Verwalten von Benutzer- und Computerobjekten in Active ... · Konzepte von Active Directory kennen,...

265

K A P I T E L 7

Verwalten von Benutzer- und Computerobjektenin Active Directory

Lektion 1: Erstellen von Benutzer- und Computerobjekten . . . 266

Lektion 2: Verwalten von Benutzerkonten . . . 284

Lektion 3: Erstellen von Benutzerprofilen . . . 292

Über dieses KapitelWenn Sie in einem Microsoft Windows 2000 Server-Netzwerk arbeiten, in demder Active Directory-Dienst installiert wurde, müssen sämtliche Benutzer undComputer durch Objekte im Active Directory-Verzeichnis repräsentiert werden.Die Computer- und Benutzerobjekte umfassen Attribute, die Informationen zueinem Benutzer bzw. Computer liefern. So stellt ein Benutzerobjekt beispiels-weise Informationen zu den Zugriffsberechtigungen des Benutzers im Netzwerkbereit. Das Erstellen und Verwalten von Benutzer- und Computerobjekten gehörtzum Aufgabenbereich des Netzwerkadministrators. In diesem Kapitel erfahrenSie, wie Active Directory-Benutzer- und -Computerobjekte erstellt, konfiguriertund verwaltet werden. Darüber hinaus wird erläutert, wie Sie Benutzerprofileund Basisordner erstellen.

Bevor Sie beginnenZur Bearbeitung der Lektionen in diesem Kapitel sollten Sie die grundlegendenKonzepte von Active Directory kennen, zu denen beispielsweise Objekte, Attri-bute und Container gehören. Zur Durchführung der Übungen in diesem Kapitelmüssen Sie über einen Windows 2000-Computer verfügen, der an ein ActiveDirectory-Netzwerk angeschlossen ist. Ferner benötigen Sie Zugriff auf dieKonsole Active Directory-Benutzer und -Computer.

266 Verwalten einer Microsoft Windows 2000-Netzwerkumgebung – Original Microsoft Training

Lektion 1: Erstellen von Benutzer- und ComputerobjektenBenutzerkonten ermöglichen einem Benutzer, sich an einer Domäne anzumeldenund auf die Netzwerkressourcen zuzugreifen bzw. sich an einem Computer anzu-melden, um auf die lokalen Computerressourcen zuzugreifen. Jede Person, dieregelmäßig das Netzwerk verwendet, sollte über ein Benutzerkonto verfügen. Dievon Windows 2000 bereitgestellten Benutzerkonten lassen sich grundsätzlich inzwei Kategorien unterteilen: Domänenbenutzerkonten und lokale Benutzerkon-ten. Unter Verwendung eines Domänenbenutzerkontos kann sich ein Benutzeran einer Domäne anmelden und auf die Netzwerkressourcen zugreifen. Über einlokales Benutzerkonto meldet sich ein Benutzer bei einem bestimmten Computeran, um auf die Ressourcen auf diesem Computer zuzugreifen. Ein Benutzer, dersich an einem Windows 2000 Professional- oder an einem Windows 2000 Server-Computer anmeldet (sofern dieser nicht als Domänencontroller, sondern alsMitgliedsserver konfiguriert wurde), kann entscheiden, ob er/sie sich an einerDomäne oder am lokalen Computer anmelden möchte.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgendenAufgaben auszuführen:� Beschreiben des Unterschieds zwischen einem lokalen Benutzerkonto und

einem Domänenbenutzerkonto

� Beschreiben des Zwecks vordefinierter Konten

� Erstellen eines Domänenbenutzerkontos

Veranschlagte Zeit für diese Lektion: 30 Minuten

Einführung in BenutzerkontenWindows 2000 stellt drei Arten von Benutzerkonten bereit, die in den folgendenAbschnitten näher erläutert werden:

� Lokale Benutzerkonten

� Domänenbenutzerkonten

� Vordefinierte Benutzerkonten

Lokale BenutzerkontenBei Verwendung eines lokalen Benutzerkontos bleibt der Benutzer auf die An-meldung an einem lokalen Computer beschränkt und kann nur auf die lokalgespeicherten Computerressourcen zugreifen. Wenn Sie ein lokales Benutzer-konto erstellen, legt Windows 2000 dieses Konto in der Sicherheitsdatenbankdes verwendeten Computers an, wie aus Abbildung 7.1 hervorgeht. Die Konto-

Kapitel 7 Verwalten von Benutzer- und Computerobjekten in Active Directory 267

informationen werden lokal gespeichert und nicht auf anderen Computern oderDomänencontrollern repliziert. Nach der Erstellung eines lokalen Benutzerkontosverwendet der Computer die lokale Sicherheitsdatenbank, um das lokale Benut-zerkonto zu authentifizieren und dem Benutzer so die Anmeldung an diesemComputer zu ermöglichen.

Erstellen Sie keine lokalen Benutzerkonten auf Computern, die Zugriff auf Do-mänenressourcen benötigen. Lokale Benutzerkonten werden in einer Domänenicht erkannt, demzufolge ist der Zugriff auf Domänenressourcen über ein loka-les Benutzerkonto nicht möglich. Darüber hinaus ist ein Domänenadministratornicht in der Lage, die Eigenschaften lokaler Benutzerkonten zentral zu verwalten.Der Zugriff auf die Eigenschaften eines lokalen Benutzerkontos ist nur über dasMenü Vorgang der Konsole Computerverwaltung möglich, wenn zuvor eineVerbindung zum lokalen Computer hergestellt wurde.

LokaleSicherheits-datenbank

LokalesBenutzer-

konto

Bieten Zugriff auf lokale ComputerressourcenWerden in der lokalen Sicherheitsdatenbank angelegt

Lokale Benutzerkonten

Lokaler Benutzer

Abbildung 7.1 Lokale Benutzerkonten

DomänenbenutzerkontenUnter Verwendung eines Domänenbenutzerkontos können Benutzer sich an einerDomäne anmelden und auf beliebige Netzwerkressourcen zugreifen. Währenddes Anmeldevorgangs muss der Benutzer einen Anmeldenamen und ein Kenn-wort eingeben. Anhand dieser Informationen authentifiziert Windows 2000 denBenutzer und erstellt dann ein Zugriffstoken, das Informationen zu einem Benut-zer und den zugehörigen Sicherheitseinstellungen enthält. Das Zugriffstokenidentifiziert den Benutzer gegenüber den Windows 2000-Computern (oder Com-putern mit früheren Windows-Versionen) eines Netzwerks, in dem der Benutzerauf Ressourcen zugreifen möchte. Windows 2000 stellt das Zugriffstoken für dieDauer der Anmeldesitzung zur Verfügung.

Sie erstellen ein Domänenbenutzerkonto, indem Sie in einem Active Directory-Ordner oder in einer Organisationseinheit (Organizational Unit, OU) ein Benut-zerobjekt erstellen. Die in Active Directory gespeicherten Ordner und OUs


stellen ebenfalls Objekte in der Active Directory-Hierarchie dar. Die ActiveDirectory-Datenbank wird auf Windows 2000 Server-Computern gespeichert,die als Domänencontroller konfiguriert wurden (siehe Abbildung 7.2). Nach derErstellung eines neuen Domänenbenutzerkontos auf einem Domänencontrollerwird das Konto auf allen weiteren Domänencontrollern der Domäne repliziert.Sobald der Replikationsprozess abgeschlossen ist, können sämtliche Domänen-controller in der Domänenstruktur den Benutzer bei der Anmeldung authentifi-zieren.

DomänenbenutzerkontenBieten Zugriff auf NetzwerkressourcenStellen das Zugriffstoken für die Authentifizierung bereitWerden in der Active Directory-Datenbank auf einem Domänencontroller angelegt

Domänenbenutzer

ActiveDirectory

DomänencontrollerDomänen-benutzer-konto

Abbildung 7.2 Domänenbenutzerkonten

Anmerkung Es kann eine gewisse Zeit in Anspruch nehmen, die Informationendes neuen Benutzerkontos auf allen Domänencontrollern zu replizieren. DieseVerzögerung kann dazu führen, dass sich ein Benutzer über das neu erstellte Be-nutzerkonto nicht sofort anmelden kann. Standardmäßig findet die Replikationvon Verzeichnisinformationen alle fünf Minuten statt.

Vordefinierte KontenWindows 2000 erstellt automatisch verschiedene Konten, die als vordefinierteBenutzerkonten bezeichnet werden. Zwei häufig verwendete vordefinierte Kon-ten sind z. B. Administrator und Gast. Das vordefinierte Administratorkontokann zur Gesamtkonfiguration aller Netzwerkcomputer und der Domäne einge-setzt werden, z. B. zur Erstellung und Bearbeitung von Benutzerkonten undGruppen, zur Verwaltung von Sicherheitsrichtlinien, zum Erstellen von Druckernsowie zur Vergabe von Berechtigungen und Rechten für den Ressourcenzugriff.

Als Administrator eines Netzwerks sollten Sie für alle Aufgaben, die nicht in denVerwaltungsbereich fallen, ein separates Benutzerkonto verwenden. Melden Siesich nur dann unter Verwendung des Administratorkontos an, wenn Sie tatsäch-lich administrative Aufgaben wahrnehmen möchten.


Anmerkung Sie können das Konto Administrator umbenennen, jedoch nichtlöschen. Sie erhöhen die Sicherheit eines Windows 2000-Computers bzw. einerWindows 2000-Domäne, wenn Sie das vordefinierte Konto Administrator um-benennen. Verwenden Sie einen Namen, der nicht darauf schließen lässt, dass essich um das Administratorkonto handelt. Durch diese Maßnahme erschweren Sienicht autorisierten Benutzern den Zugang zum Administratorkonto.

Über das Benutzerkonto Gast können Sie allen Benutzern Zugriff auf die Res-sourcen eines Computers oder einer Domäne ermöglichen, die nur temporär ineinem Netzwerk arbeiten. Ein Mitarbeiter, der nur kurzfristig auf Ressourcen zu-greifen können muss, kann beispielsweise das Gastkonto nutzen. Das Gastkontoist standardmäßig deaktiviert. Aktivieren Sie das Gastkonto nur für Netzwerkemit geringer Sicherheitsstufe, und vergeben Sie immer ein Kennwort für diesesKonto. Sie können das Konto Gast umbenennen und deaktivieren, jedoch nichtlöschen.

Falls Sie auf einem Domänencontroller die Internet-Informationsdienste (InternetInformation Services, IIS) installiert haben, werden automatisch die vordefinier-ten Konten IUSR_Computername und IWAM_Computername erstellt. BeiIUSR_Computername handelt es sich um ein Konto für den anonymen Zugriffauf IIS. Das Konto IWAM_Computername wird für den anonymen Zugriff aufprozessexterne IIS-Anwendungen eingesetzt. Das Konto TsInternetUser wirdautomatisch erstellt, wenn Sie auf einem Domänencontroller die Terminaldiensteinstallieren. TsInternetUser ist ein Konto, das von den Windows 2000-Terminal-diensten verwendet wird.

Erstellen von DomänenbenutzerkontenSie erstellen und verwalten Domänenbenutzerkonten mithilfe der KonsoleActive Directory-Benutzer und -Computer (siehe Abbildung 7.3). Anhanddieser Konsole können Sie Benutzerobjekte erstellen, löschen oder deaktivierensowie deren Attribute verwalten.

Abbildung 7.3 Die Konsole „Active Directory-Benutzer und -Computer“


Bei der Erstellung eines Domänenbenutzerkontos werden die Benutzerkontenautomatisch in der Domäne erstellt, in der Sie zurzeit arbeiten. Sie können jedochauch jede andere Domäne auswählen, in der Sie berechtigt sind, Domänenbenut-zerkonten einzurichten. Sie müssen außerdem den Ordner angeben, in dem dasneue Konto erstellt werden soll. Sie können das Objekt beispielsweise im vor-definierten Ordner Users erstellen oder zur Speicherung der Benutzerkonteneinen eigenen Ordner verwenden.

Tipp Wenn Sie einen Windows 2000 Server-Computer zu einem Domänencont-roller heraufstufen, werden im gleichen Zuge die Active Directory-Verwaltungs-programme installiert (zu denen die Konsole Active Directory-Benutzer und-Computer zählt). Bei der Konsole Active Directory-Benutzer und -Computerhandelt es sich um ein MMC-Snap-In (Microsoft Management Console), mitdem Sie die Benutzer- und Computerobjekte aller Domänen eines Netzwerksverwalten können. Sie können die Konsole Active Directory-Benutzer und-Computer auch auf einem Windows 2000 Server-Computer ausführen, dernicht als Domänencontroller konfiguriert wurde. Die Ausführung dieser Konsoleist selbst auf einem Windows 2000 Professional-Computer möglich, auch wenndie Konsole in dieser Betriebssystemversion nicht enthalten ist. Zur Installationder Active Directory-Tools auf einem anderen Windows 2000-Computer führenSie mithilfe des Windows Installers das Installationspaket Adminpak.msi aus.Dieses finden Sie auf der Windows 2000 Server-CD-ROM im Ordner \I386.

Zur Erstellung eines Benutzerobjekts in einer Domäne führen Sie folgendeSchritte aus:

1. Klicken Sie auf Start, Programme und Verwaltung, und klicken Sieauf Active Directory-Benutzer und -Computer, um die Konsole ActiveDirectory-Benutzer und -Computer zu öffnen. Die Konsole verweist aufdie Domäne, in der Sie momentan arbeiten.

2. Klicken Sie in der Strukturansicht mit der rechten Maustaste auf den OrdnerUsers, und klicken Sie auf Neu, um das Dialogfeld Neues Objekt – Benut-zer zu öffnen, wie dargestellt in Abbildung 7.4.

Anmerkung Windows 2000 erstellt den Ordner Users automatisch in jeder neuenActive Directory-Domäne. In einem Produktionsnetzwerk sollten Sie die Benut-zerobjekte nicht im Ordner Users, sondern in den Organisationseinheiten (OUs)erstellen, die Ihre Active Directory-Domänenhierarchie bilden.


Abbildung 7.4 Das Dialogfeld „Neues Objekt – Benutzer“

3. Geben Sie im Dialogfeld Neues Objekt – Benutzer die im Folgenden aufge-führten Informationen an, und klicken Sie dann auf Weiter.

� Vorname Enthält den Vornamen des Benutzers. Sie müssen in mindestenseinem der Felder Vorname, Nachname oder Vollständiger Name eineEingabe vornehmen.

� Initialen Enthält den Anfangsbuchstaben des zweiten Vornamens einesBenutzers (optional).

� Nachname Enthält den Nachnamen des Benutzers. Sie müssen inmindestens einem der Felder Vorname, Nachname oder VollständigerName eine Eingabe vornehmen.

� Vollständiger Name Enthält den vollständigen Benutzernamen. Der hierangegebene Name muss innerhalb des Containers eindeutig sein, in demSie das Benutzerkonto erstellen. Windows 2000 füllt dieses Feld automa-tisch aus, wenn Sie den Vor- und Nachnamen eingegeben haben.

� Benutzeranmeldename Unterhalb dieser Option werden ein Feld undeine Dropdownliste angezeigt. Im Feld links geben Sie, basierend auf Ih-ren Benennungskonventionen, einen eindeutigen Anmeldenamen für denBenutzer an. Die Eingabe in diesem Feld ist erforderlich, der verwendeteName muss innerhalb der Domäne eindeutig sein. Die Liste rechts gibt denDomänennamen an.

� Benutzeranmeldename (Windows NT 3.5x/4.0) Enthält den eindeu-tigen Benutzeranmeldenamen zur Anmeldung an Computern mit früherenWindows-Versionen wie z. B. Microsoft Windows NT 4.0. Die Eingabe indiesem Feld ist erforderlich, der verwendete Name muss innerhalb der Do-mäne eindeutig sein.


4. Konfigurieren Sie eine oder mehrere der folgenden Kennwortoptionen (Abbil-dung 7.5), und klicken Sie anschließend auf Weiter.

� Kennwort Geben Sie das Kennwort ein, das für die Benutzerauthentifi-zierung verwendet wird. Sie sollten aus Sicherheitsgründen immer einKennwort verwenden.

� Kennwortbestätigung Geben Sie das Kennwort erneut ein, um sicherzu-stellen, dass das Kennwort richtig eingegeben wurde. Die Eingabe in die-sem Feld ist bei der Vergabe eines Kennwortes erforderlich.

� Benutzer muss Kennwort bei der nächsten Anmeldung ändern WennSie diese Option aktivieren, muss der Benutzer bei der nächsten Anmel-dung ein neues Kennwort festlegen. Dadurch wird sichergestellt, dass nurder Benutzer im Besitz des Kennwortes ist.

� Benutzer kann Kennwort nicht ändern Hindert den Benutzer an derKennwortänderung. Bei Auswahl dieser Option können nur Administrato-ren die Kennwörter festlegen. Aktivieren Sie dieses Kontrollkästchen,wenn ein Domänenbenutzerkonto von mehreren Personen verwendet wird(beispielsweise das Gastkonto), oder wenn Sie die Kontrolle über dieKennwortvergabe für die Benutzerkonten behalten möchten.

� Kennwort läuft nie ab Bei Auswahl dieser Option ist eine Kennwort-änderung nicht erforderlich. Sie können diese Option für Domänenbenut-zerkonten aktivieren, die durch ein Programm oder einen Windows 2000-Dienst verwendet werden. Die Option Kennwort läuft nie ab setzt dieOption Benutzer muss Kennwort bei der nächsten Anmeldung ändernaußer Kraft.

� Konto ist deaktiviert Bei Auswahl dieser Option kann das Benutzerkontonicht verwendet werden. Sie könnten diese Option beispielsweise aktivie-ren, wenn ein neuer Mitarbeiter seine Arbeit noch nicht angetreten hat.

Anmerkung Neue Benutzer sollten ihre Kennwörter immer bei der ersten Anmel-dung ändern müssen. Auf diese Weise werden keine Benutzerkonten ohne Kenn-wörter angelegt. Darüber hinaus ist bei dieser Vorgehensweise nur der Benutzerim Besitz des aktuellen Kennwortes.


Abbildung 7.5 Kennwortoptionen im Dialogfeld „Neues Objekt – Benutzer“

5. Klicken Sie auf Fertig stellen, um das neue Benutzerobjekt zu erstellen.

Wenn Sie häufig Benutzerobjekte mit gleichen Eigenschaften erstellen, bietet essich an, die Erstellung diese Objekte mithilfe eines Benutzervorlagenobjekts zuvereinfachen. Ein Benutzervorlagenobjekt ist einfach ein Benutzerobjekt, demSie die Eigenschaftenwerte zuweisen, die alle neuen Objekte erhalten sollen.Wenn Sie ein neues Benutzerobjekt mit diesen Eigenschaften erstellen möchten,klicken Sie einfach mit der rechten Maustaste auf das Benutzervorlagenobjektund wählen aus dem angezeigten Kontextmenü den Befehl Kopieren aus. Aufdiese Weise wird das Dialogfeld Objekt kopieren – Benutzer geöffnet, in demSie Name, Anmeldename und Kennwort für das neue Benutzerobjekt angebenkönnen. Nach Erstellung des neuen Objekts verfügt dieses – abgesehen von denEigenschaften für Name und Kennwort – über sämtliche Eigenschaften desBenutzervorlagenobjekts.

Festlegen der Attribute für BenutzerkontenMit jedem neu erstellten Benutzerobjekt sind verschiedene Standardattribute ver-bunden. Nach der Erstellung eines Benutzerkontos können Sie Kontenattribute,Anmeldeoptionen und DFÜ-Einstellungen konfigurieren. Sie können die für einDomänenbenutzerkonto definierten Attribute dazu verwenden, in Active Direc-tory nach bestimmten Benutzern zu suchen. Aus diesem Grund sollten Sie fürjedes Domänenbenutzerkonto möglichst detaillierte Informationen bereitstellen.


Sie legen die Attributwerte für ein Benutzerobjekt im Eigenschaftendialogfeldeines Objekts fest. Klicken Sie zum Öffnen des Eigenschaftendialogfeldes in derKonsole Active Directory-Benutzer und -Computer mit der rechten Maustasteauf das gewünschte Objekt, und klicken Sie dann auf Eigenschaften. Ein dem inAbbildung 7.6 ähnliches Dialogfeld wird eingeblendet.

Abbildung 7.6 Das Eigenschaftendialogfeld eines Benutzerobjekts

Die Registerkarten des Eigenschaftendialogfeldes enthalten Informationen zumausgewählten Benutzerkonto. Das Eigenschaftendialogfeld für ein Benutzer-objekt weist standardmäßig die folgenden Registerkarten auf:

� Allgemein Dokumentiert Vornamen, Nachnamen, Anzeigenamen, Beschrei-bung, Ort des Büros, Telefonnummer(n), E-Mail-Adresse, Homepage undzusätzliche Webseiten eines Benutzers.

� Adresse Enthält Beschreibung, Postanschrift, Stadt, Bundesland, Postleitzahlund Land oder Region für das Benutzerobjekt.

� Konto Dokumentiert die folgenden Eigenschaften eines Benutzerkontos:Benutzeranmeldename, Anmeldezeiten, Arbeitsstationen, an die sich derBenutzer anmelden darf, Kontooptionen und Ablaufdatum des Kontos.


� Profil Legt einen Pfad für Profil und Anmeldeskript, einen Basisordner undeinen freigegebenen Ordner für Dokumente fest.

