Vorgehen bei Mitarbeitern ohne Vertrag:

Oft sind dies Studenten, die im Rahmen einer Bachelor- oder Masterarbeit oder eines Praktikums ans Museum kommen. Diese Personen dürfen nicht wie Mitarbeiter mit Vertrag behandelt werden. Ist ein offizieller Laufzettel vorhanden, der die Ausstattungs- und Zugriffsanforderungen genau beschreibt, ist zuerst wie folgt vorzugehen:

1. Wird neue Hardware angefordert, ist Dieter wegen Prüfung und Beschaffung zu kontaktieren.
2. Die Benutzeraccounts sind smns2.local > SMNS > Benutzer > B_0_Gaeste anzulegen. Der Benutzername soll nach folgendem Schema angelegt werden [abteilungskürzel]gast-[nachname], also z.B. entogast-kaefermann, botgast-klappertopf, palgast-rex, zoogast-loewenfrau, oeffgast-mümmelmann, verwgast-mueller, bdmgast-adenauer, gragast-zoller, htgast-wassermann, itgast-winkler etc. und WICHTIG: Das Ablaufdatum muss auf einen Tag nach dem letzten Arbeitstag des Mitarbeiters festgelegt werden.
3. Wird der Zugriff auf bestimmte Netzlaufwerke gefordert, sind diese einzurichten und unten zu dokumentieren, so dass jeder in der Abteilung darüber Bescheid weiß.

Ist kein Laufzettel vorhanden, ist bei dem betreffenden Abteilungsleiter oder verantwortlichen Betreuer nachzufragen.

1. Active Directory-Benutzer und -Computer (Stand derzeit) öffnen.
2. Auf den Pfad „smns2.local > SMNS > Benutzer > B_0_Gaeste“ gehen, rechte Maustaste > Neu > Benutzer:
   
3. Vorname ist Abteilungskürzel + gast (Entogast, Botgast, Palgast, Zoogast, Oeffgast, Verwgast, Bdmgast, Gragast, Htgast, Itgast), Nachname ist der tatsächliche Nachname des Mitarbeiters. Benutzeranmeldename ist dementsprechend dann die kleingeschriebene Kombination aus dem eingetragenen Vorname und dem Nachname durch ein Minus getrennt. Für den unwahrscheinlichen Fall, dass in der selben Abteilung 2 Gäste mit dem gleichen Nachnamen sind und damit nach diesem Schema den selben Benutzeranmeldenamen bekommen würden, ist dem Benutzeranmeldenamen eine Zahl anzuhängen ( z.B. entogast-kaefermann für den ersten, dann entogast-kaefermann2, etc.):
   
4. Im nächsten Fenster ist ein 12 Zeichen langes Passwort mit mindestens einer Zahl, einem Kleinbuchstaben, einem Großbuchstaben und einem Sonderzeichen zu wählen, dass kein einfaches Wort enthält, welches sich durch einen Wörterbuchangriff einfach knacken lassen würde:
   
5. Ist der Benutzer fertig angelegt, ist durch Rechtsklick auf den neuen Benutzereintrag > Eigenschaften noch eine Beschreibung hinzuzufügen (z.B. „Kein Vertrag; Konto läuft ab; Betreuer ist Alfred E. Neumann“). Dann geht man auf den Reiter „Konto“ und fügt unten ein Ablaufdatum hinzu, welches genau 1 Tag nach dem letzten Arbeitstag des Kollegen ist. Parallel dazu / falls sinnvoll, kann auch durch „Anmelden an…“ die Anmeldeberechtigung des Benutzers nur an bestimmte PCs gekoppelt werden:
   
6. Dem Benutzer sind die Zugangsdaten mitzuteilen.

Der Zugriff darf nur auf die Shares und in dem Umfang (Lese- oder Vollzugriff, etc.) gewährt werden, wie es im Laufzettel ausdrücklich angefordert / vom Abteilungsleiter oder Betreuer mitgeteilt wird. Die Gäste dürfen keiner Abteilungsgruppe im AD hinzugefügt werden, da sie ansonsten den Vollzugriff auf ein komplettes Abteilungslaufwerk hätten. Ist für die Anforderungen kein spezifisches Share vorhanden, kann auch eines temporär erstellt werden. Die Erstellung und Verwaltung der Shares findet auf dem jeweiligen Server im Server Manager > Datei-/Speicherdienste > Freigaben statt (darauf wird hier nicht näher eingegangen, da trivial). Derzeit wird bei uns fast immer nach dem Schema verfahren, dass auf Dateisystemebene alle Domänenbenutzer automatisch Vollzugriff haben und die effektive Zugriffsberechtigung auf Freigabeebene erfolgt. Die erteilten Berechtigungen sind im folgenden zu dokumentieren und dem Kollegen sollte dann auch geholfen werden, die Netzwerkfreigaben auf seinen Rechner hinzuzufügen als Netzlaufwerk oder Shortcut.

Abgelaufene Gastaccounts sollten nach einer Weile wieder gelöscht und die Zugriffsberechtigungen auch entfernt werden um das AD und den Dateiserver sauber zu halten. Eventuell angelegte temporäre Shares sollten dann auch wieder entfernt werden.