Domain Controller: Login als fremder Nutzer

@Mimemmm

Nein,

das geht so nicht.

Hi,

kurz und Knapp: Es geht.
Besorg die eine Software, mit der du dich auf den client schalten kannst, falls der User da ist. Teamviewer etc.

Du darfst nicht ohne die Erlaubnis eines benutzer an seinem Profil arbeiten.

Das Thema Datenschutz wird dir, bei deinem Vorhaben extrem das Genick brechen.

Gruß Sven

Hallo

Da hat aber bereits jemand an den Rechten herumgeschraubt. Normalerweise hat der Admin auf Dateiebene keine Rechte, auf die Verzeichnisse der Benutzerprofile zuzugreifen.

Gruss Urs

Hallo,

zwischen dem, was technisch geht und dem, was rechtlich zulässig ist, besteht auch und gerade in der IT ein großer Unterschied!

Natürlich komme ich als Admin an alles ran, auch an die User-Profile mit ihren Datenverzeichnissen (Eigene Dokumente usw.) und die Home-Verzeichnisse. Ich darf es aber nicht. Und der Ehrenkodex eines Admins sollte auch Dich daran hindern, so etwas zu tun. Das trifft auch auf Postfächer zu (im Urlaub des Mitarbeiters braucht der Chef natürlich ganz dringend eine Mail aus dem User-Postfach. Da muß man eben vorher eine Vertreter-Regel einrichten!).

Den rechtlich sauberen Weg (Einladung zu einer RDP-Sitzung oder TeamViewer) hat man Dir ja schon aufgezeigt.

Jürgen

Ja, Setz einfach ein Paßwort Deiner Wahl und, mach Deien Arbeit udn morgens sagtst Du dem User welches Paßwort Du gesezt hast und er es doch bite ändern soll, wenn Du ihn nicht eh mit dem passenden Häkchen m Nutzerkonto dazu zwingst.

lks

PS: Die saubere Methode wäre, daß zusammen mit dem User zu lösen.

PPS: Bei manchen Kunden, bei denen ich tatsächlich an deren Maschinen oder Acounts "rumschrauben" muß, während sie nicht da sind, vereinbaren wir ein uns beiden bekanntes Paßwort, das der Benutzer nach Abschluß der Arbeiten wieder ändert (genauer gesagt ändern muß, weil ich das entsrpechende Häkchen setze).

Habe mal irgendeinen Artikel über das Thema TeamViewer gelesen, und die meinten, dass dieses Programm unsicher ist?! Stimmt das, oder ist das falsch?????
Ich würde mir auch mal den NetSupport Manager anschauen. Laut IT-Adminstrator ein gutes Programm...

lg
Lukas

TeamViewer kann auch intern per IP Eingabe genutzt werden, dann geht nix nach draußen...

Hallo,

Nun, das kommt ganz auf den Blickwinkel an sowie was eure Sicherheitspolitik dort vorschreibt / vereinbart haben will.
Dem einen reicht es das TV zur Ermittlung der ID irgendwie seine TV Server erreichen kann schon als "DATEN in GEFAHR", der andere sagt damit können wir gut und gerne leben. Du musst dir klar machen das zumindest ein Teil des Aufbaus (IDs usw.) über Fremde Rechner laufen, die Daten aber dann bei der Übertragung direkt zwischen Partnern ausgetauscht werden. Was TV dort alles mitschneidet / aufbewahrt / Protokolliert / lesen kann - nun dies sagt uns TV nicht. Läuft es im eigenen LAN (VPN) nur per IP und hat kein Kontakt zum Internet, dann bekommt TV davon auch nichts mit - aber TV versucht ständig irgendwie ins Internet zu gelangen um seinen Herrn doch noch etwas zu beichten

TV geht über erst mal über Ports 80, 443, 5938. Nur das zulassen von TCP 5938 geht.

Gruß,
Peter

Hallo,

Sollte so sein, aber es gibt genug Firmen bzw. ADs wo es für 20 Mitarbeiter nur ein Konto gibt und dies noch ohne Passwort.

Viele Firmen bzw. ADs haben entweder keine Passwort, alle das gleiche oder jeder kennt jedes. Ist es bei Medistar nicht Praxis?

Wie viele unterschiedliche Benutzer und deren Passwörtern sowie deren Komplexität ist doch sehr variable und auf die Gegebenheiten anzupassen. Ob eine Firma dies zwingend so braucht oder gar Praktikabel sei ist doch allgemein nicht mit einer starren Regel zu beantworten. Jeder Benutzer sollte seinen eigenen Anmeldenamen haben, sollte ein Komplexes und sicheres Passwort haben, sollte niemand sein Passwort wissen lassen.

Er/Sie sollten diese nicht kennen, aber wie schon gesagt, es Umfelde wo dies nötig ist. Wer dann was gemacht hat ist dann eine ganz andere Frage.

Wenn im jeweiligen Umfeld der Admin Wartungsarbeiten nur so machen kann das er sich eben mal an der Kiste (sei es per RDP / TV Host / VNC usw.) anmelden muss dann sollte es aber auch für jeden klar sein und der Admin auch entsprechendes Vertrauen genießen (Erworbenes Vertrauen). Wenn dort Datenschutzrechtliche Daten dann vom Admin zwangsläufig gesehen / manipuliert werden sollten, sei diesem Admin geraten dort es eben so nicht zu handhaben. In diesen Umfelde wird aber der Admin nicht so Arbeiten das er die Passwörter der Benutzer kennt. Hier kann der Admin den Benutzer ja ein abgesprochenes gemeines Passwort zu hinterlegen bevor der Admin da dran geht und der Admin nach getaner was auch immer dafür sorgt das der Benutzer zwingend erst mal ein neues Passwort eintippeln muss

Sind doch dann auch Probleme / Fehler die in Zusammenarbeit mit den Nutzer nur geklärt werden könne. Warum darf er da nicht zuschauen (VNC / TV...)?

Nein

Jeder Admin kann auf jedes Dateisystem zugreifen oder sich darauf Zutritt verschaffen - er ist halt Admin. Ob es aber klug ist sich den Ordner vom Vorstandsvorsitzende anzuschauen und dabei ertappt zu werden - Datenschutz - Hallelulja. Nur weil etwas Technisch machbar ist, ist es noch lange nicht erlaubt. Und ein Admin sollte schon wissen wo und wann seine Gesetzlich gesteckten Grenzen erreicht sind.

Ja, aber gibt es halt nicht - und das ist auch gut so.

Und wenn es keine Einbrecher gäbe, gäbe es auch keine Schlösser und Schlüssel und es gäbe nicht das Gesetzt dein Auto immer abzuschließen....

Gruß,
Peter

Hier eine Lösung: Wahnsinn, mit diesem Tool kann man Sessions von anderen Nutzern als entsperrbar konfigurieren!
Rechtlichen Rahmen müsst ihr natürlich prüfen.