Jump to content

Frage zu zwei Fragen aus MS Press zu 70-299


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

folgende Frage hatte ich schon im "Testbücher" Forum gepostet...leider ohne Antwort...vielleicht könnt ihr mir hier weiter helfen.

 

Danke !

 

 

Hallo zusammen,

 

ich stolper gerade über zwei, meiner Meinung nach, komischen Antworten zu zwei Fragen im grünen MS Press Buch zur 70-299

 

Seite 113 Nr.1

 

Welche der folgenden vordefinierten Gruppen ist auf einem DC vorhanden?

 

a. Administratoren

b. Hauptbenutzer

c. DHCP Benutzer

d. Sicherungs Operatoren

 

Laut Buch ist Antwort c. die richtige ?! Nach mit a,d

 

Meiner Meinung sieht das so aus:

 

Da es sich hier um W2003 handelt können wir von lokalen Gruppen nicht ausgehen da es diese auf W2003 DCs nicht gibt. Demnach gehen wir von AD aus.

 

Zu a.: Klar gibt es die Gruppe Administratoren in AD

Zu b.: Gibt es nur auf Mitgliedsservern oder Stand Alone als lokale Gruppe

Zu c.: Gibt es nur als lokale Gruppe auf DHCP Servern

Zu d. Gibt es in AD

 

___________________________________________________

 

Seite 113 Nr.2

 

Welche der folgenden Sondergruppen können Sie einer ACL zuweisen, um den Zugriff durch unbefugte Benutzer zu verhindern ?

 

a. Jeder

b. Anonymous-Anmeldung

c. Authentifizierte Benutzer

d. Interaktiv

 

Laut Buch ist es hier b. ?! Laut meiner Meinung nach c.

 

Denn durch die auth. benutzer stell ich ja sicher das sich die Benutzer an AD authentifiziert haben.

 

Danke für eure Meinungen

Link zu diesem Kommentar

Antwort zu 1) D

 

Es gibt keine lokalen Konten auf dem DC (Ausnahmen bestätigen die Regeln, Admin und Dienstkonten)

 

Antwort zu 2) C

 

Sehe ich auch so.

 

Jeder hat nur LESErechte, Interaktiven Gruppen kannste keine Rechte zuweisen, Anonymous würde ich bei WEB oder FTP Zugängen einsortieren, daher bleiben nur die Authentifizierten über.

 

Hoffe es richtig gemacht zu haben! :cool:

Link zu diesem Kommentar
Antwort zu 1) D

 

Es gibt keine lokalen Konten auf dem DC (Ausnahmen bestätigen die Regeln, Admin und Dienstkonten)

 

Wie legst du auf dem DC ein lokales Dienstkonto an? Den Admin kriegst du nur im Restore Mode.

Ich hab jetzt das Buch nicht da, aber in den anderen grünen kommt doch weiter hinten die Lösung, oder? C und D sind domänenlokale Gruppen, ich nehme an, dass c) gemeint ist, weil die unter builtin liegt. Darin befinden sich ja nach DCPromo die vorher existenten lokalen Gruppen.

 

Antwort zu 2) C

 

Sehe ich auch so.

 

Jeder hat nur LESErechte, Interaktiven Gruppen kannste keine Rechte zuweisen, Anonymous würde ich bei WEB oder FTP Zugängen einsortieren, daher bleiben nur die Authentifizierten über.

 

Hoffe es richtig gemacht zu haben! :cool:

 

Naja, es geht ja darum, welche Gruppe du verwenden kannst, um den Zugriff zu verhindern, nicht welche Rechte das Zeug per default hat. ACEs können ja zu Allow ODER Deny verwendet werden. Und um die Frage zu zitieren:

Welche der folgenden Sondergruppen können Sie einer ACL zuweisen, um den Zugriff durch unbefugte Benutzer zu verhindern ?

 

Also stimmt Antwort b). Einfach auf Anonymous eine Deny-ACL setzen, voilà schon dürfen unbefugte (sprich unauthentifizierte User) nicht mehr zugreifen.

 

Genau lesen hilft prinzipiell bei den Fragen. Meist gibts nen Hinweis in der Frage, wie hier eben das VERHINDERN.

 

Gruß

 

woiza

Link zu diesem Kommentar
  • 2 Wochen später...
Interaktiven Gruppen kannste keine Rechte zuweisen

Wieso kannst Du INTERAKTIV keine Berechtigungen zuweisen ? Das wird sogar bei gewissen Dateien per Default eingestellt (CMD.EXE auf Servern), damit eben nur der angemeldete User zugreifen darf. Rechte kann man diesen Gruppen ebenso zuweisen, was manchmal auch hilfreich sein kann.

Ich würde wie Woiza auch B sagen, C kann nicht sein, dann darf ja keiner mehr drauf zugreifen, der authentifiziert wurde. Jeder kann auch nicht sein, dann darf auch niemand mehr zugreifen. Da diese beiden Gruppen "berechtigte" (im Sinne von bekannten Usern) User enthalten, würde ich diese beiden Gruppen ausschliessen. INTERAKTIV wäre theoretisch auch noch denkbar, da es auch nur eine Teilmenge dermöglichen Benutzer ist (ein unbefugter Benutzer kann ja auch ein bekannter User sein). Normalerweise benutzt man aber eher die Gruppe NETZWERK und dann auch nicht, um Zugriffe zu verhindern, sondern einzuschränken (der Gruppe NETZWERK den Zugriff zu verweigern macht imho keinen Sinn, dann kann man auch die Freigabe entfernen)

Link zu diesem Kommentar

Also, a und d können wir ja schon mal ausschließen. Damit sind ja schon 50% weg.

 

Bei b und c ist es wieder mal der typische Kampf mit Microsoft von Theorie und Praxis.

In der Praxis würde - glaube ich - jeder c nehmen. In der Theorie geht es natürlich auch mit b. In der Gruppe "Anonymous-Anmeldung" sind alle Benutzer und Dienste, die übers Netzwerk ohne Kontoname, Kennwort oder Domänenname zugreifen. Somit kann man diese Gruppe verwenden, um den Zugriff zu verweigern.

 

Ein Hoch auf Microsoft und ihre schönen Fragestellungen.

 

MfG

 

Jian

Link zu diesem Kommentar

Mit C verweigerst Du jedem den Zugriff, jedem Benutzer und jedem Computer, der authentifiziert ist. Aus welchem Grund sollte man sowas tun ? A und C sind IMHO die unwahrscheinlichsten Lösungsmöglichkeiten, da die Mitgliedschaft in diesen Gruppen zu umfassend ist und es hier um unbefugte Benutzer geht (es sei denn, man bezeichnet alle als unbefugt, doch was soll man mit einem Ordner, auf den niemand zugreifen darf ?)

Link zu diesem Kommentar
Also, a und d können wir ja schon mal ausschließen. Damit sind ja schon 50% weg.

 

Bei b und c ist es wieder mal der typische Kampf mit Microsoft von Theorie und Praxis.

In der Praxis würde - glaube ich - jeder c nehmen. In der Theorie geht es natürlich auch mit b.

Ein Hoch auf Microsoft und ihre schönen Fragestellungen.

 

MfG

 

Jian

 

 

Nein, es geht nur mit b. In der fragestellung steht nix von Zugriff gewähren für irgendwen, sondern und den Zugriff zu verhindern. Verhindern = verweigern. Mit c würde ich allen auth. Usern den Zugriff verweigern. Wozu soll das gut sein? Mit b verweigere ich es nur den anonymen, also unbefugten.

 

Erklär mal, wie du das in der Praxis mit c machen möchtest?

 

Mfg

 

woiza

 

Edit: zu spät...

Link zu diesem Kommentar
Sorry für das Mißverständnis.

 

Ich meine, dass in der Praxis für den Zugriff auf eine Ressource entweder der Zugriff durch eine selbsterstellte Gruppe oder durch die Gruppe "Authentifizierte Benutzer" erlaubt wird.

 

Oder läuft bei euch das anders? Ich habe kaum eine Verweigerung erteilt.

 

Servus

 

Jian

 

Hi,

 

du hast schon recht. Verweigerung ist eher selten. Aber in High Security Umfeldern ist eine Verweigerung manchmal schon sinnvoll. Wenn ich den Zugriff auf eine ein Verzeichnis unter allen Umständen unterbinden will, etwa Personalabteilung o.ä., dann kann eine Verweigerung schon ok sein. Falls dann nämlich über Gruppenverschachtelung oder Vererbung die Falschen doch Zugriff hätten, zieht das Verweigern.

 

Wenn du der Auth. User den Zugriff erlaubst, verhinderst du damit ja nicht den Zugriff von anderen Gruppen. Aber das ist verlangt. Hier zeigt sich übrigens wieder der Vorteil der engl. Prüfung. Da steht dann vermutlich deny, statt verhindern, dann springt der Groschen leichter.

