Windows Benutzerverwaltung mit der MMC

Benutzer mit dem Windows Standardwerkzeuge - MMC - bearbeiten!

Welchen Sinn haben Benutzer?

Zunächst könnte man ja meinen, dass man am PC arbeiten kann, ohne das man sich mit einem Benutzer anmelden  muss. Denkbar wäre das ganze schon. ABER: Ein Benutzer hat natürlich seinen Sinn: Hierzu zählen z. B. die folgenden Aufgaben:

  • Sicherheit: (Nicht jeder darf alles – verschiedene Rechte)
  • Überwachung: (Die Aktionen der Benutzer kann man nachvollziehen)
  • Personalisieren des PC´s: (z.B. kann jeder seinen Desktop beliebig gestalten)

Ich denke die wichtigsten Aspekte sind natürlich der Zugriffsschutz und die Sicherheit. Generell gibt es nicht nur Benutzer, sondern auch Gruppen. Der Vorteil liegt daran, dass man mehrere Benutzer in Gruppen zusammenfassen kann. Berechtigungen vergibt man dann nicht mehr auf einzelne Benutzer, sondern auf komplette Gruppen. Dies vereinfacht enorm den administrativen Aufwand.

Vordefinierte Gruppen und Benutzer

Für die Verwaltung nimmt man am besten die Microsoft Management Console (MMC). Hier allerdings nicht vergessen, dass man diese als Administrator öffnet.

Befehl: mmc.exe

Leere Microsoft Management Console

Über Datei -> Snap-In hinzufügen kann man sich sämtliche Verwaltungstools anzeigen lassen und anschließen in die aktuelle Console mitaufnehmen. In unserem Fall fügen wir das Snap-In “Lokale Benutzer und Gruppen” hinzu.

Lokale Benutzer und Gruppen zur Console hinzufügen

 

Diese Console wenden wir natürlich auf den lokalen Computer an. Nun kann man sich die vorhanden bzw. schon erstellten Gruppen und Benutzer anzeigen lassen.

Vorhanden Benutzer am Windows System anzeigen

Was bedeutet eigentlich bei den Benutzern der weiße Kreis mit dem schwarzen Pfeil nach unten? Diese Konten sind deaktiviert. Es stellt sich sofort die Frage, warum ist der Administrator deaktiviert. Dies ist eine reine Sicherheitsmaßnahme. Man sollte für administrative Zwecke  einen neuen Account erstellen, welchem man hierfür verwendet. Das Anlegen eines neuen Benutzers erfolgt über einen Rechtsklick. Man kann Benutzer auch über die CMD verwalten – hierzu aber mehr in diesem Beitrag.

Wenn man per Rechtsklick auf einen Benutzer klickt, erhält man das unten dargestellte Eigenschaftsfeld.

Hier gibt es die Möglichkeit allgemeine Einstellungen vorzunehmen, (Ablauf des Kennworts etc.),  – Einstellungen hinsichtlich der zugehörigen Gruppen – (Mitglied von) und zu guter letzt das Profil, sprich den Profilpfad zu konfigurieren. Übrigens wird das Benutzerprofil standardmäßig im folgendem Pfad erstellt.

%SystemDrive%Users%UserName%     (% steht für eine Systemvariable)

z.B. c:Userstest 

Eigenschaften eines Benutzers

 

Im Windows System gibt es auch schon eine Menge vorhandener Gruppen. Entscheidend ist, das jeder Benutzer mindestens einer Gruppe angehören muss. Also ein Standardbenutzer sollte immer Mitglied von Benutzer sein.

Vorhanden Gruppen auf dem Windows System anzeigen

 

Sicherheit und die Benutzerkontensteuerung (UAC)

Am System sollte man immer als Standardbenutzer arbeiten und nie ständig als Administrator. Dies dient der Sicherheit. Sollte der Account gehackt werden, so hat der Angreifer immer noch nicht die vollen Rechte, denn er hat ja nur den Account eines Benutzers gehackt. Den Account mit administrativen Rechten sollte man nur verwenden, wenn man Ihn auch wirklich braucht.

Windows hat mit Vista hierfür die (User Account Controll) UAC – Benutzerkontensteuerung eingeführt. Sie sorgt für eine strikte Trennung zwischen Standardbenutzern und Administratoren. Wenn man etwas mit administrativen Rechten ausführen möchte, so greift die UAC und möchte je nach Einstellung eine Zustimmung oder einen Account, der für diese Aufgabe die entsprechende Rechte besitzt.

Die UAC beim Aufruf der MMC

Übrigens verwendet Linux diese Art der Trennung schon lange. Man benötigt nämlich den Befehl sudo um etwas mit administrativen Rechten ausführen zu können.

Die UAC kann für jeden Benutzer individuell konfiguriert werden. Hierzu muss man über die Systemsteuerung -> Benutzerkonten dementsprechende Einstellungen vornehmen. Auch im Registierungseditor regedit.exe, in den lokalen Sicherheitsrichtlinien secpol.exe und in den Gruppenrichtlinien gpedit.msc kann die UAC bearbeitet werden.

Nicht zu vergessen ist natürlich auch, dass man für die Benutzer vernünftige sichere Passwörter verwendet. Diese sollten aus mindestens 6 Zeichen mit Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen bestehen.

Pseudokonten

Für interne Zwecke verwendet Windows ebenfalls Benutzerkonten. Man bezeichnet diese als Pseudokonten und sie sind nur im lokalem System verfügbar.

  • System
  • Lokaler Dienst
  • Netzwerkdienst.

Tolle Bücher