Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.51 Benutzerprofile zur Einschränkung der Nutzungsmöglichkeiten von Windows NT - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.51 Benutzerprofile zur Einschränkung der Nutzungsmöglichkeiten von Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Benutzerprofile dienen der Speicherung von benutzerspezifischen Einstellungen der Benutzerumgebung. Dies ist u. a. der Inhalt von Programmgruppen, die Netzwerk- und Druckerverbindungen und die farbliche Darstellung des Bildschirms. Weiterhin können über Benutzerprofile die Möglichkeiten der Benutzer, mit Windows NT zu arbeiten, in verschiedener Hinsicht eingeschränkt werden. Die Verwaltung der Profile erfolgt mit dem Benutzerprofil-Editor (UPEDIT.EXE unter Windows NT 3.51 bzw. POLEDIT.EXE unter Windows NT 4.0).

Benutzerprofile können für verschiedene Einsatzzwecke erstellt werden:

Grundsätzlich muss zwischen lokalen und server-gespeicherten Benutzerprofilen unterschieden werden. Lokale Benutzerprofile werden nur auf dem lokalem IT-System abgelegt, während server-gespeicherte Benutzerprofile zentral auf dem NT-Server verwaltet werden.

Fällt bei Verwendung von server-gespeicherten Benutzerprofilen der Server aus, dann wird auf die lokale Kopie zurückgegriffen.

Daneben muss zwischen persönlichen und verbindlichen Benutzerprofilen unterschieden werden. Persönliche Benutzerprofile sind vom Benutzer beliebig änderbar, verbindliche werden vom Administrator vorgegeben.

Verbindliche Profile bleiben von einer Sitzung zur nächsten erhalten, während einer Sitzung durchgeführte Veränderungen gehen beim Abmelden verloren. Diese Profile werden in dem Verzeichnis abgelegt, der im Profileintrag des betreffenden Kontos angegeben ist, und sie tragen unter der Version 3.51 von Windows NT die Dateinamenserweiterung .MAN. Ab Version 4.0 wird ein Profil dadurch als verbindliches Profil gekennzeichnet, dass die Datei NTUSER.DAT in NTUSER.MAN umbenannt wird.

Persönliche Profile, die auf einem Server abgelegt werden, können verwendet werden, um Benutzern unabhängig von der Arbeitsstation, von der aus sie sich anmelden, dieselbe Umgebung zur Verfügung zu stellen. Persönliche Profile werden in dem Verzeichnis abgelegt, der im Profileintrag des betreffenden Kontos angegeben ist, und sie tragen unter Version 3.51 die Dateinamenserweiterung .USR.

Unter Version 3.51 werden die Benutzerprofile im Verzeichnis %SystemRoot%\system32\config in den Benutzern zugeordneten Dateien abgelegt. Dabei werden die folgenden Einstellungen im Benutzerprofil abgelegt:

Ab Version 4.0 werden Benutzerprofile als Verzeichnisbaum unter dem Unterverzeichnis Profiles des Windows-Verzeichnisses %SystemRoot%, also im allgemeinen \WINNT\Profiles, als Verzeichnis mit dem Namen des Benutzers, z. B. \WINNT\Profiles\Schmidt, abgelegt. Dabei wird die gesamte Struktur der Arbeitsoberfläche und insbesondere die Struktur der einzelnen Programmgruppen dort abgelegt. Die folgenden Unterverzeichnisse können dabei vorhanden sein:

Sonstige Einstellungen, wie etwa der Verweis auf das als Hintergrund der Arbeitsoberfläche verwendete Bild oder andere benutzerspezifische Einstellungen der Systemsteuerung, werden im Ordner Profiles in der Datei NTUSER.DAT abgelegt.

Die folgenden Optionen können unter Version 3.51 verwendet werden, um die Möglichkeiten der Benutzer mit Windows NT zu arbeiten in verschiedener Hinsicht einzuschränken:

Ab der Version 4.0 können die folgenden Einschränkungen mit Hilfe des Systemrichtlinien-Editors festgelegt werden:

Unter Windows NT können sehr differenzierte Benutzerprofile erstellt werden. Diese sollten entsprechend der Sicherheitspolitik der Behörde bzw. des Unternehmens erarbeitet werden. Dies kann zeitaufwendig sein, da für verschiedene Benutzergruppen auch jeweils auf diese zurechtgeschnittene Benutzerprofile erstellt werden sollten. Alle Benutzerprofile müssen vorher darauf getestet werden, ob diese weder Lücken offen lassen noch die Benutzer an ihrer Aufgabenerfüllung hindern. Es ist auch zu bedenken, dass zu weitgehende Einschränkungen nicht nur zur Unzufriedenheit der Benutzer bis hin zur völligen Ablehnung des Systems führen können, sondern auch den Administratoren viel Arbeit verursachen können, wenn diese ständig Benutzerwünsche umsetzen müssen, wie z. B. eine andere Schriftgröße einstellen.

Die Windows NT Umgebung wird durch die Werte des aktuellen Benutzerprofils festgelegt, selbst wenn der aktuelle Benutzer weder über ein vorgeschriebenes noch über ein persönliches Profil verfügt oder auch wenn aktuell niemand angemeldet ist. Das User Default Profil wird unter den folgenden Bedingungen geladen:

Im ersten Fall werden die aktuellen Werte der Benutzerumgebung beim Abmelden in ein neu erstelltes lokales persönliches Profil abgespeichert, im zweiten Fall gehen sie beim Abmelden verloren.

Wenn niemand angemeldet ist, werden die aktuellen Werte für den Bildschirmhintergrund und andere Umgebungsvariablen durch das System Default Profil bestimmt.

Ergänzende Kontrollfragen: