Einbindung von Windows-Benutzerkonten

MDaemon unterstützt die Einbindung von Windows-Benutzerkonten. Hierzu steht die Funktion zum Import aus SAM und Active Directory zur Verfügung, die über das Menü Benutzerkonten (Benutzerkonten » Import... » Benutzerkonten aus SAM/Active Directory importieren...) erreichbar ist. Zusätzlich unterstützt MDaemon die Echtheitsbestätigung für Benutzer anhand des Active Directorys (AD). Dazu wird im Kennwortfeld eines Benutzerkontos der Name einer Windows-Domäne angegeben. MDaemon überprüft solche Benutzer dann in Echtzeit mit Hilfe der Benutzerdatenbank dieser Windows-Domäne. Bei dieser Funktion wirkt sich eine Kennwortänderung im Benutzermanager von Windows direkt auf MDaemon aus, und die Benutzer müssen sich nur eine Zugangskennung mit Kennwort merken. Neue Benutzerkonten lassen sich damit besonders einfach anlegen.

Der Sicherheitskontext des Benutzerkontos, in dem MDaemon ausgeführt wird, muss das Benutzerrecht SE_TCB_NAME ("Als Teil des Betriebssystems handeln") haben. Wenn MDaemon als Dienst durch das Systemkonto ("LocalSystem") ausgeführt wird, ist das Benutzerrecht grundsätzlich vorhanden. Ansonsten muss es in der Windows-Benutzerverwaltung dem jeweiligen Benutzerkonto hinzugefügt werden.

Import von Benutzerkonten aus SAM/Active Directory

Domänen

Computername des PDC/BDC

In diesem Feld muss der Computername des Rechners angegeben werden, dessen Windows-Benutzerdatenbank MDaemon auslesen soll. Der Eintrag \\<DEFAULT> bewirkt, dass MDaemon die Datenbank des lokalen Rechners ausliest.

Aktualisieren

Dieses Steuerelement aktualisiert die Liste der Windows-Benutzerkonten.

Name der Windows-Domäne

Hier wird der Name der Windows-Domäne angegeben, deren Benutzerkonten importiert werden sollen.

Name der MDaemon-Domäne

In dieser Auswahlliste muss die Domäne in MDaemon angegeben werden, in welche die Windows-Benutzerkonten importiert werden sollen.

Benutzerkonten

Windows-Benutzerkonten

Hier sind alle Benutzerkonten aufgeführt, die aus der Windows-Benutzerdatenbank ausgelesen wurden.

Ausgewählte Benutzerkonten

Hier sind die ausgewählten Benutzerkonten aufgeführt, die importiert werden sollen.

>>

Mit diesem Steuerelement werden die jeweils ausgewählten Einträge aus dem Abschnitt "Windows-Benutzerkonten" in den Abschnitt "Ausgewählte Benutzerkonten" verschoben.

<<

Hiermit werden die ausgewählten Einträge aus dem Abschnitt "Ausgewählte Benutzerkonten" entfernt.

Optionen

Benutzernamen aus SAM/AD als Postfachnamen übernehmen

Diese Option veranlasst MDaemon, die Postfachnamen der importierten Benutzer den Windows-Benutzernamen anzugleichen. Bei dieser Vorgehensweise muss man sich um die entsprechenden Vorlagen für neue Benutzerkonten keine Gedanken machen.

Kennwörter anhand der Vorgaben für Benutzerkonten erstellen

Mit dieser Option erstellt MDaemon die Kennwörter für importierte Benutzerkonten mit Hilfe der entsprechenden Vorlage aus den Voreinstellungen für neue Benutzerkonten (siehe Vorlagen für neue Benutzerkonten).

Benutzernamen als Kennwörter übernehmen

Hiermit setzt MDaemon den Namen des Benutzerkontos auch als Kennwort ein.

Jedes Kennwort auf folgenden Wert setzen

Hier kann ein feststehender Text eingetragen werden, der als Kennwort für alle importierten Benutzerkonten verwendet wird.

Dynamische Echtheitsbestätigung der Kennwörter über SAM/AD

Hiermit werden die Zugangsdaten einschließlich des Kennworts anhand des Active Directorys überprüft. MDaemon speichert selbst kein Kennwort mehr sondern prüft die Zugangsdaten, die ein Mailclient durch die Befehle USER und PASS übermittelt, in Echtzeit anhand der Windows-Benutzerdatenbank.

Echtheitsbestätigung über folgende Windows-Domäne

Hier wird der Name der Domäne angegeben, anhand deren Benutzerdatenbank MDaemon die Zugangsdaten in Echtzeit prüfen soll, wenn die dynamische Echtheitsbestätigung aktiv ist. Hier darf nicht der Computername des Primären Domänencontrollers stehen, sondern es muss der tatsächliche Name der Windows-Domäne selbst eingetragen sein.

Bei den Benutzerkonten, die anhand des AD dynamisch überprüft werden sollen, wird der Name der betreffenden Windows-Domäne mit zwei einleitenden Backslash-Zeichen im Feld PASSWORD (Kennwort) des MDaemon-Benutzerkontos gespeichert. Dieser Eintrag wird in der Datei USERLIST.DAT unverschlüsselt gespeichert. Soll die Echtheitsbestätigung über das AD beispielsweise innerhalb der Windows-Domäne ALTN erfolgen, wird im Kennwortfeld in MDaemon der Text \\ALTN eingetragen. Die beiden Backslash-Zeichen teilen MDaemon mit, dass das Kennwortfeld den Namen einer Windows-Domäne enthält, und dass MDaemon daher die Echtheitsbestätigung für die mit USER und PASS übermittelten Werte in Echtzeit über die Benutzerdatenbank dieser Windows-Domäne durchführen soll. Reguläre Kennwörter dürfen nicht mit zwei Backslash-Zeichen beginnen, weil dadurch immer die Prüfung über das AD ausgelöst und der Text nach den Backslash-Zeichen als Windows-Domänenname und nicht als Kennwort behandelt wird.

Die Kombination aus zwei Backslash-Zeichen und dem Windows-Domänennamen kann im Abschnitt Benutzerkonto des Benutzerkonten-Managers jederzeit in das Kennwortfeld eines Benutzerkontos eingetragen werden. Die Konfiguration der dynamischen Echtheitsbestätigung über das AD ist nicht auf den hier beschriebenen Importvorgang beschränkt.

Siehe auch: