Benutzerkonten: Lokale und Domänen-User im Vergleich

Lokal oder an einer Domäne anmelden unter Windows 7Grundsätzlich ist der Unterschied zwischen Benutzerkonten auf dem lokalen Computer und solchen in einer Domäne relativ klar. Erstere erlauben nur den Zugriff auf das lokale System, während nur Letztere in ACLs einer Netzwerk-Ressource aufgenommen werden können. Lokale Konten sind daher im Firmenumfeld weitgehend bedeutungslos. Dennoch gibt es sie weiterhin und erfordern ein Konzept, wie man mit ihnen verfahren soll. Derek Melber hat auf WindowsNetworking.com die wichtigsten Aspekte der beiden Kontotypen zusammengefasst.

Jede Diskussion um die Bedeutung lokaler Benutzerkonten dreht sich primär um die Notwendigkeit und die Gefahren lokaler Administratoren. Aufgrund seiner Privilegien sind sie in der Lage, jedes zentrale Management eines Computers zu unterlaufen und Vorgaben der IT außer Kraft zu setzen.

Lokaler Administrator nicht erforderlich

Windows richtet bei der Installation zwar noch das lokale Konto Administrator ein, deaktiviert es aber genauso wie den Gast-Account. Als Super-User dient der erste Benutzer, dessen Konto beim Setup eingerichtet wird. Daher gibt es kaum einen Grund, das eingebaute Administratoren-Konto zu aktivieren.

Sollten für Benutzer lokale Admin-Rechte erforderlich sein, dann werden diese auf PCs, die Mitglied einer Domäne sind, normalerweise dadurch gewährt, dass der Domänen-User in die lokale Administratorengruppe aufgenommen wird. Aber auch hier entschärft Windows 7 die Situation, indem sich im Vergleich zu XP viele Aufgaben als Standardbenutzer erledigen lassen. Derek Melber empfiehlt daher, alle lokalen Konten zu löschen, außer solchen, die unbedingt erforderlich sind, wie beispielsweise Service-Accounts.

Die wichtigsten Merkmale für Benutzerkonten

Neben dem Pro und Contra für lokale Konten sowie der Bedeutung der zwei Account-Typen in der Firmen-IT gilt es, die wichtigsten Merkmale von Benutzerkonten präsent zu haben:

  • Lokale Konten werden in der SAM-Datenbank von Windows gespeichert, jene für Domänen in den dafür zuständigen Domain Controllers.
  • Ein Computer kann nur Mitglied einer Domäne sein. Damit ein Benutzer auf Ressourcen zugreifen kann, die einer anderen Domäne angehören, muss zwischen den Domänen eine Vertrauensstellung bestehen. Dabei sollten Benutzer in Trusted Domains nicht doppelt angelegt werden, dies läuft dem Sinn einer Vertrauensstellung zuwider.
  • Ein Benutzerkonto muss für eine Domäne eindeutig sein.
  • Nur Domänen-User können Mitglied von Benutzergruppen einer Domäne sein, zusätzlich dürfen sie in lokale Gruppen von Computern aufgenommen werden, die der Domäne beigetreten sind.
  • Domänen-Accounts können in jeder ACL einer Ressource berücksichtigt werden, die Teil der Domäne ist.
  • Nur Benutzerkonten einer Domäne können über Group Policies zentral verwaltet werden.

1 Kommentar

Bild von Hans
Hans (Besucher) sagt:

"Damit ein Benutzer auf Ressourcen zugreifen kann, die einer anderen Domäne angehören, muss zwischen den Domänen eine Vertrauensstellung bestehen."

Ausser, er benutzt einen Account aus der anderen Domäne...

um z.B. auf Netzlaufwerke zu verbinden via
net use \\fileserver\freigabe /user:andereDomain\andererNutzer

oder im anderen AD stöbern
http://www.selfadsi.de/bind.htm#BindCredentials

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen