PRRV-Referat
Benutzerverwaltung
unter Windows NT
Berechtigungen zur Nutzung von Ressourcen des lokalen oder eines im Netzwerk befindlichen Computers werden benutzerabhängig festgelegt. Ebenso beziehen sich andere Rechte, wie z.B. die Zeiten zu denen sich Benutzer anmelden können oder ob die Systemkonfiguration verändert werden darf, immer auf einen oder mehrere Benutzer.
Der Administrator definiert einen Benutzer in Windows NT durch ein Benutzerkonto. Er erzeugt ein Benutzerkonto durch die Festlegung eines Benutzernamens und die Vergabe eines Kennworts.
Die Informationen, auf die das Betriebssystem zurückgreift, werden in der Benutzerkontendatenbank gespeichert.
Lokale Benutzerkontendatenbanken befinden sich auf dem Computer, an dem der Benutzer momentan arbeitet. Jeder Computer mit Windows NT als Betriebssystem führt eine solche Datenbank.
Der Verwaltung von Ressourcen eines Netzwerkes wird jedoch praktischer weise an zentraler Stelle vorgenommen.
Die Benutzerkontendatenbank einer Domäne wird auf dem primären Domänencontroller (PDC = primary domain controller) der jeweiligen Domäne geführt. Sogenannte Sicherungsdomänencontroller (BDC = backup domain controller) halten zwar eine Kopie der Kontendatenbank, die aber nicht von dem Netzwerkadministrator gemanagt werden muß. Um die Replikation der Daten kümmert sich Windows NT selbst.
Eine Domäne ist eine administrative Einheit, die aus mehreren Servern, Netzwerksegmenten, Ressourcen und Benutzerkonten bestehen kann. Für die Verwaltung von Domänen ist der PDC (Primary Domain Controller) zuständig. Auch gibt es noch beliebig viele BDCs (Backup Domain Controller) bzw. SDCs (Secondary Domain Controller; werden für gewisse Domänenkonzepte benötigt).
Das Original der zentralen Domänendatenbank SAM (Security Account Manager) liegt nur am PDC. Auf den BDCs liegen nur Kopien der Datenbank. Die BDCs dienen nur als Sicherung und zur Unterstützung der Login-Autentifikationen. Um nun Zugriff auf die Domäne zu erhalten, muß unbedingt der PDC in Betrieb sein.
Da eine Domäne eine logische Struktur des Netzwerkes ist, kann
es innerhalb eines physischen Subnetzes mehrere Domänen geben,
sich eine Domäne über mehrere physische Subnetze hinweg erstrecken.
Die Idee der Domäne ist es, für mehrere Server eine gemeinsame Benutzermenge, die Benutzerkontendatenbank, zu definieren. Hintergrund ist, daß es praktisch nicht realisierbar ist, bei einer größeren Zahl von Servern immer den gleichen Stand der Benutzerinformationen auf allen Servern zu gewährleisten, und daß es zB beim Wechsel von Kennwörtern der Benutzer, regelmäßig Schwierigkeiten gibt, wenn der Benutzer auf mehreren Servern unabhängig definiert ist.
Wird dagegen nur eine Benutzerkontendatenbank verwendet, hat man den Vorteil, daß Informationen über einen Benutzer nur einmal existieren. Anderungen müssen nur einmal vorgenommen werden, weshalb sich auch keine unterschiedlichen Informationen im Netzwerk befinden können. Da es nun nur einen Satz von Benutzerinfos gibt, gibt es auch nur ein Kennwort. Dadurch fallen Probleme, die sich ohne Domänenkonzept durch den gleichzeitigen Wechsel von Kennwörtern auf verschiedenen Servern oder durch das Vorhandensein mehrerer unterschiedlicher Kennwörter für den Server ergeben, weg.
Statt dessen meldet sich der Benutzer einmal an - an der Domäne. Es muß vom Administrator einmal definiert werden - wiederum in der Domäne. Anderungen, die durch den Administrator oder durch den Benutzer vorgenommen werden, finden genau einmal statt - in der Domäne.
Um die Verwaltung von Benutzern zu vereinfachen und Übersichtlichkeit und Flexibilität bei der Nutzung von Datenbeständen zu gewährleisten, werden Gruppen gebildet.
Es gibt zwei verschiedene Gruppentypen:
Sie dienen zur Zusammenfassung von Zugriffsrechten auf die Datenbestände und sonstigen Ressourcen einer bestimmten NT-Workstation oder eines bestimmten NT-Servers. Lokale Gruppen sind auf die eigene Domäne beschränkt. Alle Rechte einer Gruppe werden an die Gruppenmitglieder vererbt.
Gruppenmitglieder können
Benutzer der eigenen oder anderen Domäne
globale Gruppen der eigenen oder anderer vertrauter Domänen
Sein, jedoch dürfen sie keine anderen lokalen Gruppen enthalten.
Sie dienen zur Zusammenfassung von Benutzern, die gleiche Aufgaben bzw. Arbeiten durchzuführen haben oder gemeinsam an einem Projekt arbeiten.
Ein Benutzer erhält Zugriff auf Datenbestände indem er Mitglied in einer globalen Gruppe wird. Diese globale Gruppe wird dann Mitglied in einer entsprechenden lokalen Gruppe des betreffenden NT-Servers. Alle Mitglieder der globalen Gruppe können dann die Datenbestände dieses Servers in der ihnen erlaubten Weise nutzen.
Globale Gruppen sind in allen Domänen sichtbar. G
Gruppenmitglieder können also
Benutzer der eigenen Domäne
weitere Domänen
sein.
Vorteile der Verwaltung von Benutzern in Gruppen:
Wenn ein neuer Benutzer angelegt wird, er sogleich in einen passende Gruppe aufgenommen werden kann. Durch diese Mitgliedschaft erhält er Zugriff auf die Ressourcen und eine geeignete Arbeitsumgebung. Somit müssen also die Eigenschaften für ihn nicht extra definiert werden.
Um z.B. Rechte von allen Mitgliedern einer Gruppe zu verändern, muß man dies nicht an allen Mitgliedern einzeln vornehmen, sondern man braucht nur die betreffenden Eigenschaften in einer Gruppe verändern.
Die Verwaltung des Netzwerkes bleibt übersichtlich.
Ein Benutzer arbeitet in einer bestimmten Arbeitsumgebung. Die Arbeitsumgebung muß den Anforderungen des Benutzers entsprechen.
Elemente der Arbeitsumgebung:
Desktop
Zugriffsrechte auf Verzeichnisse und Dateien
Die Möglichkeit, Dateien auf einem oder mehreren Netzwerkdruckern auszudrucken
Den Erfordernissen entsprechende Anpassung des Start-Menüs und der Task-Leiste
Automatische Verbindungen zu Netzwerklaufwerken und freigegebenen Verzeichnissen
Gegebenenfalls automatischer Start einer Anwendung nach der Anmeldung
Ein Verzeichnis, in dem der Benutzer seien persönliche Dateien ablegen kann (Basisverzeichnis)
Für die Definition einer solchen Arbeitsumgebung gibt es zwei Möglichkeiten:
Dienen dazu, die Arbeitsumgebung eines Benutzers zu konfigurieren. Sie können somit die gleichen Aufgaben wie Benutzerprofile erfüllen.
Die Verwendung empfiehlt sich z.B. wenn MS-DOS Arbeitsstationen im Netzwerk vorhanden sind, da man auf solchen Computern keine Benutzerprofile von Win NT nutzen kann.
Das Profil wird beim Anmelden des Benutzers automatisch geladen. Es gibt für jeden Benutzer ein Profil. Ausgenommen davon sind Benutzer, die sich als Gast anmelden. Sie erhalten immer das Standard-Benutzerprofil.
Ein Standard-Benutzerprofil liegt auf jedem Windows Nt-Computer auf der lokalen Festplatte und wird geladen, wenn sich ein lokaler Benutzer erstmals an diesem Computer anmeldet.
Sobald sich der Benutzer abmeldet, wird eine Kopie dieses Profils mit allen seinen Anderungen, als individuelles Benutzerprofil gespeichert. Bei allen weiteren Anmeldungen wird nun dieses Benutzerprofil verwendet.
Ein lokales Benutzerprofil kann immer nur auf ein und denselben Computer verwendet werden, ein Server-basiertes Benutzerprofil kann man unabhängig von der Arbeitsstation verwendet werden.
Veränderliche Benutzerprofile werden unter NTUser.dat abgespeichert.
Es beschreibt eine Windows NT-Umgebung dauerhaft. Die einzelnen Benutzer können ihre Arbeitsumgebung nur für die Dauer einer Sitzung verändern. Nach einer erneuten Anmeldung wird wieder das Original-Benutzerprofil geladen.
Verbindliche Benutzerprofile werden unter NTUser.man gespeichert.
Mit dem Programm Benutzermanager oder Benutzermanager für Domänen kann man die Administrationsarbeit leicht erledigen.
Man kann:
Neue Benutzer anlegen
Neue lokale Gruppen anlegen
Neue globale Gruppen anlegen
Gruppen und Benutzer verwalten
Richtlinien für Benutzerkonten festlegen
Richtlinien für Benutzerrechte festlegen
Richtlinien für die Überwachung festlegen
Vertrauensstellungen zwischen Domänen einrichten
Nach dem Aufrufen des Benutzer-Managers sieht man eine Liste der Benutzer und Gruppen, die bei Windows NT bereits definiert sind. Einige Benutzergruppen und Benutzer sind bereits vom System definiert. Diese kann man zum Teil anpassen, in manchen Fällen muß man solche Anpassungen sogar vornehmen, um ein sicheres System einzurichten.
Um auf Windows NT zugreifen zu können benötigt man ein Benutzerkonto das Informationen wie
Benutzername, vollständiger Name
Kennwort
Anmeldezeiten
Profil, Kontentyp, etc. enthält.
Vordefinierte Benutzer sind z.B. der Administrator und der Gast, die bereits bei der Installation von Windows NT angelegt werden.
Das Administratorkonto ist der zunächst wichtigste Benutzer, da er alle zur Verwaltung eines Computers oder einer Domäne benötigten Rechte besitzt.
Das Konto selbst kann nicht gelöscht werden, es kann jedoch umbenannt werden, was auch ratsam ist.
Wenn man den Namen dieses Kontos unverändert beläßt, ist die Gefahr eines unbefugten Eindringens in das Netzwerk deutlich größer, da damit zumindest schon einmal der Benutzername eines Administrators bekannt ist und nur noch das Kennwort dazu ermittelt werden muß. Ebenso wie er sich nicht löschen läßt, kann der Benutzer Administrator auch nicht aus der vordefinierten Gruppe Administratoren entfernt werden.
Das Gastkonto hingegen wird zwar bei der Installation angelegt, ist bei einem Windows NT Server aber standardmäßig deaktiviert. Bei einer Workstation ist dies nicht der Fall. Aus Sicherheitsgründen sollte man es auch dort sperren, da sich sonst jeder unter diesem Konto ohne Kennwort anmelden kann.
Dieses Konto besitzt sehr wenige Berechtigungen, so daß ein Benutzer, der unter diesem Konto angemeldet ist, zumindest keinen Schaden anrichten kann. Er besitzt allerdings unter Umständen die Möglichkeit, auf Daten (lesend) zuzugreifen.
Für das Anlegen neuer Benutzer ist es zunächst wichtig, sich zu überlegen, wer alles als Benutzer definiert werden soll. In der Regel wird für jeden Benutzer auch ein Benutzerkonto definiert. Jedoch sollte man nicht jeden Benutzer einzeln definieren, sondern damit beginnen die Benutzer mit ähnlichen Einstellungen zunächst einmal zu definieren und anschließend zu klonen.
Damit kann man sich viel Arbeit sparen, da zum Beispiel die Benutzerrechte, Gruppenzugehörigkeiten und andere Informationen eines Benutzers übernommen werden. Man muß nur noch individuelle Werte wie den Benutzernamen und Kommentare für jeden Benutzer eingeben.
Grundsätzlich teilt sich das Programmfenster des Benutzermanagers in zwei Bereiche:
Der obere Teil des Fensters listet alle Benutzerkonten der Domäne auf. Man sieht den eigentlichen Benutzernamen, der bei der Anmeldung zu vergeben ist. Daneben ist Platz für die Darstellung des vollständigen Namens und eine Beschreibung für das Benutzerkonto.
Globale Gruppen werden definiert, um Benutzer zusammenzufassen.
Lokale Gruppen werden definiert, um diesen Berechtigungen zuzuordnen.
Damit regelt man, wie Benutzer ihre Kennwörter verwenden müssen. Die Richtlinien tragen entscheidend zur Sicherheit des Netzwerkes bei.
Die Einstellungen gelten für alle Konten in der Domäne.
Hier kann man z.B. Beschränkungen für das Kennwort angeben. Außerdem kann man hier auswählen, ob das Konto gesperrt werden soll oder nicht.
Damit vergibt man Rechte an Benutzer oder Gruppen. Mit einem Recht ist die Möglichkeit verbunden, eine bestimmte Aktion im System durchzuführen. Meldet sich ein Benutzer an einem Konto an, dem das entsprechende Recht gewährt ist, kann er die betreffende Aktion ausführen. Falls einem Benutzer ein bestimmtes Recht nicht gegeben ist, verweigert Windows NT die Ausführung bestimmter Aktionen.
Um Benutzern neue Rechte zu geben, muß nur der lokalen Gruppe die gewünschte zusätzliche Berechtigung zugeordnet werden. Ebenso lassen sich Berechtigungen genau so leicht wieder entfernen, indem diese einfach der lokalen Gruppe genommen werden.
Sollen sich solche Veränderungen nicht auf alle Benutzer beziehen, können die Anderungen auch durch eine Anderung der Zuordnung von globalen Gruppen zu lokalen Gruppen durchgeführt werden.
Benutzerrechte dürfen nur von Administratoren vergeben und verwaltet werden.
Ein Recht betrifft das gesamte System. (z.B. wirkt sich das Andern der Systemzeit auf alle Stationen der Domäne aus)
Zugriffsrechte regeln die Möglichkeiten der Benutzer auf die Ressourcen des Systems oder Netzwerk zuzugreifen (zB Verzeichnisse und Drucker).
Systemrechte gewähren einem Benutzer die Möglichkeit, an dem betreffenden System bestimmte Aktionen durchzuführen oder Werte zu ändern. Dazu gehören zB Treiber in das System zu laden oder zu entfernen, Andern der Systemzeit, Herunterfahren es Systems und ähnliches.
Die Systemrechte werden im Benutzermanager unter dem Menü Richtlinien - Benutzerrechte verwaltet. (Angezeigt werden hier jedoch nur die Standard-Benutzerrechte; tatsächlich existieren noch weitere Berechtigungen, die man erhält, indem man das Kontrollkästchen "weitere Benutzerrechte anzeigen" aktiviert. )
Eine Berechtigung betrifft ein bestimmtes Objekt. (z.B. wird einem Benutzer die Berechtigung erteilt, seine Dateien auf einem bestimmten Drucker auszudrucken)
Rechte, die im Zusammenhang mit dem normalen Netzbetrieb stehen, sind z.B.
Andern der Systemzeit,
Herunterfahren von einem Fernsystem aus
Laden und Entfernen von Gerätetreibern
Hinzufügen von Arbeitsstationen zur Domäne
Lokale Anmeldung
Sichern von Dateien und Verzeichnissen, etc.
Zugriffsrechte im System und Benutzerrechte werden ausschließlich lokalen Gruppen zugeordnet. Damit ist eindeutig, welcher Art von Gruppe Rechte gegeben werden.
Globale Gruppen, die nur in der Domäne definiert werden können, werden ausschließlich für die Zusammenfassung von Benutzern verwendet. Diesen werden aber keine Rechte zugeordnet.
Anhang:
Weitere Infos zum Thema NT-Domänen Konzept oder Ressourcenverwaltung unter NT sind von Ranz Gerhard bzw. Fuchs Tina zu erhalten.
Haupt | Fügen Sie Referat | Kontakt | Impressum | Nutzungsbedingungen
