exellent
Goto Top

Active Directory - Masterpasswort für alle Benutzer

Hallo Zusammen,

ihr kennt es alle, jeder User hat sein eigenes Passwort - Als Administrator ist es somit unmöglich sich jedes einzelne Kennwort zu merken.

Wie löst ihr dieses Problem ? Gibt es irgendeine Art von Plug-In für das ADS um global für alle User ein "Masterpasswort" (also quasi ein zweites Passwort, zusätzlich zum Userpasswort) zu vergeben ?

Vielen Dank für eure Hilfe

Content-ID: 106431

Url: https://administrator.de/forum/active-directory-masterpasswort-fuer-alle-benutzer-106431.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

60730
60730 19.01.2009 um 10:31:46 Uhr
Goto Top
Servus,

ihr kennt es alle, jeder User hat sein eigenes Passwort
und das ist auch vollkommen richtig so.
Als Administrator ist es somit unmöglich sich jedes einzelne Kennwort zu merken.
Ja und mein Personalchef kann sich auch nicht meine PIN von meiner EC Karte merken, weil Ihn die genausowenig angeht wie mich / einen Admin das Passwort eines Benutzers.

Zum Thema Passwort da gibt es nicht viel zu sagen, außer dass Sie wie ein Passport - benutzerbezogen sind.
Und das es ein Kündigungsgrund sein kann, wenn sich "fremde" mit Benutzerkennungen anmelden, die Ihnen nicht gehören.
Und da ist der Admin ganz sicher keine Ausnahme.

Gruß
dog
dog 19.01.2009 um 10:32:34 Uhr
Goto Top
Wie löst ihr dieses Problem ?

Garnicht. Jeder Benutzer soll ruhig sein eigenes Kennwort haben.
Als Administrator komme ich immer an alle Dateien der Benutzer und wenn ich auf das Konto zugreifen will (was nur nach Einwilligung der User passiert) setzte ich einfach das Passwort zurück - danach kann der Benutzer es ja wieder ändern.
Ich finde das am fairsten gegenüber den Usern, weil sie dann auch mitbekommen, wenn man etwas geändert hat.
Der rechtliche Aspekt ist hier erstmal Außen vor gelassen.

Grüße

Max
60730
60730 19.01.2009 um 10:41:10 Uhr
Goto Top
Zitat von @dog:
wenn ich auf das Konto zugreifen will setzte ich einfach das Passwort
zurück - danach kann der Benutzer es ja wieder ändern.

VETO
Wenn es einen berechtigten Grund dafür gibt, dass Passworte zurückgesetzt werden, dann nur mit schriftlicher "Einladung"!

Ich finde das am fairsten gegenüber den Usern, weil sie dann
auch mitbekommen, wenn man etwas geändert hat.
Der rechtliche Aspekt ist hier erstmal Außen vor gelassen.

Grüße

Max
dog
dog 19.01.2009 um 10:57:36 Uhr
Goto Top
Wenn es einen berechtigten Grund dafür gibt, dass Passworte zurückgesetzt werden, dann nur mit schriftlicher "Einladung"!

...wenn ich auf das Konto zugreifen will (was nur nach Einwilligung der User passiert) setzte ich einfach das Passwort zurück..

face-smile
Gagarin
Gagarin 19.01.2009 um 13:35:57 Uhr
Goto Top
Da scheint jemand die Grundlagen der Sicherheitstruktur des ADs nicht verstanden zu haben. Es wirklich schon sehr grenzwertig welche Leute an eine AD zum administrieren von Sicherheitseinstellung ran gelassen werden.

RTFM!
DerWoWusste
DerWoWusste 19.01.2009 um 21:48:13 Uhr
Goto Top
Welches Problem Du damit hast, solltest Du ruhig verdeutlichen - ich sehe es nicht.
Zum Thema Masterkennwort bin ich mal auf etwas Interessantes gestoßen, was ich auch schon in diversen Foren jeweils erfolglos gefragt habe. Es paßt hier sehr schön rein. Wovon spricht Microsoft hier bloß?
http://support.microsoft.com/kb/839009, quote: "CSC synchronization adds a Setup option in the Unlock Computer dialog box. The Setup option permits local administrators to use their local administrator credentials to access the environment of the account that is currently logged-on without using the password for that account. "

Und bitte: dies ist kein, ich wiederhole, KEIN behobenes Problem, es ist gewolltes Verhalten. Der zu dem Artikel gehörende Patch korrigiert lediglich einen Fehler in diesem Feature, das lokalen Admins vorher ermöglicht hatte, Sessions von Domänenadmins aufzusperren.

Hat jemand schonmal irgendwo diese ominöse "Setup option in the Unlock Computer dialog box" gesehen?
Gagarin
Gagarin 20.01.2009 um 09:03:19 Uhr
Goto Top
@DerWoWusste

Nein ich habe diese Option noch nicht im Betrieb gesehen und halt sie auch von datenschutzrechtlichen Gesichtspunkten fuer zumindestens gefaehrlich.

Ich sehe ueberhaupt keine Notwendigkeit eines "Masterpasswortes". Wenn ich als Admin auf den Accountzugreifen muss dann setze ich das Passwort einfach zurueck und melde mich an. Wenn ich auf die Dateien zugreifen muss dann uebernehme ich einfach den Besitz.

Wenn es rechtmaessig ist dann kann ich das auch vor dem User vertreten der diese Aktionen ja mitbekommt.
DerWoWusste
DerWoWusste 20.01.2009 um 23:44:27 Uhr
Goto Top
Hi Gagarin, ich meinte nicht Dich mit
Welches Problem Du damit hast, solltest Du ruhig verdeutlichen
falls Du das dachtest. Sehe das wie Du. Dennoch kann jeder Admin sicher auch nachvollziehen, dass manchmal der Wunsch besteht, an einen Benutzerrechner, welcher gesperrt ist ranzugehen. Vor Vista gab es ja bei domänenangebundenen Rechnern nicht einmal die Möglichkeit, sich als Admin an einem gesperrten Rechner anzumelden, ohne den Benutzer abzumelden und somit evtl. dessen geöffnete Arbeit ungesichert zu schließen.
@exellent - was stört Dich denn nun genau?
exellent
exellent 21.01.2009 um 07:13:58 Uhr
Goto Top
Natürlich habe ich die Sicherheitsstruktur des ADS begriffen...Musst nicht gleich so ausfallend werden

Also folgender Sachverhalt..Ich arbeite in einem Krankenhaus mit ca. 200 Rechnern / Usern. In ein paar Wochen werden alle Rechner ausgetauscht. Sprich es kommen Neue. Das ist notwendig wegen eines Releasewechsels im Krankenhausinformationssystem. (Läuft künftig nur noch auf Win XP Rechnern, aktuell stehen überall Win2000 Rechner) Die Rechner sind alle fertig geclont usw. Wenn die Rechner verteilt werden müssen darauf noch etliche Dinge im Profil eingestellt werden. NW-Drucker, Registryeinträge, Emailkonten, usw. Mir ist schon bewusst, dass man diese Geschichten auch alle durchführen kann ohne sich mit dem Userprofil anmelden zu müssen - ist aber in diesem Fall ein extremer Mehraufwand.

PS : Wir betreiben hier auch eine Fernwartung per VNC. Jeder User weiss das und wir sind berechtigt uns zu Wartungszwecke aufzuwählen. Jeder Benutzer musste dazu einen Wisch unterschreiben und damit einverstanden sein. Bei den Passwörter ist es ähnlich - Dort wird im Zuge der Rechneraustausch-Aktion ein Rundschreiben verteilt, dass sich die Administratoren zu Einrichtungszwecken mit dessen Profil anmelden müssen. Passwörter ändern wäre im Prinzip kein Problem __ABER__ ihr müsst bedenken, dass es ein Krankenhaus ist und kein Mitarbeiter hier Ahnung von Computern, Netzwerk oder sonstwas hat. Wenn ich dann die Passwörter ändern würde, hatte ich die Pappenheimer alle auf der Matte stehen weil diese sich schon über Jahre mit dem gleichen Passwort anmelden und wenn es dann auf einmal geändert wird........

Deswegen kam mir die Frage mit dem Masterpasswort auf.