� Rufnummern Dokumentiert folgende Telefonnummern für den Benutzer:privat, Funkruf, Funktelefon, Fax und IP (Internet Protocol); bietet außerdemPlatz für Kommentare.

� Organisation Dokumentieren Sie auf dieser Registerkarte den Titel, die Ab-teilung, den Abteilungsleiter und den direkten Vorgesetzten eines Benutzers.

� Remoteüberwachung Enthält die Überwachungseinstellungen für dieTerminaldienste.

� Terminaldienstprofile Konfigurieren Sie hier das Benutzerprofil für dieTerminaldienste.

� Mitglied von Dokumentiert die Gruppen, denen der Benutzer angehört.

� Einwählen Enthält die für den Benutzer festgelegten Einwahleigenschaften.

� Umgebung Enthält die Einstellungen für die Startumgebung der Terminal-dienste.

� Sitzungen Konfigurieren Sie hier die Einstellungen für Zeitüberschreitungund erneute Verbindungsherstellung bei Einsatz der Terminaldienste.

Anmerkung Falls Sie neben den Active Directory-Diensten weitere Software-produkte (wie z. B. Microsoft Exchange) installieren, werden dem Eigenschaf-tendialogfeld unter Umständen weitere Registerkarten für die Attributkonfigu-ration hinzugefügt.

In den folgenden Abschnitten werden einige der Eigenschaften näher erläutert,die Sie im Rahmen der täglich anfallenden Netzwerkverwaltungsaufgaben even-tuell konfigurieren müssen.

Festlegen persönlicher BenutzerinformationenVier der Registerkarten im Eigenschaftendialogfeld eines Benutzerobjekts ent-halten persönliche Informationen zum ausgewählten Benutzerkonto. DieseRegisterkarte lauten Allgemein, Adressen, Rufnummern und Organisation.Die Attribute auf diesen Registerkarten stehen in keiner direkten Beziehung zurVerwendung der Benutzerobjekte in Active Directory; sie stellen lediglichHintergrundinformationen zum Benutzer zur Verfügung. Die hier bereitgestelltenAngaben erleichtern Ihnen das Auffinden von Domänenbenutzerkonten in derActive Directory-Struktur. Wenn beispielsweise die Eigenschaften auf derRegisterkarte Adresse vollständig angegeben sind (wie in Abbildung 7.7 darge-stellt), können Sie anhand der Postadresse oder mithilfe anderer Informationennach einem Benutzer suchen.


Abbildung 7.7 Die Registerkarte „Adresse“ des Eigenschaftendialogfeldes fürein Benutzerkonto

Festlegen von KontoeigenschaftenDie Registerkarte Konto im Eigenschaftendialogfeld für ein Benutzerobjekt(siehe Abbildung 7.8) enthält einige der Attribute, die Sie bei Erstellung desBenutzerobjekts angeben, z. B. den Benutzeranmeldenamen und die Kennwort-optionen.


Abbildung 7.8 Die Registerkarte „Konto“

Sie können die Werte für diese Attribute auf dieser Registerkarte ändern. Auf derRegisterkarte Konto stehen außerdem folgende Attributinformationen zur Verfü-gung:

� Kennwort mit reversibler Verschlüsselung speichern Ermöglicht den Ein-satz von Anwendungen, die ein verschlüsselbares Kennwort erfordern. DiesesAttribut wird von Authentifizierungsprotokollen für den Remotezugriff undfür die IIS-Digestauthentifizierung verwendet.

� Benutzer muss sich mit einer Smartcard anmelden Ermöglicht einemBenutzer die Anmeldung mit einer Smartcard. Zur Anmeldung mit einerSmartcard ist zusätzliche Hardware erforderlich.

� Konto wird für Delegierungszwecke vertraut Ermöglicht einem Benutzerdie Delegierung von Verwaltungsaufgaben für Teile des Namespaces an ande-re Benutzer, Gruppen oder OUs.

� Konto kann nicht delegiert werden Verhindert, dass diesem Konto zuDelegierungszwecken Verwaltungsaufgaben übertragen werden.


� DES-Verschlüsselungstypen für dieses Konto verwenden Bietet Unterstüt-zung für die DES-Verschlüsselung (Data Encryption Standard).

� Keine Kerberos-Präauthentifizierung erforderlich Macht eine Kerberos-Präauthentifizierung für Konten mit einer anderen Kerberos-Implementierungüberflüssig. Nicht alle Implementierungen oder Bereitstellungen von Kerb-eros verwenden eine Präauthentifizierung.

� Ablaufdatum des Kontos Legt das Ablaufdatum für ein Konto fest.Wählen Sie hier die Option Nie, wenn das Konto nie ablaufen soll. KlickenSie auf Am, und geben Sie in das zugehörige Textfeld ein Datum ein, wennWindows 2000 das Benutzerkonto zum angegebenen Datum automatischdeaktivieren soll.

Festlegen der AnmeldezeitenKlicken Sie auf der Registerkarte Konto auf die Schaltfläche Anmeldezeiten,um das Dialogfeld Anmeldezeiten für: Benutzer zu öffnen. In diesem Dialog-feld können Sie festlegen, zu welchen Zeiten sich der Benutzer an der Domäneanmelden kann. Durch die Einschränkung der Anmeldezeiten beschränken Siedie Zeit, zu der Benutzer auf das Netzwerk zugreifen können. Standardmäßig er-möglicht Windows 2000 den Zugriff an allen Tagen und zu jeder Zeit. Sie kön-nen jedoch den Zugriff auf die üblichen Geschäftszeiten beschränken. DasFestlegen von Anmeldezeiten verringert das Risiko eines unbefugten Zugriffsdurch einen nicht autorisierten Benutzer.

Gehen Sie zur Festlegung der Anmeldezeiten für einen Benutzer folgendermaßenvor:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.

2. Klicken Sie mit der rechten Maustaste auf das zu ändernde Benutzerobjekt,und klicken Sie im angezeigten Kontextmenü auf Eigenschaften, um dasEigenschaftendialogfeld des Benutzerobjekts zu öffnen.

3. Klicken Sie auf die Registerkarte Konto.

4. Klicken Sie auf Anmeldezeiten, um das Dialogfeld Anmeldezeiten für:Benutzer zu öffnen (siehe Abbildung 7.9). Die blau markierten Felder kenn-zeichnen die Zeiten, zu denen der Benutzer sich anmelden kann. Weiß mar-kierte Felder geben die Zeiten an, in denen der Benutzer sich nicht anmeldenkann.


Anmeldung ist währenddieser Zeiten erlaubt

Anmeldung wird währenddieser Zeiten verweigert

Abbildung 7.9 Das Dialogfeld „Anmeldezeiten für: Benutzer“

5. Sie markieren einen Zeitraum, indem Sie auf die Startzeit klicken und denMauscursor an die gewünschte Endzeit ziehen. Anschließend klicken Sie ent-weder auf die Option Anmeldung zulassen oder Anmeldung verweigern,um dem Benutzer die Anmeldung in diesem Zeitraum zu ermöglichen oder zuverweigern.

6. Klicken Sie auf OK, um das Dialogfeld Anmeldezeiten für: Benutzer zuschließen.

7. Klicken Sie auf OK, um das Eigenschaftendialogfeld zu schließen.

Anmerkung Beachten Sie, dass Windows 2000 Benutzer nicht aufgrund der An-meldezeitenkonfiguration von der Domäne trennt, wenn bereits eine Verbindunghergestellt wurde. Die Benutzer werden außerhalb der festgelegten Anmelde-zeiten lediglich an einer Anmeldung gehindert.

Festlegen der Computer, an denen sich ein Benutzer anmelden kannMithilfe der Anmeldeoptionen für ein Domänenbenutzerkonto können Siesteuern, an welchen Domänencomputern sich ein Benutzer anmelden kann. PerVoreinstellung kann sich jeder Benutzer an allen Computern in der Domäne an-melden. Durch eine explizite Festlegung der Arbeitscomputer können Sie verhin-dern, dass sich ein Benutzer mit seinem/ihrem Kennwort an einem anderenComputer anmeldet.

Anmerkung Die Festlegung der Benutzerarbeitscomputer für die Domänen-anmeldung erfordert die Aktivierung von NetBIOS über TCP/IP.


Führen Sie zur Festlegung der Arbeitscomputer für die Benutzeranmeldungfolgende Schritte aus:


2. Klicken Sie mit der rechten Maustaste auf das zu ändernde Benutzerobjekt,und klicken Sie auf Eigenschaften, um das Eigenschaftendialogfeld desBenutzerobjekts zu öffnen.

3. Klicken Sie auf die Registerkarte Konto.

4. Klicken Sie auf die Schaltfläche Anmelden, um das in Abbildung 7.10 ge-zeigte Dialogfeld Anmeldearbeitsstationen zu öffnen.

Standardeinstellung;gestattet den Benutzerzugriffauf alle Computer.

Klicken Sie hier, um denZugriff auf bestimmteComputer einzuschränken.

Geben Sie hier denComputernamen ein, undklicken Sie dann auf Hinzufügen.

Abbildung 7.10 Das Dialogfeld „Anmeldearbeitsstationen“

5. Aktivieren Sie die Option Folgenden Computern.

6. Geben Sie im Feld Computername den NetBIOS-Namen eines Computersein, von dem aus sich der Benutzer anmelden darf, und klicken Sie dann aufHinzufügen. Wiederholen Sie diesen Vorgang, wenn Sie weitere Computerfür die Benutzeranmeldung angeben möchten.

7. Klicken Sie auf OK, um das Dialogfeld Anmeldearbeitsstationen zu schlie-ßen.



Übung 7.1: Erstellen von DomänenbenutzerkontenIn dieser Übung erstellen Sie die in folgender Tabelle aufgelisteten Domänen-benutzerkonten:

Vorname Nachname Benutzer- Kennwort Kennwort ändernanmeldename

Jo Berry jberry gobloots Muss Kennwort ändern

John Kelly jkelly (kein) Muss Kennwort ändern

Stephanie Hooper shooper (kein) Muss Kennwort ändern

Jenny Sax Jsax zany Muss Kennwort ändern

Eric Lang Elang redhead Kann Kennwort nichtändern

Die folgende Anweisung umfasst die Schritte, die zur Erstellung des erstenBenutzerkontos mithilfe des Snap-Ins Active Directory-Benutzer und -Com-puter erforderlich sind. Wiederholen Sie die genannten Schritte, um die weiterenaufgeführten Benutzerkonten zu erstellen.

1. Melden Sie sich als Administrator an Ihrer Domäne an.

2. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, und kli-cken Sie auf Active Directory-Benutzer und -Computer. Windows 2000öffnet die Konsole Active Directory-Benutzer und -Computer.

