zur Hauptnavigation springen, zur Subnavigation springen, zum Inhalt springen

Windows NT - Handbuch für Betriebsräte

Cover der Veröffentlichung

Leseprobe

8 Begehung eines Windows NT Systems

Begehungen von EDV-Systemen sind nach unserer Erfahrung immer dann unverzichtbar, wenn viele Details nur durch genaues Ansehen sinnvoll zu begreifen sind. Wer Begehungen oder Vorführungen von DV-Systemen bereits mitgemacht hat, kennt die Situation, dass sich aus einer Frage eine weitere ergibt. Diese führt zu wieder einer anderen und schließlich steht man in einem Thema, das so vorher gar nicht vorbereitet wurde, weil die Bedeutung bei den vorhergehenden Verhandlungen/Gesprächen oder der vorbereitenden Sichtung von Unterlagen nicht erkennbar war.

Eine andere Erfahrung ist die, das vieles, was bei der Begehung geprüft wurde, untergeht, weil es vergessen wurde. Dies liegt oft daran, dass keine genügende Vorbereitung stattfand und/oder das keine Prüfliste vorbereitet wurde, an der sich alle Beteiligten bei der Begehung "entlanghangeln" können. Die Gefahr, etwas von dem, was vorbereitet wurde, zu vergessen, ist bei dieser Vorgehensweise gering.

8.1 Dokumentation der Begehung

Mitschreiben, insbesonders von Bildern, ist in der Kürze der Begehungszeit oft nicht möglich. Für die weitere Sichtung und Beurteilung der dabei gewonnenen Erkenntnisse durch die Interessenvertretung, die ja nicht am NT-Arbeitsplatz stattfindet, ist es hilfreich und notwendig, wenn die gesehenen Bilder dann auch zur Verfügung stehen.

Da inzwischen fast auf jedem Windows-Rechner Word installiert ist, kann man folgendermaßen vorgehen: Das Programm Word bleibt während er gesamten Begehung offen (im Hintergrund). Jedesmal, wenn auf dem Bildschirm etwas interessantes auftaucht, wird per Tastendruck ALT + "Taste Druck" ein Bildschirm"photo" erzeugt. Wechsel zu Word ist möglich mit den Tasten "Alt + Tab". Das zwischengespeicherte Bild ist mit STRG + V in die geöffnete leere Datei einzusetzen.

Es wird empfohlen, die Datei nach jedem Einsetzvorgang abzuspeichern. Am Ende der Begehung ist unter Umständen eine dicke Datei (mit mehreren MB) vor. Nach Beendigung der Begehung sollte die Datei sofort komplett ausgedruckt werden. Sofern möglich, sollte sie - für spätere Prüfungen - zusätzlich auf den Betriebsratsrechner oder -server gespeichert werden.

8.2 Voraussetzungen für eine Begehung

Begehungen sollten direkt am PDC, mindestens aber an einem Administratorarbeitsplatz stattfinden. Es muss vorher verabredet sein, dass die Person, die das System vorführt, höchste Rechte am System hat, also Domänenadministrators und Administrator des lokalen Rechners ist. Andernfalls kommt es nicht selten zu Situationen, in denen der anwesende Administrator nicht "weiter kann". Die weitere Begehung ist dann eigentlich zwecklos.

Falls die Begehung an einem Administratorarbeitsplatz stattfindet, sollte anschließend aber auch der PDC und stichprobenartig ein oder zwei BDCs vor Ort begangen werden. Bei der Begehung der Server sollte auch die Aufbewahrung der Sicherungsmedien geprüft werden. Zugriff und Schutz müssen denen der Server entsprechen.

Als hilfreich hat sich die Mitnahme von eigenen Hilfsprogrammen erwiesen. Dies erfordert natürlich eine Abstimmung mit dem Arbeitgeber und den Administratoren und vor allem Erfahrung mit dem Programm selbst. Die vorgestellten Programme passen jedes für sich auf eine normale Diskette. Sofern die Möglichkeit besteht, ist das Erstellen einer eigenen Prüf-CD mit verschiedenen Programmen, z.B. aus dem Windows NT Ressource Kit (Technische Referenz), sinnvoll.

8.3 Beispiel: Checkliste für die Begehung eines Windows NT-Systems /-Domäne

Die folgende Checkliste ist wie jede Checkliste - nur soweit sinnvoll, wie sie an die betrieblichen Gegebenheiten angepaßt wird. Dazu haben wir die unseres Erachtens relevanten Fragen für das Erkennen und gegebenenfalls Bewerten von Beteiligungstatbeständen zusammengestellt.

