15.2 Verwaltung von lokalen Benutzerkonten mithilfe des ZENworks-Arbeitsstations-Managers

Benutzer benötigen lokale Konten auf dem Terminalserver, um Anwendungen auf einem Terminalserver ausführen zu können. Für die dynamische Verwaltung von Benutzerkonten auf Terminalservern können Sie den Arbeitsstations-Manager (wird zusammen mit dem Desktop Management-Agenten installiert) und Benutzerrichtlinien einsetzen. Wenn Sie den Arbeitsstations-Manager verwenden möchten, führen Sie die Aufgaben in den folgenden Abschnitten durch. Wenn Sie den Arbeitsstations-Manager nicht verwenden möchten, finden Sie unter Abschnitt 15.3, Verwaltung von lokalen Benutzerkonten mithilfe von Methoden ohne Nutzung von ZENworks weitere Möglichkeiten für die Benutzerverwaltung.

15.2.1 Novell Client und den Desktop Management-Agenten installieren

Novell Client und der Desktop Management-Agent müssen auf jedem Terminalserver installiert werden, auf dem ZENworks Terminalserverkonten dynamisch verwalten soll.

Der Desktop Management-Agent enthält die Komponente "Arbeitsstations-Manager", mit der lokale Benutzerkonten dynamisch auf dem Terminalserver erstellt werden. Der Management-Agent nutzt Novell Client für die Beglaubigung bei Novell eDirectory™ und für den Zugriff auf die Richtlinie für dynamische lokale Benutzer.

  1. Laden Sie Novell Client 4.91 SP1 (oder höher) von der Download-Website von Novell herunter und installieren Sie den Client auf dem Terminalserver.

  2. Installieren Sie den Desktop Management-Agenten. Die Komponenten Arbeitsstations-Manager und Arbeitsstatonsverwaltung müssen unbedingt installiert werden; die anderen Komponenten sind optional.

    Informationen zum Installieren des Desktop Management-Agenten finden Sie in Abschnitt 12.0, Installation und Konfiguration des Desktop Management-Agenten.

15.2.2 Einrichten des Arbeitsstations-Managers

ZENworks Desktop Management enthält eDirectory-Benutzerrichtlinien, mit denen Sie lokale Benutzerkonten und Profile auf Terminalservern problemlos verwalten können. Der auf dem Terminalserver ausgeführte Arbeitsstations-Manager wendet die Richtlinien an, wenn sich ein Benutzer bei dem Terminalserver anmeldet. Mithilfe der Schritte in diesem Abschnitt können Sie sicherstellen, dass der Arbeitsstations-Manager korrekt installiert und konfiguriert wird. Informationen zum Erstellen und Verwenden von Benutzerrichtlinien finden Sie unter Abschnitt 15.2.4, Einrichten dynamischer lokaler Benutzerkonten.

Der Arbeitsstations-Manager wird als Teil der Installation des Desktop Management-Agenten installiert. Im Fenster "Services" können Sie überprüfen, ob der Arbeitsstations-Manager auf dem Terminalserver installiert wurde und ausgeführt wird.

Wenn Sie über mehrere eDirectory-Bäume verfügen, sollten Sie ebenfalls sicherstellen, dass der Arbeitsstations-Manager so konfiguriert ist, dass er Daten in dem eDirectory-Baum liest, in dem sich Ihre Benutzerobjekte befinden. Gehen Sie dabei wie folgt vor:

  1. Klicken Sie im Startmenü auf Einstellungen > Systemsteuerung > Network Identity.

  2. Klicken Sie im Dialogfeld "Novell Network Identity" auf Einstellungen.

  3. Überprüfen Sie, ob die Option "Arbeitsstations-Manager aktivieren" ausgewählt wurde und ob der Baum korrekt eingerichtet wurde.

  4. Überprüfen Sie den Wert für Tree in der Windows-Registrierung. Dieser befindet sich unter dem Schlüssel HKEY_LOCAL_MACHINE/SOFTWARE/NOVELL/Workstation Manager/Identification.

15.2.3 Konfigurieren der Pass-Through-Beglaubigung

Zur Vereinfachung der Vorgehensweise beim Start von Terminalserveranwendungen stellt ZENworks Desktop Management die Pass-Through-Beglaubigung zur Verfügung. Bei der Pass-Through-Beglaubigung wird ein Benutzer beim Starten einer Terminalserveranwendung nicht zur Angabe von Benutzername und Passwort aufgefordert, sofern für das eDirectory-Konto und das Windows-Benutzerkonto derselbe Benutzername und dasselbe Passwort gelten.

