Benutzerkonten: Lokale und Domänen-User im Vergleich

    Kostenloses eHandbook: Failover-Cluster für Hyper-V 2016 installieren und konfigurieren mit PowerShell und Virtual Machine Manager. Zum Download »

    (Anzeige)

    Lokal oder an einer Domäne anmelden unter Windows 7Grundsätzlich ist der Unterschied zwischen Benutzerkonten auf dem lokalen Computer und solchen in einer Domäne relativ klar. Erstere erlauben nur den Zugriff auf das lokale System, während nur Letztere in ACLs einer Netzwerk-Ressource aufgenommen werden können. Lokale Konten sind daher im Firmenumfeld weitgehend bedeutungslos. Dennoch gibt es sie weiterhin und erfordern ein Konzept, wie man mit ihnen verfahren soll. Derek Melber hat auf WindowsNetworking.com die wichtigsten Aspekte der beiden Kontotypen zusammengefasst.

    Jede Diskussion um die Bedeutung lokaler Benutzerkonten dreht sich primär um die Notwendigkeit und die Gefahren lokaler Administratoren. Aufgrund ihrer Privilegien sind sie in der Lage, jedes zentrale Management eines Computers zu unterlaufen und Vorgaben der IT außer Kraft zu setzen.

    Lokaler Administrator nicht erforderlich

    Windows richtet bei der Installation zwar noch das lokale Konto Administrator ein, deaktiviert es aber genauso wie den Gast-Account. Als Super-User dient der erste Benutzer, dessen Konto beim Setup eingerichtet wird. Daher gibt es kaum einen Grund, das eingebaute Administratoren-Konto zu aktivieren.

    Sollten für Benutzer lokale Admin-Rechte erforderlich sein, dann werden diese auf PCs, die Mitglied einer Domäne sind, normalerweise dadurch gewährt, dass der Domänen-User in die lokale Administratorengruppe aufgenommen wird. Aber auch hier entschärft Windows 7 die Situation, indem sich im Vergleich zu XP viele Aufgaben als Standardbenutzer erledigen lassen. Derek Melber empfiehlt daher, alle lokalen Konten zu löschen, außer solchen, die unbedingt erforderlich sind, wie beispielsweise Service-Accounts.

    Die wichtigsten Merkmale für Benutzerkonten

    Neben dem Pro und Contra für lokale Konten sowie der Bedeutung der zwei Account-Typen in der Firmen-IT gilt es, die wichtigsten Merkmale von Benutzerkonten präsent zu haben:

    • Lokale Konten werden in der SAM-Datenbank von Windows gespeichert, jene für Domänen in den dafür zuständigen Domain Controllers.
    • Ein Computer kann nur Mitglied einer Domäne sein. Damit ein Benutzer auf Ressourcen zugreifen kann, die einer anderen Domäne angehören, muss zwischen den Domänen eine Vertrauensstellung bestehen. Dabei sollten Benutzer in Trusted Domains nicht doppelt angelegt werden, dies läuft dem Sinn einer Vertrauensstellung zuwider.
    • Ein Benutzerkonto muss für eine Domäne eindeutig sein.
    • Nur Domänen-User können Mitglied von Benutzergruppen einer Domäne sein, zusätzlich dürfen sie in lokale Gruppen von Computern aufgenommen werden, die der Domäne beigetreten sind.
    • Domänen-Accounts können in jeder ACL einer Ressource berücksichtigt werden, die Teil der Domäne ist.
    • Nur Benutzerkonten einer Domäne können über Group Policies zentral verwaltet werden.

    1 Kommentar

    Bild von Hans
    Hans sagt:
    5. Juni 2012 - 22:30

    "Damit ein Benutzer auf Ressourcen zugreifen kann, die einer anderen Domäne angehören, muss zwischen den Domänen eine Vertrauensstellung bestehen."

    Ausser, er benutzt einen Account aus der anderen Domäne...

    um z.B. auf Netzlaufwerke zu verbinden via
    net use \\fileserver\freigabe /user:andereDomain\andererNutzer

    oder im anderen AD stöbern
    http://www.selfadsi.de/bind.htm#BindCredentials