WinCenter Pro: Konzepte und Administration

Kapitel 2.3: Windows NT - Benutzer und Gruppen

Letzte Änderung: 15.4.98 von B. Tritsch

Zurück zum Inde x "PC- und MS-Windows-Support"

Jeder Benutzer, der regelmäßig auf das Netzwerk zugreift, braucht ein Benutzerkonto. Dieses Benutzerkonto beinhaltet Informationen über den Benutzer, wie Name und Password, sowie die Zugriffsrechte, die seinen Zugriff auf das Netzwerk regeln. Benutzer, die eine ähnliche Funktion haben oder die selben Ressourcen benötigen, können zu Gruppen zusammen gefaßt werden. Diese Aufteilung in Gruppen macht die Rechtevergabe und Verwaltung einfacher, da sie nicht mehr an den einzelnen Benutzer gebunden ist, sondern jeweils für einen ganze Gruppe von Benutzern durchgeführt werden kann.

Benutzerkonten lassen sich in globale und lokale Benutzerkonten unterteilen.

Benutzer und Benutzergruppen werden mit dem Benutzermanager definiert. Mit dem Dateimanager können den Benutzern oder den Benutzergruppen Zugriffsrechte auf Dateien oder Verzeichnisse zugewiesen werden. Mit dem Druckmanager können den Gruppen oder den Benutzern Drucker zugewiesen werden.

Inhalt eines Benutzerkontos

Die Verwaltung der Benutzer ist sowohl auf einzelnen Windows NT-Maschinen als auch innerhalb einer Domäne eine zentrale Aufgabe zur Gewährleistung eines reibungslosen Betriebs. Nur ein Administrator hat die Rechte, neue Benutzer anzulegen oder die Daten bestehender Benutzer zu modifizieren. Das hierfür verwendete Werkzeug ist der Benutzer-Manager für Domänen.

Ein Benutzerkonto setzt sich aus folgenden Informationen zusammen:

Kontoeintrag	Beschreibung
Benutzername	Ein systemweit eindeutiger Name mit dem sich der Benutzer anmeldet.
Kennwort	Das nur dem Benutzer bekannte Password.
Anmeldezeiten	Die Zeiten, während derer sich der Benutzer anmelden darf.
Anmeldearbeitsstationen	Liste der Rechner von denen sich der Benutzer einloggen darf.
Maximales Kennwortalter	Gibt den Zeitpunkt an, zu dem die Anmeldeberechtigung abläuft. Dadurch läßt sich erreichen, daß bestimmte Anmeldungen zeitlich begrenzt sind (z.B. für Gäste oder Studenten).
Basisverzeichnis	Das Basisverzeichnis ist als privates Verzeichnis des Benutzers gedacht, und dient dazu seine persönlichen Daten zu speichern.
Benutzerprofil	Das Benutzerprofil beschreibt die für den jeweiligen Benutzer gespeicherte Arbeitsumgebung. Dazu gehören die Programmgruppen, die Netzwerkverbindungen, die Farben und Schriften.
Anmeldeskript	Eine Skriptdatei die während jeder Anmeldung des Benutzers ausgeführt wird.

Darüber hinaus gibt es noch Benutzereigenschaften, die entweder wahr oder falsch sind:

Kontoeintrag	Default	Bemerkung
Benutzer muß Kennwort bei der nächsten Anmeldung ändern	ja	Der Benutzer muß beim ersten Anmelden sein Password ändern. Dies ist sinnvoll wenn das erste Password vom Administrator vergeben wurde.
Benutzer kann Kennwort nicht ändern	nein	Dies ist sinnvoll, wenn ein Benutzerkonto von verschieden Benutzern genutzt wird (z.B. Praktikum).
Kennwort läuft nie ab	nein	Sollte man System- oder Gastkonten verwenden.
Konto deaktiviert	nein	Wenn ein Konto deaktiviert ist kann man sich nicht unter diesem Konto anmelden. Es verbleibt aber in der Kontodatenbank. Konten, die als Template dienen, sollten deaktiviert sein.

Jedes Benutzerkonto wird systemweit durch einen Security Identifier (SID) identifiziert. Diese SID ist eindeutig und bleibt auch erhalten, wenn ein Benutzerkonto gelöscht wird. Wird also ein Benutzerkonto eröffnet, dann gelöscht und unter gleichem Namen erneut erzeugt, so hat dieses neue Benutzerkonto nicht die Rechte des alten, da es eine unterschiedliche SID besitzt.

Strategie für den Aufbau von Gruppen

In den meisten Domänen ist ein Benutzer Mitglied einer oder mehrerer der unter Windows NT vordefinierten Gruppen. Dadurch hat der jeweilige Benutzer die Möglichkeiten, die ihm seine Gruppen bieten.

