Benutzermanager

---

Sicherheit, die Kontrolle der Zugriffe auf Ressourcen sowie die Echtheitsprüfung des Benutzernamens und des Kennwortes sind die wichtigsten Kriterien, um folgende Punkte optimal zu realisieren:

• Für jeden Benutzer die richtigen Informationen anzeigen (Profil)
• Abstimmung der Netzwerksitzung auf jeden Benutzer (User)
• Die richtigen Zugriffsrechte jedes Benutzers zu verwenden

Windows NT erlaubt die Erstellung von lokalen und globalen Benutzergruppen. Im folgenden wird die Planung und Funktion dieser Gruppen erklärt. Grundsätzlich können sich alle Mitglieder einer globalen Gruppe auf allen Workstations in der Heimatdomäne sowie in vertrauenden Domänen anmelden.

Der große Vorteil einer globalen Gruppe für den Administrator ist, dass er der Gruppe Rechte zuweisen kann, die dann für jeden Benutzer dieser Gruppe gelten. Im Gegenteil würde es schnell im Chaos enden, wollte man jedem einzelnen Benutzer Rechte zuweisen.

 

Jedes Benutzerkonto wird systemweit durch einen Security Identifier (SID) identifiziert. Diese SID wird durch einen Algorithmus generiert, der die Hardware-Adresse der Netzwerkkarte und die aktuelle Systemzeit als Basis beinhaltet. Sie ist somit weltweit eindeutig und bleibt auch als Sicherheitsinformation für bestimmte NT-Objekte (z.B. Dateien) erhalten, wenn ein Benutzerkonto gelöscht wird. Wird also ein Benutzerkonto eröffnet, dann gelöscht und unter gleichem Namen erneut erzeugt, so hat dieses neue Benutzerkonto nicht die Rechte des alten, da es eine andere SID besitzt.

 

Sinn und Aufbau von Gruppen.

In den meisten Domänen ist jeder Benutzer Mitglied einer oder mehrerer der unter Windows NT vordefinierten Gruppen. Dadurch hat der jeweilige Benutzer die Möglichkeiten, die ihm seine Gruppen bieten.

Es gibt drei vorgegebene globale Gruppen:

1. Domänenadministratoren Sie können globale Domänenkonten und Computer in der Domäne administrieren
2. Domänenbenutzer Alle Benutzer der Domäne sind Teil dieser Gruppe
3. Domänengäste Mitglieder haben Gastrecht für Ressourcen in der Domäne

Darüber hinaus können Gruppen mit speziellen Rechten kreiert werden. Es gibt zwei vorgegebene, spezielle Gruppen:

 

JEDER
Die Gruppe JEDER ist die Standardberechtigung, die für jede neu angelegte Ressource oder jedes Verzeichnis vergeben wird. Diese Gruppe kann nicht gelöscht werden.

 

GÄSTE
GÄSTE sind Mitglieder der Gruppe JEDER und haben somit Zugriff auf alle Verzeichnisse mit der Berechtigung JEDER.

 

Es ist zu empfehlen, die Gästegruppe zu deaktivieren.

 

Lokale Gruppen gelten nur für den Rechner (Server oder Workstation), auf dem sie erstellt werden. Es gibt vorgegebene lokale Gruppen für Konto, -Sicherungs, -Replikations, -Server und Druckoperatoren

 

Globale Benutzer

Sie können nur mit dem Benutzermanager für Domänen erstellt werden. Dieser ist standardmäßig nicht auf Workstations verfügbar, kann aber nachinstalliert werden.

 

Jeder Benutzer, der regelmäßig auf das Netzwerk zugreift, benötigt ein Benutzerkonto. Dieses Benutzerkonto beinhaltet Informationen über den Benutzer, wie Name und Kennwort, sowie die Zugriffsrechte, die seinen Zugriff auf das Netzwerk regeln. Benutzer, die eine ähnliche Funktion haben oder dieselben Ressourcen benötigen, können zu Gruppen zusammengefasst werden. Diese Aufteilung in Gruppen macht die Rechtevergabe und Verwaltung einfacher, da Sie nicht mehr an den einzelnen Benutzer gebunden ist, sondern jeweils für einen ganze Gruppe von Benutzern durchgeführt werden kann. Hierbei lassen sich Gruppen in lokal (= rechnerspezifisch) und global (= domäneweit) unterscheiden. Benutzer und Benutzergruppen werden mit dem Benutzer-Manager definiert.

 

Mit dem Dateimanager bzw. dem Explorer können den Benutzern oder den Benutzergruppen Zugriffsrechte auf Dateien oder Verzeichnisse zugewiesen werden. Mit dem Druck-Manager können den Gruppen oder den Benutzern Drucker zugewiesen werden. Ein Benutzerkonto setzt sich aus folgenden Informationen zusammen:

 

Beschreibung:

• Benutzername, ein systemweit eindeutiger Name, mit dem sich der Benutzer anmeldet.
• Kennwort, das nur dem Benutzer bekannte Passwort.
• Anmeldezeiten, die Zeiten, während derer sich der Benutzer anmelden darf.
• Anmeldearbeitsstationen, eine Liste der Rechner, von denen sich der Benutzer einloggen darf.
•  max. s Kennwortalter, gibt den Zeitpunkt an, zu dem die Anmeldeberechtigung abläuft. Dadurch lässt sich erreichen, dass bestimmte Anmeldungen zeitlich begrenzt sind (z.B. für Gäste oder Studenten).
• Basisverzeichnis, ist als privates Verzeichnis des Benutzers gedacht und dient dazu, seine persönlichen Daten zu speichern.
• Benutzerprofil, beschreibt die für den jeweiligen Benutzer gespeicherte Arbeitsumgebung. Dazu gehören die Programmgruppen, die Netzwerkverbindungen, die Farben und Schriften.
• Anmeldeskript. Eine Skriptdatei, die während jeder Anmeldung des Benutzers ausgeführt wird.

Die Verwaltung der Benutzer ist sowohl auf einzelnen Windows NT-Maschinen als auch innerhalb einer Domäne eine zentrale Aufgabe zur Gewährleistung eines reibungslosen Betriebs. Nur ein Administrator hat die Rechte, neue Benutzer anzulegen oder die Daten bestehender Benutzer zu modifizieren. Das hierfür verwendete Werkzeug ist der Benutzer-Manager auf NT-Workstations und der Benutzer-Manager für Domänen auf NT-Servern. Beim Anlegen eines neuen Benutzers werden eine Reihe von Daten erfragt, wobei die wenigsten (außer dem Login-Namen) angegeben werden müssen. Jeder Benutzer erhält vom NT-System eine eindeutige ID, die mit seinem Login-Namen gekoppelt ist.

 

Die folgenden Angaben sollten für jeden neuen Benutzer gemacht werden:

• Benutzername
• Eindeutiger Login Name
• Vollständiger Name, Beschreibung
• Kennwort (Passwort)
• Gruppenprofil
• Login-Skript
• Zeiten, zu denen man sich in der Domäne anmelden darf (nur bei Benutzern einer Domäne)
• Computer, auf denen sich ein Benutzer anmelden darf (nur bei Benutzern einer Domäne)
• Kontoattribute, d.h. Datum, zu dem die Zugriffsrechte enden (nur bei Benutzern einer Domäne)

---