12
Zugriff auf PC von Domain-User, ohne sein Passwort zu kennen?
Hallo,
wir möchten einerseits, dass unsere Domain-User ihre Passwörter eigenständig verwalten (d.h. regelmäßig ändern). Diese Passwörter sollen auch nicht einer zentralen Stelle bekannt sein.
Andererseits brauche ich als Admin in regelmäßigen Abständen Zugriff auf die Rechner mit den jeweiligen Benutzerkonten (Win 10) um manuelle Updates durchzuführen.
Gibt es eine Möglichkeit, den User an seinem Rechner einzuloggen, ohne sein Passwort zu kennen? Am liebsten per RDP...
DC ist ein Win Server 2012R2.
Vielen Dank.
wir möchten einerseits, dass unsere Domain-User ihre Passwörter eigenständig verwalten (d.h. regelmäßig ändern). Diese Passwörter sollen auch nicht einer zentralen Stelle bekannt sein.
Andererseits brauche ich als Admin in regelmäßigen Abständen Zugriff auf die Rechner mit den jeweiligen Benutzerkonten (Win 10) um manuelle Updates durchzuführen.
Gibt es eine Möglichkeit, den User an seinem Rechner einzuloggen, ohne sein Passwort zu kennen? Am liebsten per RDP...
DC ist ein Win Server 2012R2.
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 346993
Url: https://administrator.de/contentid/346993
Printed on: April 23, 2024 at 17:04 o'clock
12 Comments
Latest comment
Zitat von @Lara22:
Gibt es eine Möglichkeit, den User an seinem Rechner einzuloggen, ohne sein Passwort zu kennen? Am liebsten per RDP...
DC ist ein Win Server 2012R2.
Gibt es eine Möglichkeit, den User an seinem Rechner einzuloggen, ohne sein Passwort zu kennen? Am liebsten per RDP...
DC ist ein Win Server 2012R2.
Das macht man als Admin und nicht als der User selbst.
lks
PS. Du kannst ja sein Paßwort zurücksetzen und ihm eine email mit dem neuen Paßwort schicken.
Hi. Nein. Ist auch nicht nötig. Updates im Benutzerkontext sind nicht nötig und sollten auch nicht möglich sein. Sonst kann der User ja ausführbare Dateien ändern.
Das soll kann und darf nur ein Admin.
Falls ein User zur Laufzeit ein Problem hat, kann man sich per remoteassist bei ihm einklinken.
Was genau müsst ihr denn im Benutzerkontext aktualisieren?
Das soll kann und darf nur ein Admin.
Falls ein User zur Laufzeit ein Problem hat, kann man sich per remoteassist bei ihm einklinken.
Was genau müsst ihr denn im Benutzerkontext aktualisieren?
Und wie ruft er die Mail ab? ;)
Richtig, es gibt eben Bereiche, für die ich einen User brauche. Beispiel von vor kurzem: Outlook indiziert die Emails nicht mehr. Grund war ein MSOffice Update. Das kann ich eben nur rausfinden, wenn ich als User drin bin.
Oder Drucker funktioniert nicht. Auch da gibt's Unterschiede zwischen Admin und User Konto (auch gerade erlebt...).
Ich hatte es tatsächlich bisher so gehalten, dass ich mir unbekannte Passwörter zurück setze und den User später neu vergeben lassen. Ist halt nicht gerade die elegante Lösung...
Oder Drucker funktioniert nicht. Auch da gibt's Unterschiede zwischen Admin und User Konto (auch gerade erlebt...).
Ich hatte es tatsächlich bisher so gehalten, dass ich mir unbekannte Passwörter zurück setze und den User später neu vergeben lassen. Ist halt nicht gerade die elegante Lösung...
Moin,
Aber man kann ihm das neue Passwort als print out auf die Tastatur lesen und den Zettel mit einer Tüte Harribo-Goldbären beschweren ...
LG, Thomas
PS. Du kannst ja sein Paßwort zurücksetzen und ihm eine email mit dem neuen Paßwort schicken.
zu unsicher, die mail könnte im Filter hängen bleiben.Aber man kann ihm das neue Passwort als print out auf die Tastatur lesen und den Zettel mit einer Tüte Harribo-Goldbären beschweren ...
LG, Thomas
moin
nun, dann darf Lara22 täglich mein Paßwort zurücksetzen
Frank
Aber man kann ihm das neue Passwort als print out auf die Tastatur lesen und den Zettel mit einer Tüte Harribo-Goldbären beschweren ...
nun, dann darf Lara22 täglich mein Paßwort zurücksetzen
Frank
Hallo,
Das tust Du aber nur, wenn der User neben Dir steht, oder? Oder per Remote-Unterstuetzung waehrend der User an seinerm Display sitzt?
Oder lasst ihr den User vorher unterschreiben, dass es das erlaubt?
BFF
Beispiel von vor kurzem: Outlook indiziert die Emails nicht mehr. Grund war ein MSOffice Update. Das kann ich eben nur rausfinden, wenn ich als User drin bin.
Das tust Du aber nur, wenn der User neben Dir steht, oder? Oder per Remote-Unterstuetzung waehrend der User an seinerm Display sitzt?
Oder lasst ihr den User vorher unterschreiben, dass es das erlaubt?BFF
Hallo,
Problem wird sein das du möchtest das der Anwender Morgens wieder nur sein ihm bekanntes PW einhämmert und er arbeiten kann. Geht aber nicht weil Windows meist nur den zuletzt erfogreich angemeldeten benutzer dort anzeigt. Das ist eine Einstellungsache die du verwaltest (Als Admin). Allerdings muss der Anwender ja erstmal selbst schauen was denn dort steht. Also ist deinersteits eine Schulung angesagt wo du alle Mitarbeiter erklärst wie die sich an den verschiedene OSen Anmelden und schauen können warum es mal wieder nicht geht.
Oder du gehst direkt nach der Anmeldung her, nimmst den Benutzer der zuletzt (vor dir) angemeldet war, sicherst den, und sorgst dafür das dieser auf der Maschine wieder eingetragen wird wenn du dich abmeldest, damit er am nächsten Morgen nur sein Passwort im Blindflug einhämmern braucht.
http://www.windowspage.de/tipps/022438.html
Gruppenrichtlinie letzten angemeldeten Benutzer anzeigen
http://hope-this-helps.de/serendipity/archives/330-Windows-XP7Vista-Set ...
https://technet.microsoft.com/de-de/library/jj852247(v=ws.11).aspx
Durch die Richtlinie den benutzernamen eben immer leer zu haben, gewöhnen sich die Mitarbeter sehr schnell daran sich korrekt anzumelden. Dadurch brauchst du das Passwort nicht. Willst du zwingend etwas in diesen Persönlichen Benutzerkontext etwas änder, Prüfen was auch immer machen, Änder am DC das Passwort. Der benutzer wird spätestens dann rausfinden wenn sein Passwort nicht mehr gilt, das einer da dran war.
Wie ist eure Firmenpolitik und was sagt z.B. ein Betriebsrat dazu? Es hat auch bei euch sicherlich nicht jeder ein zentralschlüssel da sogar den tresor öffnet. Wo wollt ihr hin? Und nein, erwarte nicht das ein OS Hersteller hier halbgare Lösungen dir anbietet.
Gruß,
Peter
Zitat von @Lara22:
Andererseits brauche ich als Admin in regelmäßigen Abständen Zugriff auf die Rechner
Den hast du ja als Admin. Eben nur ein anderes Konto.Andererseits brauche ich als Admin in regelmäßigen Abständen Zugriff auf die Rechner
Gibt es eine Möglichkeit, den User an seinem Rechner einzuloggen, ohne sein Passwort zu kennen?
Nein.Am liebsten per RDP...
Auch nein.DC ist ein Win Server 2012R2.
