chriscar
Goto Top

Benutzerkonto zurücksetzen (i.S.v. benutzerspezifische Daten löschen)

Moin!

Für einen Verein, der jungen Menschen bei Jobsuche und Bewerbungen hilft, möchte ich mehrere Laptops (Windows 10 Home) so einrichten, dass die Laptops an externe Personen ausgeliehen und nach der Rückgabe möglichst einfach wieder auf den Zustand zurückgesetzt werden können, den die Laptops vor der Ausleihe hatten.

Folgendes habe ich mir überlegt:

  • Auf jedem Laptop werden drei Benutzerkonten mit vorgegebenen Kennwörtern angelegt (mehrere Konten deshalb, damit man den Laptop nicht sofort nach der Rückgabe zurücksetzen muss, bevor man ihn an eine weitere Person verleiht).
  • Ein Laptop wird dann, zusammen mit Benutzerkonto und Kennwort, an einen jungen Menschen verliehen. Diese Person verwendet dann den Laptop mehrere Tage daheim, um z.B. Bewerbungen zu schreiben, im Internet zu surfen, E-Mails im Browser zu bearbeiten u.ä.
  • Wenn der Laptop an den Verein zurückgegeben wird, dann wird entweder das verwendete Benutzerkonto gleich wieder zurückgesetzt (ich stelle mir da ein PowerShell-Skript vor, um diese Aufgabe zu erledigen) oder - wenn mal wenig Zeit ist oder kein anderer Laptop zur Verfügung steht - der Laptop wird mit einem anderen Benutzernamen und Kennwort an eine andere Person verliehen.

Die Idee, für jeden Laptop ein Festplatten-Image zu erstellen und anschließend wieder einzuspielen, fällt meiner Meinung nach raus, weil man jeden Monat neue Images erstellen müsste, um die Laptops auf einem aktuellen Stand zu halten, was Updates betrifft.

Wie würdet Ihr das machen?

Content-ID: 666667

Url: https://administrator.de/forum/benutzerkonto-zuruecksetzen-i-s-v-benutzerspezifische-daten-loeschen-666667.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

Doskias
Doskias 12.05.2021 um 14:13:55 Uhr
Goto Top
Moin,

Was spricht dagegen einfach das Benutzerkonto zu löschen und neu anzulegen?

Gruß
Doskias
Archeon
Archeon 12.05.2021 um 14:18:23 Uhr
Goto Top
Zitat von @Doskias:
Was spricht dagegen einfach das Benutzerkonto zu löschen und neu anzulegen?
Das wäre mir zu unsicher, gerade wenn personenbezogene Daten auf den Geräten sind, würde ich die so nicht einfach wieder an den nächsten herausgeben, die würde ich vorher auf einen definierten Stand zurücksetzen.
chriscar
chriscar 12.05.2021 um 14:19:43 Uhr
Goto Top
Hi Doskias,
ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Gruß
Carsten
VGem-e
VGem-e 12.05.2021 um 14:31:23 Uhr
Goto Top
Servus,

gibt es da nicht die mandatory profiles (verbindliche Benutzerprofile) als Möglichkeit, siehe z.B. https://docs.microsoft.com/de-de/windows/client-management/mandatory-use ..?

Gruß
Doskias
Doskias 12.05.2021 um 14:39:07 Uhr
Goto Top
Zitat von @Doskias:
Was spricht dagegen einfach das Benutzerkonto zu löschen und neu anzulegen?
Das wäre mir zu unsicher, gerade wenn personenbezogene Daten auf den Geräten sind, würde ich die so nicht einfach wieder an den nächsten herausgeben, die würde ich vorher auf einen definierten Stand zurücksetzen.

Für mich zählt da auch drunter, dass der Ordner unter c:\Users\ gelöscht wird. @chriscar schreibt doch selbst:
Auf jedem Laptop werden drei Benutzerkonten mit vorgegebenen Kennwörtern angelegt (mehrere Konten deshalb, damit man den Laptop nicht sofort nach der Rückgabe zurücksetzen muss, bevor man ihn an eine weitere Person verleiht).
Geht also nicht darum jedes Mal in einen bestimmten Zustand zurück zu kommen, sondern wirklich nur um die Benutzerprofile. Du kannst nicht verhindern, dass die Leute Ihre Daten unter C:\Temp oder sonst wo speichern. Doch, ja, ich weiß. Mit den richtigen Einstellungen kann man das verhindern face-wink

Zitat von @chriscar:
ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Das ist verständlich, aber einen Tod wirst du sterben müssen. Wenn du die lokalen Profile sauber aufräumst, dann wirst du an den Fragen nicht herumkommen. Wenn du "nur" die Daten löscht (zum Beispiel aus c:\Users\) dann wird immer irgendwo (auch in der Registry) ein Rest bleiben.

Die Image-Option hast du ja bereits ausgeschlossen. Du musst dich halt unterm Strich entscheiden: Weniger Aufwand hat immer die Gefahr, dass benutzerbezogene Daten zurückbleiben. Viel Aufwand ist halt viel Aufwand face-wink

Gruß
Doskias
chriscar
chriscar 12.05.2021 um 14:40:52 Uhr
Goto Top
Zitat von @VGem-e:
gibt es da nicht die mandatory profiles (verbindliche Benutzerprofile)
Guter Tipp! Ich werde mal ausprobieren, ob das auch mit Windows 10 Home funktioniert. Was passiert mit Dateien, die man während der Benutzung z.B. auf dem Desktop speichert, wenn man sich wieder abmeldet?
Doskias
Doskias 12.05.2021 um 14:42:53 Uhr
Goto Top
Hallo VGem-e

gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt. Zum anderen (korrigiere mich bitte falls ich falsch liege), werden mandaroty Profiles bei jeder Anmeldung vom Netzlaufwerk zurückgeschrieben. Und wenn der Laptop mehrere tage ausgeliehen ist, dann würde (Netzwerk Anbindung vorausgesetzt) das Profil jeden Tag aufs neue gelöscht werden und nicht erst bei der Rückgabe des Laptops. Allerdings weiß ich nicht ob Mandatory Profile überhaupt außerhalb des Netzwerkes eine Anmeldung ermöglichen.

Gruß
Doskias
Archeon
Archeon 12.05.2021 um 14:44:16 Uhr
Goto Top
Zitat von @Doskias:
gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt.
Selbst wenn diese vorhanden wäre, eine Home Version wirst du da nicht ran bekommen ;)
Doskias
Doskias 12.05.2021 um 14:49:20 Uhr
Goto Top
Zitat von @chriscar:

Zitat von @VGem-e:
gibt es da nicht die mandatory profiles (verbindliche Benutzerprofile)
Guter Tipp! Ich werde mal ausprobieren, ob das auch mit Windows 10 Home funktioniert.
Laut MS benötigst du Windows 10 Pro

Was passiert mit Dateien, die man während der Benutzung z.B. auf dem Desktop speichert, wenn man sich wieder abmeldet?
Beim Abmelden wohl nichts, aber bei der nächsten Anmeldung wird das leere Profil vom Server geladen und die Daten sind weg.
mbehrens
mbehrens 12.05.2021 um 14:51:27 Uhr
Goto Top
Zitat von @chriscar:

Für einen Verein, der jungen Menschen bei Jobsuche und Bewerbungen hilft, möchte ich mehrere Laptops (Windows 10 Home) so einrichten, dass die Laptops an externe Personen ausgeliehen und nach der Rückgabe möglichst einfach wieder auf den Zustand zurückgesetzt werden können, den die Laptops vor der Ausleihe hatten.

[...]

* Ein Laptop wird dann, zusammen mit Benutzerkonto und Kennwort, an einen jungen Menschen verliehen. Diese Person verwendet dann den Laptop mehrere Tage daheim, um z.B. Bewerbungen zu schreiben, im Internet zu surfen, E-Mails im Browser zu bearbeiten u.ä.

[...]

Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
chriscar
chriscar 12.05.2021 um 15:00:11 Uhr
Goto Top
Zitat von @Doskias:
Für mich zählt da auch drunter, dass der Ordner unter c:\Users\ gelöscht wird.
Vermutlich meinst Du den Ordner C:\Users\%USERNAME%. Ich nehme an, dass nach dem Löschen dieses Ordners die Prozedur, die nach dem ersten Anmelden eines neuen Benutzerkontos abläuft, erneut durchlaufen werden muss.

Geht also nicht darum jedes Mal in einen bestimmten Zustand zurück zu kommen, sondern wirklich nur um die Benutzerprofile.
Schön wäre es natürlich, wenn z.B. bestimmte Programm-Icons oder Verknüpfungen (z.B. zu einer Info-Datei) gleich wieder vorhanden wären. Das könnte man natürlich über den All-Users-Desktop regeln.