3. Klicken Sie auf den Ordner Users in Ihrer Domäne. Beachten Sie, dass imDetailbereich die vordefinierten Benutzerkonten angezeigt werden. Wie lau-ten die Namen dieser Benutzerkonten, die bei Installation vonActive Directory automatisch erstellt werden?

4. Klicken Sie mit der rechten Maustaste auf den Ordner Users, zeigen Sie aufNeu, und klicken Sie auf Benutzer. Windows 2000 zeigt das DialogfeldNeues Objekt – Benutzer an. In welchem Active Directory-Verzeichnis wirddas neue Benutzerkonto erstellt?

5. Geben Sie im Feld Vorname den Wert Jo ein.

6. Geben Sie im Feld Nachname den Wert Berry ein. Beachten Sie, dassWindows 2000 automatisch das Feld Vollständiger Name ausfüllt.

7. Geben Sie im Feld Benutzeranmeldename den Wert jberry ein.


8. Wählen Sie in der Liste rechts neben dem Feld Benutzeranmeldenameden Namen Ihrer Domäne aus. Der Benutzeranmeldename ergibt zusammenmit dem Domänennamen rechts neben dem Feld Benutzeranmeldenameden vollständigen Namen zur Internetanmeldung. Dieser Name dient zureindeutigen Identifizierung des Benutzers im gesamten Verzeichnis (z. [email protected]). Windows 2000 vervollständigt das Feld Benutzer-anmeldename (Windows NT 3.5x/4.0) für Sie. Wann wird dieser frühereWindows-Anmeldename verwendet?

9. Klicken Sie zum Fortfahren auf Weiter. Das Dialogfeld Neues Objekt –Benutzer wird eingeblendet, und Sie werden aufgefordert, die Kennwort-optionen für das Benutzerobjekt festzulegen.

10. Geben Sie in den Feldern Kennwort und Kennwortbestätigung den Wertgobloots ein. Nehmen Sie in diesen Feldern keine Eingabe vor, wenn Sie keinKennwort zuweisen möchten. Beachten Sie, dass eingegebene Kennwörterauf dem Bildschirm als Sternchen dargestellt werden. Dadurch wird verhin-dert, dass zufällige Beobachter das eingegebene Kennwort lesen können.

11. Aktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei dernächsten Anmeldung ändern.

Was geschieht, wenn Sie sowohl das Kontrollkästchen Benutzer muss Kenn-wort bei der nächsten Anmeldung ändern als auch das KontrollkästchenBenutzer kann Kennwort nicht ändern aktivieren? Begründen Sie Ihre Ant-wort.

Unter welchen Umständen würden Sie bei der Erstellung eines neuenBenutzerkontos das Kontrollkästchen Konto ist deaktiviert aktivieren?

12. Klicken Sie auf Weiter. Windows 2000 öffnet das Dialogfeld Neues Objekt –Benutzer und zeigt die Optionen und Einschränkungen an, die Sie für diesesBenutzerkonto konfiguriert haben.

13. Stellen Sie sicher, dass die angegebenen Kontooptionen richtig sind, undklicken Sie auf Fertig stellen. Das neu erstellte Benutzerobjekt wird nun imDetailbereich der Konsole Active Directory-Benutzer und -Computer ange-zeigt.

14. Wiederholen Sie die Schritte 4 bis 13, um die weiteren Benutzerkonten zuerstellen.


LernzielkontrolleDie folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektionzu vertiefen. Wenn Sie eine Frage nicht beantworten können, sollten Sie denentsprechenden Abschnitt in dieser Lektion nochmals durchgehen. Die Ant-worten zu den Fragen finden Sie in Anhang A.

1. Welche unterschiedlichen Möglichkeiten bieten lokale Benutzerkonten undDomänenbenutzerkonten dem jeweiligen Benutzer?

2. Auf welchem der folgenden Windows 2000-Computertypen können keinelokalen Benutzerkonten erstellt werden?

a. Auf einer Windows 2000 Professional-Arbeitsstation

b. Auf einem Windows 2000 Server-Domänencontroller

c. Auf einem Windows 2000 Server-Mitgliedsserver

d. Auf einem eigenständigen Windows 2000 Server-Computer

3. Welche Informationen benötigen Sie zur Erstellung eines Domänenbenutzer-kontos?

Zusammenfassung der Lektion� Es gibt zwei Arten von Benutzerkonten: lokale Benutzerkonten und Domä-

nenbenutzerkonten. Benutzerkonten gestatten Benutzern den Zugriff auflokale Computerressourcen und auf Ressourcen im Netzwerk.

� Zur Erstellung eines Domänenbenutzerkontos erstellen Sie mithilfe der Kon-sole Active Directory-Benutzer und -Computer ein Benutzerobjekt in derActive Directory-Datenbank.

� Unter Verwendung der Konsole Active Directory-Benutzer und -Computerkönnen Sie die Attributwerte eines Benutzerobjekts festlegen.

� Jedes Benutzerkonto weist einen vollständigen Namen, einen Benutzeranmel-denamen sowie einen Namen für die Anmeldung an Computern mit früherenWindows-Versionen auf.

� Sie können durch Festlegung von Anmeldezeiten die Zeiten einschränken, indenen sich ein Benutzer am Netzwerk anmelden kann.


Lektion 2: Verwalten von BenutzerkontenDie bei der Verwaltung von Benutzerkonten anfallenden Aufgaben richten sichnach den Anforderungen einer Organisation und können über eine Änderung derAttribute eines Benutzerobjekts hinausgehen. Einige dieser Änderungen könnenbeispielsweise durch Personalwechsel in Ihrer Organisation erforderlich werden.Zu diesen Veränderungen zählt beispielsweise das Deaktivieren, Aktivieren oderLöschen eines Benutzerkontos. Möglicherweise müssen Sie das Kennwort einesBenutzers zurücksetzen oder ein gesperrtes Benutzerkonto wieder freigeben.

Anmerkung Zur Bearbeitung eines Benutzerkontos nehmen Sie die erforderli-chen Änderungen am zugehörigen Benutzerkontenobjekt in Active Directory vor.Zur erfolgreichen Bearbeitung eines Benutzerkontos benötigen Sie geeigneteBerechtigungen. Diese können entweder direkt zugewiesen oder geerbt wordensein. Weitere Informationen zu Active Directory-Objektberechtigungen findenSie in Lektion 1 von Kapitel 12, „Verwalten von Active Directory“.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgendenAufgaben auszuführen:� Deaktivieren, Aktivieren, Umbenennen und Löschen von Benutzerkonten

� Zurücksetzen von Benutzerkennwörtern

� Entsperren von Benutzerkonten


Deaktivieren, Aktivieren, Umbenennen und Löschen vonBenutzerkontenFolgende Änderungen an einem Benutzerkonto wirken sich auf dessenFunktionalität aus:

� Deaktivieren und Aktivieren eines Benutzerkontos Wenn ein Benutzersein Konto für längere Zeit nicht benötigt, anschließend jedoch weiter ver-wenden möchte, können Sie das Konto deaktivieren. Wenn John beispiels-weise für zwei Monate in Urlaub geht, deaktivieren Sie sein Benutzerkontofür diese Zeit. Nach seiner Rückkehr reaktivieren Sie sein Benutzerkonto,sodass er sich wieder am Netzwerk anmelden kann. Auf diese Weise werdenunbefugte Benutzer daran gehindert, während der Abwesenheit von Johndessen Konto zu benutzen.


� Umbenennen eines Benutzerkontos Sie benennen ein Benutzerkonto um,wenn Sie sämtliche Rechte, Berechtigungen und Gruppenmitgliedschaften desKontos aufrechterhalten möchten, das Konto jedoch von einem anderen Be-nutzer verwendet werden soll. Eine Umbenennung kann auch erfolgen, wennsich der Name eines Mitarbeiters geändert hat. Wenn beispielsweise ein Mit-arbeiter das Unternehmen verlässt und ein neuer Mitarbeiter den Aufgaben-bereich des ausgeschiedenen Mitarbeiters übernimmt, können Sie einfachVorname, Nachname und Anmeldename des alten Benutzerkontos ändern,statt ein komplett neues Benutzerkonto zu erstellen.

� Löschen eines Benutzerkontos Löschen Sie Benutzerkonten, wenn einMitarbeiter aus dem Unternehmen ausscheidet und Sie das Konto nicht längerverwenden möchten. Durch das Löschen solcher Benutzerkonten minimierenSie das Risiko, das durch nicht genutzte Konten im Active Directory-Dienstentsteht.

Die Vorgehensweise zum Deaktivieren, Aktivieren, Umbenennen und Löschenvon Benutzerkonten ist weitgehend identisch. Führen Sie zum Deaktivieren,Aktivieren, Umbenennen oder Löschen eines Benutzerkontos folgende Schrittedurch:


2. Erweitern Sie die Konsolenstruktur, bis das zu bearbeitende Benutzerkontoangezeigt wird.

3. Klicken Sie auf das Benutzerkonto.

4. Wählen Sie im Menü Vorgang den entsprechenden Befehl für die vorzuneh-mende Änderung, wie dargestellt in Abbildung 7.11.


Abbildung 7.11 Deaktivieren, Aktivieren, Löschen oder Umbenennen vonBenutzerkonten

Anmerkung Wenn ein Benutzerkonto aktiviert ist, zeigt das Menü Vorgang denBefehl Konto deaktivieren an. Ist ein Benutzerkonto deaktiviert, steht im MenüVorgang der Befehl Konto aktivieren zur Verfügung.

Zurücksetzen von Kennwörtern und Freigeben vonBenutzerkontenWenn ein Benutzer sich aufgrund eines Kennwortproblems nicht an der Domäneoder einem lokalen Computer anmelden kann, müssen Sie ggf. das Kennwort desBenutzers zurücksetzen und das Konto des Benutzers entsperren. Für diese Auf-gaben benötigen Sie Administratorrechte für das Active Directory-Objekt, in demdas Kontenobjekt gespeichert ist.

Zurücksetzen von KennwörternEs besteht keine Möglichkeit – weder für die Administratoren noch für dieBenutzer –, das für ein Benutzerkonto festgelegte Kennwort auf dem Computeranzuzeigen. Auf diese Weise wird verhindert, dass andere Benutzer (einschließ-


lich der Administratoren) in den Besitz der Kennwörter für Benutzerkonten ge-langen. Lägen Kennwörter in einem lesbaren Format vor, könnte eine Person mitAdministratorrechten sich jederzeit unter Verwendung eines Benutzerkennwortesals dieser Benutzer anmelden.

Es kann jedoch vorkommen, dass ein Administrator ein Kennwort zurücksetzenmuss. Falls Sie beispielsweise mithilfe einer Kennwortrichtlinie festgelegt haben,dass die Benutzer ihre Kennwörter in regelmäßigen Abständen neu festlegenmüssen und ein Benutzer diese Kennwortänderung innerhalb einer bestimmtenZeitspanne nicht vornimmt, kann dies dazu führen, dass der Benutzer sich nichtmehr an seinem/ihrem Computer anmelden kann. Benutzer vergessen darüberhinaus gelegentlich ihre Kennwörter, besonders dann, wenn die Kennwörterdurch den Administrator vergeben werden oder regelmäßig geändert werdenmüssen. In beiden Fällen kann ein Benutzer mit Administratorrechten das Be-nutzerkennwort zurücksetzen, ohne das aktuelle oder abgelaufende Kennwort zukennen.

Gehen Sie zum Zurücksetzen eines Benutzerkennwortes folgendermaßen vor:


2. Erweitern Sie die Konsolenstruktur, bis das zu bearbeitende Benutzerkontoangezeigt wird.

3. Markieren Sie das Benutzerkonto.

4. Klicken Sie im Menü Vorgang auf Kennwort zurücksetzen, um das Dialog-feld Kennwort zurücksetzen zu öffnen (siehe Abbildung 7.12).

Abbildung 7.12 Das Dialogfeld „Kennwort zurücksetzen“

5. Geben Sie im Feld Neues Kennwort ein neues Benutzerkennwort ein, undbestätigen Sie das Kennwort durch erneute Eingabe im Feld Kennwort-bestätigung.

6. Aktivieren Sie das Kontrollkästchen Benutzer muss das Kennwort bei dernächsten Anmeldung ändern, um die Festlegung eines neuen Kennwortesdurch den Benutzer zu erzwingen.

7. Klicken Sie auf OK.


Entsperren von BenutzerkontenIn vielen Windows 2000-Netzwerken werden Gruppenrichtlinien zur Umsetzungvon Kennworteinschränkungen eingesetzt, mit denen beispielsweise die Anzahlder erlaubten fehlgeschlagenen Anmeldeversuche für ein Benutzerkonto festge-legt werden. Gibt ein Benutzer (autorisiert oder nicht) wiederholt ein falschesKennwort ein, sperrt Windows 2000 das Konto und verhindert weitere Anmelde-versuche. Mithilfe einer Richtlinie können Sie festlegen, ob das Konto in einemsolchen Fall für einen bestimmten Zeitraum gesperrt werden soll oder ob dasKonto dauerhaft gesperrt wird und nur durch einen Administrator wieder ent-sperrt werden kann.

Anmerkung Weitere Informationen zum Einsatz von Gruppenrichtlinien findenSie in Kapitel 9, „Einsatz von Gruppenrichtlinien“.

Gehen Sie zum Entsperren eines Benutzerkontos folgendermaßen vor:


2. Erweitern Sie die Konsolenstruktur, bis das zu bearbeitende Benutzerkontoangezeigt wird. Gesperrte Benutzerkonten werden mit einem roten X gekenn-zeichnet.

3. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, und klicken Sieim angezeigten Kontextmenü auf die Option Eigenschaften.

4. Klicken Sie auf die Registerkarte Konto. Beachten Sie, dass das Kontroll-kästchen Konto ist gesperrt aktiviert ist.

5. Deaktivieren Sie das Kontrollkästchen, und klicken Sie auf OK, um dasEigenschaftendialogfeld zu schließen.

Übung 7.2: Deaktivieren und Aktivieren einesBenutzerkontosIn dieser Übung deaktivieren Sie ein Benutzerkonto, damit dieses nicht längerzur Domänenanmeldung verwendet werden kann. Anschließend aktivieren Siedas Konto wieder.

Teilübung 1: Deaktivieren eines BenutzerkontosGehen Sie zur Deaktivierung eines Benutzerkontos folgendermaßen vor:

1. Melden Sie sich an Ihrer Domäne als Administrator an.


3. Klicken Sie in der Active Directory-Struktur auf den Ordner Users.

4. Klicken Sie mit der rechten Maustaste auf das in Übung 7.1 erstellte Benut-zerobjekt Jo Berry, und klicken Sie anschließend auf Konto deaktivieren.


Sie werden in einer Active Directory-Meldung darüber informiert, dass dasObjekt Jo Berry deaktiviert wurde. Das Benutzerobjekt wird nun mit einemroten X angezeigt.

5. Klicken Sie auf OK, um das Meldungsfeld zu schließen.

6. Klicken Sie im Detailbereich der Konsole Active Directory-Benutzer und-Computer mit der rechten Maustaste auf das soeben deaktivierte Benutzer-konto, um das Kontextmenü anzuzeigen. Woran erkennen Sie, dass das Be-nutzerkonto deaktiviert ist?

7. Melden Sie sich von Windows 2000 ab.

8. Versuchen Sie, sich mit dem Konto von Jo Berry anzumelden. Der Anmelde-name für dieses Konto lautet jberry, das Kennwort lautet gobloots. KonntenSie sich anmelden? Begründen Sie Ihre Antwort.

Teilübung 2: Aktivieren eines BenutzerkontosGehen Sie zur Aktivierung eines Benutzerkontos folgendermaßen vor:




4. Klicken Sie mit der rechten Maustaste auf das Benutzerobjekt Jo Berry, undklicken Sie anschließend auf Konto aktivieren. Sie werden in einer ActiveDirectory-Meldung darüber informiert, dass das Objekt Jo Berry aktiviertwurde. Das rote X auf dem Benutzerobjekt wird nun nicht länger angezeigt.


6. Klicken Sie im Detailbereich der Konsole Active Directory-Benutzer und-Computer mit der rechten Maustaste auf das soeben aktivierte Benutzer-konto, um das Kontextmenü anzuzeigen. Woran erkennen Sie, dass dasBenutzerkonto aktiviert ist?


8. Versuchen Sie, sich mit dem Konto von Jo Berry anzumelden. Der Anmelde-name für dieses Konto lautet jberry, das Kennwort lautet gobloots. KonntenSie sich anmelden? Begründen Sie Ihre Antwort.


Teilübung 3: Zurücksetzen des Kennwortes für ein BenutzerkontoGehen Sie zum Zurücksetzen des Kennwortes für ein Benutzerkonto folgender-maßen vor:




4. Klicken Sie mit der rechten Maustaste auf das Benutzerobjekt Jo Berry,und klicken Sie anschließend auf Kennwort zurücksetzen. Das DialogfeldKennwort zurücksetzen wird angezeigt, und Sie werden aufgefordert, einneues Kennwort für dieses Benutzerkonto festzulegen. Beachten Sie, dass dasaktuelle Kennwort nicht sichtbar ist, obwohl Sie als Administrator angemeldetsind.

5. Geben Sie in die Felder Neues Kennwort und Kennwortbestätigung dieZeichenfolge babaloo ein, und aktivieren Sie das Kontrollkästchen Benutzermuss Kennwort bei der nächsten Anmeldung ändern.

6. Klicken Sie auf OK. Sie werden in einer Active Directory-Meldung darüberinformiert, dass das Kennwort erfolgreich geändert wurde.



9. Versuchen Sie, sich mit dem Konto von Jo Berry anzumelden. Verwenden Siehierbei den Anmeldenamen jberry und das ursprüngliche Kennwort gobloots.Konnten Sie sich anmelden? Begründen Sie Ihre Antwort.

10. Versuchen Sie erneut, sich mit dem Benutzeranmeldenamen jberry anzumel-den, verwenden Sie jetzt jedoch das neue Kennwort babaloo. Konnten Siesich anmelden? Begründen Sie Ihre Antwort.


LernzielkontrolleDie folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektionzu vertiefen. Wenn Sie eine Frage nicht beantworten können, sollten Sie denentsprechenden Abschnitt in dieser Lektion nochmals durchgehen. Die Ant-worten zu den Fragen finden Sie in Anhang A.

1. Aus welchen Gründen würden Sie ein Benutzerkonto umbenennen? WelcheVorteile bietet das Umbenennen eines Benutzerkontos?

2. Wie wird in Active Directory verhindert, dass Benutzer in den Besitz derKennwörter anderer Benutzer gelangen?

3. Woran erkennen Sie, dass ein Benutzerkonto deaktiviert ist?

Zusammenfassung der Lektion� Mithilfe der Konsole Active Directory-Benutzer und -Computer können

Sie Benutzerobjekte deaktivieren, erneut aktivieren, umbenennen und lö-schen.

� Das Deaktivieren eines Benutzerkontos hindert den Benutzer an der Anmel-dung, sämtliche Kontoinformationen bleiben jedoch erhalten.

� Administratoren können das Kennwort für ein Benutzerobjekt zurücksetzen,indem sie ein neues Kennwort festlegen. Die Anzeige vorhandener Kennwör-ter ist nicht möglich.

� Benutzerobjekte können aufgrund von Gruppenrichtlinien gesperrt werden;die Entsperrung eines Benutzerkontos erfolgt durch den Netzwerkadminist-rator.

� Sie können Benutzerobjekte umbenennen, um Namensänderungen gerecht zuwerden oder um neuen Mitarbeitern die Verwendung bereits vorhandenerBenutzerkonten zu ermöglichen.


Lektion 3: Erstellen von BenutzerprofilenEin Benutzerprofil ist eine Sammlung von Ordnern und Daten, in denen die ge-genwärtige Desktopumgebung, die Anwendungseinstellungen und persönlichenDaten des Benutzers gespeichert sind. Ein Benutzerprofil enthält darüber hinaussämtliche Startmenüelemente und alle vom Benutzer eingerichteten Netzlauf-werkzuordnungen. Benutzerprofile sorgen dafür, dass der Benutzer bei jederAnmeldung am Computer immer die Desktopumgebung vorfindet, die bei derletzten Abmeldung eingestellt war. Als Basisordner werden auf Netzwerkserverngespeicherte Ordner bezeichnet, die einem bestimmten Benutzer zugeordnet sindund zur Speicherung persönlicher Daten eingesetzt werden können. In dieserLektion erhalten Sie eine Einführung in den Einsatz von Benutzerprofilen undBasisordnern und erfahren, worin der Unterschied zwischen lokalen Benutzer-profilen, servergespeicherten Benutzerprofilen und verbindlichen Benutzer-profilen besteht. Darüber hinaus lernen Sie, wie Basisordner erstellt undverwendet werden.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgendenAufgaben auszuführen:� Erläutern des Unterschieds zwischen lokalen Benutzerprofilen, server-

gespeicherten Benutzerprofilen und verbindlichen Benutzerprofilen

� Konfigurieren eines lokalen Benutzerprofils

� Erstellen eines servergespeicherten Benutzerprofils

� Erstellen eines verbindlichen Benutzerprofils

� Verwalten von Basisordnern


Grundlegendes zu BenutzerprofilenAuf einem Windows 2000-Computer dienen Benutzerprofile der automatischenErstellung und Verwaltung der Desktopeinstellungen für die Arbeitsumgebungder einzelnen Benutzer. Für jeden Benutzer, der sich zum ersten Mal an einemComputer anmeldet, wird ein neues Benutzerprofil erstellt. Benutzerprofile bie-ten dem Benutzer verschiedene Vorteile:

� Mehrere Benutzer können am selben Computer arbeiten, behalten jedoch ihreeigenen Desktopeinstellungen bei (diese werden bei der Anmeldung geladen).

