20
Benutzerkonto zurücksetzen (i.S.v. benutzerspezifische Daten löschen)
Moin!
Für einen Verein, der jungen Menschen bei Jobsuche und Bewerbungen hilft, möchte ich mehrere Laptops (Windows 10 Home) so einrichten, dass die Laptops an externe Personen ausgeliehen und nach der Rückgabe möglichst einfach wieder auf den Zustand zurückgesetzt werden können, den die Laptops vor der Ausleihe hatten.
Folgendes habe ich mir überlegt:
Die Idee, für jeden Laptop ein Festplatten-Image zu erstellen und anschließend wieder einzuspielen, fällt meiner Meinung nach raus, weil man jeden Monat neue Images erstellen müsste, um die Laptops auf einem aktuellen Stand zu halten, was Updates betrifft.
Wie würdet Ihr das machen?
Für einen Verein, der jungen Menschen bei Jobsuche und Bewerbungen hilft, möchte ich mehrere Laptops (Windows 10 Home) so einrichten, dass die Laptops an externe Personen ausgeliehen und nach der Rückgabe möglichst einfach wieder auf den Zustand zurückgesetzt werden können, den die Laptops vor der Ausleihe hatten.
Folgendes habe ich mir überlegt:
- Auf jedem Laptop werden drei Benutzerkonten mit vorgegebenen Kennwörtern angelegt (mehrere Konten deshalb, damit man den Laptop nicht sofort nach der Rückgabe zurücksetzen muss, bevor man ihn an eine weitere Person verleiht).
- Ein Laptop wird dann, zusammen mit Benutzerkonto und Kennwort, an einen jungen Menschen verliehen. Diese Person verwendet dann den Laptop mehrere Tage daheim, um z.B. Bewerbungen zu schreiben, im Internet zu surfen, E-Mails im Browser zu bearbeiten u.ä.
- Wenn der Laptop an den Verein zurückgegeben wird, dann wird entweder das verwendete Benutzerkonto gleich wieder zurückgesetzt (ich stelle mir da ein PowerShell-Skript vor, um diese Aufgabe zu erledigen) oder - wenn mal wenig Zeit ist oder kein anderer Laptop zur Verfügung steht - der Laptop wird mit einem anderen Benutzernamen und Kennwort an eine andere Person verliehen.
Die Idee, für jeden Laptop ein Festplatten-Image zu erstellen und anschließend wieder einzuspielen, fällt meiner Meinung nach raus, weil man jeden Monat neue Images erstellen müsste, um die Laptops auf einem aktuellen Stand zu halten, was Updates betrifft.
Wie würdet Ihr das machen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666667
Url: https://administrator.de/contentid/666667
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
20 Kommentare
Neuester Kommentar
Moin,
Was spricht dagegen einfach das Benutzerkonto zu löschen und neu anzulegen?
Gruß
Doskias
Was spricht dagegen einfach das Benutzerkonto zu löschen und neu anzulegen?
Gruß
Doskias
Das wäre mir zu unsicher, gerade wenn personenbezogene Daten auf den Geräten sind, würde ich die so nicht einfach wieder an den nächsten herausgeben, die würde ich vorher auf einen definierten Stand zurücksetzen.
Hi Doskias,
ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Gruß
Carsten
ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Gruß
Carsten
Servus,
gibt es da nicht die mandatory profiles (verbindliche Benutzerprofile) als Möglichkeit, siehe z.B. https://docs.microsoft.com/de-de/windows/client-management/mandatory-use ..?
Gruß
gibt es da nicht die mandatory profiles (verbindliche Benutzerprofile) als Möglichkeit, siehe z.B. https://docs.microsoft.com/de-de/windows/client-management/mandatory-use ..?
Gruß
1 Das wäre mir zu unsicher, gerade wenn personenbezogene Daten auf den Geräten sind, würde ich die so nicht einfach wieder an den nächsten herausgeben, die würde ich vorher auf einen definierten Stand zurücksetzen.
Für mich zählt da auch drunter, dass der Ordner unter c:\Users\ gelöscht wird. @chriscar schreibt doch selbst:
Auf jedem Laptop werden drei Benutzerkonten mit vorgegebenen Kennwörtern angelegt (mehrere Konten deshalb, damit man den Laptop nicht sofort nach der Rückgabe zurücksetzen muss, bevor man ihn an eine weitere Person verleiht).
