Installationshandbuch:TeilundHadminEinrichten: Unterschied zwischen den Versionen

Aus Delixs
Zur Navigation springen Zur Suche springen
(Bilder eingefügt)
(Entwurf)
Zeile 1: Zeile 1:
__NOTOC__
__NOTOC__
{{Uberarbeiten}}
{{zumTest}}
 


== Administration der Nutzer ==
== Administration der Nutzer ==


Teil- und Hauptadmins besitzen abgestufte Berechtigungen, ACLs und weitere Rechte für Nutzer und Gruppen zu vergeben und zu ändern.
Teil- und Hauptadmins besitzen abgestufte Berechtigungen, ACLs und weitere Rechte für Nutzer und Gruppen zu vergeben und zu ändern.  
 
=== Berechtigungen der Teiladmins und Hauptadmins ===
 
 
Ein Teiladmin (TAdmin) hat das Recht, Nutzer und deren Rechte zu verwalten.
 
Ein Hauptadmin (HAdmin) hat neben dem Recht Nutzer zu verwalten, auch noch das Recht alle anderen Einstellungen im LDAP zu verwalten - '''also Vorsicht!'''
 
'''Beachten Sie:''' Beide haben mit Rechten auf dem Server zu tun, nichts jedoch mit Rechten auf einem Clientrechner. Die Rechte auf dem Client werden vom lokalen Administrator vergeben.
 
 
=== Teiladmin und Hauptadmin einrichten ===




Zeile 43: Zeile 56:




Hier können Sie nun einen Anwender aus der Liste eintragen oder diese Freigabe wieder löschen.
Hier können Sie nun einen Anwender aus der Liste als Teil- oder als Hauptadmin eintragen oder diese Freigabe wieder löschen.  
 
 
 
 
== Materialsammlung für das Kapitel ==
 
'''Mail 1:'''
 
1. Wir hatten die Hoffnung, ein User mit Einordnung als HAdmin genießt am Client die Rechte eines Domänenadmins (sprich kann Software installieren). Wenn dem wirklich so sein sollte, haben wir was falsch gemacht.
 
 
Dem ist nicht so. Das Recht "HAdmin" zu sein, gibt das Recht, sehr viele Änderungen am LDAP-Baum machen zu dürfen. Es hat also etwas mit Nutzerverwaltung zu tun. Das Recht, Domänenadministrator zu sein ist an eine spezielle Gruppe gebunden. In dieser Gruppe ist der Nutzer "adm". Diesem musst Du ein Passwort verpassen. Danach hat er alle Rechte auf dem Client!
 
 
2. Wir hatten die Doku so verstanden, das es möglich wäre, sich mit HAdmin Rechten an phpladapadmin anzumelden - ging nicht.... Wenn wir den Text richtig verstanden haben geht es mit root selbst nicht, oder?
 
 
Nein, root geht nicht. Du gibst aber bitte https://Arktur/ldapadmin  als Adresse ein. Dann die
normalen Nutzerdaten.
 
Gruss Reiner
 
 
----
 
'''Mail 2:'''
 
1. Wir hatten die Hoffnung, ein User mit Einordnung als HAdmin genießt am Client die Rechte  eines Domänenadmins (sprich kann Software installieren). Wenn dem wirklich so sein sollte, haben wir was falsch gemacht. Wie sieht's aus? Was müssen wir tun, um diesen Traum zu verwirklichen
 
 
Da schmeisst Du etwas durcheinander.
 
Ein Teiladmin hat das Recht Nutzer zu verwalten.
 
Ein Hauptadmin hat neben dem Recht Nutzer zu verwalten, auch noch das Recht alle anderen Einstellungen im LDAP zu verwalten (also Vorsicht!).
 
Beides hat mit Rechten auf dem Server zu tun, nichts jedoch mit Rechten auf einem Clientrechner.
 
Die Rechte auf dem Client werden vom lokalen Administrator vergeben. Falls Du serverbasierte Profile eingerichtet hast, dann gelten diese Rechte automatisch auf allen Clients.
 
Da ist die Lösung Deines Problems: Melde Dich an einer Station als lokaler Administrator (ohne Netzwerk) an. Dann richte einen neuen Nutzer mit Administrator-Rechten ein. Diesen Nutzer darf es aber noch nicht wo anders geben. Danach wird der gleiche Nutzer auch auf Arktur eingerichtet. Nun melde Dich unter dieser neuen Kennung an eben diesem Client an und wieder ab. Damit wird das servergespeicherte Profil übertragen und Du bist in Zukunft lokaler Admin auf allen Schulrechnern.
 
Wenn wir den Text richtig verstanden haben geht es mit root selbst nicht, oder?




Nein, denn root darf nur auf dem Server selbst, nicht jedoch auf dem Client als Nutzer existieren.
=== Vergabe von Rechten ===


mit freundlichen Grüßen Uwe
Sie können nun mit den Mitteln ihres Clientbetriebssystems die Rechte von Nutzern auf Dateien und Verzeichnisse auf den Serverlaufwerken einstellen.


Die Beschreibung finden Sie im Kapitel [[Benutzerhandbuch:Rechteverwaltung|Rechteverwaltung]] im Benutzerhandbuch.


----
Weitere Informationen zum Thema [[Administratorhandbuch:ACL|Access Control Lists]] können Sie im Administratorhandbuch nachlesen.




'''Mail 3:'''
=== Verwaltung des LDAP ===


Die Rechte auf dem Client werden vom lokalen Administrator vergeben. Falls Du serverbasierte Profile eingerichtet hast, dann gelten diese Rechte automatisch auf allen Clients.
Starten Sie einen Browser und geben Sie die Adresse https://Arktur/ldapadmin ein. Sie werden nach Benutzername und passwort gefragt. Geben Sie Ihre normalen Nutzerdaten ein.


Weitere Informationen können Sie im Kapitel [[Administratorhandbuch:LDAP|LDAP]] im Administratorhandbuch nachlesen.


Es war meines Wissens nach nicht vorgesehen dass das funktioniert und bei den nächsten Windows Versionen (oder auch Service Packs) würde ich mich nicht darauf verlassen, dass das noch funktioniert. Die Rechte die ein Benutzer hat haben nämlich nichts mit dem Profil zu tun. Interessant ist viel eher, in welchen Gruppen der Benutzer Mitglied ist, und das
'''Hinweis:''' Eine Anmeldung als "root" geht nicht.
steht eigentlich in einem Teil der Registry, die nicht im Profil ist.


Da es dennoch funktioniert scheint irgendwas von Windows durcheinandergewürfelt zu werden (wäre ja nix neues, das ganze Profil Konzept ist krank). Nur ob das auch in Zukunft so bleibt ist ne andere Frage.


=== Domänenadministrator ===


Da ist die Lösung Deines Problems: Melde Dich an einer Station als lokaler Administrator (ohne Netzwerk) an. Dann richte einen neuen Nutzer mit Administrator-Rechten ein. Diesen Nutzer darf es aber noch nicht wo anders geben. Danach wird der gleiche Nutzer auch auf Arktur eingerichtet. Nun melde Dich unter dieser neuen Kennung an eben diesem Client an und wieder ab. Damit wird das servergespeicherte Profil übertragen und Du bist in Zukunft lokaler Admin auf allen Schulrechnern.
==== Der Nutzer "adm" ====


Das Recht "HAdmin" zu sein, gibt das Recht, sehr viele Änderungen am LDAP-Baum machen zu dürfen. Er hat also etwas mit Nutzerverwaltung zu tun. Das Recht, Domänenadministrator zu sein ist an eine spezielle Gruppe gebunden. In dieser Gruppe ist der Nutzer "adm". Diesem können Sie ein Passwort verpassen. Danach kann er sich auf dem Client anmelden und hat automatisch alle Rechte auf dem Client.


Eine andere, einfache Lösung die auch im Samba Handbuch steht, wäre im LDAP eine Gruppe Domänen-Admins anzulegen (muss eine passende SID haben, AFAIK absolut ohne Garantie muss die mit -512 enden) und die entsprechenden Benutzer dieser Gruppe zuzuordenen. Beim Aufnehmen eines Rechners in eine Domäne wird nämlich diese spezielle Domänen Gruppe in die lokale Administratoren Gruppe aufgenommen. Die Mitgliedschaft in dieser Gruppe hat auf Linux keinerlei Auswirkungen, d.h. die Benutzer haben deswegen noch keine erweiterten Rechte auf dem Linux Dateisystem usw (im Gegensatz dazu wenn man Benutzer in einem echten NT Netz zur Gruppe der Domänen-Admins hinzufügt) Ich mache das in meinem Netz daheim (kein Arktur), funktioniert ganz ohne Roaming Profiles (brauche ich daheim nicht) sehr gut. Alle Benutzer sind lokale Admins  :)  (oder auch :()
==== Andere Nutzer ====


Viele Grüße Michael
Eine einfache Lösung, die auch im Samba Handbuch steht, wäre im LDAP eine Gruppe Domänen-Admins anzulegen (muss eine passende SID haben, die mit -512 endet) und die entsprechenden Benutzer dieser Gruppe zuzuordenen. Beim Aufnehmen eines Rechners in eine Domäne wird nämlich diese spezielle Domänen Gruppe in die lokale Administratoren Gruppe aufgenommen. Die Mitgliedschaft in dieser Gruppe hat auf Linux-Clients und den Arktur-Schulserver keinerlei Auswirkungen, d.h. die Benutzer haben deswegen noch keine erweiterten Rechte auf dem Linux Dateisystem usw. (im Gegensatz dazu, wenn Sie Benutzer in einem echten NT Netz zur Gruppe der Domänen-Admins hinzufügen).




