15.3 Richtlinie für dynamische lokale Benutzer (Benutzerpaket)

Ein dynamischer lokaler Benutzer (DLU, Dynamic Local User) ist ein Benutzerobjekt, das temporär oder permanent auf der SAM-Datenbank der Arbeitsstation (Security Access Manager) erstellt wird.

Die Dauer eines temporären Benutzers oder Kontos wird durch den Verwalter bestimmt. Dieser Kontotyp verhindert, dass die SAM-Datenbank zu umfangreich wird.

Wenn sich in Ihrer Umgebung zahlreiche Benutzer bei einer gemeinsam verwendeten Arbeitsstation oder einem Terminalserver anmelden, können Sie die Richtlinie für dynamische lokale Benutzer konfigurieren und aktivieren. Nachdem die Richtlinie konfiguriert und aktiviert wurde, erstellt Desktop Management dynamisch Benutzerkonten auf der lokalen Arbeitsstation oder dem Terminalserver, während sich der Benutzer beim System anmeldet.

Mit der Richtlinie für dynamische lokale Benutzer können Sie auf Windows NT/2000/XP-Arbeitsstationen und Windows 2000/2003 Terminal Server erstellte Benutzer konfigurieren, nachdem diese sich bei dem Verzeichnis beglaubigt haben. Sobald einem Benutzer ein Konfigurationsobjekt zugewiesen wurde, kann NetWare® Graphical Identification and Authentication (NWGINA) Informationen aus dem Konfigurationsobjekt abrufen und somit ein Benutzerkonto auf der Arbeitsstation erstellen.

Wenn ein Benutzer nicht als DLU definiert ist und über kein Konto auf der Arbeitsstation verfügt, kann das Konto des Benutzers nicht erstellt werden. Deshalb kann sich der Benutzer erst bei der Arbeitsstation anmelden, wenn bereits ein Konto zur Verfügung steht oder der Verwalter das Konto des Benutzers auf der Arbeitsstation manuell erstellt. Wenn der Benutzer nicht als DLU definiert ist, wird der Berechtigungsnachweis des Benutzers von der Registerkarte Windows NT/2000/XP des Anmeldedialogfelds für die Beglaubigung bei der Arbeitsstation verwendet.

Wenn der Benutzer als DLU definiert ist, wird der Berechtigungsnachweis des Benutzers vom Verzeichnis oder vom Benutzerpaket verwendet, und zwar abhängig von der Einrichtung durch den Verwalter.

Wenn Sie einen DLU in einem Benutzerrichtlinienpaket konfigurieren, um den Benutzerzugriff auf Arbeitsstationen unter Windows NT/2000/XP oder Windows 2000/2003 Terminal Server zu verwalten, und nicht den Berechtigungsnachweis von NetWare verwenden, haben die erstellten Benutzerkonten für die Arbeitsstation ein per Zufallsgenerator erstelltes, unbekanntes Passwort und werden als temporäre Benutzerkonten erstellt. Wenn außerdem der temporäre Benutzer-Cache aktiviert ist, bestehen die Benutzerkonten weiterhin für die Dauer des Cache auf der Arbeitsstation. Diese Konten sind jedoch nicht verfügbar, da sie ein unbekanntes Passwort haben.

Wird der temporäre Benutzer-Cache für Benutzer ohne NetWare-Berechtigungsnachweise verwendet, stehen diese Benutzerkonten erst dann zur Verfügung, wenn sich die Benutzer gleichzeitig bei dem Verzeichnis anmelden und die Option Vorhandene Benutzerkonten verwalten aktiviert ist.

Sie können den Anmeldezugriff des dynamischen lokalen Benutzers auf bestimmte Arbeitsstationen zulassen oder einschränken, indem Sie die Seite "Anmeldebeschränkungen" verwenden. Arbeitsstationen und Container, die in der Liste Nicht angeschlossene Arbeitsstationen aufgeführt sind, können den DLU-Zugriff nicht nutzen. Arbeitsstationen, die in der Liste Angeschlossene Arbeitsstationen enthalten oder Teil von enthaltenen Containern sind, können den DLU-Zugriff nutzen.

Um Gruppenprioritäten richtig zu verwalten, dürfen Benutzer, die mit dynamischen lokalen Benutzern verknüpft sind, nicht in mehreren Gruppen Mitglied sein.

So legen Sie die Richtlinie für dynamische lokale Benutzer fest:

  1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzerpaket. Klicken Sie auf Eigenschaften und dann auf die gewünschte Plattformseite.

    Weitere Informationen zur Unterstützung von Desktop Management für die Windows NT-Plattform finden Sie in Interoperabilität mit Windows NT 4-Arbeitsstationen im Novell ZENworks 7 Desktop Management-Installationshandbuch.

  2. Aktivieren Sie das Kontrollkästchen unter der Spalte Aktiviert für die Richtlinie für dynamische lokale Benutzer.

    Dadurch wird die Richtlinie ausgewählt und aktiviert.

  3. Klicken Sie auf Eigenschaften.

    Die Seite "Dynamischer lokaler Benutzer".

  4. Füllen Sie folgende Felder aus:

    Dynamischen lokalen Benutzer aktivieren: Mit dieser Option können Sie ein Benutzerobjekt erstellen, das sich temporär oder permanent in der SAM-Datenbank der Arbeitsstation (Security Access Manager) befindet.

    In NWGINA ist es erforderlich, dass Sie angeben, ob ein lokaler Benutzer erstellt werden soll.

    Ist dieses Kontrollkästchen deaktiviert, erstellt NWGINA keinen Benutzer im lokalen SAM (Security Access Manager). Stattdessen versucht NWGINA einen vorhandenen Benutzer mit dem Berechtigungsnachweis zu finden, der auf der Oberfläche der NWGINA-Anmeldung angegeben ist.

    Ist das Kontrollkästchen Dynamischen lokalen Benutzer aktivieren aktiviert, erhält NWGINA vom Konfigurationsobjekt den Benutzernamen und fragt dann den lokalen SAM ab, ob der Benutzername bereits vorhanden ist. Ist er vorhanden, beglaubigt NWGINA den Benutzer bei der Arbeitsstation oder beim Terminalserver und der Zugriff auf das System wird gewährt. Ist der Benutzername nicht vorhanden, erstellt NWGINA den Benutzer im SAM der lokalen Arbeitsstation oder des lokalen Terminalservers.

    Diese Option wird nicht verwendet, wenn auf der lokalen Arbeitsstation oder dem lokalen Terminalserver Windows NT-Passwortbeschränkungs-Richtlinien festgelegt sind. Das Passwort, das dynamische lokale Benutzer für das lokale Konto verwenden, muss den Passwortbeschränkungen der lokalen Arbeitsstation entsprechen.

    Eventuell vorhandenes Benutzerkonto verwalten: Mit dieser Option wird die Verwaltung über das vorhandene Benutzerkonto ermöglicht. Aktivieren Sie diese Option, wenn das zu verwaltende Benutzerobjekt bereits vorhanden ist. Hierbei werden die Gruppenzuordnungen der Arbeitsstation implementiert, die sich aus der Arbeitsstationsverwaltung ergeben. Unter anderem wird das unbefristete Konto in ein temporäres Konto umgewandelt, wenn der Benutzer sich bei dem Konto anmeldet. Nachdem sich der Benutzer abgemeldet hat, wird das Konto von der Arbeitsstation entfernt.

    Wenn sowohl dieses Kontrollkästchen als auch das Kontrollkästchen Temporärer Benutzer aktiviert sind und der Benutzer über ein permanentes lokales Konto verfügt, für das derselbe in eDirectory™ angegebene Berechtigungsnachweis verwendet wird, wird der Kontostatus von "permanent" in "temporär" geändert. Das Konto wird zwar verwaltet, wird jedoch nach Ablauf des im temporären Benutzer-Cache angegebenen Zeitraums oder nach Abmeldung des Benutzers gelöscht.

