Active Directory - Masterpasswort für alle Benutzer

Mitglied: exellent

exellent (Level 1) - Jetzt verbinden

19.01.2009, aktualisiert 10:23 Uhr, 10951 Aufrufe, 12 Kommentare

Hallo Zusammen,

ihr kennt es alle, jeder User hat sein eigenes Passwort - Als Administrator ist es somit unmöglich sich jedes einzelne Kennwort zu merken.

Wie löst ihr dieses Problem ? Gibt es irgendeine Art von Plug-In für das ADS um global für alle User ein "Masterpasswort" (also quasi ein zweites Passwort, zusätzlich zum Userpasswort) zu vergeben ?

Vielen Dank für eure Hilfe
Mitglied: 60730
19.01.2009 um 10:31 Uhr
Servus,

ihr kennt es alle, jeder User hat sein eigenes Passwort
und das ist auch vollkommen richtig so.
Als Administrator ist es somit unmöglich sich jedes einzelne Kennwort zu merken.
Ja und mein Personalchef kann sich auch nicht meine PIN von meiner EC Karte merken, weil Ihn die genausowenig angeht wie mich / einen Admin das Passwort eines Benutzers.

Zum Thema Passwort da gibt es nicht viel zu sagen, außer dass Sie wie ein Passport - benutzerbezogen sind.
Und das es ein Kündigungsgrund sein kann, wenn sich "fremde" mit Benutzerkennungen anmelden, die Ihnen nicht gehören.
Und da ist der Admin ganz sicher keine Ausnahme.

Gruß
Bitte warten ..
Mitglied: dog
19.01.2009 um 10:32 Uhr
Wie löst ihr dieses Problem ?

Garnicht. Jeder Benutzer soll ruhig sein eigenes Kennwort haben.
Als Administrator komme ich immer an alle Dateien der Benutzer und wenn ich auf das Konto zugreifen will (was nur nach Einwilligung der User passiert) setzte ich einfach das Passwort zurück - danach kann der Benutzer es ja wieder ändern.
Ich finde das am fairsten gegenüber den Usern, weil sie dann auch mitbekommen, wenn man etwas geändert hat.
Der rechtliche Aspekt ist hier erstmal Außen vor gelassen.

Grüße

Max
Bitte warten ..
Mitglied: 60730
19.01.2009 um 10:41 Uhr
Zitat von dog:
wenn ich auf das Konto zugreifen will setzte ich einfach das Passwort
zurück - danach kann der Benutzer es ja wieder ändern.

VETO
Wenn es einen berechtigten Grund dafür gibt, dass Passworte zurückgesetzt werden, dann nur mit schriftlicher "Einladung"!

Ich finde das am fairsten gegenüber den Usern, weil sie dann
auch mitbekommen, wenn man etwas geändert hat.
Der rechtliche Aspekt ist hier erstmal Außen vor gelassen.

Grüße

Max
Bitte warten ..
Mitglied: dog
19.01.2009 um 10:57 Uhr
Wenn es einen berechtigten Grund dafür gibt, dass Passworte zurückgesetzt werden, dann nur mit schriftlicher "Einladung"!

...wenn ich auf das Konto zugreifen will (was nur nach Einwilligung der User passiert) setzte ich einfach das Passwort zurück..

Bitte warten ..
Mitglied: Gagarin
19.01.2009 um 13:35 Uhr
Da scheint jemand die Grundlagen der Sicherheitstruktur des ADs nicht verstanden zu haben. Es wirklich schon sehr grenzwertig welche Leute an eine AD zum administrieren von Sicherheitseinstellung ran gelassen werden.

RTFM!
Bitte warten ..
Mitglied: DerWoWusste
19.01.2009 um 21:48 Uhr
Welches Problem Du damit hast, solltest Du ruhig verdeutlichen - ich sehe es nicht.
Zum Thema Masterkennwort bin ich mal auf etwas Interessantes gestoßen, was ich auch schon in diversen Foren jeweils erfolglos gefragt habe. Es paßt hier sehr schön rein. Wovon spricht Microsoft hier bloß?
http://support.microsoft.com/kb/839009, quote: "CSC synchronization adds a Setup option in the Unlock Computer dialog box. The Setup option permits local administrators to use their local administrator credentials to access the environment of the account that is currently logged-on without using the password for that account. "

Und bitte: dies ist kein, ich wiederhole, KEIN behobenes Problem, es ist gewolltes Verhalten. Der zu dem Artikel gehörende Patch korrigiert lediglich einen Fehler in diesem Feature, das lokalen Admins vorher ermöglicht hatte, Sessions von Domänenadmins aufzusperren.

Hat jemand schonmal irgendwo diese ominöse "Setup option in the Unlock Computer dialog box" gesehen?
Bitte warten ..
Mitglied: Gagarin
20.01.2009 um 09:03 Uhr
@DerWoWusste

Nein ich habe diese Option noch nicht im Betrieb gesehen und halt sie auch von datenschutzrechtlichen Gesichtspunkten fuer zumindestens gefaehrlich.

Ich sehe ueberhaupt keine Notwendigkeit eines "Masterpasswortes". Wenn ich als Admin auf den Accountzugreifen muss dann setze ich das Passwort einfach zurueck und melde mich an. Wenn ich auf die Dateien zugreifen muss dann uebernehme ich einfach den Besitz.

Wenn es rechtmaessig ist dann kann ich das auch vor dem User vertreten der diese Aktionen ja mitbekommt.
Bitte warten ..
Mitglied: DerWoWusste
20.01.2009 um 23:44 Uhr
Hi Gagarin, ich meinte nicht Dich mit
Welches Problem Du damit hast, solltest Du ruhig verdeutlichen
falls Du das dachtest. Sehe das wie Du. Dennoch kann jeder Admin sicher auch nachvollziehen, dass manchmal der Wunsch besteht, an einen Benutzerrechner, welcher gesperrt ist ranzugehen. Vor Vista gab es ja bei domänenangebundenen Rechnern nicht einmal die Möglichkeit, sich als Admin an einem gesperrten Rechner anzumelden, ohne den Benutzer abzumelden und somit evtl. dessen geöffnete Arbeit ungesichert zu schließen.
@exellent - was stört Dich denn nun genau?
Bitte warten ..
Mitglied: exellent
21.01.2009 um 07:13 Uhr
Natürlich habe ich die Sicherheitsstruktur des ADS begriffen...Musst nicht gleich so ausfallend werden

Also folgender Sachverhalt..Ich arbeite in einem Krankenhaus mit ca. 200 Rechnern / Usern. In ein paar Wochen werden alle Rechner ausgetauscht. Sprich es kommen Neue. Das ist notwendig wegen eines Releasewechsels im Krankenhausinformationssystem. (Läuft künftig nur noch auf Win XP Rechnern, aktuell stehen überall Win2000 Rechner) Die Rechner sind alle fertig geclont usw. Wenn die Rechner verteilt werden müssen darauf noch etliche Dinge im Profil eingestellt werden. NW-Drucker, Registryeinträge, Emailkonten, usw. Mir ist schon bewusst, dass man diese Geschichten auch alle durchführen kann ohne sich mit dem Userprofil anmelden zu müssen - ist aber in diesem Fall ein extremer Mehraufwand.

PS : Wir betreiben hier auch eine Fernwartung per VNC. Jeder User weiss das und wir sind berechtigt uns zu Wartungszwecke aufzuwählen. Jeder Benutzer musste dazu einen Wisch unterschreiben und damit einverstanden sein. Bei den Passwörter ist es ähnlich - Dort wird im Zuge der Rechneraustausch-Aktion ein Rundschreiben verteilt, dass sich die Administratoren zu Einrichtungszwecken mit dessen Profil anmelden müssen. Passwörter ändern wäre im Prinzip kein Problem __ABER__ ihr müsst bedenken, dass es ein Krankenhaus ist und kein Mitarbeiter hier Ahnung von Computern, Netzwerk oder sonstwas hat. Wenn ich dann die Passwörter ändern würde, hatte ich die Pappenheimer alle auf der Matte stehen weil diese sich schon über Jahre mit dem gleichen Passwort anmelden und wenn es dann auf einmal geändert wird........

Deswegen kam mir die Frage mit dem Masterpasswort auf.

Danke für's Lesen
Bitte warten ..
Mitglied: Logan000
21.01.2009 um 08:22 Uhr
Moin Moin

Wenn die Rechner verteilt werden müssen darauf noch etliche Dinge im Profil eingestellt werden. NW-Drucker, Registryeinträge, Emailkonten, usw.
Das kennt wohl jeder von uns (der nicht mit servergespeicherten Profilen arbeitet).

Mir ist schon bewusst, dass man diese Geschichten auch alle durchführen kann ohne sich mit dem Userprofil anmelden zu müssen
Ganz genau.
- ist aber in diesem Fall ein extremer Mehraufwand.
Und das ist für mich nicht nachvollziebar.

Aber wenn du meinst: Setze für die Einrichtung alle User aufs gleiche Kennwort.
und wenn Ihr fertig seid, setzt ihr zusätzlich noch die Option "Kennwort bei der ersten Anmeldung ändern".
Das ist von keinem User zuviel verlangt (falls doch muss er ohne PC auskommen).

ABER ihr müsst bedenken, dass es ein Krankenhaus ist und kein Mitarbeiter hier Ahnung von Computern, Netzwerk oder sonstwas hat.
Das geht naturlich nur Dir so. Meine Anwender sind alle Dr. der informatik.

PS:
Es fällt mir schwer die beiden folgenden Zitate in Einklang zu bringen.
Natürlich habe ich die Sicherheitsstruktur des ADS begriffen..

... weil diese sich schon über Jahre mit dem gleichen Passwort anmelden...


Gruß L.
Bitte warten ..
Mitglied: exellent
21.01.2009 um 08:40 Uhr
1. Profile sind servergespeichert

2. Ok, klar kann ich in jedes Profil die nötigen Informationen einpflegen indem ich die ntuser.dat bearbeite oder wie auch immer..Da jeder User aber andere Einstellungen und Optionen besitzt, kann ich kein autom. Script o.ä. erstellen. Daher ist es einfacher das Userprofil anzumelden, die Einstellungen in dem Profil zu tätigen und das war es.

3. Oh doch, den Fall hatten wir hier schonmal. Also Kennwort bei Erstanmeldung ändern = Chaos!..Ein weiteres Problem ist es auch, dass mehrere Benutzer mit einem Profil arbeiten (Ein Bereich = mehrere Nutzer..Also mit Profil "Endoskopie" arbeiten dann z.B. 5 User). Wenn dort jemand ein Kennwort ändert und es (wie so oft) nicht an die übrigen Mitarbeiter weitergibt, die mit dem Profil arbeiten, dann gibt es wieder Chaos.

4. Es gibt hier 2 Arbeiten von Profilen..Einmal die für die Stationen, dort bleibt das Kennwort schon seit Jahren bestehen da sich darin auch keine "Informationen" befinden sondern die User melden sich nur an, starten das KIS und das wars. Die Rechte sind auch sehr, sehr eingeschränkt. Dann gibt es noch die "richtigen" User in dessen Profilen sich auch sensible Daten bzw. Rechte befinden..Dort gibt es natürlich Kennwortvorgaben und dieses Kennwort muss natürlich auch regelmäßig gewechselt werden, es existiert eine Chronik damit nicht immer das gleiche Kennwort genommen wird usw.

Mehr möchte ich auch gar nicht erklären..Mir wäre es lieber wenn jemand eine Idee hätte, die mir weiterhilft. Grundsatzdiskussionen bringen mich momentan auch nicht weiter.

Thx
Bitte warten ..
Mitglied: dog
21.01.2009 um 09:17 Uhr
Grob gesagt kann man das mit den Scripten so ausdrücken:

http://www.siekermann.com/Mathematik/forum/graph06.JPG

y-Achse ist der Aufwand, x-Achse die Userzahl, die exponentiell steigende Kurve ist der manuelle Aufwand, die Wurzelkurve der Scriptaufwand.
Wir haben mit 80 Usern den Schnittpunkt der beiden Kurven schon lange überschritten.
Wie viel du dir aber antun willst musst du selbst bestimmen.

Tatsächlich wird es aber mit Skripts in der Praxis sehr viel leichter gehen, wenn du deine Domänenorganisation richtig gemacht hast. Besonders mit Gruppenrichtlinien, WMI und etwas VBScript lässt sich eigentlich alles leichter lösen.

Grüße

Max
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Adventskalender 2020
LochkartenstanzerInformationOff Topic18 Kommentare

Was haltet ihr von einer Sammlung von Adventskalendern? (Hier im Thread z.B.) Ich fang mal mit dem Heise-Kalender an: ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing17 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Netzwerke
Router1, Router2 + Repeater untereinander erreichbar machen (OpenWrt)
WinstarFrageNetzwerke15 Kommentare

Guten Abend! Kurz vorweg ja, ich weiß dass es hier bereits eine Anleitung gibt, wie man verschiedene Netzwerke zusammen ...

Hardware
Verwertung alter Hardware
quin83FrageHardware13 Kommentare

Hallo zusammen, bei uns liegt immer mehr Hardware im Lager, welche eigentlich nicht alt ist, aber bei uns keine ...

Grafikkarten & Monitore
Grafikkarte für Office mit HDMI und DisplayPort
df5erge2FrageGrafikkarten & Monitore13 Kommentare

Hallo, für einen älteren Rechner von 2007 welcher eine alte Grafikkarte ohne HDMI und Displayport besitzt, habe ich bereits ...

Ähnliche Inhalte
Exchange Server

Activ Sync Mapi Imap Mobilgeräte Exchange

gelöst opc123FrageExchange Server5 Kommentare

Hallo, wie finde ich raus welchen Dienst Mobilgeräte verwenden? Ich soll dies Verbieten für alle mobilen Geräte und neu ...

Microsoft

Active Directory vs. JumpCloud Directory as a Service

gelöst CriemoFrageMicrosoft10 Kommentare

Hallo Zusammen, Mal ne Frage. Hat schonmal von Euch jemand mit jumpcloud Directory as a Service rum gespielt oder ...

Windows Server

Administratorkonzept Active Directory

redhorseFrageWindows Server13 Kommentare

Guten Morgen, wir möchte unser Administratorkonzept überarbeiten und stoßen auf einige Probleme, für die ich noch keine praktikable Lösung ...

Microsoft

Active Directory Powerschell

KasiaKasiaFrageMicrosoft10 Kommentare

Hallo, ich bin ein Neuling im Bereich Powershell. Ich Schreibe gerade einen kleinen Skript, der es mir ermöglichen soll, ...

Vmware

ESXi 6 Active Directory

gelöst VerwirrterUserFrageVmware3 Kommentare

Hallo zusammen, ich habe das Problem das sich der neue ESX-Host keine Domänenanmeldung zulässt obwohl dieser in der Domäne ...

Windows Server

Active-Directory Email Log

gelöst Adnan88FrageWindows Server1 Kommentar

Hallo, gibt es eine möglichkeit bei jeder Änderung, User Löschen, User Anlegen, Passwort Reset etc. ein Log an eine ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud