Einmalpasswort Lokaler Admin oder Temporäre admin rechte
Hallo,
Ich möchte das für die Installation von Programmen auf einem Rechner, der User die möglichkeit hat per einmal passwort die Installation anzustoßen.
Hierfür suche ich eine möglichkeit, das ich ein einmal passwort Generieren kann was dann dem Lokalen Admin zugewiesen wird und nach bestätigen der UAC wieder auf random geändert wird.
Kennt jemand ne möglichkeit?
Andere möglichkeit wäre, das man nehm User temporäre Adminrechte gibt aber der Account halt nur 1h gültig ist. Aber auch dafür habe ich bis dato keine möglichkeit gefunden, weil User können ja nur erstellt werden und min laufzeit ist 1 Tag, im AD.
Vielleicht kennt da jemand ne Lösung?
Ich möchte das für die Installation von Programmen auf einem Rechner, der User die möglichkeit hat per einmal passwort die Installation anzustoßen.
Hierfür suche ich eine möglichkeit, das ich ein einmal passwort Generieren kann was dann dem Lokalen Admin zugewiesen wird und nach bestätigen der UAC wieder auf random geändert wird.
Kennt jemand ne möglichkeit?
Andere möglichkeit wäre, das man nehm User temporäre Adminrechte gibt aber der Account halt nur 1h gültig ist. Aber auch dafür habe ich bis dato keine möglichkeit gefunden, weil User können ja nur erstellt werden und min laufzeit ist 1 Tag, im AD.
Vielleicht kennt da jemand ne Lösung?
Please also mark the comments that contributed to the solution of the article
Content-Key: 230919
Url: https://administrator.de/contentid/230919
Printed on: April 19, 2024 at 16:04 o'clock
2 Comments
Latest comment
Zitat von @markthom87:
Andere möglichkeit wäre, das man nehm User temporäre Adminrechte gibt aber der Account halt nur 1h gültig ist.
Aber auch dafür habe ich bis dato keine möglichkeit gefunden, weil User können ja nur erstellt werden und min
laufzeit ist 1 Tag, im AD.
Andere möglichkeit wäre, das man nehm User temporäre Adminrechte gibt aber der Account halt nur 1h gültig ist.
Aber auch dafür habe ich bis dato keine möglichkeit gefunden, weil User können ja nur erstellt werden und min
laufzeit ist 1 Tag, im AD.
Für diesen User ein Logout-Script per GPO zuweisen. Dieses deaktiviert den Benutzer. Benutzer braucht dafür entsprechende Rechte auf sein eigenes Objekt.
Const ADS_UF_ACCOUNTDISABLE = 2
Set objUser = GetObject("LDAP://cn=myerken,ou=management,dc=fabrikam,dc=com")
intUAC = objUser.Get("userAccountControl")
objUser.Put "userAccountControl", intUAC OR ADS_UF_ACCOUNTDISABLE
objUser.SetInfo
oder
Für diesen User ein Login- oder Logout-Script per GPO zuweisen. Dieses ändert das Passwort des Benutzer. Benutzer braucht dafür das Recht zum Kennwort-Zurücksetzen auf sein eigenes Objekt und es darf nicht aktiviert sein "darf Kennwort nicht ändern".
Set objUser = GetObject("LDAP://cn=MyerKen,ou=management,dc=fabrikam,dc=com")
objUser.SetPassword Now
Das "Now" quasi als Zufallspasswort.
E.