Domain Controller: Login als fremder Nutzer
Bei nem DC ist es ja grundsätzlich so, dass man für jeden Mitarbeiter einen Nutzer-Account im DC anlegt, der Mitarbeiter jedoch das Passwort selber festlegen kann.
Somit kennt der Admin nicht die Passwörter der einzelnen Mitarbeiter und kann sich auch nicht mit deren Accounts anmelden. Nun gibt es aber sehr häufig das Problem, dass Nutzer account-gebundenen Probleme haben z.B. "Mein Internet ist gelöscht" (Icon ist vom Desktop weg) oder Software xyz tut bei mir nicht mehr. (Unter nem Fremden Account aber schon)
Gibt es eine Möglichkeit, sich als DC Admin (mit einer Art Master-Passwort) mit jedem beliebigen Account einzuloggen? (Sodass man solche Probleme auch nach Feierabend lösen kann.)
Wenn ich die Nutzerprofile der Nutzer auf einen Server-Synchronisieren lasse, kann ich auch die Nutzerdaten im Klartext zugreifen. Also wäre doch ein Masterlogin für DC-Admins nicht allzu abwegig.
Somit kennt der Admin nicht die Passwörter der einzelnen Mitarbeiter und kann sich auch nicht mit deren Accounts anmelden. Nun gibt es aber sehr häufig das Problem, dass Nutzer account-gebundenen Probleme haben z.B. "Mein Internet ist gelöscht" (Icon ist vom Desktop weg) oder Software xyz tut bei mir nicht mehr. (Unter nem Fremden Account aber schon)
Gibt es eine Möglichkeit, sich als DC Admin (mit einer Art Master-Passwort) mit jedem beliebigen Account einzuloggen? (Sodass man solche Probleme auch nach Feierabend lösen kann.)
Wenn ich die Nutzerprofile der Nutzer auf einen Server-Synchronisieren lasse, kann ich auch die Nutzerdaten im Klartext zugreifen. Also wäre doch ein Masterlogin für DC-Admins nicht allzu abwegig.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 274694
Url: https://administrator.de/contentid/274694
Ausgedruckt am: 19.03.2024 um 01:03 Uhr
13 Kommentare
Neuester Kommentar
Hi,
kurz und Knapp: Es geht.
Besorg die eine Software, mit der du dich auf den client schalten kannst, falls der User da ist. Teamviewer etc.
Du darfst nicht ohne die Erlaubnis eines benutzer an seinem Profil arbeiten.
Das Thema Datenschutz wird dir, bei deinem Vorhaben extrem das Genick brechen.
Gruß Sven
kurz und Knapp: Es geht.
Besorg die eine Software, mit der du dich auf den client schalten kannst, falls der User da ist. Teamviewer etc.
Du darfst nicht ohne die Erlaubnis eines benutzer an seinem Profil arbeiten.
Das Thema Datenschutz wird dir, bei deinem Vorhaben extrem das Genick brechen.
Gruß Sven
Hallo,
zwischen dem, was technisch geht und dem, was rechtlich zulässig ist, besteht auch und gerade in der IT ein großer Unterschied!
Natürlich komme ich als Admin an alles ran, auch an die User-Profile mit ihren Datenverzeichnissen (Eigene Dokumente usw.) und die Home-Verzeichnisse. Ich darf es aber nicht. Und der Ehrenkodex eines Admins sollte auch Dich daran hindern, so etwas zu tun. Das trifft auch auf Postfächer zu (im Urlaub des Mitarbeiters braucht der Chef natürlich ganz dringend eine Mail aus dem User-Postfach. Da muß man eben vorher eine Vertreter-Regel einrichten!).
Den rechtlich sauberen Weg (Einladung zu einer RDP-Sitzung oder TeamViewer) hat man Dir ja schon aufgezeigt.
Jürgen
zwischen dem, was technisch geht und dem, was rechtlich zulässig ist, besteht auch und gerade in der IT ein großer Unterschied!
Natürlich komme ich als Admin an alles ran, auch an die User-Profile mit ihren Datenverzeichnissen (Eigene Dokumente usw.) und die Home-Verzeichnisse. Ich darf es aber nicht. Und der Ehrenkodex eines Admins sollte auch Dich daran hindern, so etwas zu tun. Das trifft auch auf Postfächer zu (im Urlaub des Mitarbeiters braucht der Chef natürlich ganz dringend eine Mail aus dem User-Postfach. Da muß man eben vorher eine Vertreter-Regel einrichten!).
Den rechtlich sauberen Weg (Einladung zu einer RDP-Sitzung oder TeamViewer) hat man Dir ja schon aufgezeigt.
Jürgen
Zitat von @Mimemmm:
Gibt es eine Möglichkeit, sich als DC Admin (mit einer Art Master-Passwort) mit jedem beliebigen Account einzuloggen? (Sodass
man solche Probleme auch nach Feierabend lösen kann.)
Gibt es eine Möglichkeit, sich als DC Admin (mit einer Art Master-Passwort) mit jedem beliebigen Account einzuloggen? (Sodass
man solche Probleme auch nach Feierabend lösen kann.)
Ja, Setz einfach ein Paßwort Deiner Wahl und, mach Deien Arbeit udn morgens sagtst Du dem User welches Paßwort Du gesezt hast und er es doch bite ändern soll, wenn Du ihn nicht eh mit dem passenden Häkchen m Nutzerkonto dazu zwingst.
lks
PS: Die saubere Methode wäre, daß zusammen mit dem User zu lösen.
PPS: Bei manchen Kunden, bei denen ich tatsächlich an deren Maschinen oder Acounts "rumschrauben" muß, während sie nicht da sind, vereinbaren wir ein uns beiden bekanntes Paßwort, das der Benutzer nach Abschluß der Arbeiten wieder ändert (genauer gesagt ändern muß, weil ich das entsrpechende Häkchen setze).
Zitat von @chiefteddy:
Den rechtlich sauberen Weg (Einladung zu einer RDP-Sitzung oder TeamViewer) hat man Dir ja schon aufgezeigt.
Den rechtlich sauberen Weg (Einladung zu einer RDP-Sitzung oder TeamViewer) hat man Dir ja schon aufgezeigt.
Habe mal irgendeinen Artikel über das Thema TeamViewer gelesen, und die meinten, dass dieses Programm unsicher ist?! Stimmt das, oder ist das falsch?????
Ich würde mir auch mal den NetSupport Manager anschauen. Laut IT-Adminstrator ein gutes Programm...
lg
Lukas
Zitat von @118465:
> Zitat von @chiefteddy:
>
>
> Den rechtlich sauberen Weg (Einladung zu einer RDP-Sitzung oder TeamViewer) hat man Dir ja schon aufgezeigt.
Habe mal irgendeinen Artikel über das Thema TeamViewer gelesen, und die meinten, dass dieses Programm unsicher ist?! Stimmt
das, oder ist das falsch?????
Ich würde mir auch mal den NetSupport Manager anschauen. Laut IT-Adminstrator ein gutes Programm...
lg
Lukas
> Zitat von @chiefteddy:
>
>
> Den rechtlich sauberen Weg (Einladung zu einer RDP-Sitzung oder TeamViewer) hat man Dir ja schon aufgezeigt.
Habe mal irgendeinen Artikel über das Thema TeamViewer gelesen, und die meinten, dass dieses Programm unsicher ist?! Stimmt
das, oder ist das falsch?????
Ich würde mir auch mal den NetSupport Manager anschauen. Laut IT-Adminstrator ein gutes Programm...
lg
Lukas
TeamViewer kann auch intern per IP Eingabe genutzt werden, dann geht nix nach draußen...
Hallo,
Dem einen reicht es das TV zur Ermittlung der ID irgendwie seine TV Server erreichen kann schon als "DATEN in GEFAHR", der andere sagt damit können wir gut und gerne leben. Du musst dir klar machen das zumindest ein Teil des Aufbaus (IDs usw.) über Fremde Rechner laufen, die Daten aber dann bei der Übertragung direkt zwischen Partnern ausgetauscht werden. Was TV dort alles mitschneidet / aufbewahrt / Protokolliert / lesen kann - nun dies sagt uns TV nicht. Läuft es im eigenen LAN (VPN) nur per IP und hat kein Kontakt zum Internet, dann bekommt TV davon auch nichts mit - aber TV versucht ständig irgendwie ins Internet zu gelangen um seinen Herrn doch noch etwas zu beichten
TV geht über erst mal über Ports 80, 443, 5938. Nur das zulassen von TCP 5938 geht.
