Benutzer-zeiteinschränkungen, Erstellen mehrerer einschränkungen und rollen – HP Integrated Lights-Out 3 Benutzerhandbuch
Seite 206
Namensserver. Wenn der Namensdienst ausfällt oder nicht erreicht werden kann, können die
DNS-Einschränkungen nicht abgeglichen werden, und der Clientcomputer erfüllt die
Einschränkungen nicht.
Durch DNS-basierte Einschränkungen kann der Zugriff auf einen bestimmten Computernamen oder
auf Computer, die ein Domänen-Suffix gemeinsam nutzen, beschränkt werden. Die
DNS-Einschränkung www.example.com gilt z. B. für Hosts, die dem Domänennamen
www.example.com zugewiesen sind. Die DNS-Einschränkung *.example.com entspricht jedem
Computer, der von example stammt.
DNS-Einschränkungen können Mehrdeutigkeiten verursachen, da ein Host mehrfach vernetzt sein
kann. Die DNS-Einschränkungen stimmen nicht unbedingt eins zu eins mit genau einem System
überein.
Durch die Verwendung der DNS-basierten Einschränkungen können Sicherheitsprobleme auftreten.
Namensdienst-Protokolle sind nicht sicher. Jeder beliebige Benutzer mit unlauteren Absichten und
Zugriff auf das Netzwerk kann einen gefälschten DNS-Dienst im Netzwerk platzieren und so ein
falsches Adresseinschränkungs-Kriterium erstellen. Bei der Implementierung von DNS-basierten
Adresseinschränkungen müssen die Unternehmens-Sicherheitsrichtlinien beachtet werden.
Benutzer-Zeiteinschränkungen
Administratoren können bestimmte Zeiteinschränkungen für Verzeichnis-Benutzerkonten festlegen
(
). Zeiteinschränkungen beschränken die Möglichkeit der Benutzer, sich beim
Verzeichnis anzumelden (zu authentifizieren). In der Regel werden Zeiteinschränkungen anhand
der Zeit des Verzeichnisservers durchgesetzt. Wenn sich der Verzeichnisserver jedoch in einer
anderen Zeitzone befindet oder auf eine Kopie in einer anderen Zeitzone zugegriffen wird, können
die Zeitzonendaten des verwalteten Objekts verwendet werden, um die relative Zeit anzuwenden.
Der Verzeichnisserver berechnet die Benutzer-Zeiteinschränkungen, aber die Berechnung kann
durch Zeitzonenänderungen oder Authentifizierungsmethoden erschwert werden.
Abbildung 103 Benutzer-Zeiteinschränkungen
User
LOM
Client
Workstation
Directory
Server
User time restrictions are
enforced by the directory server
Erstellen mehrerer Einschränkungen und Rollen
Die wohl nützlichste Anwendung mehrerer Rollen besteht in der Einschränkung einer oder mehrerer
Rollen, sodass die Rechte nicht in allen Situationen gelten. Verschiedene Rollen bieten
unterschiedliche Rechte mit unterschiedlichen Einschränkungen. Durch die Verwendung mehrerer
Einschränkungen und Rollen können Administratoren frei wählbare komplexe
Berechtigungsbeziehungen mit nur wenigen Rollen erstellen.
Angenommen, ein Unternehmen verfügt über Sicherheitsrichtlinien, laut derer Administratoren das
LOM Gerät innerhalb des Unternehmensnetzwerks verwenden dürfen. Das Zurücksetzen des Servers
ist jedoch nur nach den regulären Geschäftsstunden möglich.
206 Verzeichnisdienste