12.10.2001
MMC 1; Benutzer + Gruppen
Die Microsofts Management Console ist ein Darstellungsrahmen für Verwaltungsprogramme und damit die hauptsächliche Computerverwaltung. Abgespeichert haben die Profile die Endung msc. Die Konsole ist unterteilt in die Konsolenstruktur und das Detailfenster. Eine benutzerdefinierte Konsole kann man selbst basteln. Man klickt auf Start, dann Ausführen und gibt als Befehl "mmc" ein. Es erscheint ein ziemlich leeres Fenster, in dem man unter dem Punkt Konsole SnapIns einfügen kann. Die SnapIns kann man ausrichten zu einem Remote-Computer, oder aber nur zur lokalen Verwaltung benutzen. Speichern kann man in zwei Modi. Im Autorenmodus kann man spätere Änderungen an den SnapIns vornehmen. Der Benutzermodus lässt im Vollzugriff keine Änderungen an den SnapIns zu, er reicht aber, um das System zu verwalten; im beschränkten Zugriff kann man noch lesen...
In der Systemsteuerung findet sich ein Symbol namens "Benutzer und Gruppen". In diesem Menü kann man Benutzer hinzufügen und das Kennwort des jew. Benutzers ändern. Komfortabler lässt sich das aber über die MMC lösen. Sein eigenes Kennwort kann der Benutzer auch durch Drücken der Tasten STRG+ALT+ENTF ändern; damit löst man den IRQ 1 aus, womit dem System bewiesen wird, dass der Benutzer sich vor dem Computer befindet. PcAnywhere ist das einzige mir bekannte System, welches den IRQ1 auch remote an einen Computer leiten kann. Was man in der MMC nicht so komfortabel in dem Punkt verwalten kann, ist die Zertifikatsvergabe, die das System intern benutzt. Wir legen als Beispiel in der MMC einen Benutzer mit folgenden Kriterien an:
| Benutzername | SuperD |
| vollst. Name | Super DAU |
| Kennwort | Supi |
Es gibt beim Einrichten mehrere Punkte, deren Wirkung man kennen sollte:
| Benutzer muss Kennwort bei nächster Anmeldung ändern | Verwaltung liegt beim Benutzer |
| Benutzer kann Kennwort nicht ändern | Verwaltung liegt beim Admin |
| Kennwort läuft nie ab | überschreibt die norm. Ablaufzeit |
| Konto ist deaktiviert | temporär keine Anmeldung möglich |
folgende Kriterien sollte man beim Einrichten von Benutzern in einer Firma beachten:
| Einheitliche Namensstrategie, z.B. Vorname + 1. Buchstabe Nachname (doppelte Namen abdecken!) |
| Die Gross- und Kleinschreibung wird nicht beachtet (not case sensitive) |
| max. 20 Zeichen |
| nicht erlaubte Zeichen: / [ ] : ; | = , + * ? " < > |
| er muss einmalig vergeben sein |
Für das Kennwort gelten folgende Kriterien:
| max 128 Zeichen |
| case sensitiv |
| es sind alle Zeichen erlaubt |
Als Administrator muss man öfter mal in der MMC vergessene Kennwörter der Benutzer zurücksetzen. Das erledigt man mit einem Rechtsmausklick auf den jeweiligen Benutzer. Dort kann man dann ein Kennwort festlegen, das Häkchen für "Kennwort bei der nächsten Anmeldung ändern" setzen und dem Benutzer das Kennwort angeben.
Es gibt auch Kennwortrichtlinien, die man explizit ändern kann. Dazu klickt man sich folgendermassen durch: Start \ Programme\ Verwaltung \ Lokale Sicherheitsrichtlinien. Dort findet man unter Kontorichtlinien die Kennwortrichtlinien. Ein sehr nützliches Feature, wenn man die Computersicherheit erhöhen will:
| minimale Kennwortlänge | 0-14 Zeichen | Standart 0 |
| maximales Kennwortalter | 0-999 Tage | Standart 42 |
| minimales Kennwortalter | 0-999 Tage | Standart 0 |
| Kennwortchronik | 0-24 Anmeldungen | Standart 0 |
| Komplexitätsanforderungen | kein Benutzernamen, muss Gross-, Kleinbuchstaben und Ziffern oder Sonderzeichen enthalten | Standart deaktiviert |
| umkehrbare Verschlüsselung | hauptsächlich für Apple-Computer zur Anmeldung am W2k-PC | Standart deaktiviert |
Es gibt dort auch Kontosperrungsrichtlinien, mit der man folgendes konfigurieren kann:
| Kontosperrungsschwelle | 0-999 erlaubte Fehlanmeldungen | Standart 0 |
| Kontosperrdauer | 0-99999 Minuten | Standart 0; wenn KS-Schwelle aktiviert, dann 30 Min. |
| Zähler zurücksetzen | 1-99999 Minuten |
Es gibt im System vordefinierte Benutzer und Gruppen. Nachfolgend sind die Benutzer Administrator und Gast gegenübergestellt:
| Administrator | Gast |
| kann nicht gelöscht werden | kann nicht gelöscht werden |
| kann umbenannt werden | kann umbenannt werden |
| aktiviert | deaktiviert |
| nicht deaktivierbar | deaktivierbar |
| darf nahezu alles | stark eingeschränkt |
Vordefinierte Gruppen haben folgende Rechte, wobei die links stehende Gruppe die wenigsten Rechte hat und die weiter rechts stehenden Gruppen diese Rechte plus die Eigenen:
| Gäste | Benutzer | Hauptbenutzer | Repliktionsoperatoren | Sicherungsoperatoren | Administratoren |
| nur pers. Einstellungen verwalten | können bestimmte Verwaltungsaufgaben ausführen wie Drucker, Freigaben und die vom Hauptbenutzer erstellten Benutzer | Dateien sichern und wiederherstellen unabhängig von den sonst. Dateirechten | Verwalter fast ohne Einschränkungen (nur das System kann ihn einschränken) |
Die Gruppen dienen der Vereinfachung von Verwaltungsaufgaben (z.B. Rechte zuweisen). In den Benutzereigenschaften gibt es Karteireiter namens "Allgemein", "Mitgliedschaften" und "Profil".
Der Profilpfad legt fest, wo das Benutzerprofil gespeichert wird. Standartmässig ist dort nichts eingetragen und das Profil wird unter dem Ordner "Dokumente und Einstellungen" in dem jeweiligen Benutzernamen gespeichert. Das Anmeldeskript dient der Abarbeitung von Befehlen bei der Benutzeranmeldung und muss in dem Pfad winnt \ system32 \ repl \ import \ scripts als Batch-Datei eingetragen werden. In W2k existiert der Pfad nicht und muss extra erstellt werden. Der Stammordner ist der pers. Speicherort für den Benutzer und ist seit W2k eine Ergänzung zu "Eigene Dateien".
Stammordner:
- Lokaler Pfad (stammordner\%username%)
- Auf einem Netzlaufwerk
LW Z. mit \\Servername%username%
Anmeldeskript:
- Textdatei erstellen und speichern
- Inhalt:
start calc.exe
net use n: \\dozisrv\frei
- speichern als .bat-Datei unter winnt\system32\repl\import\scripts