Anmelden an der Domäne mit System

Best Practice

Schulen Sie Ihre Mitarbeiter, sich mit deren UPN (User Principal Name) an der Domäne anzumelden, um Support-Anfragen bezüglich vergessener Benutzernamen zu reduzieren und um die Komplexität zu reduzieren.

Die Art und Weise der Anmeldung hat sich mit Windows Vista verändert und die lästige Auswahlbox der Anmeldedomäne wurde entfernt. Dies hat seine Vor- aber auch seine Nachteile, auf welche weiter unten in diesem Abschnitt noch eingegangen wird. Bei einer Anmeldung an einem Windows XP-System war diese Auswahlbox noch vorhanden. Dies führte oft zu Problemen, wenn sich ein Administrator lokal am System authentifizierte, um administrative Aufgaben, wie z.B. eine Anwendungsinstallation, etc. auszuführen. Am Folgetag blieb die Auswahl bei „Anmelden an lokalem Computer“ bestehen und dies führte unweigerlich zu Anmeldeproblemen des Anwenders und entsprechenden Support-Anfragen. Falls mehrere Domänen im Einsatz sind, welche mit Vertrauensstellungen miteinander verknüpft sind, musste der Benutzer stets die korrekte Domäne selektieren. Die Aufgabe eines Benutzers ist jedoch dessen tägliches Business und nicht das Verständnis von Domänen und Netzwerken – unsere Aufgabe ist es dabei, dem Benutzer das Leben so einfach wie möglich zu machen, damit dieser seinen Aufgaben nachkommen kann. Diese Aufgaben beinhalten keineswegs die Kenntnis der IT-Infrastruktur – ein Anwender hat grundsätzlich keine Ahnung, was eine Domäne ist und deshalb sollten wir diesen auch nicht mit solchen Dingen belästigen. Zudem werden Benutzernamen genau so gerne vergessen, wie Passwörter auch. Ein Benutzername ist eine weitere Information, welche sich ein Anwender merken muss, ohne, dass diese der Firma irgendwelche Einnahmen einbringt – auch schon deshalb sollten wir diejenigen Dinge, welche sich ein Benutzer merken muss möglichst auf ein Minimum reduzieren. Der Speicher eines Anwenders ist permanent überlastet – also sorgen wir doch einfach dafür, dass wir diese Spezies nicht noch weiter überlasten ;-D.

Fast jeder Benutzer verfügt heutzutage über eine E-Mailadresse. Diese besteht aus einem Prä- und einem Suffix – also einem Namen und einer Domäne. Diese E-Mailadresse ist zudem im gesamten Internet eindeutig identifizierbar und kommt somit nicht doppelt vor. Diese E-Mailadresse merkt sich ein Benutzer zudem sehr gerne, da er dadurch oft auch einmal eine Mail mit lustigen Bildern, etc. erhält. Weshalb sollten wir also nicht die E-Mailadresse eines Benutzers als Anmeldename benutzen? Somit können wir die Anzahl der notwendigen Informationen auf zwei an der Zahl reduzieren – der E-Mailadresse und das Passwort. Dies funktioniert auch wunderbar – gar seit Windows 2000! Sobald unter einem „Prä-Vista-System“ als Benutzername ein sogenannter UPN (User Principal Name) – also eine E-Mailadresse verwendet wird, wird die Domänenauswahl automatisch inaktiv dargetsellt. Genau genommen geschieht dies, sobald das @-Zeichen eingegeben wird. Somit ist die Domänenauswahl irrelevant und muss durch den Benutzer nicht mehr vorgenommen werden. Ab Windows Vista funktioniert dies immer noch tadellos und sorgt für weniger Verwirrung, sobald mehrere Domänen im Einsatz sind. Klingt zu schön um wahr zu sein? Ich verstehe, wenn Sie hierbei Zweifel anbringen und ich habe deshalb nachfolgend die häufigsten Zweifel an dieser Vorgehensweise zusammengefasst und versuche diese zu erläutern:

Unsere E-Maildomäne lautet anders, als der Name unserer Windows-Domäne. Somit lässt sich dies gar nicht erst realisieren!

Falsch! Die E-Maildomäne muss nicht zwingend gleichlautend sein, wie die Windows-Domäne. Um diese Namensgebung zu vereinheitlichen, besteht die Möglichkeit, alternative UPN-Suffixe zu konfigurieren. Dies kann unter dem Dienstprogramm „Active Directory Domänen und -Vertrauensstellungen“ erreicht werden, indem im Kontextmenü des Stamm-Knotens die Eigenschaften ausgewählt werden. Hier lassen sich für die Gesamtstruktur verschiedenste alternative Domänen-Endungen erfassen, welche für alle Benutzer aller Domänen verwendet werden können. Damit diese im Anschluss jedoch wirklich aktiv sind, müssen diese pro Benutzer in dessen Eigenschaften ausgewählt sein. Hierbei lassen sich auch mehrere Benutzer gleichzeitig selektieren und bearbeiten. Die Benutzer können im Anschluss den ausgewählten, sowie den originalen UPN-Suffix für die Anmeldung an deren Domäne verwenden.

Hinweis

Ein User Principal Name (UPN) ist eindeutig in der ganzen Gesamtstruktur. Es darf demnach keine doppelten UPNs geben, da das System sonst eine Fehlermeldung ausgibt.

Unser Domänenname ist viel zu lange und unsere Benutzer würden niemals so viel eingeben!

Teilweise Richtig! Bei sehr langen Domänennamen ist es verständlich, dass wir dem Benutzer nicht zumuten möchten, dass er den ganzen Namen immer und immer wieder bei der Anmeldung tippen muss. In diesem Falle gilt es abzuwägen, was schliesslich wichtiger für den Betrieb der Infrastruktur ist – eine korrekte Anmeldung mit weniger Anmeldefehlern oder der Komfort der Benutzer, welche möglichst wenig tippen sollen. Eine Umstellung auf die Verwendung von User Principal Names (UPNs) ist dabei eher schwierig, falls dieser Sache nicht gleichzeitig eine Migration des Systems oder ähnliches zu Grunde liegt. Vielleicht könnte diese Umstellung jedoch gleich in eine solche Systemumstellung integriert werden, um auch auf der politischen Ebene den Wind aus den Segeln zu nehmen. In meinen Projekten konnte ich dies oft auf diese Weise sehr gut argumentieren und umsetzen und habe auch gar nicht mehr erwähnt, dass es eigentlich auch noch auf die „alte Weise“ funktionieren würde.

Hinweis

Falls der E-Maildomänenname wirklich so lange ist, dann sollte sich die Marketingabteilung der Unternehmung vielleicht auch einmal Gedanken über das Branding der Firma machen. Dieses sollte doch eigentlich einfach und einprägsam sein – nicht wahr? Naja: Dies ist wiederum nicht die Sache der IT – jedoch einen Gedanken wert, wenn jemand von der Marketing-Abteilung einmal wieder gegen die IT wettert ;-D.

Falls alle Stricke reissen, könnte Sie noch folgender Trick interessieren: Falls Sie Windows Vista oder Windows 7 als Clientbetriebssystem einsetzen, gibt es eine Gruppenrichtlinien-Einstellung, mit welcher eine Standardauswahl der Domäne getroffen werden kann.

Diese Einstellung befindet sich im Knoten „Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Anmelden“ und trägt den Titel „Standarddomäne für die Anmeldung zuweisen“. Diese Richtlinieneinstellung kann ausschliesslich auf Windows Vista-Clients oder Windows Server 2008 angewendet werden und muss dazu aktiviert, resp. mit einem Domänennamen vorkonfiguriert werden.

Veränderungen an einem laufenden System sind nicht gut und verärgern unsere Benutzer!

Falsch! Für was werden Sie bezahlt? Sie werden dafür bezahlt, um das Leben der Benutzer zu vereinfachen! Benutzer sind wie Kinder: Man muss ihnen Grenzen aufzeigen, ohne dabei die Lernbereitschaft zu unterbinden. Zu viele Regeln und Veränderungen sind natürlich schlecht – deshalb sollten diese Veränderungen gut geplant und in der Phase einer „Totalrevision“ eingeplant werden, um nicht für zu viel Verwirrung zu sorgen. Veränderung bedeutet jedoch meist auch Fortschritt – dies ist auch dem Management ein Begriff, welches im Vorfeld genau über diese Schritte informiert werden muss. Die Informatik besteht dabei nicht nur aus Information und Automatik, sondern auch aus einer grossen Portion Psychologie und Diplomatie („Psychomatie“) – nur war es dessen Erfindern zu kompliziert, auch diese beiden Begriffe in die Abkürzung zu integrieren. Dabei ist das Schlüsselwort schon im Grundbegriff enthalten: Information! Informieren Sie die richtigen Stellen im Vorfeld und sichern Sie sich ab, bevor Sie irgendwelche Änderungen anbringen – auch wenn diese technisch absolut gerechtfertigt sind. Wenn das Management hinter Ihnen steht und den Sinn einer Umstellung erkennt, ist dies schon die halbe, wenn nicht die ganze Miete! Ich musste schon in vielen Projekten die Benutzerfreundlichkeit von Systemen minimieren, um z.B. mehr Sicherheit zu erreichen. Dies macht für einen Anwender überhaupt keinen Sinn – noch weniger, als einfach nur die Art und Weise der Anmeldung anzupassen. Dennoch war dies notwendig, ohne eine wirkliche Verbesserung der vordergründigen Bedingungen zu erreichen – also schlichtweg eine absolut undankbare Aufgabe, welche jedoch genauso wichtig ist.

VN:F [1.9.22_1171]
Rating: 2.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)
Anmelden an der Domäne mit System, 2.0 out of 10 based on 1 rating

Schreib einen Kommentar