Benutzer einrichten

Gültig für: enaio® Version 10.10

Bei der Installation von enaio® wird ein Benutzer mit einem Default-Benutzerkonto angelegt. Dieser Benutzer hat die Systemrolle 'DMS: Supervisor'. Sie sollten dieses Benutzerkonto beim erstmaligen Arbeiten mit enaio® administrator sofort löschen oder mindestens das Passwort ändern und einen neuen Supervisor einrichten.

Sie benötigen immer mindestens einen Benutzer mit der Systemrolle 'DMS: Supervisor'.

Benutzer mit der Systemrolle 'DMS: Supervisor' sind besonders gekennzeichnet: enaio_pic

Diese Arbeitsschritte führen Sie aus, um Benutzer einzurichten:

  1. Öffnen Sie das Fenster Sicherheitssystem.
  2. Klicken Sie auf die Registerkarte Benutzerverwaltung.

    enaio_pic

    Alle bereits eingetragene Benutzer sind aufgelistet.

    Sie können Benutzer nach Gruppen filtern, Benutzer ausblenden, deren Konto deaktiviert ist und die Liste über eine Filtertext einschränken.

  3. Klicken Sie auf die Schaltfläche Neu.
  4. Das Fenster Benutzerkonfiguration wird geöffnet.
  5. Auf der Registerkarte Benutzerdaten richten Sie einen neuen Benutzer ein.

    enaio_pic

  6. Tragen Sie im Feld Name einen Benutzernamen mit maximal 255 Zeichen ein.

    Das Sonderzeichen '@' als Teil eines Benutzernamens führt bei Anmeldungen zu Fehlern. Über die Registerkarte 'Datenbank' kann eine Prüfung auf das Zeichen '@' eingeschaltet werden.

    Sie können einzelne NT-Benutzer übertragen. Klicken Sie auf die Schaltfläche NT-Benutzer und wählen Sie einen Benutzer aus der geöffneten Liste. Über die Schaltfläche Übernehmen übertragen Sie den gewählten Benutzernamen in das Feld Name.

    Mehrere NT-Benutzer übertragen Sie über die Funktion NT-Abgleich auf der Registerkarte Benutzerverwaltung.

  7. Tragen Sie im Feld Passwort das Passwort für den Benutzer mit maximal 100 Zeichen ein. Es kann geändert werden (siehe 'Passwort ändern').

    In enaio® enterprise-manager können Sie mit Regulären Ausdrücken Vorgaben für die Syntax von Passwörtern machen. An diese müssen Sie sich hier, wie auch die Benutzer beim Ändern ihres Passworts in halten.

    Ein Passwort kann nach einer konfigurierten Zeitspanne ungültig werden. Diese Funktion können Sie für Benutzer abschalten.

    Ein Passwort kann als Einmalpasswort angelegt werden. Benutzer müssen dann beim Anmelden gleich das Passwort ändern. Wenn diese Funktion aktiviert ist, dann ist sie hier vorgegeben. Dieser Mechanismus greift nicht, wenn die Authentifizierung des Benutzers gegen Windows erfolgt.

    Auf der Registerkarte 'Start' geben Sie an, ob die Groß-/Kleinschreibung von Passwörtern überprüft wird.

  8. Tragen Sie das Passwort noch einmal im Feld Passwortverifikation ein.
  9. Tragen Sie optional einen Vollständigen Namen, eine E-Mail Adresse und Bemerkungen ein.
  10. Wählen Sie aus der Liste zum Feld Applikationsserver den enaio® server, bei dem sich der Benutzer normalerweise anmeldet. Unabhängig von diesem Eintrag kann sich jeder Benutzer bei jedem enaio® server der Serverfamilie anmelden.
  11. Klicken Sie auf die Schaltfläche Übernehmen.

Der neue Benutzer wird in Benutzerliste eingetragen. Er ist automatisch Mitglied der Gruppe 'Standard', hat kein zugeordnetes Profil und die Standard-Systemrolle 'Client: Eigene Einstellungen speichern'.

Die Benutzereigenschaften können Sie ändern (siehe 'Benutzereigenschaften festlegen').

Wollen Sie einen Benutzer einrichten, der die gleichen Eigenschaften benötigt, wie ein bereits eingerichteter Benutzer, können Sie auf der Registerkarte Benutzerverwaltung den Benutzer über die Schaltfläche Kopieren einrichten. Sie geben dann nur die Benutzerdaten an. Die Gruppenzugehörigkeiten, die Profileigenschaften und die Systemrollen werden vom markierten Benutzer kopiert und zugeordnet.

Für lokale Administratoren innerhalb eines Bereichs können die Funktionen weit eingeschränkt werden.

Technische Benutzer

Ist das Einmalpasswort aktiviert, können technische Benutzer über das Kontextmenü der Benutzerliste ohne Einmalpasswort angelegt werden.

NT-Abgleich

Über die Funktion NT-Abgleich auf der Registerkarte Benutzerverwaltung übertragen Sie mehrere NT-Benutzer in die Benutzerverwaltung.

Klicken Sie auf die entsprechend Schaltfläche, dann wird eine Liste aller Benutzer der aktuellen Domain aufgelistet. Markieren Sie die gewünschten Benutzer und klicken Sie auf die Schaltfläche Zuweisen.

Der Dialog Benutzerdaten wird geöffnet.

enaio_pic

Sie können für alle gewählten NT-Benutzer ein Passwort angeben oder das Passwort jedes einzelnen Benutzers mit dessen Benutzernamen vorbelegen. Dann ist keine Passwortverifikation notwendig.

Sie können ebenfalls einen enaio-Benutzer über die Benutzerliste angeben, von dem folgende Benutzerdaten kopiert und den gewählten NT-Benutzern zugeordnet werden:

  • Gruppenzugehörigkeiten,
  • Systemrollen,
  • Kontostatus, das Konto kann frei oder gesperrt sein.

Bestätigen Sie mit OK, um die Benutzer mit den Benutzerdaten zu übernehmen.

LDAP-Benutzer

Für eine LDAP-Authentifizierung müssen Sie die LDAP-Benutzernamen in die Benutzerverwaltung übertragen.

Über eine LDAP-Anfrage ermitteln Sie die gewünschten LDAP-Benutzer.

Da in der Regel kein anonymer Zugriff auf den LDAP-Verzeichnisdienstes erlaubt ist, ist eine Authentifizierung am LDAP-System zur Ermittlung der LDAP-Benutzer und der Benutzerrechte notwendig. Dazu benötigen Sie einen LDAP-Benutzer mit entsprechenden Rechten. Name und Passwort geben Sie über die Registerkarte 'LDAP-Konfiguration' an.

Den Dialog öffnen Sie über die Schaltfläche LDAP auf der Registerkarte Benutzerverwaltung.

enaio_pic

Im Bereich LDAP-Anfrage verknüpfen Sie eine Bezeichnung, einen Operator und eine Wert zu einem Rechercheausdruck. Mehrere Rechercheausdrücke kombinieren Sie mit Hilfe von booleschen Operatoren und Klammern logisch.

Die Liste in der Spalte Bezeichnung enthält die Bezeichnungen, denen Sie LDAP-Attribute zugeordnet haben, die Liste in der Spalte OP die logischen Operatoren, die für LDAP-Anfragen verwendet werden können. In die Spalte Wert tragen Sie einen Wert für den Rechercheausdruck ein.

Details zur Syntax von LDAP-Anfragen finden Sie in den LDAP-Dokumentationen.

Markieren Sie eine Zeile über die Zeilennummer, stehen Ihnen diese zeilenbezogenen Funktionen zur Verfügung:

enaio_pic

Sie fügen eine leere Zeile unter der markierten Zeile ein.

enaio_pic

Sie löschen die markierte Zeile.

enaio_pic

Sie schieben die markierte Zeile unter die folgende Zeile.

enaio_pic

Sie schieben die markierte Zeile vor die vorhergehende Zeile.

Die Anfrage starten Sie mit die Schaltfläche Suchen. Als Ergebnis erhalten Sie eine LDAP-Benutzerliste. Die Spalten und die Reihenfolge der Spalten, die angezeigt werden, legen Sie über die Zuordnungen auf der Registerkarte 'LDAP-Konfiguration' fest.

Klicken Sie auf die Schaltfläche Übernehmen, werden die markierten Benutzer zwischengespeichert. Sie können mehrmals und auch nach neuen LDAP-Anfragen Benutzer übernehmen und abschließend alle mit OK in die Benutzerverwaltung aufnehmen.

Klicken Sie auf OK, werden die markierten Benutzer und alle zwischengespeicherten Benutzer mit den zugeordneten Daten in die Benutzerverwaltung aufgenommen.

Über die Schaltfläche Abgleichen können Sie Benutzer, die aus dem LDAP-Verzeichnisdienst entfernt wurden, aus der enaio®-Benutzerverwaltung löschen und umgekehrt. Angezeigt wird eine Liste mit den Unterschieden. Sie können in der Liste enaio®-Benutzer kennzeichnen, die nie gelöscht werden sollen, beispielsweise die technischen enaio®-Benutzer.

Zu jedem nicht gekennzeichneten Benutzer, der nicht mehr im LDAP-Verzeichnisdienst gefunden wurde, wird eine Sicherheitsabfrage angezeigt.

Diese Kennzeichnungs-Funktion kann über die Datei \etc\as.cfg des Datenverzeichnisses deaktiviert werden:

[System]
LDAPFASTADJUSTMENT=0

LDAP-Version

Für den LDAP-gesteuerten Export verwendet enaio® die LDAP-Schnittstelle von Microsoft Betriebssystemen.

Wenn LDAP Version 2 auf einem Betriebssystem vor Windows Server 2008 R2 eingesetzt wird, ist das Abrufen von Knoten mit mehr als 1.000 Benutzern nicht möglich, weil der für die Abfrage notwendige Paging-Mechanismus für Ergebnisse vom Betriebssystem nicht unterstützt wird.

Um dennoch mit LDAP Version 2 einen vollständigen Benutzerexport durchzuführen, führen Sie folgende Schritte aus:

  • Statten Sie das Betriebssystem mit dem Paging-Mechanismus aus.

    Der Paging-Mechanismus wird erst ab Windows Server 2008 R2 standardmäßig unterstützt, jedoch bietet Microsoft für ältere Betriebssysteme entsprechende Updates an.

  • Ohne entsprechendes Update erscheint beim Ausführen der automatischen Aktion eine Fehlermeldung darüber, dass eine kritische Erweiterung fehlt.

    Setzen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\OPTIMAL SYSTEMS\SCHEMATA\4.0\Login\LDAP auf den Wert '3'.

Danach kann der Benutzerexport ungeachtet der Anzahl pro Knoten vollständig durchgeführt werden.

Ab LDAP Version 3 und Windows Server 2008 R2 sind diese Anpassungen nicht erforderlich.

Benutzer löschen

Diese Arbeitsschritte führen Sie aus, um Benutzer zu löschen:

  1. Öffnen Sie das Fenster Sicherheitssystem.
  2. Klicken Sie auf die Registerkarte Benutzerverwaltung.

    enaio_pic

    Über den Eigenschaftsdialog eines Benutzers können Sie auf der Registerkarte Benutzerdaten einsehen, wann dieser Benutzer das letzte Mal eingeloggt war.

  3. Markieren Sie einen Benutzernamen aus der Benutzerliste.
  4. Klicken Sie auf die Schaltfläche Löschen.
  5. Sie erhalten eine Sicherheitsabfrage.

Sie benötigen für enaio® mindestens einen Benutzer mit der Systemrolle 'DMS: Supervisor'. Benutzer mit dieser Systemrolle sind besonders gekennzeichnet: enaio_pic.

Einem Supervisor müssen Sie diese Systemrolle nehmen, bevor Sie ihn löschen können.

Übernommene LDAP-Benutzer können Sie über die LDAP-Benutzerverwaltung abgleichen.

Beim Löschen von Benutzern legen Sie fest, wie Mappen, Wiedervorlagen, Abonnements und Besitzrechte der gelöschten Benutzer verwaltet werden sollen.

Mappen, Wiedervorlagen und Abonnements, angelegt für andere Benutzer, bleiben erhalten.

enaio_pic