Admin-Passwort für User-Account unter Windows nach Art Generalschlüssel?
Hallo liebe alle,
Frage: ist es by Design so blöd gelöst oder kann man das irgendwie umschiffen.
Problem: wir sollen häufig normalen Usern irgendwelche Einstellungen machen in Ihren Account unter Windows (10).
Allerdings betätigen die den Sperrbildschirm und gehen in die Kaffeepause. Gehen wir nämlich per Fernwartung drauf, haben wir keine andere Möglichkeit, als die User zu bitten zurückzukommen und ihr Passwort einzugeben oder danach zu fragen, was extrem blöd ist oder aber wir müssen deren Passwort ändern und ihnen dann das geändert Passwort mitteilen. Alles unnötiger Arbeitsaufwand, wenn vom System aus vorgesehen wäre, dass es eine Art Masterpasswort gibt, um in jeden Account reinzukommen.
Das normale Admin-Passwort oder ein Domain-Admin nutzt hier nämlich genau gar nichts, da man ja als der betreffende User einloggen muss für dessen Einstellungen.
LG,
Frage: ist es by Design so blöd gelöst oder kann man das irgendwie umschiffen.
Problem: wir sollen häufig normalen Usern irgendwelche Einstellungen machen in Ihren Account unter Windows (10).
Allerdings betätigen die den Sperrbildschirm und gehen in die Kaffeepause. Gehen wir nämlich per Fernwartung drauf, haben wir keine andere Möglichkeit, als die User zu bitten zurückzukommen und ihr Passwort einzugeben oder danach zu fragen, was extrem blöd ist oder aber wir müssen deren Passwort ändern und ihnen dann das geändert Passwort mitteilen. Alles unnötiger Arbeitsaufwand, wenn vom System aus vorgesehen wäre, dass es eine Art Masterpasswort gibt, um in jeden Account reinzukommen.
Das normale Admin-Passwort oder ein Domain-Admin nutzt hier nämlich genau gar nichts, da man ja als der betreffende User einloggen muss für dessen Einstellungen.
LG,
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 491067
Url: https://administrator.de/forum/admin-passwort-fuer-user-account-unter-windows-nach-art-generalschluessel-491067.html
Ausgedruckt am: 02.04.2025 um 07:04 Uhr
20 Kommentare
Neuester Kommentar
Moin.
Nein, das ist nicht vorgesehen in Windows. Deshalb verkaufen sich Tools wie diese: https://www.e-motional.com/ULAdmin.htm
Nein, das ist nicht vorgesehen in Windows. Deshalb verkaufen sich Tools wie diese: https://www.e-motional.com/ULAdmin.htm
Zitat von @holliknolli:
Frage: ist es by Design so blöd gelöst oder kann man das irgendwie umschiffen.
Frage: ist es by Design so blöd gelöst oder kann man das irgendwie umschiffen.
Moin,
Das ist nicht blöd, das ist so Absicht. Es soll nicht jeder Hinz und Kunz so tun können, als wäre er der User! Die Ansicht, daß man für alles einen "Nachschlüssel" haben muß ist "blöd". Wie würde es Dir gefallen, wenn die Leute bei Dir rumfurwehrken könnten, ohne daß Du das mitbekommst? Du willst doch auch nicht, daß Dein Vermieter jederzeit in die Wohnung latschen kann, ohne daß es abgesprochen wurde.
Also: Das ist so gewoltl und das ist auch gut so. Wenn Ihr das anders haben wollt, müßt Ihr den Mitarbeitern sagen, daß asich in der Pause abmelden müssen oder Ihr müßt die Paßwort zurücksetzen/neu setzen Methode anwenden.
Außerdem ist es ein unding, sich von den Mitarbeitern das Paßwort sagen zu lassen. Wäre ich Dein User, würde ich Cat9 an Dir ausprobieren.
Also:
Lebe damit und ändere die Organisationsabläufe so, daß Ihr das in den Griff bekommt.
lks
Moin.
Hatte das Tool zuletzt unter Vista/Win7 genutzt. Nö, unter Win10 funktioniert es hier im Test nicht, aber dieses läuft: https://www.blaser.us/software/winunlock/
Warum auch immer läuft die Clientvariante auch ohne Lizenz. Winkey+F7 am Anmeldescreendrücken und Sitzung übernehmen.
Hatte das Tool zuletzt unter Vista/Win7 genutzt. Nö, unter Win10 funktioniert es hier im Test nicht, aber dieses läuft: https://www.blaser.us/software/winunlock/
Warum auch immer läuft die Clientvariante auch ohne Lizenz. Winkey+F7 am Anmeldescreendrücken und Sitzung übernehmen.
