20
Admin-Passwort für User-Account unter Windows nach Art Generalschlüssel?
Hallo liebe alle,
Frage: ist es by Design so blöd gelöst oder kann man das irgendwie umschiffen.
Problem: wir sollen häufig normalen Usern irgendwelche Einstellungen machen in Ihren Account unter Windows (10).
Allerdings betätigen die den Sperrbildschirm und gehen in die Kaffeepause. Gehen wir nämlich per Fernwartung drauf, haben wir keine andere Möglichkeit, als die User zu bitten zurückzukommen und ihr Passwort einzugeben oder danach zu fragen, was extrem blöd ist oder aber wir müssen deren Passwort ändern und ihnen dann das geändert Passwort mitteilen. Alles unnötiger Arbeitsaufwand, wenn vom System aus vorgesehen wäre, dass es eine Art Masterpasswort gibt, um in jeden Account reinzukommen.
Das normale Admin-Passwort oder ein Domain-Admin nutzt hier nämlich genau gar nichts, da man ja als der betreffende User einloggen muss für dessen Einstellungen.
LG,
Frage: ist es by Design so blöd gelöst oder kann man das irgendwie umschiffen.
Problem: wir sollen häufig normalen Usern irgendwelche Einstellungen machen in Ihren Account unter Windows (10).
Allerdings betätigen die den Sperrbildschirm und gehen in die Kaffeepause. Gehen wir nämlich per Fernwartung drauf, haben wir keine andere Möglichkeit, als die User zu bitten zurückzukommen und ihr Passwort einzugeben oder danach zu fragen, was extrem blöd ist oder aber wir müssen deren Passwort ändern und ihnen dann das geändert Passwort mitteilen. Alles unnötiger Arbeitsaufwand, wenn vom System aus vorgesehen wäre, dass es eine Art Masterpasswort gibt, um in jeden Account reinzukommen.
Das normale Admin-Passwort oder ein Domain-Admin nutzt hier nämlich genau gar nichts, da man ja als der betreffende User einloggen muss für dessen Einstellungen.
LG,
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 491067
Url: https://administrator.de/contentid/491067
Printed on: April 23, 2024 at 11:04 o'clock
20 Comments
Latest comment
Moin.
Nein, das ist nicht vorgesehen in Windows. Deshalb verkaufen sich Tools wie diese: https://www.e-motional.com/ULAdmin.htm
Nein, das ist nicht vorgesehen in Windows. Deshalb verkaufen sich Tools wie diese: https://www.e-motional.com/ULAdmin.htm
Zitat von @holliknolli:
Frage: ist es by Design so blöd gelöst oder kann man das irgendwie umschiffen.
Frage: ist es by Design so blöd gelöst oder kann man das irgendwie umschiffen.
Moin,
Das ist nicht blöd, das ist so Absicht. Es soll nicht jeder Hinz und Kunz so tun können, als wäre er der User! Die Ansicht, daß man für alles einen "Nachschlüssel" haben muß ist "blöd". Wie würde es Dir gefallen, wenn die Leute bei Dir rumfurwehrken könnten, ohne daß Du das mitbekommst? Du willst doch auch nicht, daß Dein Vermieter jederzeit in die Wohnung latschen kann, ohne daß es abgesprochen wurde.
Also: Das ist so gewoltl und das ist auch gut so. Wenn Ihr das anders haben wollt, müßt Ihr den Mitarbeitern sagen, daß asich in der Pause abmelden müssen oder Ihr müßt die Paßwort zurücksetzen/neu setzen Methode anwenden.
Außerdem ist es ein unding, sich von den Mitarbeitern das Paßwort sagen zu lassen. Wäre ich Dein User, würde ich Cat9 an Dir ausprobieren.
Also:
Lebe damit und ändere die Organisationsabläufe so, daß Ihr das in den Griff bekommt.
lks
Das ist nicht blöd, das ist so Absicht. Es soll nicht jeder Hinz und Kunz so tun können, als wäre er der User! Die Ansicht, daß man für alles einen "Nachschlüssel" haben muß ist "blöd". Wie würde es Dir gefallen, wenn die Leute bei Dir rumfurwehrken könnten, ohne daß Du das mitbekommst? Du willst doch auch nicht, daß Dein Vermieter jederzeit in die Wohnung latschen kann, ohne daß es abgesprochen wurde.