Standardmäßig wird die Pass-Through-Beglaubigung automatisch während der Installation des Desktop Management-Agenten auf dem Terminalserver konfiguriert. Um sicherzustellen, dass die Konfiguration erfolgreich durchgeführt wurde, sollten Sie die folgenden Schritte durchführen:

  1. Aktivieren Sie auf dem Terminalserver die Einstellung Anmeldeinformationen von Client verwenden und deaktivieren Sie die Einstellung Kennwort immer anfordern:

    1. Klicken Sie auf dem Terminalserver auf Start > Programme > Verwaltung > Terminaldienstekonfiguration.

    2. Doppelklicken Sie auf einen Verbindungstyp (standardmäßig RDP-Tcp) und geben Sie dann die Eigenschaften ein.

    3. Aktivieren Sie auf der Registerkarte Anmeldeeinstellungen die Einstellung Anmeldeinformationen von Client verwenden und deaktivieren Sie die Einstellung Kennwort immer anfordern.

    4. Wiederholen Sie Schritt 1.b und Schritt 1.c für jeden Verbindungstyp.

  2. Überprüfen Sie die Standardprofilkonfiguration für Novell Client auf dem Terminalserver:

    1. Klicken Sie auf dem Terminalserver mit der rechten Maustaste auf das Novell-Symbol (N-Symbol) im Statusbereich der Taskleiste und klicken Sie dann auf Novell Client-Eigenschaften.

    2. Klicken Sie auf die Registerkarte Standortprofile.

    3. Wählen Sie in der Liste Standortprofile die Option Standard aus und klicken Sie dann zum Öffnen des Dialogfelds "Eigenschaften von Standortprofil" auf Eigenschaften.

    4. Wählen Sie in der Liste Service die Option Anmeldedienst aus, wählen Sie in der Liste Service-Kopie die Option Standard aus und klicken Sie dann auf Eigenschaften, um das Dialogfeld "Novell-Anmeldung" anzuzeigen.

    5. Deaktivieren Sie die Option Profil nach erfolgter Anmeldung speichern.

    6. Klicken Sie auf die Registerkarte NDS.

    7. Wählen Sie im Feld Baum den eDirectory-Baum aus, in dem die Terminalserveranwendungen als Anwendungsobjekte konfiguriert sind.

    8. Löschen Sie alle Angaben aus den Feldern Kontext und Server.

    9. Zum Speichern der Konfigurationseinstellungen klicken Sie wiederholt auf OK , bis alle Dialogfelder geschlossen sind.

15.2.4 Einrichten dynamischer lokaler Benutzerkonten

Nachdem Sie den Arbeitsstations-Manager auf den Terminalservern installiert und konfiguriert haben, müssen Sie die Richtlinien aktivieren und konfigurieren, die die lokalen Benutzerkonten steuern. Die folgenden Abschnitte enthalten entsprechende Anweisungen:

Benutzerrichtlinienpaket erstellen

Mit den in einem Benutzerrichtlinienpaket enthaltenen Windows 2000-2003-Terminalserverrichtlinien können Sie lokale Benutzerkonten dynamisch verwalten. Sie können ein vorhandenes Benutzerrichtlinienpaket verwenden oder speziell für Windows 2000/2003-Terminalserverrichtlinien ein neues Benutzerrichtlinienpaket erstellen. Wenn Sie bereits über ein Benutzerrichtlinienpaket verfügen, das Sie verwenden möchten, fahren Sie mit dem Abschnitt Dynamische lokale Benutzerkonten konfigurieren fort. Erstellen Sie andernfalls mithilfe der folgenden Schritte ein neues Benutzerrichtlinienpaket:

  1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf den Container, in dem Sie das Benutzerrichtlinienpaket-Objekt erstellen möchten, klicken Sie auf Neu und anschließend auf "Richtlinienpaket", um den Richtlinienpaketassistenten zu öffnen.

    Seite für die Richtlinienpaketauswahl im Richtlinienpaketassistenten

  2. Wählen Sie in der Liste Richtlinienpakete die Option Benutzerpaket und klicken Sie dann auf Weiter.

    Seite für den Richtlinienpaketnamen im Richtlinienpaketassistenten

    Der Name des Paketobjekts muss in dem Container, in dem es erstellt wird, eindeutig sein. Wenn Sie beabsichtigen, mehrere Benutzerrichtlinienpakete zu erstellen, sollten Sie einen möglichst aussagekräftigen Namen verwenden (z. B. Win2000/2003 TS-Benutzerpaket). Sie können die Richtlinie auch in demselben Container erstellen, in dem die Benutzer der Richtlinie gespeichert sind.

  3. Falls notwendig, ändern Sie den Objektnamen des Pakets und den Container, in dem es erstellt wird. Klicken Sie dann auf Weiter.

    Übersichtsseite des Richtlinienpaketassistenten

  4. Aktivieren Sie auf der Übersichtsseite das Kontrollkästchen Zusätzliche Eigenschaften definieren und klicken Sie dann auf Fertig stellen, Benutzerpaketobjekt zu erstellen und die Eigenschaftsseiten des Objekts anzuzeigen.

