Verwaltung der Zugriffsrechte von Nutzern und Ressourcen

Erstellen von Richtlinienpaketen

Bevor man Richtlinienpakete zur Verwaltung der Zugriffsrechte einrichtet sollte man einige Vorüberlegungen anstellen.

  1. Was für Clients gibt es im Netzwerk WIN9x, WINNT, WIN2000?
  2. Wie viele Computer gibt es?

Außerdem sollte man als erstes Richtlinienpakete für die Administratoren erstellen, in denen man alles erlaubt. Sonst kann es schnell passieren, dass man sich als Administrator Beschränkungen auferlegt, die mit den dann zur Verfügung stehenden Systemwerkzeugen nicht rückgängig gemacht werden können.

Richtlinienpakete erstellt man mit dem NWAdmin über das Menü Objekt/Erstellen bzw. das entsprechende Symbol in der Symbolleiste. Wichtig ist nur, dass man den richtigen Kontext wählt. Ansonsten können u.U. keine Objekte erstellt werden.

Richtlinienpaket erstellen
Richtlinienpaket erstellen

je nach Betriebssystem das Paket auswählen
je nach Betriebssystem das Paket auswählen

 

Einrichten von Benutzerpaketen

Das Erstellen von Benutzerpaketen ist ebenfalls mit wenigen Mausklicks erledigt. Es wird hier exemplarisch für Win9x vorgestellt.

Damit ist es möglich auf den Arbeitsstationen zentral durch die NDS Benutzersystemrichtlinien zu setzen. So sind z.B. Beschränkungen in der Systemsteuerung (Anzeige, Netzwerk, Passwörter, Drucker), Anpassungen der Win95-Shell aber auch zusätzliche Richtlinien (für Office) nutzbar. Alle Einstellungen zu den Richtlinien selbst müssen nicht bei der Erstellung getroffen werden, sondern können jederzeit verändert, ergänzt, aktiviert oder deaktiviert werden. Die Verknüpfung solcher Richtlinien mit Benutzergruppen ist ratsam, da so alle dieser Gruppe zugeordneten Benutzer (z.B. Hauptbenutzer, Gäste, Administratoren) den aktivierten Richtlinien unterliegen. So sind z.B. durch mehrere Benutzerpakete verschieden starke Einschränkungen möglich. Administratoren dürfen alles, Hauptbenutzer dürfen nur Anzeigeeinstellungen ändern und sehen die Netzwerkumgebung. Gäste dürfen an dem System nichts verstellen. Werden später neue Benutzer eingerichtet und diesen Gruppen zugeordnet, so gelten für diese dann ebenfalls die aktiven Richtlinien.

Die aktiven Richtlinien wählen. Es müssen noch keine detaillierten Einstellungen vorgenommen werden. Auch anschließend kann jederzeit eine Richtlinie verändert, ergänzt, aktiviert bzw. deaktiviert werden.

Auswahl der zu aktivierenden Richtlinien
Auswahl der zu aktivierenden Richtlinien

 

Container wählen mit dem diese Richtlinie verknüpft werden soll. Sinnvoll ist die Verwendung von Gruppen. Keinesfalls sollte eine Verknüpfung mit dem Kontext erfolgen, ohne dass ein spezielles Benutzerrichtlinienpaket für Administratoren existiert.

Verknüpfung der Richtlinie mit Nutzergruppen
Verknüpfung der Richtlinie mit Nutzergruppen

 

Nutzen von Richtlinienpaketen an Beispielen

Im folgenden soll an praxisnahen Beispielen die Verwendung von Benutzerrichtlinien erläutert werden. Für das grundsätzliche Verständnis sei noch mal folgendes gesagt:

Benutzer- und Arbeitsstationsrichtlinien setzten auf den von Windows 9x/NT/2000 bekannten Policys auf.

Damit sind Beschränkungen auf der lokalen Arbeitsstation gemeint, die durch entsprechende Registrierschlüssel in der lokalen Registry an oder abgeschaltet werden. Windows selbst und jede Anwendung erzeugt solche Registrierschlüssel über die bestimmte System- oder Programmfunktionen gesteuert werden können. Es gibt spezielle Werkzeuge, solche Registrierschlüssel gezielt zu manipulieren. Neben dem systemeigenen Regedit gibt es z.B. PowerToys von Microsoft. Bei Verwendung von Regedit muss man genau wissen, welche Schlüssel mit welchen Schlüsselwerten belegt werden müssen, um eine bestimmte Funktion zu erlauben oder zu verbieten. Einfacher geht es mit den PowerToys, die über entsprechende Registrierkarten bestimmte Einstellungen erlauben. Diese können durch wenige Mausklicks an- bzw. abgeschaltet werden. Aber jedem Fall werden entsprechende Registrierschlüssel in der lokalen Registry gezielt verändert. In einem Netz mit vielen gleichartigen Computern müsste nun der Administrator an jedem PC diese Einstellungen manuell vornehmen. Das ist nicht nur aufwendig, sondern auch fehlerträchtig. Ergeben sich auf Grund bestimmter Erfordernisse Veränderungen an den bestehenden Beschränkungen, so ist wieder an jedem PC diese Änderung manuell vorzunehmen. Genau hier setzt Z.E.N. works an und erlaubt es bestimmte Registrierschlüssel zentral in der NDS mit bestimmten Werten zu belegen und diese dann auf die einzelnen Computer z.B. bei der nächsten Anmeldung eines Benutzer zu übertragen. So minimiert sich der Aufwand des Administrators erheblich. Veränderungen an Beschränkungen sind so spätestens nach der nächsten Benutzeranmeldung gültig. Es ist sogar möglich Benutzerrichtlinien nach verschiedenen Gruppenzugehörigkeiten zu erstellen und zu verteilen. Deshalb sollte man in jedem Fall zuerst solche Richtlinien für Administratoren erstellen um sicherzustellen, dass diese Personengruppe bei der Anmeldung auf der Arbeitsstation über alle Berechtigungen und keine Einschränkungen verfügt. Ein willkürliches Festlegen von Beschränkungen kann dazu führen, dass man sich selbst auf der lokalen Arbeitsstation Berechtigungen entzieht, die ein normales Arbeiten unmöglich machen, selbst für Administratoren.