Danke für's Lesen
Logan000
Logan000 21.01.2009 um 08:22:19 Uhr
Goto Top
Moin Moin

Wenn die Rechner verteilt werden müssen darauf noch etliche Dinge im Profil eingestellt werden. NW-Drucker, Registryeinträge, Emailkonten, usw.
Das kennt wohl jeder von uns (der nicht mit servergespeicherten Profilen arbeitet).

Mir ist schon bewusst, dass man diese Geschichten auch alle durchführen kann ohne sich mit dem Userprofil anmelden zu müssen
Ganz genau.
- ist aber in diesem Fall ein extremer Mehraufwand.
Und das ist für mich nicht nachvollziebar.

Aber wenn du meinst: Setze für die Einrichtung alle User aufs gleiche Kennwort.
und wenn Ihr fertig seid, setzt ihr zusätzlich noch die Option "Kennwort bei der ersten Anmeldung ändern".
Das ist von keinem User zuviel verlangt (falls doch muss er ohne PC auskommen).

ABER ihr müsst bedenken, dass es ein Krankenhaus ist und kein Mitarbeiter hier Ahnung von Computern, Netzwerk oder sonstwas hat.
Das geht naturlich nur Dir so. Meine Anwender sind alle Dr. der informatik. face-wink

PS:
Es fällt mir schwer die beiden folgenden Zitate in Einklang zu bringen.
Natürlich habe ich die Sicherheitsstruktur des ADS begriffen..

... weil diese sich schon über Jahre mit dem gleichen Passwort anmelden...


Gruß L.
exellent
exellent 21.01.2009 um 08:40:42 Uhr
Goto Top
1. Profile sind servergespeichert

2. Ok, klar kann ich in jedes Profil die nötigen Informationen einpflegen indem ich die ntuser.dat bearbeite oder wie auch immer..Da jeder User aber andere Einstellungen und Optionen besitzt, kann ich kein autom. Script o.ä. erstellen. Daher ist es einfacher das Userprofil anzumelden, die Einstellungen in dem Profil zu tätigen und das war es.

3. Oh doch, den Fall hatten wir hier schonmal. Also Kennwort bei Erstanmeldung ändern = Chaos!..Ein weiteres Problem ist es auch, dass mehrere Benutzer mit einem Profil arbeiten (Ein Bereich = mehrere Nutzer..Also mit Profil "Endoskopie" arbeiten dann z.B. 5 User). Wenn dort jemand ein Kennwort ändert und es (wie so oft) nicht an die übrigen Mitarbeiter weitergibt, die mit dem Profil arbeiten, dann gibt es wieder Chaos.

4. Es gibt hier 2 Arbeiten von Profilen..Einmal die für die Stationen, dort bleibt das Kennwort schon seit Jahren bestehen da sich darin auch keine "Informationen" befinden sondern die User melden sich nur an, starten das KIS und das wars. Die Rechte sind auch sehr, sehr eingeschränkt. Dann gibt es noch die "richtigen" User in dessen Profilen sich auch sensible Daten bzw. Rechte befinden..Dort gibt es natürlich Kennwortvorgaben und dieses Kennwort muss natürlich auch regelmäßig gewechselt werden, es existiert eine Chronik damit nicht immer das gleiche Kennwort genommen wird usw.

Mehr möchte ich auch gar nicht erklären..Mir wäre es lieber wenn jemand eine Idee hätte, die mir weiterhilft. Grundsatzdiskussionen bringen mich momentan auch nicht weiter.

Thx face-smile
dog
dog 21.01.2009 um 09:17:06 Uhr
Goto Top
Grob gesagt kann man das mit den Scripten so ausdrücken:

http://www.siekermann.com/Mathematik/forum/graph06.JPG

y-Achse ist der Aufwand, x-Achse die Userzahl, die exponentiell steigende Kurve ist der manuelle Aufwand, die Wurzelkurve der Scriptaufwand.
Wir haben mit 80 Usern den Schnittpunkt der beiden Kurven schon lange überschritten.
Wie viel du dir aber antun willst musst du selbst bestimmen.

Tatsächlich wird es aber mit Skripts in der Praxis sehr viel leichter gehen, wenn du deine Domänenorganisation richtig gemacht hast. Besonders mit Gruppenrichtlinien, WMI und etwas VBScript lässt sich eigentlich alles leichter lösen.

Grüße

Max