� Wenn sich die Benutzer an ihren Arbeitsstationen anmelden, werden immerdie Desktopeinstellungen geladen, die bei der letzten Abmeldung aktiv waren.

� Die Anpassung der Desktopumgebung durch einen Benutzer wirkt sich nichtauf die Einstellungen anderer Benutzer aus.


� Benutzerprofile können auf einem Server gespeichert werden, damit derBenutzer die Einstellungen an jeden Windows 2000- oder Windows NT 4.0-Computer im Netzwerk „mitnehmen“ kann. Diese Profile werden als server-gespeicherte Benutzerprofile bezeichnet.

� Windows 2000-zertifizierte Anwendungen speichern ihre Einstellungenebenfalls in Benutzerprofilen.

Als Verwaltungstool bieten Benutzerprofile folgende Optionen:

� Sie können ein standardmäßiges Benutzerprofil erstellen, das für sämtlicheBenutzeraufgaben geeignet ist.

� Sie können ein verbindliches Benutzerprofil einrichten. Bei dieser Art vonProfil werden keine Änderungen gespeichert, die ein Benutzer an den Desk-topeinstellungen vornimmt. Benutzer können die Desktopeinstellungen für dieDauer der Anmeldung ändern, diese Änderungen werden bei der Abmeldungjedoch nicht gespeichert. Die Einstellungen eines verbindlichen Profils werdenbei jeder Benutzeranmeldung auf den lokalen Computer heruntergeladen.

� Sie können Standardbenutzereinstellungen festlegen, die in alle Benutzer-profile aufgenommen werden.

ProfiltypenUnter Windows 2000 stehen folgende drei Profiltypen zur Verfügung:

� Lokales Benutzerprofil Ein Benutzerprofil, das bei der ersten Benutzer-anmeldung automatisch auf einem Windows 2000-Computer erstellt wird.Das lokale Benutzerprofil wird auf der lokalen Festplatte gespeichert. Jegli-che Änderungen, die Sie an einem lokalen Benutzerprofil vornehmen, sindspezifisch für den Computer, an dem die Änderungen vorgenommen wurden.

� Servergespeichertes Benutzerprofil Eine Kopie des lokalen Benutzerprofils,das der Netzwerkadministrator auf einem freigegebenen Serverlaufwerk spei-chern kann. Während Sie angemeldet sind, funktioniert das servergespeicherteBenutzerprofil genau wie ein lokales Profil. Da das servergespeicherte Profiljedoch auf einem Server gespeichert wird, steht es auch bei der Anmeldung aneinem anderen Netzwerkcomputer zur Verfügung. Sämtliche Änderungen, dieSie an Ihrer Desktopumgebung vornehmen, werden bei der Abmeldung voneinem Computer im servergespeicherten Benutzerprofil repliziert.

� Verbindliches Benutzerprofil Ein servergespeichertes Profil, das ein Benut-zer nicht ändern kann. Administratoren können verbindliche Benutzerprofilezur Erzwingung bestimmter Desktopeinstellungen für einzelne Benutzer oderBenutzergruppen verwenden. Obwohl die Benutzer während der Dauer derAnmeldung Änderungen an den Desktopeinstellungen vornehmen können,werden diese bei der Abmeldung nicht in das verbindliche Profil geschrieben.Bei der nächsten Anmeldung werden dieselben Desktopeinstellungen geladenwie bei der letzten Anmeldung. Verbindliche Benutzerprofile können aus-schließlich vom Systemadministrator geändert werden.


In einem Benutzerprofil gespeicherte EinstellungenEin Benutzerprofil enthält sämtliche von einem Benutzer eingestellten Konfigu-rationsoptionen und bietet damit einen Snapshot der Desktopumgebung einesBenutzers. In Tabelle 7.1 werden die in einem Benutzerprofil enthaltenen Einstel-lungen aufgelistet.

Tabelle 7.1 Die in einem Benutzerprofil gespeicherten Einstellungen

Gespeicherte Parameter Quelle

Alle durch den Benutzer definierbaren Windows ExplorerWindows Explorer-Einstellungen

Vom Benutzer gespeicherte Dokumente Eigene Dateien

Vom Benutzer gespeicherte Bilddateien Eigene Bilder

Verknüpfungen zu bevorzugten Internetseiten Favoriten

Durch den Benutzer erstellte Netzlaufwerkzuordnungen Verbundenes Netzlaufwerk

Verbindungen zu anderen Computern im Netzwerk Netzwerkumgebung

Auf dem Desktop gespeicherte Elemente und DesktopinhalteVerknüpfungen

Alle durch den Benutzer definierbaren Bildschirm- Bildschirmfarben undfarben und Textanzeigeeinstellungen -schriften

Anwendungsdaten und benutzerdefinierte Anwendungsdaten undKonfigurationseinstellungen Registrierungsstruktur

Netzwerkdruckerverbindungen Druckereinstellungen

Alle benutzerdefinierten Einstellungen in der SystemsteuerungSystemsteuerung

Alle benutzerspezifischen Programmeinstellungen, Zubehördie sich auf die Windows-Umgebung auswirken,z. B. Rechner, Uhr, Editor und Paint

Benutzerspezifische Programmeinstellungen für Windows 2000-basierteProgramme, die speziell für Windows 2000 entwickelt Programmeund zur Verfolgung der Programmeinstellungenentworfen wurden

Favoriten im Windows 2000-Hilfesystem Lesezeichen, die währendOnlinebenutzerschulungenerstellt wurden

Inhalte eines BenutzerprofilsLokale Benutzerprofile werden standardmäßig auf dem Systemlaufwerk (in derRegel C:\) im Ordner Dokumente und Einstellungen gespeichert. Meldet sichein Benutzer zum ersten Mal an, erstellt Windows 2000 einen Unterordner imVerzeichnis Dokumente und Einstellungen und benennt diesen nach demBenutzeranmeldenamen und einem neuen Benutzerprofil. ServergespeicherteBenutzerprofile werden in einem freigegebenen Ordner auf dem Server gespei-chert. Abbildung 7.13 zeigt die Verzeichnisstruktur eines Benutzerprofils.


Abbildung 7.13 Verzeichnisstruktur eines Benutzerprofils

Die Ordner in einem Benutzerprofil erfüllen folgende Funktionen:

� \Anwendungsdaten (versteckt) Enthält programmspezifische Daten, z. B.ein benutzerdefiniertes Wörterbuch. Die jeweiligen Anwendungsanbieterlegen fest, welche Daten in diesem Ordner gespeichert werden.

� \Cookies Enthält Benutzerinformationen und bevorzugte Einstellungen fürden Microsoft Internet Explorer.

� \Desktop Enthält Desktopsymbole sowie Verknüpfungen zu Dateien undOrdnern.

� \Favoriten Enthält Verknüpfungen zu bevorzugten Internetseiten.

� \Lokale Einstellungen (versteckt) Enthält die Ordner Anwendungsdatenund Verlauf sowie zusätzliche Ordner zur Speicherung temporärer Dateien.

� \Eigene Dokumente Enthält vom Benutzer gespeicherte Dokumente.

� \Eigene Bilder (Unterordner von Eigene Dokumente) Enthält vom Benutzergespeicherte Bilddateien.

� \Netzwerkumgebung (versteckt) Enthält Verknüpfungen zu den Elementenunter Netzwerkumgebung.

� \Druckumgebung (versteckt) Enthält Verknüpfungen zu Druckerordner-elementen.

� \Recent (versteckt) Enthält Verknüpfungen zu den zuletzt verwendetenDokumenten und zu den Ordnern, auf die zuletzt zugegriffen wurde.

� \SendTo (versteckt) Enthält Verknüpfungen zu Dienstprogrammen für dieDokumentverarbeitung.

� \Startmenü Enthält Verknüpfungen zu Programmelementen und anderenDateien, die das Startmenü bilden.

� \Vorlagen Enthält Benutzervorlagenelemente.


Neben diesen Ordnern enthält ein Benutzerprofil außerdem eine Kopie der DateiNtuser.dat. Hierbei handelt es sich um eine Windows 2000-Registrierungsdateizur Speicherung benutzerspezifischer Einstellungen. Diese Einstellungen legenviele der in der Systemsteuerung konfigurierten Optionen fest.

Einsatz von lokalen BenutzerprofilenDer Einsatz von lokalen Benutzerprofilen auf einem Windows 2000-Computererfolgt für den durchschnittlichen Benutzer vollkommen transparent. Das Be-triebssystem erstellt das Benutzerprofil automatisch, sobald sich ein Benutzerdas erste Mal an einem Computer anmeldet. Meldet sich der Benutzer zu einemspäteren Zeitpunkt erneut an, lädt Windows 2000 die Einstellungen aus dem zu-gehörigen Benutzerprofil.

Sobald die Benutzer Änderungen an ihrer Desktopumgebung vornehmen, wirdfür den Benutzer unmerklich auch das lokale Benutzerprofil entsprechend ange-passt. Bei diesen Änderungen durch den Benutzer kann es sich beispielsweiseum eine neue Netzwerkverbindung, eine Änderung des Desktophintergrunds oderdas Hinzufügen einer Datei zum Ordner Eigene Dokumente handeln. Ändert derBenutzer während der Dauer einer Anmeldesitzung seine Desktopumgebung,speichert Windows 2000 diese Änderungen bei der Benutzerabmeldung im lokalgespeicherten Benutzerprofil. Auf diese Weise findet ein Benutzer auf einemWindows 2000-Computer immer die Desktopeinstellung vor, die bei der letztenAbmeldung von diesem Computer aktiv waren. Verwenden mehrere Benutzergemeinsam einen Computer, wird für jeden dieser Benutzer ein eigenes Profilgespeichert.

Einsatz servergespeicherter BenutzerprofileZur Unterstützung von Benutzern, die mehrere Computer verwenden, können Sieservergespeicherte Benutzerprofile einrichten. Ein servergespeichertes Benutzer-profil ist einfach eine Kopie des lokal gespeicherten Benutzerprofils, die auf ei-nem Netzwerkserver gespeichert wird, damit der Benutzer von jedem Computereines Netzwerks aus auf das Profil zugreifen kann. Unabhängig davon, an wel-chem Netzwerkcomputer sich ein Benutzer anmeldet, findet er/sie immer dieDesktopeinstellungen vor, die im servergespeicherten Profil gespeichert wurden.

Bei der Benutzeranmeldung an einem Computer kopiert Windows 2000 dasservergespeicherte Benutzerprofil vom Netzwerkserver in den entsprechendenUnterordner im Verzeichnis Dokumente und Einstellungen auf dem lokalenComputer und wendet anschließend die im Profil gespeicherten Einstellungen aufden Clientcomputer an. Bei der ersten Anmeldung an einem Computer kopiertWindows 2000 alle im Profil gespeicherten Dokumentdateien auf den lokalenComputer. Dies ermöglicht eine erfolgreiche Anmeldung am Computer und führtdazu, dass der Benutzer selbst dann mit einer Kopie des Profils arbeiten kann,wenn die Verbindung zum Netzwerk unterbrochen wird.


Meldet sich ein Benutzer erneut am selben Computer an, vergleichtWindows 2000 zunächst die lokal und auf dem Server gespeicherten Benutzer-profildateien miteinander. Anschließend werden nur die Dateien auf den lokalenComputer kopiert, die sich seit der letzten Anmeldung geändert haben. Dies ver-kürzt den Anmeldevorgang und macht ihn effizienter.

Bei der Abmeldung eines Benutzers kopiert Windows 2000 die an der lokalenKopie des servergespeicherten Benutzerprofils vorgenommenen Änderungenzurück auf den Server, auf dem das Profil gespeichert ist.

Erstellen von servergespeicherten BenutzerprofilenSie sollten servergespeicherte Benutzerprofile auf einem Dateiserver erstellen,den Sie häufig sichern, sodass Sie stets über Kopien der aktuellsten serverge-speicherten Benutzerprofile verfügen. Zur Verbesserung der Anmeldeleistung ineinem Netzwerk mit hohem Datenaufkommen sollten Sie das servergespeicherteBenutzerprofil nicht auf einem Domänencontroller, sondern auf einem Mitglieds-server speichern. Das Kopieren der servergespeicherten Benutzerprofile zwi-schen den Server- und Clientcomputern kann erhebliche Systemressourcen wiez. B. Bandbreite und Prozessorzeit beanspruchen. Befinden sich die Profile aufeinem Domänencontroller, kann es zu Verzögerungen bei den Authentifizierungs-prozessen kommen.

Anmerkung Zur erfolgreichen Erstellung eines servergespeicherten Benutzer-profils mit anschließender Zuweisung eines Basisordners für den Benutzermüssen Sie über Berechtigungen zur Verwaltung der Benutzerobjekte verfügen,in denen sich die Benutzerkonten befinden.

Gehen Sie zur Erstellung eines servergespeicherten Benutzerprofilsfolgendermaßen vor:

1. Erstellen Sie auf dem Server, auf dem das Profil gespeichert werden soll, eineOrdnerfreigabe. Erteilen Sie den Benutzern für diesen freigegebenen OrdnerLese- und Schreibberechtigungen.


3. Zeigen Sie das Benutzerobjekt an, für das Sie ein servergespeichertes Profilerstellen möchten.

4. Klicken Sie mit der rechten Maustaste auf das Benutzerobjekt, und klickenSie im angezeigten Kontextmenü auf Eigenschaften, um das Eigenschaften-dialogfeld für das Benutzerobjekt anzuzeigen.

5. Klicken Sie auf die Registerkarte Profil, wie dargestellt in Abbildung 7.14.


Abbildung 7.14 Die Registerkarte „Profil“ des Eigenschaftendialogfeldes fürein Benutzerobjekt

6. Geben Sie im Feld Profilpfad den Pfad zu der zuvor erstellten Ordnerfrei-gabe ein. Verwenden Sie bei der Eingabe des Pfades die UNC-Notation(Universal Naming Convention), z. B. \\Servername\Name_Ordnerfreigabe\Anmeldename. Sie können anstelle des Benutzernamens auch die Variable%username% verwenden. Bei Verwendung dieser Variable ersetztWindows 2000 die Variable automatisch durch den Namen des Benutzer-kontos für das servergespeicherte Benutzerprofil. Diese Vorgehensweise istbesonders bei der Verwendung von Vorlagenkonten zu empfehlen.


Einsatz eines servergespeicherten StandardbenutzerprofilsEinige Benutzer benötigen möglicherweise kein auf sie zugeschnittenes Benut-zerprofil. In einigen Netzwerken wird daher ein so genanntes servergespeichertesStandardbenutzerprofil eingesetzt, bei denen es sich um ein einziges serverge-speichertes Benutzerprofil handelt, das von mehreren Benutzern gemeinsamgenutzt wird. Sie können ein servergespeichertes Standardbenutzerprofil füreine Gruppe von Benutzern erstellen, indem Sie die gewünschten Desktopein-stellungen konfigurieren und das Standardprofil anschließend an den Speicherortfür das servergespeicherte Benutzerprofil verschieben.


Servergespeicherte Standardbenutzerprofile werden aus folgenden Gründen ver-wendet:

� Sie können eine Standarddesktopumgebung für Benutzer bereitstellen, dieähnliche Aufgaben ausführen oder auf dieselben Netzwerkressourcen zugrei-fen müssen.

� Sie können eine an den Aufgabenbereich eines Benutzers angepasste Arbeits-umgebung einrichten, die ausschließlich die benötigten Tools enthält. Nichterforderliche Verbindungen und Anwendungen werden entfernt.

� Sie können die Problembehandlung vereinfachen. Bei Einsatz eines Standard-profils kennen die Mitarbeiter des technischen Supports die Grundkonfigu-ration eines Computers, wodurch sich Abweichungen besser ermitteln lassen.

Erstellen eines servergespeicherten StandardbenutzerprofilsNachfolgend werden die Schritte aufgeführt, die Sie zur Implementierung einesservergespeicherten Standardbenutzerprofils für eine Gruppe von Benutzernausführen müssen.

1. Erstellen Sie ein Benutzerprofilvorlage mit der gewünschten Konfiguration.Erstellen Sie hierzu mithilfe der Konsole Active Directory-Benutzer und-Computer ein Benutzerkonto, und konfigurieren Sie anschließend geeigneteDesktopeinstellungen.

2. Erstellen Sie einen freigegebenen Ordner auf dem Server, der zur Speicherungdes servergespeicherten Standardprofils eingesetzt werden soll.

3. Öffnen Sie das Dialogfeld Systemeigenschaften, und klicken Sie auf dieRegisterkarte Benutzerprofile, wie dargestellt in Abbildung 7.15. KopierenSie die Benutzerprofilvorlage in die erstellte Ordnerfreigabe, und geben Siean, welche Benutzer das Profil verwenden dürfen.

4. Geben Sie für jeden Benutzer mit Zugriff auf das servergespeicherte Stan-dardbenutzerprofil auf der Registerkarte Profil im Eigenschaftendialogfelddes Benutzerobjekts den Pfad zu dieser Profilvorlage ein.


Abbildung 7.15 Kopieren einer Benutzerprofilvorlage

Einsatz von verbindlichen ProfilenEin schreibgeschütztes servergespeichertes Benutzerprofil wird als verbindlichesBenutzerprofil bezeichnet. Benutzer können die Desktopeinstellungen währendder Dauer einer Anmeldung ändern, diese Änderungen werden bei der Abmel-dung jedoch nicht gespeichert. Bei der nächsten Anmeldung findet der Benut-zer die Desktopeinstellungen vor, die bei der letzten Anmeldung aktiv waren.Windows 2000 lädt die Einstellungen eines verbindlichen Profils bei jederBenutzeranmeldung auf den lokalen Computer herunter. Sie können verbindli-chen Benutzerprofile für Benutzer verwenden, die gleiche Desktopeinstellungenbenötigen, z. B. einer Gruppe von Benutzern mit gleichem Aufgabenbereich. Einverbindliches Profil kann nicht geändert werden, Sie brauchen sich also keineSorgen darüber zu machen, dass ein Benutzer Änderungen vornimmt, die sichauf alle anderen Benutzer auswirken. Darüber hinaus können Sie mithilfe einesverbindlichen Profils die Desktopumgebung mehrerer Benutzer über ein einzigesProfil festlegen.

Zur Erstellung eines verbindlichen Benutzerprofils benennen Sie die DateiNtuser.dat im Ordner mit dem Benutzerprofil in Ntuser.man um. Die DateiNtuser.dat enthält die Windows 2000-Registrierungseinstellungen, die für dasindividuelle Benutzerkonto gelten. Sie enthält die benutzerspezifischen Umge-bungseinstellungen, beispielsweise die Einstellungen für das festgelegte Desk-topaussehen. Nach der Umbenennung dieser Datei in Ntuser.man ist die Dateischreibgeschützt. Auf diese Weise wird Windows 2000 daran gehindert, vorge-nommene Änderungen bei der Benutzerabmeldung in das Profil zu schreiben.


Erstellen von BasisordnernStandardmäßig erstellt Windows 2000 den Ordner Eigene Dateien, in demdie Benutzer ihre persönlichen Dokumente speichern können. Darüber hinausstellt Windows 2000 jedoch einen weiteren Speicherort zur Verfügung. Dieserzusätzliche Speicherort ist der Basisordner des Benutzers. Ein Basisordner ist einzusätzlicher Ordner, in dem die Benutzer persönliche Dokumente speichern kön-nen. Sie können Basisordner entweder auf einem Clientcomputer oder in einemgemeinsamen Verzeichnis auf dem Dateiserver speichern. Da ein Basisordnerkeinen Bestandteil eines servergespeicherten Benutzerprofils darstellt, wirkt sichdie Größe eines Basisordners nicht auf den Netzwerkdatenverkehr bei Anmelde-vorgängen aus. Sie können die Basisordner aller Benutzer in einem zentralenVerzeichnis auf dem Netzwerkserver speichern.

Die zentrale Speicherung aller Basisordner auf einem Dateiserver bietet folgendeVorteile:

� Benutzer können von jedem Clientcomputer im Netzwerk auf ihre Basis-ordner zugreifen.

� Die Sicherung und Verwaltung von Benutzerdokumenten erfolgt an zentralerStelle.

� Auf die Basisordner kann von einem beliebigen Clientcomputer mit einemMicrosoft-Betriebssystem zugegriffen werden.

Anmerkung Sie sollten die Basisordner auf einem NTFS-Datenträger speichern,um Benutzerdokumente mithilfe von NTFS-Berechtigungen schützen zu können.Wenn Sie die Basisordner auf einem FAT-Datenträger speichern, können Sie denZugriff auf die Basisordner nur über die Berechtigungen für freigegebene Ordnereinschränken.

Erstellen von Basisordnern auf einem ServerZur erfolgreichen Erstellung von Basisordnern müssen Sie über die Berechtigungzum Ändern der Objekte verfügen, in denen sich die Benutzerkonten befinden.

