6.1. Verwaltung von Benutzern über Univention Management Console Modul#

Benutzer werden im UMC-Modul Benutzer verwaltet (siehe auch Univention Management Console-Module).

Anlegen eines Benutzers im UMC-Modul 'Benutzer'

Abb. 6.1 Anlegen eines Benutzers im UMC-Modul Benutzer#

Über Weiter in Abb. 6.1 gelangt man auf die zweite Seite in Abb. 6.2, auf der dann das initiale Passwort gesetzt werden kann.

Passwortvergabe für einen neuen Benutzer

Abb. 6.2 Passwortvergabe für einen neuen Benutzer#

Alternativ besteht bei installierter Self Service App die Möglichkeit, das Setzen des Passworts dem Benutzer selbst zu überlassen. Dafür ist dann eine externe E-Mail-Adresse anzugeben, die als Kontakt-E-Mail-Adresse registriert wird. An diese erhält dann der Benutzer eine E-Mail mit einer Web-Adresse und einem Token, mit dem er sein Passwort setzen und seinen Zugang freischalten kann. Siehe dazu auch Passwort-Verwaltung über Self Service App.

Initiales Benutzerpasswort

Abb. 6.3 Initiales Benutzerpasswort#

In der Grundeinstellung wird zum Anlegen eines Benutzers ein vereinfachter Assistent angezeigt, der nur die wichtigsten Einstellungen abfragt. Alle Attribute können mit einem Klick auf Erweitert angezeigt werden. Der vereinfachte Assistent kann deaktiviert werden, indem die Univention Configuration Registry Variable directory/manager/web/modules/users/user/wizard/disabled auf true gesetzt wird.

Erweiterte Benutzeransicht

Abb. 6.4 Erweiterte Benutzeransicht#

6.1.1. Modul Benutzerverwaltung - Reiter Allgemein#

Tab. 6.1 Reiter Allgemein#

Attribut

Beschreibung

Anrede

Die Anrede des Benutzers kann hier eingegeben werden.

Vorname

Hier wird der Vorname des Benutzers eingetragen.

Nachname

Hier wird der Nachname des Benutzers angegeben.

Benutzername

Mit diesem Namen meldet sich der Benutzer am System an. Für empfohlene Zeichen für einen Benutzernamen, siehe Empfehlung zur Definition von Benutzernamen.

Um die Kompatibilität mit Nicht-UCS-Systemen zu gewährleisten, wird das Anlegen von Benutzern, die sich lediglich in der Groß- und Kleinschreibung unterscheiden, verhindert. Wenn beispielsweise der Benutzername meier bereits existiert, wird der Benutzername Meier nicht mehr zugelassen.

In der Grundeinstellung kann kein Benutzer mit dem Namen einer existierenden Gruppe angelegt werden. Wird die Univention Configuration Registry Variable directory/manager/user_group/uniqueness auf false gesetzt, wird diese Prüfung aufgehoben.

Beschreibung

Hier kann eine beliebige Beschreibung für den Benutzer eingetragen werden.

Passwort

Hier wird das Passwort des Benutzers eingegeben.

Passwort (Wiederholung)

Um Tippfehler auszuschließen wird das Passwort des Benutzers erneut eingegeben.

Passworthistorie ignorieren

Durch die Aktivierung dieses Auswahlkästchens wird die Passworthistorie für diesen Benutzer und für diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer mit dieser Änderung ein bereits verwendetes Passwort zugewiesen werden.

Weitere Hinweise zur Passwortverwaltung finden sich in Verwaltung der Benutzerpasswörter.

Passwort-Prüfungen ignorieren

Wird diese Option aktiviert, wird die Prüfung der Passwortlänge und -qualität für diesen Benutzer und für diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer mit dieser Änderung z.B. ein kürzeres Passwort zugewiesen werden, als in der Mindestlänge vorgegeben ist.

Weitere Hinweise zur Passwortverwaltung finden sich in Verwaltung der Benutzerpasswörter.

Primäre E-Mail-Adresse (Mailbox)

Hier wird die E-Mail-Adresse des Benutzers eingetragen, siehe Zuordnung von E-Mail-Adressen zu Benutzern.

Anzeigename

Der Anzeigename wird automatisch aus Vor- und Nachname gebildet. In der Regel muss er nicht angepasst werden. Der Anzeigename wird u.a. in der Synchronisation mit Active Directory und Samba/AD verwendet.

Geburtsdatum

In diesem Feld kann das Geburtsdatum des Benutzers gespeichert werden.

Organisation

Die Organisation/das Unternehmen, dem der Benutzer angehört, wird in diesem Feld eingetragen.

Mitarbeiternummer

Die Mitarbeiter- oder Personalnummer kann in dieses Feld eingetragen werden.

Mitarbeiterkategorie

Hier kann die Kategorie des Mitarbeiters festgelegt werden.

Vorgesetzter

Der Vorgesetzte des Benutzers kann hier ausgewählt werden.

Bild des Benutzers (JPEG-Format)

Über diese Maske kann ein Bild des Benutzers im JPEG-Format im LDAP hinterlegt werden. Standardmäßig ist die Dateigröße auf 512 Kilobyte limitiert.