Hab's mir weiter angesehen.
Sie läuft genau dann ohne Lizenz, wenn man die gesperrte Sitzung eines lokalen Konto mittels eines lokalen Kontos, welches Admin ist, entsperrt.
Will man die gesperrte Sitzung eines Domänenkontos entsperren, braucht man deren Serverinstallation, und die kostet 999US$ pro Domain und Jahr.
Sie läuft genau dann ohne Lizenz, wenn man die gesperrte Sitzung eines lokalen Konto mittels eines lokalen Kontos, welches Admin ist, entsperrt.
Will man die gesperrte Sitzung eines Domänenkontos entsperren, braucht man deren Serverinstallation, und die kostet 999US$ pro Domain und Jahr.
Hi
man setzt als Admin auch nicht manuell irgendwelche Optionen am User. Das erledigt man per Gruppenrichtlinien, Scripts, Registrykeys usw zentral.
In den seltenen Fällen, bei denen man auf die Usersession muss, muss der User so oder so am Rechner sein, denn es ist in einem ordentlichen Unternehmen nicht gestattet, das der Admin einfach die Session des Users übernimmt. Datenschutz, Privatspähre usw...
man setzt als Admin auch nicht manuell irgendwelche Optionen am User. Das erledigt man per Gruppenrichtlinien, Scripts, Registrykeys usw zentral.
In den seltenen Fällen, bei denen man auf die Usersession muss, muss der User so oder so am Rechner sein, denn es ist in einem ordentlichen Unternehmen nicht gestattet, das der Admin einfach die Session des Users übernimmt. Datenschutz, Privatspähre usw...
Du/Ihr macht das so, andere machen es anders.
Solange man das geregelt hat, und der Nutzer weiß, wer in seine Session kann, ist alles bestens mit so einer Entsperrsoftware.
GPOs und Skripte ersetzen keine Fehlerbehebung im Nutzerprofil und das Szenario "Nutzer gibt den Rechner für eine Stunde frei, sperrt ihn aber und verduftet" wird jeder Admin kennen.
Solange man das geregelt hat, und der Nutzer weiß, wer in seine Session kann, ist alles bestens mit so einer Entsperrsoftware.
GPOs und Skripte ersetzen keine Fehlerbehebung im Nutzerprofil und das Szenario "Nutzer gibt den Rechner für eine Stunde frei, sperrt ihn aber und verduftet" wird jeder Admin kennen.
Hallo @holliknolli,
ich verstehe deine Lage, allerdings ist es (wie die Kollegen schon gesagt haben) ein Unding,
sich ohne Wissens des Users sich als diese anzumelden.
Für Einstellungen die im Benutzerprofil gemacht werden müssen, gibt es folgende Möglichkeiten:
Meiner Meinung nach gibt es so gut wie nichts, was du nicht mit Gruppenrichtlinien erledigen könntest.
Egal ob Einstellungen gesetzt werden, ein Script läuft oder Registry Einträge verteilt werden.
Gruß joehuaba
ich verstehe deine Lage, allerdings ist es (wie die Kollegen schon gesagt haben) ein Unding,
sich ohne Wissens des Users sich als diese anzumelden.
Für Einstellungen die im Benutzerprofil gemacht werden müssen, gibt es folgende Möglichkeiten:
- Gruppenrichtlinien und/oder Windows Registry
- Softwareverteilung (SCCM / Empirum)
- Im Beisein des Users die Einstellungen vornehmen
Meiner Meinung nach gibt es so gut wie nichts, was du nicht mit Gruppenrichtlinien erledigen könntest.
Egal ob Einstellungen gesetzt werden, ein Script läuft oder Registry Einträge verteilt werden.
Gruß joehuaba
@holliknolli:
Hallo.
Wenn die sowieso mit Euch Kontakt herstellen, wenn sie irgendetwas wollen oder brauchen, warum sagt Ihr denen nicht gleich vorher das PWD (das Ihr ändert), das sie dann nach Ihrer Rückkehr verwenden können?
Ich mach' das jedenfalls so. Ich habe noch nie nach einem PWD gefragt und werde das auch niemals tun. Ich teil' den Leuten mit, daß ich in ihrem Account etwas tun muß und teile denen das PWD, auf das ich ändern werde, gleich mit. Das geht völlig reibungslos.
Viele Grüße
von
departure69
Hallo.
oder aber wir müssen deren Passwort ändern und ihnen dann das geändert Passwort mitteilen
Wenn die sowieso mit Euch Kontakt herstellen, wenn sie irgendetwas wollen oder brauchen, warum sagt Ihr denen nicht gleich vorher das PWD (das Ihr ändert), das sie dann nach Ihrer Rückkehr verwenden können?