Geht also nicht darum jedes Mal in einen bestimmten Zustand zurück zu kommen, sondern wirklich nur um die Benutzerprofile. Du kannst nicht verhindern, dass die Leute Ihre Daten unter C:\Temp oder sonst wo speichern. Doch, ja, ich weiß. Mit den richtigen Einstellungen kann man das verhindern 
Zitat von @chriscar:
ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Das ist verständlich, aber einen Tod wirst du sterben müssen. Wenn du die lokalen Profile sauber aufräumst, dann wirst du an den Fragen nicht herumkommen. Wenn du "nur" die Daten löscht (zum Beispiel aus c:\Users\) dann wird immer irgendwo (auch in der Registry) ein Rest bleiben.ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Die Image-Option hast du ja bereits ausgeschlossen. Du musst dich halt unterm Strich entscheiden: Weniger Aufwand hat immer die Gefahr, dass benutzerbezogene Daten zurückbleiben. Viel Aufwand ist halt viel Aufwand
Gruß
Doskias
Guter Tipp! Ich werde mal ausprobieren, ob das auch mit Windows 10 Home funktioniert. Was passiert mit Dateien, die man während der Benutzung z.B. auf dem Desktop speichert, wenn man sich wieder abmeldet?
Hallo VGem-e
gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt. Zum anderen (korrigiere mich bitte falls ich falsch liege), werden mandaroty Profiles bei jeder Anmeldung vom Netzlaufwerk zurückgeschrieben. Und wenn der Laptop mehrere tage ausgeliehen ist, dann würde (Netzwerk Anbindung vorausgesetzt) das Profil jeden Tag aufs neue gelöscht werden und nicht erst bei der Rückgabe des Laptops. Allerdings weiß ich nicht ob Mandatory Profile überhaupt außerhalb des Netzwerkes eine Anmeldung ermöglichen.
Gruß
Doskias
gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt. Zum anderen (korrigiere mich bitte falls ich falsch liege), werden mandaroty Profiles bei jeder Anmeldung vom Netzlaufwerk zurückgeschrieben. Und wenn der Laptop mehrere tage ausgeliehen ist, dann würde (Netzwerk Anbindung vorausgesetzt) das Profil jeden Tag aufs neue gelöscht werden und nicht erst bei der Rückgabe des Laptops. Allerdings weiß ich nicht ob Mandatory Profile überhaupt außerhalb des Netzwerkes eine Anmeldung ermöglichen.
Gruß
Doskias
Zitat von @Doskias:
gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt.
Selbst wenn diese vorhanden wäre, eine Home Version wirst du da nicht ran bekommen ;)gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt.
Zitat von @chriscar:
Guter Tipp! Ich werde mal ausprobieren, ob das auch mit Windows 10 Home funktioniert.
Laut MS benötigst du Windows 10 ProGuter Tipp! Ich werde mal ausprobieren, ob das auch mit Windows 10 Home funktioniert.
Was passiert mit Dateien, die man während der Benutzung z.B. auf dem Desktop speichert, wenn man sich wieder abmeldet?
Beim Abmelden wohl nichts, aber bei der nächsten Anmeldung wird das leere Profil vom Server geladen und die Daten sind weg.
Für einen Verein, der jungen Menschen bei Jobsuche und Bewerbungen hilft, möchte ich mehrere Laptops (Windows 10 Home) so einrichten, dass die Laptops an externe Personen ausgeliehen und nach der Rückgabe möglichst einfach wieder auf den Zustand zurückgesetzt werden können, den die Laptops vor der Ausleihe hatten.
[...]
* Ein Laptop wird dann, zusammen mit Benutzerkonto und Kennwort, an einen jungen Menschen verliehen. Diese Person verwendet dann den Laptop mehrere Tage daheim, um z.B. Bewerbungen zu schreiben, im Internet zu surfen, E-Mails im Browser zu bearbeiten u.ä.
[...]
Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
1
Vermutlich meinst Du den Ordner C:\Users\%USERNAME%. Ich nehme an, dass nach dem Löschen dieses Ordners die Prozedur, die nach dem ersten Anmelden eines neuen Benutzerkontos abläuft, erneut durchlaufen werden muss.
Die "Reste" bereiten mir auch Kopfzerbrechen. Cache-Verzeichnisse und anderes, was irgendwelche Apps, von denen man zum Übergabezeitpunkt noch gar nichts ahnt, evtl. anlegen... Einigermaßen sauber wäre es wohl nur durch Löschen von C:\Users\%USERNAME% hinzubekommen.
Mit PowerShell kann man ja u.a. Benutzerkonten anlegen. Ich habe mir das so vorgestellt, dass man mit einem PowerShell-Skript nicht nur die Konten anlegen, sondern auch den ganzen Fragenkatalog nach dem Anmelden überspringen bzw. mit Standards beantworten kann. Soweit reichen die Möglichkeiten von PowerShell aber offenbar nicht.
).
Geht also nicht darum jedes Mal in einen bestimmten Zustand zurück zu kommen, sondern wirklich nur um die Benutzerprofile.
Schön wäre es natürlich, wenn z.B. bestimmte Programm-Icons oder Verknüpfungen (z.B. zu einer Info-Datei) gleich wieder vorhanden wären. Das könnte man natürlich über den All-Users-Desktop regeln.Zitat von @chriscar:
ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Das ist verständlich, aber einen Tod wirst du sterben müssen. Wenn du die lokalen Profile sauber aufräumst, dann wirst du an den Fragen nicht herumkommen. Wenn du "nur" die Daten löscht (zum Beispiel aus c:\Users\) dann wird immer irgendwo (auch in der Registry) ein Rest bleiben.ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Die Image-Option hast du ja bereits ausgeschlossen.
Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.Mit PowerShell kann man ja u.a. Benutzerkonten anlegen. Ich habe mir das so vorgestellt, dass man mit einem PowerShell-Skript nicht nur die Konten anlegen, sondern auch den ganzen Fragenkatalog nach dem Anmelden überspringen bzw. mit Standards beantworten kann. Soweit reichen die Möglichkeiten von PowerShell aber offenbar nicht.
Du musst dich halt unterm Strich entscheiden: Weniger Aufwand hat immer die Gefahr, dass benutzerbezogene Daten zurückbleiben. Viel Aufwand ist halt viel Aufwand
Ja. Ich muss mal mit den Verantwortlichen klären, wieviel Aufwand vertretbar ist (vermutlich lautet die Antwort "So wenig wie möglich!" ).Zitat von @mbehrens:
Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
So sehe ich das auch, gerade wenn da Bewerbungen und Co. drauf geschrieben werden, ein NoGo.Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
Zitat von @chriscar:
Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.
Dann besorg baugleiche Geräte und du brauchst nur immer eines aktuell halten und verteilst dann das Image auf die anderen.Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.
Zitat von @Archeon:
Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.Zitat von @mbehrens:
Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
So sehe ich das auch, gerade wenn da Bewerbungen und Co. drauf geschrieben werden, ein NoGo.Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
Zitat von @chriscar:
Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.
Dann besorg baugleiche Geräte und du brauchst nur immer eines aktuell halten und verteilst dann das Image auf die anderen.Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.
Zitat von @chriscar:
Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.
Die brauchen dann aber Admin Rechte, wenn sie die Profile löschen sollen, das klingt mir alles nicht wirklich durchdacht muss ich sagen.Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.
Das habe ich auch vermutet, als ich in dem verlinkten Artikel von "roaming profiles" und "Active Directory" las.
Zitat von @Archeon:
Die Verantwortlichen würden sich an den Laptops mit einem Admin-Konto anmelden, so dass sie z.B. ein Skript starten könnten, mit dem die Profile der "fremden" Benutzer gesäubert oder gelöscht werden. "Nicht wirklich durchdacht" - na, eben das wollte ich mit meiner Ausgangsfragestellung zum Besseren bringen Zitat von @chriscar:
Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.
Die brauchen dann aber Admin Rechte, wenn sie die Profile löschen sollen, das klingt mir alles nicht wirklich durchdacht muss ich sagen.Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.
