Die Benutzerverwaltung unter Windows NT

Dezember 2016

Der Begriff Benutzer

WindowsNT ist ein Betriebssystem, das die Verwaltung von Sitzungen ermöglicht, d.h. es ist beim Systemstart erforderlich, sich an das System anzumelden (meist wird der englische Begriff einloggen verwendet), und zwar mit Hilfe eines Benutzernamens und eines Kennworts.

Standardmäßig wird bei der Installation von Windows NT das Konto Administrator eingerichet, sowie ein Konto namens Gast.Es ist möglich (und sogar ratsam), die Benutzerrechte (das, was diese tun dürfen) zu ändern und auch welche mit Hilfe des Benutzermanagers hinzuzufügen. Ein Benutzerkonto ist die einzigartige Kennzeichnung eines Benutzers, die es ihm ermöglicht,

  • eine Sitzung in einer Domäne zu eröffnen, um Zugriff auf Netzwerkressourcen zu erlangen
  • eine Sitzung auf einem lokalten Computer zu eröffnen, um Zugriff auf lokale Ressourcen zu erlangen
Jeder Benutzer, der das Netzwerk regelmäßig benutzt, benötigt ein Konto.

Benutzer verwalten

Der Benutzermanager ist ein Standardtool von Windows NT, das die Verwaltung der Benutzer ermöglicht (wie an seinem Namen leicht zu erkennen ist). Er befindet sich im Startmenü (Programme/Verwaltung).

le gestionnaire d\'utilisateurs

Um ein neues Konto einzurichten, genügt ein Klick auf Neuer Benutzer im Menu Benutzer. Daraufhin öffnet sich ein Dialogfenster, das die Eingabe der Informationen über den neuen Benutzer ermöglicht :

  • Benutzername: meint den Namen (login) des Benutzers
  • Vollständiger Name: optionale Information über den Benutzer
  • Beschreibung: optionales Feld
  • Die Felder Kennwort sind optional, aber es wird geraten sie auszufüllen und gegebenenfalls das Kästchen anzukreuzen Benutzer muss Kennwort bei der nächsten Anmeldung ändern aus Sicherheitsgründen

Konvention der Benutzernamen

Die Konvention der Benutzernamen ist die Art und Weise, wie der Administrator die Benutzer identifiziert. Folgende Elemente sind zu berücksichtigen :

  • Benutzernamen müssen einzigartig sein (in einer Domäne, auf einem lokalen Computer)
  • Benutzernamen können alle großen und kleinen Zeichen enthalten mit Ausnahme der folgenden Zeichen: / \ [ ] : . | = , + * ? < >
  • Die Möglichkeit gleichlautender Benutzername und folglich eine adäquate Nomenklatur müssen vorausgesehen werden

Benutzerkonten und Sicherheit

Unter NT gibt es zwei Arten von Konten. Vordefinierte Konten und von Ihnen eingerichtete Konten. Nach der Installation werden auf Windows NT vordefinierte Konten eingerichtet (Standardkonten) (das Konto Administrator und Gast) wodurch die Systemsicherheit minimal ist.

Die verschiedenen konten sind :

  • Von Ihnen eingerichtete Konten: Benutzerkonten ermöglichen die Anmeldung ans Netzwerk und den Zugriff auf Netzwerkressourcen. Diese Konten enthalten Informationen über den Benutzer, insbesondere seinen Namen und sein Kennwort
  • Gast: ermöglicht Gelegenheitsbenutzern die Anmeldung und den Zugriff auf den lokalen Computer. Standardmäßig deaktiviert.
  • Administrator: ermöglicht die Verwaltung der Gesamtkonfiguration der Computer und Domänen. Berechtigt zu allen Aufgaben
Wesentlich ist daher
  • zunächst die Deaktivierung des Kontos Gast , das jedem beliebigen Benutzer eine Anmeldung ans System ermöglicht
  • zweitens die Änderung des Kontennamens Administrator zwecks Verringerung der Eindringgefahr über diese Benutzerkonto. Das Konto Administrator besitzt nämlich sämtliche Berechtigungen, es ist daher ein beliebtes Ziel von Eindringlingen

