6.1. Verwaltung von Benutzern über Univention Management Console Modul#
Dieser Abschnitt beschreibt die Benutzerverwaltung über das UMC-Modul Benutzer.
6.1.1. Assistent zur Benutzererstellung#
Zum Anlegen von Benutzern können Administratoren den vereinfachten Assistenten verwenden, wie in den folgenden Abbildungen dargestellt.
Sie öffnen den Assistenten, indem Sie im Modul Benutzer auf die Schaltfläche Hinzufügen klicken. Auf der ersten Seite in Neuen Benutzer hinzufügen wählen Sie den Container aus, in dem Sie das Benutzerobjekt unterbringen möchten, und ob Sie ein Benutzerkonto mit einer Vorlage erstellen möchten.
Wenn Sie auf Weiter klicken, sehen Sie die Seite in Abb. 6.1.
Mit Weiter zeigt das UMC-Modul Benutzer die dritte Seite wie in Abb. 6.2 an, wo Sie das Anfangspasswort festlegen können.
Alternativ kann der Benutzer das initiale Passwort selbst setzen, wenn in der UCS-Domäne die App Self Service installiert ist. Um dem Benutzer die Möglichkeit zu geben, das initiale Passwort selbst zu setzen, müssen Sie eine externe E-Mail-Adresse definieren.
Öffnen Sie zum Definieren einer externen E-Mailadresse in den Erweiterten Benutzerkontoeinstellungen die Registerkarte Kontakt und geben Sie eine externe E-Mail-Adresse in das Feld E-Mail-Adresse ein. Die Self Service App sendet eine E-Mail an die externe E-Mail-Adresse des Benutzers mit einem Link und einem Token. Über den Link kann der Benutzer sein initiales Passwort festlegen und das Benutzerkonto freischalten. Weitere Informationen finden Sie unter Passwort-Verwaltung über Self Service App.
Das Modul Benutzer zeigt standardmäßig einen vereinfachten Assistenten zum Anlegen eines Benutzers. Der Assistent fragt nur die wichtigsten Einstellungen ab. Um alle Attribute des Benutzerkontos wie in Abb. 6.4 zu sehen, klicken Sie im Assistenten auf Erweitert.
Sie können den vereinfachten Assistenten deaktivieren, indem Sie die directory/manager/web/modules/users/user/wizard/disabled
auf true
setzen und den univention-management-console- server neu starten.
Wenn Sie die primäre E-Mail-Adresse des Benutzers im vereinfachten Assistenten festlegen möchten, können Sie das Feld aktivieren, indem Sie die Univention Configuration Registry Variable directory/manager/web/modules/users/user/properties/mailPrimaryAddress/required
auf true
setzen und den univention-management-console- server neu starten. Die zweite Seite des Assistenten fragt dann nach der primären E-Mail-Adresse des Benutzers, wie in Abb. 6.5 gezeigt.
6.1.2. Modul Benutzerverwaltung - Reiter Allgemein#
Attribut |
Beschreibung |
---|---|
Anrede |
Die Anrede des Benutzers kann hier eingegeben werden. |
Vorname |
Hier wird der Vorname des Benutzers eingetragen. |
Nachname |
Hier wird der Nachname des Benutzers angegeben. |
Benutzername |
Mit diesem Namen meldet sich der Benutzer am System an. Für empfohlene Zeichen für einen Benutzernamen, siehe Empfehlung zur Definition von Benutzernamen. Um die Kompatibilität mit Nicht-UCS-Systemen zu gewährleisten, wird das Anlegen von Benutzern, die sich lediglich in der Groß- und Kleinschreibung unterscheiden, verhindert. Wenn beispielsweise der Benutzername In der Grundeinstellung kann kein Benutzer mit dem Namen einer existierenden Gruppe angelegt werden. Wird die Univention Configuration Registry Variable |
Beschreibung |
Hier kann eine beliebige Beschreibung für den Benutzer eingetragen werden. |
Passwort |
Hier wird das Passwort des Benutzers eingegeben. |
Passwort (Wiederholung) |
Um Tippfehler auszuschließen wird das Passwort des Benutzers erneut eingegeben. |
Passworthistorie ignorieren |
Durch die Aktivierung dieses Auswahlkästchens wird die Passworthistorie für diesen Benutzer und für diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer mit dieser Änderung ein bereits verwendetes Passwort zugewiesen werden. Weitere Hinweise zur Passwortverwaltung finden sich in Verwaltung der Benutzerpasswörter. |
Passwort-Prüfungen ignorieren |
Wird diese Option aktiviert, wird die Prüfung der Passwortlänge und -qualität für diesen Benutzer und für diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer mit dieser Änderung z.B. ein kürzeres Passwort zugewiesen werden, als in der Mindestlänge vorgegeben ist. Weitere Hinweise zur Passwortverwaltung finden sich in Verwaltung der Benutzerpasswörter. |
Primäre E-Mail-Adresse (Mailbox) |
Hier wird die E-Mail-Adresse des Benutzers eingetragen, siehe Zuordnung von E-Mail-Adressen zu Benutzern. |
Anzeigename |
Der Anzeigename wird automatisch aus Vor- und Nachname gebildet. In der Regel muss er nicht angepasst werden. Der Anzeigename wird u.a. in der Synchronisation mit Active Directory und Samba/AD verwendet. |
Geburtsdatum |
In diesem Feld kann das Geburtsdatum des Benutzers gespeichert werden. |
Organisation |
Die Organisation/das Unternehmen, dem der Benutzer angehört, wird in diesem Feld eingetragen. |
Mitarbeiternummer |
Die Mitarbeiter- oder Personalnummer kann in dieses Feld eingetragen werden. |
Mitarbeiterkategorie |
Hier kann die Kategorie des Mitarbeiters festgelegt werden. |
Vorgesetzter |
Der Vorgesetzte des Benutzers kann hier ausgewählt werden. |
Bild des Benutzers (JPEG-Format) |
Über diese Maske kann ein Bild des Benutzers im JPEG-Format im LDAP hinterlegt werden. Standardmäßig ist die Dateigröße auf 512 Kilobyte limitiert. |
6.1.3. Modul Benutzerverwaltung - Reiter Gruppen#
Attribut |
Beschreibung |
---|---|
Primäre Gruppe |
In dieser Auswahlliste kann die primäre Gruppe für den Benutzer festgelegt werden. Zur Auswahl stehen alle in der Domäne eingetragenen Gruppen. Standardmäßig ist die Gruppe |
Gruppen |
Hier können weitere Gruppenzugehörigkeiten des Benutzers neben der primären Gruppe eingestellt werden. |
6.1.4. Modul Benutzerverwaltung - Reiter Konto#
Attribut |
Beschreibung |
---|---|
Konto ist deaktiviert |
Mir dem Auswahlkästchen Konto ist deaktiviert kann das Benutzerkonto deaktiviert werden. Wenn das Auswahlkästchen gesetzt ist, kann sich der Benutzer nicht am System anmelden. Das betrifft alle Methoden für die Authentifikation. Ein typischer Anwendungsfall ist ein Benutzer, der das Unternehmen verlassen hat. Eine Kontodeaktivierung kann in einer heterogenen Umgebung gegebenenfalls auch durch externe Tools ausgelöst werden. |
Konto-Ablaufdatum |
In diesem Eingabefeld wird ein Datum vorgegeben, an dem das Konto automatisch gesperrt wird. Dies ist sinnvoll für zeitlich befristete Benutzerkonten, z.B. für Praktikanten. Wenn das Datum entfernt oder ein anderes, zukünftiges Datum eingetragen wird, kann sich der Benutzer wieder anmelden. |
Passwort bei der nächsten Anmeldung ändern |
Wenn dieses Auswahlkästchen aktiviert ist, muss der Benutzer bei der nächsten Anmeldung an der Domäne sein Passwort ändern. |
Passwortablaufdatum |
Wenn das Passwort zu einem bestimmten Datum abläuft, wird dieses Datum in diesem Eingabefeld angezeigt. Das Eingabefeld ist nicht direkt änderbar, siehe Verwaltung der Benutzerpasswörter. Ist ein Passwortablaufintervall definiert, wird das Passwortablaufdatum bei Passwortänderungen automatisch angepasst. Wird kein Passwortablaufdatum gesetzt, werden vielleicht bestehende frühere Ablaufdaten entfernt. |
Aussperrung zurücksetzen |
Wenn das Benutzerkonto aus Sicherheitsgründen automatisch gesperrt worden ist, meist weil ein Benutzer sein Passwort zu oft fehlerhaft eingegeben hat, kann dieses Auswahlkästchen dazu verwendet werden, um das Konto manuell schon vor Ablauf der Sperrzeit zu entsperren. Eine temporäre Aussperrung kann auftreten, wenn ein Administrator eine entsprechende domänenweite Einstellung definiert hat. Es gibt drei unterschiedliche Mechanismen, die eine Aussperrung auslösen können, falls sie konfiguriert wurden:
|
Aussperrung endet |
Wenn das Benutzerkonto aus Sicherheitsgründen automatisch gesperrt worden ist, meist weil ein Benutzer sein Passwort zu oft fehlerhaft eingegeben hat, zeigt dieses Feld den Zeitpunkt an, ab dem das Konto regulär automatisch entsperrt wird. |
Aktivierungsdatum |
Wenn ein Benutzerkonto erst an einem bestimmten, zukünftigen Datum aktiviert werden soll, kann hier das Datum eingestellt werden. Ein Cron-Job prüft periodisch, ob Benutzerkonten aktiviert werden müssen. Per Voreinstellung geschieht das alle 15 Minuten. Wird hier ein Datum eingestellt, das in der Zukunft liegt, dann wird beim Speichern automatisch auch das Konto als deaktiviert markiert. |
Laufwerk für das Windows-Heimatverzeichnis |
Wenn das Windows-Heimatverzeichnis bei diesem Benutzer auf einem anderen Windows-Laufwerk erscheinen soll, als in der Samba-Konfiguration vorgegeben, so kann hier ein Laufwerksbuchstabe eingetragen werden, z.B. |
Windows-Heimatverzeichnis |
Hier wird der Pfad zu dem Verzeichnis angegeben, das als Windows-Heimatverzeichnis für den Benutzer dienen soll, z.B. |
Anmeldeskript |
Hier wird das benutzerspezifische Anmeldeskript relativ zur Netlogon-Freigabe eingetragen, z.B. |
Profilverzeichnis |
Das Profilverzeichnis für den Benutzer kann hier angegeben werden, e.g. |
Relative ID |
Die relative ID (RID) ist der lokale Teil der SID-Domänenkennung. Wenn ein Benutzer eine bestimmte RID erhalten soll, so kann diese hier eingetragen werden. Wenn keine RID eingetragen wird, so wird automatisch die nächste freie RID verwendet. Die RID kann nachträglich nicht geändert werden, es sind ganze Zahlen ab 1000 zulässig. RIDs unter 1000 sind Standard-Gruppen und anderen speziellen Objekten vorbehalten. |
Samba-Privilegien |
Mit dieser Auswahlmaske können einem Benutzer ausgewählte Windows-Systemrechte zugewiesen werden, etwa die Berechtigung ein System in die Domäne zu joinen. |
Erlaubte Zeiten für Windows-Anmeldungen |
In diesem Eingabefeld werden Zeitspannen festgelegt, zu denen sich dieser Benutzer an Windows-Rechnern anmelden kann. Wird keine Einstellung in diesem Feld vorgenommen, so kann sich der Benutzer zu jeder Tageszeit anmelden. |
Anmeldung nur an diesen Microsoft Windows-Rechnern zulassen |
Diese Einstellung gibt an, an welchen Rechnern sich der Benutzer anmelden darf. Werden keine Einstellungen vorgenommen, ist der Benutzer berechtigt, sich an jedem Rechner anzumelden. |
UNIX-Heimatverzeichnis |
Der Verzeichnispfad zum Heimatverzeichnis des Benutzers. |
Login-Shell |
In diesem Feld wird die Login-Shell des Benutzers eingetragen. Dieses Programm wird bei der textbasierten Anmeldung des Benutzers gestartet. Standardmäßig wird hier |
Benutzer-ID |
Wenn der Benutzer eine bestimmte Benutzer-ID erhalten soll, so kann die Benutzer-ID in dieses Feld eingetragen werden. Wird kein Wert vorgegeben, wird automatisch eine freie Benutzer-ID zugewiesen. Die Benutzer-ID kann nur beim Hinzufügen des Benutzers angegeben werden, beim späteren Bearbeiten des Benutzers kann die Benutzer-ID nicht geändert werden und wird ausgegraut dargestellt. |
Gruppen-ID der primären Gruppe |
Hier wird die Gruppen-ID der primären Gruppe des Benutzers angezeigt. Die primäre Gruppe kann im Reiter Allgemein geändert werden. |
Heimatverzeichnisfreigabe |
Wird hier eine Freigabe ausgewählt, wird das Heimatverzeichnis auf dem angegebenen Server gespeichert. Erfolgt keine Auswahl, werden die Benutzerdaten auf dem jeweiligen Anmeldesystem gespeichert. |
Pfad der Heimatverzeichnisfreigabe |
Hier wird der Pfad zum Heimatverzeichnis relativ zur Heimatverzeichnisfreigabe angegeben. Beim Neuanlegen eines Benutzers ist der Benutzername als Vorgabewert bereits eingetragen. |
6.1.5. Modul Benutzerverwaltung - Reiter Kontakt#
Attribut |
Beschreibung |
---|---|
E-Mail-Adresse(n) |
Hier können weitere E-Mail-Adressen hinterlegt werden. Diese werden nicht vom Mailserver ausgewertet. Die Werte werden im LDAP-Attribut |
Telefonnummer(n) |
Dieses Feld beinhaltet die geschäftlichen Telefonnummern des Benutzers. |
Raumnummer |
Die Raumnummer des Benutzers. |
Abteilungsnummer |
Hier kann die Abteilungsnummer des Mitarbeiters angegeben werden. |
Straße |
Die Straße und die Hausnummer der Geschäftsadresse des Benutzers kann hier eingetragen werden. |
Postleitzahl |
Dieses Feld beinhaltet die Postleitzahl der Geschäftsadresse des Benutzers. |
Stadt |
Dieses Feld beinhaltet die Stadt der Geschäftsadresse des Benutzers. |
Telefonnummer(n) Festnetz |
Die privaten Festnetznummern können hier angegeben werden. |
Telefonnummer(n) Mobil |
Hier werden die privaten Mobilfunknummern des Benutzers eingetragen. |
Rufnummer(n) Pager |
Pager-Rufnummern werden in diesem Feld angegeben. |
Private Adresse |
Eine oder mehrere private Postadressen des Benutzers können in diesem Feld angegeben werden. |
6.1.6. Modul Benutzerverwaltung - Reiter Mail#
Diese Karteikarte wird in den erweiterten Einstellungen angezeigt.
Die Einstellungen sind in Zuordnung von E-Mail-Adressen zu Benutzern beschrieben.
6.1.7. Modul Benutzerverwaltung - Reiter Optionen#
Attribut |
Beschreibung |
---|---|
Public Key Infrastruktur-Konto |
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse |