Administration eines Teams von Bildarbeitern - eine Dokumentation für das Fach „Betriebssysteme II“

  Administration eines Teams von Bildarbeitern  

  Dokumentation für das Fach „Betriebssysteme II“  

  Tamara Rachbauer, MI  

3.2  Vorgehensweise zum Einrichten von Benutzerkonten und Gruppenkonten unter  

  Mac OS X Server  8

3.2.1  Vorgehensweise zum Anlegen der drei Benutzer-Accounts  9

3.2.2  Vorgehensweise zum Anlegen des Gruppen-Accounts „Bildbearbeitung“ und  

  Hinzufügen der drei zuvor angelegten Benutzer  10

3.2.3  Richtlinien für die Benutzung der einzelnen Konten  11

3.3  Vorgehensweise zum Einrichten von Benutzerkonten und Gruppenkonten unter  

  Windows Server 2003  12

3.3.1  Vorgehensweise zum Anlegen der drei Benutzer-Accounts Herbert Meier, Klaus  

  Müller und Clara Schulze  13

3.3.2  Vorgehensweise zum Anlegen der globalen Gruppe „Bildbearbeitung“ und  

  Hinzufügen der drei zuvor angelegten Benutzer  14

4  Anlegen des Home-Verzeichnisses und des gemeinsam nutzbaren Ordners „Bildaustausch“  

  15  

4.1  Vorgehensweise zum Anlegen des Home-Verzeichnisses und des gemeinsam  

  nutzbaren Ordners unter Mac OS X Server  15

4.1.1  Anlegen des Home-Verzeichnisses bzw. des „Privatordners“  15

4.1.2  Anlegen des gemeinsam nutzbaren Ordners  16

4.2  Vorgehensweise zum Anlegen des Home-Verzeichnisses und des gemeinsam  

  nutzbaren Ordners unter Windows Server 2003  17

4.2.1  Anlegen des Home-Verzeichnisses bzw. persönlichen Ordners  17

4.2.2  Anlegen und Freigeben des gemeinsam nutzbaren Ordners „Bildaustausch“  21

5  Geeignete Bildbearbeitungsprogramme  24

5.1  Adobe Photo Shop  25

5.2  Version Cue  26

6  Resümee  27

6.1  Für die Aufgabenlösungen bereitgestellte Programme  27

6.2  Komplexität bei der Benutzung der Programme  27

  Seite 2 von  33

  Administration eines Teams von Bildarbeitern  

  Dokumentation für das Fach „Betriebssysteme II“  

  Tamara Rachbauer, MI  

6.2.1  Komplexität beim Anlegen eines Benutzers bzw. einer Gruppe  27

6.2.2  Komplexität beim Anlegen des Home-Verzeichnisses bzw. des gemeinsam  

  nutzbaren Ordners  28

6.3  Möglichkeiten zur Absicherung der Kennwörter  28

6.4  Möglichkeiten zum Einstellen der Benutzungsrichtlinien  28

6.5  Welches Betriebssystem ist besser für die Umsetzung geeignet?  29

7  Literaturverzeichnis  30

8  Abbildungsverzeichnis  32

  Seite 3 von  33

Administration eines Teams von Bildarbeitern Dokumentation für das Fach „Betriebssysteme II“

Tamara Rachbauer, MI

1 Zusammenfassung

Diese Dokumentation beschäftigt sich mit Maßnahmen, die man als Administrator in einer Multimedia-Agentur treffen muss, damit mehrere Mitarbeiter gleichberechtigt Bilder bearbeiten können.

Dabei werden die gesamten, besprochenen Vorgehensweisen anhand von zwei verschiedenen Betriebssystemen, dem Microsoft Windows Server 2003 und dem Mac OS X Server, untersucht, verglichen und anschließend bewertet.

Anschließend werden geeignete Bildbearbeitungsprogramme erläutert.

Im Abschnitt 2 werden einige allgemeine Begriffe erklärt, die zum besseren Verständnis der weiteren Vorgehensweisen notwendig sind.

Im Abschnitt 3 wird die Erstellung von Benutzerkonten anhand von drei Beispielen auf beiden Betriebssystemen erläutert, und Richtlinien zur Benutzung derselben spezifiziert.

Der 4. Abschnitt beschäftigt sich mit der Einrichtung von Home-Verzeichnissen der Mitarbeiter.

Danach werden im Abschnitt 5 geeignete Bildbearbeitungsprogramme besprochen und abschließend im Abschnitt 6 die Dokumentation mit einer zusammenfassenden Wertung abgeschlossen.

2 Begriffserklärungen

2.1.1 Active Directory

Jeder Benutzer muss sich identifizieren, das heißt sich mit seinem Benutzernamen und einem geheim zu haltenden Kennwort anmelden, um Zugriff auf Ressourcen und Informationen eines Netzwerkes zu erhalten.

Mit der Einführung des Active Directory in Windows 2000 wurde ein neuer Verzeichnisdienst eingeführt, der bei Windows 2003 Server erweitert und in vielen Punkten wesentlich verbessert wurde. Das Active Directory ist somit das Zentrum für die Sicherheit eines Windows Server 2003 Netzwerkes.

2.1.2 Benutzerkonto

Ein Benutzerkonto enthält die Informationen, die zur Überprüfung der Identität eines Benutzers erforderlich sind. Damit bestimmt das Betriebssystem, welche Berechtigungen dem Benutzer zur Verfügung stehen. Des Weiteren können sie auch für die Anpassung der Benutzeroberfläche genutzt werden.

Solche Benutzerinformationen sind unter anderem

• Benutzername,

• Kennwort,

• ein persönlicher Ordner, etc.

Seite 4 von 33

Administration eines Teams von Bildarbeitern Dokumentation für das Fach „Betriebssysteme II“

Tamara Rachbauer, MI

2.1.3 Domäne

Domänen stellen die unterste Einheit für die zentrale Verwaltung, also die Administration der Benutzer, dar. Daneben sind Domänen die natürliche Grenze für Sicherheitseinstellungen. Rechte können innerhalb einer Domäne, aber nicht über diese hinaus vererbt werden.

2.1.4 Globale Gruppen

Globale Gruppen dienen zur Organisation der Benutzer, die Administration wird wesentlich vereinfacht. Im Gegensatz zu den organisatorischen Einheiten, die zum Gruppieren der Benutzer im Active Directory benutzt werden, werden globale Gruppen für die Vergabe von Berechtigungen verwendet.

2.1.5 Gruppenkonto

Ein Gruppenkonto dient zur Verwaltung mehrerer Benutzer mit ähnlichen Eigenschaften bzw. Erfordernissen. Damit ist es z. B. möglich, gemeinsame Zugriffsrechte auf Ordner und Dateien oder Eigenschaften der Computerumgebung festzulegen.

2.1.6 Gruppenordner

Ein Gruppenordner kann einer Gruppe beim Erstellen des Gruppenkontos zugewiesen werden. Der Gruppenordner ist ein Speicherort für die entsprechenden Gruppenmitglieder und dient diesen zum Informationsaustausch untereinander.

Standardmäßig bestehen Gruppenordner laut [Apple Computer 2006b] aus drei Teilen:

1. einem Ordner „Dokumente“,

2. einem Ordner „Bibliothek“ und

3. einem Ordner „Öffentlich“

2.1.7 Suchpfad

Ein Suchpfad ist eine Liste bestehend aus Verzeichnis-Domains, die der Computer absucht, wenn er Konfigurationsdateien benötigt.

2.1.8 Verzeichnisdienste, Open Directory und Verzeichnis-Domain

Apple Computer beschreibt in [Apple Computer 2002a] Verzeichnisdienste (Directory Services) als eine ideale Methode zum Verwalten von Benutzern und Computerressourcen, da sie einen zentralen Sammelpunkt für Informationen über Systeme, Benutzer und Programme bieten. Namen und Kennwörter oder sonstige Einstellungen könne an einem einzelnen Standort verwaltet werden. Die Verzeichnisdienste-Architektur wird unter Apple als „Open Directory“ bezeichnet. Eine Verzeichnis-Domain ist in etwa vergleichbar mit einer Datenbank, auf die der Computer gemäß seiner Einstellungen zugreifen kann, um Konfigurationsdateien abzurufen. Sie befindet sich auf dem Computer selbst oder auf anderen Mac OS X Servern.

Seite 5 von 33

Administration eines Teams von Bildarbeitern Dokumentation für das Fach „Betriebssysteme II“

Tamara Rachbauer, MI

3 Benutzerkonten einrichten und Richtlinien zur Benut-

zung der selben festlegen

Unabhängig vom jeweiligen Betriebssystem sollte man sich vor dem Anlegen von Benutzerkonten auch Gedanken über

• Namenskonventionen,

• Kennwörter und Kennwortrichtlinien,

• Gruppenzugehörigkeit und

• Berechtigungen machen.