Lokalisierung der Benutzerkonten

Die Domänen-Benutzerkonten werden mit Hilfe des Benutzer-Managers für Domänen eingerichtet. Bei Einrichtung eines Kontos wird dieses automatisch in der SAM des Primary Domain Controller (PDC) abgespeichert, die es anschließend mit der übrigen Domäne synchronisiert. Sobald in der SAM des PDC ein Konto eingerichtet wird, kann der Benutzer sich von jeder beliebigen Arbeitsstation an der Domäne anmelden.

Die Synchronisierung der Domäne kann manchmal mehrere Minuten in Anspruch nehmen.
Es bestehen zwei Methoden: in der Eingabeaufforderung

net accounts /sync
eingeben oder, im Server-Manager, Menü Computer, die ganze Domäne synchronisieren auswählen

Konten lokaler Benutzer werden unter Windows NT Workstation auf einem Mitgliedsserver oder einem Computer mit Hilfe des Benutzer-Managers eingerichtet. Das Konto wird dann nur in der SAM des lokalen Computers eingerichtet. Der Benutzer kann sich folglich nur auf dem betreffenden Computer anmelden.

Die Planung neuer Benutzerkonten

Durch die Planung und Organisation der Informationen über den Bedarf an Benutzerkonten kann das Verfahren zur Einrichtung von Konten vereinfacht werden.

Der Basisordner ist der persönliche Ordner, in dem ein Benutzer seine Dateien speichern kann. Er wird als Standardordner bei der Ausführung bestimmter Befehle wie z.B. "Speichern" verwendet. Er kann auf einem lokalen Computer oder einem Netzwerk-Server abgelegt werden. Für seine Einrichtung sind folgende Punkte zu berücksichtigen :

  • Bei Zwischenfällen ist es wesentlich einfacher, das Speichern und die Wiederherstellung von Daten verschiedener Benutzer sicherzustellen, wenn die Basisordner auf einem Server abgespeichert sind. Ist das nicht der Fall, müssen regelmäßig Sicherungen der verschiedenen Netzwerkcomputer erfolgen, die Basisordner enthalten.
  • Bedenken Sie den Speicherplatz auf Domain-Controllern: Windows NT verfügt über keine Hilfsprogramme zur Verwaltung des Festplattenspeichers (im Gegensatz zu Windows 2000). Daher ist Vorsicht geboten, damit die Basisordner nicht mit umfangreichen Dateien belastet werden, die bald den verfügbaren Speicherplatz des Servers ausfüllen könnten. Es gibt allerdings externe Tools wie den "QUOTA MANAGER"
  • Wenn ein Benutzer auf einem Computer ohne Festplatte arbeitet, muss sein Basisordner sich zwingend auf einem Netzwerk-Server befinden
  • Wenn sich die Basisordner auf lokalen Computern befinden, steigt die Leistung des Netzwerks, da es im Netzwerk zu weniger Datenverkehr kommt; der Server wird nicht ständig beansprucht

Optionenauswahl der Arbeitsstation und des Kontos

Es ist möglich, die Arbeitsstationen, von denen sich ein Benutzer mit dem Netzwerk verbinden kann, zu konfigurieren. Entweder autorisieren Sie ihn, sich von allen Arbeitsstationen anmelden zu können, oder sie wählen eine oder mehrere bestimmte Arbeitsstationen. Die Auswahl einer Arbeitsstation für einen Benutzer ist als Option in einem Netzwerk mit hoher Sicherheit angezeigt. Tatsächlich hat ein Benutzer, der sich an einer anderen als seiner eigenen Arbeitsstation lokal anmeldet, Zugang zu allen lokalen Ressourcen des Computers. Zusätzlich ermöglicht die Festlegung einer oder mehrerer Arbeitsstationen, von denen sich ein Benutzer anmelden kann, dem Administrator die Überwachung des Benutzers.

Andererseits ist es ebenfalls möglich, ein Ablaufdatum eines Benutzerkontos festzulegen. Diese Option kann im Fall eines temporären Angestellten sinnvoll sein. Das Ablaufdatum entspricht dann dem Datum des Vertragsendes.

Anrufberechtigungen

Wenn Remote Access Service (RAS) installiert ist, besteht die Möglichkeit, die Anrufberechtigungen zu konfigurieren. Dieser Dienst ermöglicht dem Benutzer mit den geeigneten Berechtigungen den Fernzugriff auf Netzwerkressourcen über eine Telefonleitung (oder X25). Dieser Dienst ist für jene Benutzer hilfreich, die z.B. von zu Hause auf das Netzwerk zugreifen müssen. Mehrere Anschlussverwendungen können konfiguriert werden :

  • Kein Rückruf: der Benutzer trägt die Verbindungskosten. Der Server ruft den Benutzer nicht zurück
  • Vom Anrufer festgelegt: Diese Option ermöglicht dem Benutzer, vom Server an einer festgelegten Nummer zurückgerufen zu werden. In diesem Fall trägt das Unternehmen die Verbindungskosten.
  • Immer Rückruf an: ermöglicht die Steuerung des Rückrufs durch den Administrator. Dieser legt die Nummer fest, unter der ein Server einen bestimmten Benutzer zurückrufen muss. Diese Ption ist hilfreich, um Kosten zu sparen, aber auch um die Sicherheit zu erhöhen, denn der Benutzer muss unter eine bestimmten Nummer erreichbar sein.
NB: Bei Auswahl einer der beiden letzten Optionen muss der Benutzer sich zunächst am Server anmelden, um zurückgerufen zu werden.

Entfernung und Änderung von Benutzerkonten

Wenn ein Konto nicht mehr gebraucht wird, ist es möglich es zu entfernen oder umzubenennen, damit es durch einen anderen Benutzer verwendet werden kann. Es ist wichtig zu wissen, dass bei Entfernung eines Kontos auch die SID (Security Identification) gelöscht wird. Selbst wenn NT uns 15000 verschiedene SID anbietet, ist es nicht notwendig, ein Konto zu entfernen, wenn dieses z.B. für einen anderen Mitarbeiter umbenannt werden kann.

Verwaltung der Arbeitsumgebung eines Benutzers

Wenn ein Benutzer sich zum ersten Mal an einem Windows NT ausführenden Client anmeldet, wird standardmäßig ein Benutzerprofil für diesen Benutzer angelegt. Dieses Profil definiert Elemente wie z.B. seine Arbeitsumgebung und seine Netzwerk- und Druckerverbindungen. Dieses Profil kann personalisiert werden, um bestimmte Elemente des Arbeitsplatzes oder auf der Arbeitsstation installierter Tools einzuschränken.

Diese Profile enthalten vom Benutzer einrichtbare Konfigurationseinstellungen für die Arbeitsumgebung des Windows NT ausführenden Computers. Diese Einstellungen werden automatisch im Ordner Profile (C:\Winnt\Profiles) abgespeichert.

Für Benutzer, die sich von Clients anmelden, auf denen nicht Windows NT ausgeführt wird, kann ein Anmeldeskript verwendet werden, um die Netzwerk- und Druckerverbindungen der Benutzer einzurichten oder um die Arbeitsumgebung und die Geräteparameter festzulegen. Es handelt sich um eine Befehlsdatei (.bat oder .cmd) oder eine ausführbare Datei, die sich selbständig ausführt, wenn der Benutzer sich mit dem Netzwerk verbindet.

Es ist auch möglich, servergespeicherte (oder Roaming-) Benutzerprofile zu verwenden, d.h. ein Profil, das dem Benutzer stets die gleiche Arbeitsumgebung bietet, unabhängig davon, von welcher Arbeitsstation er sich am Netzwerk anmeldet. Diese Profile werden auf dem Server gespeichert. Es bestehen zwei Optionen zu servergespeicherten Benutzerprofilen :

  • Verbindliches Roaming-Profil: es kann auf einen oder mehrere Benutzer angewendet und durch diese nicht verändert werden. Allein der Administrator entscheidet darüber, was den Benutzern zur Verfügung steht (Tools, Einstellungen etc.). Selbst wenn der Benutzer Einstellungsänderungen vornimmt, werden diese Änderungen bei der Abmeldung nicht übernommen
  • Persönliches Roaming-Profil: es kann nur auf einen Benutzer angewendet und durch diesen verändert werden. Bei jeder Abmeldung des Benutzers werden etwaige Einstellungsänderungen übernommen
NB: die Option servergespeicherter Benutzerprofile kann problemlos auf einem mit Windows NT ausgerüsteten Computerpark anwendet werden. Bei Parks mit z.B. Windows 95-Clients können einige Probleme auftreten. In diesem Fall muss der Systemrichtlinieneditor (POLEDIT) verwendet werden Anlegen von Roaming-Profilen

Nach der Einrichtung des Benutzerkontos und der ersten Anmeldung mit diesem Konto wird automatisch im Ordner Profiles ein Benutzerprofil angelegt.
Der Benutzer oder der Administrator können sämtliche notwendigen Einstellungen ändern, damit Änderungen übernommen und in diesem Ordner abgespeichert werden.

Der Administrator muss anschließend auf dem Server einen Ordner anlegen, z.B. \\serveurnt\Profils\nom_utilisateur.
In der Systemsteuerung auf das Symbol System doppelklicken, dann die Registerkarte Benutzerprofile wählen. Klicken Sie auf das gewünschte Profil und auf die Schaltfläche Kopieren nach.

Geben Sie im entsprechenden Abschnitt den UNC-Pfad des gewünschten Verzeichnisses ein. Unter Benutzer klicken Sie auf Ändern. Fügen Sie die geeigenten Benutzer hinzu.
NB: in jenem Ordner, in dem die verschiedenen Profil abgespeichert sind, benennen Sie die Datei ntuser.dat des entsprechenden Benutzers in ntuser.man um, um sein Profil verbindlich zu machen

Im Benutzer-Manager für Domänen auf das betreffende Benutzerkonto doppelklicken, dann auf Profile. Im Abschnitt Pfad des Benutzerprofils geben Sie den UNC-Pfad des Netzwerkprofilordners ein.

Definition der Benutzerumgebung

Die Verwendung des Dialogfensters Benutzerumgebungsprofil dient der Eingabe der Benutzerprofilpfade, des Anmeldeskripts und des Basisordners.
Mehrere Optionen können eingestellt werden, insbesondere um die Zugangspfade der verschiedenen Elemete anzugeben :

  • Pfad des Benutzerprofils: zeigt den Pfad des Benutzerprofilordners an. Für persönliche Benutzerprofile geben Sie \\nom_serveur\paratge_profil\%username%. Für verbindliche Profile, ersetzen Sie %username% durch nom_profil
  • Name des Anmdeldeskripts: es besteht die Möglichkeit, entweder einen Pfad zu einem lokalen Computer des Benutzers zu verwenden oder einen UNC-Pfad eines freigegebenen Ordners eines Netzwerkservers
  • Basisverzeichnis: um den Netzwerkpfad festzulegen, wählen Sie Verbinden und einen Laufwerkbuchstaben. Geben Sie anschließend den UNC-Pfad ein. Bevor ein Netzwerkort festgelegt wird, muss am Server ein Ordner angelegt und im Netzwerk freigegeben werden
NB: verwenden Sie bei Einrichtung eines Basisordners oder eines persönlichen Benutzerprofils stets die Variable %username%. Diese wird automatisch durch des Benutzerkonto ersetzt

Gruppenverwaltung

Windows NT ermöglicht die Verwaltung von Benutzern in Gruppen , d.h. es besteht die Möglichkeit, Mengen von Benutzern mit gleichen Berechtigungsarten in Kategorien zu definieren.

Eine Gruppe ist eine Menge von Benutzerkonten. Ein Benutzer erhält durch Hinzufügung zu einer Gruppe sämtliche Berechtigungen dieser Gruppe. Gruppen vereinfachten daher die Verwaltung, denn es besteht die Möglichkeit, Berechtigungen an verschiedene Benutzer gleichzeitig zuzuordnen. Es gibt zwei Arten von Gruppen :

  • Lokale Gruppen: sie dienen der Vergabe von Berechtigungen über eine Netzwerkressource an die Benutzer. Sie dienen außerdem dazu, Benutzern Berechtigungen zuzuweisen, um Systemaufgaben auszuführen (Änderung der Uhrzeit auf einem Computer, Dateien speichern und wiederherstellen etc.). Es gibt vordefinierte lokale Gruppen.
  • Globale Gruppen: sie dienen der Organisation der Domänenbenutzerkonten. Sie sind vor allem in Netzwerken mit mehreren Domänen hilfreich, wo Benutzer einer Domäne auf Ressourcen einer anderen Domäne zugreifen müssen.

Beim ersten Hochfahren von Windows NT werden 6 Standardgruppen angelegt :

  • Administratoren
  • Sicherungs-Operatoren
  • Replikations-Operatoren
  • Hauptbenutzer
  • Benutzer
  • Gäste

Es besteht die Möglichkeit, diese Standardgruppen zu entfernen und personalisierte Benutzergruppen hinzuzufügen, mit besonderen Berechtigungen je nach Art der auf dem System auszuführenden Operationen. Um eine Gruppe hinzuzufügen, klicken Sie auf Neue lokale Gruppe im Menü Benutzer

La gestion des groupes sous Windows NT

Anschließend müssen lediglich die jeweiligen Benutzer einer Gruppe zugewiesen werden. Klicken Sie auf Hinzufügen. Das folgende Dialogfenster erscheint :

appartenance aux groupes de Windows NT

Dieses Fenster ermöglicht die Auswahl jener Gruppen, denen ein Benutzer eventuell angehören kann.

Die Ausführung vordefinierter Gruppen

Vordefinierte Gruppen sind Gruppen mit festgelegten Benutzerrechten. Die Benutzerrechte bestimmen die Systemaufgaben, die ein Benutzer oder Mitglied einer vordefinierten Gruppe ausführen darf. Windows NT bietet folgende drei vordefinierte Gruppen an :

  • Vordefinierte lokale Gruppen: sie weisen den Benutzern Berechtigungen zu, welche die Ausführung von Systemaufgaben wie z.B. das Speichern und die Wiederherstellung von Daten, die Änderung der Uhrzeit sowie die Verwaltung der Systemressourcen. Sie befinden sich auf allen Windows NT ausführenden Computern
  • Vordefinierte globale Gruppen: sie bieten dem Administrator ein einfaches Mittel zur Steuerung sämtlicher Domänenbenutzer. Vordefinierte globale Gruppen befinden sich ausschließlich auf dem Domänen-Controller.
  • Die Systemgruppen organisieren automatische die Benutzer zur Verwendung des Systems. Benutzer sind entweder standardmäßig Mitglied oder werden im Laufe der Netzwerkaktivität Mitglied. Sie befinden sich auf allen Windows NT ausführenden Computern
All diese vordefinierten Gruppen können weder umbenannt noch entfernt werden.

Im folgenden die vordefinierten lokalen Gruppen :

  • Benutzer Können Aufgaben ausführen, für die sie Zugriffsrechte besitzen und auf Ressourcen zugreifen, für die sie Berechtigungen erhalten haben
    Die lokale Gruppe Hauptbenutzer befindet sich ausschließlich auf den Mitgliedsservern und Computern, die NT Workstation ausführen. Die Gruppenmitglieder können Konten anlegen und verändern sowie Ressourcen freigeben.
  • Administratoren Können alle Verwaltungsaufgaben auf dem lokalen Computer ausführen. Wenn der Computer ein Domänen-Controller ist, können die Mitglieder die gesamte Domäne verwalten.
  • Gäste Können Aufgaben ausführen, für die sie Zugriffsrechte besitzen und auf Ressourcen zugreifen, für die sie Berechtigungen erhalten haben. Die Mitglieder können keine permanenten Änderungen in ihrer lokalen Umgebung vornehmen.
  • Sicherungs-Operatoren Können das Sicherungsprogramm von Windows NT verwenden, um alle Windows NT² ausführenden Computer zu sichern und wiederherzustellen.
  • Replikations-Operatoren Werden vom Verzeichnisreplikationsdienst verwendet. Diese Gruppe wird nicht für die Verwaltung verwendet.

Die folgenden Gruppen sind ausschließlich auf Domänen-Controllern definiert :

  • Konto-Operatoren Können Benutzer sowie lokale und globale Gruppen einrichten, entfernen und verändern. Sie können nicht die Gruppen Administroren und Server-Operatoren verändern
  • Server-Operatoren Können Ressourcen des Festplatte freigeben sowie Server sichern und wiederherstellen
  • Druck-Operatoren Können Netzwerkdrucker einrichten und verwalten

    Wenn Windows NT Server als Domänen-Controller installiert ist, werden in SAM drei globale Gruppen eingerichtet. Sie erhalten ihre Rechte, sobald sie zu den lokalen Gruppen hinzugefügt oder ihnen Benutzerrechte oder Berechtigungen zugewiesen werden.

    • Domänenbenutzer wird automatisch zur Gruppe lokale Benutzer hinzugefügt. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe
    • Domänenadministrator wird automatisch zur Gruppe lokale Administratoren hinzugefügt. Die Mitglieder können Verwatlungsaufgaben auf dem lokalen Computer ausführen. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe
    • Domänengäste wird automatisch zur Gruppe lokale Gäste hinzugefügt. Das Konto Gast ist standardmäßig Mitglied dieser Gruppe

    Die vordefinierten Systemgruppen schließlich befinden sich auf allen Windows NT ausführenden Computern. Die Benutzer werden standardmäßig Mitglied, wenn das Netzwerk aktiv ist. Der Mitgliederstatus kann nicht geändert werden.

    • Jeder Umfasst alle lokalen und Distanzbenutzer mit Zugriff auf den Computer. Die Gruppe enthält auch alle Konten abgesehen von jenen, die der Administrator in der Domäne einrichtet.
    • Ersteller Besitzer Umfasst jenen Benutzer, der eine Ressource erstellt oder in Besitz genommen hat. Diese Gruppe kann dazu verwendet werden, den Zugriff auf Dateien und Ordnern ausschließlich auf NTFS-Partitionen zu verwalten.
    • Netzwerk Umfasst jeden Benutzer, der von einem anderen Netzwerkcomputer mit einer freigegebenen Ressource ihres Computers verbunden ist
    • Interaktiv Bezieht automatisch jedern Benutzer ein, der sich lokal am Computer anmeldet. Interaktive Mitglieder haben Zugriff auf die Ressourcen jenes Computers, auf dem sie angemeldet sind.

    Lesen Sie auch :


User management in Windows NT
User management in Windows NT
Administración de usuarios en Windows NT
Administración de usuarios en Windows NT
La gestion des utilisateurs sous Windows NT
La gestion des utilisateurs sous Windows NT
La gestione degli utenti su Windows NT
La gestione degli utenti su Windows NT
A gestão dos utilizadores sob Windows NT
A gestão dos utilizadores sob Windows NT
Das Dokument mit dem Titel « Die Benutzerverwaltung unter Windows NT » aus CCM (de.ccm.net) wird zur Verfügung gestellt unter den Bedingungen der Creative Commons Lizenz. Sie dürfen das Dokument verwenden, verändern sowie Vervielfältigungen dieser Seite erstellen, unter den Bedingungen, die in der vorgenannten Lizenz erwähnt sind und unter der gleichzeitigen Bedingung, dass Sie im Rahmen Ihrer Verwendung, Veränderung oder Vervielfältigung nach außen hin klar und deutlich auf den Urheber (= de.ccm.net) des Dokuments hinweisen.