8.4 Domänenorganisation

  1. Wie heißt die Domäne?
  2. Zu welchem Typ gehört der Rechner, über den der Zugriff bei der Begehung erfolgt?
    • Primärer Domänen-Controller (PDC)
    • Sicherungs-Domänen-Controller (BDC)
    • Server
    • Workstation
  3. Wie heißt der Primäre Domänen-Controller der Domäne (Name / IP Nummer)
  4. Gibt es weitere Domänen? Wenn ja, welche?
  5. Gibt es bei dem Einsatz mehrerer Domänen-Server Vertrauensstellungen (Trusts) zwischen diesen Rechten? Ja /Nein / Teilweise
  6. Welche Art von Vertrauensstellung besteht zwischen welchen Domänen-Servern
    • Einseitige Vertrauensstellungen von nach
    • Gegenseitige Vertrauensstellungen von zu
  7. Gibt es versteckte Server, Workstations oder Drucker in der Domäne? Welche?
  8. Welche Rechner in der Domäne sind nicht komplette NTFS formatiert? Welches zusätzliche Betriebssystem?

8.5 Administration und Benutzerverwaltung

  1. An welche Personen ist das Konto Domänen-Administrator vergeben oder ist es "gesperrt"?
  2. Ist das Konto Administrator an eine oder mehrere Personen vergeben oder gesperrt?
  3. Werden die Konten der Sub-Administratoren in der Domäne verwendet? Welche? Wer ist Mitglied?
    • Sub-Administrator
    • Name des Mitglieds
  4. Werden die Konten der Sub-Administratoren auf den anderen Servern und Workstations verwendet? Welche? Wer ist Mitglied?
  5. Welche Administratoren haben zusätzlich normale Benutzerkonten?
    Funktion Admin Benutzername
  6. Welche globalen und lokalen Gruppen in der Domäne gibt es zusätzlich neben den Systemgruppen?
    • Globale Gruppen
    • Lokale Gruppen
  7. Welche lokalen Benutzer (außer den NT-Systembenutzern)sind auf welchen Rechnern der Domäne angelegt?
    • Rechnername
    • PDC/ BDC / Workstation
    • Benutzernamen
  8. Welche Administratoren und Benutzer haben welche RAS Zugriffsrechte?
    • Name / Funktion / Rechner
    • Kein Rückruf
    • Vom Anrufer festg.
    • Vorbelegt
    • Zeiteinschränkung.
  9. Gibt es für Benutzer Einschränkungen in Bezug auf die Tageszeit der Anmeldung oder bestimmte Rechner?
    • Name / Funktion / Rechner
    • Tageszeiteinschr. Von/bis
    • Rechnereinschränkung

8.6 Richtlinien

  1. Welche Einstellungen haben die Kontenrichtlinie des PDC?
  2. Gibt es Rechner die anderen Kontenrichtlinien haben? Welche?
  3. Welche Gruppen/Benutzer haben welche Benutzerrechte am PDC?
  4. Gibt es Rechner, die andere Einstellungen für die Benutzerrechte haben? Welche?
  5. Welche Einstellungen haben die Überwachungsrichtlinien des PDC?
  6. Gibt es Rechner die andere oder keine aktiven Überwachungsrichtlinien haben? Welche?
  7. Werden Systemrichtlinien verwendet? Für welche Benutzer, Gruppen/Computer?
  8. Werden Richtlinienvorlagen verwendet? Für welche Benutzer, Gruppen/Computer?
  9. Welche Arten von Benutzerprofilen werden verwendet?
    • Benutzer
    • serverbasiert persönlich
    • serverbasiert obligatorisch
    • lokal
    • Gruppenzugehörigkeit

8.7 Überwachung

  1. Welche Ressourcen im System werden überwacht? Ja Rechnername (Typ)
    • Dateien
    • Verzeichnisse
    • Drucker
    • Registry
    • Login-Verzeichnis
    • Profilverzeichnis
  2. Werden die Registry-Editoren überwacht? Ja / Nein
  3. Welche Systemprogramme werden überwacht? Name / Rechner
  4. Welche Anwendungsprogramme werden überwacht? Name / Rechner

8.8 Personenbezogene Daten

  1. Werden in der Domäne personenbezogene Daten in Anwendungen verarbeitet und/oder gespeichert? Ja / Nein
  2. Wenn ja, auf welchen Rechnern?
  3. Wer sind die Besitzer dieser Dateien?
    • Rechner
    • Verzeichnis/Datei
    • Besitzer
  4. Welche Gruppen/Benutzer haben welche Zugriffsrechte auf diese personenbezogenen Daten?
    • Gruppe/Benutzer
    • Verzeichnis/Datei
    • Zugriffsrechte
  5. Auf welcher Ebene wird eine Überwachung solcher Dateien durchgeführt?
    Verzeichnisebene Dateiebene keine Ebene
  6. Welche Aktionen werden überwacht? Erfolgreich / Fehlschlag
    • Lesen( R)
    • Schreiben(W)
    • Ausführen(X)
    • Löschen(D)
    • Berechtigung Ändern(P)
    • Besitz übernehmen(O)
  7. 37. Sind Verzeichnisse mit personenbezogene Daten im Netzwerk freigegeben? Welche?
    • Ja
    • Nein
    • Verzeichnisname/Rechner
    • Freigabename
  8. Welche Rechte sind an wen im Rahmen der Freigabe vergeben worden?
    • Freigabename
    • Gruppe/Benutzer
    • Zugriffsrecht
  9. Sind diese Dateien verschlüsselt? Ja / Nein /teilweise
  10. Welche Verzeichnisse enthalten verschlüsselte Dateien? Rechner /Verzeichnisname
  11. Sind Zugriffe mit dem Remote Access Service (RAS) auf Verzeichnisse mit personenbezogenen Daten erlaubt? Ja/ Nein
  12. Wenn ja, welche?
    • Rechner
    • Verzeichnisname
    • RAS-Zugriff (frei/Rückruf/)
  13. Wenn ja, wird der Zugriff während der Übertragung mit RAS verschlüsselt? Ja / Nein