Gruß,
Peter
Zitat von @118465:
und die meinten, dass dieses Programm unsicher ist?!
Nun, das kommt ganz auf den Blickwinkel an sowie was eure Sicherheitspolitik dort vorschreibt / vereinbart haben will.und die meinten, dass dieses Programm unsicher ist?!
Dem einen reicht es das TV zur Ermittlung der ID irgendwie seine TV Server erreichen kann schon als "DATEN in GEFAHR", der andere sagt damit können wir gut und gerne leben. Du musst dir klar machen das zumindest ein Teil des Aufbaus (IDs usw.) über Fremde Rechner laufen, die Daten aber dann bei der Übertragung direkt zwischen Partnern ausgetauscht werden. Was TV dort alles mitschneidet / aufbewahrt / Protokolliert / lesen kann - nun dies sagt uns TV nicht. Läuft es im eigenen LAN (VPN) nur per IP und hat kein Kontakt zum Internet, dann bekommt TV davon auch nichts mit - aber TV versucht ständig irgendwie ins Internet zu gelangen um seinen Herrn doch noch etwas zu beichten
TV geht über erst mal über Ports 80, 443, 5938. Nur das zulassen von TCP 5938 geht.
Gruß,
Peter
Hallo,
Wie viele unterschiedliche Benutzer und deren Passwörtern sowie deren Komplexität ist doch sehr variable und auf die Gegebenheiten anzupassen. Ob eine Firma dies zwingend so braucht oder gar Praktikabel sei ist doch allgemein nicht mit einer starren Regel zu beantworten. Jeder Benutzer sollte seinen eigenen Anmeldenamen haben, sollte ein Komplexes und sicheres Passwort haben, sollte niemand sein Passwort wissen lassen.
Und wenn es keine Einbrecher gäbe, gäbe es auch keine Schlösser und Schlüssel und es gäbe nicht das Gesetzt dein Auto immer abzuschließen....
Gruß,
Peter
Zitat von @Mimemmm:
Bei nem DC ist es ja grundsätzlich so, dass man für jeden Mitarbeiter einen Nutzer-Account im DC anlegt,
Sollte so sein, aber es gibt genug Firmen bzw. ADs wo es für 20 Mitarbeiter nur ein Konto gibt und dies noch ohne Passwort.Bei nem DC ist es ja grundsätzlich so, dass man für jeden Mitarbeiter einen Nutzer-Account im DC anlegt,
der Mitarbeiter jedoch das Passwort selber festlegen kann.
Viele Firmen bzw. ADs haben entweder keine Passwort, alle das gleiche oder jeder kennt jedes. Ist es bei Medistar nicht Praxis?Wie viele unterschiedliche Benutzer und deren Passwörtern sowie deren Komplexität ist doch sehr variable und auf die Gegebenheiten anzupassen. Ob eine Firma dies zwingend so braucht oder gar Praktikabel sei ist doch allgemein nicht mit einer starren Regel zu beantworten. Jeder Benutzer sollte seinen eigenen Anmeldenamen haben, sollte ein Komplexes und sicheres Passwort haben, sollte niemand sein Passwort wissen lassen.
Somit kennt der Admin nicht die Passwörter
Er/Sie sollten diese nicht kennen, aber wie schon gesagt, es Umfelde wo dies nötig ist. Wer dann was gemacht hat ist dann eine ganz andere Frage.kann sich auch nicht mit deren Accounts anmelden.
Wenn im jeweiligen Umfeld der Admin Wartungsarbeiten nur so machen kann das er sich eben mal an der Kiste (sei es per RDP / TV Host / VNC usw.) anmelden muss dann sollte es aber auch für jeden klar sein und der Admin auch entsprechendes Vertrauen genießen (Erworbenes Vertrauen). Wenn dort Datenschutzrechtliche Daten dann vom Admin zwangsläufig gesehen / manipuliert werden sollten, sei diesem Admin geraten dort es eben so nicht zu handhaben. In diesen Umfelde wird aber der Admin nicht so Arbeiten das er die Passwörter der Benutzer kennt. Hier kann der Admin den Benutzer ja ein abgesprochenes gemeines Passwort zu hinterlegen bevor der Admin da dran geht und der Admin nach getaner was auch immer dafür sorgt das der Benutzer zwingend erst mal ein neues Passwort eintippeln mussNutzer account-gebundenen Probleme haben z.B. "Mein Internet ist gelöscht" (Icon ist vom Desktop weg) oder Software xyz tut bei mir nicht mehr.
