|
Gruppenstrategie
- Berechtigungen (Permissions)
-
Regeln die Zugriffe auf Ressourcen (Dateien, Drucker).
-
- Benutzerrechte
-
Erlauben das Ausführen von Aktionen im System (Erstellen von
Konten, Anmelden am lokalen Computer).
- Benutzerkonto (Account)
-
Konto für einen einzelnen Benutzer, der sich an der Domäne
anmelden kann.
|
Vordefinierte
Benutzerkonten |
| Administrator |
Systeminternes Konto zur Verwaltung der gesamten
Computer- und Domänenkonfiguration. |
| Gast |
Systeminternes Konto für gelegentliche Benutzer,
standardmäßig deaktiviert. |
Zum Erzeugen eines neuen Benutzerkontos werden lediglich
Benutzername und Kennwort benötigt. Zum Kopieren eines
Kontos wird zusätzlich der vollständige Name benötigt. Beim
Kopieren bleiben für den neuen Benutzer alle
Gruppenmitgliedschaften und die entsprechenden
Gruppenberechtigungen und -rechte des alten Benutzers
erhalten, alle Benutzer-spezifischen Berechtigungen und
Rechte gehen verloren.
Ein Konto sollte deaktiviert werden, wenn jemand anders
die Stelle des Benutzers übernimmt oder der Benutzer später
wiederkommen könnte. Ein Konto sollte nur gelöscht werden,
wenn dies aus Platzgründen oder aus organisatorischen
Gründen unbedingt notwendig ist.
- Globale Gruppe
- Enthält Benutzer mit ähnlichen Rechten und Bedürfnissen,
dienen zur strukturellen Organisation der Domänenbenutzer
nach Funktion oder Standort. Können nur mit dem
Benutzer-Manager für Domänen auf dem PDC erzeugt werden und
nur Benutzer aus der jeweiligen Domäne enthalten.
|
Vordefinierte globale
Gruppen |
| Domänen-Admins |
Enthält Benutzerkonto Administrator |
| Domänen-Gäste |
Enthält Benutzerkonto Gast |
| Domänen-Benutzer |
Enthält Benutzerkonto Administrator; alle neu
angelegten Benutzer werden automatisch hinzugefügt.
|
Globalen Gruppen können Zugriffsberechtigungen erteilt
werden, dies ist jedoch nicht empfohlen. Globale Gruppen
haben keine vordefinierten Benutzerrechte.
- Lokale Gruppe
-
Wird zur Regelung des Zugriffs auf Ressourcen verwendet.
Kann auf jedem NT System erzeugt werden und Benutzer des
lokalen Computers sowie Benutzer und globale Gruppen der
eigenen und aus vertrauten Domänen enthalten.
|
Vordefinierte lokale
Gruppen |
| Konten-Operatoren |
Nur auf DC: Erstellen, Löschen und Ändern von
Benutzern, globalen und lokalen Gruppen. |
| Server-Operatoren |
Nur auf DC: Freigeben von Festplattenressourcen,
Sichern und Wiederherstellen des Servers. |
| Druck-Operatoren |
Nur auf DC: Installieren und Verwalten von
Netzwerkdruckern. |
| Benutzer |
Alle lokalen (in der lokalen
Verzeichnisdatenbank enthaltenen) Benutzerkonten
sind Standard-Mitglied. |
| Administratoren |
Lokaler Benutzer Administrator ist
Standard-Mitglied. Ausführen aller
Verwaltungsaufgaben auf dem lokalen Computer, auf DC
auch aller Verwaltungsaufgaben der Domäne. |
| Gäste |
Lokaler Benutzer Gast ist Standard-Mitglied.
Können keine dauerhaften Änderungen an ihrer lokalen
Umgebung vornehmen. |
| Sicherungs-Operatoren |
Sichern und Wiederherstellen von Dateien auf dem
lokalen Computer mit der Windows NT Bandsicherung.
|
| Hauptbenutzer |
Erstellen und Ändern von Konten und
Ressourcenfreigabe auf dem lokalen Computer. Ist nur
auf Mitglieds-Servern und auf Windows NT Workstation
verfügbar. |
| Replikations-Operator |
Wird vom Verzeichnisreplikationsdienst
verwendet. |
- Systemgruppen
-
Die Mitgliedschaft in Systemgruppen wird automatisch
geregelt und kann nicht gesteuert werden.
|
Systemgruppen
|
| Jeder |
Enthält alle lokalen und Remote-Benutzer
einschließlich Gäste mit Verbindung zum Computer.
Dieser Gruppe können Rechte und Berechtigungen
erteilt werden. Für die meisten Ressourcen hat diese
Gruppe als Standard Vollzugriff! |
| Ersteller-Besitzer |
Enthält Benutzer, der eine Ressource erstellt
oder deren Besitz übernommen hat. |
| Netzwerk |
Enthält alle aktuell mit einer Ressource
verbundenen Remote-Benutzer. |
| Interaktiv |
Enthält alle lokal angemeldeten Benutzer. |
Die Ressourcenzugriffe sollten nach dem
AGLP-Prinzip (Account -
Global - Local - Permission) geregelt werden: Alle
Benutzer, die
Zugriff auf eine Ressource benötigen, werden in einer
globalen
Gruppe zusammengefasst. Für die Ressource wird eine lokale Gruppe
angelegt, dieser wird die
globale Gruppe hinzugefügt. Der lokalen
Gruppe werden die
Zugriffsberechtigungen erteilt.
|