    Alle hier geänderten Einstellungen überschreiben die aktuellen Kontoeinstellungen auf der Arbeitsstation oder dem Terminalserver. Ist diese Option nicht aktiviert, kann die Arbeitsstationsverwaltung das vorhandene Benutzerobjekt nicht verwalten.

    eDirectory-Berechtigungsnachweis verwenden: Benutzer können sich über den eDirectory-Berechtigungsnachweis anmelden und benötigen somit keine NT/2000/XP-Anmeldeinformationen. Während das Benutzerkonto erstellt wird, kann NWGINA entweder den Berechtigungsnachweis für die eDirectory-Beglaubigung oder einen zuvor im Konfigurationsobjekt festgelegten Berechtigungsnachweis verwenden. Wird der eDirectory-Berechtigungsnachweis zum Erstellen des Benutzerkontos für die Arbeitsstation eingesetzt, fragt NWGINA den Anmeldenamen, den vollständigen Namen und die Beschreibung vom eDirectory-Benutzerkonto des Benutzers ab. Das Passwort für das NT/2000/XP-Benutzerkonto stimmt mit dem für das eDirectory-Benutzerkonto überein.

    Wenn der eDirectory-Berechtigungsnachweis nicht verwendet wird, ist das Konto stets nur temporär und der Zugriff auf das Konto ist nicht möglich. Auch die Optionen Vollständiger Name und Beschreibung können zur vollständigen Benutzerbeschreibung verwendet werden.

    Wenn Sie keinen eDirectory-Berechtigungsnachweis verwenden und das Benutzerkonto noch nicht vorhanden ist (dies ergibt sich aus dem Kontrollkästchen Eventuell vorhandenes Benutzerkonto verwalten), wird das Benutzerkonto als temporäres Benutzerkonto erstellt. Das Benutzerkonto wird also bei der Abmeldung automatisch gelöscht. Dies ist daraus ersichtlich, dass das Kontrollkästchen Temporärer Benutzer automatisch aktiviert wird, wenn das Kontrollkästchen eDirectory-Berechtigungsnachweis verwenden nicht aktiviert ist.

    Temporärer Benutzer (nach der Abmeldung entfernen): Gibt die Verwendung eines temporären Benutzerkontos für die Anmeldung an. Das Benutzerkonto, das NWGINA auf der lokalen Arbeitsstation erstellt, kann entweder temporär oder unbefristet sein.

    Beachten Sie, dass das temporäre Benutzerkonto bei Abmeldung des Benutzers entfernt wird, wenn die beiden Kontrollkästchen Temporärer Benutzer (nach der Abmeldung entfernen) und Eventuell vorhandenes Benutzerkonto verwalten aktiviert sind, auch wenn das Konto vorhanden war, bevor der Benutzer sich über den DLU-Zugriff angemeldet hat.

    Benutzername: Gibt den Benutzernamen unter Windows NT/2000/XP an. Der Benutzername darf höchstens 20 Zeichen für die Anmeldung eines dynamischen lokalen Benutzers enthalten. (Dies schließt nicht den Kontext ein.)

    Ein Benutzer, der manuell über den Benutzer-Manager erstellt wird, kann keinen längeren Namen haben.

    Vollständiger Name: Gibt den vollständigen Namen des Benutzers an.

    Beschreibung: Geben Sie weitere Informationen ein, mit denen Sie das Benutzerkonto definieren können.

    Mitglied von: Die Liste enthält die Gruppen, bei denen dieser Benutzer Mitglied ist. Bei der Erstellung des Arbeitsstationsbenutzers kann NWGINA Gruppenmitgliedschaften in allen Benutzergruppen zur Verfügung stellen. Die Gruppen, denen der Benutzer hinzugefügt wird, werden in der Liste Mitglied von aufgeführt. Standardmäßig wird der Benutzer der Gruppe "Benutzer" hinzugefügt. Andere Gruppen können hinzugefügt werden, indem Sie die gewünschte Gruppe wählen und auf Hinzufügen klicken. Sie können Gruppen entfernen, indem Sie die gewünschte Gruppe auswählen und auf Entfernen klicken.

    Kein Mitglied von: Die Liste enthält die verfügbaren Gruppen, denen der Benutzer bisher nicht als Mitglied zugeordnet ist.

