In den meisten Domänen ist jeder Benutzer Mitglied einer oder mehrerer der unter Windows NT vordefinierten Gruppen. Dadurch hat der jeweilige Benutzer die Möglichkeiten, die ihm seine Gruppen bieten. Die vordefinierten Gruppen unterscheiden sich je nach dem, ob es sich bei dem Rechner um einen Domain Controller oder um eine Workstation handelt.
Als grundsätzliche Regel zur Unterscheidung von lokalen und globalen Gruppen können die folgenden Sätze gelten:
Benutzer können aus folgenden Gründen Mitglied einer Gruppe sein:
Ein Benutzerkonto setzt sich aus folgenden Informationen
zusammen:
Kontoeintrag | Beschreibung |
Benutzername | Ein systemweit eindeutiger Name mit dem sich der Benutzer anmeldet. |
Kennwort | Das nur dem Benutzer bekannte Password. |
Gruppen | Fügt den Benutzer zu einer Gruppe hinzu. |
Pfad für Benutzerprofil | Profile enthalten die benutzerspezifischen Einstellungen für die Umgebung, die zu einem großen Teil auch von einem Administrator vorgegeben werden können. Im Detail beinhalten Profile das Aussehen von Programm-Manager, Datei-Manager, Befehlszeile, Druck-Manager, Systemsteuerungsoptionen, Zubehör sowie des Hilfe-Systems. Bei serverbasierten Profilen lassen sich verbindliche bzw. administrative Profile (\WINNT\PROFILES\%USERNAME%\ntuser.man) und persönliche Profile (\WINNT\PROFILES\%USERNAME%\ntuser.dat) unterscheiden. |
Anmeldeskriptname | Batch- oder Command-Skripts, die zur Login-Zeit eines Benutzers ausgeführt werden. Sie erlauben z.B. das Anbinden eines allgemein verfügbaren Netzwerklaufwerks. |
Basisverzeichnis | Jedem Benutzer kann ein individuelles „Heimat-Verzeichnis" zugeordnet werden, das auch auf einem entfernten Rechner im Netz liegen kann (File Server) |
RAS | Der Remote Access Service konfiguriert das Verhalten des Computers, wenn sich ein Benutzer per Telefon in den Rechner einwählt. |
Darüber hinaus gibt es noch Benutzereigenschaften, die entweder wahr oder falsch sind:
Kontoeintrag | Default | Bemerkung |
Benutzer muß Kennwort bei der nächsten Anmeldung ändern | ja | Der Benutzer muß beim ersten Anmelden sein Password ändern. Dies ist sinnvoll wenn das erste Password vom Administrator vergeben wurde. |
Benutzer kann Kennwort nicht ändern | nein | Dies ist sinnvoll, wenn ein Benutzerkonto von verschieden Benutzern genutzt wird (z.B. Praktikum). |
Kennwort läuft nie ab | nein | Der Benutzer wird nie aufgefordert sein Kennwort zu ändern. |
Konto deaktiviert | nein | Wenn ein Konto deaktiviert ist kann man sich nicht unter diesem Konto anmelden. Es verbleibt aber in der Kontodatenbank. |
Der Menüpunkt Richtlinien im Hauptfenster des Benutzer-Managers erlaubt die Konfiguration einer Reihe von sicherheitrelevanten Optionen.
Im Unterpunkt Konten werden jene Einstellungen vorgenommen, die die globalen Richtlinien von Benutzerkonten betreffen. So können dort das maximale Kennwortalter, die minimale Kennwortlänge, das minimale Kennwortalter, den Kennwortzyklus und das Verhalten bei vergeblichen Anmeldeversuchen eingestellt werden.
Im Menüpunkt Richtlinien Benutzerrechte lassen sich die Privilegien jeder Benutzergruppe und sogar jedes individuellen Benutzers regeln. Die einzelnen Rechte sind dabei:
Fast alle wichtigen Informationen des Windows-Betriebssystems werden in der Registraturdatenbank gespeichert. Poledit bietet nun die komfortable Möglichkeit, einen Teil der Datenbank zu editieren. Nach der Installation (SRVTOOLS-Verzeichnis der CD) von Poledit, startet man das Programm unter: START - AUSFÜHREN - POLEDIT.
Danach muß man im Poledit auf "Datei->Registrierung öffnen" klicken, dann erscheinen Icons für den "lokalen Benutzer" und den "lokalen Computer".