Die Geräte sind glücklicherweise baugleich. Aber was ist mit der Aktivierung? Orientiert sich Windows an den Daten aus dem Image oder an rechnerspezifischen Eigenschaften (MAC-Adresse etc.)?
Die Geräte sind doch BIOS aktiviert, wenn wir über aktuelle sprechen.
Von der Sache mit den Adminrechten für die Benutzer halte ich rein gar nichts, mach das lieber vernünftig und mit einem anständigen Konzept oder ihr werdet vermutlich früher später mal Probleme bekommen.
Zitat von @Archeon:
Von der Sache mit den Adminrechten für die Benutzer halte ich rein gar nichts, mach das lieber vernünftig und mit einem anständigen Konzept oder ihr werdet vermutlich früher später mal Probleme bekommen.
Der Verein hat ein Büro, das aus einem großen Raum besteht. Dort beraten sie Jugendliche bzw. junge Leute. Es gibt dort WLAN, einen WLAN-fähigen Drucker und die zwei, drei festen Mitarbeiterinnen haben jeweils einen Laptop, ebenfalls per WLAN angebunden. Als Server fungiert eine Synology DiskStation. Die Ressourcen sind arg begrenzt. Was würdest Du in dieser Konstellation als "vernünftig" bezeichnen?Von der Sache mit den Adminrechten für die Benutzer halte ich rein gar nichts, mach das lieber vernünftig und mit einem anständigen Konzept oder ihr werdet vermutlich früher später mal Probleme bekommen.
Ich denke die günstigste Variante wäre händisch eine Sicherung auf eine externe Platte oder das NAS zu schieben und das dann zurückzusichern.
Der Verein hat ein Büro, das aus einem großen Raum besteht. Dort beraten sie Jugendliche bzw. junge Leute. Es gibt dort WLAN, einen WLAN-fähigen Drucker und die zwei, drei festen Mitarbeiterinnen haben jeweils einen Laptop, ebenfalls per WLAN angebunden. Als Server fungiert eine Synology DiskStation. Die Ressourcen sind arg begrenzt. Was würdest Du in dieser Konstellation als "vernünftig" bezeichnen?
Was für eine Synology ist das? Ist sie Intel-basiert, so dass das Paket Active Backup for Business läuft? Dann würde ich Images mit dem Agent ziehen, ein Wiederherstellungsmedium je Laptop (USB-Stick) erstellen, Bootreihenfolge ändern (so dass immer vom USB-Stick gebootet wird).
Kommt der Laptop zurück, dann im LAN anschließen (über WLAN mal testen, wie lange das dauert), USB-Stick dran, booten vom USB-Stick, dann läuft die Wiederherstellung aus dem Image durch, fertig.
Mehr dazu bspw. unter https://www.synology.com/de-de/knowledgebase/DSM/help/ActiveBackup/activ ....
Natürlich ist damit der Aufwand der regelmäßigen Aktualisierung des Images verbunden (Restore durchführen (damit nichts Unbekanntes mehr aktiv ist), Updates einspielen, neues Image erstellen), doch halte ich das für unerlässlich. Auch ehrenwerte Unterstützung schützt nicht davor, dass es sonst massive DSGVO-Verstöße gibt, die sonst richtig Geld kosten könnten. Denn gerade Bewerbungsdaten sind besonders schützenswerte personenbezogene Daten, die nur dadurch gesichert vom Laptop kommen, indem alles überschrieben wird.
Partielles Löschen ist schlicht ungeeignet, da kann man noch so schöne Skripte schreiben, da Du gar nicht weißt, was die Entleiher für Software einsetzen (ggf. neu installieren) und wo sie Daten speichern.
Davon abgesehen, solltest Du auch im Eigeninteresse jeden Laptop, der zurück kommt, als verdächtig behandeln, da dort schlicht auch Trojaner, Viren, Ransomware aktiv sein können und sonst in Dein WLAN eingeschleppt werden.
Den Aufwand für Automatisierung solltest Du daher in den "Update-Tag" stecken, wenn also die Laptops auf den aktuellen Stand gebracht werden (sinnigerweise kurz nach dem MS Patchday). Dazu prüfen, welche Standardsoftware Du vorab installierst und dann schauen, wie dort der Updatemechanismus getriggert werden kann.
