Booten bei lokaler Sicherheit
Da gilt folgendes: Alle Prozesse oberhalb SECRESH.EXE sind 'ROOT'-Prozesse, alle
unterhalb laufen auf USER-Level mit Ausnahme der Prog's die mit 'priv Befehl' vom
Admin gestartet werden.
Falls niemand eingelogged ( angemeldet ) ist gilt:
-
Alle Rechte der Gruppe 'local'.
-
Eine Konfiguration des Systems läuft also auf die Gruppe 'local' hinaus. Bitte dem
PM alle notwendigen Rechte via 'local' zuordnen, sonst geht's in die Hose, je
nach dem.
-
Beim Shutdown wird zuerst die Abmeldung durchgeführt, da die Server-Dienste gestoppt
werden. Die OS/2-INI Dateien sollten also fuer local zugänglich sein. Wenn sie
es nicht sind koennen Aenderungen nicht gespeichert werden, auch nicht wenn der
Admin selbst am System arbeitet da er ja abgemeldet wird. Ich habe sie nicht
freigegeben, so kann eben NIEMAND was ändern ( Bei Änderungen dann Protshell Ändern
).
Vorsicht bei Win/OS2:
Ich betreibe eine Gruppe winuser, die die INI's schreibend aber nicht löschend beglücken
darf. Ein ganz simples 'net access drive:\os2\mdos /add local: users: winuser:rx'
verhindert das die DOS und Windows Emulation von Usern, die nicht 'win-user' zugehoeren
ausgefuehrt wird. Local wird also keine DOS Spiele betreiben und das System unnötig
blockieren.
( Ätsch !! ). Auch Netscape und Konsorten kann man so recht gut stoppen.
Ein hypothetischer Befehl auf eine Ressource:
'net access ressource /add local:rx users: data:rx'
macht folgenden Sinn: An der Konsole können alle User ('lokal') zugreifen, im Netz
keiner ('users:', 'local' hat im Netz keine Rechte,) es sei denn er gehoert der
Gruppe 'data' an, ich benutze diese Kombination bei meinem WEB Server mit Erfolg.
Es gilt folgende Hierarchie:
-
local: Kein User ist Mitglied, lokale Rechte wenn niemand angemeldet ist, hat keine
Rechte im Netzwerk. Die Gruppe NIEMALS loeschen. O-Gott-o-Gott ....
-
users: Alle User sind Mitglied, Rechte gelten lokal UND im Netz
-
guests: Hab ich rausgeschmissen da unnoetig.
-
admins: Alle Administratoren. Lokal wie im Netz.
Eigene Gruppen und User:
Selbstdefiniert, Rechte Lokal und im Netz.
Ein übles Thema ist: Rechte im FS können nur geändert werden, wenn der Requester
läuft ( bis dato keine andere Erkenntnis ), also muss MPTS oder Thinlaps laufen,
zu gross fuer eine BOOTFLOPPY. Toll IBM.
Abhilfe: Service-Partition, somit können auch User basteln oder einfach vom Wechselmedium
booten ( Removable Media FAQ, Kapitel 2 oder 3) User können den BOOT-Manager nicht
modifizieren.