Kapitel 11 Erstellen und Verwalten von Benutzerkonten
Größe: px
Ab Seite anzeigen:

Download "Kapitel 11 Erstellen und Verwalten von Benutzerkonten"

Transkript

1 Kapitel 11 Erstellen und Verwalten vn Benutzerknten Benutzerknten Vrdefinierte bzw. integrierte Benutzer Richtlinien für die Vergabe vn Namen und Kennwörtern Erstellen vn Benutzerknten... 5 Anmeldeskripten... 8 Speicherrt im Verzeichnis... 8 Der Befehl NET Basisverzeichnis Prfil und Prfilpfad Anmeldung und Kntptinen Anmeldezeiten Remte-Zugriff Cmputer-Einschränkungen Kntptinen Datenträgerkntingente Gruppen Gruppenbereich Gruppenbereich»Lkale Dmäne« Gruppenbereich»Glbal« Gruppenbereich»Universal« Untergliederung der Gruppen Erstellen einer neuen Gruppe Vrdefinierte Standardgruppen Kapitel 11 Erstellen und Verwalten vn Benutzerknten In diesem Kapitel geht es darum, wie Benutzerknten erstellt, verwaltet und in Gruppen zusammengefasst werden. Die wesentliche Aufgabe bei der Benutzerverwaltung besteht darin, die Benutzerbasis zu erstellen und den Gruppen zuzuweisen, die in der Lage sein müssen, auf Ressurcen zugreifen zu können. Auch wenn dieses Kapitel mit dem Erstellen vn Benutzerknten beginnt, sllten Sie sich davn im Umgang mit der Sicherheit nicht beeinflussen lassen. Wie bereits im vrhergehenden Kapitel erwähnt, sllten Sie zuerst die Gruppe für die Ressurce erstellen und dann die Benutzer zuweisen. Es ist jedch kein Fehler, wenn Sie wissen, wer zu der Gruppe gehören sll, die Sie erstellen. Benutzerknten bei Windws 2000 sind deutlich leistungsfähiger als sie das bisher waren. Dieses Kapitel sll Ihnen dabei helfen, die Verwaltung vn Benutzerknten zu verstehen. Wenn Sie bereits wissen, wie Benutzerknten erstellt werden und jetzt wissen möchten, wie Richtlinien erstellt und verwendet werden, dann sllten Sie im flgenden Kapitel weiterlesen Benutzerknten Das Benutzerknt ist die Stelle, an der das Gummi die Straße in der Welt des Netzwerkbetriebssystems berührt. Das Benutzerknt ist die Schlüsselkmpnente, die verwendet wird, um auf Netzwerkressurcen zuzugreifen, und es stellt den Kntrllpunkt für jede Berechtigung und jede Richtlinie dar. Bei Windws 2000 haben diese Knten enrm an Bedeutung gewnnen. Seite 1 vn 25

2 Bevr Sie damit beginnen, diese Knten zu erstellen, sllten Sie einige Grundregeln kennen lernen und einige wichtige Infrmatinen erhalten. Das Erstellen vn Gruppen und das Hinzufügen vn Benutzern zu diesen Gruppen wird hier erwähnt, aber erst später ausführlicher behandelt. Wenn Sie als Administratr nch keine Erfahrung haben, sllten Sie diesen ausführlicheren Abschnitt zuerst lesen, bevr Sie sich daran machen, Knten zu erstellen. S können Sie verhindern, dass Sie Knten erstellen, die Sie später wieder löschen müssen Vrdefinierte bzw. integrierte Benutzer Wenn Windws 2000 installiert wird, werden einige Benutzerknten sfrt erstellt. Diese Knten werden vm System und vn den ersten Benutzern des Systems verwendet, um überhaupt auf das System zugreifen zu können. Ebens wie bei einem neuen Haus, bei dem es einen ersten Satz Schlüssel gibt, können diese Knten entweder geändert der s wie sie sind verwendet werden. Es ist jedch sinnvll, diese Schlüssel s schnell wie möglich zu ändern. Welche Knten autmatisch erstellt werden, hängt davn ab, welche Dienste installiert sind. In jedem Fall werden auf jedem Server die Knten Gast und Administratr erstellt. Diese Knten werden erstellt, damit grundlegende Dienste zur Verfügung stehen. Wenn Sie die Knsle Active Directry-Benutzer und - Cmputer öffnen und anschließend auf Users klicken (siehe Abbildung 11.1), können Sie die vrdefinierten Knten sehen. Abbildung 11.1: Standardknten für Benutzer und Gruppen Mit dem Gastknt kann nichts installiert werden und das sllte auch s beibehalten werden. Dieses Knt sllte nur dazu dienen, Besuchern Ihres Systems Zugriff auf öffentliche Bereiche wie Drucker der auch auf Freigaben zu gewähren. Das Beste an diesem Knt ist, dass es zur Gruppe Dmänen-Benutzer gehört. Das bedeutet, dass dem Gastknt der für die Gruppen Dmänen-Benutzer bzw. Jeder freigegebene Dienst zur Verfügung steht. Seite 2 vn 25

3 Sie sllten wissen, dass Sie das Gast- und das Administratrknt nicht löschen, aber umbenennen können. Eine Ihrer ersten Aufgaben sllte es sein, die vrdefinierten Knten umzubenennen. Eindringlinge, die sich auskennen, werden versuchen, sich im System mit Hilfe der vrdefinierten Knten anzumelden. Wenn sie einen Kntnamen in Erfahrung bringen können, haben sie die Schlacht schn halb gewnnen. Wenn es sich bei dem Knt dann nch um das Administratrknt handelt, ist der Krieg vrbei. Das Administratrknt wird für die Erstanmeldung und die Erstellung swie für das Starten vn Diensten erstellt. Das Administratrknt wird auch dann erstellt, wenn der Server nicht in einer Dmäne installiert ist. Das Knt wird in der Dmäne nicht jedes Mal erstellt, wenn ein neuer Server der Dmänencntrller installiert wird. Wenn Sie einen neuen Server in einer bereits vrhandenen Dmäne installieren, fragt das System nach einem Administratrnamen und -kennwrt, um das Cmputerknt in der Dmäne zu erstellen. Benennen Sie das Administratrknt s schnell wie möglich um. Wenn Sie sich in einer grßen Unternehmensumgebung befinden, können Sie nie wissen, wer sich wie lange schn im System aufhält, bis Sie die Knten umbenennen. Als Nächstes sllten Sie ein zweites Knt erstellen, das Mitglied der Gruppen Dmänen-Admins und Administratr ist. Dadurch, dass Sie dieses Knt erstellen, lassen Sie sich eine Hintertür ffen, falls das Administratrknt einmal unbrauchbar werden sllte. Es kmmt gar nicht s selten vr, dass das Kennwrt des Administratrknts geändert wird und sich keiner mehr an den Namen erinnern kann. Damit ist die Burg verschlssen und der Schlüssel auf Nimmerwiedersehen verschwunden. Eine gute Übung für Systemadministratren ist es, sich bei ihrer täglichen Arbeit mit der Dmäne nicht als Administratr anzumelden. Oder anders ausgedrückt: Verwenden Sie kein Knt, das allmächtig ist, wenn Sie mit einem Textverarbeitungs- der Tabellenkalkulatinsprgramm arbeiten. Sie sllten immer daran denken, dass Sie Dateien hne Kntrlle ändern können, wenn Sie sich als Administratr anmelden. Dabei kann es Ihnen wie Gulliver bei den Liliputanern ergehen. Sie könnten auf etwas treten. Oder nch schlimmer: Wenn Sie Ihren Arbeitsplatz verlassen, hne sich abzumelden, ist das Sicherheitssystem geöffnet. Allzu häufig kennen die Besitzer der leitende Angestellte eines Unternehmens das Administratrkennwrt für die Dmäne, in der ihre Daten enthalten sind, nicht. Es ist jedch durchaus sinnvll, den Besitzern der leitenden Angestellten eines Unternehmens eine Liste dieser Kennwörter zur Verfügung zu stellen, für den Fall, dass ein Mitarbeiter das Unternehmen verlässt der aus anderen Gründen nicht erreichbar ist. S ist es möglich, dass die Angestellten wieder an ihr System kmmen Richtlinien für die Vergabe vn Namen und Kennwörtern Sie sllten die Aufgabe des Erstellens vn Benutzerknten ernst nehmen. Wenn Sie Rbert Schmidt den Benutzernamen»Bert«und das Kennwrt»Angela«(den Namen seiner Frau) zuweisen, ist das in einer kleinen Bürumgebung kein Prblem. Wenn Sie jedch 30 der mehr Knten einrichten, wird es etwas schwieriger, sich slche netten Kmbinatinen auszudenken. Das ist allerdings die kleinste Srge, die Sie in einem Szenari wie dem eben geschilderten haben werden. Die Sicherheit ist praktisch mit ihrer Einrichtung schn nicht mehr existent. Bei Windws 2000 kann praktisch jede beliebige Methde für die Vergabe vn Namen für Benutzer und Gruppen eingerichtet und verwendet werden. Das Seite 3 vn 25

4 Prgramm ermöglicht dabei auch die Kntrlle darüber, b ein Benutzer berechtigt ist, ein bestimmtes Kennwrt zu verwenden. Bei Kennwörtern wird übrigens nach Grß- bzw. Kleinschreibung unterschieden. Im Flgenden sind einige grundlegende Regeln aufgeführt, die dazu beitragen, dass Ihr System sicherer wird - vrausgesetzt, Sie beflgen diese Regeln: Verwenden Sie Kennwörter, die aus mindestens acht Zeichen bestehen. Dabei sllte es sich um alphanummerische Zeichen handeln, die Sie nach Möglichkeit grß schreiben sllten. Damit wird verhindert, dass Utilities verwendet werden, die einfach das Wörterbuch nach dem Server werfen, wenn ein Benutzername entdeckt wird. Wenn Sie diese Regel beflgen, können Sie die Zeit, die erfrderlich ist, um das Kennwrt eines Benutzers zu knacken, vn einer Stunde auf vier Tage erhöhen. Beispiele dafür sind»492je429«und»7382jnne«. Weisen Sie Benutzern wann immer möglich Kennwörter zu. S können Sie genau nachvllziehen, was als Kennwrt verwendet wird. Definieren Sie eine Richtlinie für Kennwörter, die Benutzer auffrdert, ihre Kennwörter alle 30 bis 90 Tage zu ändern (siehe Abbildung 11.2). Abbildung 11.2: Richtlinie für Kennwörter Srgen Sie für Eindeutigkeit in Bezug auf Kennwörter. Oder anders ausgedrückt: Achten Sie darauf, dass kein Benutzer den Namen seiner Katze als Kennwrt verwendet. Lassen Sie darüber hinaus ebens wenig zu, dass Benutzer zuerst den Namen ihrer Katze, dann den ihres Hundes und anschließend wieder den ihrer Katze verwenden. Das Kennwrt sllte über mehrere Iteratinen hinweg beibehalten werden. Seite 4 vn 25

5 Um diese Kennwrtrichtlinien durchzusetzen, müssen Sie Änderungen in den Gruppenrichtlinien (insbesndere bei den Richtlinien für Kennwörter) für die Benutzer vrnehmen, die Sie überwachen möchten. Mit Default Dmain Plicy können Sie die Richtlinie für sämtliche Knten standardmäßig durchsetzen. Denken Sie immer daran, dass jeder Stein, den Sie den Benutzern in den Weg legen, mehr Arbeit für die Htline bedeutet. Es ist daher ein schmaler Grad, den Sie gehen müssen, wenn Sie festlegen, b die Richtlinien eher streng der in der Anwendung eher einfach sein sllen. Sie werden whl am meisten zu tun haben, wenn die Kennwörter vn allen ablaufen. Benutzernamen sind nicht annähernd s kmpliziert wie Kennwörter. Die schwierigste Entscheidung, die Sie im Zusammenhang mit Benutzernamen treffen müssen, ist die, welche Regel angewendet werden sll, und b es für das Unternehmen sinnvll ist, wenn Benutzernamen verwendet werden, die mit den tatsächlichen Namen der Benutzer zu tun haben. Was das betrifft, gibt es grundsätzlich zwei verschiedene Ansichten. Die eher knventinelle Ansicht in der heutigen, vm Internet geprägten Welt ist die, dass Benutzernamen vergeben werden sllten, die eine Abwandlung des tatsächlichen Namens der Benutzer darstellen. Ein Grund, der für diese Ansicht spricht, ist der, dass Benutzer einfacher erkannt und die Benutzernamen in andere Dienste integriert werden können - die Benutzernamen können den -Adressen der SQL Server-Knten entsprechen. Das Prblem dabei wurde bereits erwähnt. Wenn ein Hacker weiß, dass die Benutzerknten in Ihrem Unternehmen aus dem ersten Buchstaben des Vrnamens und dem Nachnamen (Rbert Newtn = rnewtn) bestehen, weiß er schn die Hälfte dessen, was er wissen muss, um in Ihr System einzudringen. Die diesem Ansatz entgegenstehende Ansicht ist die, dass für Benutzerknten ähnlich wie bei den bereits erwähnten Kennwörtern Zahlen der alphanummerische Namen verwendet werden sllten. Die Idee, die dahinter steckt, ist dieselbe wie die, die sich hinter der Idee vn Kennwörtern verbirgt: Je kmplexer und unnatürlicher der Benutzername und das Kennwrt, um s weniger wahrscheinlich ist es, dass ein Hacker die Kmbinatin knackt. Das Prblem bei diesem System ist allerdings, dass Benutzer sich ihre Kmbinatinen häufig nicht merken können. Das führt zu einem der zwei weiteren Prblemen: Benutzer rufen häufiger bei der Htline an, da sie sich die Kmbinatin nicht merken können der weil sie sich bei der Eingabe der Kmbinatin vertippen. Benutzer ntieren sich ihre Benutzernamen und/der Kennwörter und geben diese auch an andere weiter. Diese Erfahrung machen und hassen viele Administratren. Denken Sie immer daran, dass die häufigste Sicherheitsverletzung im gemeinsamen Netzwerk ein Benutzer ist, der sich am System anmeldet und dann seinen Arbeitsplatz verlässt. Achten Sie daher darauf, dass Bildschirmschner mit aktiviertem Kennwrtschutz spätestens nach 15 Minuten Wartezeit aktiv werden. Dies können Sie übrigens ebenfalls mit Hilfe der Gruppenrichtlinien durchsetzen Erstellen vn Benutzerknten Seite 5 vn 25

6 Wenn Sie 100 Benutzerknten erstellen müssen, ist schn allein der Gedanke daran schmerzlich, dies mit Hilfe der Knsle tun zu wllen. Glücklicherweise gibt es eine Lösung zu diesem Prblem: net user. Der Befehl net ist ein Allzweckbefehl, der in der Eingabeauffrderung eingegeben wird und mit dem Netzwerkressurcen schnell und effizient genutzt werden können. Mit Hilfe der unterschiedlichen Kmbinatinen des Befehls net user können Infrmatinen über Benutzerknten angezeigt und Benutzerknten erstellt bzw. gelöscht werden. Die Syntax für den Befehl lautet flgendermaßen: NET USER [Benutzername [Kennwrt *] [Optinen]] [/DOMAIN] NET USER Benutzername {Kennwrt *} /ADD [Optinen] [/DOMAIN] NET USER Benutzername [/DELETE] [/DOMAIN] Mit jedem Teil dieser Befehle können Sie bestimmte Infrmatinen aufrufen der einen gewünschten Effekt erzielen. Dieser Befehl ähnelt den Befehlen CD, RD und MD, mit denen Verzeichnisse in der Dateistruktur geändert werden. Im Flgenden ist eine Liste vn Parametern mit ihren unterschiedlichen Auswirkungen aufgeführt: Keine Parameter. Wird der Befehl hne Parameter verwendet, wird mit Hilfe vn net user eine Liste der Benutzerknten auf dem Cmputer angezeigt. Benutzername. Der Name des Benutzerknts, das hinzugefügt, gelöscht, geändert der angezeigt werden sll. Der Name des Benutzerknts darf maximal 20 Zeichen umfassen. Kennwrt. Weist dem Benutzerknt ein Kennwrt zu der ändert es. Das Kennwrt muss die mit der Optin /MINPWLEN des Befehls NET ACCOUNTS festgelegte Mindestlänge aufweisen. Die maximale Länge beträgt 14 Zeichen. *. Es erscheint die Eingabeauffrderung für das Kennwrt. Das Kennwrt wird bei der Eingabe nicht angezeigt. /DOMAIN. Führt den Vrgang auf einem Dmänencntrller der aktuellen Dmäne aus. Dieser Parameter ist nur auf Windws 2000 Prfessinal- Cmputern gültig, die Mitglieder einer Windws 2000 Server-Dmäne sind. Windws 2000 Server führen standardmäßig Vrgänge auf dem primären Dmänencntrller aus. /ADD. Fügt ein Benutzerknt der Benutzerkntendatenbank hinzu. /DELETE. Löscht ein Benutzerknt aus der Datenbank. Wenn der Befehl mit Optinen angegeben werden kann, wird die Art, wie die Daten geändert werden können, näher definiert. S kann beispielsweise die Optin gewählt werden, dass zum neu erstellten Benutzerknt eine Beschreibung hinzugefügt werden kann. Um eine dieser Optinen hinzuzufügen, ersetzen Sie einfach die Zeile Optin in der Syntaxzeile durch die entsprechende Optin. Und das sind nun die möglichen Optinen: /ACTIVE:{YES NO}. Deaktiviert der aktiviert das Knt. Wenn das Knt nicht aktiv ist, kann der Benutzer nicht auf den Server zugreifen. Standardeinstellung ist YES. /COMMENT:"Beschreibung". Es kann eine Beschreibung zum Benutzerknt eingegeben werden. Diese Beschreibung kann bis zu 48 Zeichen umfassen. Der Text muss in Anführungszeichen stehen. /COUNTRYCODE:nnn. Verwendet die Landeskennzahl des Betriebssystems, anhand derer die Dateien der Online-Hilfe und der Fehlermeldungen in der Seite 6 vn 25

7 jeweiligen Landessprache angezeigt werden. Bei der Eingabe des Wertes 0 wird die Standardländereinstellung gewählt. /EXPIRES:{Datum NEVER}. Lässt ein Benutzerknt zum angegebenen Datum ablaufen. Bei Eingabe vn NEVER wird keine zeitliche Beschränkung für das Benutzerknt festgelegt. Ablaufdaten können je nach angegebener Ländereinstellung in der Reihenflge Mnat/Tag/Jahr der Tag/Mnat/Jahr eingegeben werden. Mnatsnamen können ausgeschrieben, mit drei Buchstaben abgekürzt der als Zahlen geschrieben werden. Jahreszahlen können aus zwei der vier Ziffern bestehen. Als Trennzeichen zwischen Tages-, Mnats- und Jahreseingabe müssen Kmmata der Schrägstriche verwendet werden (keine Leerzeichen). /FULLNAME:"Name". Definiert den vllständigen Namen des Benutzers (nicht den Benutzernamen). Der Name muss in Anführungszeichen stehen. /HOMEDIR:PFAD. Bezeichnet den Pfad für das Basisverzeichnis eines Benutzers. Der Pfad muss bereits existieren. /PASSWORDCHG:{YES NO}. Legt fest, b Benutzer ihr eigenes Kennwrt ändern können. Standardeinstellung ist YES. /PASSWORDREQ:{YES NO}. Legt fest, b ein Benutzerknt ein Kennwrt haben muss. Standardeinstellung ist YES. /PROFILEPATH[:Pfad]. Bezeichnet den Pfad für das Anmeldeprfil des Benutzers. Dieser Pfad verweist auf ein Registrierungsprfil. /SCRIPTPATH:Pfad. Bezeichnet den Pfad für das Anmeldeskript des Benutzers. Der Wert Pfad darf kein absluter Pfad sein. Pfad wird relativ zu %systemrt%\system32\repl\imprt\scripts angegeben. /TIMES:{Zeiten ALL}. Legt die Anmeldezeiten fest. Die Werte für Zeiten werden in der Frm Tag[-Tag][,Tag[-Tag]],Uhrzeit[-Uhrzeit][,Uhrzeit[-Uhrzeit]] angegeben, wbei die Angabe der Uhrzeit zu vllen Stunden erflgen muss. Tage können ausgeschrieben der abgekürzt werden. Beim 12-Stunden-Frmat muss nach der Uhrzeit AM, PM der A.M., P.M. stehen. Bei ALL kann sich der Benutzer jederzeit anmelden. Ein Leerzeichen bewirkt, dass sich der Benutzer überhaupt nicht anmelden kann. Tag und Uhrzeit werden mit einem Kmma getrennt, mehrere aufeinander flgende Zeitangaben mit einem Semikln. /USERCOMMENT:"Beschreibung". Hier kann der Administratr eine Beschreibung zum jeweiligen Benutzerknt eingeben der ändern. Der Text muss in Anführungszeichen stehen. /WORKSTATIONS:{Cmputername[,...] *}. Es können bis zu acht Cmputer angegeben werden, vn denen aus sich der Benutzer am Netzwerk anmelden kann. Die unterschiedlichen Einträge werden durch Kmmata vneinander getrennt. Wenn nach /WORKSTATIONS nichts der * angegeben wird, kann sich der Benutzer vn jedem Cmputer aus anmelden. Diese Befehlszeile verwenden Sie für die Erstellung mehrerer Benutzerknten am besten, indem Sie ein Beispiel Ihres gewünschten Knts erstellen und dann in eine Stapelverarbeitungsdatei replizieren. Es kann nicht genügend betnt werden, wie wichtig es ist, dass Sie dieses Verfahren ein-, zweimal ausprbieren sllten, bevr Sie die Stapelverarbeitungsdatei mit einer umfangreichen Gruppe vn Benutzern füllen. Nach hundert falschen Benutzernamen zu suchen und diese zu berichtigen, kann sehr lästig sein. S sieht beispielsweise eine Stapelverarbeitungsdatei aus, die Sie verwenden könnten: NET USER bnewtn 23nre32 /ADD /COMMENT:"Reisekrdinatr" NET USER jschm 12nrw53 /ADD /COMMENT:"Reiseplaner" Seite 7 vn 25

8 NET USER snewtn 2v2bt3 /ADD /COMMENT:"Reiseplaner" NET USER jmeyer hrn598 /ADD /COMMENT:"Reisesekretärin" Anmeldeskripten Anmeldeskripten sind bei einigen Betriebssystemen schwierig zu lernen und anzuwenden. In der Welt vn Windws wurden schn immer die guten alten Stapelverarbeitungsdateien verwendet. Die Befehlszeilen-Stapelverarbeitungsdatei gibt es schn seit rund zwei Jahrzehnten. Diese Schnittstelle wird schn seit den frühen Anfängen vn DOS und in vielen anderen Betriebssystemen nch heute verwendet. Eine Stapelverarbeitungsdatei ist eine Textdatei, die Befehle enthält, die zeilenweise ausgeführt werden. Wenn ich beispielsweise mit einem Befehl eine Anwendung ausführen, eine Anweisung über die Anwendung zurückübertragen und dann das Ergebnis der Anwendung löschen möchte, sllte ich eine Stapelverarbeitungsdatei erstellen. Anmeldeskripten sind Stapelverarbeitungsdateien, die verwendet werden, um einen Benutzer in einer Umgebung zu definieren, die das Netzwerk besser nutzbar macht. Benutzern kann mittels Stapelverarbeitungsdatei ein Laufwerk, ein Druckeranschluss der eine Anwendung zugewiesen werden. Bei Windws 2000 wurden einige dieser Optinen erweitert. Der wichtigste Unterschied ist der, dass nun Cntainerbjekten Skripten zugewiesen werden können. Bei Windws NT gibt es s etwas wie Gruppenanmeldeskripten nicht. In der Familie der Skripten gibt es außerdem ein neues Mitglied, das s genannte Abmeldeskript. Skripten werden zusammen mit sämtlichen anderen Windws 2000-Richtlinien für Benutzer und Prfildaten in der flgenden Reihenflge ausgeführt: Standrt Dmäne Organisatinseinheit untergerdnete Organisatinseinheit usw. Benutzer Speicherrt im Verzeichnis Skripten können vn jeder beliebigen im Netzwerk freigegebenen Datei ausgeführt werden. Der Standardspeicherrt vn Skripten ist jedch das Verzeichnis \WINNT\System32\Repl\Imprt\Scripts. Dies liegt in der möglichen Replikatin dieser Skripten begründet. Wenn kein bestimmter Pfad angegeben wird, erhalten die Clients eines Windws bzw. NT-Servers ihre Anmeldeskripten vn dem DC, der sie im Netzwerk authentifiziert. Daher ist es in einem Netzwerk mit mehreren DCs sinnvll, auf sämtlichen Servern eine aktuelle Liste vn Anmeldeskripten zu verwalten. Wenn Sie die Skripten nicht nach jeder Bearbeitung für sämtliche Server kpieren möchten, müssen Sie eine Dateireplikatin knfigurieren. Die einzige Vraussetzung für ein Skript ist, dass darauf über eine Freigabe zugegriffen werden kann. Daher kann die Datei in der Freigabe \\mcp\scripts gespeichert und ebens aufgerufen werden. Seite 8 vn 25

9 Wie bereits erwähnt, handelt es sich bei einem Skript in der Regel um eine Stapelverarbeitungsdatei (.bat). Damit Sie sich vrstellen können, wie ein Skript üblicherweise aussieht, sehen Sie sich flgendes Beispiel an: ***Beginn des Skripts ech ff cls ech Willkmmen beim Macmillan Server-Cluster. ech Die flgenden Ressurcenzuweisungen ech wurden vrgenmmen. net use f: /hme net use g: \\mcp\data net use m: \\mcp\apps net use lpt2 \\mcp\laser_stck3 ech Einen schönen Tag! pause Mit diesem Skript wird zunächst die Befehlsanzeige ausgeschaltet. Anschließend wird der Bildschirm gelöscht und der Benutzer begrüßt. Darüber hinaus werden dem Benutzer die erstellten Umgebungsvariablen genannt. Abschließend wird dem Benutzer ein schöner Tag gewünscht. Aufgrund der Pause kann der Benutzer lesen, was auf dem Bildschirm steht, bevr er seine Arbeit frtsetzt und sich wundert, warum alles, was an LPT2 gesendet wird, über den Hewlett Packard 4MV ausgedruckt wird. Ein Skript wird an einem vn zwei möglichen Orten gespeichert: im Gruppenrichtlinienbjekt für einen Cntainer bzw. für eine Gruppe der im Benutzerbjekt. Das hängt natürlich davn ab, welche der Möglichkeiten jeweils am besten geeignet ist. Bevr Sie nun Skripten erstellen, zunächst einmal ein paar zur Vrsicht mahnende Wrte. Das Erstellen vn Skripten ist s ähnlich wie das Erteilen vn Berechtigungen. Es ist sinnvller, wann immer möglich, Gruppenrichtlinienskripten zu erstellen. Darüber hinaus ist es immer einfacher, bestimmte Vrgänge für eine Gruppe, statt für jedes Benutzerknt einzeln zu definieren. Auch Vrgänge für einen einzelnen Benutzer sllten möglichst in einem Gruppenrichtlinienskript definiert werden. Häufig wird das, was zunächst für einen Benutzer erfrderlich ist, schn nach kurzer Zeit auch für andere Benutzer relevant. Wenn Sie ein Gruppenrichtlinienskript zuweisen möchten, beginnen Sie in der Knsle Active Directry-Benutzer und -Cmputer. Gehen Sie dabei wie flgt vr: 1. Klicken Sie mit der rechten Maustaste auf den Cntainer bzw. das Gruppenbjekt, in dem die Gruppenrichtlinie enthalten ist, und wählen Sie dann die Optin Eigenschaften. 2. Dppelklicken Sie auf der Registerkarte Gruppenrichtlinie auf die Gruppenrichtlinie, die Sie ändern möchten. (Wenn keine Gruppenrichtlinie vrhanden ist, müssen Sie eine erstellen, bevr Sie ein Skript zuweisen können.) 3. Klicken Sie auf das Pluszeichen (+) neben Benutzerknfiguratin und dann auf Windws-Einstellungen. 4. Wählen Sie die Optin Skripts (Anmelden/Abmelden) und dppelklicken Sie anschließend auf das Symbl Anmelden bzw. Abmelden. Klicken Sie danach auf Hinzufügen. 5. Definieren Sie im Dialgfeld Hinzufügen eines Skripts die vn Ihnen gewünschten Optinen und klicken Sie dann auf OK. Seite 9 vn 25

10 Skriptname. Geben Sie den Pfad für das Skript ein der klicken Sie auf Durchsuchen, um die Skriptdatei in der Netlgn-Freigabe auf dem Dmänencntrller zu suchen. Skriptparamater. Geben Sie die gewünschten Parameter ein (wie in der Befehlszeile). Wenn das Skript beispielsweise die Parameter //lg (Vrspann anzeigen) und //I (interaktiver Mdus) enthält, geben Sie flgende Zeile ein: //lg//i 6. Definieren Sie im Dialgfeld Eigenschaften vn Anmelden bzw. Eigenschaften vn Abmelden sämtliche vn Ihnen gewünschten Optinen: Skripts zum Anmelden für. Zeigt eine Liste aller Skripten an, die dem ausgewählten Gruppenrichtlinienbjekt derzeit zugewiesen sind. Wenn Sie mehrere Skripten hinzufügen, werden die Skripten in der angegebenen Reihenflge abgearbeitet. Um ein Skript in der Liste nach ben zu verschieben, klicken Sie zunächst auf das Skript und dann auf Nach ben; mit Nach unten wird das Skript entsprechend nach unten verschben. Hinzufügen. Öffnet das Dialgfeld Hinzufügen eines Skripts, in dem Sie weitere Skripten auswählen können. Bearbeiten. Öffnet das Dialgfeld Skript bearbeiten, in dem Sie Skriptdaten wie Name und Parameter ändern können. Entfernen. Entfernt das ausgewählte Skript aus der Liste der Skripten. Dateien anzeigen. Hiermit lassen Sie die Skriptdateien anzeigen, die im ausgewählten Gruppenrichtlinienbjekt gespeichert sind. 7. Klicken Sie auf OK. Wenn Sie ein einzelnes Benutzerskript zuweisen möchten, beginnen Sie in der Knsle Active Directry-Benutzer und -Cmputer. Gehen Sie dabei wie flgt vr: 1. Klicken Sie mit der rechten Maustaste auf das Benutzerbjekt und wählen Sie die Optin Eigenschaften. 2. Wählen Sie die Registerkarte Prfil. 3. Geben Sie den Namen und den Pfad der Anmeldeskriptdatei ein, wenn sich diese vm Standardspeicherrt auf den DCs unterscheidet. 4. Klicken Sie auf OK. Seite 10 vn 25

11 Der Befehl NET Ein Administratr, der mit Befehlszeilenanweisungen und Stapelverarbeitungsdateien umgehen kann, tut sich leichter, wenn es darum geht, Skripten zu verstehen. Es kann dennch vrkmmen, dass er die NET-Befehle nicht versteht. Der Befehl NET wird hier zum zweiten Mal in diesem Kapitel erwähnt, da mit diesem Befehl weitaus mehr gemacht werden kann, als nur Benutzerknten zu erstellen und zu löschen. Der Befehl NET wird für Netzwerkressurcen hne grafische Benutzerberfläche verwendet und eignet sich daher hervrragend für Skripten der jede andere Stapelverarbeitung. Wenn Sie den Befehl NET verwenden möchten, müssen Sie lediglich NET mit der entsprechenden Variablen eingeben. Wie Benutzerknten erstellt werden, wurde bereits beschrieben. Daher sllen hier nun einige Variablen genannt werden, die für ein Skript recht hilfreich sein können. Die unten aufgeführte Liste ist eine unvllständige Liste der Variablen, die zusammen mit dem Befehl NET verwendet werden können, um eine Umgebung zu ändern der Infrmatinen abzurufen. Sie verwenden die Variablen einfach, indem Sie NET und dann den entsprechenden Befehl eingeben. Zu jeder Variablen ist ein Beispiel angegeben, damit Sie sehen, wie diese verwendet wird. Die Syntax entspricht flgendem Muster: NET (Variable) (Parameter) USE. Verbindet einen Cmputer mit einer freigegebenen Ressurce der beendet diese Verbindung. Dieser Befehl steuert darüber hinaus auch die Wiederaufnahme vn gespeicherten Netzwerkverbindungen. Beispiele: NET USE [Gerätename *] [\\Cmputername\Freigabename[\Datenträger]] [Kennwrt *]] [/USER:[Dmänenname\]Benutzername] [[/DELETE] [/PERSISTENT:{YES NO}]] NET USE Gerätename [/HOME[Kennwrt *]] [/DELETE:{YES NO}] NET USE [/PERSISTENT:{YES NO}] Hier nun eine Liste einiger USE-Parameter: Kein. Ohne Parameter zeigt NET USE eine Liste der Netzwerkverbindungen an. Gerätename. Der Name der Ressurce, zu der die Verbindung hergestellt der das Gerät, das getrennt werden sll. Es gibt Gerätenamen für Laufwerke (D: bis Z:) und für Drucker (LPT1: bis LPT3:). Geben Sie einen Stern (*) anstatt eines bestimmten Gerätenamens an, wenn der nächste verfügbare Gerätename verwendet werden sll. \\Servername. Der Name des Servers und der freigegebenen Ressurce. Wenn der Cmputername Leerzeichen enthält, müssen die beiden umgekehrten Schrägstriche (\\) und der Cmputername in Anführungszeichen eingegeben werden. Die Länge des Cmputernamens kann 1 bis 15 Zeichen betragen. \Datenträger. Gibt einen NetWare-Datenträger auf dem Server an. Sie müssen den Client Service für NetWare (Windws 2000 Prfessinal) der den Gateway Service für NetWare (Windws 2000 Server) installiert und aktiviert haben, um eine Verbindung zu NetWare-Servern herstellen zu können. Seite 11 vn 25

12 Kennwrt. Das Kennwrt, mit dem Sie auf eine freigegebene Ressurce zugreifen können. *. Erzeugt eine Eingabeauffrderung für das Kennwrt. Das Kennwrt wird bei der Eingabe nicht angezeigt. /USER. Gibt einen anderen Benutzernamen an, mit dem die Verbindung hergestellt wird. Dmänenname. Der Name einer anderen Dmäne. NET USE D:\\Server/USER:admin\mariel verbindet beispielsweise die Benutzer-ID»Mariel«, als würde die Verbindung vn der Admin-Dmäne hergestellt. Ohne Eingabe eines Dmänennamens gilt die aktuelle Dmäne, an der der Benutzer angemeldet ist. Benutzername. Legt den Benutzernamen fest, mit dem Sie sich anmelden. /DELETE. Beendet eine Netzwerkverbindung. Wenn der Benutzer die Verbindung mit einem Stern angibt, werden sämtliche Verbindungen beendet. /HOME. Verbindet den Benutzer mit seinem Basisverzeichnis. /PERSISTENT. Steuert die autmatische Wiederaufnahme vn gespeicherten Netzwerkverbindungen. Standardmäßig wird die zuletzt eingestellte Verbindung verwendet. YES. Speichert alle hergestellten Verbindungen und stellt sie bei der nächsten Anmeldung wieder bereit. NO. Aktuelle und nachflgende Verbindungen werden nicht gespeichert. Nur bestehende Verbindungen werden bei der nächsten Anmeldung wiederhergestellt. Verwenden Sie den Parameter /DELETE, um gespeicherte Verbindungen zu entfernen. GROUP. Fügt glbale Gruppen auf Windws 2000 Server-Dmänen hinzu, zeigt sie an der ändert sie. Dieser Befehl steht nur auf Windws 2000 Server- Dmänencntrllern zur Verfügung. Im Flgenden einige Beispiele: NET GROUP [Gruppenname [/COMMENT:"Beschreibung"]] [/DOMAIN] NET GROUP Gruppenname {/ADD [/COMMENT:"Beschreibung"] /DELETE} [/DOMAIN] NET GROUP Gruppenname Benutzername [...] {/ADD /DELETE} [/DOMAIN] HELP. Zeigt eine Liste mit Netzwerkbefehlen und Hilfethemen an. Darüber hinaus bietet dieser Befehl Hilfestellung bei bestimmten Befehlen und Themen. Die zur Verfügung stehenden NET-Befehle sind auch in der Befehlsreferenz im Dialgfeld Befehle unter N aufgeführt. Klicken Sie in der Windws 2000-Befehlsreferenz auf die Liste Siehe auch. Hier einige Beispiele: NET HELP [Befehl] NET Befehl {/HELP /?} SEND. Sendet Nachrichten an andere Benutzer, Cmputer der Nachrichtennamen im Netzwerk. Um Nachrichten zu erhalten, muss der Nachrichtendienst aktiv sein. Hier ein Beispiel: NET SEND {Name * /DOMAIN[:Name] /USERS} Nachricht TIME. Synchrnisiert die Systemzeit eines Cmputers mit der eines anderen Cmputers der einer Dmäne. Ohne die Optin /SET wird die Uhrzeit für einen anderen Cmputer der eine Dmäne angezeigt. Hier ein Beispiel: Seite 12 vn 25

13 NET TIME [\\Cmputername /DOMAIN[:Name]] [/SET] USER. Wurde bereits beschrieben. VIEW. Zeigt Dmänen, Cmputer der die vn einem bestimmten Cmputer freigegebenen Ressurcen an. Hier einige Beispiele: NET VIEW [\\Cmputername /DOMAIN[:Dmänenname]] NET VIEW /NETWORK:NW [\\Cmputername] Basisverzeichnis Das Basisverzeichnis eines Benutzers ist s etwas wie die Operatinsbasis für jeden Benutzer in der Dmäne. Es ist keine abslute Ntwendigkeit, trägt jedch dazu bei, dass der Benutzer das Gefühl hat, für seine eigenen Daten einen Speicherrt in der Dmäne zu haben. Das Basisverzeichnis eines Benutzers wird auf der Registerkarte Prfil im Dialgfeld Eigenschaften des Benutzerbjekts (siehe Abbildung 11.5) definiert. Bevr ein Basisverzeichnis erstellt werden kann, muss das freigegebene Verzeichnis, in dem das Basisverzeichnis erstellt werden sll, bereits bestehen. Der Administratr muss über Zugriffsberechtigungen verfügen, um in dieses Verzeichnis schreiben zu können und die Freigabe muss verfügbar sein. Außerdem sllte kein Verzeichnis mit dem Anmeldenamen des Benutzers existieren. Abbildung 11.5: Die Registerkarte Prfil im Dialgfeld Eigenschaften vn [Benutzer] Seite 13 vn 25

14 Öffnen Sie die Knsle Active Directry-Benutzer und -Cmputer, um ein Basisverzeichnis auf einem Dmänen-Server zuzuweisen und gehen Sie dann wie flgt vr: 1. Dppelklicken Sie auf das Benutzerbjekt und aktivieren Sie die Registerkarte Prfil. 2. Klicken Sie auf das Optinsfeld Verbinden vn. 3. Wählen Sie in der Drpdwn-Liste einen Laufwerkbuchstaben, der verfügbar ist, wenn der Benutzer angemeldet ist. Drücken Sie auf die (Tab)-Taste. 4. Geben Sie die UNC-Adresse des Verzeichnisses ein, das das Basisverzeichnis für diesen Benutzer sein sll, und klicken Sie anschließend auf OK. Die Variable %USERNAME% kann in der UNC-Adresse für die Erstellung des Basisverzeichnisses (\\SERVERNAME\%USERNAME%) verwendet werden. Damit ist es möglich, dass Sie Vrlagen erstellen, die keinen Benutzernamen definieren, sndern Basisverzeichnisse erstellen, wenn ein neuer Benutzer kpiert wird. Prfil und Prfilpfad Mit dem Prfil eines bestimmten Benutzers wird das Verhalten des Betriebssystems auf dem Arbeitsplatzrechner für diesen Benutzer definiert. Hier werden Sftware- Einstellungen, Hintergrundbild, Bildschirmschner, manuelle Laufwerkzurdnungen und viele andere Dinge festgelegt. Wann immer sich ein Benutzer vn Windws 2000, NT der auch 95/98 (falls knfiguriert) an einem neuen System anmeldet, zeichnet dieses System den Benutzernamen auf und beginnt ein Prfil für die Einstellungen dieses Benutzers. Prfileinstellungen können durch Richtlinien deaktiviert werden, die bestimmte Verhalten (wenn Sie beispielsweise Benutzern ein eigenes Startmenü zuweisen möchten) nicht zulassen der diese prvzieren. Diese Einstellungen sind kmpliziert und werden in Kapitel 12 näher beschrieben. Der Administratr einer Dmäne kann Prfile als Werkzeug für die Steuerung swhl der Dmäne als auch des Arbeitsplatzes des lkalen Arbeitsplatzrechners verwenden. Die Idee ist die, dass ein Prfil erstellt werden sll, das zu der allen Benutzern präsentierten Umgebung passt und dass dieses Prfil dann mit den Benutzern dahin mit wandert, w diese sich anmelden. Daher wird dieses Prfil auch als Raming-Prfil (engl. raming = wandern) bezeichnet. Raming-Prfile bzw. servergespeicherte Prfile können auch zu verbindlichen Prfilen gemacht werden. Damit wird das Prfil unveränderlich und stellt ein knsistentes und erzwingbares Prfil dar. Anmeldung und Kntptinen Außer der Umgebung, in der sich der Benutzer befindet, sll auch der Zugriff auf die Dmäne gesteuert werden können. Über das Dialgfeld Eigenschaften des Benutzerbjekts (siehe Abbildung 11.4) können Sie den Zugriff und das Verhalten, angefangen bei den zulässigen Anmeldezeiten bis hin zu den Cmputern steuern, an denen man sich anmelden kann. Anmeldezeiten Seite 14 vn 25

15 Die Anmeldezeiten können Sie definieren, indem Sie auf der Registerkarte Knt die Schaltfläche Anmeldezeiten anklicken (siehe Abbildung 11.6). Wenn Sie auf diese Schaltfläche klicken, können Sie Stunden auswählen, indem Sie auf die Stunden klicken und dann die Optin Anmeldung zulassen bzw. die Optin Anmeldung verweigern wählen. Danach wird der Zugriff auf dieser Basis zugelassen bzw. verweigert. Abbildung 11.6: Das Dialgfeld Anmeldezeiten für: [Benutzer] Remte-Zugriff Den Remte-Zugriff der Benutzer können Sie mit Hilfe der Registerkarte Einwählen (siehe Abbildung 11.7) einzeln überwachen. Hier können Sie den Zugriff gestatten der verweigern, indem Sie entweder die Optin Zugriff gestatten der die Optin Zugriff verweigern wählen. Seite 15 vn 25

16 Abbildung 11.7: Die Registerkarte Einwählen im Dialgfeld Eigenschaften vn [Benutzer] Die andere hier zur Verfügung stehende Optin dient der Sicherheit. Dabei handelt es sich um Rückrufptinen. Die Idee dabei ist die, dass der Server Benutzer, die sich im Netzwerk einwählen, zurückruft, um sicher zu stellen, dass diese auch tatsächlich die Benutzer sind, die sie vrgeben zu sein bzw. dass diese sich an einem bereits geprüften Standrt befinden. Am sichersten ist es, wenn das System den Anrufer immer über eine bestimmte Rückrufnummer zurückruft. Es ist jedch auch möglich, dass der Anrufer eine Rückrufnummer festlegt. Dabei geht es darum, dass der Benutzer wissen muss, dass die Rückrufptin erfrderlich ist. Diese Optin bietet allerdings auch die Flexibilität, dass einer Ihrer Benutzer zu einem Knkurrenten Ihres Unternehmens wechselt und vn drt aus Ihre Kundenliste herunterlädt. Das ist natürlich unsinnig. Cmputer-Einschränkungen Es ist darüber hinaus auch möglich, den Cmputer zu schützen, auf den ein Benutzer über die Dmäne zugreifen kann. Wenn beispielsweise ein Praktikant angestellt wird, der nur an seinem PC arbeiten sll, können Sie der Dmäne mitteilen, dass sich der Praktikant nur über seinen PC anmelden darf. Wenn Sie sich vr Augen führen, dass die größte Bedrhung für die Sicherheit ein unbeaufsichtigter, angemeldeter Arbeitsplatzrechner ist, dann dürfte klar sein, wie wichtig diese Sicherheitsvrkehrung ist. Seite 16 vn 25

17 Die entsprechende Änderung können Sie im Dialgfeld Eigenschaften des Benutzers auf der Registerkarte Knt vrnehmen, indem Sie auf die Schaltfläche Anmelden klicken (siehe Abbildung 11.8). Abbildung 11.8: Das Dialgfeld Anmeldearbeitsstatinen Wenn Sie sich in diesem Dialgfeld befinden, geben Sie einfach den Namen des Cmputers ein, an dem sich der Benutzer anmelden darf, und klicken dann auf die Schaltfläche Hinzufügen. Kntptinen Mit vielen der Optinen auf der Registerkarte Knt können unterschiedliche Arten vn Knten gesteuert werden. Mit den Kntptinen auf dieser Registerkarte können viele Dinge gestattet bzw. verweigert werden. Die flgende Ausführung sll dazu beitragen, dass Sie diese Optinen verstehen und wissen, warum diese verwendet werden: Benutzer muss Kennwrt bei nächster Anmeldung ändern. Der Benutzer wird aufgefrdert, ein neues Kennwrt zu verwenden, wenn er sich das erste Mal anmeldet. Damit sll ermöglicht werden, dass Sie zwar bei einer Einführung Kennwörter vergeben, die Benutzer die Kennwörter vn da an jedch selbst definieren. Damit wird die Sicherheit verstärkt, indem jeder Einzelne die Verantwrtung für diese Aufgabe innerhalb seiner eigenen Knten selbst übernimmt. Benutzer kann das Kennwrt nicht ändern. Wenn Sie sämtliche Kennwörter verwalten, muss diese Optin gewählt werden, um zu verhindern, dass Benutzer ihre Kennwörter selbst ändern. Kennwrt läuft nie ab. Das ist das Kennzeichen eines Unternehmens mit geringem Sicherheitsbedürfnis der eines faulen Administratrs. Damit gibt es aber natürlich weniger Nachfragen nach Kennwörtern. Seite 17 vn 25

