Zugriffsrechte im Novell-Netz

Der Zugriff auf die Netzwerklaufwerke (H:, I:, …) ist durch die Novell Systemsicherheit geregelt. Die Rechtezuweisung erfolgt über eine explizite Zuweisung („Trustee's“) oder Vererbung und Filter („IRF“).

Die Rechte bestimmen, welche Zugriffsmöglichkeiten ein Benutzer auf Verzeichnisse und Dateien innerhalb des Netzwerkes hat. Ohne Rechte kann der Benutzer kein Verzeichnis und keine Datei verwenden!

In der obigen Abbildung werden dem Benutzer „Rzdemo03“ die beiden Rechte „Lesen“ („Read“) und „Dateiabfrage“ („FileScan“) für das Verzeichnis „Office“ zugewiesen.

Die einzelnen Rechte und eine kurze Beschreibung dazu im Überblick:

Das Supervisor-Recht kann nicht durch einen Filter gesperrt werden, sondern nur im Ursprungsverzeichnis aufgehoben werden.

Eine Zuweisung von Rechten auf ein Datenobjekt (Ordner, Dateien) nennt man Trustee.

Wenn einem Benutzer oder einem Container Rechte in einem Verzeichnis gegeben werden, „vererben“ sich diese Rechte innerhalb der Verzeichnisstruktur nach unten weiter (siehe Abbildung).

Eine Unterbrechung der Vererbungslinie erreicht man über ein neues Trustee, das die Rechte aufhebt, oder über einen Filter, der die Vererbung „nach unten“ unterbricht.

Eine neue Trustee-Zuweisung auf einer niedrigen Ebene der Verzeichnisstruktur überschreibt die von dem Objekt geerbten Rechte. In der Abbildung erneuert die Trustee-Zuweisung für den Benutzer „Rzdemo“ im Verzeichnis „Dokumente“ alle Rechte, die er aufgrund der Trustee-Zuweisung für das Verzeichnis „I:\“ erben würde.

Eine weitere Möglichkeit die Vererbung der Rechte zu sperren ist das Filtern. Mit einem IRF (Inherited Rights Filter, zu Deutsch „Vererbte-Rechte-Filter“) kann man bestimmen, welche Rechte alle Trustees von übergeordneten Verzeichnissen erben. In der folgenden Abbildung erbt das Unterverzeichnis 'Dokumente' von 'Office' nur Read (Lesen) und File Scan (Dateiabfrage).

Der IRF eines Verzeichnisses oder einer Datei sperrt keine Rechte, die einem Trustee desselben Verzeichnisses oder derselben Datei zugewiesen werden. Er beeinflusst nur die Rechte, die aufgrund von Trustee-Zuweisungen, die auf höherer Ebene der Verzeichnisstruktur eingerichtet wurden, vererbt werden. Anders ausgedrückt heißt das: Der IRF liegt oberhalb des Verzeichnisses, die Trustee-Zuweisung in einem Verzeichnis!

Eine neue Trustee-Zuweisung ist sehr nützlich, um die Vererbung von Rechten auf einzelne Benutzer zu sperren. Ein Filter für vererbte Rechte (IRF) wird dazu verwendet, die Vererbung von Rechten auf alle Benutzer zu sperren.

Als effektive Rechte werden die Rechte bezeichnet, über die ein Benutzer für ein gegebenes Verzeichnis oder eine Datei tatsächlich verfügt. Sie umfassen alle Rechte, die dem Benutzerobjekt bzw. dem Gruppenobjekt in irgendeiner Weise erteilt wurden, ohne die Rechte, die durch den IRF gefiltert wurden.

Die effektiven Rechte eines Verzeichnisses oder einer Datei werden folgendermaßen bestimmt:

• Ermitteln der effektiven Rechte des übergeordneten Verzeichnisses.
• Abziehen der vom IRF gefilterten Rechte.
• Hinzufügen der Trustee-Rechte des Verzeichnisses bzw. der Datei unter Beachtung der oben genannten Vererbungsregeln.

Im folgenden Bild müssen die „Oberhalb zugewiesenen Gruppenrechte“ den IRF durchlaufen und den durch Trustee-Zuweisung vergebenen Rechten im Ordner „Dokumente“ hinzugefügt werden, da sie zwei unterschiedlichen Objekten zugewiesen wurden.

Müssten alle erforderlichen Rechte innerhalb der NDS-Datenbank einzeln an Benutzer (z.B. 500 Schüler / Schülerinnen) vergeben werden, wäre dies ein mühsames Unterfangen.

Genauso wie sich innerhalb des Dateisystems Dateirechte von einem übergeordneten Verzeichnis auf alle Dateien und Unterverzeichnisse übertragen, sofern sie nicht durch ein Inherited Rights Filter unterbrochen werden, vererben sich Dateirechte (und auch Objekt- und Eigenschaftsrechte) in der NDS!

Diesen automatischen Übergang der Rechte auf die Mitglieder einer Einheit nennt man Vererbung(inheritance) der Rechte. So gehen z.B. die Rechte, die einem Behälterobjekt zugewiesen wurden (meistens einer OU, z.B. der OU k7c, in der alle Schüler / Schülerinnen der Klasse 7c zusammengefasst sind) auf alle Objekte innerhalb des Behälterobjektes (z.B. alle Benutzer innerhalb der OU k7c, also z.B. auf den Schüler xy) über. Damit kann man vielen Benutzern an zentraler Stelle, nämlich der OU, Zugriffsrechte z.B. auf ein bestimmtes Verzeichnis zuordnen. Auch dem Container nachträglich hinzugefügte Schüler und Schülerinnen erhalten automatisch die Rechte des Containers.

Selbst nachträgliche Änderungen an der Rechtestruktur des Containers wirken sich sofort auf alle untergeordneten Benutzerobjekte aus. Man sollte daher - im Interesse einfacher, nachträglicher Änderungsmöglichkeiten - nie einem Benutzerobjekt direkt Dateirechte zuordnen, sondern dem einschließenden Behälterobjekt. Ebenso wie dies bei den Dateirechten der Fall ist, lässt sich die Rechtevererbung nach unten durch entsprechende Rechtefilter einschränken. Zusätzlich wird die Vererbung der Rechte vom übergeordneten Objekt dann außer Kraft gesetzt, wenn dem untergeordneten Objekt ein Recht direkt zugeordnet wird. Dies wäre z.B. dann der Fall, wenn beim Anlegen eines Benutzers über ein Template (Vorlage) Datei-/ Verzeichnis-Rechte übertragen werden. Die Rechte, die über das Template_Benutzer dem Benutzerobjekt direkt zugeordnet werden, haben Vorrang vor den vererbten Rechten und sind damit auch nicht mehr durch Veränderung der Rechte des übergeordneten Objektes zentral verwaltbar.

Admin erhält mit der Zuweisung des Objektrechts SUPERVISOR auf das Wurzelobjekt [Root] die Berechtigung, den gesamten NDS -Verzeichnisbaum zu verwalten.

Insbesondere erhält Admin auch das Eigenschaftsrecht SUPERVISOR für alle Eigenschaften des Server Objekts - mit der Folge, dass er ebenfalls über das Zugriffsrecht SUPERVISOR für das NetWare-Dateisystem dieses Netware-Server verfügt.