Zum Inhalt springen

Benutzerverwaltung Windows NT 4.0

alligator

Von alligator
in Windows

 Teilen

Empfohlene Beiträge

alligator

alligator

Geschrieben
Geschrieben

Hallo,

wir Azubis müssen hier ein Netzwerk (Übungsweise) aufbauen. Vorgabe ist u.a. eine Benutzerverwaltung unter Windows NT 4.0 Server. Domäne haben wir erfolgreich angelegt, ebenso die User. Allerdings haben wir das mit den ganzen lokalen und globalen Grupppen nicht wirklich verstanden... Was muss wo rein?

Wir brauchen:

- ein Privates Userlaufwerk das bei jedem Start zugewiesen wird

- ein Transverlaufwerk wo jeder alles kann

- Beschränkungen für die User (so sachen wie Uhrzeit nicht änderbar, Kein zugriff auf die Systemsteuerung u.s.w.)

Wäre echt toll wenn uns einer helfen kann!!!

Gruß

Alligator

Terran Marine

Terran Marine

Geschrieben
Geschrieben
Original geschrieben von alligator

Wir brauchen:

- ein Privates Userlaufwerk das bei jedem Start zugewiesen wird

- ein Transverlaufwerk wo jeder alles kann

- Beschränkungen für die User (so sachen wie Uhrzeit nicht änderbar, Kein zugriff auf die Systemsteuerung u.s.w.)

Hallo,

das Transferlaufwerk sollte über ein Netzlogon Skript zugewiesen werden, die Rechte sind sind vorher entsprechend zu setzen (Schreib- Leserechte für alle),

das Userlaufwerk kann man entweder über das Basislaufwerk im Usermanager festlegen, oder man gibt es mit ins Netlogonskript (net use h: \\server\privat\%username% ).

Ich empfehle das Logonskript, da du bei Änderungen von Servern etc. nur einmal was ändern musst.

Die Rechte für die einzelnen Laufwerke sind entsprechend zu setzen (User alles, Rest nichts)

Die Beschränkungen würde ich über Policies regeln, dazu müsste ich jetzt aber etwas weiter ausholen (schau dir erstmal vorhandene Threads in der Suche an), du hast aber bei richtiger Konfiguration, die Möglichkeit dem User oder einzelnen Gruppen so gut wie alles an Rechten zu nehmen bzw. zu geben.

Wenn noch Fragen sind, immer raus damit.

Gruß

Terran Marine

alligator

alligator

Geschrieben
  • Autor
Geschrieben

Hi,

also die Frage bezog sich eher auf die Gruppen.

Afaik funzt es ja so:

Ressourcen ==> Lokale Gruppen.

Lokale Gruppen ==> Globale Gruppen

User ==> Globale Gruppen

Und somit hat jeder User die Ressourcen ja durch die globalen Gruppen. Aber bei WINNT 4

kann ich den lokalen Gruppen gar keine Ressourcen zuordnen sondern nur den einzelnen Usern. Wozu dann lokale & globale Gruppen ?!?

Die Transfer-Laufwerksvergabe hab ich mit nem kleinen Script schon gemacht.

Aber bei den User-Laufwerken ist das Problem dass ich ja für jede User ein eigenen Ordner anlegen muss und dann extra noch freigeben und noch die Permissions da auch auf den User ändern. Das ist ja voll die Mega-Arbeit bei z.B. 100 Usern. Kann man das nicht einfacher machen ?

cu

alligator

2-frozen

2-frozen

Geschrieben
Geschrieben
Original geschrieben von alligator

Wozu dann lokale & globale Gruppen ?!?

Die lokalen gruppen beziehen sich auf die maschine .. sprich die Workstation, die globalen entsprechend auf die Domäne und gelten somit für alle Workstations. Sieht im Prinzip so aus:

1. Globale Gruppen

2. Loakle gruppen

3. Benutzer

Wenn du Usern in Globaler Gruppe A etwas verbietest, es ihm aber in der lokalen Gruppe B an einer speziellen Maschine wieder erlaubst, darf er an allen Maschinen bis auf an dieser einen es nicht tun.

Die Erklärung ist jetzt am beispiel Policies dargestellt.

Was die Ressourcen angeht ... lokale Gruppen können natürlich nicht auf Ressourcen der Domäne bzw. des Netzwerks zugreifen, da sie dort keine Rechte haben. Im Normalfall sehen sie nicht über ihren lokalen PC hinaus.

hoffe, cih konnte mich etwas verständlich ausdrücken ;)

Terran Marine

Terran Marine

Geschrieben
Geschrieben
Original geschrieben von alligator

Wozu dann lokale & globale Gruppen ?!?

edit: hab deine Frage falsch verstanden, frozie hats ja erklärt.

Die Transfer-Laufwerksvergabe hab ich mit nem kleinen Script schon gemacht.

Aber bei den User-Laufwerken ist das Problem dass ich ja für jede User ein eigenen Ordner anlegen muss und dann extra noch freigeben und noch die Permissions da auch auf den User ändern. Das ist ja voll die Mega-Arbeit bei z.B. 100 Usern. Kann man das nicht einfacher machen ?