Hallo,
natürlich würde es mir nicht gefallen. Allerdings wundert es mich, dass man ja mit Admin-Shares ohnehin auf die Dateien der User kommt (wenn man will). Darum wundert es mich, warum man auf so banale Dinge wie Standarddrucker ändern für den User, wo man einloggen muss, eben nicht raufkommt.
LG,
Moin,
@dww: Läuft so ein Tool denn auch unter Windows 10?
Lt. Website ist es nur bis einschließlich Windows 7 offiziell freigegeben.
Gruß
@dww: Läuft so ein Tool denn auch unter Windows 10?
Lt. Website ist es nur bis einschließlich Windows 7 offiziell freigegeben.
Gruß
Moin.
Hatte das Tool zuletzt unter Vista/Win7 genutzt. Nö, unter Win10 funktioniert es hier im Test nicht, aber dieses läuft: https://www.blaser.us/software/winunlock/
Warum auch immer läuft die Clientvariante auch ohne Lizenz. Winkey+F7 am Anmeldescreendrücken und Sitzung übernehmen.
Hatte das Tool zuletzt unter Vista/Win7 genutzt. Nö, unter Win10 funktioniert es hier im Test nicht, aber dieses läuft: https://www.blaser.us/software/winunlock/
Warum auch immer läuft die Clientvariante auch ohne Lizenz. Winkey+F7 am Anmeldescreendrücken und Sitzung übernehmen.
Hab's mir weiter angesehen.
Sie läuft genau dann ohne Lizenz, wenn man die gesperrte Sitzung eines lokalen Konto mittels eines lokalen Kontos, welches Admin ist, entsperrt.
Will man die gesperrte Sitzung eines Domänenkontos entsperren, braucht man deren Serverinstallation, und die kostet 999US$ pro Domain und Jahr.
Sie läuft genau dann ohne Lizenz, wenn man die gesperrte Sitzung eines lokalen Konto mittels eines lokalen Kontos, welches Admin ist, entsperrt.
Will man die gesperrte Sitzung eines Domänenkontos entsperren, braucht man deren Serverinstallation, und die kostet 999US$ pro Domain und Jahr.
Hi
man setzt als Admin auch nicht manuell irgendwelche Optionen am User. Das erledigt man per Gruppenrichtlinien, Scripts, Registrykeys usw zentral.
In den seltenen Fällen, bei denen man auf die Usersession muss, muss der User so oder so am Rechner sein, denn es ist in einem ordentlichen Unternehmen nicht gestattet, das der Admin einfach die Session des Users übernimmt. Datenschutz, Privatspähre usw...
man setzt als Admin auch nicht manuell irgendwelche Optionen am User. Das erledigt man per Gruppenrichtlinien, Scripts, Registrykeys usw zentral.
In den seltenen Fällen, bei denen man auf die Usersession muss, muss der User so oder so am Rechner sein, denn es ist in einem ordentlichen Unternehmen nicht gestattet, das der Admin einfach die Session des Users übernimmt. Datenschutz, Privatspähre usw...
Du/Ihr macht das so, andere machen es anders.
Solange man das geregelt hat, und der Nutzer weiß, wer in seine Session kann, ist alles bestens mit so einer Entsperrsoftware.
GPOs und Skripte ersetzen keine Fehlerbehebung im Nutzerprofil und das Szenario "Nutzer gibt den Rechner für eine Stunde frei, sperrt ihn aber und verduftet" wird jeder Admin kennen.
Solange man das geregelt hat, und der Nutzer weiß, wer in seine Session kann, ist alles bestens mit so einer Entsperrsoftware.
GPOs und Skripte ersetzen keine Fehlerbehebung im Nutzerprofil und das Szenario "Nutzer gibt den Rechner für eine Stunde frei, sperrt ihn aber und verduftet" wird jeder Admin kennen.
2
Hallo @holliknolli,
ich verstehe deine Lage, allerdings ist es (wie die Kollegen schon gesagt haben) ein Unding,
sich ohne Wissens des Users sich als diese anzumelden.
Für Einstellungen die im Benutzerprofil gemacht werden müssen, gibt es folgende Möglichkeiten:
Meiner Meinung nach gibt es so gut wie nichts, was du nicht mit Gruppenrichtlinien erledigen könntest.
Egal ob Einstellungen gesetzt werden, ein Script läuft oder Registry Einträge verteilt werden.
Gruß joehuaba
ich verstehe deine Lage, allerdings ist es (wie die Kollegen schon gesagt haben) ein Unding,
sich ohne Wissens des Users sich als diese anzumelden.