Zitat von @chriscar:
ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Das ist verständlich, aber einen Tod wirst du sterben müssen. Wenn du die lokalen Profile sauber aufräumst, dann wirst du an den Fragen nicht herumkommen. Wenn du "nur" die Daten löscht (zum Beispiel aus c:\Users\) dann wird immer irgendwo (auch in der Registry) ein Rest bleiben.
Die "Reste" bereiten mir auch Kopfzerbrechen. Cache-Verzeichnisse und anderes, was irgendwelche Apps, von denen man zum Übergabezeitpunkt noch gar nichts ahnt, evtl. anlegen... Einigermaßen sauber wäre es wohl nur durch Löschen von C:\Users\%USERNAME% hinzubekommen.

Die Image-Option hast du ja bereits ausgeschlossen.
Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.

Mit PowerShell kann man ja u.a. Benutzerkonten anlegen. Ich habe mir das so vorgestellt, dass man mit einem PowerShell-Skript nicht nur die Konten anlegen, sondern auch den ganzen Fragenkatalog nach dem Anmelden überspringen bzw. mit Standards beantworten kann. Soweit reichen die Möglichkeiten von PowerShell aber offenbar nicht.

Du musst dich halt unterm Strich entscheiden: Weniger Aufwand hat immer die Gefahr, dass benutzerbezogene Daten zurückbleiben. Viel Aufwand ist halt viel Aufwand face-wink
Ja. Ich muss mal mit den Verantwortlichen klären, wieviel Aufwand vertretbar ist (vermutlich lautet die Antwort "So wenig wie möglich!" face-wink ).
Archeon
Archeon 12.05.2021 um 15:02:32 Uhr
Goto Top
Zitat von @mbehrens:
Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
So sehe ich das auch, gerade wenn da Bewerbungen und Co. drauf geschrieben werden, ein NoGo.

Zitat von @chriscar:
Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.
Dann besorg baugleiche Geräte und du brauchst nur immer eines aktuell halten und verteilst dann das Image auf die anderen.
chriscar
chriscar 12.05.2021 um 15:14:45 Uhr
Goto Top
Zitat von @Archeon:

Zitat von @mbehrens:
Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
So sehe ich das auch, gerade wenn da Bewerbungen und Co. drauf geschrieben werden, ein NoGo.
Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.

Zitat von @chriscar:
Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.
Dann besorg baugleiche Geräte und du brauchst nur immer eines aktuell halten und verteilst dann das Image auf die anderen.
Die Geräte sind glücklicherweise baugleich. Aber was ist mit der Aktivierung? Orientiert sich Windows an den Daten aus dem Image oder an rechnerspezifischen Eigenschaften (MAC-Adresse etc.)?
Archeon
Archeon 12.05.2021 um 15:16:34 Uhr
Goto Top
Zitat von @chriscar:
Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.
Die brauchen dann aber Admin Rechte, wenn sie die Profile löschen sollen, das klingt mir alles nicht wirklich durchdacht muss ich sagen.

Zitat von @chriscar:
Die Geräte sind glücklicherweise baugleich. Aber was ist mit der Aktivierung? Orientiert sich Windows an den Daten aus dem Image oder an rechnerspezifischen Eigenschaften (MAC-Adresse etc.)?
Die Geräte sind doch BIOS aktiviert, wenn wir über aktuelle sprechen.
chriscar
chriscar 12.05.2021 um 15:16:35 Uhr
Goto Top
Zitat von @Doskias:
Laut MS benötigst du Windows 10 Pro
Das habe ich auch vermutet, als ich in dem verlinkten Artikel von "roaming profiles" und "Active Directory" las.
chriscar
chriscar 12.05.2021 um 15:23:44 Uhr
Goto Top
Zitat von @Archeon:
Zitat von @chriscar:
Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.
Die brauchen dann aber Admin Rechte, wenn sie die Profile löschen sollen, das klingt mir alles nicht wirklich durchdacht muss ich sagen.
Die Verantwortlichen würden sich an den Laptops mit einem Admin-Konto anmelden, so dass sie z.B. ein Skript starten könnten, mit dem die Profile der "fremden" Benutzer gesäubert oder gelöscht werden. "Nicht wirklich durchdacht" - na, eben das wollte ich mit meiner Ausgangsfragestellung zum Besseren bringen face-smile

Die Geräte sind glücklicherweise baugleich. Aber was ist mit der Aktivierung? Orientiert sich Windows an den Daten aus dem Image oder an rechnerspezifischen Eigenschaften (MAC-Adresse etc.)?
Die Geräte sind doch BIOS aktiviert, wenn wir über aktuelle sprechen.
Die Geräte sind neu (Laptops von HP, vermutlich recht günstige Modelle, wenn ich Haptik und Displayqualität als Kriterium heranziehe).
Archeon
Archeon 12.05.2021 um 15:26:21 Uhr
Goto Top
Von der Sache mit den Adminrechten für die Benutzer halte ich rein gar nichts, mach das lieber vernünftig und mit einem anständigen Konzept oder ihr werdet vermutlich früher später mal Probleme bekommen.
chriscar
chriscar 12.05.2021 um 15:38:09 Uhr
Goto Top
Zitat von @Archeon:

Von der Sache mit den Adminrechten für die Benutzer halte ich rein gar nichts, mach das lieber vernünftig und mit einem anständigen Konzept oder ihr werdet vermutlich früher später mal Probleme bekommen.
Der Verein hat ein Büro, das aus einem großen Raum besteht. Dort beraten sie Jugendliche bzw. junge Leute. Es gibt dort WLAN, einen WLAN-fähigen Drucker und die zwei, drei festen Mitarbeiterinnen haben jeweils einen Laptop, ebenfalls per WLAN angebunden. Als Server fungiert eine Synology DiskStation. Die Ressourcen sind arg begrenzt. Was würdest Du in dieser Konstellation als "vernünftig" bezeichnen?
Archeon
Archeon 12.05.2021 um 15:48:13 Uhr
Goto Top
Ich denke die günstigste Variante wäre händisch eine Sicherung auf eine externe Platte oder das NAS zu schieben und das dann zurückzusichern.
DivideByZero
DivideByZero 12.05.2021 um 22:34:28 Uhr
Goto Top
Der Verein hat ein Büro, das aus einem großen Raum besteht. Dort beraten sie Jugendliche bzw. junge Leute. Es gibt dort WLAN, einen WLAN-fähigen Drucker und die zwei, drei festen Mitarbeiterinnen haben jeweils einen Laptop, ebenfalls per WLAN angebunden. Als Server fungiert eine Synology DiskStation. Die Ressourcen sind arg begrenzt. Was würdest Du in dieser Konstellation als "vernünftig" bezeichnen?

Was für eine Synology ist das? Ist sie Intel-basiert, so dass das Paket Active Backup for Business läuft? Dann würde ich Images mit dem Agent ziehen, ein Wiederherstellungsmedium je Laptop (USB-Stick) erstellen, Bootreihenfolge ändern (so dass immer vom USB-Stick gebootet wird).

Kommt der Laptop zurück, dann im LAN anschließen (über WLAN mal testen, wie lange das dauert), USB-Stick dran, booten vom USB-Stick, dann läuft die Wiederherstellung aus dem Image durch, fertig.

Mehr dazu bspw. unter https://www.synology.com/de-de/knowledgebase/DSM/help/ActiveBackup/activ ....

Natürlich ist damit der Aufwand der regelmäßigen Aktualisierung des Images verbunden (Restore durchführen (damit nichts Unbekanntes mehr aktiv ist), Updates einspielen, neues Image erstellen), doch halte ich das für unerlässlich. Auch ehrenwerte Unterstützung schützt nicht davor, dass es sonst massive DSGVO-Verstöße gibt, die sonst richtig Geld kosten könnten. Denn gerade Bewerbungsdaten sind besonders schützenswerte personenbezogene Daten, die nur dadurch gesichert vom Laptop kommen, indem alles überschrieben wird.

Partielles Löschen ist schlicht ungeeignet, da kann man noch so schöne Skripte schreiben, da Du gar nicht weißt, was die Entleiher für Software einsetzen (ggf. neu installieren) und wo sie Daten speichern.

Davon abgesehen, solltest Du auch im Eigeninteresse jeden Laptop, der zurück kommt, als verdächtig behandeln, da dort schlicht auch Trojaner, Viren, Ransomware aktiv sein können und sonst in Dein WLAN eingeschleppt werden.

Den Aufwand für Automatisierung solltest Du daher in den "Update-Tag" stecken, wenn also die Laptops auf den aktuellen Stand gebracht werden (sinnigerweise kurz nach dem MS Patchday). Dazu prüfen, welche Standardsoftware Du vorab installierst und dann schauen, wie dort der Updatemechanismus getriggert werden kann.