 

Gruß

 

woiza

Link zu diesem Kommentar

Aber im Prinzip ist es doch egal, ob ich den Gruppen, die ich haben will, den Zugang gewähre oder ob ich allen anderen (Anonymous) die Berechtigung verweigere.

Anonymous heißt ja ohne Konto am Netz angemeldet und somit auch in keiner von "meinen" Gruppen und somit hätten sie auch keine Zugriff (wenn ich es nach meiner ersten Strategie mache).

 

Richtig oder richtig :confused:

 

Deswegen meinte ich Praxis und Theorie. Microsoft möchte halt das eine sehen und im wirklichen Leben macht man es anders.

Link zu diesem Kommentar
Aber im Prinzip ist es doch egal, ob ich den Gruppen, die ich haben will, den Zugang gewähre oder ob ich allen anderen (Anonymous) die Berechtigung verweigere.

Anonymous heißt ja ohne Konto am Netz angemeldet und somit auch in keiner von "meinen" Gruppen und somit hätten sie auch keine Zugriff (wenn ich es nach meiner ersten Strategie mache).

 

Richtig oder richtig :confused:

 

Deswegen meinte ich Praxis und Theorie. Microsoft möchte halt das eine sehen und im wirklichen Leben macht man es anders.

Es ist immer eine Ansichtssache...

 

Ich bin auch kein Freund vom Verweigern... Denn wie schnell ist es passiert: Man verweigert einer Gruppe das Recht auf einen Ordner... Mitarbeiter X hat aber Zugriff drauf, braucht den aber nur alle 5 Wochen mal... Gestern war er drauf... Morgen kommt er in Gruppe Y, die den Zugriff verweigert hat und in 5 Wochen kommt er nicht mehr an die Daten... Schon beginnt die Fehlersuche... Am Besten war dann zwischenzeitlich nochmal der Rechner kaputt oder so und die Suche beginnt dann natürlich da... Aber das ist meine Meinung.

Link zu diesem Kommentar

Jagut,

 

die Frage ist ja nicht, ob es sinnvoll ist, sondern, was verlangt wird. Und verlangt wird eben nicht der Zugriff für ne Gruppe, sondern die Verweigerung.

 

Ich gebe Tobi recht, dass man Verweigern sehr sparsam einsetzen sollte, aber man kann die Sache in einigen Situationen auch andersrum sehen.

 

Angenommen an ner Schule gibts nen Folder "Klassenarbeiten". Da sollen die Schüler unter keinen Umständen drauf. Dann würde ich eine Gruppe Schüler machen und dieser den Ordner verweigern. Falls dann irgendwer die Schüler aus Versehen von oben durchvererbt, ist der Ordner trotzdem "gesperrt".

 

Bei der ISA hab ich auch eine Frage bekommen, bei der Verweigern sinnvoll war. Da sollte der ISA vor Zugriffen aus dem Netz geschützt werden. Dazu wurde das Recht zur Netzwerkanmeldung der Gruppe "Everyone" verweigert.

 

@Jian: Das ist bei dieser Frage auch gemeint. Es geht um verweigern, also sollen diejenigen UNTER KEINEN UMSTÄNDEN irgendwann Zugriff bekommen. Es wäre ja möglich, dass die Gruppe Anonymous aktuell schon Zugriff hat, dann würdest du mit dem Allow für die Auth. Users nix erreichen. Ausserdem steht nirgends, dass die Auth User Zugriff haben DÜRFEN. Damit würdest du quasi über das Ziel hinausschießen, auch wenn die Praxis vielleicht anders aussieht.

 

Gruß

 

woiza

Link zu diesem Kommentar
J Damit würdest du quasi über das Ziel hinausschießen, auch wenn die Praxis vielleicht anders aussieht.

 

 

Genau das hab ich gemeint.

 

Guten Morgen,

 

uns ist ja allen klar, dass MS in der Prüfung manches anders sieht. Mir ist schon klar, dass in dieser Frage es auf des Verweigern hinausläuft. In wieweit das in der Paxis Sinn macht, ist ja in der Prüfung wurscht.

 

Und nach der Prüfung setzt man sich seine Vorgaben entweder selber oder muss mit denen vom Kunden leben (der in der Regel die selbe Sprache wie man selber spricht).

 

Einen geruhsamen Start ins Wochenende euch allen.

 

Servus

 

Jian

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...