    Seite mit allgemeinen Richtlinien für ein Benutzerpaketobjekt

  5. Klicken Sie auf die Registerkarte Richtlinien und klicken Sie dann auf "Windows 2000-2003-Terminalserver", um die Seite mit Richtlinien für den Windows 2000-2003-Terminalserver anzuzeigen.

    Seite für die Win2000-Terminalserverrichtlinien in einem Benutzerpaketobjekt

  6. Fahren Sie mit dem Abschnitt Dynamische lokale Benutzerkonten konfigurieren fort.

Dynamische lokale Benutzerkonten konfigurieren

Mit der Richtlinie für dynamische lokale Benutzer legen Sie fest, wie der Arbeitsstations-Manager Benutzerkonten auf dem Terminalserver erstellt.

  1. Aktivieren Sie auf der Plattformseite "Windows 2000 2003-Terminalserver" das Kontrollkästchen links neben der Richtlinie für dynamische lokale Benutzer und klicken Sie dann zum Anzeigen der Eigenschaftsseite für dynamische lokale Benutzer auf Eigenschaften.

    Eigenschaftsseite für dynamische lokale Benutzer

  2. Konfigurieren Sie die folgenden Felder:

    Dynamischen lokalen Benutzer aktivieren: Aktivieren Sie diese Option, damit der Arbeitsstations-Manager Benutzerkonten dynamisch erstellt.

    Eventuell vorhandenes Benutzerkonto verwalten: Aktivieren Sie diese Option, wenn der Arbeitsstations-Manager die Richtlinie für dynamische lokale Benutzer auf bestehende Benutzerkonten anwenden soll. Andernfalls bezieht sich diese Richtlinie nur auf neue Benutzerkonten.

    eDirectory-Berechtigungsnachweis verwenden: Aktivieren Sie diese Option, um eDirectory-Benutzernamen und -Passwörter für die lokalen Benutzerkonten zu verwenden. Wenn der eDirectory- und der Windows-Berechtigungsnachweis des Benutzers synchronisiert sind und die Pass-Through-Beglaubigung konfiguriert ist (wie unter Abschnitt 15.2.3, Konfigurieren der Pass-Through-Beglaubigung erläutert), wird der Benutzer nicht zur Angabe eines Berechtigungsnachweises aufgefordert, wenn er eine Anwendung auf einem Terminalserver startet.

    Temporärer Benutzer (nach der Abmeldung entfernen): Aktivieren Sie diese Option, wenn das Konto eines Benutzers entfernt werden soll, nachdem dieser die Anwendung beendet hat und die Sitzung geschlossen wurde. Alle Benutzerkontodaten werden entfernt. Wenn Sie Benutzerprofile beibehalten möchten, können Sie zentral gespeicherte Profile konfigurieren. Entsprechende Anweisungen finden Sie unter Richtlinie der Desktop-Standardeinstellungen für Windows (Benutzerpaket) unter Arbeitsstationsverwaltung im Novell ZENworks 7 Desktop Management-Verwaltungshandbuch.

    Mitglied von/Kein Mitglied von: Wählen Sie in der Liste Kein Mitglied von die Gruppe (oder die Gruppen) aus, in der (denen) Benutzer Mitglieder werden sollen, und klicken Sie dann auf Hinzufügen. Die Gruppenmitgliedschaft legt die Zugriffsrechte eines Benutzers auf dem Terminalserver fest. Wenn keine der enthaltenen Gruppen genau die Dateisystemrechte bietet, die Sie bestimmten Benutzerkonten zuweisen möchten, können Sie die Seite "Dateirechte" verwenden (Registerkarte Dynamischer lokaler Benutzer > Seite "Dateirechte").

  3. Klicken Sie zum Speichern der Änderungen und Schließen der Eigenschaftsseite für dynamische lokale Benutzer auf OK.

  4. Fahren Sie mit dem Abschnitt Benutzerpaket mit Benutzern verknüpfen fort.

Benutzerpaket mit Benutzern verknüpfen

Bevor das Benutzerrichtlinienpaket wirksam wird, muss es mit Benutzern verknüpft werden.

  1. Wenn die Eigenschaftsseite des Benutzerpaketobjekts nicht geöffnet ist, klicken Sie mit der rechten Maustaste auf das Benutzerpaket und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Verknüpfungen, um die Seite "Verknüpfungen" anzuzeigen.

    Seite "Verknüpfungen" im Benutzerpaketobjekt

  3. Klicken Sie auf Hinzufügen, navigieren Sie zu den Benutzern, auf die Sie das Richtlinienpaket anwenden möchten, und wählen Sie sie aus. Sie können Benutzer, Gruppen oder Container hinzufügen.

  4. Wenn Sie alle Benutzer hinzugefügt haben, klicken Sie auf OK, um die Informationen zu speichern.