Ich mach' das jedenfalls so. Ich habe noch nie nach einem PWD gefragt und werde das auch niemals tun. Ich teil' den Leuten mit, daß ich in ihrem Account etwas tun muß und teile denen das PWD, auf das ich ändern werde, gleich mit. Das geht völlig reibungslos.
Viele Grüße
von
departure69
Servus,
klar können wir als Admin (bei geändertem Passwort) auch ohne Wissen des Users auf dessen Account.
Mache ich aber nicht, denn
a) widerstrebt mir dies persönlich (würde ich als User auch nicht wollen),
b) geht so etwas m.E. aus Datenschutzgründen grundsätzlich nicht.
Der User kann mir bei meiner Fernwartung "schon über die Schulter schauen", was ich in seinem Account mache.
Gruß
klar können wir als Admin (bei geändertem Passwort) auch ohne Wissen des Users auf dessen Account.
Mache ich aber nicht, denn
a) widerstrebt mir dies persönlich (würde ich als User auch nicht wollen),
b) geht so etwas m.E. aus Datenschutzgründen grundsätzlich nicht.
Der User kann mir bei meiner Fernwartung "schon über die Schulter schauen", was ich in seinem Account mache.
Gruß
Hi
Aber irgendwo muss die Software die Einstellungen speichern. In der Regel ist das in der registry, einer text-config oÄ. Und dann kann man das auch per GPOs ändern.
Manche Ranzsoftware macht das auch in einem proprietären, nicht einfach von Menschen lesbaren Datei. Da wird's dann schwieriger. Aber auch das geht.
Wenn du uns den Namen der Software nennst und vielleicht auch die config dazu Mal bereitstellst, dann kann man sich das ja Mal ansehen.
Aber irgendwo muss die Software die Einstellungen speichern. In der Regel ist das in der registry, einer text-config oÄ. Und dann kann man das auch per GPOs ändern.
Manche Ranzsoftware macht das auch in einem proprietären, nicht einfach von Menschen lesbaren Datei. Da wird's dann schwieriger. Aber auch das geht.
Wenn du uns den Namen der Software nennst und vielleicht auch die config dazu Mal bereitstellst, dann kann man sich das ja Mal ansehen.
Zitat von @holliknolli:
Es sind individuelle Industrieroboter-Steuerungen. Die haben definitiv keine Registry-Einträge. Die haben - man höre und staune - CFG-Dateien! Sagt auch der Hersteller, dass hier nichts in der Registry konfiguriert wird.
Es sind individuelle Industrieroboter-Steuerungen. Die haben definitiv keine Registry-Einträge. Die haben - man höre und staune - CFG-Dateien! Sagt auch der Hersteller, dass hier nichts in der Registry konfiguriert wird.
Oh. Noch Programme aus der DOS und Win3.x-Zeit.
Dann sollte man die eigentlich recht einfach transplantieren können. Das größe Problem ist meist, herauszufinden, welche DLLs sie nutzen und ob die in der richtigen Version und im richtigen Verzeichnis vorliegen.
Wenn Du Glück hast, reicht es, einfach den Ordner zu kopieren, in dem der Schmonzes drin ist. Wenn Du Pech hast, haben die in dutzenden Verzeichissen irgendwelche Dateien verteilt.
lks
Ok aber auch das lässt sich ja zentral verteilen. Wenn die cfg datei für alle gleich ist, dann kannst du die ja einfach verteilen.
Wenn sich das pro User unterscheiden sollte, musst du ein Script laufen lassen, das die Datei entsprechend editiert.
Vielleicht verstehe ich das gerade falsch, aber du scheinst GPOs als Zentrale Verwaltung völlig abzulehnen. Nur warum? Es macht dir das Leben doch viel einfacher, wenn du nicht Turnschuhadmin spielen musst und zu den Plätzen laufen musst, da manuell irgendwas ändern, und das dann ggf bei zig weiteren Arbeitsplätzen wiederholen.
Jeder wie er es mag. Vielleicht gibt's ja auch berechtigte Gründe, warum das so nicht gemacht werden kann/soll, aber bisher sehe ich da keinen
Wenn sich das pro User unterscheiden sollte, musst du ein Script laufen lassen, das die Datei entsprechend editiert.
Vielleicht verstehe ich das gerade falsch, aber du scheinst GPOs als Zentrale Verwaltung völlig abzulehnen. Nur warum? Es macht dir das Leben doch viel einfacher, wenn du nicht Turnschuhadmin spielen musst und zu den Plätzen laufen musst, da manuell irgendwas ändern, und das dann ggf bei zig weiteren Arbeitsplätzen wiederholen.
