Würde man Windows NT 4.0 Server auf diese wenigen Features reduzieren, so wäre das zu vergleichen mit der Beschreibung eines Ferarris, die sich auf die Karosserie beschränkt, den Motor jedoch völlig außer Acht läßt. Ein wesentliches Kennzeichnen von Windows NT 4.0 ist, daß dieses Betriebssystem nicht nur ein File und Print-Server sondern auch ein ausgezeichneter Applikations-Server ist. NT verbindet die Tugenden für die Novell und Unix berühmt waren und vereinigte diese in einem einzigen Betriebssystem. Die Fähigkeiten des Applikations-Servers wurde anfangs von vielen nicht verstanden oder heruntergespielt, jedoch sind gerade diese jener Brocken an dem der rote Riese (Novell) schwer zu knabbern hat, da er ihnen absolut nichts Vergleichbares entgegensetzen kann.

Windows NT 4.0 Server ist nur ein Teil von Microsofts Back Office, eines sich ständig erweiternden Server Pools indem derzeit folgende Produkte enthalten sind:

Information Internet Server 3.0: WWW, Gopher, FTP Server

Exchange 5.0: Mail- und Internet Mail Server mit Workgroupfunktionalität

System Management Server 1.2: Server für das Netzwerk Management. Neben der automatischen Hard- und Software Inventarisierung kann man mittels sogenannter Pakete, von einem zentralen Ort, die Verteilung von Software veranlassen.

SQL Server 6.2: Datenbank Server

Proxy Server 1.0: Neben der Funktionalität des Proxy Servers (Cache Server für Internet Seiten) wird auch der NT Server durch unerlaubte Zugriffe aus dem Internet abgeschottet. Der Ausdruck Firewall Server ist mangels der noch nicht vorhandenen Möglichkeit der Benachrichtigung derartiger Angriffe nicht gerechtfertigt.

SNA Server: Anbindung an die IBM Welt

Von besonderem Interesse ist dies vor allem im Schulbereich, da Microsoft seit 1. Mai ein speziell für Schulen geschnürtes Paket “Schulen ans Internet” um unter öS 5.000,- inklusive USt anbietet.

Das Paket enthält folgende Lizenzen:

1 Windows NT Server 4.0

50 Client Lizenzen für NT Server

1 Exchange Server 5.0 (inklusive Internet Mail Connector)

50 Client Lizenzen für Exchange

1 Proxy Server (dieser benötigt keine Clientlizenzen)

1 Front Page 97

50 Lizenzen des Internet Explorer

Kurzum, um weniger als 5.000,- kann man, Hardware und Verkabelung vorausgesetzt, eine Schule ins Internet bringen.

Auswahl des Servers

Bevor ich mich in meinem Artikel der Installation der Server Software zuwende, sollten wir noch kurz die Hardware Komponenten für einen NT Server betrachten.

Trotz Sparpaket sollte bei der Wahl des Server Motherboards immer ein Dual Prozessor Board gewählt werden. SCSI-2 oder UW Controller und die daran angeschlossenen Platten, CD-ROM wie DAT Streamer vervollständigen die nötige Server Hardware. Welche Produkte man dabei wählt ist dabei fast gleichgültig. Im Zweifel sollte man jedoch einen Blick in die Hardware Compatiblily List werfen um auch sicherzustellen, daß das Gerät unterstützt wird. Lediglich veraltete Geräte stellen ein Problem dar.

Wichtig für die Wahl des Servers sind die am Motherboard befindlichen Slots. Dank unserer Wahl eines Dual Prozessor Boards werden in der Regel 4 PCI, sowie ISA und EISA Slots unser Herz erfreuen, in die wir dann Bildschirmkarte und Server-Netzwerkkarten einbauen.

Zum Abschluß kommen wir zur scheinbar zentralen Frage des Prozessors bzw. Hauptspeichers. “Welcher Pentium darfs denn heute sein?” Dies ist eigentlich die falsche Frage. “Der Speicher macht die Musik!” Natürlich kommt es sehr stark auf den Verwendungszweck des Servers an. Reine File- und Print Server werden ohnehin nur mehr selten betrieben. Intranet und damit WWW-Dienste und Mail Server Funktionalität sind bereits heute wesentliche Bestandteile eines modernen Unternehmens. 64 MB RAM reichen zwar für die zuvor genannten Dienste aus, ja man könnte auch nur 32 MB verwenden, aber jedes Stückchen mehr Speicher steigert die Performance des Systems. Eine Universalformel für den RAM Speicher kann es aufgrund der vielen Einflußfaktoren – unterschiedliche Dienste (Anwendungen), Anzahl der Clients - nicht geben. Eine einfache Kontrolle der Speichergröße werden wir im Rahmen der Installation später kennenlernen.

NT Netzwerk Konzept

Bevor wir uns mit der sehr einfachen Installation von Windows NT beschäftigen, müssen wir uns noch kurz mit dem derzeitigen NT Konzept auseinandersetzen. Jedes NT Netzwerk besteht aus mindestens einer Domäne (engl. Domain) in der mindestens ein Primary Domain Controller (kurz: PDC) installiert werden muß. Auf dem PDC befindet sich die Master Directory Database, in der sämtliche Konten – Benutzer, Gruppen und Computerkonten - gespeichert werden.

Eine Domäne ist eine logische Verwaltungseinheit eines Netzes, die zentral vom Primary aus verwaltet wird.

Neben dem Primary – Highländer Motto: “Es kann nur einen geben!” – können in einer NT Domäne noch Backup Domain Controller, Member Server oder Windows NT Workstations enthalten sein. Backup Domain Controller (kurz BDC) erhalten eine Kopie der Master Directory Database und nehmen Client-Anmeldungen zur Validierung des Accounts entgegen. Um einen BDC aufzusetzen, muß der Primary bereits installiert sein und am Netz hängen. Im Falle eines Ausfalles des PDCs kann ein BDC durch Hochstufen die Funktion des PDCs so lange übernehmen, bis dieser wieder ans Netz geht.

Member Server sind Mitglieder einer Domäne und werden damit auch zentral vom PDC verwaltet, jedoch haben sie eine eigenständige Master Directory Database, die unabhängig von der Master Directory Database des PDCs ist. Sie stellen damit eine wesentliche Bereicherung des Konzeptes dar, weil es dadurch zB möglich wird die externen Benutzer eines Web- oder FTP Servers in einer von der Domäne unabhängigen Datenbank zu speichern.

Angenommen, wir haben die obige Domäne Schule realisiert. Für die Benutzung unseres Web Servers haben wird die Accounts der externen Benutzer, also jener Personen die vom Internet her kommen, am Member Server angelegt. Durch diese Installationsstrategie existieren diese Benutzerkonten nicht in der Domäne Schule, wodurch die Sicherheit des internen Netzes und seiner Ressourcen gewährleistet ist.

Neben dem soeben dargestellten “single domain” Konzept gibt es noch drei weitere Konzepte, nämlich das “master domain”, “multiple master domain” und “complete trusted domain” Konzept, um die unterschiedlichen Bedürfnisse von Unternehmen abzudecken. Bill Gates Spruch: “We have to eat our own dog food” führte auch dazu, daß bereits vor mehreren Jahren Microsofts internes Netz mit Hilfe des Domänenkonzeptes realisiert wurde. Dieses Netz “in dem die Sonne nie untergeht” umfaßt immerhin zirka 30.000 Arbeitsplätze und 3.000 Server.

Installation der
Server Software

Mit dem Wissen des vorigen Abschnittes ausgestattet beginnen, wir nun mit der Installation eines Primary Domain Controllers. Um NT aufzusetzen müssen wir zuvor kein anderes Betriebssystem wie zB MS-DOS aufsetzen. Wir legen die Boot Diskette und CD-ROM ein und schalten den Server ein. Nach der Boot Diskette werden noch zwei weitere Disketten benötigt, bevor der erste Teil der Installation beginnt. Die Erklärungen während des Setup sind klar und leicht verständlich, wodurch die Installation des Primarys einfach von der Hand geht.

