Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 14 Servergespeicherte Benutzerprofile, Basisordner, Ordnerumleitungen und Dokumentvorlageverzeichnisse
  gp 14.1 Servergespeicherte Benutzerprofile
    gp 14.1.1 Funktionsweise von servergespeicherten Benutzerprofilen
    gp 14.1.2 Servergespeicherte Profile einrichten
    gp 14.1.3 Der Gruppe »Administratoren« Vollzugriff auf servergespeicherte Profile erteilen
    gp 14.1.4 Die Rechte auf ein servergespeichertes Profilverzeichnis neu setzen
    gp 14.1.5 Verzeichnisse aus servergespeicherten Profilen ausnehmen
  gp 14.2 Basisordner und Ordnerumleitung
    gp 14.2.1 Funktion von servergespeicherten Basisverzeichnissen
    gp 14.2.2 Basisverzeichnisse auf dem Server zuweisen
    gp 14.2.3 Eine Ordnerumleitung für das Verzeichnis »Eigene Dateien« einrichten
  gp 14.3 Als Systemadministrator unter drei Kennungen diszipliniert arbeiten
  gp 14.4 Offline-Synchronisation für Benutzer mit mobilen Geräten
  gp 14.5 Zentrale Verzeichnisse für Dokumentvorlagen definieren
    gp 14.5.1 Benutzervorlagen und Arbeitsgruppenvorlagen
    gp 14.5.2 Das AutoStart-Verzeichnis über eine Gruppenrichtlinie festlegen
  gp 14.6 Dokumentvorlagen über mehrere Standorte synchronisieren


Galileo Computing

14.3 Als Systemadministrator unter drei Kennungen diszipliniert arbeiten  toptop

Inzwischen wurden servergespeicherte Benutzerprofile oft erwähnt. Doch sollten sie für Systemadministratoren aus bestimmten Gründen nicht angelegt werden. Ebenso sollte verhindert werden, dass ein generelles Benutzeranmeldeskript abläuft, wenn man sich als Systemadministrator anmeldet. Es ist Zeit, einige Ratschläge zu geben, wie Systemadministratoren sich verhalten müssen, um zu vermeiden, dass sie durch Unachtsamkeit mit ihren herausragenden Berechtigungen Schaden am Netzwerk anrichten.

Jeder Systemadministrator eines größeren Netzwerkes sollte unter drei verschiedenen Kennungen arbeiten. Die erste Kennung sollte die ganz normalen Berechtigungen eines Standardanwenders haben. Unter dieser Kennung kann der Administrator die Dinge austesten, die er mit einer Administratorkennung im System definiert hat. Er sieht genau das, was jeder andere Benutzer auch sieht, und er arbeitet genau mit den Berechtigungen, mit denen jeder andere Kollege auch arbeitet. Dies zwingt den Administrator dazu, die Arbeitsoberfläche und die Berechtigungen des Standardanwenders so zu gestalten, dass ein angenehmes Arbeiten ohne zu große Restriktionen möglich ist.

Ruft ein Mitarbeiter an, weil er auf ein Problem gestoßen ist, so kann der Administrator sofort überprüfen, ob das Problem auch auftaucht, wenn er unter seiner einfachen Kennung angemeldet ist, und zwar auf dem Computer des Mitarbeiters. Tritt es auf, so handelt es sich um ein generelles Problem, das für alle Anwender gelöst werden muss. Taucht es nicht auf, so liegt das Problem wahrscheinlich in den individuellen Einstellungen des Benutzers, der das Problem gemeldet hat.

Unter dieser Kennung kann der Administrator aber auch unbesorgt Mails schreiben und empfangen, Dokumente in Office erstellen und Tools aus dem Internet herunterladen, ohne aus Versehen Viren in das System einzuschleusen oder ungewollt Änderungen auf den Servern vorzunehmen.