18 Kennwrt mit reversibler Verschlüsselung speichern. Diese Optin wird für Macintsh-Clients verwendet, die sich mit einem Apple-Client anmelden. Wenn sich Macintsh-Clients mit der Auswahl anmelden, muss diese Optin aktiviert sein. Das Knt ist deaktiviert. Diese Optin wird verwendet, um das Knt vrübergehend zu deaktivieren. Wenn ein Knt gelöscht werden sll, ist es besser, das Knt zunächst nur zu deaktivieren. Nehmen wir beispielsweise einmal an, Ihr Vrgesetzter sagt Ihnen, Sie sllen Pauls Knt löschen, weil Paul entlassen wird. Wenn Sie jedch sehen, wie Paul aus dem Bür des Vrgesetzten mit einem Lächeln herauskmmt und der Vrgesetzte und Paul einander die Hände schütteln, haben Sie bestimmt Zeit gespart, da Sie Pauls Knt nicht neu zu erstellen brauchen. Wenn Paul jedch tatsächlich entlassen wird, dann können Sie sein Knt immer nch löschen. Benutzer muss sich mit einer Smartcard anmelden. Mit Hilfe vn Smartcards ist es möglich, dass das System jedes Mal, wenn sich ein Benutzer anmeldet, ein anderes Kennwrt verwendet. Diese Optin ermöglicht es dem Administratr, ausschließlich diese Art der Anmeldung zu verwenden. Knt wird für Delegierungszwecke vertraut. Mit diesem Knt können anderen Knten Berechtigungen innerhalb des Verzeichnisses zugewiesen werden. Knt kann nicht delegiert werden. Damit wird festgelegt, dass dem Knt kein delegierter Teil des Verzeichnisses zugewiesen werden kann. Sie mögen sich fragen, warum nicht einfach die Berechtigung delegiert wird. Mit dieser Optin kann ein Administratr in einer grßen Umgebung einen anderen warnen und damit verhindern, dass ein Knt delegiert wird. DES-Verschlüsselungstypen für dieses Knt verwenden. Aktivieren Sie diese Optin, wenn Sie die DES-Unterstützung (Data Encryptin Standard) aktivieren möchten. DES unterstützt mehrere Verschlüsselungsebenen. Keine Kerbers-Präauthentifizierung erfrderlich. Aktivieren Sie diese Optin, wenn das Knt eine andere Implementierung des Kerbers- Prtklls verwendet. Nicht alle Implementierungen der Varianten des Kerbers-Prtklls unterstützen diese Funktin. Das Kerbers Key Distributin Center (Schlüsselverteilungscenter) verwendet für die Zuweisung der Netzwerkauthentifizierung innerhalb einer Dmäne ticketgenehmigende Tickets. Der Zeitpunkt, zu dem ein ticketgenehmigendes Ticket vm Schlüsselverteilungscenter ausgegeben wird, ist für das Kerbers-Prtkll vn Bedeutung. Windws 2000 verwendet andere Mechanismen zur Zeitsynchrnisierung, sdass auch die Kerbers-Präauthenitifizierung eingesetzt werden kann. Die letzte Optin auf der Registerkarte Knt dient lediglich dazu, für ein Knt ein Ablaufdatum festzulegen. Damit können tempräre Knten erstellt werden. Das ist dann recht nützlich, wenn für Zeitarbeiter der Praktikanten Knten eingerichtet werden, die bei all den anderen verwaltungstechnischen Aufgaben leicht in Vergessenheit geraten können. Die Anwendung dieser Optin ist s einfach wie sie aussieht. Sie legen das Ablaufdatum fest, indem Sie einfach das Optinsfeld Am aktivieren und dann ein Datum angeben. Nach Ablauf dieses Tages kann sich der Benutzer nicht mehr am System anmelden. Seite 18 vn 25

19 11.2 Datenträgerkntingente Das Netzwerkbetriebssystem Windws benötigt schn seit längerem eine Steuerungsfunktin der durch ständig anwachsende Benutzerzahlen kntinuierlich zunehmenden Nutzung der Festplatte. In Windws 2000 gibt es nun diese Funktin. Sie wird vn einem Datenträger aus implementiert und stellt keine völlige Benutzerbeschränkung dar, wie das bei NetWare der Fall ist. Sie bietet jedch weitaus bessere Steuerungsmöglichkeiten. Um eine Beschränkung des Datenträgerkntingents zu definieren, müssen Sie zunächst einmal die Kntingentverwaltung auf dem Datenträger aktivieren. Dazu gehen Sie wie flgt vr: 1. Klicken Sie auf dem Server mit der rechten Maustaste auf das Symbl des Datenträgers und wählen Sie dann die Optin Eigenschaften. 2. Aktivieren Sie die Registerkarte Kntingent (siehe Abbildung 11.9). Abbildung 11.9: Die Registerkarte Kntingent im Dialgfeld Eigenschaften vn [Datenträger] 3. Aktivieren Sie das Kntrllkästchen Kntingentverwaltung aktivieren. 4. Klicken Sie auf OK. Wenn Sie das erledigt haben, können Sie damit beginnen, Kntingente zu definieren. Im ersten Dialgfeld sind viele Einstellungen vrzunehmen, nch bevr Sie die eigentlichen Kntingente festlegen. Dabei handelt es sich um Anweisungen an das System in Bezug darauf, wie mit möglichen Überschreitungen der Kntingente umgegangen werden sll: Seite 19 vn 25

20 Speicher bei Kntingentüberschreitung verweigern. Mit dieser Optin wird verhindert, dass Benutzer weiter Daten auf dem Datenträger speichern, wenn sie das ihnen zugewiesene Kntingent überschreiten. Daraus könnte geschlssen werden, dass der Benutzer allein dadurch gestppt wird, dass Sie eine Beschränkung definieren. Das ist jedch nicht der Fall. Indem Sie Grenzen setzen, errichten Sie lediglich eine Schwelle für das Auslösen einer Reihe vn Reaktinen, vn denen eine verhindert, dass ein Benutzer Daten auf einem Datenträger speichert, wenn das Kntingent überschritten ist. Wählen Sie die Standardbeschränkung des Kntingents für neue Benutzer auf diesem Laufwerk. Mit den hier zur Verfügung stehenden Optinen stellen Sie sicher, dass für Benutzer eine Beschränkung definiert ist, falls für diesen keine Beschränkung manuell knfiguriert wurde. Wählen Sie die Anmeldeptinen des Kntingents für dieses Laufwerk. Mit den hier gewählten Optinen können Sie festlegen, was geschehen sll, wenn ein Benutzer das Kntingent überschritten hat. Sie können damit Benutzer warnen, falls sie die Grenze ihres Kntingents erreichen. Um ein neues Kntingent zu definieren, öffnen Sie zunächst das Dialgfeld Eigenschaften des Laufwerks und aktivieren die Registerkarte Kntingent. Gehen Sie dann wie flgt vr: 1. Klicken Sie auf die Schaltfläche Kntingenteinträge. 2. Klicken Sie anschließend auf Kntingent und wählen Sie dann die Optin Neuer Kntingenteintrag. 3. Wählen Sie aus dem Drpdwn-Menü Suchen in die Dmäne aus, die den Benutzer der die Gruppe enthält, deren Kntingent beschränkt werden sll. 4. Klicken Sie auf den Benutzer- der Gruppeneintrag und dann auf die Schaltfläche Hinzufügen. Wiederhlen Sie diesen Schritt, bis sich alle gewünschten Benutzerbzw. Gruppenbjekte im unteren Feld befinden. Klicken Sie auf OK. 5. Wählen Sie in dem nun erscheinenden Dialgfeld Kntingenteinträge die Optin Speicherplatz beschränken auf und geben Sie dann die Werte für den Speicherplatz und die Warnstufe ein (siehe Abbildung 11.10). 6. Klicken Sie auf OK und schließen Sie die Knsle Kntingenteinträge. Seite 20 vn 25