    Benutzerdefiniert: Mit dieser Schaltfläche wird die Seite "Benutzerdefinierte Gruppen" geöffnet. Hier können Sie eine neue benutzerdefinierte Gruppe hinzufügen, eine bestehende benutzerdefinierte Gruppe löschen sowie Eigenschaften einer solchen Gruppe anzeigen oder ändern. Klicken Sie auf die Schaltfläche Hilfe im Dialogfeld "Eigenschaften der benutzerdefinierten Gruppe", um weitere Informationen zu den verfügbaren Optionen zu erhalten.

  5. (Optional) Wenn Sie den DLU-Zugriff auf bestimmte Arbeitsstationen beschränken möchten, klicken Sie auf den Abwärtspfeil auf der Registerkarte Dynamischer lokaler Benutzer > Anmeldebeschränkungen.

    Die Seite "Anmeldebeschränkungen" der Richtlinie für dynamische lokale Benutzer.

    1. Aktivieren Sie das Kontrollkästchen Anmeldebeschränkungen aktivieren, um den DLU-Zugriff auf bestimmte Arbeitsstationen zu beschränken.

      Wenn Sie das Kontrollkästchen Anmeldebeschränkungen aktivieren aktivieren, stehen die Schaltflächen Hinzufügen und Löschen zur Verfügung.

    2. Aktivieren Sie das Kontrollkästchen Nicht registrierte Arbeitsstationen beschränken, wenn Sie den DLU-Zugriff auf nicht registrierte Arbeitsstationen beschränken möchten.

      In früheren Version von ZENworks for Desktops konnte auf Arbeitsstationen, die nicht bei eDirectory registriert waren, kein DLU-Zugriff zugelassen werden, da sie nicht in der Liste Angeschlossene Arbeitsstationen aufgeführt werden konnten. Wenn Sie diese Option aktivieren, kann für nicht registrierte Arbeitsstationen kein DLU-Zugriff erlaubt werden (wie in früheren Versionen von ZENworks for Desktops). Wird das Kontrollkästchen Nicht registrierte Arbeitsstationen beschränken nicht aktiviert, kann für alle nicht registrierten Arbeitsstationen der DLU-Zugriff zugelassen werden, und zwar auch dann, wenn sie nicht in der Liste Angeschlossene Arbeitsstationen enthalten sind.

    3. Verwenden Sie die Schaltflächen Hinzufügen und Löschen unter der Liste Nicht angeschlossene Arbeitsstationen nach Bedarf.

      Die Liste Nicht angeschlossene Arbeitsstationen enthält die Arbeitsstationen und Container, für die kein DLU-Zugriff zulässig sein soll. Auf den hier aufgeführten Arbeitsstationen sowie auf denjenigen, die zu einem hier aufgeführten Container gehören, kann der DLU-Zugriff nicht genutzt werden. Sie können für einzelne Arbeitsstationen Ausnahmen machen, indem Sie diese in die Liste Angeschlossene Arbeitsstationen aufnehmen. Damit wird der DLU-Zugriff auf diese Arbeitsstationen erlaubt und auf die übrigen Arbeitsstationen des Containers ausgeschlossen.

    4. Verwenden Sie die Schaltflächen "Hinzufügen" und Löschen unter der Liste Angeschlossene Arbeitsstationen nach Bedarf.

      Die Liste Angeschlossene Arbeitsstationen enthält die Arbeitsstationen und Container, für die DLU-Zugriff zulässig sein soll. Die hier aufgeführten Arbeitsstationen sowie diejenigen, die zu einem hier aufgeführten Container gehören, können den DLU-Zugriff verwenden. Sie können für einzelne Arbeitsstationen Ausnahmen machen, indem Sie diese in die Liste Nicht angeschlossene Arbeitsstationen aufnehmen. Damit wird der DLU-Zugriff nur auf diesen Arbeitsstationen verhindert und auf den übrigen Arbeitsstationen des Containers zugelassen.

  6. (Optional) Klicken Sie auf der Registerkarte Dynamischer lokaler Benutzer auf den Abwärtspfeil > Dateirechte, wenn Sie den DLU-Dateisystemzugriff auf Arbeitsstationen und Terminalservern unter Windows NT/2000/XP verwalten möchten.

