Windows NT Terminal Server Edition

Kapitel 3: Windows NT - Benutzer und Gruppen

Letzte Änderung: 18.10.98 von B. Tritsch

Jeder Benutzer, der regelmäßig auf das Netzwerk zugreift, benötigt ein Benutzerkonto. Dieses Benutzerkonto beinhaltet Informationen über den Benutzer, wie Name und Kennwort, sowie die Zugriffsrechte, die seinen Zugriff auf das Netzwerk regeln. Benutzer, die eine ähnliche Funktion haben oder die selben Ressourcen benötigen, können zu Gruppen zusammengefaßt werden. Diese Aufteilung in Gruppen macht die Rechtevergabe und Verwaltung einfacher, da sie nicht mehr an den einzelnen Benutzer gebunden ist, sondern jeweils für einen ganze Gruppe von Benutzern durchgeführt werden kann. Hierbei lassen sich Gruppen in lokal (= rechnerspezifisch) und global (= domäneweit) unterscheiden.

Benutzer und Benutzergruppen werden mit dem Benutzer-Manager definiert. Mit dem Datei-Manager bzw. dem Explorer können den Benutzern oder den Benutzergruppen Zugriffsrechte auf Dateien oder Verzeichnisse zugewiesen werden. Mit dem Druck-Manager können den Gruppen oder den Benutzern Drucker zugewiesen werden.

Inhalt eines Benutzerkontos

Ein Benutzerkonto setzt sich aus folgenden Informationen zusammen:

Kontoeintrag	Beschreibung
Benutzername	Ein systemweit eindeutiger Name mit dem sich der Benutzer anmeldet.
Kennwort	Das nur dem Benutzer bekannte Password.
Anmeldezeiten	Die Zeiten, während derer sich der Benutzer anmelden darf.
Anmeldearbeitsstationen	Liste der Rechner von denen sich der Benutzer einloggen darf.
Maximales Kennwortalter	Gibt den Zeitpunkt an, zu dem die Anmeldeberechtigung abläuft. Dadurch läßt sich erreichen, daß bestimmte Anmeldungen zeitlich begrenzt sind (z.B. für Gäste oder Studenten).
Basisverzeichnis	Das Basisverzeichnis ist als privates Verzeichnis des Benutzers gedacht, und dient dazu seine persönlichen Daten zu speichern. Dieses Verzeichnis kann auch auf einem entfernten Rechner im Netz liegen (File Server).
Benutzerprofil	Profile enthalten die benutzerspezifischen Einstellungen für die Umgebung, die zu einem großen Teil auch von einem Administrator vorgegeben werden können (Pfad: \WINNT \Profiles). Im Detail beinhalten Profile das Aussehen von Programm-Manager, Datei-Manager, Befehlszeile, Druck-Manager, Systemsteuerungsoptionen, Zubehör, Windows NT-Anwendungen von Drittherstellern sowie des Hilfe-Systems. Bei Server-basierten Profilen lassen sich verbindliche Profile (administrative Profile) und persönliche Profile unterscheiden.
Anmeldeskript	Batch- oder Command-Skripts, die zur Login-Zeit eines Benutzers ausgeführt werden. Sie erlauben z.B. das Anbinden eines allgemein verfügbaren Netzwerklaufwerks. Das Erstellen von leistungsfähigen Login-Skripts gehört zu einer der anspruchsvollsten Aufgaben für Administratoren (Pfad: \WINNT \System32\ Repl \Import \Scripts).

Darüber hinaus gibt es noch Benutzereigenschaften, die entweder wahr oder falsch sind:

Kontoeintrag	Default	Bemerkung
Benutzer muß Kennwort bei der nächsten Anmeldung ändern	ja	Der Benutzer muß beim ersten Anmelden sein Password ändern. Dies ist sinnvoll wenn das erste Password vom Administrator vergeben wurde.
Benutzer kann Kennwort nicht ändern	nein	Dies ist sinnvoll, wenn ein Benutzerkonto von verschieden Benutzern genutzt wird (z.B. Praktikum).
Kennwort läuft nie ab	nein	Sollte man System- oder Gastkonten verwenden.
Konto deaktiviert	nein	Wenn ein Konto deaktiviert ist kann man sich nicht unter diesem Konto anmelden. Es verbleibt aber in der Kontodatenbank. Konten, die als Template dienen, sollten deaktiviert sein.

Jedes Benutzerkonto wird systemweit durch einen Security Identifier (SID) identifiziert. Diese SID wird durch einen Algorithmus generiert, der die Hardware-Adresse der Netzwerkkarte und die aktuelle Systemzeit als Basis beinhaltet. Sie ist somit weltweit eindeutig und bleibt auch als Sicherheitsinformation für bestimmte NT-Objekte (z.B. Dateien) erhalten, wenn ein Benutzerkonto gelöscht wird. Wird also ein Benutzerkonto eröffnet, dann gelöscht und unter gleichem Namen erneut erzeugt, so hat dieses neue Benutzerkonto nicht die Rechte des alten, da es eine unterschiedliche SID besitzt.

Verwendung von NT-Gruppen

In den meisten Domänen ist jeder Benutzer Mitglied einer oder mehrerer der unter Windows NT vordefinierten Gruppen. Dadurch hat der jeweilige Benutzer die Möglichkeiten, die ihm seine Gruppen bieten. Die vordefinierten Gruppen unterscheiden sich je nach dem, ob es sich bei dem Rechner um einen Domain Controller oder um einen Workstation/Server Rechner handelt.

Als grundsätzliche Regel zur Unterscheidung von lokalen und globalen Gruppen können die folgenden Sätze gelten:

Globale Gruppen fassen Benutzer zusammen
Lokale Gruppen werden definiert, um diesen Berechtigungen zuzuordnen

Benutzer können aus folgenden Gründen Mitglied einer Gruppe sein:

Durch die Betriebsstruktur
Durch die Arbeit an gemeinsamen Projekten
Durch ähnliche Funktionen im Betrieb

Der Geltungsbereich für Gruppen stellt sich folgendermaßen dar:

group.gif (20740 Byte)

Der erforderliche Gruppentyp wird für verschiedene Aufgaben in der folgenden Tabelle aufgezeigt:

Aufgabe	Typ	Bemerkung
Gruppe von Benutzer als Einheit in einer anderen Domäne benutzen	Global	Eine globale Gruppe kann in einer anderen Domäne in eine lokale Gruppe importiert werden oder es können ihr dort direkt Rechte zugewiesen werden.
Nur Zugriff auf Ressourcen einer Domäne ermöglichen	Lokal	keine
Brauche Zugriffsrechte auf eine Windows NT Workstation Computer oder einen Server, der nicht Domain Controller ist	Global	Einer globalen Domäne-Gruppe kann der Zugriff auf diesen Rechner gewährt werden, einer lokalen Domäne-Gruppe nicht.
Will mehrere Gruppen zu einer zusammen fassen	Lokal	Eine lokale Gruppe kann nur globale Gruppen und Benutzer beinhalten, lokale Gruppen können weder in andere lokale noch in andere globale Gruppen importiert werden.
Benutzer von verschiedenen Domänen zusammenfassen.	Lokal	Benutzer von verschiedenen Domänen werden in einer lokalen Gruppe zusammen gefaßt. Dieser lokalen Gruppe können nur in der Domäne in der sie angelegt wurde Rechte zugewiesen werden. Wird die gleiche lokale Gruppe auch in anderen Domänen benötigt, so muß sie dort ebenfalls erzeugt werden.

Folgende globale Gruppen sind für die Domain Controller vordefiniert:

Domain Administrator: In dieser Gruppe befinden sich alle Administratoren der Domain. Nach dem Einrichten einer Domain ist der Benutzer Administrator vordefiniert. Da die globale Gruppe Domain Administrator automatisch Mitglied jeder lokalen Gruppe Administrator auf jedem Windows NT-Server der Domain ist, ist jeder Domain Administrator auch automatisch Server Administrator.
Domänebenutzer, Domain Users: In dieser Gruppe befinden sich alle in der Domain definierten Benutzer. Auch diese Gruppe ist automatisch Mitglied der lokalen Gruppe Users auf den Windows NT Servers und Workstations.

Folgende lokale Gruppen sind vordefiniert:

Administrator: Diese Gruppe umfaßt als Mitglieder den vordefinierten Benutzer Administrator und die globale Gruppe Domain Administrator. In diese Gruppe müssen in der Regel keine Mitglieder eingefügt werden, da die Vergabe von Administrator-Rechten besser über die Domain Administrator Gruppe oder eine andere für diesen Zweck definierte Gruppe erfolgt.
Benutzer, User: In dieser Gruppe befinden sich als Mitglieder nur die vordefinierte Gruppe Domain Users. Auch hier sollte die Benutzerverwaltung über die Gruppe Domain Users erfolgen. Zusätzlich können noch von anderen Domains Benutzer oder Gruppen aufgenommen werden. Dadurch lassen sich allen Benutzern die gleichen Rechte innerhalb der Domain zuteilen.
Gast, Guest: Diese Gruppe dient der Definition von Benutzern mit Gast-Zugriffsberechtigung. Aus Sicherheitsgründen bleibt diese Gruppe häufig leer.
Account Operator: Die Mitglieder dieser Gruppe dürfen Benutzerkonten verwalten. Sie dürfen aber nicht die Benutzerkonten der verschieden Administrator- und Serverkonten verändern.
Replikation Operator: Die Mitglieder dieser Gruppe besitzen die Berechtigung, den Verzeichnisreproduktionsdienst zu verwalten.
Server Operator: Über diese Gruppe wird die Verwaltung der Server abgewickelt. Die Mitglieder dieser Gruppe haben auf dem jeweiligen Server die selben Rechte wie ein Administrator, außer der Möglichkeit der Benutzerverwaltung.
Backup Operator: Der Backup Operator hat alle Rechte, die für die Datensicherung erforderlich sind. Insbesondere darf er Daten sichern, für die er sonst keine Berechtigung hat. Der Backup Operator benötigt also für die Sicherung einer Datei keine Leserechte auf die Datei.