Für Einstellungen die im Benutzerprofil gemacht werden müssen, gibt es folgende Möglichkeiten:
- Gruppenrichtlinien und/oder Windows Registry
- Softwareverteilung (SCCM / Empirum)
- Im Beisein des Users die Einstellungen vornehmen
Meiner Meinung nach gibt es so gut wie nichts, was du nicht mit Gruppenrichtlinien erledigen könntest.
Egal ob Einstellungen gesetzt werden, ein Script läuft oder Registry Einträge verteilt werden.
Gruß joehuaba
@holliknolli:
Hallo.
Wenn die sowieso mit Euch Kontakt herstellen, wenn sie irgendetwas wollen oder brauchen, warum sagt Ihr denen nicht gleich vorher das PWD (das Ihr ändert), das sie dann nach Ihrer Rückkehr verwenden können?
Ich mach' das jedenfalls so. Ich habe noch nie nach einem PWD gefragt und werde das auch niemals tun. Ich teil' den Leuten mit, daß ich in ihrem Account etwas tun muß und teile denen das PWD, auf das ich ändern werde, gleich mit. Das geht völlig reibungslos.
Viele Grüße
von
departure69
Hallo.
oder aber wir müssen deren Passwort ändern und ihnen dann das geändert Passwort mitteilen
Wenn die sowieso mit Euch Kontakt herstellen, wenn sie irgendetwas wollen oder brauchen, warum sagt Ihr denen nicht gleich vorher das PWD (das Ihr ändert), das sie dann nach Ihrer Rückkehr verwenden können?
Ich mach' das jedenfalls so. Ich habe noch nie nach einem PWD gefragt und werde das auch niemals tun. Ich teil' den Leuten mit, daß ich in ihrem Account etwas tun muß und teile denen das PWD, auf das ich ändern werde, gleich mit. Das geht völlig reibungslos.
Viele Grüße
von
departure69
Servus,
klar können wir als Admin (bei geändertem Passwort) auch ohne Wissen des Users auf dessen Account.
Mache ich aber nicht, denn
a) widerstrebt mir dies persönlich (würde ich als User auch nicht wollen),
b) geht so etwas m.E. aus Datenschutzgründen grundsätzlich nicht.
Der User kann mir bei meiner Fernwartung "schon über die Schulter schauen", was ich in seinem Account mache.
Gruß
klar können wir als Admin (bei geändertem Passwort) auch ohne Wissen des Users auf dessen Account.
Mache ich aber nicht, denn
a) widerstrebt mir dies persönlich (würde ich als User auch nicht wollen),
b) geht so etwas m.E. aus Datenschutzgründen grundsätzlich nicht.
Der User kann mir bei meiner Fernwartung "schon über die Schulter schauen", was ich in seinem Account mache.
Gruß
Wenn die sowieso mit Euch Kontakt herstellen, wenn sie irgendetwas wollen oder brauchen, warum sagt Ihr denen nicht gleich vorher das PWD (das Ihr ändert), das sie dann nach Ihrer Rückkehr verwenden können?
Ich mach' das jedenfalls so. Ich habe noch nie nach einem PWD gefragt und werde das auch niemals tun. Ich teil' den Leuten mit, daß ich in ihrem Account etwas tun muß und teile denen das PWD, auf das ich ändern werde, gleich mit. Das geht völlig reibungslos.
Ich mach' das jedenfalls so. Ich habe noch nie nach einem PWD gefragt und werde das auch niemals tun. Ich teil' den Leuten mit, daß ich in ihrem Account etwas tun muß und teile denen das PWD, auf das ich ändern werde, gleich mit. Das geht völlig reibungslos.
Naja, ist leider nicht so, dass der User kommt und wir gleich alles liegen und stehen lassen und sich sofort seinem Wehwechen widmen können.
man setzt als Admin auch nicht manuell irgendwelche Optionen am User. Das erledigt man per Gruppenrichtlinien, Scripts, Registrykeys usw zentral.
In den seltenen Fällen, bei denen man auf die Usersession muss, muss der User so oder so am Rechner sein, denn es ist in einem ordentlichen Unternehmen nicht gestattet, das der Admin einfach die Session des Users übernimmt. Datenschutz, Privatspähre usw...
In den seltenen Fällen, bei denen man auf die Usersession muss, muss der User so oder so am Rechner sein, denn es ist in einem ordentlichen Unternehmen nicht gestattet, das der Admin einfach die Session des Users übernimmt. Datenschutz, Privatspähre usw...
Nun, ich kenne leider keine Gruppenrichtlinie für die Spezialsoftware, die nicht von MS ist und die wir teilweise verwenden.
Es gibt eine Betriebsvereinbarung dazu, wonach Admins "jederzeit, wenn für die Aufrechthaltung der Unternehmenstätigkeit erforderlich, geeignete Maßnahmen auch ohne Wissen der Benutzer setzen können. Betroffene Benutzer sind jedoch über die Maßnahme und deren Zweck zeitnah in Kenntnis zu setzen"
Hi
Aber irgendwo muss die Software die Einstellungen speichern. In der Regel ist das in der registry, einer text-config oÄ. Und dann kann man das auch per GPOs ändern.
Manche Ranzsoftware macht das auch in einem proprietären, nicht einfach von Menschen lesbaren Datei. Da wird's dann schwieriger. Aber auch das geht.
Wenn du uns den Namen der Software nennst und vielleicht auch die config dazu Mal bereitstellst, dann kann man sich das ja Mal ansehen.
Aber irgendwo muss die Software die Einstellungen speichern. In der Regel ist das in der registry, einer text-config oÄ. Und dann kann man das auch per GPOs ändern.
Manche Ranzsoftware macht das auch in einem proprietären, nicht einfach von Menschen lesbaren Datei. Da wird's dann schwieriger. Aber auch das geht.
Wenn du uns den Namen der Software nennst und vielleicht auch die config dazu Mal bereitstellst, dann kann man sich das ja Mal ansehen.
Wenn du uns den Namen der Software nennst und vielleicht auch die config dazu Mal bereitstellst, dann kann man sich das ja Mal ansehen.
Es sind individuelle Industrieroboter-Steuerungen. Die haben definitiv keine Registry-Einträge. Die haben - man höre und staune - CFG-Dateien! Sagt auch der Hersteller, dass hier nichts in der Registry konfiguriert wird.
LG
Zitat von @holliknolli:
Es sind individuelle Industrieroboter-Steuerungen. Die haben definitiv keine Registry-Einträge. Die haben - man höre und staune - CFG-Dateien! Sagt auch der Hersteller, dass hier nichts in der Registry konfiguriert wird.
Es sind individuelle Industrieroboter-Steuerungen. Die haben definitiv keine Registry-Einträge. Die haben - man höre und staune - CFG-Dateien! Sagt auch der Hersteller, dass hier nichts in der Registry konfiguriert wird.
Oh. Noch Programme aus der DOS und Win3.x-Zeit.
Dann sollte man die eigentlich recht einfach transplantieren können. Das größe Problem ist meist, herauszufinden, welche DLLs sie nutzen und ob die in der richtigen Version und im richtigen Verzeichnis vorliegen.
Wenn Du Glück hast, reicht es, einfach den Ordner zu kopieren, in dem der Schmonzes drin ist. Wenn Du Pech hast, haben die in dutzenden Verzeichissen irgendwelche Dateien verteilt.
lks
Ok aber auch das lässt sich ja zentral verteilen. Wenn die cfg datei für alle gleich ist, dann kannst du die ja einfach verteilen.
Wenn sich das pro User unterscheiden sollte, musst du ein Script laufen lassen, das die Datei entsprechend editiert.
Vielleicht verstehe ich das gerade falsch, aber du scheinst GPOs als Zentrale Verwaltung völlig abzulehnen. Nur warum? Es macht dir das Leben doch viel einfacher, wenn du nicht Turnschuhadmin spielen musst und zu den Plätzen laufen musst, da manuell irgendwas ändern, und das dann ggf bei zig weiteren Arbeitsplätzen wiederholen.
Jeder wie er es mag. Vielleicht gibt's ja auch berechtigte Gründe, warum das so nicht gemacht werden kann/soll, aber bisher sehe ich da keinen
Wenn sich das pro User unterscheiden sollte, musst du ein Script laufen lassen, das die Datei entsprechend editiert.
Vielleicht verstehe ich das gerade falsch, aber du scheinst GPOs als Zentrale Verwaltung völlig abzulehnen. Nur warum? Es macht dir das Leben doch viel einfacher, wenn du nicht Turnschuhadmin spielen musst und zu den Plätzen laufen musst, da manuell irgendwas ändern, und das dann ggf bei zig weiteren Arbeitsplätzen wiederholen.
Jeder wie er es mag. Vielleicht gibt's ja auch berechtigte Gründe, warum das so nicht gemacht werden kann/soll, aber bisher sehe ich da keinen
@holliknolli:
Das Snap-In "AD-Benutzer und -Computer" zu öffnen und das PWD zurückzusetzen, ist bei mir noch während des Telefonats binnen 30 Sekunden erledigt. Ich mach' das immer sofort, sage den Betroffenen noch im Gespräch, daß ich das nur innerhalb ihres persönlichen Accounts erledigen kann und teile das von mir geänderte PWD mit. Auch dann, wenn ich weiß, daß ich erst in 2 Tagen dazu komme.
Wenn einem das in Fleisch und Blut übergegangen ist (und das geht recht schnell), ist das überhaupt kein Problem.
Viele Grüße
von
departure69
Naja, ist leider nicht so, dass der User kommt und wir gleich alles liegen und stehen lassen und sich sofort seinem Wehwechen widmen können.
Das Snap-In "AD-Benutzer und -Computer" zu öffnen und das PWD zurückzusetzen, ist bei mir noch während des Telefonats binnen 30 Sekunden erledigt. Ich mach' das immer sofort, sage den Betroffenen noch im Gespräch, daß ich das nur innerhalb ihres persönlichen Accounts erledigen kann und teile das von mir geänderte PWD mit. Auch dann, wenn ich weiß, daß ich erst in 2 Tagen dazu komme.
Wenn einem das in Fleisch und Blut übergegangen ist (und das geht recht schnell), ist das überhaupt kein Problem.
Viele Grüße
von
departure69
@SeaStorm:
Es geht ja bei dieser Frage meines Erachtens prinzipiell nicht nur um irgendwelche Einstellungen, die man durchaus per GPO oder was auch immer irgendwie automatisieren/verteilen kann.
Manchmal braucht es einfach den uneingeschränkten Blick auf den Desktop des Users, um live sehen zu können, wie sich ein Programm, z. B. im Fehlerfall, verhält bzw. wie sich der Fehler dem User präsentiert. Vielleicht geht's gar nicht immer nur um irgendeine Einstellung, sondern der User macht was falsch, die dazu benötigten Eingaben und der Workflow sind aber sehr komplex?
Im Helpdesk ist das dann normalerweise irgendeine Fernwartung, bei der der User auf seinem eigenen Desktop dem Admin zusehen kann, was der tut. Wird's aber kniffliger und dauert länger, muß das halt auch mal in Abwesenheit des Users sein dürfen. Und dann geht es einfach nicht anders, ich muß mich dann mit dem Account des Users anmelden können.
Kommt bei uns nicht häufig, aber doch mehrmals pro Monat vor.
Viele Grüße
von
departure69
Es geht ja bei dieser Frage meines Erachtens prinzipiell nicht nur um irgendwelche Einstellungen, die man durchaus per GPO oder was auch immer irgendwie automatisieren/verteilen kann.
Manchmal braucht es einfach den uneingeschränkten Blick auf den Desktop des Users, um live sehen zu können, wie sich ein Programm, z. B. im Fehlerfall, verhält bzw. wie sich der Fehler dem User präsentiert. Vielleicht geht's gar nicht immer nur um irgendeine Einstellung, sondern der User macht was falsch, die dazu benötigten Eingaben und der Workflow sind aber sehr komplex?
Im Helpdesk ist das dann normalerweise irgendeine Fernwartung, bei der der User auf seinem eigenen Desktop dem Admin zusehen kann, was der tut. Wird's aber kniffliger und dauert länger, muß das halt auch mal in Abwesenheit des Users sein dürfen. Und dann geht es einfach nicht anders, ich muß mich dann mit dem Account des Users anmelden können.
Kommt bei uns nicht häufig, aber doch mehrmals pro Monat vor.
Viele Grüße
von
departure69
Klar gibt's die Situation. Ständig sogar. Aber da setzt man sich ja wirklich mit dem User zusammen, und wenn es per Remotezugang wie Teamviewer ist und guckt sich das Problem an.
Aber der TO eröffnete sein erstes Posting mit
Und darauf Antworte ich.
Aber der TO eröffnete sein erstes Posting mit
Problem: wir sollen häufig normalen Usern irgendwelche Einstellungen machen in Ihren Account unter Windows (10).
Allerdings betätigen die den Sperrbildschirm und gehen in die Kaffeepause
Allerdings betätigen die den Sperrbildschirm und gehen in die Kaffeepause
Und darauf Antworte ich.
