Windows NT - Einführung und Konzepte

Kapitel 6: Benutzerverwaltung

Überblick

• Anlegen von Benutzern
• Definition von Gruppen
• Benutzerrechte
• Administrieren von Benutzern
• Replikation

Letzte Änderung: 15.6.98 von B. Tritsch

Zurück zum Index "PC-und MS-Windows-Support"

Zurück zum Inhalt

Die Verwaltung der Benutzer ist sowohl auf einzelnen Windows NT-Maschinen als auch innerhalb einer Domäne eine zentrale Aufgabe zur Gewährleistung eines reibungslosen Betriebs. Nur ein Administrator hat die Rechte, neue Benutzer anzulegen oder die Daten bestehender Benutzer zu modifizieren. Das hierfür verwendete Werkzeug ist der Benutzer-Manager auf NT-Workstations und der Benutzer-Manager für Domänen auf NT-Servern.

Abbildung 6.1: Der Benutzer-Manager für Domänen

Anlegen von Benutzern

Beim Anlegen eines neuen Benutzers werden eine Reihe von Daten erfragt, wobei die wenigsten (außer dem Login-Namen) angegeben werden müssen. Jeder Benutzer erhält vom NT-System eine eindeutige ID, die mit seinem Login-Namen gekoppelt ist.

Die folgenden Angaben sollten für jeden neuen Benutzer gemacht werden:

• Benutzername; Eindeutiger Login Name
• Vollständiger Name, Beschreibung
• Kennwort (Paßwort)
• Gruppen
• Profil, Login-Skript
• Zeiten, zu denen man sich in der Domäne anmelden darf (nur bei Benutzern einer Domäne)
• Computer, auf denen sich ein Benutzer anmelden darf (nur bei Benutzern einer Domäne)
• Kontoattribute, d.h. Datum zu dem die Zugriffsrechte enden (nur bei Benutzern einer Domäne)

Abbildung 6.2: Eingabe der Benutzerattribute

Bisher ungelöstes Problem: Disk-Quota.

Definition von Gruppen

Grundsätzlich können in einer Windows NT-Domäne zwei Arten von Benutzergruppen existieren: globale Gruppen und lokale Gruppen:

• Globale Gruppen werden definiert, um Benutzer zusammenzufassen. Sie sind somit mit UNIX-Gruppen vergleichbar. Solche Gruppen können nur auf Domain Controllern eingerichtet werden.
• Lokale Gruppen werden definiert, um den Benutzern innerhalb dieser Gruppen bestimmte Berechtigungen zuzuordnen (z.B. Administratoren). Lokale Gruppen innerhalb einer Domäne beziehen sich nur auf die Server-Plattformen. Sie kann Benutzer und globale Gruppen als Mitglieder haben.

Benutzerrechte

Der Menüpunkt <Richtlinien> im Hauptfenster des Benutzer-Managers erlaubt die Konfiguration einer Reihe von sicherheitrelevanten Optionen. Im Unterpunkt <Konten...> werden jene Einstellungen vorgenommen, die die globalen Richtlinien von Benutzerkonten betreffen. So können dort das maximale Kennwortalter, die minimale Kennwortlänge, das minimale Kennwortalter, den Kennwortzyklus und das Verhalten bei vergeblichen Anmeldeversuchen eingestellt werden.

Abbildung 6.3: Einstellen der Benutzerrichtlinien

Im Menüpunkt <Richtlinien> <Benutzerrechte...> lassen sich die Privilegien jeder Benutzergruppe und sogar jedes individuellen Benutzers im Bezug auf die Rechte innerhalb der Domäne regeln. Die einzelnen Rechte sind dabei:

• Ändern der Systemzeit
• Herunterfahren von einem Fernsystem aus
• Hinzufügen von Arbeitsstationen zu einer Domäne
• Laden und Entfernen von Gerätetreibern
• Lokale Anmeldung
• Sichern von Dateien und Verzeichnissen
• System herunterfahren
• Übernehmen von Besitz an Dateien und Objekten
• Verwalten von Überwachungs- und Sicherheitsprotokoll
• Wiederherstellen von Dateien und Verzeichnissen
• Zugriff auf diesen Computer vom Netz

Abbildung 6.4: Ändern der Benutzerrechte

Administrieren von Benutzern

Eine Reihe von Benutzerattributen, die erst zur Laufzeit eine gewisse Relevanz erlangen, lassen sich über entsprechende Systemmechanismen behandeln. Hierdurch wird die individuelle Administration von Benutzern gewährleistet:

• Anmeldeskripts, Login-Skripts: Batch- oder Command-Skripts, die zur Login-Zeit eines Benutzers ausgeführt werden. Sie erlauben z.B. das Anbinden eines allgemein verfügbaren Netzwerklaufwerks. Das Erstellen von leistungsfähigen Login-Skripts gehört zu einer der anspruchsvollsten Aufgaben für Administratoren (siehe Microsoft System Management Server-Skripts).
• Basisverzeichnis, Home Directories: Jedem Benutzer kann ein individuelles „Heimat-Verzeichnis" zugeordnet werden, das auch auf einem entfernten Rechner im Netz liegen kann (File Server)
• Benutzerprofile: Profile enthalten die benutzerspezifischen Einstellungen für die Umgebung, die zu einem großen Teil auch von einem Administrator vorgegeben werden können. Im Detail beinhalten Profile das Aussehen von Programm-Manager, Datei-Manager, Befehlszeile, Druck-Manager, Systemsteuerungsoptionen, Zubehör, Windows NT-Anwendungen von Drittherstellern sowie des Hilfe-Systems. Bei serverbasierten Profilen lassen sich verbindliche Profile (administrative Profile) und persönliche Profile unterscheiden.
• Remote Zugriff auf die Benutzerdatenbank: Der Benutzer-Manager für Domänen basiert auf einer verteilten Datenbank, die von allen Domain Controllern zugreifbar ist. Damit lassen sich neue Benutzer einrichten und bestehende Benutzerdaten modifizieren. Trick: Von einem NT-Client als Administrator das admin$-Laufwerk eines Domain Controllers mounten und von dort den Benutzer-Manager starten. Dieser läßt sich dann wie direkt auf dem Domain Controller verwenden.

Abbildung 6.5: Eintragen individueller Benutzerattribute

Replikation

Die Benutzerdatenbank wir automatisch zwischen den Domain Controllern repliziert (reproduziert). Dies gewährleistet den sicheren Betrieb des Gesamtsystems auch beim Ausfall eines Domain Controllers (Primary Domain Controller oder Backup Domain Controller). Sollen auch andere Daten, wie z.B. Login-Skripts, verteilt gehalten werden, ist die Einrichtung des Replikations-Services nötig.

Hierzu muß zunächst ein Replikator-Account eingerichtet werden, unter dessen Namen der Replikationsdienst für die entsprechenden Import- bzw. Exportverzeichnisse gestartet wird. Dies läßt sich entweder mit dem Dienste-Manager in der Systemsteuerung oder über den Server-Manager einrichten. Definiert man nur ein einziges Export-Verzeichnis läßt sich die Verwaltung zentral und die Datenhaltung redundant verteilt realisieren.

Zum nächsten Kapitel