6.1.2. Modul Benutzerverwaltung - Reiter Gruppen#

Tab. 6.2 Reiter Gruppen#

Attribut

Beschreibung

Primäre Gruppe

In dieser Auswahlliste kann die primäre Gruppe für den Benutzer festgelegt werden. Zur Auswahl stehen alle in der Domäne eingetragenen Gruppen. Standardmäßig ist die Gruppe Domain Users als Vorgabe eingestellt.

Gruppen

Hier können weitere Gruppenzugehörigkeiten des Benutzers neben der primären Gruppe eingestellt werden.

6.1.3. Modul Benutzerverwaltung - Reiter Konto#

Tab. 6.3 Reiter Konto#

Attribut

Beschreibung

Konto ist deaktiviert

Mir dem Auswahlkästchen Konto ist deaktiviert kann das Benutzerkonto deaktiviert werden. Wenn das Auswahlkästchen gesetzt ist, kann sich der Benutzer nicht am System anmelden. Das betrifft alle Methoden für die Authentifikation. Ein typischer Anwendungsfall ist ein Benutzer, der das Unternehmen verlassen hat. Eine Kontodeaktivierung kann in einer heterogenen Umgebung gegebenenfalls auch durch externe Tools ausgelöst werden.

Konto-Ablaufdatum

In diesem Eingabefeld wird ein Datum vorgegeben, an dem das Konto automatisch gesperrt wird. Dies ist sinnvoll für zeitlich befristete Benutzerkonten, z.B. für Praktikanten.

Wenn das Datum entfernt oder ein anderes, zukünftiges Datum eingetragen wird, kann sich der Benutzer wieder anmelden.

Passwort bei der nächsten Anmeldung ändern

Wenn dieses Auswahlkästchen aktiviert ist, muss der Benutzer bei der nächsten Anmeldung an der Domäne sein Passwort ändern.

Passwortablaufdatum

Wenn das Passwort zu einem bestimmten Datum abläuft, wird dieses Datum in diesem Eingabefeld angezeigt. Das Eingabefeld ist nicht direkt änderbar, siehe Verwaltung der Benutzerpasswörter.

Ist ein Passwortablaufintervall definiert, wird das Passwortablaufdatum bei Passwortänderungen automatisch angepasst.

Wird kein Passwortablaufdatum gesetzt, werden vielleicht bestehende frühere Ablaufdaten entfernt.

Aussperrung zurücksetzen

Wenn das Benutzerkonto aus Sicherheitsgründen automatisch gesperrt worden ist, meist weil ein Benutzer sein Passwort zu oft fehlerhaft eingegeben hat, kann dieses Auswahlkästchen dazu verwendet werden, um das Konto manuell schon vor Ablauf der Sperrzeit zu entsperren. Eine temporäre Aussperrung kann auftreten, wenn ein Administrator eine entsprechende domänenweite Einstellung definiert hat. Es gibt drei unterschiedliche Mechanismen, die eine Aussperrung auslösen können, falls sie konfiguriert wurden:

  • Fehlgeschlagene Authentifikation per PAM an einem UCS-Server (siehe Automatisches Sperren von Benutzern nach fehlgeschlagenen Anmeldungen).

  • Fehlgeschlagene Authentifikation per LDAP (falls das Overlay-Modul ppolicy aktiviert und konfiguriert wurde).

  • Fehlgeschlagene Authentifikation per Samba/AD (falls die Samba domain passwordsettings konfiguriert wurden).

Aussperrung endet

Wenn das Benutzerkonto aus Sicherheitsgründen automatisch gesperrt worden ist, meist weil ein Benutzer sein Passwort zu oft fehlerhaft eingegeben hat, zeigt dieses Feld den Zeitpunkt an, ab dem das Konto regulär automatisch entsperrt wird.

Aktivierungsdatum

Wenn ein Benutzerkonto erst an einem bestimmten, zukünftigen Datum aktiviert werden soll, kann hier das Datum eingestellt werden. Ein Cron-Job prüft periodisch, ob Benutzerkonten aktiviert werden müssen. Per Voreinstellung geschieht das alle 15 Minuten. Wird hier ein Datum eingestellt, das in der Zukunft liegt, dann wird beim Speichern automatisch auch das Konto als deaktiviert markiert.

Laufwerk für das Windows-Heimatverzeichnis

Wenn das Windows-Heimatverzeichnis bei diesem Benutzer auf einem anderen Windows-Laufwerk erscheinen soll, als in der Samba-Konfiguration vorgegeben, so kann hier ein Laufwerksbuchstabe eingetragen werden, z.B. M:.

Windows-Heimatverzeichnis

Hier wird der Pfad zu dem Verzeichnis angegeben, das als Windows-Heimatverzeichnis für den Benutzer dienen soll, z.B. \ucs-file-servermeier.

Anmeldeskript

Hier wird das benutzerspezifische Anmeldeskript relativ zur Netlogon-Freigabe eingetragen, z.B. user.bat.

Profilverzeichnis

Das Profilverzeichnis für den Benutzer kann hier angegeben werden, e.g. \ucs-file-serveruserprofile.

Relative ID

Die relative ID (RID) ist der lokale Teil der SID-Domänenkennung. Wenn ein Benutzer eine bestimmte RID erhalten soll, so kann diese hier eingetragen werden. Wenn keine RID eingetragen wird, so wird automatisch die nächste freie RID verwendet. Die RID kann nachträglich nicht geändert werden, es sind ganze Zahlen ab 1000 zulässig. RIDs unter 1000 sind Standard-Gruppen und anderen speziellen Objekten vorbehalten.

Samba-Privilegien

Mit dieser Auswahlmaske können einem Benutzer ausgewählte Windows-Systemrechte zugewiesen werden, etwa die Berechtigung ein System in die Domäne zu joinen.

Erlaubte Zeiten für Windows-Anmeldungen

In diesem Eingabefeld werden Zeitspannen festgelegt, zu denen sich dieser Benutzer an Windows-Rechnern anmelden kann.

Wird keine Einstellung in diesem Feld vorgenommen, so kann sich der Benutzer zu jeder Tageszeit anmelden.

Anmeldung nur an diesen Microsoft Windows-Rechnern zulassen

Diese Einstellung gibt an, an welchen Rechnern sich der Benutzer anmelden darf. Werden keine Einstellungen vorgenommen, ist der Benutzer berechtigt, sich an jedem Rechner anzumelden.

UNIX-Heimatverzeichnis

Der Verzeichnispfad zum Heimatverzeichnis des Benutzers.

Login-Shell

In diesem Feld wird die Login-Shell des Benutzers eingetragen. Dieses Programm wird bei der textbasierten Anmeldung des Benutzers gestartet. Standardmäßig wird hier /bin/bash eingetragen.

Benutzer-ID

Wenn der Benutzer eine bestimmte Benutzer-ID erhalten soll, so kann die Benutzer-ID in dieses Feld eingetragen werden. Wird kein Wert vorgegeben, wird automatisch eine freie Benutzer-ID zugewiesen.

Die Benutzer-ID kann nur beim Hinzufügen des Benutzers angegeben werden, beim späteren Bearbeiten des Benutzers kann die Benutzer-ID nicht geändert werden und wird ausgegraut dargestellt.

Gruppen-ID der primären Gruppe

Hier wird die Gruppen-ID der primären Gruppe des Benutzers angezeigt. Die primäre Gruppe kann im Reiter Allgemein geändert werden.

Heimatverzeichnisfreigabe

Wird hier eine Freigabe ausgewählt, wird das Heimatverzeichnis auf dem angegebenen Server gespeichert. Erfolgt keine Auswahl, werden die Benutzerdaten auf dem jeweiligen Anmeldesystem gespeichert.

Pfad der Heimatverzeichnisfreigabe

Hier wird der Pfad zum Heimatverzeichnis relativ zur Heimatverzeichnisfreigabe angegeben. Beim Neuanlegen eines Benutzers ist der Benutzername als Vorgabewert bereits eingetragen.

6.1.4. Modul Benutzerverwaltung - Reiter Kontakt#

Tab. 6.4 Reiter Kontakt#

Attribut

Beschreibung

E-Mail-Adresse(n)

Hier können weitere E-Mail-Adressen hinterlegt werden. Diese werden nicht vom Mailserver ausgewertet.

Die Werte werden im LDAP-Attribut mail gespeichert. Die meisten Adressbuch-Applikationen suchen im LDAP nach diesem Attribut.

Telefonnummer(n)

Dieses Feld beinhaltet die geschäftlichen Telefonnummern des Benutzers.

Raumnummer

Die Raumnummer des Benutzers.

Abteilungsnummer

Hier kann die Abteilungsnummer des Mitarbeiters angegeben werden.

Straße

Die Straße und die Hausnummer der Geschäftsadresse des Benutzers kann hier eingetragen werden.

Postleitzahl

Dieses Feld beinhaltet die Postleitzahl der Geschäftsadresse des Benutzers.

Stadt

Dieses Feld beinhaltet die Stadt der Geschäftsadresse des Benutzers.

Telefonnummer(n) Festnetz

Die privaten Festnetznummern können hier angegeben werden.

Telefonnummer(n) Mobil

Hier werden die privaten Mobilfunknummern des Benutzers eingetragen.

Rufnummer(n) Pager

Pager-Rufnummern werden in diesem Feld angegeben.

Private Adresse

Eine oder mehrere private Postadressen des Benutzers können in diesem Feld angegeben werden.

6.1.5. Modul Benutzerverwaltung - Reiter Mail#

Diese Karteikarte wird in den erweiterten Einstellungen angezeigt.

Die Einstellungen sind in Zuordnung von E-Mail-Adressen zu Benutzern beschrieben.

6.1.6. Modul Benutzerverwaltung - Reiter Optionen#

Tab. 6.5 Reiter (Optionen)#

Attribut

Beschreibung

Public Key Infrastruktur-Konto

Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse pkiUser nicht.