Deshalb erfolgt zunächst eine kurze Einführung, bevor das Einrichten der drei Benutzerkonten und des Gruppenkontos beschrieben wird. Anschließend werden Richtlinien für die Benutzung derselben spezifiziert.

Dabei werden die Vorgehensweisen für die beiden Betriebssysteme, Windows Server 2003 und Mac OS X Server getrennt voneinander durchgeführt.

3.1 Strategien vor dem Anlegen von Benutzerkonten

3.1.1 Namenskonventionen

Für den Benutzernamen, der den Benutzer identifizieren soll, wird von den Firmen meist der Vor- und Nachname zur besseren Identifizierung der jeweiligen Benutzer verwendet. Z. B. Herbert Meier, Klaus Müller oder Clara Schulze.

Der Kurzname wird für die Anmeldung am Server genutzt, damit der Benutzer nicht den langen Benutzernamen eingeben muss. Er besteht ausschließlich aus Buchstaben, Ziffern, dem Bindestrich oder dem Unterstrich. Eine mögliche Variante für einen Kurznamen wäre eine Kombination aus Vor- und Nachname. Z. B. hmeier, kmueller oder cschulze.

3.1.2 Kennwort

Das Kennwort wird vom Benutzer beim Anmelden am Server verwendet. Es wird zwischen Groß- und Kleinschreibung unterschieden.

Das Kennwort sollte einen hohen Sicherheitsstandard aufweisen und so gewählt werden, dass es von unbefugten Benutzern nicht ohne weiteres zu erraten ist.

Das Kennwort sollte eine Kombination aus Buchstaben, Zahlen und Symbolen sein und dennoch für den Benutzer leicht merkbar sein.

Andreas Borchert beschreibt in [Borchert 1996] drei konkrete Methoden zur Passwortbestimmung:

Seite 6 von 33

Administration eines Teams von Bildarbeitern Dokumentation für das Fach „Betriebssysteme II“

Tamara Rachbauer, MI

1. Methode Spruch Dabei wählt man eine Zeile aus einem Lieblingsgedicht oder einen anderen nicht allzu gebräuchlichen Spruch und nimmt davon jeweils die Anfangsbuchstaben. So würde aus „Es gibt kein Bier auf Hawaii“ das Passwort „EgkBaH“. Sicherheitshalber sollten zusätzlich noch Sonderzeichen oder Variationen eingestreut werden, z. B. durch Einfügen einer Klammer: „Egk(BaH“.

2. Methode Doppelwort Auswahl von zwei Wörtern, die gekürzt, entstellt und mit Sonderzeichen versehen werden. So könnte aus „Leberwurst“ und „Schweizer Rösti“ etwa zunächst „berwzti“ werden, das dann zu „berw%zti“ wird.

3. Methode Zufall Acht Zeichen werden per Zufall ausgewählt. Ein altes, nicht mehr verwendetes Passwort war laut [Borchert 1996] z. B „vb z.xc“.

3.1.3 Kennwortrichtlinien

Unter Mac OS X Server gibt es verschiedene Kennwortstrategien, von denen die nachfolgenden für den Fall der Administration eines Teams von Bildbearbeitern von Relevanz sind.

• Speichern eines Kennwortes im Benutzer-Account. Hierbei handelt es sich um die Standardstrategie. Apple Computer beschreibt diese Strategie in [Apple Computer 2002b] als die einfachste und schnellste Methode, da sie bezüglich der Kennwortüberprüfung nicht von einer anderen Infrastruktur abhängig ist. Nachteil an dieser Methode ist, dass man keine Richtlinien wie z.B. eine Mindestlänge festlegen kann, die die Sicherheit erhöhen.

• Arbeiten mit einem Kennwort-Server. Mit dieser Methode kann man nun im Gegensatz zur Standardstrategie Richtlinien zur Benutzung der Kennwörter einrichten und die Kennwörter während der Übertragung schützen. Nachteil hierbei ist, dass der Kennwort-Server verfügbar sein muss, damit eine Anmeldung mit dem Kennwort möglich ist.

In der nachfolgenden Tabelle sind die Einschränkungen für Mac OS X Server Kennwörter festgelegt.

Apple File Server X X

File Transfer Protocol (FTP)

X

Server

IMAP

Macintosh Manager POP3 X Server Admin X X Web Server X Windows Server X 3.1 „Übersicht Mac OS X Server Kennwortunterstützung “. In: Mac OS X Server Administratorhandbuch.

Seite 7 von 33

Administration eines Teams von Bildarbeitern Dokumentation für das Fach „Betriebssysteme II“

Tamara Rachbauer, MI

[Microsoft TechNet 2005] schreibt über Kennwortrichtlinien unter Windows Server 2003:

• Kennwortchronik erzwingen: speichert mehrere vorherige Kennwörter und verhindert damit, dass Benutzer nach Ablauf ihres Kennworts nicht erneut das gleiche Kennwort verwenden.

• Maximales Kennwortalter: in der Regel sollte dieser Wert laut [Microsoft TechNet 2007c] auf alle 30 bis 90 Tage eingestellt sein. So erhält ein Angreifer, der ein Kennwort ermittelt, nur so lange Zugriff auf das Netzwerk, bis das Kennwort abläuft.

• Minimales Kennwortalter: damit kann das Kennwort erst nach einer bestimmten Anzahl von Tagen geändert werden.

• Minimale Kennwortlänge: Kennwörter müssen mindestens eine angegebene Anzahl von Zeichen enthalten. Lange Kennwörter - mindestens 7 Zeichen - sind üblicherweise sicherer als kurze. Mit dieser Richtlinieneinstellung können Benutzer keine leeren Kennwörter verwenden. Stattdessen müssen sie Kennwörter erstellen, die eine bestimmte Anzahl von Zeichen umfassen.

• Kennwort muss Komplexitätsvoraussetzungen entsprechen: Alle neuen Kennwörter werden überprüft, um sicherzustellen, dass sie den Grundanforderungen für sichere Kennwörter entsprechen.

3.1.4 Gruppenzugehörigkeit und Berechtigungen

Wie schon im Abschnitt 2.1.5 beschrieben erleichtern Gruppen die Verwaltung gemeinsam genutzter Ressourcen, da man Benutzer zu Gruppen hinzufügen kann und danach der ganzen Gruppe Berechtigungen erteilt, anstatt dies für jeden Benutzer einzeln machen zu müssen.

Im Falle der drei Mitarbeiter, die gleichberechtigt Bilder bearbeiten sollen, könnte eine mögliche Gruppe „Bildbearbeitung“ heißen. Dieser Gruppe fügt man die Mitarbeiter hinzu und vergibt dann für diese Gruppe Zugriffsbeschränkungen auf entsprechende Verzeichnisse.

3.2 Vorgehensweise zum Einrichten von Benutzerkonten und Gruppenkonten unter Mac OS X Server

Der Mac OS X Server stellt dem Administrator das Programm „Arbeitsgruppen-Manager“ zur Verfügung, das diesem unter anderem zum Einrichten und Verwalten von Benutzerkonten und Gruppenkonten dient. Das Programm selbst wird automatisch beim Installieren des Mac OS X Servers mitinstalliert und findet sich unter dem Verzeichnis „/Programme/ Dienstprogramme“.

Nach dem Anmelden als Administrator erscheint das Fenster mit dem man sich die Benutzer, Gruppen und Computer des lokalen Servers anzeigen lassen kann.

Seite 8 von 33

Administration eines Teams von Bildarbeitern Dokumentation für das Fach „Betriebssysteme II“

Tamara Rachbauer, MI

3.2 „Benutzer-Account-Fenster des Arbeitsgruppen-Manager“. In: Mac OS X Server Administrator-Handbuch.

3.2.1 Vorgehensweise zum Anlegen der drei Benutzer-Accounts

Schritt für Schritt Anleitung zum Erstellen der neuen Benutzer laut [Apple Computer 2002b]

1. Im Programm „Arbeitsgruppen-Manager“ auf „Accounts“ klicken.

2. Auf den Button mit der Weltkugel klicken und die Verzeichnis-Domain öffnen, in der der Benutzer-Account angelegt werden soll.

3. Auf den Button mit dem Schlosssymbol klicken und als Verzeichnis-Administrator anmelden.

4. Auf „Server“ und „Neuer Benutzer“ klicken.

5. Im Feld „Name“ den Benutzernamen „Herbert Meier“ eingeben.

6. Im Feld „Benutzer-ID“ die Benutzer-ID 600 eingeben. Die Benutzer-ID identifiziert den Benutzer Herbert Meier eindeutig. Wenn Herbert Meier ein Verzeichnis oder eine Datei erstellt, wird seine Benutzer-ID als ID des Eigentümers gespeichert. Nur der Benutzer mit dieser ID hat Lese- und Schreibzugriff auf dieses Verzeichnis oder diese Datei.

7. Im Feld „Kurznamen“ den Kurznamen „hmeier“ eingeben. Unter diesem erscheint der Benutzer dann auch innerhalb einer Gruppe.

Seite 9 von 33