Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Passwort temporär ändern

Frage Microsoft Windows Server

Mitglied: mdages

mdages (Level 1) - Jetzt verbinden

17.05.2011 um 12:46 Uhr, 5364 Aufrufe, 9 Kommentare

Passwort von Benutzern nur temporär für administrative Dinge ändern, oder Master-Passwort?

Hallo,

bei der Fehlersuche an Client-Rechnern oder in Terminalserversitzungen stoße ich immer wieder auf das Problem, dass ich die Kennwörter der Benutzer nicht weiß. Oft ist es zum Nachstellen des Problems einfach am besten, sich unter der Benutzerkennung anzumelden und meist findet das dann abends statt wenn die Benutzer nicht mehr da sind. Da gibt es dann immer nur den Weg zu warten bis man den Benutzer mal erreicht und ihn nach seinem Kennwort fragt, was aber lästig und ungeschickt ist. Eine weitere Möglichkeit wäre da natürlich am Server einfach das Kennwort zurückzusetzen, doch dann kommt am nächsten morgen der Benutzer und kann sich selbst nicht mehr anmelden. Einen Zettel mit dem neuen Passwort einfach auf den Arbeitsplatz zu legen ist zum einen bei Arbeiten per Remote gar nicht möglich und wäre ohnehin nicht gerade sicher.

Was ich demnach recht geschickt fände wäre, dass man das Kennwort nur temporär für eine bestimmte Zeit zurücksetzt und danach wieder das normale Kennwort des Benutzers aktiv ist. Oder toll wäre auch eine Art Masterpasswort mit dem man sich unter jedem Benutzeraccount anmelden könnte, also wie eine Art Generalschlüssel. Solch ein Feature ist mir bei Windows Domänen aber nicht bekannt.

Von irgendwelchen verwaltungstechnischen Lösungen wie das Führen von Passwortlisten halte ich nichts und ist auch in den Unternehmen nicht immer durchsetzbar.

Vielleicht kennt hier ja jemand einen geschickten Lösungsweg?

Gruß
Markus
Mitglied: Lochkartenstanzer
17.05.2011 um 12:54 Uhr
Meine Vorgehensweise bei solchen Fällen:

Ich vereinbare mit dem Benutzer ein Paßwort, auf das ich den Account setze, wenn ich teste/prüfe. Nach Abschluß der Arbeiten wird eingestellt, daß der Benutzer das Paßwort ändern muß.

Damit muß der Benutzer mir nie sein Kennwort verraten und es ist sichergestellt, daß ich auch nach den Arbeiten sein neunes Kennwort nicht weiß.

Außerdem braucht man keine Post-ITs.

lks
Bitte warten ..
Mitglied: Snowman25
17.05.2011 um 12:58 Uhr
Hallo mdages,
Zitat von mdages:
Was ich demnach recht geschickt fände wäre, dass man das Kennwort nur temporär für eine bestimmte Zeit
zurücksetzt und danach wieder das normale Kennwort des Benutzers aktiv ist. Oder toll wäre auch eine Art Masterpasswort
mit dem man sich unter jedem Benutzeraccount anmelden könnte, also wie eine Art Generalschlüssel. Solch ein Feature ist
mir bei Windows Domänen aber nicht bekannt.
Die Gründe hierfür sollten dir allerdings bekannt sein.

Vielleicht kennt hier ja jemand einen geschickten Lösungsweg?
  1. Passwort zurücksetzen
  2. Arbeit erledigen
  3. Mitarbeiter einen Zettel auf den Tisch legen, dass er sich am nächsten morgen bei dir melden soll
  4. Wenn Mitarbeiter kommt, Passwort zurücksetzen, dem MB mitteilen, Einstellung setzen, dass Mitarbeiter Passwort beim nächsten Anmelden das Passwort ändern muss und gegebenenfalls Richtlinie kurzzeitig so ändern, dass er sein altes wieder verwenden kann.
  5. Nach Änderung durch den User die Passwortrichtlinien wieder so einstellen, dass nicht das gleiche Passwort verwendet werden kann, wenn diese vorhanden war.

Gruß
Snow
Bitte warten ..
Mitglied: Jochem
17.05.2011 um 13:05 Uhr
Moin,

ich hab es bei uns so ähnlich gemacht, als die Domäne neu aufgesetzt wurde:
- alle User haben ein Passwort bekommen, welches für alle gleich war (Groß-/Kleinschreibung, Sonderzeichen, Zahlen)
- in den Anmelderichtlinien festgelegt, daß der User das Passwort beim ersten Anmelden ändern muß
- wenn ich nun als User an einen Rechner muß, wird dessen Paswort auf das Initialpasswort zurückgesetzt
- nach Beendigung der Arbeit wird die Anmelderichtlinie wieder auf "Paßwort beim ersten Anmelden ändern" gesetzt

Diese Vorgehensweise wurde allen MA kommuniziert. Wenn sich nun also ein MA morgens nicht mit seinem alten Paßwort anmelden kann, geht er den beschriebenen Weg.

Gruß J chem
Bitte warten ..
Mitglied: mdages
17.05.2011 um 13:24 Uhr
Danke für eure ersten Antworten.

Das Problem ist, dass ich nicht nur das eigene System administriere, sondern auch Systeme anderer Firmen. Dabei auch oft per Remoteverbindungen. Damit scheidet das mit dem Zettel auf den Tisch legen schon mal aus. Auch sich bei mir am nächsten morgen melden geht nicht, weil die Arbeitszeiten von Personal und mir sich manchmal doch kräftig unterscheiden.

@Snowman25: Welche mir eigentlich bekannten Gründe sollen es denn sein, dass man beispielsweise das Administratorkennwort oder ein anderes als Masterpasswort verwenden könnte? Die Möglichkeit als Admin jedes Kennwort zurücksetzen zu können ist auch nichts anderes als ein Generalschlüssel, nur halt ein äußerst umständlicher.

@Jochem, Lochkartenstanzer: Eure Methoden über Kommunikation mit Initialkennwörtern oder vereinbarte Kennwörter kenne ich und habe sie teilweise auch schon angewendet. Sind aber eben jene verwaltungstechnische Dinge, die nicht bei allen durchzusetzen sind. Eine rein technische Lösung ohne Abstimmung mit einzelnen Benutzern wäre mir da lieber. Ich hatte bei dem Verfahren mit dem Initialkennwort schon einige male den Fall, dass der Benutzer sich nicht mehr dran erinnerte oder gar nicht auf die Idee gekommen ist es zu versuchen. Benutzer kann sich nicht anmelden und denkt dann immer mal zuerst, sein PC ist kaputt. Klar ist der User dann auch irgendwie selbst schuld, aber dennoch bekomme ich dann zu hören ob das nicht anders geht und wieso ich gerade dann nicht erreichbar war usw. usw.

Dank euch aber dennoch für eure Vorgehensweisen, auch wenn für mich das optimale noch nicht dabei war.

Gruß
Markus
Bitte warten ..
Mitglied: Snowman25
17.05.2011 um 13:39 Uhr
Zitat von mdages:
@Snowman25: Welche mir eigentlich bekannten Gründe sollen es denn sein, dass man beispielsweise das Administratorkennwort
oder ein anderes als Masterpasswort verwenden könnte? Die Möglichkeit als Admin jedes Kennwort zurücksetzen zu
können ist auch nichts anderes als ein Generalschlüssel, nur halt ein äußerst umständlicher.
Das stimmt schon, allerdings hätte der User somit keine Möglichkeit zu erkennen, dass jemand ohne seine Erlaubnis auf sein Profil zugegriffen hat.
Sowas bräuchte zuerst einmal die technische Machbarkeit (also die Funktion an sich müsste bestehen) und du müsstest dich hier vertraglich absichern. Entweder über eine Klausel im Arbeitsvertrag, oder über eine Sicherheitsrichtlinie, welche jeder Mitarbeiter unterschreiben muss, um damit zu bestätigen, dass er sie gelesen, verstanden und akzeptiert hat. Denn hier greifft das Datenschutzgesetz.

Gruß
Snow
Bitte warten ..
Mitglied: mdages
17.05.2011 um 13:58 Uhr
@snow
Mir ist an sich schon bekannt, dass es in Windows Server keine Möglichkeit eines Masterkennworts, Generalschlüssel oder ähnliches gibt. Hätte aber ja vielleicht sein können, dass es dazu Third-Party Software gibt. Das ganze so zu implementieren, dass der Benutzer dann bei der nächsten Anmeldung irgendwie eine entsprechende Information auf den Schirm bekommt, wäre dann natürlich erforderlich und sicher nicht das Problem.

LG
Markus
Bitte warten ..
Mitglied: Nagus
17.05.2011 um 17:09 Uhr
Hi mdages,
was auch immer du vorhast, solltest Du Dir über die Konsequenzen klar sein!
Du darfst unter einem Benutzerkonto nur arbeiten, wenn der Benutzer dem explizit zugestimmt hat! Gerade mit Blick auf eine Mitarbeiter Vertretung äußerst wichtig! Deswegen geht nur der Weg über KW zurücksetzen. Hier solltest Du aber erst klären, ob es dazu nicht eine Betriebsvereinbarung in dem Unternehmen gibt ...
Aus meiner Erfahrung habe ich gelernt: arbeite nie ohne den Mitarbeiter an dem PC! Die berühmten Sprüche sind immer: seit Sie an meinem PC waren ... oder vorher war noch alles da ... wo ist die Datei XXX

Gruß
Nagus
Bitte warten ..
Mitglied: mdages
17.05.2011 um 17:24 Uhr
@Nagus
Danke für die aufklärenden Worte, aber darum geht es hier eigentlich nicht. Wenn ich unter einem Benutzerkonto arbeite, dann weiß ich warum ich das mache und ich bin mir dabei dann auch absolut sicher, dass ich dafür Erlaubnis habe. Meine Tätigkeiten und meine Authorisierung ist meist von ganz oben abgesegnet.

Mir geht es hier mehr darum, wie die angesprochene Problematik eventuell technisch zu lösen ist. Ob es da vielleicht Tricks gibt das Kennwort vor der Rücksetzung wegzusichern und danach wieder einzusetzen etc.

Darüber was ich darf, welche Konsequenzen es bei der Adminstration gibt, ob es Betriebsvereinbarungen gibt etc. ist hier nicht das Thema. Mein Bedarf dieses Thema hier zu eröffnen sollte rein technischer Hinsicht sein und keine Grundsatzdiskussionen über Rechte und Pflichten von Administratoren.

Danke.

Gruß
Markus
Bitte warten ..
Mitglied: Snowman25
18.05.2011 um 11:15 Uhr
Hallo nochmal mdages,

Zitat von mdages:
Meine Tätigkeiten und meine Authorisierung ist meist von ganz oben abgesegnet.
Das bringt dir aber nicht viel, du brauchst nämlich auch die Einwilligung bzw. Kenntnisnahme des Users, unter dessen Konto du arbeiten möchtest. Hier geht es um Schutz persönlicher und personenbezogener Daten, da haben Chefs recht wenig mitzureden.

Mir geht es hier mehr darum, wie die angesprochene Problematik eventuell technisch zu lösen ist. Ob es da vielleicht Tricks
gibt das Kennwort vor der Rücksetzung wegzusichern und danach wieder einzusetzen etc.
Das Kennwort wird nicht als Plaintext gespeichert, sondern bloß ein Hash dieses Kennworts. Bei der Anmeldung wird aus dem eingegebenen Kennwort ein Hash erstellt und gegen den abgespeicherten verglichen. So werden die Kennwörter an sich nie übertragen und das System kennt sie auch nicht.
Zwar gibt es Programme, welche das Datenbankfile mit den Hashs öffnen und teilweise entschlüsseln können, allerdings funktioniert soetwas (soweit ich weiss) nur mit der lokalen SAM-Datenbank.

Darüber was ich darf, welche Konsequenzen es bei der Adminstration gibt, ob es Betriebsvereinbarungen gibt etc. ist hier
nicht das Thema. Mein Bedarf dieses Thema hier zu eröffnen sollte rein technischer Hinsicht sein und keine
Grundsatzdiskussionen über Rechte und Pflichten von Administratoren.
Trotzdem ist das ein Thema, das bei einer solchen Thematik zumindest angesprochen werden sein sollte. Was ja hiermit geschehen ist.
Du bist ja nicht die einzige Person, die hier mitliest. Dieser Beitrag wird über diverse Suchmaschinen noch häufig gefunden werden, und Leute, die das hier dann lesen sollten nach Möglichkeit auch auf die rechtlichen Konsequenzen aufmerksam gemacht werden.

Gruß
Snow
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Microsoft Office
Access Verknüpfte Tabellen Passwort ändern

Frage von mijacd zum Thema Microsoft Office ...

Erkennung und -Abwehr
Lokale Virenprüfstation : Windows 10: Ändern von Einstellungen verhinden (5)

Frage von TryAndSolve zum Thema Erkennung und -Abwehr ...

LAN, WAN, Wireless
BGH-Urteil: Keine Störerhaftung bei gehacktem WLAN-Passwort (1)

Link von kaiand1 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Word 2010 : Absatz - Abstand per GPO ändern (3)

Frage von johanna-p zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...