12.10.2001

MMC 1; Benutzer + Gruppen

 

Die Microsofts Management Console ist ein Darstellungsrahmen für Verwaltungsprogramme und damit die hauptsächliche Computerverwaltung. Abgespeichert haben die Profile die Endung msc. Die Konsole ist unterteilt in die Konsolenstruktur und das Detailfenster. Eine benutzerdefinierte Konsole kann man selbst basteln. Man klickt auf Start, dann Ausführen und gibt als Befehl "mmc" ein. Es erscheint ein ziemlich leeres Fenster, in dem man unter dem Punkt Konsole SnapIns einfügen kann. Die SnapIns kann man ausrichten zu einem Remote-Computer, oder aber nur zur lokalen Verwaltung benutzen. Speichern kann man in zwei Modi. Im Autorenmodus kann man spätere Änderungen an den SnapIns vornehmen. Der Benutzermodus lässt im Vollzugriff keine Änderungen an den SnapIns zu, er reicht aber, um das System zu verwalten; im beschränkten Zugriff kann man noch lesen...

In der Systemsteuerung findet sich ein Symbol namens "Benutzer und Gruppen". In diesem Menü kann man Benutzer hinzufügen und das Kennwort des jew. Benutzers ändern. Komfortabler lässt sich das aber über die MMC lösen. Sein eigenes Kennwort kann der Benutzer auch durch Drücken der Tasten STRG+ALT+ENTF ändern; damit löst man den IRQ 1 aus, womit dem System bewiesen wird, dass der Benutzer sich vor dem Computer befindet. PcAnywhere ist das einzige mir bekannte System, welches den IRQ1 auch remote an einen Computer leiten kann. Was man in der MMC nicht so komfortabel in dem Punkt verwalten kann, ist die Zertifikatsvergabe, die das System intern benutzt. Wir legen als Beispiel in der MMC einen Benutzer mit folgenden Kriterien an:

Benutzername SuperD
vollst. Name Super DAU
Kennwort Supi

Es gibt beim Einrichten mehrere Punkte, deren Wirkung man kennen sollte:

Benutzer muss Kennwort bei nächster Anmeldung ändern Verwaltung liegt beim Benutzer
Benutzer kann Kennwort nicht ändern Verwaltung liegt beim Admin
Kennwort läuft nie ab überschreibt die norm. Ablaufzeit
Konto ist deaktiviert temporär keine Anmeldung möglich

folgende Kriterien sollte man beim Einrichten von Benutzern in einer Firma beachten:

Einheitliche Namensstrategie, z.B. Vorname + 1. Buchstabe Nachname (doppelte Namen abdecken!)
Die Gross- und Kleinschreibung wird nicht beachtet (not case sensitive)
max. 20 Zeichen
nicht erlaubte Zeichen: / [ ] : ; | = , + * ? " < >
er muss einmalig vergeben sein

Für das Kennwort gelten folgende Kriterien:

max 128 Zeichen
case sensitiv
es sind alle Zeichen erlaubt

Als Administrator muss man öfter mal in der MMC vergessene Kennwörter der Benutzer zurücksetzen. Das erledigt man mit einem Rechtsmausklick auf den jeweiligen Benutzer. Dort kann man dann ein Kennwort festlegen, das Häkchen für "Kennwort bei der nächsten Anmeldung ändern" setzen und dem Benutzer das Kennwort angeben.

Es gibt auch Kennwortrichtlinien, die man explizit ändern kann. Dazu klickt man sich folgendermassen durch: Start \ Programme\ Verwaltung \ Lokale Sicherheitsrichtlinien. Dort findet man unter Kontorichtlinien die Kennwortrichtlinien. Ein sehr nützliches Feature, wenn man die Computersicherheit erhöhen will:

minimale Kennwortlänge 0-14 Zeichen Standart 0
maximales Kennwortalter 0-999 Tage Standart 42
minimales Kennwortalter 0-999 Tage Standart 0
Kennwortchronik 0-24 Anmeldungen Standart 0
Komplexitätsanforderungen kein Benutzernamen, muss Gross-, Kleinbuchstaben und Ziffern oder Sonderzeichen enthalten Standart deaktiviert
umkehrbare Verschlüsselung hauptsächlich für Apple-Computer zur Anmeldung am W2k-PC Standart deaktiviert

Es gibt dort auch Kontosperrungsrichtlinien, mit der man folgendes konfigurieren kann:

Kontosperrungsschwelle 0-999 erlaubte Fehlanmeldungen Standart 0
Kontosperrdauer 0-99999 Minuten Standart 0; wenn KS-Schwelle aktiviert, dann 30 Min.
Zähler zurücksetzen 1-99999 Minuten  

Es gibt im System vordefinierte Benutzer und Gruppen. Nachfolgend sind die Benutzer Administrator und Gast gegenübergestellt:

Administrator Gast
kann nicht gelöscht werden kann nicht gelöscht werden
kann umbenannt werden kann umbenannt werden
aktiviert deaktiviert
nicht deaktivierbar deaktivierbar
darf nahezu alles stark eingeschränkt

Vordefinierte Gruppen haben folgende Rechte, wobei die links stehende Gruppe die wenigsten Rechte hat und die weiter rechts stehenden Gruppen diese Rechte plus die Eigenen:

Gäste Benutzer Hauptbenutzer Repliktionsoperatoren Sicherungsoperatoren Administratoren
  nur pers. Einstellungen verwalten können bestimmte Verwaltungsaufgaben ausführen wie Drucker, Freigaben und die vom Hauptbenutzer erstellten Benutzer   Dateien sichern und wiederherstellen unabhängig von den sonst. Dateirechten Verwalter fast ohne Einschränkungen (nur das System kann ihn einschränken)

Die Gruppen dienen der Vereinfachung von Verwaltungsaufgaben (z.B. Rechte zuweisen). In den Benutzereigenschaften gibt es Karteireiter namens "Allgemein", "Mitgliedschaften" und "Profil". 

Der Profilpfad legt fest, wo das Benutzerprofil gespeichert wird. Standartmässig ist dort nichts eingetragen und das Profil wird unter dem Ordner "Dokumente und Einstellungen" in dem jeweiligen Benutzernamen gespeichert. Das Anmeldeskript dient der Abarbeitung von Befehlen bei der Benutzeranmeldung und muss in dem Pfad winnt \ system32 \ repl \ import \ scripts als Batch-Datei eingetragen werden. In W2k existiert der Pfad nicht und muss extra erstellt werden. Der Stammordner ist der pers. Speicherort für den Benutzer und ist seit W2k eine Ergänzung zu "Eigene Dateien".

Stammordner:

                                                - Lokaler Pfad (stammordner\%username%)

                                                - Auf einem Netzlaufwerk

                                                                    LW Z. mit \\Servername%username%

Anmeldeskript:

                                                - Textdatei erstellen und speichern

                                                - Inhalt:

                                                                    start calc.exe

                                                                    net use n: \\dozisrv\frei

                                                - speichern als .bat-Datei unter winnt\system32\repl\import\scripts