Schreib dir doch ein Skript welches dir automatisch einen User anleg, den Ordner erstellt und die Rechte setzt (wozu bist du denn AE ;) )

Mit net user kannst du denn User anlegen, Verzeichnis erstellen ist klar, mit calcs (bin nicht sicher ob das standardmässig bei NT4 dabei ist, sitze mom vor 2k, zu Not aus dem Reskit nehmen) stellst du die Zugriffsrechte ein, mit Net share gibts du das Verzeichnis frei.

Gruß

Terran Marine

alligator

alligator

Geschrieben
  • Autor
Geschrieben

HI

@2-frozen

Hmm ich glaub ich versteh dich nicht ganz, denn wenn ich das richtig verstehe auf der Website, dann widerspricht das deinem Post.

#

...

Standardmäßig wurden über die lokalen Gruppen die Zugriffe auf die Ressourcen geregelt und die Benutzerkonten den globalen Gruppen zugeordnet. Sollte ein Benutzer Zugriff auf eine Ressource bekommen, wurde die globale Gruppe einfach in die lokale Gruppe aufgenommen.

...

#

http://www.faqweb.de/tip1147.htm

@ Terran

Bin zwar AE, aber primät mit Perl :o)

Kannst mir da ein bisschen reinhelfen ?

Mein Ansatz:

set MYUSER=Hund

mkdir d:\xyz\MYUSER

calcs ?

net share d:\xyz\MYUSER

cu

alligator

Terran Marine

Terran Marine

Geschrieben
Geschrieben

Nabend nochmal,

@ECHO OFF

REM Prueft ob ein Parameter übergeben worden ist, wenn nicht Abbruch

IF %1_==_ GOTO ENDE

REM Legt einen User an, Username = %1 , Passwort = %2

net user %1 %2 /ADD /SCRIPTPATH:start.bat

REM Legt das Home-Verzeichnis des Users an

mkdir c:\server\%1

REM Vergibt Zugriffsrechte auf das Homeverzeichnis des Users

REM Nur der User selbst und die lokalen Administratoren haben Zugriff

cacls c:\server\%1 /G %1:F Administratoren:F

REM Freigabe auf den Ordner erstellen, Zugriffsrechte können auf jeder bleiben

REM da die Sicherheitsberechtigungen auf Verzeichnisebene nur den User zulässt

net share %1=c:\server\%1

:ENDE

Das Skript muss auf dem PDC ausgeführt werden, soll es auf jeden Rechner ausgeführt werden können, müssen die Pfade angepasst werden ( auf UNC-Pfade).

Das Skript wird über die Parameter %1 und %2 gesteuert, %1 ist der Username, %2 das Passwort. Der neu angelegte User bekommt das Netlogon Skript start.bat zugewiesen.

Nicht vergessen allen notwendigen Pfade anzupassen.

Habe es hier unter 2K getestet und es läuft einwandfrei, weiß aber nicht ob die Syntax der Befehle unter NT4 100% gleich ist, also ausprobieren und bescheid geben wenn noch Hilfe notwendig ist.

Wenn du weiter verfeinen willst (zB. beim User anlegen), einfach mal die Hilfe von net user aufrufen, dort findest du weitere Konfigurationsmöglichkeiten.

Gruß

Terran Marine

dstorki

dstorki

Geschrieben
Geschrieben
Original geschrieben von alligator

HI

@2-frozen

Hmm ich glaub ich versteh dich nicht ganz, denn wenn ich das richtig verstehe auf der Website, dann widerspricht das deinem Post.

#

...

Standardmäßig wurden über die lokalen Gruppen die Zugriffe auf die Ressourcen geregelt und die Benutzerkonten den globalen Gruppen zugeordnet. Sollte ein Benutzer Zugriff auf eine Ressource bekommen, wurde die globale Gruppe einfach in die lokale Gruppe aufgenommen.

...

Genau so siehts eigentlich auch aus!

Domänen Benutzer werden nie in lokale Gruppen eingetragen, sondern nur in globale! Und die globalen werden in die lokalen Gruppen eingetragen! Dadurch behält man eher die Übersicht und es ist alles einfacher zu verwalten!

Ganz banales Beispiel: Du hast ja im Normallfall auf Servern immer die gleichen Rechtestrukturen für (Ober-)Administratoren! Lokal auf den Servern gibt es eine entsprechende Gruppe für Admins bereits!

Nämlich die Server-Administratoren! Nun legst du in deiner Domäne eine globale Gruppe an (gib ihr einen aussagekräftigen Namen), die du in die Server-Administratoren auf jedem vorhandenen Server einträgst! Nun fügst du in die globale Gruppe die User ein, die Server administrieren!

Wenn nun ein Server zu deiner Domäne hinzukommt, kein Problem: du trägst einfach die globale Gruppe in die lokale Gruppe ein und deine Admins können auch auf dem neuen Server werkeln!

Genauso einfach ists, wenn ein neuer Serveradmin zu deinem Team dazukommt! Trage ihn einfach in die globale Gruppe ein und los gehts!

Würdest du jedoch User in die lokalen Gruppen eintragen, müßtest du bei jedem neuen Server alle deine Admins in die Server-Administratoren Gruppe eintragen müssen, bzw. müßtest, wenn ein neuer Mitarbeiter hinzukommt auf jedem Server diesen einen Mitarbeiter zu der Server-Administratoren Gruppe hinzufügen!

Und genauso siehts aus, wenn irgendwelche Admins wegfallen....

Soooooooo, das war jetzt lang und schmerzvoll...

Keine Ahnung obs dir was bringt! Mach das Beste draus!

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...