Active Directory - Masterpasswort für alle Benutzer
Hallo Zusammen,
ihr kennt es alle, jeder User hat sein eigenes Passwort - Als Administrator ist es somit unmöglich sich jedes einzelne Kennwort zu merken.
Wie löst ihr dieses Problem ? Gibt es irgendeine Art von Plug-In für das ADS um global für alle User ein "Masterpasswort" (also quasi ein zweites Passwort, zusätzlich zum Userpasswort) zu vergeben ?
Vielen Dank für eure Hilfe
ihr kennt es alle, jeder User hat sein eigenes Passwort - Als Administrator ist es somit unmöglich sich jedes einzelne Kennwort zu merken.
Wie löst ihr dieses Problem ? Gibt es irgendeine Art von Plug-In für das ADS um global für alle User ein "Masterpasswort" (also quasi ein zweites Passwort, zusätzlich zum Userpasswort) zu vergeben ?
Vielen Dank für eure Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 106431
Url: https://administrator.de/forum/active-directory-masterpasswort-fuer-alle-benutzer-106431.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
12 Kommentare
Neuester Kommentar
Servus,
Zum Thema Passwort da gibt es nicht viel zu sagen, außer dass Sie wie ein Passport - benutzerbezogen sind.
Und das es ein Kündigungsgrund sein kann, wenn sich "fremde" mit Benutzerkennungen anmelden, die Ihnen nicht gehören.
Und da ist der Admin ganz sicher keine Ausnahme.
Gruß
ihr kennt es alle, jeder User hat sein eigenes Passwort
und das ist auch vollkommen richtig so.Als Administrator ist es somit unmöglich sich jedes einzelne Kennwort zu merken.
Ja und mein Personalchef kann sich auch nicht meine PIN von meiner EC Karte merken, weil Ihn die genausowenig angeht wie mich / einen Admin das Passwort eines Benutzers.Zum Thema Passwort da gibt es nicht viel zu sagen, außer dass Sie wie ein Passport - benutzerbezogen sind.
Und das es ein Kündigungsgrund sein kann, wenn sich "fremde" mit Benutzerkennungen anmelden, die Ihnen nicht gehören.
Und da ist der Admin ganz sicher keine Ausnahme.
Gruß
Wie löst ihr dieses Problem ?
Garnicht. Jeder Benutzer soll ruhig sein eigenes Kennwort haben.
Als Administrator komme ich immer an alle Dateien der Benutzer und wenn ich auf das Konto zugreifen will (was nur nach Einwilligung der User passiert) setzte ich einfach das Passwort zurück - danach kann der Benutzer es ja wieder ändern.
Ich finde das am fairsten gegenüber den Usern, weil sie dann auch mitbekommen, wenn man etwas geändert hat.
Der rechtliche Aspekt ist hier erstmal Außen vor gelassen.
Grüße
Max
Zitat von @dog:
wenn ich auf das Konto zugreifen will setzte ich einfach das Passwort
zurück - danach kann der Benutzer es ja wieder ändern.
wenn ich auf das Konto zugreifen will setzte ich einfach das Passwort
zurück - danach kann der Benutzer es ja wieder ändern.
VETO
Wenn es einen berechtigten Grund dafür gibt, dass Passworte zurückgesetzt werden, dann nur mit schriftlicher "Einladung"!
Ich finde das am fairsten gegenüber den Usern, weil sie dann
auch mitbekommen, wenn man etwas geändert hat.
Der rechtliche Aspekt ist hier erstmal Außen vor gelassen.
Grüße
Max
auch mitbekommen, wenn man etwas geändert hat.
Der rechtliche Aspekt ist hier erstmal Außen vor gelassen.
Grüße
Max
Welches Problem Du damit hast, solltest Du ruhig verdeutlichen - ich sehe es nicht.
Zum Thema Masterkennwort bin ich mal auf etwas Interessantes gestoßen, was ich auch schon in diversen Foren jeweils erfolglos gefragt habe. Es paßt hier sehr schön rein. Wovon spricht Microsoft hier bloß?
http://support.microsoft.com/kb/839009, quote: "CSC synchronization adds a Setup option in the Unlock Computer dialog box. The Setup option permits local administrators to use their local administrator credentials to access the environment of the account that is currently logged-on without using the password for that account. "
Und bitte: dies ist kein, ich wiederhole, KEIN behobenes Problem, es ist gewolltes Verhalten. Der zu dem Artikel gehörende Patch korrigiert lediglich einen Fehler in diesem Feature, das lokalen Admins vorher ermöglicht hatte, Sessions von Domänenadmins aufzusperren.
Hat jemand schonmal irgendwo diese ominöse "Setup option in the Unlock Computer dialog box" gesehen?
Zum Thema Masterkennwort bin ich mal auf etwas Interessantes gestoßen, was ich auch schon in diversen Foren jeweils erfolglos gefragt habe. Es paßt hier sehr schön rein. Wovon spricht Microsoft hier bloß?
http://support.microsoft.com/kb/839009, quote: "CSC synchronization adds a Setup option in the Unlock Computer dialog box. The Setup option permits local administrators to use their local administrator credentials to access the environment of the account that is currently logged-on without using the password for that account. "
Und bitte: dies ist kein, ich wiederhole, KEIN behobenes Problem, es ist gewolltes Verhalten. Der zu dem Artikel gehörende Patch korrigiert lediglich einen Fehler in diesem Feature, das lokalen Admins vorher ermöglicht hatte, Sessions von Domänenadmins aufzusperren.