Gehen Sie zur Erstellung eines Basisordners auf einem Netzwerkdateiserverfolgendermaßen vor:

1. Erstellen Sie einen Ordner für die Speicherung aller Basisordner auf einemNetzwerkdateiserver, und geben Sie den Ordner anschließend frei. Die Basis-ordner der einzelnen Benutzer werden als Unterordner dieser Ordnerfreigabeerstellt.

2. Löschen Sie für die erstellte Ordnerfreigabe die Berechtigung Vollzugriff ausder Gruppe Jeder, und weisen Sie diese Berechtigung der Gruppe Benutzerzu. Auf diese Wiese stellen Sie sicher, dass nur Benutzer mit Domänenbenutz-erkonten auf den freigegebenen Ordner zugreifen können.


3. Geben Sie für jedes Benutzerobjekt auf der Registerkarte Profil im Eigen-schaftendialogfeld (siehe Abbildung 7.16) den Pfad zum jeweiligen Basis-ordner an. Der Basisordner befindet sich auf einem Netzwerkserver. KlickenSie daher auf Verbinden von, und geben Sie den entsprechenden Laufwerk-buchstaben für die Verbindung an. Geben Sie im Feld mit den Ordnernamenim UNC-Format an, z. B.\\Servername\Name_Ordnerfreigabe\Benutzeranmeldename. Sie können fürden Benutzernamen auch die Variable %username% einsetzen. Der Basis-ordner des Benutzers wird auf diese Weise automatisch nach dem Benutzeran-meldenamen benannt. Wenn Sie die Variable %username% zur Benennungeines Ordners auf einem NTFS-Datenträger verwenden, wird dem betreffen-den Benutzer die NTFS-Berechtigung Vollzugriff zugewiesen. Alle weiterenOrdnerberechtigungen werden entfernt, einschließlich der Berechtigungen fürdas Administratorkonto.

Abbildung 7.16 Angeben des Pfades zu einem Basisordner

Übung 7.3: Verwalten von BenutzerprofilenIn dieser Übung erstellen Sie einen freigegebenen Ordner zur Speicherung desservergespeicherten Standardbenutzerprofils. Sie erstellen ein Benutzerkontounter dem Namen Profil Vorlage, das als Vorlage für ein servergespeichertesStandardbenutzerprofil dient. Anschließend konfigurieren Sie die Einstellungenfür das Vorlagenprofil. Danach kopieren Sie das Benutzerprofil Profil Vorlage inden freigegebenen Ordner für Benutzer2. Abschließend geben Sie den Pfad zu


dem für Benutzer2 verwendeten Profil an. Optional können Sie anschließend daserstellte Standardprofil testen, wenn Sie Zugriff auf zwei Computer desselbenNetzwerks haben.

Teilübung 1: Erstellen eines freigegebenen OrdnersGehen Sie zur Erstellung einer Ordnerfreigabe zur Speicherung von server-gespeicherten Benutzerprofilen folgendermaßen vor:

1. Melden Sie sich als Administrator am Domänencontroller Ihrer Domäne an.

2. Erstellen Sie auf Laufwerk C: (sofern es sich bei C: um Ihr Systemlaufwerkhandelt) einen Ordner namens Profile.

3. Klicken Sie mit der rechten Maustaste auf den Ordner Profile, und klickenSie im angezeigten Kontextmenü auf Freigabe, um um die RegisterkarteFreigabe im Eigenschaftendialogfeld des Ordners zu öffnen.

4. Klicken Sie auf Diesen Ordner freigeben.


Teilübung 2: Erstellen einer BenutzerprofilvorlageGehen Sie zur Erstellung einer Benutzerprofilvorlage folgendermaßen vor:

1. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, undklicken Sie anschließend auf Active Directory-Benutzer und -Computer.

2. Klicken Sie mit der rechten Maustaste auf den Ordner Users, zeigen Sie aufNeu, und klicken Sie auf Benutzer, um das Dialogfeld Neues Objekt – Be-nutzer zu öffnen.

3. Erstellen Sie ein neues Konto mit dem Namen pVorlage, und konfigurierenSie folgende Eigenschaften für dieses Konto:

Vorname Nachname Benutzer- Kennwort Mitglied vonanmeldename

Profil Vorlage pVorlage – Druck-Operatoren


5. Melden Sie sich als Benutzer pVorlage an. Windows 2000 erstellt automa-tisch ein lokales Benutzerprofil für den Benutzer Profil Vorlage, das auf demlokalen Computer unter C:\Dokumente und Einstellungen\pVorlage gespei-chert wird (wobei C:\ der Name Ihres Systemlaufwerks ist).

6. Klicken Sie mit der rechten Maustaste auf einen freien Bereich auf dem Desk-top, und klicken Sie auf Eigenschaften, um das Dialogfeld Eigenschaftenvon Anzeige zu öffnen.

7. Klicken Sie auf die Registerkarte Darstellung, und wählen Sie in der ListeSchema ein anderes Farbschema aus.

8. Klicken Sie auf OK, um die Bildschirmfarben zu ändern.


9. Melden Sie sich von der Domäne ab, und melden Sie sich erneut als BenutzerpVorlage an. Beachten Sie, dass die Änderung der Bildschirmfarben imBenutzerprofil gespeichert wurde.


Teilübung 3: Kopieren der Benutzerprofilvorlage in einen freigegebenenOrdnerFühren Sie zum Kopieren der Benutzerprofilvorlage in eine Ordnerfreigabe aufeinem Netzwerkserver folgende Schritte aus:

1. Melden Sie sich als Administrator an Ihrer Domäne an.

2. Klicken Sie auf Start, zeigen Sie auf Programme und Verwaltung, undklicken Sie anschließend auf Active Directory-Benutzer und -Computer.

3. Klicken Sie mit der rechten Maustaste auf den Ordner Users, zeigen Sieauf Neu, und klicken Sie auf Benutzer, um das Dialogfeld Neues Objekt –Benutzer zu öffnen.

4. Erstellen Sie ein neues Konto mit dem Namen mLee, und konfigurieren Siefolgende Eigenschaften für dieses Konto:

Vorname Nachname Benutzer- Kennwort Mitglied vonanmeldename

Mark Lee Mlee – Druck-Operatoren

5. Öffnen Sie die Systemsteuerung, und doppelklicken Sie auf das SymbolSystem, um das Dialogfeld Systemeigenschaften zu öffnen.

6. Klicken Sie auf die Registerkarte Benutzerprofile. Beachten Sie, dass für allezuvor angemeldeten Benutzer ein Benutzerprofil erstellt wurde, einschließlicheines Profils namens pVorlage.

7. Markieren Sie das Profil pVorlage, und klicken Sie auf Kopieren nach, umdas Dialogfeld Kopieren nach zu öffnen.

8. Geben Sie im Feld Profil kopieren nach den Pfad\\Computername\Profile\mLee ein (in diesem Pfad steht Computername fürden Namen des Servers, auf dem Sie den Ordner Profile erstellt haben). Diesist der Speicherort des freigegebenen Ordners, in dem die Profilvorlage ge-speichert wird.

9. Klicken Sie auf Ändern, um das Dialogfeld Benutzer oder Gruppe auswäh-len zu öffnen.

10. Klicken Sie in der Spalte Name auf Benutzer, und klicken Sie dann auf OK.Das Konto mLee wird nun als zugelassener Benutzer angezeigt.

11. Klicken Sie auf OK. Windows 2000 erstellt im Ordner Profile einen Ordnermit dem Namen mLee, der alle für das Benutzerkonto Profil Vorlage konfi-gurierten Desktopeinstellungen enthält.


Teilübung 4: Angeben eines Pfades für das servergespeicherteBenutzerprofilZur Angabe eines Pfades zu einem servergespeicherten Benutzerprofil gehen Siefolgendermaßen vor:

1. Doppelklicken Sie in der Konsole Active Directory-Benutzer und -Compu-ter auf das Benutzerobjekt Mark Lee, um das zugehörige Eigenschaften-dialogfeld zu öffnen.

2. Klicken Sie auf die Registerkarte Profil.

3. Geben Sie im Feld Profilpfad den Pfad \\Computername\Profile\mLee ein(in diesem Pfad steht Computername für den Namen des Servers, auf dem Sieden Ordner Profile erstellt haben).

4. Klicken Sie auf OK.

5. Schließen Sie die Konsole Active Directory-Benutzer und -Computer.

Teilübung 5: Testen des servergespeicherten BenutzerprofilsZum Testen des servergespeicherten Benutzerprofils melden Sie sich von der Do-mäne ab und melden sich anschließend als Benutzer mLee wieder an. BeachtenSie, dass die Bildschirmfarben und Desktopeinstellungen nun diejenigen sind,die Sie für den Benutzer Profil Vorlage konfiguriert haben. Der Grund hierfürist, dass das servergespeicherte Benutzerprofil bei der Anmeldung als mLee ausder Ordnerfreigabe Profile auf dem Netzwerkserver heruntergeladen und auf denComputer angewendet wurde, an dem sich mLee angemeldet hat.

LernzielkontrolleDie folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektion zuvertiefen. Wenn Sie eine Frage nicht beantworten können, sollten Sie den ent-sprechenden Abschnitt in dieser Lektion nochmals durchgehen. Die Antwortenzu den Fragen finden Sie in Anhang A.

1. Worin besteht der Unterschied zwischen einem lokalen Benutzerprofil undeinem servergespeicherten Benutzerprofil?

2. Wie gewährleisten Sie, dass ein Benutzer an einem Clientcomputer mitWindows 2000 über ein servergespeichertes Benutzerprofil verfügt?

3. Wie können Sie gewährleisten, dass ein Benutzer über einen zentralen Basis-ordner verfügt?


Zusammenfassung der Lektion� Ein Benutzerprofil setzt sich aus verschiedenen Ordnern und Dateien zusam-

men, mit deren Hilfe die Desktopumgebung für einen bestimmten Benutzerfestgelegt wird.

� Benutzerprofile enthalten die persönlichen Benutzerdokumente, Desktop-elemente, Startmenüverknüpfungen, Systemsteuerungseinstellungen sowieEinstellungen zur Steuerung der Bildschirmfarben.

� Ein lokales Benutzerprofil wird auf der lokalen Festplatte gespeichert, server-gespeicherte Benutzerprofile dagegen werden auf einem Netzwerkserver ge-speichert.

� Sie konfigurieren den Benutzerzugriff auf servergespeicherte Profile durchBearbeitung der Active Directory-Benutzerobjekte.

� Ein verbindliches Benutzerprofil kann nicht geändert werden. Auf diese Wei-se findet der Benutzer bei jeder Anmeldung dieselben Desktopeinstellungenvor.

Verwalten von Benutzer- und Computerobjekten in Active ... · Konzepte von Active Directory kennen,...

Documents

Transcript of Verwalten von Benutzer- und Computerobjekten in Active ... · Konzepte von Active Directory kennen,...