14.3 Als Systemadministrator unter drei Kennungen diszipliniert arbeiten
Inzwischen wurden servergespeicherte Benutzerprofile oft erwähnt. Doch sollten sie für Systemadministratoren aus bestimmten Gründen nicht angelegt werden. Ebenso sollte verhindert werden, dass ein generelles Benutzeranmeldeskript abläuft, wenn man sich als Systemadministrator anmeldet. Es ist Zeit, einige Ratschläge zu geben, wie Systemadministratoren sich verhalten müssen, um zu vermeiden, dass sie durch Unachtsamkeit mit ihren herausragenden Berechtigungen Schaden am Netzwerk anrichten.
Jeder Systemadministrator eines größeren Netzwerkes sollte unter drei verschiedenen Kennungen arbeiten. Die erste Kennung sollte die ganz normalen Berechtigungen eines Standardanwenders haben. Unter dieser Kennung kann der Administrator die Dinge austesten, die er mit einer Administratorkennung im System definiert hat. Er sieht genau das, was jeder andere Benutzer auch sieht, und er arbeitet genau mit den Berechtigungen, mit denen jeder andere Kollege auch arbeitet. Dies zwingt den Administrator dazu, die Arbeitsoberfläche und die Berechtigungen des Standardanwenders so zu gestalten, dass ein angenehmes Arbeiten ohne zu große Restriktionen möglich ist.
Ruft ein Mitarbeiter an, weil er auf ein Problem gestoßen ist, so kann der Administrator sofort überprüfen, ob das Problem auch auftaucht, wenn er unter seiner einfachen Kennung angemeldet ist, und zwar auf dem Computer des Mitarbeiters. Tritt es auf, so handelt es sich um ein generelles Problem, das für alle Anwender gelöst werden muss. Taucht es nicht auf, so liegt das Problem wahrscheinlich in den individuellen Einstellungen des Benutzers, der das Problem gemeldet hat.
Unter dieser Kennung kann der Administrator aber auch unbesorgt Mails schreiben und empfangen, Dokumente in Office erstellen und Tools aus dem Internet herunterladen, ohne aus Versehen Viren in das System einzuschleusen oder ungewollt Änderungen auf den Servern vorzunehmen.
Mit einer zweiten Kennung mit Administratorrechten sowohl am lokalen Computer als auch auf den Servern arbeitet der Systemverwalter, wenn er administrative Tätigkeiten ausführt, z.B. neue Abbilder für RIS erzeugt oder vorhandene Abbilder überarbeitet, Verzeichnisse und Freigaben auf dem Server erstellt und Berechtigungen für diese Serververzeichnisse vergibt oder Netzdrucker anlegt. Sowohl für diese administrative Kennung als auch für die Kennung mit einfachen Rechten kann er ein servergespeichertes Profil verwenden. Meldet er sich unter diesen beiden Kennungen am Computer eines Kollegen an, um einem Problem nachzugehen, so kann er unter der ersten Kennung überprüfen, ob das Problem des Kollegen sowohl unter der einfachen Kennung des Administrators als auch unter der Kennung mit Administratorberechtigungen auftritt. Tritt das Problem unter der administrativen Kennung nicht auf, so ist es wahrscheinlich, dass es sich um ein Berechtigungsproblem handelt. Mit der administrativen Kennung ist er berechtigt, Änderungen am System vorzunehmen oder Anwendungen und Hardwaretreiber neu zu installieren, um das Problem zu lösen.
Auf dem Server sollte der Administrator jedoch nur mit einer dritten Konsolenkennung arbeiten, und zwar auch dann, wenn er remote auf dem Server arbeitet oder die Windows-Server-Verwaltungsprogramme (auf einem Windows-XP-Client installiertes AdminPak.msi) startet. Für diese Kennung sollte er kein servergespeichertes Profil verwenden! Auf dem Server sollten keine Anwendungsprogramme wie Microsoft Office installiert sein. Folglich sollten auch keine Profileinstellungen bei der Arbeit auf dem Server greifen, die dann benötigt werden, wenn der Administrator an seinem Arbeitsplatz-PC mit Outlook oder Access arbeitet. Ebenso darf auf keinen Fall das allgemein verwendete Anmeldeskript abgearbeitet werden, wenn der Administrator sich am Server anmeldet, denn in diesem Anmeldeskript stehen vielleicht Befehle, die Anwendungen oder Tools installieren, die Registrierdatenbank verändern oder Dateien im Verzeichnis %WINDIR%\System32 austauchen. Diese Anmeldeskript-Befehle sind für einen Standardarbeitsplatz erstellt worden und können verheerende Folgen haben, wenn sie versehentlich auf einem Server ausgeführt werden.
Ein wichtiger anderer Grund, dem Konto eines Domänenadministrators kein servergespeichertes Profil zuzuweisen, ist folgender: Wenn Sie verschiedene Standorte mit langsamen WAN-Verbindungen betreuen müssen, so würde das servergespeicherte Profil über die langsame WAN-Verbindung geladen, wenn Sie sich abwechselnd an Computern der verschiedenen Standorte anmelden. Wenn Sie sich nach getaner Arbeit an diesem Computer wieder abmelden, so würde das lokale Profil bei der Abmeldung mit dem servergespeicherten Profil erneut synchronisiert. Diese An- und Abmeldevorgänge wären nicht nur unerträglich zeitraubend, sie würden auch die WAN-Verbindung unnötig stark belasten.
Gewöhnen Sie sich an, mit einer Kennung, die zur Gruppe der Domänenadministratoren gehört, ausschließlich nur dann zu arbeiten, wenn Sie administrative Tätigkeiten im Active Directory, also auf den Servern, ausführen müssen. Diese Kennung besitzt dermaßen umfassende Berechtigungen, dass Sie ungewollt großen Schaden anrichten können, wenn Sie unkonzentriert arbeiten oder z.B. durch Telefonate abgelenkt werden. Diese Aussage gilt besonders dann, wenn das zu administrierende System komplex ist und mehrere Personen als Domänenadministratoren arbeiten. Fehler, die sich durch eine undisziplinierte Nutzung dieser Kennungen einschleichen, sind später oft nicht nachvollziehbar und dann irreparabel. Es versteht sich von selbst, dass zumindest in einer komplexeren Gesamtstruktur mit mehreren Subdomänen unter einer Kennung, die zur Gruppe der Organisationsadministratoren oder Schemaadministratoren gehört, nur dann gearbeitet werden sollte, wenn Aufgaben zu erledigen sind, zu deren Erfüllung die herausragenden Berechtigungen dieser beiden Sicherheitsgruppen benötigt werden.
|
