Windows NT - Einführung für Benutzer
Kapitel 4: Benutzerspezifische Einstellungen
Überblick
Letzte Änderung: 22.12.1999 von Oliver Gebhardt
Zurück zum Index "PC-und MS-Windows-Support"
Zurück zum Inhalt
Jeder Benutzer, der regelmäßig auf das Netzwerk zugreift,
braucht ein Benutzerkonto. Dieses Benutzerkonto beinhaltet Informationen
über den Benutzer, wie Name und Password, sowie die Zugriffsrechte,
die seinen Zugriff auf das Netzwerk regeln. Benutzer, die eine ähnliche
Funktion haben oder die selben Ressourcen benötigen, können zu
Gruppen zusammen gefaßt werden. Diese Aufteilung in Gruppen macht
die Rechtevergabe und Verwaltung einfacher, da sie nicht mehr an den einzelnen
Benutzer gebunden ist, sondern jeweils für einen ganze Gruppe von
Benutzern durchgeführt werden kann.
Benutzerkonten lassen sich in globale und lokale Benutzerkonten unterteilen.
Globale Benutzerkonten werden in einer NT Domäne verwaltet, lokale
auf dem PC vor Ort.
Was ist eine Domäne?
Um eine größere Anzahl von Windows NT Rechnern in einem Client/Server-Netzwerk
zu verbinden, wurde von Microsoft das Modell der NT-Domänen (= NT
Domain) entwickelt. Eine Domäne faßt mehrere Server, physikalische
Netzwerkabschnitte, Ressourcen (d.h. Drucker, Festplatten usw.) und Benutzerkonten
zu einer zentral administrierbaren Einheit zusammen. Hierbei gibt es unter
Windows NT 4.0 einen Primary Domain Controller (PDC) und
optional beliebig viele Backup Domain Controllers (BDC) bzw.
Secondary
Domain Controllers (SDC). Unter Windows NT 5.0 (Windows
200) sind alle Domain Controllers (DC) gleichberechtigt.
Ein PDC unter Windows NT 4.0 besitzt als einzige Instanz die zentrale
Domänedatenbank SAM (Security Account Manager) und muß
immer in Betrieb sein, um Änderungen an der Datenbank anzunehmen.
Die BDCs enthalten lediglich eine Kopie der Datenbank und dienen der Unterstützung
des
PDCs für Login-Autentifikationen.
Inhalt eines Benutzerkontos
Benutzer und Benutzergruppen werden vom Administrator mit dem Benutzermanager
definiert. Mit dem NT-Explorer können den Benutzern oder den Benutzergruppen
Zugriffsrechte auf Dateien oder Verzeichnisse zugewiesen werden. Mit dem
Druckmanager können den Gruppen oder den Benutzern Drucker zugewiesen
werden.
Ein Benutzerkonto setzt sich aus folgenden Informationen zusammen:
| Kontoeintrag |
Beschreibung |
| Benutzername |
Ein systemweit eindeutiger Name mit dem sich
der Benutzer anmeldet. |
| Kennwort |
Das nur dem Benutzer bekannte Password. |
| Anmeldezeiten |
Die Zeiten, während derer sich der Benutzer
anmelden darf. |
| Anmeldearbeitsstationen |
Liste der Rechner von denen sich der Benutzer
einloggen darf. |
| Maximales Kennwortalter |
Gibt den Zeitpunkt an, zu dem die Anmeldeberechtigung
abläuft. Dadurch läßt sich erreichen, daß bestimmte
Anmeldungen zeitlich begrenzt sind (z.B. für Gäste oder Studenten). |
| Basisverzeichnis |
Das Basisverzeichnis ist als privates Verzeichnis
des Benutzers gedacht, und dient dazu seine persönlichen Daten zu
speichern. Dieses Verzeichnis kann auch auf einem entfernten Rechner im
Netz liegen (File Server). |
| Benutzerprofil |
Das Benutzerprofil beschreibt die für den
jeweiligen Benutzer gespeicherte Arbeitsumgebung, die zu einem großen
Teil auch von einem Administrator vorgegeben werden können (Pfad:
\WINNT \Profiles). Im Detail beinhalten Profile das Aussehen von Programm-Manager,
Datei-Manager, Befehlszeile, Druck-Manager, Systemsteuerungsoptionen, Zubehör,
Windows NT-Anwendungen von Drittherstellern sowie des Hilfe-Systems. |
| Anmeldeskript |
Eine Skriptdatei die während jeder Anmeldung
des Benutzers ausgeführt wird.
Batch- oder Command-Skripts, die zur Login-Zeit eines Benutzers ausgeführt
werden. Sie erlauben z.B. das Anbinden eines allgemein verfügbaren
Netzwerklaufwerks. Das Erstellen von leistungsfähigen Login-Skripts
gehört zu einer der anspruchsvollsten Aufgaben für Administratoren
(Pfad: \WINNT \System32\ Repl \Import \Scripts). |
Darüber hinaus gibt es noch Benutzereigenschaften, die entweder
wahr oder falsch sind:
| Kontoeintrag |
Default |
Bemerkung |
| Benutzer muß Kennwort bei der nächsten
Anmeldung ändern |
ja |
Der Benutzer muß beim ersten Anmelden
sein Password ändern. Dies ist sinnvoll wenn das erste Password vom
Administrator vergeben wurde. |
| Benutzer kann Kennwort nicht ändern |
nein |
Dies ist sinnvoll, wenn ein Benutzerkonto von
verschieden Benutzern genutzt wird (z.B. Praktikum). |
| Kennwort läuft nie ab |
nein |
Sollte man System- oder Gastkonten verwenden. |
| Konto deaktiviert |
nein |
Wenn ein Konto deaktiviert ist kann man sich
nicht unter diesem Konto anmelden. Es verbleibt aber in der Kontodatenbank.