Jeder wie er es mag. Vielleicht gibt's ja auch berechtigte Gründe, warum das so nicht gemacht werden kann/soll, aber bisher sehe ich da keinen
@holliknolli:
Das Snap-In "AD-Benutzer und -Computer" zu öffnen und das PWD zurückzusetzen, ist bei mir noch während des Telefonats binnen 30 Sekunden erledigt. Ich mach' das immer sofort, sage den Betroffenen noch im Gespräch, daß ich das nur innerhalb ihres persönlichen Accounts erledigen kann und teile das von mir geänderte PWD mit. Auch dann, wenn ich weiß, daß ich erst in 2 Tagen dazu komme.
Wenn einem das in Fleisch und Blut übergegangen ist (und das geht recht schnell), ist das überhaupt kein Problem.
Viele Grüße
von
departure69
Naja, ist leider nicht so, dass der User kommt und wir gleich alles liegen und stehen lassen und sich sofort seinem Wehwechen widmen können.
Das Snap-In "AD-Benutzer und -Computer" zu öffnen und das PWD zurückzusetzen, ist bei mir noch während des Telefonats binnen 30 Sekunden erledigt. Ich mach' das immer sofort, sage den Betroffenen noch im Gespräch, daß ich das nur innerhalb ihres persönlichen Accounts erledigen kann und teile das von mir geänderte PWD mit. Auch dann, wenn ich weiß, daß ich erst in 2 Tagen dazu komme.
Wenn einem das in Fleisch und Blut übergegangen ist (und das geht recht schnell), ist das überhaupt kein Problem.
Viele Grüße
von
departure69
@SeaStorm:
Es geht ja bei dieser Frage meines Erachtens prinzipiell nicht nur um irgendwelche Einstellungen, die man durchaus per GPO oder was auch immer irgendwie automatisieren/verteilen kann.
Manchmal braucht es einfach den uneingeschränkten Blick auf den Desktop des Users, um live sehen zu können, wie sich ein Programm, z. B. im Fehlerfall, verhält bzw. wie sich der Fehler dem User präsentiert. Vielleicht geht's gar nicht immer nur um irgendeine Einstellung, sondern der User macht was falsch, die dazu benötigten Eingaben und der Workflow sind aber sehr komplex?
Im Helpdesk ist das dann normalerweise irgendeine Fernwartung, bei der der User auf seinem eigenen Desktop dem Admin zusehen kann, was der tut. Wird's aber kniffliger und dauert länger, muß das halt auch mal in Abwesenheit des Users sein dürfen. Und dann geht es einfach nicht anders, ich muß mich dann mit dem Account des Users anmelden können.
Kommt bei uns nicht häufig, aber doch mehrmals pro Monat vor.
Viele Grüße
von
departure69
Es geht ja bei dieser Frage meines Erachtens prinzipiell nicht nur um irgendwelche Einstellungen, die man durchaus per GPO oder was auch immer irgendwie automatisieren/verteilen kann.
Manchmal braucht es einfach den uneingeschränkten Blick auf den Desktop des Users, um live sehen zu können, wie sich ein Programm, z. B. im Fehlerfall, verhält bzw. wie sich der Fehler dem User präsentiert. Vielleicht geht's gar nicht immer nur um irgendeine Einstellung, sondern der User macht was falsch, die dazu benötigten Eingaben und der Workflow sind aber sehr komplex?
Im Helpdesk ist das dann normalerweise irgendeine Fernwartung, bei der der User auf seinem eigenen Desktop dem Admin zusehen kann, was der tut. Wird's aber kniffliger und dauert länger, muß das halt auch mal in Abwesenheit des Users sein dürfen. Und dann geht es einfach nicht anders, ich muß mich dann mit dem Account des Users anmelden können.
Kommt bei uns nicht häufig, aber doch mehrmals pro Monat vor.
Viele Grüße
von
departure69
Klar gibt's die Situation. Ständig sogar. Aber da setzt man sich ja wirklich mit dem User zusammen, und wenn es per Remotezugang wie Teamviewer ist und guckt sich das Problem an.
Aber der TO eröffnete sein erstes Posting mit
Und darauf Antworte ich.
Aber der TO eröffnete sein erstes Posting mit
Problem: wir sollen häufig normalen Usern irgendwelche Einstellungen machen in Ihren Account unter Windows (10).
Allerdings betätigen die den Sperrbildschirm und gehen in die Kaffeepause
Allerdings betätigen die den Sperrbildschirm und gehen in die Kaffeepause
Und darauf Antworte ich.