8.9 Ereignisanzeige

  1. Werden Protokolle der Ereignisanzeige vor dem Löschen archiviert? Ja / Nein, Rechner/Pfad
  2. Werden die gespeicherten Log-Dateien in einem sicheren Verzeichnis (gesetzte Zugriffsrechte und Überwachung) abgelegt? Ja/ Nein
  3. Gibt es einen speziellen EDV Revisor für die Kontrolle und Wartung der EventLog-Protokolle? Ja / Nein

8.10 Kontrolle der aktuellen und gespeicherten Ereignisanzeige des PDC/des lokalen Rechners nach Fehlercodes

  1. Sind folgende (beispielhafte) Fehlercodes in den Ereignisanzeigen zu finden? Code / Erklärung/ Aufgetreten/ Datum
    • 512 Datum und Uhrzeit des Systemstarts
    • 513 Datum und Uhrzeit des Systemabschlusses (Shutting Down)
    • 517 Ereignisanzeige gelöscht
    • 529 Erfolgloser Login - Unbekannter Benutzer oder Falsches Paßwort
    • 530 Erfolgloser Login - Zugriffsversuch außerhalb der zulässigen Zeiten
    • 531 Erfolgloser Login - Konto gesperrt
    • 532 Erfolgloser Login - Kontoberechtigung abgelaufen
    • 533 Erfolgloser Login - Benutzer darf sich nicht an diesem Computer anmelden
    • 535 Erfolgloser Login - Paßwort abgelaufen
    • 539 Erfolgloser Login - Konto gesperrt
    • 560 Zugriff auf Objekt
    • 608 Benutzerrecht wurde zugewiesen
    • 609 Benutzerrecht wurde gesperrt
    • 610 Richtlinienänderung Vertraute Domäne hinzugefügt
    • 611 Richtlinienänderung Vertraute Domäne entfernt
    • 612 Änderung der Überwachungsrichtlinien
    • 624 Benutzer - Konto wurde angelegt
    • 625 Benutzer - Kontentyp wurde geändert (lokal - serverbasiert)
    • 626 Benutzer - Konto wurde freigeschaltet
    • 628 Benutzer - Paßwort wurde gesetzt
    • 629 Benutzer - Konto wurde gesperrt
    • 630 Benutzer - Konto wurde gelöscht
    • 631 Globale Gruppe - Neue Gruppe
    • 632 Globale Gruppe - Mitglied hinzugefügt
    • 633 Globale Gruppe -
    • 6 34 Globale Gruppe - Gruppe gelöscht
    • 635 Lokale Gruppe - Neue Gruppe
    • 636 Lokale Gruppe - Mitglied hinzugefügt
    • 637 Lokale Gruppe - Mitglied entfernt
    • 638 Lokale Gruppe - Gruppe gelöscht
    • 639 Lokale Gruppe - Gruppe geändert
    • 641 globale Gruppe - Gruppe geändert
    • 642 Benutzer - Konto wurde geändert
    • 643 Domänen Politik geändert
    • 1002 serverbasiertes Profil - Benutzer wurde obligatorisches Profil zugewiesen
    • 1003 serverbasiertes Profil - Das obligatorische Profil wurde nicht gefunden
    • 1018 serverbasiertes Profil - Update von diesem Rechner nicht erlaubt
  2. Wenn einer der zuvor aufgelisteten Codes gefunden wurde: Welche Maßnahmen wurden/werden eingeleitet?

8.11 RAS

48. RAS-Berechtigung: Welche Benutzer haben welche RAS-Berechtigung?

  • Benutzer
  • Kein Rückruf
  • Anrufer bestimmt
  • vorgegebene Rückrufnummer

Kontrolle der RAS Verbindungen: Code / Erklärung / Ja trifft zu / Datum

  • 20016 Benutzer konnte sich in der RAS Verbindung nicht authentisieren
  • 20017 Benutzer hat sich erfolgreich über RAS angemeldet
  • 20093 Rückrufversuch des RAS Servers ist fehlgeschlagen

49. Wenn einer der zuvor aufgelisteten Codes gefunden wurde: Welche Maßnahmen wurden/werden eingeleitet?