ob Benutzer zentral gespeicherte Heimverzeichnisse besitzen sollten.

Der haupts�chliche Vorteil zentralisierter Heimverzeichnisse auf einem netzwerkverbundenen Server liegt darin, dass ein Benutzer von jedem Rechner im Netzwerk aus auf seine Dateien in seinem Heimverzeichnis zugreifen kann.

Der Nachteil ist derjenige, dass wenn das Netzwerk ausf�llt, s�mtliche Benutzer nicht mehr auf deren Heimverzeichnisse und somit auf deren Dateien zugreifen k�nnen. In manchen Situationen (wie z.B. in Unternehmen, die vornehmlich Laptops verwenden) ist es nicht w�nschenswert zentralisierte Heimverzeichnisse zu besitzen. Wenn es jedoch f�r Ihr Unternehmen sinnvoll erscheint, so kann der Einsatz von zentralisierten Heimverzeichnissen das Leben eines Systemadministrators um ein Vielfaches vereinfachen.

6.2.3. Welche Hemmnisse werden eingesetzt, um den Missbrauch von Ressourcen zu verhindern

Die vorsichtige Organisation von Gruppen und Zuteilung von Berechtigungen f�r gemeinsame Ressourcen ist eines der wichtigsten Aufgaben eines Systemadministrators, um den Missbrauch von Ressourcen innerhalb eines Unternehmens zu verhindern. Auf diese Art wird denjenigen der Zugang zu heiklen Ressourcen verweigert, die keinen Zugang dazu haben sollten.

Ganz egal wie Ihr Unternehmen diese Dinge angeht, der beste Schutz gegen den Missbrauch von Ressourcen ist immer noch fortw�hrende Wachsamkeit auf Seiten des Systemadministrators. Ihre Augen immer offen zu halten, ist oft der einzige Weg eine unangenehme �berraschung zu vermeiden.

 
 
  Published under the terms of the GNU General Public License Design by Interspire