5 Benutzerverwaltung

5.1 Benutzer-Zugang

In Mehrbenutzersystemen ist es üblich, jedem Einzelbenutzer eine fest eingegrenzte Arbeitsumgebung zu bieten, die ihn von anderen Benutzern abschirmt:

Prozesse eines Benutzers können gleichzeitig laufende Prozesse anderer Benutzer nicht beeinflussen (Speicherschutz, etc.)
Auf Dateien eines Benutzers können andere Benutzer nur mit dessen ausdrücklicher Erlaubnis zugreifen
Für gemeinsam genutzte Rsourcen und Dateien können definierte Zugriffsrechte vergeben werden
Die Nutzungsdauer (Rechenzeit), der Zeitraum der Nutzung (z. B. nur von 8 ... 17 Uhr) oder die maximal zu beanspruchende Plattenkapazität können festgelegt werden
Zu Beginn der Arbeit am Rechner (login) muß sich der Benutzer identifizieren (Benutzerauthentität)

Bei besonders kritischer Rechnerumgebung kann es sogar wünschenswert erscheinen, daß sich die Benutzer beim Aufruf bestimmter Programme nochmals identifizieren müssen.
Die o. g. Schutzmaßnahmen sind ins BS integriert (z. B. Prozeß-Schutz oder Dateischutz). Die Benutzeridentifikation wird durch ein eigenes Login-Programm vollzogen.
Spezielle Geräte erfordern besondere Schutzmaßnahmen; so ist es inzwischen üblich, bei Benutzern, die sich über einen Modem (also per Telefon) anmelden, diesen nicht sofort Zugang zum Rechner zu gewähren, sondern den Anschluß des Benutzers vom Rechner aus zurückzurufen. Zusätzliche Aufgaben der Benutzerverwaltung betreffen Abrechnungsinformationen:

die Zeit, die der Benutzer angemeldet ist
die verbrauchte Rechenzeit
die Verweilzeit von Prozessen im Rechner
Zugriff und Nutzung der Resourcen (Platte, Drucker, etc.)

5.2 Datei-Zugriffsschutz

Der Dateieintrag im Verzeichnis wird um einen Schutzeintrag erweitert, das die Zugriffsrechte festlegt. Diese Rechte können je nach System feiner oder gröber gestaffelt sein. Am einfachsten ist die Vergabe von Lese- oder Schreibrecht für alle Benutzer. Die Zugriffsrechte selbst lassen sich weiter unterteilen und auch für verschiedene Benutzer unterschiedlich gestalten - bis hin zur Zuteilung dedizierter Rechte an einen oder mehrere bestimmten Benutzer.

Einen Mittelweg beschreitet UNIX, das hier als einfaches Beispiel dienen soll. Für eine Datei gibt es unter UNIX drei Zugriffsarten:

R (read): Lesen aus der Datei
W (write): Schreiben in die Datei (Ändern/Verkürzen/Erweitern)
X (execute): Ausführen der Datei (bei Programmen)

Da es durchaus möglich sein sollte, anderen Benutzern das Lesen (nicht aber das Schreiben) einer Datei zu gestatten; es u. U. auch Dateien mit wichtigen Informationen gibt, die man vor eigenen Fehlern schützen will, gibt es drei Gruppen der Zugriffsberechtigung:

Zugriffsrechte für den Datei-Eigentümer
Zugriffsrechte für die Arbeitsgruppe des Eigentümers
Zugriffsrechte für alle anderen

Es ergeben sich also neun Zugriffsrechte:

Die im Bild links angegebenen weiteren drei Zugriffsrechte dienen besonderen Aufgaben. Ein Benutzer kann durchaus mehreren Arbeitsgruppen angehören. Durch die Zuordnung von Gerätedateien zu bestimmten Gruppen, kann man die Verwendung der Geräte auf eine bestimmte Gruppe von Programmen beschränken. Beispiele:

Die seriellen Schnittstellen, an denen Modems angeschlossen sind, werden der Gruppe "Modem" zugeordnet. Um Benutzern den Zugriff auf die Modems zu gestatten, muß der Systemverwalter nur diese Benutzer der Gruppe "Modem" zuordnen.

Bei einigen Betriebssystemen werden die Zugriffsrechte noch verfeinert, so läßt sich beispielsweise die Schreiberlaubnis noch weiter unterteilen:

beliebiges Schreiben auf die Datei
Ändern von bestimmten Teilen der Datei
Anhängen von Daten an die Datei
Löschen der Datei

Zum Inhaltsverzeichnis

Zum nächsten Abschnitt

Einführung in Betriebssyteme

5 Benutzerverwaltung

5.1 Benutzer-Zugang

5.2 Datei-Zugriffsschutz

Copyright © FH München, FB 04, Prof. Jürgen Plate