Univention Corporate Server - Handbuch für Benutzer und Administratoren

PDF herunterladen

Verwaltung von Benutzern über Univention Management Console Modul

6.1. Verwaltung von Benutzern über Univention Management Console Modul#

Dieser Abschnitt beschreibt die Benutzerverwaltung über das UMC-Modul Benutzer.

6.1.1. Assistent zur Benutzererstellung#

Zum Anlegen von Benutzern können Administratoren den vereinfachten Assistenten verwenden, wie in den folgenden Abbildungen dargestellt.

Sie öffnen den Assistenten, indem Sie im Modul Benutzer auf die Schaltfläche Hinzufügen klicken. Auf der ersten Seite in Neuen Benutzer hinzufügen wählen Sie den Container aus, in dem Sie das Benutzerobjekt unterbringen möchten, und ob Sie ein Benutzerkonto mit einer Vorlage erstellen möchten.

Wenn Sie auf Weiter klicken, sehen Sie die Seite in Abb. 6.1.

Anlegen eines Benutzers im UMC-Modul 'Benutzer'

Abb. 6.1 Anlegen eines Benutzers im UMC-Modul Benutzer#

Mit Weiter zeigt das UMC-Modul Benutzer die dritte Seite wie in Abb. 6.2 an, wo Sie das Anfangspasswort festlegen können.

Passwortvergabe für einen Benutzer

Abb. 6.2 Passwortvergabe für einen Benutzer#

Alternativ kann der Benutzer das initiale Passwort selbst setzen, wenn in der UCS-Domäne die App Self Service installiert ist. Um dem Benutzer die Möglichkeit zu geben, das initiale Passwort selbst zu setzen, müssen Sie eine externe E-Mail-Adresse definieren.

Öffnen Sie zum Definieren einer externen E-Mailadresse in den Erweiterten Benutzerkontoeinstellungen die Registerkarte Kontakt und geben Sie eine externe E-Mail-Adresse in das Feld E-Mail-Adresse ein. Die Self Service App sendet eine E-Mail an die externe E-Mail-Adresse des Benutzers mit einem Link und einem Token. Über den Link kann der Benutzer sein initiales Passwort festlegen und das Benutzerkonto freischalten. Weitere Informationen finden Sie unter Passwort-Verwaltung über Self Service App.

Initiales Benutzerpasswort

Abb. 6.3 Initiales Benutzerpasswort#

Das Modul Benutzer zeigt standardmäßig einen vereinfachten Assistenten zum Anlegen eines Benutzers. Der Assistent fragt nur die wichtigsten Einstellungen ab. Um alle Attribute des Benutzerkontos wie in Abb. 6.4 zu sehen, klicken Sie im Assistenten auf Erweitert.

Sie können den vereinfachten Assistenten deaktivieren, indem Sie die directory/manager/web/modules/users/user/wizard/disabled auf true setzen und den univention-management-console- server neu starten.

Erweiterte Benutzeransicht

Abb. 6.4 Erweiterte Benutzeransicht#

Wenn Sie die primäre E-Mail-Adresse des Benutzers im vereinfachten Assistenten festlegen möchten, können Sie das Feld aktivieren, indem Sie die Univention Configuration Registry Variable directory/manager/web/modules/users/user/properties/mailPrimaryAddress/required auf true setzen und den univention-management-console- server neu starten. Die zweite Seite des Assistenten fragt dann nach der primären E-Mail-Adresse des Benutzers, wie in Abb. 6.5 gezeigt.

Die primäre E-Mail-Adresse des Benutzers muss im Assistenten festgelegt werden

Abb. 6.5 Die primäre E-Mail-Adresse des Benutzers muss im Assistenten festgelegt werden#

6.1.2. Modul Benutzerverwaltung - Reiter Allgemein#

Tab. 6.1 Reiter Allgemein#

Attribut

Beschreibung

Anrede

Die Anrede des Benutzers kann hier eingegeben werden.

Vorname

Hier wird der Vorname des Benutzers eingetragen.

Nachname

Hier wird der Nachname des Benutzers angegeben.

Benutzername

Mit diesem Namen meldet sich der Benutzer am System an. Für empfohlene Zeichen für einen Benutzernamen, siehe Empfehlung zur Definition von Benutzernamen.

Um die Kompatibilität mit Nicht-UCS-Systemen zu gewährleisten, wird das Anlegen von Benutzern, die sich lediglich in der Groß- und Kleinschreibung unterscheiden, verhindert. Wenn beispielsweise der Benutzername meier bereits existiert, wird der Benutzername Meier nicht mehr zugelassen.

In der Grundeinstellung kann kein Benutzer mit dem Namen einer existierenden Gruppe angelegt werden. Wird die Univention Configuration Registry Variable directory/manager/user_group/uniqueness auf false gesetzt, wird diese Prüfung aufgehoben.

Beschreibung

Hier kann eine beliebige Beschreibung für den Benutzer eingetragen werden.

Passwort

Hier wird das Passwort des Benutzers eingegeben.

Passwort (Wiederholung)

Um Tippfehler auszuschließen wird das Passwort des Benutzers erneut eingegeben.

Passworthistorie ignorieren

Durch die Aktivierung dieses Auswahlkästchens wird die Passworthistorie für diesen Benutzer und für diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer mit dieser Änderung ein bereits verwendetes Passwort zugewiesen werden.

Weitere Hinweise zur Passwortverwaltung finden sich in Verwaltung der Benutzerpasswörter.

Passwort-Prüfungen ignorieren

Wird diese Option aktiviert, wird die Prüfung der Passwortlänge und -qualität für diesen Benutzer und für diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer mit dieser Änderung z.B. ein kürzeres Passwort zugewiesen werden, als in der Mindestlänge vorgegeben ist.

Weitere Hinweise zur Passwortverwaltung finden sich in Verwaltung der Benutzerpasswörter.

Primäre E-Mail-Adresse (Mailbox)

Hier wird die E-Mail-Adresse des Benutzers eingetragen, siehe Zuordnung von E-Mail-Adressen zu Benutzern.

Anzeigename

Der Anzeigename wird automatisch aus Vor- und Nachname gebildet. In der Regel muss er nicht angepasst werden. Der Anzeigename wird u.a. in der Synchronisation mit Active Directory und Samba/AD verwendet.

Geburtsdatum

In diesem Feld kann das Geburtsdatum des Benutzers gespeichert werden.

Organisation

Die Organisation/das Unternehmen, dem der Benutzer angehört, wird in diesem Feld eingetragen.

Mitarbeiternummer

Die Mitarbeiter- oder Personalnummer kann in dieses Feld eingetragen werden.

Mitarbeiterkategorie

Hier kann die Kategorie des Mitarbeiters festgelegt werden.

Vorgesetzter

Der Vorgesetzte des Benutzers kann hier ausgewählt werden.

Bild des Benutzers (JPEG-Format)

Über diese Maske kann ein Bild des Benutzers im JPEG-Format im LDAP hinterlegt werden. Standardmäßig ist die Dateigröße auf 512 Kilobyte limitiert.

6.1.3. Modul Benutzerverwaltung - Reiter Gruppen#

Tab. 6.2 Reiter Gruppen#

Attribut

Beschreibung

Primäre Gruppe

In dieser Auswahlliste kann die primäre Gruppe für den Benutzer festgelegt werden. Zur Auswahl stehen alle in der Domäne eingetragenen Gruppen. Standardmäßig ist die Gruppe Domain Users als Vorgabe eingestellt.

Gruppen

Hier können weitere Gruppenzugehörigkeiten des Benutzers neben der primären Gruppe eingestellt werden.

6.1.4. Modul Benutzerverwaltung - Reiter Konto#

Tab. 6.3 Reiter Konto#

Attribut

Beschreibung

Konto ist deaktiviert

Mir dem Auswahlkästchen Konto ist deaktiviert kann das Benutzerkonto deaktiviert werden. Wenn das Auswahlkästchen gesetzt ist, kann sich der Benutzer nicht am System anmelden. Das betrifft alle Methoden für die Authentifikation. Ein typischer Anwendungsfall ist ein Benutzer, der das Unternehmen verlassen hat. Eine Kontodeaktivierung kann in einer heterogenen Umgebung gegebenenfalls auch durch externe Tools ausgelöst werden.

Konto-Ablaufdatum

In diesem Eingabefeld wird ein Datum vorgegeben, an dem das Konto automatisch gesperrt wird. Dies ist sinnvoll für zeitlich befristete Benutzerkonten, z.B. für Praktikanten.

Wenn das Datum entfernt oder ein anderes, zukünftiges Datum eingetragen wird, kann sich der Benutzer wieder anmelden.

Passwort bei der nächsten Anmeldung ändern

Wenn dieses Auswahlkästchen aktiviert ist, muss der Benutzer bei der nächsten Anmeldung an der Domäne sein Passwort ändern.

Passwortablaufdatum

Wenn das Passwort zu einem bestimmten Datum abläuft, wird dieses Datum in diesem Eingabefeld angezeigt. Das Eingabefeld ist nicht direkt änderbar, siehe Verwaltung der Benutzerpasswörter.

Ist ein Passwortablaufintervall definiert, wird das Passwortablaufdatum bei Passwortänderungen automatisch angepasst.

Wird kein Passwortablaufdatum gesetzt, werden vielleicht bestehende frühere Ablaufdaten entfernt.

Aussperrung zurücksetzen

Wenn das Benutzerkonto aus Sicherheitsgründen automatisch gesperrt worden ist, meist weil ein Benutzer sein Passwort zu oft fehlerhaft eingegeben hat, kann dieses Auswahlkästchen dazu verwendet werden, um das Konto manuell schon vor Ablauf der Sperrzeit zu entsperren. Eine temporäre Aussperrung kann auftreten, wenn ein Administrator eine entsprechende domänenweite Einstellung definiert hat. Es gibt drei unterschiedliche Mechanismen, die eine Aussperrung auslösen können, falls sie konfiguriert wurden:

  • Fehlgeschlagene Authentifikation per PAM an einem UCS-Server (siehe Automatisches Sperren von Benutzern nach fehlgeschlagenen Anmeldungen).

  • Fehlgeschlagene Authentifikation per LDAP (falls das Overlay-Modul ppolicy aktiviert und konfiguriert wurde).

  • Fehlgeschlagene Authentifikation per Samba/AD (falls die Samba domain passwordsettings konfiguriert wurden).

Aussperrung endet

Wenn das Benutzerkonto aus Sicherheitsgründen automatisch gesperrt worden ist, meist weil ein Benutzer sein Passwort zu oft fehlerhaft eingegeben hat, zeigt dieses Feld den Zeitpunkt an, ab dem das Konto regulär automatisch entsperrt wird.

Aktivierungsdatum

Wenn ein Benutzerkonto erst an einem bestimmten, zukünftigen Datum aktiviert werden soll, kann hier das Datum eingestellt werden. Ein Cron-Job prüft periodisch, ob Benutzerkonten aktiviert werden müssen. Per Voreinstellung geschieht das alle 15 Minuten. Wird hier ein Datum eingestellt, das in der Zukunft liegt, dann wird beim Speichern automatisch auch das Konto als deaktiviert markiert.

Laufwerk für das Windows-Heimatverzeichnis

Wenn das Windows-Heimatverzeichnis bei diesem Benutzer auf einem anderen Windows-Laufwerk erscheinen soll, als in der Samba-Konfiguration vorgegeben, so kann hier ein Laufwerksbuchstabe eingetragen werden, z.B. M:.

Windows-Heimatverzeichnis

Hier wird der Pfad zu dem Verzeichnis angegeben, das als Windows-Heimatverzeichnis für den Benutzer dienen soll, z.B. \ucs-file-servermeier.

Anmeldeskript

Hier wird das benutzerspezifische Anmeldeskript relativ zur Netlogon-Freigabe eingetragen, z.B. user.bat.

Profilverzeichnis

Das Profilverzeichnis für den Benutzer kann hier angegeben werden, e.g. \ucs-file-serveruserprofile.

Relative ID

Die relative ID (RID) ist der lokale Teil der SID-Domänenkennung. Wenn ein Benutzer eine bestimmte RID erhalten soll, so kann diese hier eingetragen werden. Wenn keine RID eingetragen wird, so wird automatisch die nächste freie RID verwendet. Die RID kann nachträglich nicht geändert werden, es sind ganze Zahlen ab 1000 zulässig. RIDs unter 1000 sind Standard-Gruppen und anderen speziellen Objekten vorbehalten.

Samba-Privilegien

Mit dieser Auswahlmaske können einem Benutzer ausgewählte Windows-Systemrechte zugewiesen werden, etwa die Berechtigung ein System in die Domäne zu joinen.

Erlaubte Zeiten für Windows-Anmeldungen

In diesem Eingabefeld werden Zeitspannen festgelegt, zu denen sich dieser Benutzer an Windows-Rechnern anmelden kann.

Wird keine Einstellung in diesem Feld vorgenommen, so kann sich der Benutzer zu jeder Tageszeit anmelden.

Anmeldung nur an diesen Microsoft Windows-Rechnern zulassen

Diese Einstellung gibt an, an welchen Rechnern sich der Benutzer anmelden darf. Werden keine Einstellungen vorgenommen, ist der Benutzer berechtigt, sich an jedem Rechner anzumelden.

UNIX-Heimatverzeichnis

Der Verzeichnispfad zum Heimatverzeichnis des Benutzers.

Login-Shell

In diesem Feld wird die Login-Shell des Benutzers eingetragen. Dieses Programm wird bei der textbasierten Anmeldung des Benutzers gestartet. Standardmäßig wird hier /bin/bash eingetragen.

Benutzer-ID

Wenn der Benutzer eine bestimmte Benutzer-ID erhalten soll, so kann die Benutzer-ID in dieses Feld eingetragen werden. Wird kein Wert vorgegeben, wird automatisch eine freie Benutzer-ID zugewiesen.

Die Benutzer-ID kann nur beim Hinzufügen des Benutzers angegeben werden, beim späteren Bearbeiten des Benutzers kann die Benutzer-ID nicht geändert werden und wird ausgegraut dargestellt.

Gruppen-ID der primären Gruppe

Hier wird die Gruppen-ID der primären Gruppe des Benutzers angezeigt. Die primäre Gruppe kann im Reiter Allgemein geändert werden.

Heimatverzeichnisfreigabe

Wird hier eine Freigabe ausgewählt, wird das Heimatverzeichnis auf dem angegebenen Server gespeichert. Erfolgt keine Auswahl, werden die Benutzerdaten auf dem jeweiligen Anmeldesystem gespeichert.

Pfad der Heimatverzeichnisfreigabe

Hier wird der Pfad zum Heimatverzeichnis relativ zur Heimatverzeichnisfreigabe angegeben. Beim Neuanlegen eines Benutzers ist der Benutzername als Vorgabewert bereits eingetragen.

6.1.5. Modul Benutzerverwaltung - Reiter Kontakt#

Tab. 6.4 Reiter Kontakt#

Attribut

Beschreibung

E-Mail-Adresse(n)

Hier können weitere E-Mail-Adressen hinterlegt werden. Diese werden nicht vom Mailserver ausgewertet.

Die Werte werden im LDAP-Attribut mail gespeichert. Die meisten Adressbuch-Applikationen suchen im LDAP nach diesem Attribut.

Telefonnummer(n)

Dieses Feld beinhaltet die geschäftlichen Telefonnummern des Benutzers.

Raumnummer

Die Raumnummer des Benutzers.

Abteilungsnummer

Hier kann die Abteilungsnummer des Mitarbeiters angegeben werden.

Straße

Die Straße und die Hausnummer der Geschäftsadresse des Benutzers kann hier eingetragen werden.

Postleitzahl

Dieses Feld beinhaltet die Postleitzahl der Geschäftsadresse des Benutzers.

Stadt

Dieses Feld beinhaltet die Stadt der Geschäftsadresse des Benutzers.

Telefonnummer(n) Festnetz

Die privaten Festnetznummern können hier angegeben werden.

Telefonnummer(n) Mobil

Hier werden die privaten Mobilfunknummern des Benutzers eingetragen.

Rufnummer(n) Pager

Pager-Rufnummern werden in diesem Feld angegeben.

Private Adresse

Eine oder mehrere private Postadressen des Benutzers können in diesem Feld angegeben werden.

6.1.6. Modul Benutzerverwaltung - Reiter Mail#

Diese Karteikarte wird in den erweiterten Einstellungen angezeigt.

Die Einstellungen sind in Zuordnung von E-Mail-Adressen zu Benutzern beschrieben.

6.1.7. Modul Benutzerverwaltung - Reiter Optionen#

Tab. 6.5 Reiter (Optionen)#

Attribut

Beschreibung

Public Key Infrastruktur-Konto

Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse pkiUser nicht.
Auf dieser Seite