Hat jemand schonmal irgendwo diese ominöse "Setup option in the Unlock Computer dialog box" gesehen?
@DerWoWusste
Nein ich habe diese Option noch nicht im Betrieb gesehen und halt sie auch von datenschutzrechtlichen Gesichtspunkten fuer zumindestens gefaehrlich.
Ich sehe ueberhaupt keine Notwendigkeit eines "Masterpasswortes". Wenn ich als Admin auf den Accountzugreifen muss dann setze ich das Passwort einfach zurueck und melde mich an. Wenn ich auf die Dateien zugreifen muss dann uebernehme ich einfach den Besitz.
Wenn es rechtmaessig ist dann kann ich das auch vor dem User vertreten der diese Aktionen ja mitbekommt.
Nein ich habe diese Option noch nicht im Betrieb gesehen und halt sie auch von datenschutzrechtlichen Gesichtspunkten fuer zumindestens gefaehrlich.
Ich sehe ueberhaupt keine Notwendigkeit eines "Masterpasswortes". Wenn ich als Admin auf den Accountzugreifen muss dann setze ich das Passwort einfach zurueck und melde mich an. Wenn ich auf die Dateien zugreifen muss dann uebernehme ich einfach den Besitz.
Wenn es rechtmaessig ist dann kann ich das auch vor dem User vertreten der diese Aktionen ja mitbekommt.
Hi Gagarin, ich meinte nicht Dich mit
@exellent - was stört Dich denn nun genau?
Welches Problem Du damit hast, solltest Du ruhig verdeutlichen
falls Du das dachtest. Sehe das wie Du. Dennoch kann jeder Admin sicher auch nachvollziehen, dass manchmal der Wunsch besteht, an einen Benutzerrechner, welcher gesperrt ist ranzugehen. Vor Vista gab es ja bei domänenangebundenen Rechnern nicht einmal die Möglichkeit, sich als Admin an einem gesperrten Rechner anzumelden, ohne den Benutzer abzumelden und somit evtl. dessen geöffnete Arbeit ungesichert zu schließen.@exellent - was stört Dich denn nun genau?
Moin Moin
Aber wenn du meinst: Setze für die Einrichtung alle User aufs gleiche Kennwort.
und wenn Ihr fertig seid, setzt ihr zusätzlich noch die Option "Kennwort bei der ersten Anmeldung ändern".
Das ist von keinem User zuviel verlangt (falls doch muss er ohne PC auskommen).
PS:
Es fällt mir schwer die beiden folgenden Zitate in Einklang zu bringen.
Gruß L.
Wenn die Rechner verteilt werden müssen darauf noch etliche Dinge im Profil eingestellt werden. NW-Drucker, Registryeinträge, Emailkonten, usw.
Das kennt wohl jeder von uns (der nicht mit servergespeicherten Profilen arbeitet).Mir ist schon bewusst, dass man diese Geschichten auch alle durchführen kann ohne sich mit dem Userprofil anmelden zu müssen
Ganz genau.- ist aber in diesem Fall ein extremer Mehraufwand.
Und das ist für mich nicht nachvollziebar.Aber wenn du meinst: Setze für die Einrichtung alle User aufs gleiche Kennwort.
und wenn Ihr fertig seid, setzt ihr zusätzlich noch die Option "Kennwort bei der ersten Anmeldung ändern".
Das ist von keinem User zuviel verlangt (falls doch muss er ohne PC auskommen).
ABER ihr müsst bedenken, dass es ein Krankenhaus ist und kein Mitarbeiter hier Ahnung von Computern, Netzwerk oder sonstwas hat.
Das geht naturlich nur Dir so. Meine Anwender sind alle Dr. der informatik. PS:
Es fällt mir schwer die beiden folgenden Zitate in Einklang zu bringen.
Natürlich habe ich die Sicherheitsstruktur des ADS begriffen..
... weil diese sich schon über Jahre mit dem gleichen Passwort anmelden...
Gruß L.
Grob gesagt kann man das mit den Scripten so ausdrücken:
http://www.siekermann.com/Mathematik/forum/graph06.JPG
y-Achse ist der Aufwand, x-Achse die Userzahl, die exponentiell steigende Kurve ist der manuelle Aufwand, die Wurzelkurve der Scriptaufwand.
Wir haben mit 80 Usern den Schnittpunkt der beiden Kurven schon lange überschritten.
Wie viel du dir aber antun willst musst du selbst bestimmen.
Tatsächlich wird es aber mit Skripts in der Praxis sehr viel leichter gehen, wenn du deine Domänenorganisation richtig gemacht hast. Besonders mit Gruppenrichtlinien, WMI und etwas VBScript lässt sich eigentlich alles leichter lösen.
Grüße
Max
http://www.siekermann.com/Mathematik/forum/graph06.JPG
y-Achse ist der Aufwand, x-Achse die Userzahl, die exponentiell steigende Kurve ist der manuelle Aufwand, die Wurzelkurve der Scriptaufwand.
Wir haben mit 80 Usern den Schnittpunkt der beiden Kurven schon lange überschritten.
Wie viel du dir aber antun willst musst du selbst bestimmen.
Tatsächlich wird es aber mit Skripts in der Praxis sehr viel leichter gehen, wenn du deine Domänenorganisation richtig gemacht hast. Besonders mit Gruppenrichtlinien, WMI und etwas VBScript lässt sich eigentlich alles leichter lösen.
Grüße
Max