<p>Sicherheit, die Kontrolle der Zugriffe auf Ressourcen sowie die Echtheitsprⁿfung des Benutzernamens und des Kennwortes sind die wichtigsten Kriterien, um folgende Punkte optimal zu realisieren:</p>
<ol>
<li value="1">
<p class="htmlaufz">Fⁿr jeden Benutzer die richtigen Informationen anzeigen (Profil)</p>
</li>
<li value="2">
<p class="htmlaufz">Abstimmung der Netzwerksitzung auf jeden Benutzer (User)</p>
</li>
<li value="3">
<p class="htmlaufz">Die richtigen Zugriffsrechte jedes Benutzers zu verwenden</p>
</li>
</ol>
<p>Windows NT erlaubt die Erstellung von lokalen und globalen Benutzergruppen. Im folgenden wird die Planung und Funktion dieser Gruppen erklΣrt. GrundsΣtzlich k÷nnen sich alle Mitglieder einer globalen Gruppe auf allen Workstations in der HeimatdomΣne sowie in vertrauenden DomΣnen anmelden.</p>
<p>Der gro▀e Vorteil einer globalen Gruppe fⁿr den Administrator ist, dass er der Gruppe Rechte zuweisen kann, die dann fⁿr jeden Benutzer dieser Gruppe gelten. Im Gegenteil wⁿrde es schnell im Chaos enden, wollte man jedem einzelnen Benutzer Rechte zuweisen.</p>
<p> </p>
<p>Jedes Benutzerkonto wird systemweit durch einen Security Identifier (<a href="tip0819.htm">SID</a>) identifiziert. Diese <a href="tip0819.htm">SID</a> wird durch einen Algorithmus generiert, der die Hardware-Adresse der Netzwerkkarte und die aktuelle Systemzeit als Basis beinhaltet. Sie ist somit weltweit eindeutig und bleibt auch als Sicherheitsinformation fⁿr bestimmte NT-Objekte (z.B. Dateien) erhalten, wenn ein Benutzerkonto gel÷scht wird. Wird also ein Benutzerkonto er÷ffnet, dann gel÷scht und unter gleichem Namen erneut erzeugt, so hat dieses neue Benutzerkonto nicht die Rechte des alten, da es eine andere <a href="tip0819.htm">SID</a>besitzt.</p>
<p> </p>
<p><u>Sinn und Aufbau von Gruppen</u>.</p>
<p>In den meisten DomΣnen ist jeder Benutzer Mitglied einer oder mehrerer der unter Windows NT vordefinierten Gruppen. Dadurch hat der jeweilige Benutzer die M÷glichkeiten, die ihm seine Gruppen bieten.</p>
<p>Es gibt drei vorgegebene globale Gruppen:</p>
<ol>
<li value="1">
<p class="htmlaufz">DomΣnenadministratoren Sie k÷nnen globale DomΣnenkonten und Computer in der DomΣne administrieren</p>
</li>
<li value="2">
<p class="htmlaufz">DomΣnenbenutzer Alle Benutzer der DomΣne sind Teil dieser Gruppe</p>
</li>
<li value="3">
<p class="htmlaufz">DomΣnengΣste Mitglieder haben Gastrecht fⁿr Ressourcen in der DomΣne</p>
</li>
</ol>
<p>Darⁿber hinaus k÷nnen Gruppen mit speziellen Rechten kreiert werden. Es gibt zwei vorgegebene, spezielle Gruppen:</p>
<p> </p>
<p><u>JEDER</u>
<br />Die Gruppe JEDER ist die Standardberechtigung, die fⁿr jede neu angelegte Ressource oder jedes Verzeichnis vergeben wird. Diese Gruppe kann nicht gel÷scht werden.</p>
<p> </p>
<p><u>G─STE</u>
<br />G─STE sind Mitglieder der Gruppe JEDER und haben somit Zugriff auf alle Verzeichnisse mit der Berechtigung JEDER.</p>
<p> </p>
<p>Es ist zu empfehlen, die GΣstegruppe zu deaktivieren.</p>
<p> </p>
<p>Lokale Gruppen gelten nur fⁿr den Rechner (Server oder Workstation), auf dem sie erstellt werden. Es gibt vorgegebene lokale Gruppen fⁿr Konto, -Sicherungs, -Replikations, -Server und Druckoperatoren</p>
<p> </p>
<p><u>Globale Benutzer</u>
</p>
<p>Sie k÷nnen nur mit dem Benutzermanager fⁿr DomΣnen erstellt werden. Dieser ist standardmΣ▀ig nicht auf Workstations verfⁿgbar, kann aber nachinstalliert werden.</p>
<p> </p>
<p>Jeder Benutzer, der regelmΣ▀ig auf das Netzwerk zugreift, ben÷tigt ein Benutzerkonto. Dieses Benutzerkonto beinhaltet Informationen ⁿber den Benutzer, wie Name und Kennwort, sowie die Zugriffsrechte, die seinen Zugriff auf das Netzwerk regeln. Benutzer, die eine Σhnliche Funktion haben oder dieselben Ressourcen ben÷tigen, k÷nnen zu Gruppen zusammengefasst werden. Diese Aufteilung in Gruppen macht die Rechtevergabe und Verwaltung einfacher, da Sie nicht mehr an den einzelnen Benutzer gebunden ist, sondern jeweils fⁿr einen ganze Gruppe von Benutzern durchgefⁿhrt werden kann. Hierbei lassen sich Gruppen in lokal (= rechnerspezifisch) und global (= domΣneweit) unterscheiden. Benutzer und Benutzergruppen werden mit dem Benutzer-Manager definiert.</p>
<p> </p>
<p>Mit dem Dateimanager bzw. dem Explorer k÷nnen den Benutzern oder den Benutzergruppen Zugriffsrechte auf Dateien oder Verzeichnisse zugewiesen werden. Mit dem Druck-Manager k÷nnen den Gruppen oder den Benutzern Drucker zugewiesen werden. Ein Benutzerkonto setzt sich aus folgenden Informationen zusammen:</p>
<p> </p>
<p><u>Beschreibung</u>:</p>
<ol>
<li value="1">
<p class="htmlaufz">Benutzername, ein systemweit eindeutiger Name, mit dem sich der Benutzer anmeldet.</p>
</li>
<li value="2">
<p class="htmlaufz">Kennwort, das nur dem Benutzer bekannte Passwort.</p>
</li>
<li value="3">
<p class="htmlaufz">Anmeldezeiten, die Zeiten, wΣhrend derer sich der Benutzer anmelden darf.</p>
</li>
<li value="4">
<p class="htmlaufz">Anmeldearbeitsstationen, eine Liste der Rechner, von denen sich der Benutzer einloggen darf.</p>
</li>
<li value="5">
<p class="htmlaufz"> max. s Kennwortalter, gibt den Zeitpunkt an, zu dem die Anmeldeberechtigung ablΣuft. Dadurch lΣsst sich erreichen, dass bestimmte Anmeldungen zeitlich begrenzt sind (z.B. fⁿr GΣste oder Studenten).</p>
</li>
<li value="6">
<p class="htmlaufz">Basisverzeichnis, ist als privates Verzeichnis des Benutzers gedacht und dient dazu, seine pers÷nlichen Daten zu speichern.</p>
</li>
<li value="7">
<p class="htmlaufz">Benutzerprofil, beschreibt die fⁿr den jeweiligen Benutzer gespeicherte Arbeitsumgebung. Dazu geh÷ren die Programmgruppen, die Netzwerkverbindungen, die Farben und Schriften.</p>
</li>
<li value="8">
<p class="htmlaufz">Anmeldeskript. Eine Skriptdatei, die wΣhrend jeder Anmeldung des Benutzers ausgefⁿhrt wird.</p>
</li>
</ol>
<p>Die Verwaltung der Benutzer ist sowohl auf einzelnen Windows NT-Maschinen als auch innerhalb einer DomΣne eine zentrale Aufgabe zur GewΣhrleistung eines reibungslosen Betriebs. Nur ein Administrator hat die Rechte, neue Benutzer anzulegen oder die Daten bestehender Benutzer zu modifizieren. Das hierfⁿr verwendete Werkzeug ist der Benutzer-Manager auf NT-Workstations und der Benutzer-Manager fⁿr DomΣnen auf NT-Servern. Beim Anlegen eines neuen Benutzers werden eine Reihe von Daten erfragt, wobei die wenigsten (au▀er dem Login-Namen) angegeben werden mⁿssen. Jeder Benutzer erhΣlt vom NT-System eine eindeutige ID, die mit seinem Login-Namen gekoppelt ist.</p>
<p> </p>
<p>Die folgenden Angaben sollten fⁿr jeden neuen Benutzer gemacht werden:</p>