21 Abbildung 11.10: Die Knsle Kntingenteinträge 11.3 Gruppen Gruppen vn Benutzerknten bei Windws 2000 bedeuten die Zusammenfassung vn Benutzerknten, um gleichzeitig mehrere Benutzerknten überwachen zu können. Das ist wie bei Viehherden: Es dürfte ziemlich aufwändig sein, jede Kuh einzeln auf die Weide zu treiben. Daher sllten Sie sich, wenn Sie mit der Verwaltung vn Benutzern beginnen, als Erstes darum kümmern, Benutzer zu Gruppen zusammenzufassen Gruppenbereich Unter Gruppenbereich versteht man die Stelle im Verzeichnis, die der Gruppe zugewiesen wird, swie mögliche Mitgliedschaften der Benutzer. Es gibt drei Gruppenbereiche:»Lkale Dmäne«,»Glbal«und»Universal«. Die Auswahl des Gruppenbereichs hängt vm Betriebsmdus ab, in dem sich das Sicherheitssystem derzeit befindet. Wenn sich die Dmänencntrller im gemischten Mdus befinden, stehen nur die Gruppenbereiche»Lkale Dmäne«und»Glbal«zur Verfügung. Das kmmt daher, weil Windws NT die Verschachtelung vn Gruppen nicht zulässt. Im einheitlichen Mdus sind alle drei Optinen verfügbar und Gruppen können Mitglieder vn Gruppen sein, d.h., die Verschachtelung vn Gruppen ist möglich. Gruppenbereich»Lkale Dmäne«Der Gruppenbereich»Lkale Dmäne«in Active Directry (Windws 2000) ist die Reinkarnatin der guten alten lkalen Gruppen vn Windws NT. Wenn lkale Seite 21 vn 25

22 Gruppen vn Windws NT übernmmen werden, werden diese zu Gruppen der lkalen Dmäne. Gruppen der lkalen Dmäne werden verwendet, um Ressurcen in der lkalen Dmäne zu verwalten. Darin unterscheiden sich diese Gruppen vn den alten lkalen Gruppen ein wenig. Dennch ähneln sich diese beiden Gruppen in ihrer Grundknzeptin. Eine Gruppe der lkalen Dmäne kann flgende Mitglieder enthalten: Gruppen mit dem Bereich»Glbal«Gruppen mit dem Bereich»Universal«(nur im einheitlichen Mdus) Benutzerknten andere Gruppen mit dem Bereich»Lkale Dmäne«(nur im einheitlichen Mdus) eine beliebige Kmbinatin der ben genannten Objekte (abhängig vm Mdus) Die Idee, die dahinter steckt, ist die, dass Gruppen der lkalen Dmäne verwendet werden, um darin Knten und Gruppen unterzubringen, die eine bestimmte Ressurce gemeinsam nutzen. Wenn die Gruppe für die Ressurce erstellt ist und die Knten zur Gruppe hinzugefügt sind, ist es einfach, Benutzer hinzuzufügen und in Erfahrung zu bringen, welche Benutzer bzw. Gruppen Zugriff auf die Ressurce haben, indem man einfach in der Gruppe der Ressurce nachsieht. Wenn Sie die gesamte Gruppe der Buchhaltung zu den Gruppen hinzufügen müssen, die auf die Laufwerkfreigabe \\Servername\Buchhaltung zugreifen dürfen, ist es am einfachsten, die Gruppe Rechnungswesen zu erstellen und die glbale Gruppe Buchhaltung zur Gruppe der Ressurce zuzuweisen. Wenn mit der Freigabe eigenartige Dinge geschehen, ist es nun einfacher festzustellen, wer Zugriff auf die Freigabe hatte und Änderungen lassen sich leichter vrnehmen. Gruppenbereich»Glbal«Eine glbale Gruppe ist bei Windws 2000 nicht dasselbe wie bei Windws NT. Sie wird jedch sehr ähnlich verwendet. Eine Gruppe mit dem Bereich»Glbal«ist eine Gruppe, die für das tägliche Hinzufügen vn Benutzern der anderen Gruppen zu Gruppen, denen später Ressurcen zugewiesen werden, verwendet wird. Die Schlüsselwörter hier sind Benutzer und täglich. Eine glbale Gruppe unterscheidet sich vn einer universellen Gruppe dadurch, dass die glbale Gruppe nicht über die Grenzen der Dmäne hinaus repliziert werden kann. Außerdem kann eine glbale Gruppe keine Mitglieder vn außerhalb der Dmäne haben. Eine glbale Gruppe kann flgende Mitglieder enthalten: Glbale Gruppen aus ihrer eigenen Dmäne (nur im einheitlichen Mdus) Benutzerknten Eine beliebige Kmbinatin der ben genannten Objekte (abhängig vm Mdus) Wenn die Mitgliedschaft vn glbalen Gruppen geändert wird der wenn die einer glbalen Gruppe zugewiesenen Berechtigungen geändert werden, werden diese Änderungen nur innerhalb der Dmäne repliziert. Aus diesem Grund ist es sinnvll, Benutzer glbalen Gruppen und dann die glbalen Gruppen den Gruppen der lkalen Dmäne zuzuweisen, die den Zugriff auf die Seite 22 vn 25

23 Ressurcen steuern. Das Prblem dabei ist jedch, dass im gemischten Mdus glbale Gruppen vn anderen Dmänen nicht zu glbalen Gruppen zugewiesen werden können, die erstellt wrden sind, um sämtliche Benutzer zusammenzufassen. Gruppenbereich»Universal«Gruppen mit dem Bereich»Universal«stehen nur im Dmänenmdus zur Verfügung. Universelle Gruppen in ihrer reinsten Frm kann man sich als dmänenübergreifende Lösung für Gruppen vrstellen, die Dmänengrenzen überschreiten müssen. Es ist verlckend, sich universelle Gruppen als»magische«lkale Gruppen vrzustellen, die die Grenzen vn Dmänen überschreiten können. Universelle Gruppen können flgende Mitglieder enthalten: glbale Gruppen aus einer beliebigen Dmäne Gruppen mit dem Bereich»Universal«Benutzerknten Am besten ist es, wenn diese universellen Gruppen erstellt, diesen die glbalen Gruppen zugewiesen und dann die universellen Gruppen der Gruppe der lkalen Dmäne zugewiesen werden, die für die Ressurce verantwrtlich ist. Untergliederung der Gruppen Administratren vn lkalen Dmänen können Benutzer zu den glbalen Gruppen hinzufügen. Da diese glbalen Gruppen Mitglieder der universellen Gruppen sind, die über Berechtigungen für den Zugriff auf die Ressurce verfügen, haben die Mitglieder die Berechtigungen, die sie benötigen. Für die dmänenübergreifende Replikatin sind lediglich die Namen der glbalen Gruppen erfrderlich, die den universellen Gruppen angehören. Da diese Mitgliedschaft sehr selten geändert werden muss, kmmt es praktisch nicht zur Replikatin. Dmäneninterne Replikatinen kmmen vr, sind jedch auf die Mitglieder der Dmäne beschränkt. Die Gruppen der lkalen Dmäne tragen dazu bei, dass der lkale Administratr einen genauen Überblick über die Gruppen und Benutzerknten hat, die Zugriff auf die Ressurcen haben. Darüber hinaus erleichtern diese Gruppen das Entfernen und Hinzufügen vn Gruppen, da nicht jede einzelne Gruppe, der Berechtigungen zugewiesen wrden sind, gesucht werden muss Erstellen einer neuen Gruppe Um eine Gruppe zu erstellen, gehen Sie wie flgt vr: 1. Öffnen Sie die Knsle Active Directry-Benutzer und -Cmputer und wählen Sie das Cntainerbjekt, zu dem Sie das Gruppenbjekt hinzufügen möchten. Dies kann der Benutzercntainer für die Dmäne der eine beliebige Organisatinseinheit sein, die bereits erstellt ist. 2. Klicken Sie mit der rechten Maustaste auf das Cntainerbjekt und wählen Sie dann die Optinen Neu und Gruppe. 3. Geben Sie den Namen der neuen Gruppe ein und drücken Sie dann auf die (Tab)- Taste. 4. Geben Sie, falls erfrderlich, den Gruppennamen für Clients mit älteren Windws- Versinen ein und drücken Sie dann auf die (Tab)-Taste. Seite 23 vn 25

Ähnliche Dokumente
2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback