Sie sind auf Seite 1von 42

265

KAPITEL

7

Verwalten von Benutzer- und Computerobjekten in Active Directory

Lektion 1: Erstellen von Benutzer- und Computerobjekten

266

Lektion 2: Verwalten von Benutzerkonten

284

Lektion 3: Erstellen von Benutzerprofilen

292

Über dieses Kapitel

Wenn Sie in einem Microsoft Windows 2000 Server-Netzwerk arbeiten, in dem der Active Directory-Dienst installiert wurde, müssen sämtliche Benutzer und Computer durch Objekte im Active Directory-Verzeichnis repräsentiert werden. Die Computer- und Benutzerobjekte umfassen Attribute, die Informationen zu einem Benutzer bzw. Computer liefern. So stellt ein Benutzerobjekt beispiels- weise Informationen zu den Zugriffsberechtigungen des Benutzers im Netzwerk bereit. Das Erstellen und Verwalten von Benutzer- und Computerobjekten gehört zum Aufgabenbereich des Netzwerkadministrators. In diesem Kapitel erfahren Sie, wie Active Directory-Benutzer- und -Computerobjekte erstellt, konfiguriert und verwaltet werden. Darüber hinaus wird erläutert, wie Sie Benutzerprofile und Basisordner erstellen.

Bevor Sie beginnen

Zur Bearbeitung der Lektionen in diesem Kapitel sollten Sie die grundlegenden Konzepte von Active Directory kennen, zu denen beispielsweise Objekte, Attri- bute und Container gehören. Zur Durchführung der Übungen in diesem Kapitel müssen Sie über einen Windows 2000-Computer verfügen, der an ein Active Directory-Netzwerk angeschlossen ist. Ferner benötigen Sie Zugriff auf die Konsole Active Directory-Benutzer und -Computer.

266 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Lektion 1: Erstellen von Benutzer- und Computerobjekten

Benutzerkonten ermöglichen einem Benutzer, sich an einer Domäne anzumelden und auf die Netzwerkressourcen zuzugreifen bzw. sich an einem Computer anzu- melden, um auf die lokalen Computerressourcen zuzugreifen. Jede Person, die regelmäßig das Netzwerk verwendet, sollte über ein Benutzerkonto verfügen. Die von Windows 2000 bereitgestellten Benutzerkonten lassen sich grundsätzlich in zwei Kategorien unterteilen: Domänenbenutzerkonten und lokale Benutzerkon- ten. Unter Verwendung eines Domänenbenutzerkontos kann sich ein Benutzer an einer Domäne anmelden und auf die Netzwerkressourcen zugreifen. Über ein lokales Benutzerkonto meldet sich ein Benutzer bei einem bestimmten Computer an, um auf die Ressourcen auf diesem Computer zuzugreifen. Ein Benutzer, der sich an einem Windows 2000 Professional- oder an einem Windows 2000 Server- Computer anmeldet (sofern dieser nicht als Domänencontroller, sondern als Mitgliedsserver konfiguriert wurde), kann entscheiden, ob er/sie sich an einer Domäne oder am lokalen Computer anmelden möchte.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:

Beschreiben des Unterschieds zwischen einem lokalen Benutzerkonto und einem Domänenbenutzerkonto

Beschreiben des Zwecks vordefinierter Konten

Erstellen eines Domänenbenutzerkontos

Veranschlagte Zeit für diese Lektion: 30 Minuten

Einführung in Benutzerkonten

Windows 2000 stellt drei Arten von Benutzerkonten bereit, die in den folgenden Abschnitten näher erläutert werden:

Domänenbenutzerkonten

Lokale Benutzerkonten

Vordefinierte Benutzerkonten

Lokale Benutzerkonten

Bei Verwendung eines lokalen Benutzerkontos bleibt der Benutzer auf die An- meldung an einem lokalen Computer beschränkt und kann nur auf die lokal gespeicherten Computerressourcen zugreifen. Wenn Sie ein lokales Benutzer- konto erstellen, legt Windows 2000 dieses Konto in der Sicherheitsdatenbank des verwendeten Computers an, wie aus Abbildung 7.1 hervorgeht. Die Konto-

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

267

informationen werden lokal gespeichert und nicht auf anderen Computern oder Domänencontrollern repliziert. Nach der Erstellung eines lokalen Benutzerkontos verwendet der Computer die lokale Sicherheitsdatenbank, um das lokale Benut- zerkonto zu authentifizieren und dem Benutzer so die Anmeldung an diesem Computer zu ermöglichen.

Erstellen Sie keine lokalen Benutzerkonten auf Computern, die Zugriff auf Do- mänenressourcen benötigen. Lokale Benutzerkonten werden in einer Domäne nicht erkannt, demzufolge ist der Zugriff auf Domänenressourcen über ein loka- les Benutzerkonto nicht möglich. Darüber hinaus ist ein Domänenadministrator nicht in der Lage, die Eigenschaften lokaler Benutzerkonten zentral zu verwalten. Der Zugriff auf die Eigenschaften eines lokalen Benutzerkontos ist nur über das Menü Vorgang der Konsole Computerverwaltung möglich, wenn zuvor eine Verbindung zum lokalen Computer hergestellt wurde.

Lokales Benutzer- konto Lokale Sicherheits- datenbank Lokaler Benutzer Lokale Benutzerkonten Bieten Zugriff auf
Lokales
Benutzer-
konto
Lokale
Sicherheits-
datenbank
Lokaler Benutzer
Lokale Benutzerkonten
Bieten Zugriff auf lokale Computerressourcen

Werden in der lokalen Sicherheitsdatenbank angelegtBieten Zugriff auf lokale Computerressourcen Abbildung 7.1 Lokale Benutzerkonten Domänenbenutzerkonten

Abbildung 7.1 Lokale Benutzerkonten

Domänenbenutzerkonten

Unter Verwendung eines Domänenbenutzerkontos können Benutzer sich an einer Domäne anmelden und auf beliebige Netzwerkressourcen zugreifen. Während des Anmeldevorgangs muss der Benutzer einen Anmeldenamen und ein Kenn- wort eingeben. Anhand dieser Informationen authentifiziert Windows 2000 den Benutzer und erstellt dann ein Zugriffstoken, das Informationen zu einem Benut- zer und den zugehörigen Sicherheitseinstellungen enthält. Das Zugriffstoken identifiziert den Benutzer gegenüber den Windows 2000-Computern (oder Com- putern mit früheren Windows-Versionen) eines Netzwerks, in dem der Benutzer auf Ressourcen zugreifen möchte. Windows 2000 stellt das Zugriffstoken für die Dauer der Anmeldesitzung zur Verfügung.

Sie erstellen ein Domänenbenutzerkonto, indem Sie in einem Active Directory- Ordner oder in einer Organisationseinheit (Organizational Unit, OU) ein Benut- zerobjekt erstellen. Die in Active Directory gespeicherten Ordner und OUs

268 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

stellen ebenfalls Objekte in der Active Directory-Hierarchie dar. Die Active Directory-Datenbank wird auf Windows 2000 Server-Computern gespeichert, die als Domänencontroller konfiguriert wurden (siehe Abbildung 7.2). Nach der Erstellung eines neuen Domänenbenutzerkontos auf einem Domänencontroller wird das Konto auf allen weiteren Domänencontrollern der Domäne repliziert. Sobald der Replikationsprozess abgeschlossen ist, können sämtliche Domänen- controller in der Domänenstruktur den Benutzer bei der Anmeldung authentifi- zieren.

Domänen- benutzer- konto Domänencontroller Active Directory Domänenbenutzer Domänenbenutzerkonten
Domänen-
benutzer-
konto
Domänencontroller
Active
Directory
Domänenbenutzer
Domänenbenutzerkonten

Bieten Zugriff auf NetzwerkressourcenActive Directory Domänenbenutzer Domänenbenutzerkonten Stellen das Zugriffstoken für die Authentifizierung bereit

Stellen das Zugriffstoken für die Authentifizierung bereitDomänenbenutzerkonten Bieten Zugriff auf Netzwerkressourcen Werden in der Active Directory-Datenbank auf einem

Werden in der Active Directory-Datenbank auf einem Domänencontroller angelegtStellen das Zugriffstoken für die Authentifizierung bereit Abbildung 7.2 Domänenbenutzerkonten Anmerkung Es kann eine

Abbildung 7.2 Domänenbenutzerkonten

Anmerkung Es kann eine gewisse Zeit in Anspruch nehmen, die Informationen des neuen Benutzerkontos auf allen Domänencontrollern zu replizieren. Diese Verzögerung kann dazu führen, dass sich ein Benutzer über das neu erstellte Be- nutzerkonto nicht sofort anmelden kann. Standardmäßig findet die Replikation von Verzeichnisinformationen alle fünf Minuten statt.

Vordefinierte Konten

Windows 2000 erstellt automatisch verschiedene Konten, die als vordefinierte Benutzerkonten bezeichnet werden. Zwei häufig verwendete vordefinierte Kon- ten sind z. B. Administrator und Gast. Das vordefinierte Administratorkonto kann zur Gesamtkonfiguration aller Netzwerkcomputer und der Domäne einge- setzt werden, z. B. zur Erstellung und Bearbeitung von Benutzerkonten und Gruppen, zur Verwaltung von Sicherheitsrichtlinien, zum Erstellen von Druckern sowie zur Vergabe von Berechtigungen und Rechten für den Ressourcenzugriff.

Als Administrator eines Netzwerks sollten Sie für alle Aufgaben, die nicht in den Verwaltungsbereich fallen, ein separates Benutzerkonto verwenden. Melden Sie sich nur dann unter Verwendung des Administratorkontos an, wenn Sie tatsäch- lich administrative Aufgaben wahrnehmen möchten.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

269

Anmerkung Sie können das Konto Administrator umbenennen, jedoch nicht löschen. Sie erhöhen die Sicherheit eines Windows 2000-Computers bzw. einer Windows 2000-Domäne, wenn Sie das vordefinierte Konto Administrator um- benennen. Verwenden Sie einen Namen, der nicht darauf schließen lässt, dass es sich um das Administratorkonto handelt. Durch diese Maßnahme erschweren Sie nicht autorisierten Benutzern den Zugang zum Administratorkonto.

Über das Benutzerkonto Gast können Sie allen Benutzern Zugriff auf die Res- sourcen eines Computers oder einer Domäne ermöglichen, die nur temporär in einem Netzwerk arbeiten. Ein Mitarbeiter, der nur kurzfristig auf Ressourcen zu- greifen können muss, kann beispielsweise das Gastkonto nutzen. Das Gastkonto ist standardmäßig deaktiviert. Aktivieren Sie das Gastkonto nur für Netzwerke mit geringer Sicherheitsstufe, und vergeben Sie immer ein Kennwort für dieses Konto. Sie können das Konto Gast umbenennen und deaktivieren, jedoch nicht löschen.

Falls Sie auf einem Domänencontroller die Internet-Informationsdienste (Internet Information Services, IIS) installiert haben, werden automatisch die vordefinier- ten Konten IUSR_Computername und IWAM_Computername erstellt. Bei IUSR_Computername handelt es sich um ein Konto für den anonymen Zugriff auf IIS. Das Konto IWAM_Computername wird für den anonymen Zugriff auf prozessexterne IIS-Anwendungen eingesetzt. Das Konto TsInternetUser wird automatisch erstellt, wenn Sie auf einem Domänencontroller die Terminaldienste installieren. TsInternetUser ist ein Konto, das von den Windows 2000-Terminal- diensten verwendet wird.

Erstellen von Domänenbenutzerkonten

Sie erstellen und verwalten Domänenbenutzerkonten mithilfe der Konsole Active Directory-Benutzer und -Computer (siehe Abbildung 7.3). Anhand dieser Konsole können Sie Benutzerobjekte erstellen, löschen oder deaktivieren sowie deren Attribute verwalten.

löschen oder deaktivieren sowie deren Attribute verwalten. Abbildung 7.3 Die Konsole „Active Directory-Benutzer und

Abbildung 7.3 Die Konsole „Active Directory-Benutzer und -Computer“

270 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Bei der Erstellung eines Domänenbenutzerkontos werden die Benutzerkonten automatisch in der Domäne erstellt, in der Sie zurzeit arbeiten. Sie können jedoch auch jede andere Domäne auswählen, in der Sie berechtigt sind, Domänenbenut- zerkonten einzurichten. Sie müssen außerdem den Ordner angeben, in dem das neue Konto erstellt werden soll. Sie können das Objekt beispielsweise im vor- definierten Ordner Users erstellen oder zur Speicherung der Benutzerkonten einen eigenen Ordner verwenden.

Tipp Wenn Sie einen Windows 2000 Server-Computer zu einem Domänencont- roller heraufstufen, werden im gleichen Zuge die Active Directory-Verwaltungs- programme installiert (zu denen die Konsole Active Directory-Benutzer und -Computer zählt). Bei der Konsole Active Directory-Benutzer und -Computer handelt es sich um ein MMC-Snap-In (Microsoft Management Console), mit dem Sie die Benutzer- und Computerobjekte aller Domänen eines Netzwerks verwalten können. Sie können die Konsole Active Directory-Benutzer und -Computer auch auf einem Windows 2000 Server-Computer ausführen, der nicht als Domänencontroller konfiguriert wurde. Die Ausführung dieser Konsole ist selbst auf einem Windows 2000 Professional-Computer möglich, auch wenn die Konsole in dieser Betriebssystemversion nicht enthalten ist. Zur Installation der Active Directory-Tools auf einem anderen Windows 2000-Computer führen Sie mithilfe des Windows Installers das Installationspaket Adminpak.msi aus. Dieses finden Sie auf der Windows 2000 Server-CD-ROM im Ordner \I386.

Zur Erstellung eines Benutzerobjekts in einer Domäne führen Sie folgende Schritte aus:

1. Klicken Sie auf Start, Programme und Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer, um die Konsole Active Directory-Benutzer und -Computer zu öffnen. Die Konsole verweist auf die Domäne, in der Sie momentan arbeiten.

2. Klicken Sie in der Strukturansicht mit der rechten Maustaste auf den Ordner Users, und klicken Sie auf Neu, um das Dialogfeld Neues Objekt – Benut- zer zu öffnen, wie dargestellt in Abbildung 7.4.

Anmerkung Windows 2000 erstellt den Ordner Users automatisch in jeder neuen Active Directory-Domäne. In einem Produktionsnetzwerk sollten Sie die Benut- zerobjekte nicht im Ordner Users, sondern in den Organisationseinheiten (OUs) erstellen, die Ihre Active Directory-Domänenhierarchie bilden.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

271

von Benutzer- und Computerobjekten in Active Directory 271 Abbildung 7.4 Das Dialogfeld „Neues Objekt – Benutzer“

Abbildung 7.4 Das Dialogfeld „Neues Objekt – Benutzer“

3. Geben Sie im Dialogfeld Neues Objekt – Benutzer die im Folgenden aufge- führten Informationen an, und klicken Sie dann auf Weiter.

Vorname Enthält den Vornamen des Benutzers. Sie müssen in mindestens einem der Felder Vorname, Nachname oder Vollständiger Name eine Eingabe vornehmen.

Initialen Enthält den Anfangsbuchstaben des zweiten Vornamens eines Benutzers (optional).

Nachname Enthält den Nachnamen des Benutzers. Sie müssen in mindestens einem der Felder Vorname, Nachname oder Vollständiger Name eine Eingabe vornehmen.

Vollständiger Name Enthält den vollständigen Benutzernamen. Der hier angegebene Name muss innerhalb des Containers eindeutig sein, in dem Sie das Benutzerkonto erstellen. Windows 2000 füllt dieses Feld automa- tisch aus, wenn Sie den Vor- und Nachnamen eingegeben haben.

Benutzeranmeldename Unterhalb dieser Option werden ein Feld und eine Dropdownliste angezeigt. Im Feld links geben Sie, basierend auf Ih- ren Benennungskonventionen, einen eindeutigen Anmeldenamen für den Benutzer an. Die Eingabe in diesem Feld ist erforderlich, der verwendete Name muss innerhalb der Domäne eindeutig sein. Die Liste rechts gibt den Domänennamen an.

Benutzeranmeldename (Windows NT 3.5x/4.0) Enthält den eindeu- tigen Benutzeranmeldenamen zur Anmeldung an Computern mit früheren Windows-Versionen wie z. B. Microsoft Windows NT 4.0. Die Eingabe in diesem Feld ist erforderlich, der verwendete Name muss innerhalb der Do- mäne eindeutig sein.

272 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

4. Konfigurieren Sie eine oder mehrere der folgenden Kennwortoptionen (Abbil- dung 7.5), und klicken Sie anschließend auf Weiter.

Kennwort Geben Sie das Kennwort ein, das für die Benutzerauthentifi- zierung verwendet wird. Sie sollten aus Sicherheitsgründen immer ein Kennwort verwenden.

Kennwortbestätigung Geben Sie das Kennwort erneut ein, um sicherzu- stellen, dass das Kennwort richtig eingegeben wurde. Die Eingabe in die- sem Feld ist bei der Vergabe eines Kennwortes erforderlich.

Benutzer muss Kennwort bei der nächsten Anmeldung ändern Wenn Sie diese Option aktivieren, muss der Benutzer bei der nächsten Anmel- dung ein neues Kennwort festlegen. Dadurch wird sichergestellt, dass nur der Benutzer im Besitz des Kennwortes ist.

Benutzer kann Kennwort nicht ändern Hindert den Benutzer an der Kennwortänderung. Bei Auswahl dieser Option können nur Administrato- ren die Kennwörter festlegen. Aktivieren Sie dieses Kontrollkästchen, wenn ein Domänenbenutzerkonto von mehreren Personen verwendet wird (beispielsweise das Gastkonto), oder wenn Sie die Kontrolle über die Kennwortvergabe für die Benutzerkonten behalten möchten.

Kennwort läuft nie ab Bei Auswahl dieser Option ist eine Kennwort- änderung nicht erforderlich. Sie können diese Option für Domänenbenut- zerkonten aktivieren, die durch ein Programm oder einen Windows 2000- Dienst verwendet werden. Die Option Kennwort läuft nie ab setzt die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern außer Kraft.

Konto ist deaktiviert Bei Auswahl dieser Option kann das Benutzerkonto nicht verwendet werden. Sie könnten diese Option beispielsweise aktivie- ren, wenn ein neuer Mitarbeiter seine Arbeit noch nicht angetreten hat.

Anmerkung Neue Benutzer sollten ihre Kennwörter immer bei der ersten Anmel- dung ändern müssen. Auf diese Weise werden keine Benutzerkonten ohne Kenn- wörter angelegt. Darüber hinaus ist bei dieser Vorgehensweise nur der Benutzer im Besitz des aktuellen Kennwortes.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

273

von Benutzer- und Computerobjekten in Active Directory 273 Abbildung 7.5 Kennwortoptionen im Dialogfeld „Neues Objekt

Abbildung 7.5 Kennwortoptionen im Dialogfeld „Neues Objekt – Benutzer“

5. Klicken Sie auf Fertig stellen, um das neue Benutzerobjekt zu erstellen.

Wenn Sie häufig Benutzerobjekte mit gleichen Eigenschaften erstellen, bietet es sich an, die Erstellung diese Objekte mithilfe eines Benutzervorlagenobjekts zu vereinfachen. Ein Benutzervorlagenobjekt ist einfach ein Benutzerobjekt, dem Sie die Eigenschaftenwerte zuweisen, die alle neuen Objekte erhalten sollen. Wenn Sie ein neues Benutzerobjekt mit diesen Eigenschaften erstellen möchten, klicken Sie einfach mit der rechten Maustaste auf das Benutzervorlagenobjekt und wählen aus dem angezeigten Kontextmenü den Befehl Kopieren aus. Auf diese Weise wird das Dialogfeld Objekt kopieren – Benutzer geöffnet, in dem Sie Name, Anmeldename und Kennwort für das neue Benutzerobjekt angeben können. Nach Erstellung des neuen Objekts verfügt dieses – abgesehen von den Eigenschaften für Name und Kennwort – über sämtliche Eigenschaften des Benutzervorlagenobjekts.

Festlegen der Attribute für Benutzerkonten

Mit jedem neu erstellten Benutzerobjekt sind verschiedene Standardattribute ver- bunden. Nach der Erstellung eines Benutzerkontos können Sie Kontenattribute, Anmeldeoptionen und DFÜ-Einstellungen konfigurieren. Sie können die für ein Domänenbenutzerkonto definierten Attribute dazu verwenden, in Active Direc- tory nach bestimmten Benutzern zu suchen. Aus diesem Grund sollten Sie für jedes Domänenbenutzerkonto möglichst detaillierte Informationen bereitstellen.

274 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Sie legen die Attributwerte für ein Benutzerobjekt im Eigenschaftendialogfeld eines Objekts fest. Klicken Sie zum Öffnen des Eigenschaftendialogfeldes in der Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf das gewünschte Objekt, und klicken Sie dann auf Eigenschaften. Ein dem in Abbildung 7.6 ähnliches Dialogfeld wird eingeblendet.

in Abbildung 7.6 ähnliches Dialogfeld wird eingeblendet. Abbildung 7.6 Das Eigenschaftendialogfeld eines

Abbildung 7.6 Das Eigenschaftendialogfeld eines Benutzerobjekts

Die Registerkarten des Eigenschaftendialogfeldes enthalten Informationen zum ausgewählten Benutzerkonto. Das Eigenschaftendialogfeld für ein Benutzer- objekt weist standardmäßig die folgenden Registerkarten auf:

Allgemein Dokumentiert Vornamen, Nachnamen, Anzeigenamen, Beschrei- bung, Ort des Büros, Telefonnummer(n), E-Mail-Adresse, Homepage und zusätzliche Webseiten eines Benutzers.

Adresse Enthält Beschreibung, Postanschrift, Stadt, Bundesland, Postleitzahl und Land oder Region für das Benutzerobjekt.

Konto Dokumentiert die folgenden Eigenschaften eines Benutzerkontos:

Benutzeranmeldename, Anmeldezeiten, Arbeitsstationen, an die sich der Benutzer anmelden darf, Kontooptionen und Ablaufdatum des Kontos.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

275

Profil Legt einen Pfad für Profil und Anmeldeskript, einen Basisordner und einen freigegebenen Ordner für Dokumente fest.

Rufnummern Dokumentiert folgende Telefonnummern für den Benutzer:

privat, Funkruf, Funktelefon, Fax und IP (Internet Protocol); bietet außerdem Platz für Kommentare.

Organisation Dokumentieren Sie auf dieser Registerkarte den Titel, die Ab- teilung, den Abteilungsleiter und den direkten Vorgesetzten eines Benutzers.

Remoteüberwachung Enthält die Überwachungseinstellungen für die Terminaldienste.

Terminaldienstprofile Konfigurieren Sie hier das Benutzerprofil für die Terminaldienste.

Mitglied von Dokumentiert die Gruppen, denen der Benutzer angehört.

Einwählen Enthält die für den Benutzer festgelegten Einwahleigenschaften.

Umgebung Enthält die Einstellungen für die Startumgebung der Terminal- dienste.

Sitzungen Konfigurieren Sie hier die Einstellungen für Zeitüberschreitung und erneute Verbindungsherstellung bei Einsatz der Terminaldienste.

Anmerkung Falls Sie neben den Active Directory-Diensten weitere Software- produkte (wie z. B. Microsoft Exchange) installieren, werden dem Eigenschaf- tendialogfeld unter Umständen weitere Registerkarten für die Attributkonfigu- ration hinzugefügt.

In den folgenden Abschnitten werden einige der Eigenschaften näher erläutert, die Sie im Rahmen der täglich anfallenden Netzwerkverwaltungsaufgaben even- tuell konfigurieren müssen.

Festlegen persönlicher Benutzerinformationen

Vier der Registerkarten im Eigenschaftendialogfeld eines Benutzerobjekts ent- halten persönliche Informationen zum ausgewählten Benutzerkonto. Diese Registerkarte lauten Allgemein, Adressen, Rufnummern und Organisation. Die Attribute auf diesen Registerkarten stehen in keiner direkten Beziehung zur Verwendung der Benutzerobjekte in Active Directory; sie stellen lediglich Hintergrundinformationen zum Benutzer zur Verfügung. Die hier bereitgestellten Angaben erleichtern Ihnen das Auffinden von Domänenbenutzerkonten in der Active Directory-Struktur. Wenn beispielsweise die Eigenschaften auf der Registerkarte Adresse vollständig angegeben sind (wie in Abbildung 7.7 darge- stellt), können Sie anhand der Postadresse oder mithilfe anderer Informationen nach einem Benutzer suchen.

276 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

2000-Netzwerkumgebung – Original Microsoft Training Abbildung 7.7 Die Registerkarte „Adresse“ des

Abbildung 7.7 Die Registerkarte „Adresse“ des Eigenschaftendialogfeldes für ein Benutzerkonto

Festlegen von Kontoeigenschaften

Die Registerkarte Konto im Eigenschaftendialogfeld für ein Benutzerobjekt (siehe Abbildung 7.8) enthält einige der Attribute, die Sie bei Erstellung des Benutzerobjekts angeben, z. B. den Benutzeranmeldenamen und die Kennwort- optionen.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

277

von Benutzer- und Computerobjekten in Active Directory 277 Abbildung 7.8 Die Registerkarte „Konto“ Sie können die

Abbildung 7.8 Die Registerkarte „Konto“

Sie können die Werte für diese Attribute auf dieser Registerkarte ändern. Auf der Registerkarte Konto stehen außerdem folgende Attributinformationen zur Verfü- gung:

Kennwort mit reversibler Verschlüsselung speichern Ermöglicht den Ein-

satz von Anwendungen, die ein verschlüsselbares Kennwort erfordern. Dieses Attribut wird von Authentifizierungsprotokollen für den Remotezugriff und für die IIS-Digestauthentifizierung verwendet. Benutzer muss sich mit einer Smartcard anmelden Ermöglicht einem

Benutzer die Anmeldung mit einer Smartcard. Zur Anmeldung mit einer Smartcard ist zusätzliche Hardware erforderlich. Konto wird für Delegierungszwecke vertraut Ermöglicht einem Benutzer

die Delegierung von Verwaltungsaufgaben für Teile des Namespaces an ande- re Benutzer, Gruppen oder OUs. Konto kann nicht delegiert werden Verhindert, dass diesem Konto zu Delegierungszwecken Verwaltungsaufgaben übertragen werden.

278 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

DES-Verschlüsselungstypen für dieses Konto verwenden Bietet Unterstüt-

zung für die DES-Verschlüsselung (Data Encryption Standard). Keine Kerberos-Präauthentifizierung erforderlich Macht eine Kerberos- Präauthentifizierung für Konten mit einer anderen Kerberos-Implementierung überflüssig. Nicht alle Implementierungen oder Bereitstellungen von Kerb- eros verwenden eine Präauthentifizierung.

Ablaufdatum des Kontos Legt das Ablaufdatum für ein Konto fest. Wählen Sie hier die Option Nie, wenn das Konto nie ablaufen soll. Klicken Sie auf Am, und geben Sie in das zugehörige Textfeld ein Datum ein, wenn Windows 2000 das Benutzerkonto zum angegebenen Datum automatisch deaktivieren soll.

Festlegen der Anmeldezeiten

Klicken Sie auf der Registerkarte Konto auf die Schaltfläche Anmeldezeiten, um das Dialogfeld Anmeldezeiten für: Benutzer zu öffnen. In diesem Dialog- feld können Sie festlegen, zu welchen Zeiten sich der Benutzer an der Domäne anmelden kann. Durch die Einschränkung der Anmeldezeiten beschränken Sie die Zeit, zu der Benutzer auf das Netzwerk zugreifen können. Standardmäßig er- möglicht Windows 2000 den Zugriff an allen Tagen und zu jeder Zeit. Sie kön- nen jedoch den Zugriff auf die üblichen Geschäftszeiten beschränken. Das Festlegen von Anmeldezeiten verringert das Risiko eines unbefugten Zugriffs durch einen nicht autorisierten Benutzer.

Gehen Sie zur Festlegung der Anmeldezeiten für einen Benutzer folgendermaßen vor:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

2. Klicken Sie mit der rechten Maustaste auf das zu ändernde Benutzerobjekt, und klicken Sie im angezeigten Kontextmenü auf Eigenschaften, um das Eigenschaftendialogfeld des Benutzerobjekts zu öffnen.

3. Klicken Sie auf die Registerkarte Konto.

4. Klicken Sie auf Anmeldezeiten, um das Dialogfeld Anmeldezeiten für:

Benutzer zu öffnen (siehe Abbildung 7.9). Die blau markierten Felder kenn- zeichnen die Zeiten, zu denen der Benutzer sich anmelden kann. Weiß mar- kierte Felder geben die Zeiten an, in denen der Benutzer sich nicht anmelden kann.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

279

von Benutzer- und Computerobjekten in Active Directory 279 Anmeldung ist während dieser Zeiten erlaubt Anmeldung wird

Anmeldung ist während dieser Zeiten erlaubt

Anmeldung wird während dieser Zeiten verweigert

Abbildung 7.9 Das Dialogfeld „Anmeldezeiten für: Benutzer

5. Sie markieren einen Zeitraum, indem Sie auf die Startzeit klicken und den Mauscursor an die gewünschte Endzeit ziehen. Anschließend klicken Sie ent- weder auf die Option Anmeldung zulassen oder Anmeldung verweigern, um dem Benutzer die Anmeldung in diesem Zeitraum zu ermöglichen oder zu verweigern.

6. Klicken Sie auf OK, um das Dialogfeld Anmeldezeiten für: Benutzer zu schließen.

7. Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen.

Anmerkung Beachten Sie, dass Windows 2000 Benutzer nicht aufgrund der An- meldezeitenkonfiguration von der Domäne trennt, wenn bereits eine Verbindung hergestellt wurde. Die Benutzer werden außerhalb der festgelegten Anmelde- zeiten lediglich an einer Anmeldung gehindert.

Festlegen der Computer, an denen sich ein Benutzer anmelden kann

Mithilfe der Anmeldeoptionen für ein Domänenbenutzerkonto können Sie steuern, an welchen Domänencomputern sich ein Benutzer anmelden kann. Per Voreinstellung kann sich jeder Benutzer an allen Computern in der Domäne an- melden. Durch eine explizite Festlegung der Arbeitscomputer können Sie verhin- dern, dass sich ein Benutzer mit seinem/ihrem Kennwort an einem anderen Computer anmeldet.

Anmerkung Die Festlegung der Benutzerarbeitscomputer für die Domänen- anmeldung erfordert die Aktivierung von NetBIOS über TCP/IP.

280 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Führen Sie zur Festlegung der Arbeitscomputer für die Benutzeranmeldung folgende Schritte aus:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

2. Klicken Sie mit der rechten Maustaste auf das zu ändernde Benutzerobjekt, und klicken Sie auf Eigenschaften, um das Eigenschaftendialogfeld des Benutzerobjekts zu öffnen.

3. Klicken Sie auf die Registerkarte Konto.

4. Klicken Sie auf die Schaltfläche Anmelden, um das in Abbildung 7.10 ge- zeigte Dialogfeld Anmeldearbeitsstationen zu öffnen.

ge- zeigte Dialogfeld Anmeldearbeitsstationen zu öffnen. Standardeinstellung; gestattet den Benutzerzugriff auf alle

Standardeinstellung; gestattet den Benutzerzugriff auf alle Computer.

Klicken Sie hier, um den Zugriff auf bestimmte Computer einzuschränken.

Geben Sie hier den Computernamen ein, und klicken Sie dann auf Hinzufügen.

Abbildung 7.10 Das Dialogfeld „Anmeldearbeitsstationen“

5. Aktivieren Sie die Option Folgenden Computern.

6. Geben Sie im Feld Computername den NetBIOS-Namen eines Computers ein, von dem aus sich der Benutzer anmelden darf, und klicken Sie dann auf Hinzufügen. Wiederholen Sie diesen Vorgang, wenn Sie weitere Computer für die Benutzeranmeldung angeben möchten.

7. Klicken Sie auf OK, um das Dialogfeld Anmeldearbeitsstationen zu schlie- ßen.

8. Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

281

von Benutzer- und Computerobjekten in Active Directory 281 Übung 7.1: Erstellen von Domänenbenutzerkonten In dieser

Übung 7.1: Erstellen von Domänenbenutzerkonten

In dieser Übung erstellen Sie die in folgender Tabelle aufgelisteten Domänen- benutzerkonten:

Vorname

Nachname

Benutzer-

Kennwort

Kennwort ändern

 

anmeldename

Jo

Berry

jberry

gobloots

Muss Kennwort ändern

John

Kelly

jkelly

(kein)

Muss Kennwort ändern

Stephanie

Hooper

shooper

(kein)

Muss Kennwort ändern

Jenny

Sax

Jsax

zany

Muss Kennwort ändern

Eric

Lang

Elang

redhead

Kann Kennwort nicht ändern

Die folgende Anweisung umfasst die Schritte, die zur Erstellung des ersten Benutzerkontos mithilfe des Snap-Ins Active Directory-Benutzer und -Com- puter erforderlich sind. Wiederholen Sie die genannten Schritte, um die weiteren aufgeführten Benutzerkonten zu erstellen.

1. Melden Sie sich als Administrator an Ihrer Domäne an.

2. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und kli- cken Sie auf Active Directory-Benutzer und -Computer. Windows 2000 öffnet die Konsole Active Directory-Benutzer und -Computer.

3. Klicken Sie auf den Ordner Users in Ihrer Domäne. Beachten Sie, dass im Detailbereich die vordefinierten Benutzerkonten angezeigt werden. Wie lau- ten die Namen dieser Benutzerkonten, die bei Installation von Active Directory automatisch erstellt werden?

4. Klicken Sie mit der rechten Maustaste auf den Ordner Users, zeigen Sie auf Neu, und klicken Sie auf Benutzer. Windows 2000 zeigt das Dialogfeld Neues Objekt – Benutzer an. In welchem Active Directory-Verzeichnis wird das neue Benutzerkonto erstellt?

5. Geben Sie im Feld Vorname den Wert Jo ein.

6. Geben Sie im Feld Nachname den Wert Berry ein. Beachten Sie, dass Windows 2000 automatisch das Feld Vollständiger Name ausfüllt.

7. Geben Sie im Feld Benutzeranmeldename den Wert jberry ein.

282 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

8.

Wählen Sie in der Liste rechts neben dem Feld Benutzeranmeldename den Namen Ihrer Domäne aus. Der Benutzeranmeldename ergibt zusammen mit dem Domänennamen rechts neben dem Feld Benutzeranmeldename den vollständigen Namen zur Internetanmeldung. Dieser Name dient zur eindeutigen Identifizierung des Benutzers im gesamten Verzeichnis (z. B. jberry@microsoft.com). Windows 2000 vervollständigt das Feld Benutzer- anmeldename (Windows NT 3.5x/4.0) für Sie. Wann wird dieser frühere Windows-Anmeldename verwendet?

9.

Klicken Sie zum Fortfahren auf Weiter. Das Dialogfeld Neues Objekt – Benutzer wird eingeblendet, und Sie werden aufgefordert, die Kennwort- optionen für das Benutzerobjekt festzulegen.

10.

Geben Sie in den Feldern Kennwort und Kennwortbestätigung den Wert gobloots ein. Nehmen Sie in diesen Feldern keine Eingabe vor, wenn Sie kein Kennwort zuweisen möchten. Beachten Sie, dass eingegebene Kennwörter auf dem Bildschirm als Sternchen dargestellt werden. Dadurch wird verhin- dert, dass zufällige Beobachter das eingegebene Kennwort lesen können.

11.

Aktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern.

Was geschieht, wenn Sie sowohl das Kontrollkästchen Benutzer muss Kenn- wort bei der nächsten Anmeldung ändern als auch das Kontrollkästchen Benutzer kann Kennwort nicht ändern aktivieren? Begründen Sie Ihre Ant- wort.

Unter welchen Umständen würden Sie bei der Erstellung eines neuen Benutzerkontos das Kontrollkästchen Konto ist deaktiviert aktivieren?

12.

Klicken Sie auf Weiter. Windows 2000 öffnet das Dialogfeld Neues Objekt – Benutzer und zeigt die Optionen und Einschränkungen an, die Sie für dieses Benutzerkonto konfiguriert haben.

13.

Stellen Sie sicher, dass die angegebenen Kontooptionen richtig sind, und klicken Sie auf Fertig stellen. Das neu erstellte Benutzerobjekt wird nun im Detailbereich der Konsole Active Directory-Benutzer und -Computer ange- zeigt.

14.

Wiederholen Sie die Schritte 4 bis 13, um die weiteren Benutzerkonten zu erstellen.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

283

von Benutzer- und Computerobjekten in Active Directory 283 Lernzielkontrolle Die folgenden Fragen dienen dazu, die

Lernzielkontrolle

Die folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektion zu vertiefen. Wenn Sie eine Frage nicht beantworten können, sollten Sie den entsprechenden Abschnitt in dieser Lektion nochmals durchgehen. Die Ant- worten zu den Fragen finden Sie in Anhang A.

1. Welche unterschiedlichen Möglichkeiten bieten lokale Benutzerkonten und Domänenbenutzerkonten dem jeweiligen Benutzer?

2. Auf welchem der folgenden Windows 2000-Computertypen können keine lokalen Benutzerkonten erstellt werden?

a. Auf einer Windows 2000 Professional-Arbeitsstation

b. Auf einem Windows 2000 Server-Domänencontroller

c. Auf einem Windows 2000 Server-Mitgliedsserver

d. Auf einem eigenständigen Windows 2000 Server-Computer

3. Welche Informationen benötigen Sie zur Erstellung eines Domänenbenutzer- kontos?

Zusammenfassung der Lektion

Es gibt zwei Arten von Benutzerkonten: lokale Benutzerkonten und Domä- nenbenutzerkonten. Benutzerkonten gestatten Benutzern den Zugriff auf lokale Computerressourcen und auf Ressourcen im Netzwerk.

Zur Erstellung eines Domänenbenutzerkontos erstellen Sie mithilfe der Kon- sole Active Directory-Benutzer und -Computer ein Benutzerobjekt in der Active Directory-Datenbank.

Unter Verwendung der Konsole Active Directory-Benutzer und -Computer können Sie die Attributwerte eines Benutzerobjekts festlegen.

Jedes Benutzerkonto weist einen vollständigen Namen, einen Benutzeranmel- denamen sowie einen Namen für die Anmeldung an Computern mit früheren Windows-Versionen auf.

Sie können durch Festlegung von Anmeldezeiten die Zeiten einschränken, in denen sich ein Benutzer am Netzwerk anmelden kann.

284 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Lektion 2: Verwalten von Benutzerkonten

Die bei der Verwaltung von Benutzerkonten anfallenden Aufgaben richten sich nach den Anforderungen einer Organisation und können über eine Änderung der Attribute eines Benutzerobjekts hinausgehen. Einige dieser Änderungen können beispielsweise durch Personalwechsel in Ihrer Organisation erforderlich werden. Zu diesen Veränderungen zählt beispielsweise das Deaktivieren, Aktivieren oder Löschen eines Benutzerkontos. Möglicherweise müssen Sie das Kennwort eines Benutzers zurücksetzen oder ein gesperrtes Benutzerkonto wieder freigeben.

Anmerkung Zur Bearbeitung eines Benutzerkontos nehmen Sie die erforderli- chen Änderungen am zugehörigen Benutzerkontenobjekt in Active Directory vor. Zur erfolgreichen Bearbeitung eines Benutzerkontos benötigen Sie geeignete Berechtigungen. Diese können entweder direkt zugewiesen oder geerbt worden sein. Weitere Informationen zu Active Directory-Objektberechtigungen finden Sie in Lektion 1 von Kapitel 12, „Verwalten von Active Directory“.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:

Deaktivieren, Aktivieren, Umbenennen und Löschen von Benutzerkonten

Zurücksetzen von Benutzerkennwörtern

Entsperren von Benutzerkonten

Veranschlagte Zeit für diese Lektion: 15 Minuten

Deaktivieren, Aktivieren, Umbenennen und Löschen von Benutzerkonten

Folgende Änderungen an einem Benutzerkonto wirken sich auf dessen Funktionalität aus:

Deaktivieren und Aktivieren eines Benutzerkontos Wenn ein Benutzer sein Konto für längere Zeit nicht benötigt, anschließend jedoch weiter ver- wenden möchte, können Sie das Konto deaktivieren. Wenn John beispiels- weise für zwei Monate in Urlaub geht, deaktivieren Sie sein Benutzerkonto für diese Zeit. Nach seiner Rückkehr reaktivieren Sie sein Benutzerkonto, sodass er sich wieder am Netzwerk anmelden kann. Auf diese Weise werden unbefugte Benutzer daran gehindert, während der Abwesenheit von John dessen Konto zu benutzen.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

285

Umbenennen eines Benutzerkontos Sie benennen ein Benutzerkonto um, wenn Sie sämtliche Rechte, Berechtigungen und Gruppenmitgliedschaften des Kontos aufrechterhalten möchten, das Konto jedoch von einem anderen Be- nutzer verwendet werden soll. Eine Umbenennung kann auch erfolgen, wenn sich der Name eines Mitarbeiters geändert hat. Wenn beispielsweise ein Mit- arbeiter das Unternehmen verlässt und ein neuer Mitarbeiter den Aufgaben- bereich des ausgeschiedenen Mitarbeiters übernimmt, können Sie einfach Vorname, Nachname und Anmeldename des alten Benutzerkontos ändern, statt ein komplett neues Benutzerkonto zu erstellen.

Löschen eines Benutzerkontos Löschen Sie Benutzerkonten, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet und Sie das Konto nicht länger verwenden möchten. Durch das Löschen solcher Benutzerkonten minimieren Sie das Risiko, das durch nicht genutzte Konten im Active Directory-Dienst entsteht.

Die Vorgehensweise zum Deaktivieren, Aktivieren, Umbenennen und Löschen von Benutzerkonten ist weitgehend identisch. Führen Sie zum Deaktivieren, Aktivieren, Umbenennen oder Löschen eines Benutzerkontos folgende Schritte durch:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

2. Erweitern Sie die Konsolenstruktur, bis das zu bearbeitende Benutzerkonto angezeigt wird.

3. Klicken Sie auf das Benutzerkonto.

4. Wählen Sie im Menü Vorgang den entsprechenden Befehl für die vorzuneh- mende Änderung, wie dargestellt in Abbildung 7.11.

286 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

2000-Netzwerkumgebung – Original Microsoft Training Abbildung 7.11 Deaktivieren, Aktivieren, Löschen oder

Abbildung 7.11 Deaktivieren, Aktivieren, Löschen oder Umbenennen von Benutzerkonten

Anmerkung Wenn ein Benutzerkonto aktiviert ist, zeigt das Menü Vorgang den Befehl Konto deaktivieren an. Ist ein Benutzerkonto deaktiviert, steht im Menü Vorgang der Befehl Konto aktivieren zur Verfügung.

Zurücksetzen von Kennwörtern und Freigeben von Benutzerkonten

Wenn ein Benutzer sich aufgrund eines Kennwortproblems nicht an der Domäne oder einem lokalen Computer anmelden kann, müssen Sie ggf. das Kennwort des Benutzers zurücksetzen und das Konto des Benutzers entsperren. Für diese Auf- gaben benötigen Sie Administratorrechte für das Active Directory-Objekt, in dem das Kontenobjekt gespeichert ist.

Zurücksetzen von Kennwörtern

Es besteht keine Möglichkeit – weder für die Administratoren noch für die Benutzer –, das für ein Benutzerkonto festgelegte Kennwort auf dem Computer anzuzeigen. Auf diese Weise wird verhindert, dass andere Benutzer (einschließ-

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

287

lich der Administratoren) in den Besitz der Kennwörter für Benutzerkonten ge- langen. Lägen Kennwörter in einem lesbaren Format vor, könnte eine Person mit Administratorrechten sich jederzeit unter Verwendung eines Benutzerkennwortes als dieser Benutzer anmelden.

Es kann jedoch vorkommen, dass ein Administrator ein Kennwort zurücksetzen muss. Falls Sie beispielsweise mithilfe einer Kennwortrichtlinie festgelegt haben, dass die Benutzer ihre Kennwörter in regelmäßigen Abständen neu festlegen müssen und ein Benutzer diese Kennwortänderung innerhalb einer bestimmten Zeitspanne nicht vornimmt, kann dies dazu führen, dass der Benutzer sich nicht mehr an seinem/ihrem Computer anmelden kann. Benutzer vergessen darüber hinaus gelegentlich ihre Kennwörter, besonders dann, wenn die Kennwörter durch den Administrator vergeben werden oder regelmäßig geändert werden müssen. In beiden Fällen kann ein Benutzer mit Administratorrechten das Be- nutzerkennwort zurücksetzen, ohne das aktuelle oder abgelaufende Kennwort zu kennen.

Gehen Sie zum Zurücksetzen eines Benutzerkennwortes folgendermaßen vor:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

2. Erweitern Sie die Konsolenstruktur, bis das zu bearbeitende Benutzerkonto angezeigt wird.

3. Markieren Sie das Benutzerkonto.

4. Klicken Sie im Menü Vorgang auf Kennwort zurücksetzen, um das Dialog- feld Kennwort zurücksetzen zu öffnen (siehe Abbildung 7.12).

Kennwort zurücksetzen zu öffnen (siehe Abbildung 7.12). Abbildung 7.12 Das Dialogfeld „Kennwort zurücksetzen“

Abbildung 7.12 Das Dialogfeld „Kennwort zurücksetzen“

5. Geben Sie im Feld Neues Kennwort ein neues Benutzerkennwort ein, und bestätigen Sie das Kennwort durch erneute Eingabe im Feld Kennwort- bestätigung.

6. Aktivieren Sie das Kontrollkästchen Benutzer muss das Kennwort bei der nächsten Anmeldung ändern, um die Festlegung eines neuen Kennwortes durch den Benutzer zu erzwingen.

7. Klicken Sie auf OK.

288 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Entsperren von Benutzerkonten

In vielen Windows 2000-Netzwerken werden Gruppenrichtlinien zur Umsetzung von Kennworteinschränkungen eingesetzt, mit denen beispielsweise die Anzahl der erlaubten fehlgeschlagenen Anmeldeversuche für ein Benutzerkonto festge- legt werden. Gibt ein Benutzer (autorisiert oder nicht) wiederholt ein falsches Kennwort ein, sperrt Windows 2000 das Konto und verhindert weitere Anmelde- versuche. Mithilfe einer Richtlinie können Sie festlegen, ob das Konto in einem solchen Fall für einen bestimmten Zeitraum gesperrt werden soll oder ob das Konto dauerhaft gesperrt wird und nur durch einen Administrator wieder ent- sperrt werden kann.

Anmerkung Weitere Informationen zum Einsatz von Gruppenrichtlinien finden Sie in Kapitel 9, „Einsatz von Gruppenrichtlinien“.

Sie in Kapitel 9, „Einsatz von Gruppenrichtlinien“. Gehen Sie zum Entsperren eines Benutzerkontos

Gehen Sie zum Entsperren eines Benutzerkontos folgendermaßen vor:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

2. Erweitern Sie die Konsolenstruktur, bis das zu bearbeitende Benutzerkonto angezeigt wird. Gesperrte Benutzerkonten werden mit einem roten X gekenn- zeichnet.

3. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, und klicken Sie im angezeigten Kontextmenü auf die Option Eigenschaften.

4. Klicken Sie auf die Registerkarte Konto. Beachten Sie, dass das Kontroll- kästchen Konto ist gesperrt aktiviert ist.

5. Deaktivieren Sie das Kontrollkästchen, und klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen.

Übung 7.2: Deaktivieren und Aktivieren eines Benutzerkontos

In dieser Übung deaktivieren Sie ein Benutzerkonto, damit dieses nicht länger zur Domänenanmeldung verwendet werden kann. Anschließend aktivieren Sie das Konto wieder.

Teilübung 1: Deaktivieren eines Benutzerkontos

Gehen Sie zur Deaktivierung eines Benutzerkontos folgendermaßen vor:

1. Melden Sie sich an Ihrer Domäne als Administrator an.

2. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

3. Klicken Sie in der Active Directory-Struktur auf den Ordner Users.

4. Klicken Sie mit der rechten Maustaste auf das in Übung 7.1 erstellte Benut- zerobjekt Jo Berry, und klicken Sie anschließend auf Konto deaktivieren.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

289

Sie werden in einer Active Directory-Meldung darüber informiert, dass das Objekt Jo Berry deaktiviert wurde. Das Benutzerobjekt wird nun mit einem roten X angezeigt.

5. Klicken Sie auf OK, um das Meldungsfeld zu schließen.

6. Klicken Sie im Detailbereich der Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf das soeben deaktivierte Benutzer- konto, um das Kontextmenü anzuzeigen. Woran erkennen Sie, dass das Be- nutzerkonto deaktiviert ist?

7. Melden Sie sich von Windows 2000 ab.

8. Versuchen Sie, sich mit dem Konto von Jo Berry anzumelden. Der Anmelde- name für dieses Konto lautet jberry, das Kennwort lautet gobloots. Konnten Sie sich anmelden? Begründen Sie Ihre Antwort.

Teilübung 2: Aktivieren eines Benutzerkontos

Gehen Sie zur Aktivierung eines Benutzerkontos folgendermaßen vor:

1. Melden Sie sich an Ihrer Domäne als Administrator an.

2. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

3. Klicken Sie in der Active Directory-Struktur auf den Ordner Users.

4. Klicken Sie mit der rechten Maustaste auf das Benutzerobjekt Jo Berry, und klicken Sie anschließend auf Konto aktivieren. Sie werden in einer Active Directory-Meldung darüber informiert, dass das Objekt Jo Berry aktiviert wurde. Das rote X auf dem Benutzerobjekt wird nun nicht länger angezeigt.

5. Klicken Sie auf OK, um das Meldungsfeld zu schließen.

6. Klicken Sie im Detailbereich der Konsole Active Directory-Benutzer und -Computer mit der rechten Maustaste auf das soeben aktivierte Benutzer- konto, um das Kontextmenü anzuzeigen. Woran erkennen Sie, dass das Benutzerkonto aktiviert ist?

7. Melden Sie sich von Windows 2000 ab.

8. Versuchen Sie, sich mit dem Konto von Jo Berry anzumelden. Der Anmelde- name für dieses Konto lautet jberry, das Kennwort lautet gobloots. Konnten Sie sich anmelden? Begründen Sie Ihre Antwort.

290 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Teilübung 3: Zurücksetzen des Kennwortes für ein Benutzerkonto

Gehen Sie zum Zurücksetzen des Kennwortes für ein Benutzerkonto folgender- maßen vor:

1. Melden Sie sich an Ihrer Domäne als Administrator an.

2. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

3. Klicken Sie in der Active Directory-Struktur auf den Ordner Users.

4. Klicken Sie mit der rechten Maustaste auf das Benutzerobjekt Jo Berry, und klicken Sie anschließend auf Kennwort zurücksetzen. Das Dialogfeld Kennwort zurücksetzen wird angezeigt, und Sie werden aufgefordert, ein neues Kennwort für dieses Benutzerkonto festzulegen. Beachten Sie, dass das aktuelle Kennwort nicht sichtbar ist, obwohl Sie als Administrator angemeldet sind.

5. Geben Sie in die Felder Neues Kennwort und Kennwortbestätigung die Zeichenfolge babaloo ein, und aktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern.

6. Klicken Sie auf OK. Sie werden in einer Active Directory-Meldung darüber informiert, dass das Kennwort erfolgreich geändert wurde.

7. Klicken Sie auf OK, um das Meldungsfeld zu schließen.

8. Melden Sie sich von Windows 2000 ab.

9. Versuchen Sie, sich mit dem Konto von Jo Berry anzumelden. Verwenden Sie hierbei den Anmeldenamen jberry und das ursprüngliche Kennwort gobloots. Konnten Sie sich anmelden? Begründen Sie Ihre Antwort.

10. Versuchen Sie erneut, sich mit dem Benutzeranmeldenamen jberry anzumel- den, verwenden Sie jetzt jedoch das neue Kennwort babaloo. Konnten Sie sich anmelden? Begründen Sie Ihre Antwort.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

291

von Benutzer- und Computerobjekten in Active Directory 291 Lernzielkontrolle Die folgenden Fragen dienen dazu, die

Lernzielkontrolle

Die folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektion zu vertiefen. Wenn Sie eine Frage nicht beantworten können, sollten Sie den entsprechenden Abschnitt in dieser Lektion nochmals durchgehen. Die Ant- worten zu den Fragen finden Sie in Anhang A.

1. Aus welchen Gründen würden Sie ein Benutzerkonto umbenennen? Welche Vorteile bietet das Umbenennen eines Benutzerkontos?

2. Wie wird in Active Directory verhindert, dass Benutzer in den Besitz der Kennwörter anderer Benutzer gelangen?

3. Woran erkennen Sie, dass ein Benutzerkonto deaktiviert ist?

Zusammenfassung der Lektion

Mithilfe der Konsole Active Directory-Benutzer und -Computer können Sie Benutzerobjekte deaktivieren, erneut aktivieren, umbenennen und lö- schen.

Das Deaktivieren eines Benutzerkontos hindert den Benutzer an der Anmel- dung, sämtliche Kontoinformationen bleiben jedoch erhalten.

Administratoren können das Kennwort für ein Benutzerobjekt zurücksetzen, indem sie ein neues Kennwort festlegen. Die Anzeige vorhandener Kennwör- ter ist nicht möglich.

Benutzerobjekte können aufgrund von Gruppenrichtlinien gesperrt werden; die Entsperrung eines Benutzerkontos erfolgt durch den Netzwerkadminist- rator.

Sie können Benutzerobjekte umbenennen, um Namensänderungen gerecht zu werden oder um neuen Mitarbeitern die Verwendung bereits vorhandener Benutzerkonten zu ermöglichen.

292 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Lektion 3: Erstellen von Benutzerprofilen

Ein Benutzerprofil ist eine Sammlung von Ordnern und Daten, in denen die ge- genwärtige Desktopumgebung, die Anwendungseinstellungen und persönlichen Daten des Benutzers gespeichert sind. Ein Benutzerprofil enthält darüber hinaus sämtliche Startmenüelemente und alle vom Benutzer eingerichteten Netzlauf- werkzuordnungen. Benutzerprofile sorgen dafür, dass der Benutzer bei jeder Anmeldung am Computer immer die Desktopumgebung vorfindet, die bei der letzten Abmeldung eingestellt war. Als Basisordner werden auf Netzwerkservern gespeicherte Ordner bezeichnet, die einem bestimmten Benutzer zugeordnet sind und zur Speicherung persönlicher Daten eingesetzt werden können. In dieser Lektion erhalten Sie eine Einführung in den Einsatz von Benutzerprofilen und Basisordnern und erfahren, worin der Unterschied zwischen lokalen Benutzer- profilen, servergespeicherten Benutzerprofilen und verbindlichen Benutzer- profilen besteht. Darüber hinaus lernen Sie, wie Basisordner erstellt und verwendet werden.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:

Erläutern des Unterschieds zwischen lokalen Benutzerprofilen, server- gespeicherten Benutzerprofilen und verbindlichen Benutzerprofilen

Konfigurieren eines lokalen Benutzerprofils

Erstellen eines servergespeicherten Benutzerprofils

Erstellen eines verbindlichen Benutzerprofils

Verwalten von Basisordnern

Veranschlagte Zeit für diese Lektion: 45 Minuten

Grundlegendes zu Benutzerprofilen

Auf einem Windows 2000-Computer dienen Benutzerprofile der automatischen Erstellung und Verwaltung der Desktopeinstellungen für die Arbeitsumgebung der einzelnen Benutzer. Für jeden Benutzer, der sich zum ersten Mal an einem Computer anmeldet, wird ein neues Benutzerprofil erstellt. Benutzerprofile bie- ten dem Benutzer verschiedene Vorteile:

Mehrere Benutzer können am selben Computer arbeiten, behalten jedoch ihre eigenen Desktopeinstellungen bei (diese werden bei der Anmeldung geladen).

Wenn sich die Benutzer an ihren Arbeitsstationen anmelden, werden immer

die Desktopeinstellungen geladen, die bei der letzten Abmeldung aktiv waren. Die Anpassung der Desktopumgebung durch einen Benutzer wirkt sich nicht auf die Einstellungen anderer Benutzer aus.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

293

Benutzerprofile können auf einem Server gespeichert werden, damit der Benutzer die Einstellungen an jeden Windows 2000- oder Windows NT 4.0- Computer im Netzwerk „mitnehmen“ kann. Diese Profile werden als server- gespeicherte Benutzerprofile bezeichnet.

Windows 2000-zertifizierte Anwendungen speichern ihre Einstellungen ebenfalls in Benutzerprofilen.

Als Verwaltungstool bieten Benutzerprofile folgende Optionen:

Sie können ein standardmäßiges Benutzerprofil erstellen, das für sämtliche Benutzeraufgaben geeignet ist.

Sie können ein verbindliches Benutzerprofil einrichten. Bei dieser Art von Profil werden keine Änderungen gespeichert, die ein Benutzer an den Desk- topeinstellungen vornimmt. Benutzer können die Desktopeinstellungen für die Dauer der Anmeldung ändern, diese Änderungen werden bei der Abmeldung jedoch nicht gespeichert. Die Einstellungen eines verbindlichen Profils werden bei jeder Benutzeranmeldung auf den lokalen Computer heruntergeladen.

Sie können Standardbenutzereinstellungen festlegen, die in alle Benutzer- profile aufgenommen werden.

Profiltypen

Unter Windows 2000 stehen folgende drei Profiltypen zur Verfügung:

Lokales Benutzerprofil Ein Benutzerprofil, das bei der ersten Benutzer- anmeldung automatisch auf einem Windows 2000-Computer erstellt wird. Das lokale Benutzerprofil wird auf der lokalen Festplatte gespeichert. Jegli- che Änderungen, die Sie an einem lokalen Benutzerprofil vornehmen, sind spezifisch für den Computer, an dem die Änderungen vorgenommen wurden.

Servergespeichertes Benutzerprofil Eine Kopie des lokalen Benutzerprofils, das der Netzwerkadministrator auf einem freigegebenen Serverlaufwerk spei- chern kann. Während Sie angemeldet sind, funktioniert das servergespeicherte Benutzerprofil genau wie ein lokales Profil. Da das servergespeicherte Profil jedoch auf einem Server gespeichert wird, steht es auch bei der Anmeldung an einem anderen Netzwerkcomputer zur Verfügung. Sämtliche Änderungen, die Sie an Ihrer Desktopumgebung vornehmen, werden bei der Abmeldung von einem Computer im servergespeicherten Benutzerprofil repliziert.

Verbindliches Benutzerprofil Ein servergespeichertes Profil, das ein Benut- zer nicht ändern kann. Administratoren können verbindliche Benutzerprofile zur Erzwingung bestimmter Desktopeinstellungen für einzelne Benutzer oder Benutzergruppen verwenden. Obwohl die Benutzer während der Dauer der Anmeldung Änderungen an den Desktopeinstellungen vornehmen können, werden diese bei der Abmeldung nicht in das verbindliche Profil geschrieben. Bei der nächsten Anmeldung werden dieselben Desktopeinstellungen geladen wie bei der letzten Anmeldung. Verbindliche Benutzerprofile können aus- schließlich vom Systemadministrator geändert werden.

294 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

In einem Benutzerprofil gespeicherte Einstellungen

Ein Benutzerprofil enthält sämtliche von einem Benutzer eingestellten Konfigu- rationsoptionen und bietet damit einen Snapshot der Desktopumgebung eines Benutzers. In Tabelle 7.1 werden die in einem Benutzerprofil enthaltenen Einstel- lungen aufgelistet.

Tabelle 7.1 Die in einem Benutzerprofil gespeicherten Einstellungen

Gespeicherte Parameter

Quelle

Alle durch den Benutzer definierbaren Windows Explorer-Einstellungen

Windows Explorer

Vom Benutzer gespeicherte Dokumente

Eigene Dateien

Vom Benutzer gespeicherte Bilddateien

Eigene Bilder

Verknüpfungen zu bevorzugten Internetseiten

Favoriten

Durch den Benutzer erstellte Netzlaufwerkzuordnungen

Verbundenes Netzlaufwerk

Verbindungen zu anderen Computern im Netzwerk

Netzwerkumgebung

Auf dem Desktop gespeicherte Elemente und Verknüpfungen

Desktopinhalte

Alle durch den Benutzer definierbaren Bildschirm- farben und Textanzeigeeinstellungen

Bildschirmfarben und -schriften

Anwendungsdaten und benutzerdefinierte

Anwendungsdaten und

Konfigurationseinstellungen Registrierungsstruktur

Netzwerkdruckerverbindungen Druckereinstellungen

Alle benutzerdefinierten Einstellungen in der Systemsteuerung

Systemsteuerung

Alle benutzerspezifischen Programmeinstellungen, die sich auf die Windows-Umgebung auswirken, z. B. Rechner, Uhr, Editor und Paint

Zubehör

Benutzerspezifische Programmeinstellungen für Programme, die speziell für Windows 2000 entwickelt und zur Verfolgung der Programmeinstellungen entworfen wurden

Windows 2000-basierte Programme

Favoriten im Windows 2000-Hilfesystem

Lesezeichen, die während Onlinebenutzerschulungen erstellt wurden

Inhalte eines Benutzerprofils

Lokale Benutzerprofile werden standardmäßig auf dem Systemlaufwerk (in der Regel C:\) im Ordner Dokumente und Einstellungen gespeichert. Meldet sich ein Benutzer zum ersten Mal an, erstellt Windows 2000 einen Unterordner im Verzeichnis Dokumente und Einstellungen und benennt diesen nach dem Benutzeranmeldenamen und einem neuen Benutzerprofil. Servergespeicherte Benutzerprofile werden in einem freigegebenen Ordner auf dem Server gespei- chert. Abbildung 7.13 zeigt die Verzeichnisstruktur eines Benutzerprofils.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

295

von Benutzer- und Computerobjekten in Active Directory 295 Abbildung 7.13 Verzeichnisstruktur eines Benutzerprofils Die

Abbildung 7.13 Verzeichnisstruktur eines Benutzerprofils

Die Ordner in einem Benutzerprofil erfüllen folgende Funktionen:

\Anwendungsdaten (versteckt) Enthält programmspezifische Daten, z. B. ein benutzerdefiniertes Wörterbuch. Die jeweiligen Anwendungsanbieter legen fest, welche Daten in diesem Ordner gespeichert werden.

\Cookies Enthält Benutzerinformationen und bevorzugte Einstellungen für den Microsoft Internet Explorer.

\Desktop Enthält Desktopsymbole sowie Verknüpfungen zu Dateien und Ordnern.

\Favoriten Enthält Verknüpfungen zu bevorzugten Internetseiten.

\Lokale Einstellungen (versteckt) Enthält die Ordner Anwendungsdaten und Verlauf sowie zusätzliche Ordner zur Speicherung temporärer Dateien.

\Eigene Dokumente Enthält vom Benutzer gespeicherte Dokumente.

\Eigene Bilder (Unterordner von Eigene Dokumente) Enthält vom Benutzer gespeicherte Bilddateien.

\Netzwerkumgebung (versteckt) Enthält Verknüpfungen zu den Elementen unter Netzwerkumgebung.

\Druckumgebung (versteckt) Enthält Verknüpfungen zu Druckerordner- elementen.

\Recent (versteckt) Enthält Verknüpfungen zu den zuletzt verwendeten Dokumenten und zu den Ordnern, auf die zuletzt zugegriffen wurde.

\SendTo (versteckt) Enthält Verknüpfungen zu Dienstprogrammen für die Dokumentverarbeitung.

\Startmenü Enthält Verknüpfungen zu Programmelementen und anderen Dateien, die das Startmenü bilden.

\Vorlagen Enthält Benutzervorlagenelemente.

296 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Neben diesen Ordnern enthält ein Benutzerprofil außerdem eine Kopie der Datei Ntuser.dat. Hierbei handelt es sich um eine Windows 2000-Registrierungsdatei zur Speicherung benutzerspezifischer Einstellungen. Diese Einstellungen legen viele der in der Systemsteuerung konfigurierten Optionen fest.

Einsatz von lokalen Benutzerprofilen

Der Einsatz von lokalen Benutzerprofilen auf einem Windows 2000-Computer erfolgt für den durchschnittlichen Benutzer vollkommen transparent. Das Be- triebssystem erstellt das Benutzerprofil automatisch, sobald sich ein Benutzer das erste Mal an einem Computer anmeldet. Meldet sich der Benutzer zu einem späteren Zeitpunkt erneut an, lädt Windows 2000 die Einstellungen aus dem zu- gehörigen Benutzerprofil.

Sobald die Benutzer Änderungen an ihrer Desktopumgebung vornehmen, wird für den Benutzer unmerklich auch das lokale Benutzerprofil entsprechend ange- passt. Bei diesen Änderungen durch den Benutzer kann es sich beispielsweise um eine neue Netzwerkverbindung, eine Änderung des Desktophintergrunds oder das Hinzufügen einer Datei zum Ordner Eigene Dokumente handeln. Ändert der Benutzer während der Dauer einer Anmeldesitzung seine Desktopumgebung, speichert Windows 2000 diese Änderungen bei der Benutzerabmeldung im lokal gespeicherten Benutzerprofil. Auf diese Weise findet ein Benutzer auf einem Windows 2000-Computer immer die Desktopeinstellung vor, die bei der letzten Abmeldung von diesem Computer aktiv waren. Verwenden mehrere Benutzer gemeinsam einen Computer, wird für jeden dieser Benutzer ein eigenes Profil gespeichert.

Einsatz servergespeicherter Benutzerprofile

Zur Unterstützung von Benutzern, die mehrere Computer verwenden, können Sie servergespeicherte Benutzerprofile einrichten. Ein servergespeichertes Benutzer- profil ist einfach eine Kopie des lokal gespeicherten Benutzerprofils, die auf ei- nem Netzwerkserver gespeichert wird, damit der Benutzer von jedem Computer eines Netzwerks aus auf das Profil zugreifen kann. Unabhängig davon, an wel- chem Netzwerkcomputer sich ein Benutzer anmeldet, findet er/sie immer die Desktopeinstellungen vor, die im servergespeicherten Profil gespeichert wurden.

Bei der Benutzeranmeldung an einem Computer kopiert Windows 2000 das servergespeicherte Benutzerprofil vom Netzwerkserver in den entsprechenden Unterordner im Verzeichnis Dokumente und Einstellungen auf dem lokalen Computer und wendet anschließend die im Profil gespeicherten Einstellungen auf den Clientcomputer an. Bei der ersten Anmeldung an einem Computer kopiert Windows 2000 alle im Profil gespeicherten Dokumentdateien auf den lokalen Computer. Dies ermöglicht eine erfolgreiche Anmeldung am Computer und führt dazu, dass der Benutzer selbst dann mit einer Kopie des Profils arbeiten kann, wenn die Verbindung zum Netzwerk unterbrochen wird.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

297

Meldet sich ein Benutzer erneut am selben Computer an, vergleicht Windows 2000 zunächst die lokal und auf dem Server gespeicherten Benutzer- profildateien miteinander. Anschließend werden nur die Dateien auf den lokalen Computer kopiert, die sich seit der letzten Anmeldung geändert haben. Dies ver- kürzt den Anmeldevorgang und macht ihn effizienter.

Bei der Abmeldung eines Benutzers kopiert Windows 2000 die an der lokalen Kopie des servergespeicherten Benutzerprofils vorgenommenen Änderungen zurück auf den Server, auf dem das Profil gespeichert ist.

Erstellen von servergespeicherten Benutzerprofilen

Sie sollten servergespeicherte Benutzerprofile auf einem Dateiserver erstellen, den Sie häufig sichern, sodass Sie stets über Kopien der aktuellsten serverge- speicherten Benutzerprofile verfügen. Zur Verbesserung der Anmeldeleistung in einem Netzwerk mit hohem Datenaufkommen sollten Sie das servergespeicherte Benutzerprofil nicht auf einem Domänencontroller, sondern auf einem Mitglieds- server speichern. Das Kopieren der servergespeicherten Benutzerprofile zwi- schen den Server- und Clientcomputern kann erhebliche Systemressourcen wie z. B. Bandbreite und Prozessorzeit beanspruchen. Befinden sich die Profile auf einem Domänencontroller, kann es zu Verzögerungen bei den Authentifizierungs- prozessen kommen.

Anmerkung Zur erfolgreichen Erstellung eines servergespeicherten Benutzer- profils mit anschließender Zuweisung eines Basisordners für den Benutzer müssen Sie über Berechtigungen zur Verwaltung der Benutzerobjekte verfügen, in denen sich die Benutzerkonten befinden.

Gehen Sie zur Erstellung eines servergespeicherten Benutzerprofils folgendermaßen vor:

1. Erstellen Sie auf dem Server, auf dem das Profil gespeichert werden soll, eine Ordnerfreigabe. Erteilen Sie den Benutzern für diesen freigegebenen Ordner Lese- und Schreibberechtigungen.

2. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

3. Zeigen Sie das Benutzerobjekt an, für das Sie ein servergespeichertes Profil erstellen möchten.

4. Klicken Sie mit der rechten Maustaste auf das Benutzerobjekt, und klicken Sie im angezeigten Kontextmenü auf Eigenschaften, um das Eigenschaften- dialogfeld für das Benutzerobjekt anzuzeigen.

5. Klicken Sie auf die Registerkarte Profil, wie dargestellt in Abbildung 7.14.

298 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

2000-Netzwerkumgebung – Original Microsoft Training Abbildung 7.14 Die Registerkarte „Profil“ des

Abbildung 7.14 Die Registerkarte „Profil“ des Eigenschaftendialogfeldes für ein Benutzerobjekt

6. Geben Sie im Feld Profilpfad den Pfad zu der zuvor erstellten Ordnerfrei- gabe ein. Verwenden Sie bei der Eingabe des Pfades die UNC-Notation (Universal Naming Convention), z. B. \\Servername\Name_Ordnerfreigabe\ Anmeldename. Sie können anstelle des Benutzernamens auch die Variable %username% verwenden. Bei Verwendung dieser Variable ersetzt Windows 2000 die Variable automatisch durch den Namen des Benutzer- kontos für das servergespeicherte Benutzerprofil. Diese Vorgehensweise ist besonders bei der Verwendung von Vorlagenkonten zu empfehlen.

7. Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen.

Einsatz eines servergespeicherten Standardbenutzerprofils

Einige Benutzer benötigen möglicherweise kein auf sie zugeschnittenes Benut- zerprofil. In einigen Netzwerken wird daher ein so genanntes servergespeichertes Standardbenutzerprofil eingesetzt, bei denen es sich um ein einziges serverge- speichertes Benutzerprofil handelt, das von mehreren Benutzern gemeinsam genutzt wird. Sie können ein servergespeichertes Standardbenutzerprofil für eine Gruppe von Benutzern erstellen, indem Sie die gewünschten Desktopein- stellungen konfigurieren und das Standardprofil anschließend an den Speicherort für das servergespeicherte Benutzerprofil verschieben.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

299

Servergespeicherte Standardbenutzerprofile werden aus folgenden Gründen ver- wendet:

Sie können eine Standarddesktopumgebung für Benutzer bereitstellen, die ähnliche Aufgaben ausführen oder auf dieselben Netzwerkressourcen zugrei- fen müssen.

Sie können eine an den Aufgabenbereich eines Benutzers angepasste Arbeits- umgebung einrichten, die ausschließlich die benötigten Tools enthält. Nicht erforderliche Verbindungen und Anwendungen werden entfernt.

Sie können die Problembehandlung vereinfachen. Bei Einsatz eines Standard- profils kennen die Mitarbeiter des technischen Supports die Grundkonfigu- ration eines Computers, wodurch sich Abweichungen besser ermitteln lassen.

Erstellen eines servergespeicherten Standardbenutzerprofils

Nachfolgend werden die Schritte aufgeführt, die Sie zur Implementierung eines servergespeicherten Standardbenutzerprofils für eine Gruppe von Benutzern ausführen müssen.

1. Erstellen Sie ein Benutzerprofilvorlage mit der gewünschten Konfiguration. Erstellen Sie hierzu mithilfe der Konsole Active Directory-Benutzer und -Computer ein Benutzerkonto, und konfigurieren Sie anschließend geeignete Desktopeinstellungen.

2. Erstellen Sie einen freigegebenen Ordner auf dem Server, der zur Speicherung des servergespeicherten Standardprofils eingesetzt werden soll.

3. Öffnen Sie das Dialogfeld Systemeigenschaften, und klicken Sie auf die Registerkarte Benutzerprofile, wie dargestellt in Abbildung 7.15. Kopieren Sie die Benutzerprofilvorlage in die erstellte Ordnerfreigabe, und geben Sie an, welche Benutzer das Profil verwenden dürfen.

4. Geben Sie für jeden Benutzer mit Zugriff auf das servergespeicherte Stan- dardbenutzerprofil auf der Registerkarte Profil im Eigenschaftendialogfeld des Benutzerobjekts den Pfad zu dieser Profilvorlage ein.

300 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

2000-Netzwerkumgebung – Original Microsoft Training Abbildung 7.15 Kopieren einer Benutzerprofilvorlage Einsatz

Abbildung 7.15 Kopieren einer Benutzerprofilvorlage

Einsatz von verbindlichen Profilen

Ein schreibgeschütztes servergespeichertes Benutzerprofil wird als verbindliches Benutzerprofil bezeichnet. Benutzer können die Desktopeinstellungen während der Dauer einer Anmeldung ändern, diese Änderungen werden bei der Abmel- dung jedoch nicht gespeichert. Bei der nächsten Anmeldung findet der Benut- zer die Desktopeinstellungen vor, die bei der letzten Anmeldung aktiv waren. Windows 2000 lädt die Einstellungen eines verbindlichen Profils bei jeder Benutzeranmeldung auf den lokalen Computer herunter. Sie können verbindli- chen Benutzerprofile für Benutzer verwenden, die gleiche Desktopeinstellungen benötigen, z. B. einer Gruppe von Benutzern mit gleichem Aufgabenbereich. Ein verbindliches Profil kann nicht geändert werden, Sie brauchen sich also keine Sorgen darüber zu machen, dass ein Benutzer Änderungen vornimmt, die sich auf alle anderen Benutzer auswirken. Darüber hinaus können Sie mithilfe eines verbindlichen Profils die Desktopumgebung mehrerer Benutzer über ein einziges Profil festlegen.

Zur Erstellung eines verbindlichen Benutzerprofils benennen Sie die Datei Ntuser.dat im Ordner mit dem Benutzerprofil in Ntuser.man um. Die Datei Ntuser.dat enthält die Windows 2000-Registrierungseinstellungen, die für das individuelle Benutzerkonto gelten. Sie enthält die benutzerspezifischen Umge- bungseinstellungen, beispielsweise die Einstellungen für das festgelegte Desk- topaussehen. Nach der Umbenennung dieser Datei in Ntuser.man ist die Datei schreibgeschützt. Auf diese Weise wird Windows 2000 daran gehindert, vorge- nommene Änderungen bei der Benutzerabmeldung in das Profil zu schreiben.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

301

Erstellen von Basisordnern

Standardmäßig erstellt Windows 2000 den Ordner Eigene Dateien, in dem die Benutzer ihre persönlichen Dokumente speichern können. Darüber hinaus stellt Windows 2000 jedoch einen weiteren Speicherort zur Verfügung. Dieser zusätzliche Speicherort ist der Basisordner des Benutzers. Ein Basisordner ist ein zusätzlicher Ordner, in dem die Benutzer persönliche Dokumente speichern kön- nen. Sie können Basisordner entweder auf einem Clientcomputer oder in einem gemeinsamen Verzeichnis auf dem Dateiserver speichern. Da ein Basisordner keinen Bestandteil eines servergespeicherten Benutzerprofils darstellt, wirkt sich die Größe eines Basisordners nicht auf den Netzwerkdatenverkehr bei Anmelde- vorgängen aus. Sie können die Basisordner aller Benutzer in einem zentralen Verzeichnis auf dem Netzwerkserver speichern.

Die zentrale Speicherung aller Basisordner auf einem Dateiserver bietet folgende Vorteile:

Benutzer können von jedem Clientcomputer im Netzwerk auf ihre Basis- ordner zugreifen.

Die Sicherung und Verwaltung von Benutzerdokumenten erfolgt an zentraler Stelle.

Auf die Basisordner kann von einem beliebigen Clientcomputer mit einem Microsoft-Betriebssystem zugegriffen werden.

Anmerkung Sie sollten die Basisordner auf einem NTFS-Datenträger speichern, um Benutzerdokumente mithilfe von NTFS-Berechtigungen schützen zu können. Wenn Sie die Basisordner auf einem FAT-Datenträger speichern, können Sie den Zugriff auf die Basisordner nur über die Berechtigungen für freigegebene Ordner einschränken.

Erstellen von Basisordnern auf einem Server

Zur erfolgreichen Erstellung von Basisordnern müssen Sie über die Berechtigung zum Ändern der Objekte verfügen, in denen sich die Benutzerkonten befinden.

Gehen Sie zur Erstellung eines Basisordners auf einem Netzwerkdateiserver folgendermaßen vor:

1. Erstellen Sie einen Ordner für die Speicherung aller Basisordner auf einem Netzwerkdateiserver, und geben Sie den Ordner anschließend frei. Die Basis- ordner der einzelnen Benutzer werden als Unterordner dieser Ordnerfreigabe erstellt.

2. Löschen Sie für die erstellte Ordnerfreigabe die Berechtigung Vollzugriff aus der Gruppe Jeder, und weisen Sie diese Berechtigung der Gruppe Benutzer zu. Auf diese Wiese stellen Sie sicher, dass nur Benutzer mit Domänenbenutz- erkonten auf den freigegebenen Ordner zugreifen können.

302 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

3. Geben Sie für jedes Benutzerobjekt auf der Registerkarte Profil im Eigen- schaftendialogfeld (siehe Abbildung 7.16) den Pfad zum jeweiligen Basis- ordner an. Der Basisordner befindet sich auf einem Netzwerkserver. Klicken Sie daher auf Verbinden von, und geben Sie den entsprechenden Laufwerk- buchstaben für die Verbindung an. Geben Sie im Feld mit den Ordnernamen im UNC-Format an, z. B. \\Servername\Name_Ordnerfreigabe\Benutzeranmeldename. Sie können für den Benutzernamen auch die Variable %username% einsetzen. Der Basis- ordner des Benutzers wird auf diese Weise automatisch nach dem Benutzeran- meldenamen benannt. Wenn Sie die Variable %username% zur Benennung eines Ordners auf einem NTFS-Datenträger verwenden, wird dem betreffen- den Benutzer die NTFS-Berechtigung Vollzugriff zugewiesen. Alle weiteren Ordnerberechtigungen werden entfernt, einschließlich der Berechtigungen für das Administratorkonto.

der Berechtigungen für das Administratorkonto. Abbildung 7.16 Angeben des Pfades zu einem Basisordner

Abbildung 7.16 Angeben des Pfades zu einem Basisordner

Abbildung 7.16 Angeben des Pfades zu einem Basisordner Übung 7.3: Verwalten von Benutzerprofilen In dieser Übung

Übung 7.3: Verwalten von Benutzerprofilen

In dieser Übung erstellen Sie einen freigegebenen Ordner zur Speicherung des servergespeicherten Standardbenutzerprofils. Sie erstellen ein Benutzerkonto unter dem Namen Profil Vorlage, das als Vorlage für ein servergespeichertes Standardbenutzerprofil dient. Anschließend konfigurieren Sie die Einstellungen für das Vorlagenprofil. Danach kopieren Sie das Benutzerprofil Profil Vorlage in den freigegebenen Ordner für Benutzer2. Abschließend geben Sie den Pfad zu

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

303

dem für Benutzer2 verwendeten Profil an. Optional können Sie anschließend das erstellte Standardprofil testen, wenn Sie Zugriff auf zwei Computer desselben Netzwerks haben.

Teilübung 1: Erstellen eines freigegebenen Ordners

Gehen Sie zur Erstellung einer Ordnerfreigabe zur Speicherung von server- gespeicherten Benutzerprofilen folgendermaßen vor:

1. Melden Sie sich als Administrator am Domänencontroller Ihrer Domäne an.

2. Erstellen Sie auf Laufwerk C: (sofern es sich bei C: um Ihr Systemlaufwerk handelt) einen Ordner namens Profile.

3. Klicken Sie mit der rechten Maustaste auf den Ordner Profile, und klicken Sie im angezeigten Kontextmenü auf Freigabe, um um die Registerkarte Freigabe im Eigenschaftendialogfeld des Ordners zu öffnen.

4. Klicken Sie auf Diesen Ordner freigeben.

5. Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen.

Teilübung 2: Erstellen einer Benutzerprofilvorlage

Gehen Sie zur Erstellung einer Benutzerprofilvorlage folgendermaßen vor:

1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.

2. Klicken Sie mit der rechten Maustaste auf den Ordner Users, zeigen Sie auf Neu, und klicken Sie auf Benutzer, um das Dialogfeld Neues Objekt – Be- nutzer zu öffnen.

3. Erstellen Sie ein neues Konto mit dem Namen pVorlage, und konfigurieren Sie folgende Eigenschaften für dieses Konto:

Vorname

Nachname

Benutzer-

Kennwort

Mitglied von

 

anmeldename

Profil

Vorlage

pVorlage

Druck-Operatoren

4. Melden Sie sich von Windows 2000 ab.

5. Melden Sie sich als Benutzer pVorlage an. Windows 2000 erstellt automa- tisch ein lokales Benutzerprofil für den Benutzer Profil Vorlage, das auf dem lokalen Computer unter C:\Dokumente und Einstellungen\pVorlage gespei- chert wird (wobei C:\ der Name Ihres Systemlaufwerks ist).

6. Klicken Sie mit der rechten Maustaste auf einen freien Bereich auf dem Desk- top, und klicken Sie auf Eigenschaften, um das Dialogfeld Eigenschaften von Anzeige zu öffnen.

7. Klicken Sie auf die Registerkarte Darstellung, und wählen Sie in der Liste Schema ein anderes Farbschema aus.

8. Klicken Sie auf OK, um die Bildschirmfarben zu ändern.

304 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

9.

Melden Sie sich von der Domäne ab, und melden Sie sich erneut als Benutzer pVorlage an. Beachten Sie, dass die Änderung der Bildschirmfarben im Benutzerprofil gespeichert wurde.

10.

Melden Sie sich von Windows 2000 ab.

Teilübung 3: Kopieren der Benutzerprofilvorlage in einen freigegebenen Ordner

Führen Sie zum Kopieren der Benutzerprofilvorlage in eine Ordnerfreigabe auf einem Netzwerkserver folgende Schritte aus:

1.

Melden Sie sich als Administrator an Ihrer Domäne an.

 

2.

Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.

3.

Klicken Sie mit der rechten Maustaste auf den Ordner Users, zeigen Sie auf Neu, und klicken Sie auf Benutzer, um das Dialogfeld Neues Objekt – Benutzer zu öffnen.

4.

Erstellen Sie ein neues Konto mit dem Namen mLee, und konfigurieren Sie folgende Eigenschaften für dieses Konto:

Vorname

Nachname

Benutzer-

Kennwort

Mitglied von

 

anmeldename

 

Mark

Lee

Mlee

Druck-Operatoren

5.

Öffnen Sie die Systemsteuerung, und doppelklicken Sie auf das Symbol System, um das Dialogfeld Systemeigenschaften zu öffnen.

6.

Klicken Sie auf die Registerkarte Benutzerprofile. Beachten Sie, dass für alle zuvor angemeldeten Benutzer ein Benutzerprofil erstellt wurde, einschließlich eines Profils namens pVorlage.

7.

Markieren Sie das Profil pVorlage, und klicken Sie auf Kopieren nach, um das Dialogfeld Kopieren nach zu öffnen.

8.

Geben Sie im Feld Profil kopieren nach den Pfad \\Computername\Profile\mLee ein (in diesem Pfad steht Computername für den Namen des Servers, auf dem Sie den Ordner Profile erstellt haben). Dies ist der Speicherort des freigegebenen Ordners, in dem die Profilvorlage ge- speichert wird.

9.

Klicken Sie auf Ändern, um das Dialogfeld Benutzer oder Gruppe auswäh- len zu öffnen.

10.

Klicken Sie in der Spalte Name auf Benutzer, und klicken Sie dann auf OK. Das Konto mLee wird nun als zugelassener Benutzer angezeigt.

11.

Klicken Sie auf OK. Windows 2000 erstellt im Ordner Profile einen Ordner mit dem Namen mLee, der alle für das Benutzerkonto Profil Vorlage konfi- gurierten Desktopeinstellungen enthält.

Kapitel 7

Verwalten von Benutzer- und Computerobjekten in Active Directory

305

Teilübung 4: Angeben eines Pfades für das servergespeicherte Benutzerprofil

Zur Angabe eines Pfades zu einem servergespeicherten Benutzerprofil gehen Sie folgendermaßen vor:

1. Doppelklicken Sie in der Konsole Active Directory-Benutzer und -Compu- ter auf das Benutzerobjekt Mark Lee, um das zugehörige Eigenschaften- dialogfeld zu öffnen.

2. Klicken Sie auf die Registerkarte Profil.

3. Geben Sie im Feld Profilpfad den Pfad \\Computername\Profile\mLee ein (in diesem Pfad steht Computername für den Namen des Servers, auf dem Sie den Ordner Profile erstellt haben).

4. Klicken Sie auf OK.

5. Schließen Sie die Konsole Active Directory-Benutzer und -Computer.

Teilübung 5: Testen des servergespeicherten Benutzerprofils

Zum Testen des servergespeicherten Benutzerprofils melden Sie sich von der Do- mäne ab und melden sich anschließend als Benutzer mLee wieder an. Beachten Sie, dass die Bildschirmfarben und Desktopeinstellungen nun diejenigen sind, die Sie für den Benutzer Profil Vorlage konfiguriert haben. Der Grund hierfür ist, dass das servergespeicherte Benutzerprofil bei der Anmeldung als mLee aus der Ordnerfreigabe Profile auf dem Netzwerkserver heruntergeladen und auf den Computer angewendet wurde, an dem sich mLee angemeldet hat.

angewendet wurde, an dem sich mLee angemeldet hat. Lernzielkontrolle Die folgenden Fragen dienen dazu, die

Lernzielkontrolle

Die folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektion zu vertiefen. Wenn Sie eine Frage nicht beantworten können, sollten Sie den ent- sprechenden Abschnitt in dieser Lektion nochmals durchgehen. Die Antworten zu den Fragen finden Sie in Anhang A.

1. Worin besteht der Unterschied zwischen einem lokalen Benutzerprofil und einem servergespeicherten Benutzerprofil?

2. Wie gewährleisten Sie, dass ein Benutzer an einem Clientcomputer mit Windows 2000 über ein servergespeichertes Benutzerprofil verfügt?

3. Wie können Sie gewährleisten, dass ein Benutzer über einen zentralen Basis- ordner verfügt?

306 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Zusammenfassung der Lektion

Ein Benutzerprofil setzt sich aus verschiedenen Ordnern und Dateien zusam- men, mit deren Hilfe die Desktopumgebung für einen bestimmten Benutzer festgelegt wird.

Benutzerprofile enthalten die persönlichen Benutzerdokumente, Desktop- elemente, Startmenüverknüpfungen, Systemsteuerungseinstellungen sowie Einstellungen zur Steuerung der Bildschirmfarben.

Ein lokales Benutzerprofil wird auf der lokalen Festplatte gespeichert, server- gespeicherte Benutzerprofile dagegen werden auf einem Netzwerkserver ge- speichert.

Sie konfigurieren den Benutzerzugriff auf servergespeicherte Profile durch Bearbeitung der Active Directory-Benutzerobjekte.

Ein verbindliches Benutzerprofil kann nicht geändert werden. Auf diese Wei- se findet der Benutzer bei jeder Anmeldung dieselben Desktopeinstellungen vor.