Die vordefinierten Gruppen unterscheiden sich je nach dem, ob es sich bei dem Rechner um einen Domain Controller oder um einen Workstation/Server Rechner handelt:

Grundsätzlich können in einer Windows NT-Domäne zwei Arten von Benutzergruppen existieren: globale Gruppen und lokale Gruppen:

Globale Gruppen werden definiert, um Benutzer zusammenzufassen. Sie sind somit mit UNIX-Gruppen vergleichbar. Solche Gruppen können nur auf Domain Controllern eingerichtet werden.
Lokale Gruppen werden definiert, um den Benutzern innerhalb dieser Gruppen bestimmte Berechtigungen zuzuordnen (z.B. Administratoren). Lokale Gruppen innerhalb einer Domäne beziehen sich nur auf die Server-Plattformen. Sie kann Benutzer und globale Gruppen als Mitglieder haben.

Benutzer können aus folgenden Gründen Mitglied einer Gruppe sein:

Durch die Betriebsstruktur
Durch die Arbeit an gemeinsamen Projekten
Durch ähnliche Funktionen im Betrieb

Der Geltungsbereich für Gruppen stellt sich folgendermaßen dar:

Aufgabe	Typ	Bemerkung
Gruppe von Benutzer als Einheit in einer anderen Domäne benutzen	Global	Eine globale Gruppe kann in einer anderen Domain in eine lokale Gruppe importiert werden oder es können ihr dort direkt Rechte zugewiesen werden.
Nur Zugriff auf Ressourcen einer Domain ermöglichen	Lokal	keine
Brauche Zugriffsrechte auf eine Windows NT Workstation Computer oder einen Server, der nicht Domain Controller ist	Global	Einer globalen Domäne-Gruppe kann der Zugriff auf diesen Rechner gewährt werden, einer lokalen Domäne-Gruppe nicht.
Will mehrere Gruppen zu einer zusammen fassen	Lokal	Eine lokale Gruppe kann nur globale Gruppen und Benutzer beinhalten, lokale Gruppen können weder in andere lokale noch in andere globale Gruppen importiert werden.
Benutzer von verschiedenen Domains zusammenfassen.	Lokal	Benutzer von verschiedenen Domains werden in einer lokalen Gruppe zusammen gefaßt. Dieser lokalen Gruppe können nur in der Domain in der sie angelegt wurde Rechte zugewiesen werden. Wird die gleiche lokale Gruppe auch in anderen Domänen benötigt, so muß sie dort ebenfalls erzeugt werden.

Vordefinierte Benutzer und Gruppen

Folgende globale Gruppen sind für die Domain Controller definiert:

Domain Administrator: In dieser Gruppe befinden sich alle Administratoren der Domain. Nach dem Einrichten einer Domain ist der Benutzer Administrator vordefiniert. Da die globale Gruppe Domain Administrator automatisch Mitglied jeder lokalen Gruppe Administrator auf jedem Windows NT-Server der Domain ist, ist jeder Domain Administrator auch automatisch Server Administrator.
Domain Users: In dieser Gruppe befinden sich alle in der Domain definierten Benutzer. Auch diese Gruppe ist automatisch Mitglied der lokalen Gruppe Users auf den Windows NT Servers und Workstations.

Folgende lokale Gruppen sind definiert:

Administrator: Diese Gruppe umfaßt als Mitglieder den vordefinierten Benutzer Administrator und die globale Gruppe Domain Administrator. In diese Gruppe müssen in der Regel keine Mitglieder eingefügt werden, da die Vergabe von Administrator-Rechten besser über die Domain Administrator Gruppe oder eine andere für diesen Zweck definierte Gruppe erfolgt.
Benutzer: In dieser Gruppe befinden sich als Mitglieder nur die vordefinierte Gruppe Domain Users. Auch hier sollte die Benutzerverwaltung über die Gruppe Domain Users erfolgen. Zusätzlich können noch von anderen Domains Benutzer oder Gruppen aufgenommen werden. Dadurch lassen sich allen Benutzern die gleichen Rechte innerhalb der Domain zuteilen.
Guest: Diese Gruppe dient der Definition von Benutzern mit Gast-Zugriffsberechtigung. Aus Sicherheitsgründen bleibt diese Gruppe häufig leer.
Account Operator: Die Mitglieder dieser Gruppe dürfen Benutzerkonten verwalten. Sie dürfen aber nicht die Benutzerkonten der verschieden Administrator- und Serverkonten verändern.
Replikation Operator: Die Mitglieder dieser Gruppe besitzen die Berechtigung, den Verzeichnisreproduktionsdienst zu verwalten.
Server Operator: Über diese Gruppe wird die Verwaltung der Server abgewickelt. Die Mitglieder dieser Gruppe haben auf dem jeweiligen Server die selben Rechte wie ein Administrator, außer der Möglichkeit der Benutzerverwaltung.
Backup Operator: Der Backup Operator hat alle Rechte, die für die Datensicherung erforderlich sind. Insbesondere darf er Daten sichern, für die er sonst keine Berechtigung hat. Der Backup Operator benötigt also für die Sicherung einer Datei keine Leserechte auf die Datei.

Für Windows NT-Workstation und Windows NT-Server ist noch die folgende lokale Gruppe definiert:

Power Users: Der Power User ist ein spezieller Benutzer zwischen dem normalen User und dem Administator. Mitglieder dieser Gruppe sind berechtigt, Verzeichnisse und Drucker des jeweiligen Rechners freizugeben oder zu sperren. Diese Gruppe wird benutzt um einem User zu ermöglichen, seinen Rechner selbst zu verwalten, ohne ihn zum Administrator zu machen.

Benutzerrechte

Einstellungen allgemeiner Art wie z.B. maximales Kennwortalter, minimales Kennwortalter, minimale Kennwortlänge, Kennwortzyklus, usw. lassen sich im Benutzer-Manager über den Menüpunkt <Richtlinien> modifizieren.

Folgende Benutzerrechte sind für einzelne Benutzer oder für Benutzergruppen über den Menüpunkt <Richtlinien> <Benutzerrechte> einstellbar:

Ändern der Systemzeit
Herunterfahren von einem Fernsystem aus
Hinzufügen von Arbeitsstationen zu einer Domäne
Laden und Entfernen von Gerätetreibern
Lokale Anmeldung
Sichern von Dateien und Verzeichnissen
System herunterfahren
Übernehmen von Besitz an Dateien und Objekten
Verwalten von Überwachungs- und Sicherheitsprotokoll
Wiederherstellen von Dateien und Verzeichnissen
Zugriff auf diesen Computer vom Netz

Administrieren von Benutzern

Eine Reihe von Benutzerattributen, die erst zur Laufzeit eine gewisse Relevanz erlangen, lassen sich über entsprechende Systemmechanismen behandeln. Hierdurch wird die individuelle Administration von Benutzern gewährleistet:

Login-Skripts: Batch- oder Command-Skripts, die zur Login-Zeit eines Benutzers ausgeführt werden. Sie erlauben z.B. das Anbinden eines allgemein verfügbaren Netzwerklaufwerks. Das Erstellen von leistungsfähigen Login-Skripts gehört zu einer der anspruchsvollsten Aufgaben für Administratoren (siehe Microsoft System Management Server-Skripts).
Home Directories: Jedem Benutzer kann ein individuelles „Heimat-Verzeichnis" zugeordnet werden, das auch auf einem entfernten Rechner im Netz liegen kann (File Server)
Benutzerprofile: Profile enthalten die benutzerspezifischen Einstellungen für die Umgebung, die zu einem großen Teil auch von einem Administrator vorgegeben werden können. Im Detail beinhalten Profile das Aussehen von Programm-Manager, Datei-Manager, Befehlszeile, Druck-Manager, Systemsteuerungsoptionen, Zubehör, Windows NT-Anwendungen von Drittherstellern sowie des Hilfe-Systems. Bei serverbasierten Profilen lassen sich verbindliche Profile (administrative Profile) und persönliche Profile unterscheiden.
Remote Zugriff auf die Benutzerdatenbank: Der Benutzer-Manager für Domänen basiert auf einer verteilten Datenbank, die von allen Domain Controllern zugreifbar ist. Damit lassen sich neue Benutzer einrichten und bestehende Benutzerdaten modifizieren. Trick: Von einem NT-Client als Administrator das admin$-Laufwerk eines Domain Controllers mounten und von dort den Benutzer-Manager starten. Dieser läßt sich dann wie direkt auf dem Domain Controller verwenden.

Replikation

Die Benutzerdatenbank wir automatisch zwischen den Domain Controllern repliziert (reproduziert). Dies gewährleistet den sicheren Betrieb des Gesamtsystems auch beim Ausfall eines Domain Controllers (Primary Domain Controller oder Backup Domain Controller). Sollen auch andere Daten, wie z.B. Login-Skripts, verteilt gehalten werden, ist die Einrichtung des Replikations-Services nötig.

Hierzu muß zunächst ein Replikator-Account eingerichtet werden, unter dessen Namen der Replikationsdienst für die entsprechenden Import- bzw. Exportverzeichnisse gestartet wird. Dies läßt sich entweder mit dem Dienste-Manager in der Systemsteuerung oder über den Server-Manager einrichten. Definiert man nur ein einziges Export-Verzeichnis läßt sich die Verwaltung zentral und die Datenhaltung redundant verteilt realisieren.

Zum nächsten Kapitel