Auch dort, nein.Problem wird sein das du möchtest das der Anwender Morgens wieder nur sein ihm bekanntes PW einhämmert und er arbeiten kann. Geht aber nicht weil Windows meist nur den zuletzt erfogreich angemeldeten benutzer dort anzeigt. Das ist eine Einstellungsache die du verwaltest (Als Admin). Allerdings muss der Anwender ja erstmal selbst schauen was denn dort steht. Also ist deinersteits eine Schulung angesagt wo du alle Mitarbeiter erklärst wie die sich an den verschiedene OSen Anmelden und schauen können warum es mal wieder nicht geht.
Oder du gehst direkt nach der Anmeldung her, nimmst den Benutzer der zuletzt (vor dir) angemeldet war, sicherst den, und sorgst dafür das dieser auf der Maschine wieder eingetragen wird wenn du dich abmeldest, damit er am nächsten Morgen nur sein Passwort im Blindflug einhämmern braucht.
http://www.windowspage.de/tipps/022438.html
Gruppenrichtlinie letzten angemeldeten Benutzer anzeigen
http://hope-this-helps.de/serendipity/archives/330-Windows-XP7Vista-Set ...
https://technet.microsoft.com/de-de/library/jj852247(v=ws.11).aspx
Durch die Richtlinie den benutzernamen eben immer leer zu haben, gewöhnen sich die Mitarbeter sehr schnell daran sich korrekt anzumelden. Dadurch brauchst du das Passwort nicht. Willst du zwingend etwas in diesen Persönlichen Benutzerkontext etwas änder, Prüfen was auch immer machen, Änder am DC das Passwort. Der benutzer wird spätestens dann rausfinden wenn sein Passwort nicht mehr gilt, das einer da dran war.
Wie ist eure Firmenpolitik und was sagt z.B. ein Betriebsrat dazu? Es hat auch bei euch sicherlich nicht jeder ein zentralschlüssel da sogar den tresor öffnet. Wo wollt ihr hin? Und nein, erwarte nicht das ein OS Hersteller hier halbgare Lösungen dir anbietet.
Gruß,
Peter
Hi,
ja das geht, aber nur unter bestimmten Bedingungen. Es gibt eine API, mit welcher man Prozesse als anderes Benutzerkonto ausführen lassen kann ohne dessen Passwort zu kennen. Aber das kann man a) nur, wenn der Benutzer gerade angemeldet ist, und b) nur, wenn der die API aufrufende Prozess als Local System ausgeführt wird. Weiterhin muss man dafür erst bestimmte Privilegien aktivieren. Die Ausgabe dieser Prozesse würde aber in der angemeldeten Benutzersitzung erfolgen, also nichts, was Dir nützt.
Du solltest in Richting GPO und/oder Login-Scripte und/oder Geplante Aufgaben im Benutzerkontext recherchieren.
E.
ja das geht, aber nur unter bestimmten Bedingungen. Es gibt eine API, mit welcher man Prozesse als anderes Benutzerkonto ausführen lassen kann ohne dessen Passwort zu kennen. Aber das kann man a) nur, wenn der Benutzer gerade angemeldet ist, und b) nur, wenn der die API aufrufende Prozess als Local System ausgeführt wird. Weiterhin muss man dafür erst bestimmte Privilegien aktivieren. Die Ausgabe dieser Prozesse würde aber in der angemeldeten Benutzersitzung erfolgen, also nichts, was Dir nützt.
Du solltest in Richting GPO und/oder Login-Scripte und/oder Geplante Aufgaben im Benutzerkontext recherchieren.
E.
Moin.
Du kannst mit autologon.exe arbeiten, so dass der Nutzer sein Kennwort einspeichert. Dann müsste natürlich noch eine andere Authentifizierung her, die alleinig der Admin umgehen kann: Preboot Verschlüsselunskennwort.
Du kannst mit autologon.exe arbeiten, so dass der Nutzer sein Kennwort einspeichert. Dann müsste natürlich noch eine andere Authentifizierung her, die alleinig der Admin umgehen kann: Preboot Verschlüsselunskennwort.
Oder alternativ kaufen: Wahnsinn, mit diesem Tool kann man Sessions von anderen Nutzern als entsperrbar konfigurieren!