Konten, die als Template dienen, sollten deaktiviert sein. |
Jedes Benutzerkonto wird systemweit durch einen Security Identifier
(SID) identifiziert. Diese SID wird durch einen Algorithmus generiert,
der die Hardware-Adresse der Netzwerkkarte und die aktuelle Systemzeit
als Basis beinhaltet.
Diese SID ist somit weltweit eindeutig und bleibt auch erhalten, wenn
ein Benutzerkonto gelöscht wird. Wird also ein Benutzerkonto eröffnet,
dann gelöscht und unter gleichem Namen erneut erzeugt, so hat dieses
neue Benutzerkonto nicht die Rechte des alten, da es eine unterschiedliche
SID besitzt.
Sinn und Aufbau von Gruppen
In den meisten Domänen ist ein Benutzer Mitglied einer oder mehrerer
der unter Windows NT vordefinierten Gruppen. Dadurch hat der jeweilige
Benutzer die Möglichkeiten, die ihm seine Gruppen bieten.
Die vordefinierten Gruppen unterscheiden sich je nach dem, ob es sich
bei dem Rechner um einen Domain Controller oder um einen Workstation/Server
Rechner handelt:
Benutzer können aus folgenden Gründen Mitglied einer Gruppe
sein:
-
Durch die Betriebsstruktur
-
Durch die Arbeit an gemeinsamen Projekten
-
Durch ähnliche Funktionen im Betrieb
Der Geltungsbereich für Gruppen stellt sich folgendermaßen dar:
Vordefinierte Benutzer und Gruppen
Folgende globale Gruppen sind für die Domain Controller definiert:
-
Domain Administrator: In dieser Gruppe befinden sich alle Administratoren
der Domain. Nach dem Einrichten einer Domain ist der Benutzer Administrator
vordefiniert. Da die globale Gruppe Domain Administrator automatisch Mitglied
jeder lokalen Gruppe Administrator auf jedem Windows NT-Server der Domain
ist, ist jeder Domain Administrator auch automatisch Server Administrator.
-
Domänebenutzer, Domain Users: In dieser Gruppe befinden sich
alle in der Domain definierten Benutzer. Auch diese Gruppe ist automatisch
Mitglied der lokalen Gruppe Users auf den Windows NT Servers und Workstations.
Folgende lokale Gruppen sind definiert:
-
Administrator: Diese Gruppe umfaßt als Mitglieder den vordefinierten
Benutzer Administrator und die globale Gruppe Domain Administrator.
-
Benutzer, User: In dieser Gruppe befinden sich als Mitglieder nur
die vordefinierte Gruppe Domain Users.
-
Gast, Guest: Diese Gruppe dient der Definition von Benutzern mit
Gast-Zugriffsberechtigung. Aus Sicherheitsgründen bleibt diese Gruppe
häufig leer.
-
Account Operator: Die Mitglieder dieser Gruppe dürfen Benutzerkonten
verwalten. Sie dürfen aber nicht die Benutzerkonten der verschieden
Administrator- und Serverkonten verändern.
-
Replikation Operator: Die Mitglieder dieser Gruppe besitzen die
Berechtigung, den Verzeichnisreproduktionsdienst zu verwalten.
-
Server Operator: Über diese Gruppe wird die Verwaltung der
Server abgewickelt. Die Mitglieder dieser Gruppe haben auf dem jeweiligen
Server die selben Rechte wie ein Administrator, außer der Möglichkeit
der Benutzerverwaltung.
-
Backup Operator: Der Backup Operator hat alle Rechte, die
für die Datensicherung erforderlich sind. Insbesondere darf er Daten
sichern, für die er sonst keine Berechtigung hat. Der Backup Operator
benötigt also für die Sicherung einer Datei keine Leserechte
auf die Datei.
Für Windows NT-Workstation und Windows NT-Server ist noch die folgende
lokale Gruppe definiert:
-
Hauptbenutzer, Power Users: Der Power User ist ein Mittelding
zwischen dem normalen User und dem Administrator. Mitglieder dieser Gruppe
sind berechtigt, Verzeichnisse und Drucker des jeweiligen Rechners freizugeben
oder zu sperren. Diese Gruppe wird benutzt um einem User zu ermöglichen,
seinen Rechner selbst zu verwalten, ohne ihn zum Administrator zu machen.
Neben diesen offensichtlichen Gruppen existieren unter Windows NT noch
eine Reihe von logischen Benutzergruppen. Sie alle haben wichtige Aufgaben
innerhalb einer NT-Umgebung.
-
Ersteller/Besitzer: Ein Benutzer, der ein Objekt erstellt. Hierdurch
kann ein generischer Benutzer für die Erzeugung von Verzeichnissen
und Dateien definiert werden.
-
Interaktiv: Ein lokal am Rechner angemeldeter Benutzer (Gegensatz
zum Benutzer, der über das Netzwerk auf Ressourcen zugreift).
-
Jeder: Alle Benutzer, die sowohl interaktiv als auch über das
Netzwerk zugreifen.
-
Netzwerk: Ein über das Netzwerk am Rechner angemeldeter Benutzer
(Gegensatz zum Benutzer, der lokal und interaktiv auf Ressourcen zugreift).
-
System: Das Betriebssystem.
Zum nächsten Kapitel