Während des ganzen Setup Prozesses sind nur einige wenige Fragen zu beantworten:

Wie soll die Platte partioniert werden?

Welches Dateisystem (FAT oder NTFS) soll verwendet werden? Aus vielen Gründen sollte der Server ausschließlich mit dem neuem Dateisystem NTFS (New Technology File System) betrieben werden.

Eingabe des Lizenznehmers und der Seriennummer.

Welche Art von Server (Primary, Backup oder Member Server) soll installiert werden?

Welche Protokolle (Netbeui, IPX/SPX oder TCP/IP) sollen installiert werden?

Eingabe des Lizenz Modus (per Server oder per Site)

Name der Domäne: Um hier gleich mögliche Verwechslungen auszuschließen: Der Namen einer NT Domäne hat nichts mit dem einer Internet Domäne zu tun und kann auch später geändert werden.

Kennwort des Benutzerkontos “Administrator”: Neben der Eingabe eines sicheren Kennwortes sollte dieses auch in einem Brief hinterlegt werden. Das Konto kann und sollte auch umbenannt werden, gelöscht werden kann es jedoch nicht.

Sogar dann wenn derjenige, der die Installation des Primarys, vornimmt nicht viel Ahnung von den vorher erwähnten Punkten hat und immer die Standardwerte wählt, erhält er einen funktionsfähigen Primary, dessen Parameter nachträglich geändert werden können. Angenehm bei der Installation ist, daß der größte Teil der Installation im grafischen Modus abläuft.

Nach zweimaligem Booten während der Installation erfolgt erstmals die Anmeldung direkt am Server, der den Administrator mit der vertrauten Windows 95 Oberfläche “begrüßt”.

Doch mit der Installation des Primarys alleine ist es nicht getan. Neben der Installation des Servers müssen nun in weiterer Folge:

Der Server eingerichtet d.h.:

Benutzer und Gruppen angelegt,

Verzeichnisse am Server für Programme und Benutzer erstellt und mit Zugriffsrechten ausgestattet,

Netzwerkdrucker für die Benutzer eingerichtet,

Anmeldeskripts für die Benutzer erstellt werden und

die Arbeitsplätze der Benutzer aufgesetzt und mit der entsprechenden Software ausgestattet werden.

Im Rahmen dieses Artikels ist es mir leider nicht möglich alle Facetten dieser Arbeit bis ins kleinste Detail zu besprechen.

Einrichten der
Benutzerstruktur

Um sich in einer NT-Domäne anmelden zu können, benötigt jeder Anwender, der sich anmeldet, ein Benutzerkonto und ein Kennwort, der dieses Konto vor illegaler oder mißbräuchlicher Verwendung schützt. Derartige Konten werden wieder in Gruppen zusammengefaßt um die administrative Arbeit im Netz zu erleichtern.

Windows NT kennt zwei unterschiedliche Arten von Gruppen:

Globale Gruppen, die einerseits der reinen Organisation von Benutzern dienen und andererseits in andere NT-Domänen exportiert werden können. In einer globalen Gruppe können ausschließlich Benutzerkonten aufgenommen werden. Globale Gruppen lassen sich leicht aufgrund des Organigramms eines Unternehmens bilden. In Schulen drängen sich Klassen und Jahrgänge nahezu auf.

Lokale Gruppen, denen Zugriffsfunktionen auf Verzeichnisse des Servers einerseits oder Benutzerfunktionen wie zB das Herunterfahren eines Arbeitsplatzes andererseits zugewiesen werden. Lokale Gruppen können entweder globale Gruppen oder Benutzerkonten enthalten. Lokale Gruppen können nicht in andere NT Domäne “exportiert” werden.

Wenn man sich erstmals mit NT-Gruppen auseinandersetzt, scheinen globale Gruppen überflüssig zu sein und um Arbeit zu sparen unterliegt man leicht der Versuchung nur Benutzer und lokale Gruppen einzurichten. Tun Sie dies nicht, wer weiß, was die Zukunft bringt, und ob Sie möglicherweise eine zusätzliche Domäne einrichten müssen. Dann werden Sie Ihren Entschluß bereuen.

Wieviele und welche Gruppen gebildet werden hängt von den jeweiligen Bedürfnissen des zukünftigen Netzbetreibers ab. Gruppen können nach organisatorischen, funktionalen, sicherheitsrelvanten, softwarebedingten usw Gesichtspunkten erstellt werden.

Mit der NT-Server CD-ROM werden drei unterschiedliche Möglichkeiten zum Einrichten der Benutzerstruktur angeboten:

Der NET-Befehl, ein zeilenorientiertes Programm (hier nicht weiter behandelt)

Der administrative Wizard:  Die entsprechenden Informationen werden vom Programm mittels mehrerer sich öffnenden Fenstern erfragt. Sehr hilfreich erweist sich dieser Assistent für Newcomer, die die anfänglichen Arbeiten, eventuell sogar die Installation eines Modems oder die Verwaltung der Datei und des Verzeichniszugriffes, damit erledigen kann.

Benutzermanager für Domänen: Das eigentliche Werkzeug für die Erstellung und Verwaltung des Benutzermanagments.

Neben der händischen Anlage der Benutzer und Gruppen dient dieses Produkt auch der Verwaltung der Kontenrichtlinien (Account Policy) sowie der Gewährung von Benutzerrechten (user rights).

In den Kontenrichtlinien werden die allgemeinen Eigenschaften für Benutzerkonten definiert. Hier legt der Admin fest, wie lange ein Kennwort mindestens sein muß, wie schnell ein Kennwort geändert werden muß, ob mögliche Einbruchsversuche durch hacken auf einem Account zu einem Sperren des Kontos führt und dergleichen mehr.

Im Zeitalter der Telekommunikation, wo jeder Netzbenutzer auch eine E-Mail Adresse und einen Internetzugang haben sollte, sind personifizierte Netzwerke ein Muß an dem kein Administrator mehr vorbeikommt. Das Schöne an Microsoft Backoffice Produkten ist, daß sie aufeinander abgestimmt sind und unnötige Arbeit vermieden werden kann, zB liest Microsofts großer Mail Server (MS Exchange) die in der Domäne angelegten Konten aus und generiert dann die dazugehörenden Postfächer der Benutzer einer Domäne.

Nicht unbedeutend ist die Frage, wie man mehrere hundert Benutzer mit dazugehörenden Gruppen anlegen und möglicherweise auch einfach verwalten kann. Im Resource Kit Teil 1 von MS befindet sich ein weiteres Programm “addusers”, mit dem Benutzer, lokale und globale Gruppen aus einer Ascii-Datei heraus angelegt werden können. Eine andere Möglichkeit ist der “User Agent”, einem österreichisches Tool, das sich diesem Thema speziell widmet und das Benutzermanagment vollautomatisiert.

Verwaltung von Verzeichnissen

Anders als z.B. bei Novell muß ein Verzeichnis auf einem Server erst freigegeben werden, bevor ein Anwender von einem Arbeitsplatz darauf zugreifen kann. Freigaben können nun allgemein, d.h. für jedermann im Netz in der Netzwerkumgebung sichtbar sein, oder aber der Administrator kann diese Freigaben auch versteckt vornehmen. Die derart erstellten und freigegebenen Verzeichnisse werden in der Netzwerkumgebung als “Ressourcenliste” angezeigt, in der alle Ressourcen eines Netzwerk PCs aufgeführt sind. Ein Benutzer kann die Netzwerkumgebung durchwandern und sich auf diese Art und Weise Netzwerkdrucker oder Verzeichnisse zuweisen.

Mit dem DFS (distributed file system), das ursprünglich für NT 5.0 vorgesehen war, kann man seit Dezember 97 einen virtuellen Server aufbauen, dessen Ressourcen aus Verzeichnissen unterschiedlicher Server oder Workstations aufgebaut sind. Durch die Anordnung der physischen Ressourcen diverser Maschinen unter einem einzigen virtuellen Server erspart man dem Anwender das Zusammensuchen der Ressourcen aus der Netzwerkumgebung. Für den Administrator eines Netzes ist dieser Ansatz jedoch von noch viel größerem Interesse, weil er damit seine Ressource virtualisiert, d.h. jederzeit bei Bedarf, sei es aus Performacegründen oder wegen Speicherproblemen, von einer Maschine auf eine andere Maschine im Netz legen kann, ohne daß sich für den Anwender etwas ändert.

Zum Schutz der Daten und aus Gründen der Sicherheit müssen jedoch die freigegebenen Verzeichnisse vom Administrator mit entsprechenden Zugriffsberechtigungen ausgestattet werden. Je nach gewähltem Dateisystem (FAT oder NTFS) stehen unterschiedliche Verzeichnis- und Dateizugriffsberechtigungen zur Verfügung. Wie eingangs bereits erwähnt, gibt es keinen Grund, nicht NTFS, das neue Dateisystem von NT, zu wählen. Wenn der Administrator ein Verzeichnis anlegt, so erbt dieses Verzeichnis vom darüberliegenden Verzeichnis die Berechtigungen, die jedoch jederzeit geändert werden können.

Unter NTFS gibt es folgende Verzeichniszugriffsberechtigungen:

Kein Zugriff (no access): Ein wahrlich ganz besonderer Zugriff. Mit Hilfe dieser Berechtigung werden alle anderen, gleichgültig woher sie kommen und wie sie entstanden sind, außer Kraft gesetzt. Unter der Voraussetzung, daß der Eigentümer eines Verzeichnisses die Berechtigung hat, die Rechte eines Verzeichnisses zu ändern, kann er auch Domänen Administratoren, also Personen die sonst alle Rechte im Netz haben, aussperren.

Anzeigen (list): Anzeige des Inhaltes eines Verzeichnisses. Es werden die im Verzeichnis enthaltenen Dateien und Unterverzeichnisse angezeigt, darüber hinaus hat man die Berechtigung in Unterverzeichnisse zu wechseln.

Lesen (read): Bedeutet, daß Datendateien gelesen und ausführbare Programme gestartet werden können.

Hinzufügen (add): Mit dieser Berechtigung – von mir scherzhaft “Schularbeitsrecht” bezeichnet, -darf man Dateien in einem Verzeichnis anlegen. Vorhandene Dateien können jedoch nicht gelesen oder geändert werden

Hinzufügen und Lesen (add & read):

Ändern (change): Benutzer darf Dateien lesen, hinzufügen, ändern und löschen

Vollzugriff (full control): Über die Berechtigung “Ändern” hinaus erhält  der Benutzer das Recht “Berechtigungen zu ändern” und den “Besitz von Verzeichnissen und Dateien zu übernehmen”

Neben den Standardberechtigungen, die im Regelfall ausreichen, um ein Zugriffsrecht zu erteilen, kann der Administrator

Spezielle Verzeichniszugriffsrechte

Spezielle Dateizugriffsrechte

erteilen, indem er die Berechtigungen aus den Einzelberechtigungen (Lesen, Schreiben, Ausführen, Löschen, Besitz übernehmen und Berechtigung ändern) zusammensetzt. Selbstverständlich kann der Administrator auch für einzelne Dateien in einem Verzeichnis andere Zugriffsberechtigungen festlegen.

Durch die Organisation der Anwender in Gruppen sollte die Vergabe von Zugriffsberechtigungen ausschließlich über lokale Gruppen erfolgen. Befindet sich ein Anwender in mehreren Gruppen, denen Berechtigungen auf einem speziellem Verzeichnis erteilt wurden, so sind die Berechtigungen kummulativ, dh, das jeweils die höchste Berechtigung gilt, mit der Ausnahme des Rechts “Kein Zugriff”.

Beispiel: Der Anwender Hannes Sorglos ist gleichzeitig Mitglied in den Gruppen “Accounting” und “Office 97” und hat in jeder der Gruppen unterschiedliche Berechtigungen (siehe Abbildung).