Mit einer zweiten Kennung mit Administratorrechten sowohl am lokalen Computer als auch auf den Servern arbeitet der Systemverwalter, wenn er administrative Tätigkeiten ausführt, z.B. neue Abbilder für RIS erzeugt oder vorhandene Abbilder überarbeitet, Verzeichnisse und Freigaben auf dem Server erstellt und Berechtigungen für diese Serververzeichnisse vergibt oder Netzdrucker anlegt. Sowohl für diese administrative Kennung als auch für die Kennung mit einfachen Rechten kann er ein servergespeichertes Profil verwenden. Meldet er sich unter diesen beiden Kennungen am Computer eines Kollegen an, um einem Problem nachzugehen, so kann er unter der ersten Kennung überprüfen, ob das Problem des Kollegen sowohl unter der einfachen Kennung des Administrators als auch unter der Kennung mit Administratorberechtigungen auftritt. Tritt das Problem unter der administrativen Kennung nicht auf, so ist es wahrscheinlich, dass es sich um ein Berechtigungsproblem handelt. Mit der administrativen Kennung ist er berechtigt, Änderungen am System vorzunehmen oder Anwendungen und Hardwaretreiber neu zu installieren, um das Problem zu lösen.

Auf dem Server sollte der Administrator jedoch nur mit einer dritten Konsolenkennung arbeiten, und zwar auch dann, wenn er remote auf dem Server arbeitet oder die Windows-Server-Verwaltungsprogramme (auf einem Windows-XP-Client installiertes AdminPak.msi) startet. Für diese Kennung sollte er kein servergespeichertes Profil verwenden! Auf dem Server sollten keine Anwendungsprogramme wie Microsoft Office installiert sein. Folglich sollten auch keine Profileinstellungen bei der Arbeit auf dem Server greifen, die dann benötigt werden, wenn der Administrator an seinem Arbeitsplatz-PC mit Outlook oder Access arbeitet. Ebenso darf auf keinen Fall das allgemein verwendete Anmeldeskript abgearbeitet werden, wenn der Administrator sich am Server anmeldet, denn in diesem Anmeldeskript stehen vielleicht Befehle, die Anwendungen oder Tools installieren, die Registrierdatenbank verändern oder Dateien im Verzeichnis %WINDIR%\System32 austauchen. Diese Anmeldeskript-Befehle sind für einen Standardarbeitsplatz erstellt worden und können verheerende Folgen haben, wenn sie versehentlich auf einem Server ausgeführt werden.

Ein wichtiger anderer Grund, dem Konto eines Domänenadministrators kein servergespeichertes Profil zuzuweisen, ist folgender: Wenn Sie verschiedene Standorte mit langsamen WAN-Verbindungen betreuen müssen, so würde das servergespeicherte Profil über die langsame WAN-Verbindung geladen, wenn Sie sich abwechselnd an Computern der verschiedenen Standorte anmelden. Wenn Sie sich nach getaner Arbeit an diesem Computer wieder abmelden, so würde das lokale Profil bei der Abmeldung mit dem servergespeicherten Profil erneut synchronisiert. Diese An- und Abmeldevorgänge wären nicht nur unerträglich zeitraubend, sie würden auch die WAN-Verbindung unnötig stark belasten.

Gewöhnen Sie sich an, mit einer Kennung, die zur Gruppe der Domänenadministratoren gehört, ausschließlich nur dann zu arbeiten, wenn Sie administrative Tätigkeiten im Active Directory, also auf den Servern, ausführen müssen. Diese Kennung besitzt dermaßen umfassende Berechtigungen, dass Sie ungewollt großen Schaden anrichten können, wenn Sie unkonzentriert arbeiten oder z.B. durch Telefonate abgelenkt werden. Diese Aussage gilt besonders dann, wenn das zu administrierende System komplex ist und mehrere Personen als Domänenadministratoren arbeiten. Fehler, die sich durch eine undisziplinierte Nutzung dieser Kennungen einschleichen, sind später oft nicht nachvollziehbar und dann irreparabel. Es versteht sich von selbst, dass zumindest in einer komplexeren Gesamtstruktur mit mehreren Subdomänen unter einer Kennung, die zur Gruppe der Organisationsadministratoren oder Schemaadministratoren gehört, nur dann gearbeitet werden sollte, wenn Aufgaben zu erledigen sind, zu deren Erfüllung die herausragenden Berechtigungen dieser beiden Sicherheitsgruppen benötigt werden.

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de