Benutzer und Gruppen

Jeder Benutzer, der auf das Netzwerk zugreift, benötigt ein Benutzerkonto. Dieses Benutzerkonto beinhaltet Informationen über den Benutzer, wie Name und Kennwort, sowie die Zugriffsrechte, die seinen Zugriff auf das Netzwerk regeln.

Benutzer, die eine ähnliche Funktion haben oder die selben Ressourcen benötigen, können zu Gruppen zusammengefaßt werden. Diese Aufteilung in Gruppen macht die Rechtevergabe und Verwaltung einfacher, da sie nicht mehr an den einzelnen Benutzer gebunden ist, sondern jeweils für einen ganze Gruppe von Benutzern durchgeführt werden kann. Hierbei lassen sich Gruppen in lokal (= rechnerspezifisch) und global (= domäneweit) unterscheiden.

Benutzer und Benutzergruppen werden mit dem Benutzer-Manager definiert. Mit dem Datei-Manager bzw. dem Explorer können den Benutzern oder den Benutzergruppen Zugriffsrechte auf Dateien oder Verzeichnisse zugewiesen werden. Mit dem Druck-Manager können den Gruppen oder den Benutzern Drucker zugewiesen werden.

Der Benutzermanager

Sinn und Aufbau von Gruppen

In den meisten Domänen ist jeder Benutzer Mitglied einer oder mehrerer der unter Windows NT vordefinierten Gruppen. Dadurch hat der jeweilige Benutzer die Möglichkeiten, die ihm seine Gruppen bieten. Die vordefinierten Gruppen unterscheiden sich je nach dem, ob es sich bei dem Rechner um einen Domain Controller oder um eine Workstation handelt.

Als grundsätzliche Regel zur Unterscheidung von lokalen und globalen Gruppen können die folgenden Sätze gelten:

Globale Gruppen werden definiert, um Benutzer zusammenzufassen. Sie sind somit mit UNIX-Gruppen vergleichbar. Solche Gruppen können nur auf Domain Controllern eingerichtet werden.
Lokale Gruppen werden definiert, um den Benutzern innerhalb dieser Gruppen bestimmte Berechtigungen zuzuordnen (z.B. Administratoren).

Benutzer können aus folgenden Gründen Mitglied einer Gruppe sein:

Durch die Betriebsstruktur
Durch die Arbeit an gemeinsamen Projekten
Durch ähnliche Funktionen im Betrieb

Anlegen von Benutzern

Beim Anlegen eines neuen Benutzers werden eine Reihe von Daten erfragt, wobei die wenigsten (außer dem Login-Namen) angegeben werden müssen. Jeder Benutzer erhält vom NT-System eine eindeutige ID, die mit seinem Login-Namen gekoppelt ist.

Eingabe der Benutzerattribute

Inhalt eines Benutzerkontos

Ein Benutzerkonto setzt sich aus folgenden Informationen zusammen:

Kontoeintrag	Beschreibung
Benutzername	Ein systemweit eindeutiger Name mit dem sich der Benutzer anmeldet.
Kennwort	Das nur dem Benutzer bekannte Password.
Gruppen	Fügt den Benutzer zu einer Gruppe hinzu.
Pfad für Benutzerprofil	Profile enthalten die benutzerspezifischen Einstellungen für die Umgebung, die zu einem großen Teil auch von einem Administrator vorgegeben werden können. Im Detail beinhalten Profile das Aussehen von Programm-Manager, Datei-Manager, Befehlszeile, Druck-Manager, Systemsteuerungsoptionen, Zubehör sowie des Hilfe-Systems. Bei serverbasierten Profilen lassen sich verbindliche bzw. administrative Profile (\WINNT\PROFILES\%USERNAME%\ntuser.man) und persönliche Profile (\WINNT\PROFILES\%USERNAME%\ntuser.dat) unterscheiden.
Anmeldeskriptname	Batch- oder Command-Skripts, die zur Login-Zeit eines Benutzers ausgeführt werden. Sie erlauben z.B. das Anbinden eines allgemein verfügbaren Netzwerklaufwerks.
Basisverzeichnis	Jedem Benutzer kann ein individuelles „Heimat-Verzeichnis" zugeordnet werden, das auch auf einem entfernten Rechner im Netz liegen kann (File Server)
RAS	Der Remote Access Service konfiguriert das Verhalten des Computers, wenn sich ein Benutzer per Telefon in den Rechner einwählt.

Darüber hinaus gibt es noch Benutzereigenschaften, die entweder wahr oder falsch sind:

Kontoeintrag	Default	Bemerkung
Benutzer muß Kennwort bei der nächsten Anmeldung ändern	ja	Der Benutzer muß beim ersten Anmelden sein Password ändern. Dies ist sinnvoll wenn das erste Password vom Administrator vergeben wurde.
Benutzer kann Kennwort nicht ändern	nein	Dies ist sinnvoll, wenn ein Benutzerkonto von verschieden Benutzern genutzt wird (z.B. Praktikum).
Kennwort läuft nie ab	nein	Der Benutzer wird nie aufgefordert sein Kennwort zu ändern.
Konto deaktiviert	nein	Wenn ein Konto deaktiviert ist kann man sich nicht unter diesem Konto anmelden. Es verbleibt aber in der Kontodatenbank.

Benutzerrechte

Der Menüpunkt Richtlinien im Hauptfenster des Benutzer-Managers erlaubt die Konfiguration einer Reihe von sicherheitrelevanten Optionen.

Im Unterpunkt Konten werden jene Einstellungen vorgenommen, die die globalen Richtlinien von Benutzerkonten betreffen. So können dort das maximale Kennwortalter, die minimale Kennwortlänge, das minimale Kennwortalter, den Kennwortzyklus und das Verhalten bei vergeblichen Anmeldeversuchen eingestellt werden.

Einstellung der Benutzerrichtlinien

Im Menüpunkt Richtlinien Benutzerrechte lassen sich die Privilegien jeder Benutzergruppe und sogar jedes individuellen Benutzers regeln. Die einzelnen Rechte sind dabei:

Ändern der Benutzerrechte

Ändern der Systemzeit
Herunterfahren von einem Fernsystem aus
Hinzufügen von Arbeitsstationen zu einer Domäne
Laden und Entfernen von Gerätetreibern
Lokale Anmeldung
Sichern von Dateien und Verzeichnissen
System herunterfahren
Übernehmen von Besitz an Dateien und Objekten
Verwalten von Überwachungs- und Sicherheitsprotokoll
Wiederherstellen von Dateien und Verzeichnissen
Zugriff auf diesen Computer vom Netz

Weiterführende Vergabe von Richtlinien mit Poledit

Fast alle wichtigen Informationen des Windows-Betriebssystems werden in der Registraturdatenbank gespeichert. Poledit bietet nun die komfortable Möglichkeit, einen Teil der Datenbank zu editieren. Nach der Installation (SRVTOOLS-Verzeichnis der CD) von Poledit, startet man das Programm unter: START - AUSFÜHREN - POLEDIT.

Danach muß man im Poledit auf "Datei->Registrierung öffnen" klicken, dann erscheinen Icons für den "lokalen Benutzer" und den "lokalen Computer".

Poledit

"Lokaler Benutzer" liefert benutzerabhängige Registraturdaten (ntuser.dat).

"Lokaler Computer" dagegen liefert einige maschinenabhängige Registraturdaten. Bei serverbasiereten Computerrichtlinien heißt diese Datei ntconfig.pol. Diese liegt in der Netlogon-Freigabe (-> \WINNT\SYSTEM32\REPL\IMPORT\SKRIPTS)