----
----
<div align="right">[[Installationshandbuch|zurück]] | [[Hauptseite]]</div>
<div align="right">[[Installationshandbuch|zurück]] | [[Hauptseite]]</div>

Version vom 1. Dezember 2005, 22:56 Uhr

ZumTest Nach Meinung des Autors ist diese Seite fertig. Es wäre schön, wenn ausgiebige Tests durch viele Nutzer eventuell noch vorhandene Fehler beseitigen helfen.


Administration der Nutzer

Teil- und Hauptadmins besitzen abgestufte Berechtigungen, ACLs und weitere Rechte für Nutzer und Gruppen zu vergeben und zu ändern.

Berechtigungen der Teiladmins und Hauptadmins

Ein Teiladmin (TAdmin) hat das Recht, Nutzer und deren Rechte zu verwalten.

Ein Hauptadmin (HAdmin) hat neben dem Recht Nutzer zu verwalten, auch noch das Recht alle anderen Einstellungen im LDAP zu verwalten - also Vorsicht!

Beachten Sie: Beide haben mit Rechten auf dem Server zu tun, nichts jedoch mit Rechten auf einem Clientrechner. Die Rechte auf dem Client werden vom lokalen Administrator vergeben.


Teiladmin und Hauptadmin einrichten

Melden Sie sich als sysadm an und wählen Sie


Anwender wählen
Abbildung: Anwender wählen


den Punkt "Anwender" aus,


einzelne Anwender wählen
Abbildung: einzelne Anwender wählen


dann unter "Einzeln",


Admins freischalten
Abbildung: Admins freischalten


den Menüpunkt "Admins".


Nutzer eintragen
Abbildung: Nutzer eintragen


Hier können Sie nun einen Anwender aus der Liste als Teil- oder als Hauptadmin eintragen oder diese Freigabe wieder löschen.


Vergabe von Rechten

Sie können nun mit den Mitteln ihres Clientbetriebssystems die Rechte von Nutzern auf Dateien und Verzeichnisse auf den Serverlaufwerken einstellen.

Die Beschreibung finden Sie im Kapitel Rechteverwaltung im Benutzerhandbuch.

Weitere Informationen zum Thema Access Control Lists können Sie im Administratorhandbuch nachlesen.


Verwaltung des LDAP

Starten Sie einen Browser und geben Sie die Adresse https://Arktur/ldapadmin ein. Sie werden nach Benutzername und passwort gefragt. Geben Sie Ihre normalen Nutzerdaten ein.

Weitere Informationen können Sie im Kapitel LDAP im Administratorhandbuch nachlesen.

Hinweis: Eine Anmeldung als "root" geht nicht.


Domänenadministrator

Der Nutzer "adm"

Das Recht "HAdmin" zu sein, gibt das Recht, sehr viele Änderungen am LDAP-Baum machen zu dürfen. Er hat also etwas mit Nutzerverwaltung zu tun. Das Recht, Domänenadministrator zu sein ist an eine spezielle Gruppe gebunden. In dieser Gruppe ist der Nutzer "adm". Diesem können Sie ein Passwort verpassen. Danach kann er sich auf dem Client anmelden und hat automatisch alle Rechte auf dem Client.

Andere Nutzer

Eine einfache Lösung, die auch im Samba Handbuch steht, wäre im LDAP eine Gruppe Domänen-Admins anzulegen (muss eine passende SID haben, die mit -512 endet) und die entsprechenden Benutzer dieser Gruppe zuzuordenen. Beim Aufnehmen eines Rechners in eine Domäne wird nämlich diese spezielle Domänen Gruppe in die lokale Administratoren Gruppe aufgenommen. Die Mitgliedschaft in dieser Gruppe hat auf Linux-Clients und den Arktur-Schulserver keinerlei Auswirkungen, d.h. die Benutzer haben deswegen noch keine erweiterten Rechte auf dem Linux Dateisystem usw. (im Gegensatz dazu, wenn Sie Benutzer in einem echten NT Netz zur Gruppe der Domänen-Admins hinzufügen).



zurück | Hauptseite