Für Windows NT-Workstation und Windows NT-Server ist noch die folgende lokale Gruppe vordefiniert:

Hauptbenutzer, Power Users: Der Power User ist ein Mittelding zwischen dem normalen User und dem Administator. Mitglieder dieser Gruppe sind berechtigt, Verzeichnisse und Drucker des jeweiligen Rechners freizugeben oder zu sperren. Diese Gruppe wird benutzt um einem User zu ermöglichen, seinen Rechner selbst zu verwalten, ohne ihn zum Administrator zu machen.

Neben diesen offensichtlichen Gruppen existieren unter Windows NT noch eine Reihe von logischen Benutzergruppen. Sie alle haben wichtige Aufgaben innerhalb einer NT-Umgebung.

Ersteller/Besitzer: Ein Benutzer, der ein Objekt erstellt. Hierdurch kann ein generischer Benutzer für die Erzeugung von Verzeichnissen und Dateien definiert werden.
Interaktiv: Ein lokal am Rechner angemeldeter Benutzer (Gegensatz zum Benutzer, der über das Netzwerk auf Ressourcen zugreift).
Jeder: Alle Benutzer, die sowohl interaktiv als auch über das Netzwerk zugreifen.
Netzwerk: Ein über das Netzwerk am Rechner angemeldeter Benutzer (Gegensatz zum Benutzer, der lokal und interaktiv auf Ressourcen zugreift).
System: Das Betriebssystem.

Benutzer- und Gruppenverwaltung: Der Benutzer-Manager

Die Verwaltung der Benutzer und Gruppen ist sowohl auf einzelnen Windows NT-Maschinen als auch innerhalb einer Domäne eine zentrale Aufgabe zur Gewährleistung eines reibungslosen Betriebs. Nur ein Administrator hat die Rechte, neue Benutzer anzulegen oder die Daten bestehender Benutzer zu modifizieren. Das hierfür verwendete Werkzeug ist der Benutzer-Manager auf NT-Workstations und der Benutzer-Manager für Domänen auf NT-Servern.

um_main.gif (10756 Byte)

Beim Anlegen eines neuen Benutzers werden eine Reihe von Daten erfragt, wobei die wenigsten (außer dem Login-Namen) angegeben werden müssen. Jeder Benutzer erhält vom NT-System eine eindeutige ID, die mit seinem Login-Namen gekoppelt ist.

Die folgenden Angaben sollten für jeden neuen Benutzer gemacht werden:

Benutzername; Eindeutiger Login Name
Vollständiger Name, Beschreibung
Kennwort (Paßwort)
Gruppen
Profil, Login-Skript

um_prop.gif (7833 Byte)

Der Menüpunkt <Richtlinien> im Hauptfenster des Benutzer-Managers erlaubt die Konfiguration einer Reihe von sicherheitrelevanten Optionen. Im Unterpunkt <Konten...> werden jene Einstellungen vorgenommen, die die globalen Richtlinien von Benutzerkonten betreffen. So können dort das maximale Kennwortalter, die minimale Kennwortlänge, das minimale Kennwortalter, den Kennwortzyklus und das Verhalten bei vergeblichen Anmeldeversuchen eingestellt werden.

um_konto.gif (10978 Byte)

Im Menüpunkt <Richtlinien> <Benutzerrechte...> lassen sich die Privilegien jeder Benutzergruppe und sogar jedes individuellen Benutzers im Bezug auf die Rechte innerhalb des Rechners oder der Domäne regeln. Die einzelnen Rechte sind dabei:

Ändern der Systemzeit
Herunterfahren von einem Fernsystem aus
Hinzufügen von Arbeitsstationen zu einer Domäne
Laden und Entfernen von Gerätetreibern
Lokale Anmeldung
Sichern von Dateien und Verzeichnissen
System herunterfahren
Übernehmen von Besitz an Dateien und Objekten
Verwalten von Überwachungs- und Sicherheitsprotokoll
Wiederherstellen von Dateien und Verzeichnissen
Zugriff auf diesen Computer vom Netz

Zum nächsten Kapitel