    Die Seite "Dateirechte" der Richtlinie für dynamische lokale Benutzer.

    Sie können den Zugriff auf vollständige Verzeichnisse oder auf einzelne Dateien steuern. Falls beispielsweise die dynamische lokale Benutzerrichtlinie den Benutzer als Mitglied einer Gruppe erstellt, die keinen Zugriff auf ein Verzeichnis erteilt, das zur Ausführung einer Anwendung benötigt wird, können Sie auf dieser Seite explizit die erforderlichen Verzeichnisrechte erteilen. Hat der Benutzer beispielsweise Vollzugriff auf ein Verzeichnis, kann er auf dieser Seite die Rechte auf beliebige Seiten im Verzeichnis einschränken.

    1. Mit der Schaltfläche Hinzufügen können Sie die Verzeichnisse und Dateien ändern, für die dem Benutzer explizit Dateisystemrechte zugewiesen wurden.

      Sie werden zur Eingabe oder Auswahl des Verzeichnisses oder der Datei aufgefordert. Der Verzeichnis- oder Dateipfad muss aus der Perspektive der Arbeitsstation oder des Terminalservers betrachtet werden, auf der bzw. dem die Rechte erteilt werden. Nachdem Sie eine Datei oder ein Verzeichnis in der Liste hinzugefügt haben, wählen Sie die Datei oder das Verzeichnis aus und erteilen Sie dann im Feld Dateirechte die entsprechenden Dateirechte ("Vollzugriff", "Lesen", "Schreiben", "Ausführen", "Berechtigung erteilen" und "Besitz übernehmen").

      In der Liste Dateirechte werden die Verzeichnisse und Dateien angezeigt, für die dem Benutzer explizit Dateisystemrechte erteilt wurden. Wenn Sie ein Verzeichnis oder eine Datei in der Liste auswählen, werden die zugewiesenen Rechte im Feld Dateirechte unter der Liste angezeigt. Erklärungen zu den einzelnen Rechten ("Vollzugriff", "Lesen", "Schreiben", "Ausführen", "Berechtigung erteilen" und "Besitz übernehmen") finden Sie in der Dokumentation zum Betriebssystem Microsoft Windows.

    2. Mit den Pfeilschaltflächen rechts neben dem Listenfeld Dateirechte können Sie die gewünschte Position der Einträge festlegen.

      Verzeichnisrechte werden in der Reihenfolge der in der Liste enthaltenen Verzeichnisse zugewiesen (von oben nach unten). Enthält die Liste ein Verzeichnis und sein Unterverzeichnis, muss das Unterverzeichnis aufgrund der Vererbung von Verzeichnisrechten in der Liste hinter dem übergeordneten Verzeichnis aufgeführt werden. Hierdurch wird sichergestellt, dass die dem Unterverzeichnis explizit zugewiesenen Rechte nicht durch Rechte außer Kraft gesetzt werden, die es von seinem übergeordneten Verzeichnis übernimmt.

      Dateirechte haben stets Vorrang vor Verzeichnisrechten, unabhängig von ihrer Position in der Liste. Wenn Sie beispielsweise für das Verzeichnis c:\programme Vollzugriff und für die Datei c:\programme\beispiel.txt Lese- und Ausführungsrechte erteilen, werden dem Benutzer die Lese- und Ausführungsrechte für die Datei zugewiesen, unabhängig davon, ob die Datei vor oder hinter dem Verzeichnis aufgeführt ist.

      Sie können das Vererben von Rechten im NTFS-Dateisystem deaktivieren und unter Windows XP ist das Vererben von Rechten standardmäßig nicht erlaubt.

  7. Klicken Sie zum Speichern der Richtlinie auf OK.

  8. Wiederholen Sie Schritt 1 bis Schritt 7 für jede Plattform, auf der eine Richtlinie für dynamische lokale Benutzer festgelegt werden soll.

  9. Wenn alle Richtlinien für dieses Paket konfiguriert wurden, fahren Sie mit den Schritten in Abschnitt 15.13, Verknüpfen des Benutzer- oder Arbeitsstationspakets fort, um das Richtlinienpaket zu verknüpfen.