Aufgrund der beiden Gruppen erhält Franz Sorglos das kummulative (oder höhere) Recht, nämlich “Hinzufügen und Lesen”.

Dieses NTFS Recht gilt für lokalen Zugriff, dh., daß Franz Sorglos dieses Recht hätte, wenn er sich direkt an der Konsole des Servers anmelden dürfte.

Tatsächlich dürfen sich nur Administratoren und Operatoren lokal anmelden. Dieses Benutzerrecht, das der “lokalen Anmeldung”, kann vom Administrator erteilt oder entzogen werden und wird in der Regel eigentlich nicht verändert.

Damit also Franz Sorglos auf das Verzeichnis “Bilanzen” von seinem Arbeitsplatz aus zugreifen kann, muß diese Verzeichnis mit eigenen, unabhängigen Freigaberechten freigegeben werden.

Windows NT kennt folgende Freigaberechte:

Kein Zugriff

Lesen

Ändern

Vollzugriff

Die Freigaberechte haben dieselbe Bedeutung wie die gleichlautenden NTFS-Rechte. Das effektive Recht eines Benutzer bei einem Zugriff über das Netzwerk setzt sich nun aus dem gemeinsamen Durchschnitt des NTFS-Rechts und des Freigaberechts zusammen.

Beispiel 1: Das kumulierte, also über alle Gruppen erreichte NTFS Recht ist “Ändern”, während das Freigabe Recht “Vollzugriff” ist. Das effektive Recht des Anwenders wäre in diesem Fall “Ändern”.

Beispiel 2: Das kumulierte, also über alle Gruppen erreichte NTFS Recht ist “Ändern”, während das Freigabe Recht “Lesen” ist. Das effektive Recht des Anwenders wäre in diesem Fall nur “Lesen”.

Um den Überblick nicht zu verlieren und die Ermittlung des effektiven Zugriffsrecht zu erleichtern, wird das standardmäßig eingetragen Recht “Everyone – full control” in der Praxis selten verändert, wodurch das effektive Recht eines Benutzers gleich dem kumulierten NTFS Recht ist. Darüber hinaus stimmen die Zugriffsberechtigungen auch dann, wenn der Anwender zu einem Operator avanciert und sich lokal am Server anmeldet.

Selten wird in der Praxis von der Möglichkeit der “Beschränkung des gleichzeitigen Zugriffes” auf ein Verzeichnis Gebrauch gemacht oder der zusätzlichen Freigabe eines bereits freigegeben Verzeichnisses unter einem anderen Sharename (Name der Ressource) mit einer anderen Zugriffsberechtigung auf Freigabeebene.

Einrichten von Netzwerkdruckern

Neben dem Benutzermanagement und der Verwaltung von Zugriffen auf das Dateisystem ist die Organisation der Drucker in einem Netzwerk für ein funktionierendes Netzwerk von entscheidender Bedeutung.

Allgemein unterscheidet ein Netzwerk Administrator zwischen:

lokalen Druckern und

Netzwerkdruckern, die entweder direkt am Server, an einer Workstation (remote) oder direkt am Netzwerk angeschlossen sind.

Lokale Drucker stehen ausschließlich einem Anwender zur Verfügung und sind an auf der Workstation lokal installiert.

Netzwerkdrucker sind freigegebene Ressourcen, die der Administrator für gemeinsame Benutzung definiert und zentral oder remote verwaltet.

In der NT Terminologie unterscheiden wir zwischen Druckern (logische Geräte, engl. printer) und Druckgeräten (physische Geräte, engl. printing device). So ist es z.B. möglich, daß für ein und denselben physischen Drucker mehrere logische Drucker definiert werden, die dann unterschiedliche Öffnungszeiten, Druckerberechtigungen, Prioritäten oder sonstige Eigenschaften haben. Wie ein Musterknabe erfüllt Windows sämtliche Forderungen, die ein Netzwerk Administrator an dieses Betriebsystem stellt. Anfängliche Schwierigkeiten in den Vorgänger Versionen sind längst überwunden und Microsoft bietet dem Administrator mit Windows NT 4.0 eine neue Möglichkeit, die es ihm erlaubt, Druckertreiber für seine Clients am Server zu hinterlegen und diese dann dynamisch z.B. zum Zeitpunkt der Anmeldung im Netz, zuzuweisen. Die Geschwindigkeit des Druckens einer NT- oder Windows 95 Workstation wird in einem NT-Server orientierten Netz allein dadurch gesteigert, daß der Druck-Server (z.B. der PDC oder BDC) die gesamte Aufbereitung für den Ausdruck übernimmt.

Die Installation eines Netzwerk Druckers ist, wie unter Windows üblich, sehr einfach und geht leicht von der Hand. Im Drucker-Ordner wird der Assistent für die Erstellung von Druckern aufgerufen und durch die Beantwortung weniger Fragen wird der gewünschte Drucker eingerichtet.

Bevor der erstellte Drucker als Netzwerkdrucker freigegeben wird, sollten die Eigenschaften der Druckdokumente überprüft und gegebenfalls eingestellt werden. Welche Fähigkeiten Windows hinsichtlich der Einstellung der Drucker hat, kann man im “Advanced” Register erkennen, in dem nicht nur die Anzahl der Kopien, die Papierzuführung sondern jede Funktion moderner Drucker ob Auflösung, Seitenschutz oder die Halbton Einstellung enthalten sind.

Nachdem der Drucker eingestellt wurde, werden die Druckerberechtigungen definiert und anschließend wird er freigegeben.

Windows kennt folgende Druckerberechtigungen:

Kein Zugriff: Verweigert den Zugriff. Normalerweise benötigt man dieses Recht nicht, da unter Windows NT ohnehin nur jene Benutzer auf eine Ressource zugreifen können, die in einer der berechtigten Gruppen des Druckers enthalten sind.

Drucken: Mit dieser Berechtigung kann man Dokumente ausdrucken.

Dokumente verwalten: Neben dem Drucken erhält der Berechtigte das Recht Dokumenteneigenschaften zu ändern und Druckvorgängen anzuhalten, zu starten oder zu löschen.

Vollzugriff: Umfaßt alle Rechte, dh neben den Rechten zur Verwaltung eines Dokuments erhält man die Rechte “des Räumens eines Druckers”, der “Änderung der Druckreihenfolge” oder den Drucker zu löschen.

Die effektive Berechtigung eines bestimmten Benutzers ist das kumulierte (höchste) Recht, das sich aus den Berechtigungen der einzelnen Gruppen zusammensetzt. (Ausnahme: Kein Zugriff)

Anmeldeskripts

Nachdem Gruppen, Benutzer, Verzeichnisse und Drucker eingerichtet und die Arbeitsplätze aufgesetzt wurden, kommen wir zur letzten Arbeit eines Netzwerk Administrators nämlich der Erstellung der Anmeldeskripts für die Netzwerkbenutzer. Aufgabe dieser Skripts ist es, bei der Anmeldung die Arbeitsumgebung eines Benutzers einzustellen, dh ihm unterschiedliche, benötigte Netzwerklaufwerke und Drucker zuzuweisen. Prinzipiell würde man heute eigentlich derartige Skripts gar nicht mehr benötigen. Durch Benutzerprofile, wandernde Desktops und der intuitiven Möglichkeit sich selbst Ressourcen zuweisen zu können ist eigentlich der Hauptzweck derartiger Skripts weggefallen. Administratoren müssen jedoch auf alle Benutzer in ihrem Netzwerk Rücksicht nehmen und erstellen deshalb in der Regel trotzdem derartige zentral hinterlegte Skripts.

Leider verfügt der mit NT mitgelieferte “Skriptprozessor” nur einen sehr eingeschränkten Befehlsumfang, weshalb die meisten Administratoren lieber “Kixtart” – ein von einem MS-Mitarbeiter geschriebenens Tool – einsetzen. Mit Hilfe dieses Skriptprozessors können sämtlich Anforderungen oder Wünsche abedeckt werden.

An Hand eines Beispielskripts möchte ich exemplarisch einige Möglichkeiten dieser Skriptsprache besprechen:

Color n/w+

CLS

at (2,8) „Anmeldung im Netz der HLW Bie..”

at (3,8) „Einrichtung der Arbeitsumgebung .“

Mittels des Color-Befehls können Vorder- und Hintergrundfarbe des Fensters beeinflußt werden. In diesem Fall wird schwarze Schrift auf weißem Hintergrund eingestellt. Anschließend wird der Fensterinhalt gelöscht und in der zweiten bzw dritten Zeile des Fenster mit Hilfe des AT-Befehles, der unter Hochkomma eingeschlossene Text, beginnend in der achten Spalte, ausgeben.

at (7,8)   “Stelle die Verbindung zum Kommunikationsverzeichnis her ...“

use k: “\\server\kommunikation“

$HomeName=@Userid+chr(36)

at (8,8)   “Stelle die Verbindung zu Ihrem Homeverzeichnis her ...“

use h: “\\schule\$HomeName“

;——-Aktualisierung des SIRW Verzeichnisses—-

if Exist(“c:\winline\sirw\gru9501.exe“)

at (10,8)   “Bitte um Geduld SIRW Verzeichnis wird aktualisiert! ...“

run “k:\sirw\update.bat“

endif

;  Druckerzuordnung der EDV Raeume

;  ———————————————————————

if instr(@wksta,"5-")0

  $PrinterError=addprinterconnection (“\\server\drucker5")

if $PrinterError0   

Messagebox (“Drucker im Raum EDV-5 nicht verfügbar!“,"Systemnachricht",0)

  endif

endif

Diese Beispiel sind nur ein ganz kleiner Teil der zur Verfügung stehenden Skriptsprache mit der man Rechnen, Sounds abspielen, Gruppenzugehörigkeiten überprüfen oder Eintragungen in die Registry vornehmen kann.

Was leider nicht besprochen werden konnte!

Viel zu viel konnte leider nicht einmal erwähnt werden, RAS (Anmeldung der Teilnehmer über Modem), Remote Administration von einem Arbeitsplatz aus oder über das Internet, das automatische Aufsetzen von Arbeitsplätzen mittels “Unattended Setup” oder die Möglichkeiten des “Zero Admin Kit” um die administrative Arbeit und die Kosten pro Arbeitsplatz zu senken, konnten einfach nicht im Rahmen dieses Artikels behandelt werden. Der Information Intenet Server - ein FTP-, Gopher und Web Server - konnte zwar namentlich erwähnt, die Leichtigkeit seiner Installation, die perfekte Integration dieses Servers in das Betriebssystem von Windows NT Server und seine Fähigkeiten, sowie die breite Palette der Erweiterung der Internet Dienste sollten Sie sich jedoch nicht entgehen lassen. Microsoft selbst verwendet diesen Server und 121 Milllionen Hits pro Tag sprechen für sich.

Persönlich beschäftige ich mich intensiv seit mehr als 8 Jahren als Trainer und Administrator mit Netzwerken.  Über Novell 2.11, Novell 3.x kam ich zu Windows NT Server. Ein Jahr lang betrieb ich ein heterogenes Netz – NT und Novell – und administriere heute u.a. ein Schulnetz mit drei Servern (Windows NT Server 4.0) in dem 100 Arbeistplätze zu einem Inhouse LAN verbunden sind und jeder Arbeitsplatz über E-Mail und Internetanschluß verfügt. Den Entschluß für Windows NT Server als Netzwerkbetriebssystem habe ich nie bereut und die sich ständig erweiternde Server Produktpalette oder die neuen Versionen bekräftigen meinen Entscheidung, wenn auch die “tourn around” Zeiten immer kürzer werden. Mit Windows NT 5.0 wird Microsoft in der nächsten Release sein Betriebssystem u.a. hinsichtlich der Directory Services neu konzipieren und auch Kerberos als Security API einsetzen.

EDU Helpdesk – in eigener Sache

Literaturempfehlung