Sind doch dann auch Probleme / Fehler die in Zusammenarbeit mit den Nutzer nur geklärt werden könne. Warum darf er da nicht zuschauen (VNC / TV...)?Gibt es eine Möglichkeit, sich als DC Admin (mit einer Art Master-Passwort)
NeinWenn ich die Nutzerprofile der Nutzer auf einen Server-Synchronisieren lasse, kann ich auch die Nutzerdaten im Klartext zugreifen.
Jeder Admin kann auf jedes Dateisystem zugreifen oder sich darauf Zutritt verschaffen - er ist halt Admin. Ob es aber klug ist sich den Ordner vom Vorstandsvorsitzende anzuschauen und dabei ertappt zu werden - Datenschutz - Hallelulja. Nur weil etwas Technisch machbar ist, ist es noch lange nicht erlaubt. Und ein Admin sollte schon wissen wo und wann seine Gesetzlich gesteckten Grenzen erreicht sind.Also wäre doch ein Masterlogin für DC-Admins nicht allzu abwegig.
Ja, aber gibt es halt nicht - und das ist auch gut so.Und wenn es keine Einbrecher gäbe, gäbe es auch keine Schlösser und Schlüssel und es gäbe nicht das Gesetzt dein Auto immer abzuschließen....
Gruß,
Peter
Hier eine Lösung: Wahnsinn, mit diesem Tool kann man Sessions von anderen Nutzern als entsperrbar konfigurieren!
Rechtlichen Rahmen müsst ihr natürlich prüfen.
Rechtlichen Rahmen müsst ihr natürlich prüfen.
Hallo,
wir haben hier auch öfter mal den Fall, dass "plötzlich ohne zutun des Nutzers" Verknüpfungen verschwinden und was das Leben sonst noch bringt.
Hier ist der TV natürlich immer das Mittel der Wahl gerade WEIL der Nutzer eben einen Fehler gemacht hat. Das muss man ihm oder ihr ja nicht auf die Nase binden aber ein freundliches "das geht aber so und nicht so" lässt sich nur im Dialog gut unterbringen.
Außerdem habe ich immer die Erfahrung gemacht, dass es von allen gut aufgenommen wird wenn man eben auch einfach mal den ein oder anderen (nicht klug###erischen) Tipp geben kann.
Sorgt für eine gute Akzeptanz der IT Abteilung und vielleicht für weniger Stress, sollte mal ein wirklicher Fehler passieren und alle dürfen mal 20 Minuten Kaffe trinken.
Darüber hinaus...selbst wenn ein Adminzugriff auf die Benutzerdaten im Mitarbeiterhandbuch steht oder anderweitig geregelt ist...das muss nicht unbedingt rechtlich haltbar sein. Und wie schon von meinen vorrednern gesagt. Der Admin ist eben DER Mitarbeiter der am meisten seine Grenzen kennen muss, eben weil er kaum welche hat.
lg
Theo
wir haben hier auch öfter mal den Fall, dass "plötzlich ohne zutun des Nutzers" Verknüpfungen verschwinden und was das Leben sonst noch bringt.
Hier ist der TV natürlich immer das Mittel der Wahl gerade WEIL der Nutzer eben einen Fehler gemacht hat. Das muss man ihm oder ihr ja nicht auf die Nase binden aber ein freundliches "das geht aber so und nicht so" lässt sich nur im Dialog gut unterbringen.
Außerdem habe ich immer die Erfahrung gemacht, dass es von allen gut aufgenommen wird wenn man eben auch einfach mal den ein oder anderen (nicht klug###erischen) Tipp geben kann.
Sorgt für eine gute Akzeptanz der IT Abteilung und vielleicht für weniger Stress, sollte mal ein wirklicher Fehler passieren und alle dürfen mal 20 Minuten Kaffe trinken.
Darüber hinaus...selbst wenn ein Adminzugriff auf die Benutzerdaten im Mitarbeiterhandbuch steht oder anderweitig geregelt ist...das muss nicht unbedingt rechtlich haltbar sein. Und wie schon von meinen vorrednern gesagt. Der Admin ist eben DER Mitarbeiter der am meisten seine Grenzen kennen muss, eben weil er kaum welche hat.
lg
Theo