Benutzerkonto zurücksetzen (i.S.v. benutzerspezifische Daten löschen)
Moin!
Für einen Verein, der jungen Menschen bei Jobsuche und Bewerbungen hilft, möchte ich mehrere Laptops (Windows 10 Home) so einrichten, dass die Laptops an externe Personen ausgeliehen und nach der Rückgabe möglichst einfach wieder auf den Zustand zurückgesetzt werden können, den die Laptops vor der Ausleihe hatten.
Folgendes habe ich mir überlegt:
Die Idee, für jeden Laptop ein Festplatten-Image zu erstellen und anschließend wieder einzuspielen, fällt meiner Meinung nach raus, weil man jeden Monat neue Images erstellen müsste, um die Laptops auf einem aktuellen Stand zu halten, was Updates betrifft.
Wie würdet Ihr das machen?
Für einen Verein, der jungen Menschen bei Jobsuche und Bewerbungen hilft, möchte ich mehrere Laptops (Windows 10 Home) so einrichten, dass die Laptops an externe Personen ausgeliehen und nach der Rückgabe möglichst einfach wieder auf den Zustand zurückgesetzt werden können, den die Laptops vor der Ausleihe hatten.
Folgendes habe ich mir überlegt:
- Auf jedem Laptop werden drei Benutzerkonten mit vorgegebenen Kennwörtern angelegt (mehrere Konten deshalb, damit man den Laptop nicht sofort nach der Rückgabe zurücksetzen muss, bevor man ihn an eine weitere Person verleiht).
- Ein Laptop wird dann, zusammen mit Benutzerkonto und Kennwort, an einen jungen Menschen verliehen. Diese Person verwendet dann den Laptop mehrere Tage daheim, um z.B. Bewerbungen zu schreiben, im Internet zu surfen, E-Mails im Browser zu bearbeiten u.ä.
- Wenn der Laptop an den Verein zurückgegeben wird, dann wird entweder das verwendete Benutzerkonto gleich wieder zurückgesetzt (ich stelle mir da ein PowerShell-Skript vor, um diese Aufgabe zu erledigen) oder - wenn mal wenig Zeit ist oder kein anderer Laptop zur Verfügung steht - der Laptop wird mit einem anderen Benutzernamen und Kennwort an eine andere Person verliehen.
Die Idee, für jeden Laptop ein Festplatten-Image zu erstellen und anschließend wieder einzuspielen, fällt meiner Meinung nach raus, weil man jeden Monat neue Images erstellen müsste, um die Laptops auf einem aktuellen Stand zu halten, was Updates betrifft.
Wie würdet Ihr das machen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666667
Url: https://administrator.de/forum/benutzerkonto-zuruecksetzen-i-s-v-benutzerspezifische-daten-loeschen-666667.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
20 Kommentare
Neuester Kommentar
Das wäre mir zu unsicher, gerade wenn personenbezogene Daten auf den Geräten sind, würde ich die so nicht einfach wieder an den nächsten herausgeben, die würde ich vorher auf einen definierten Stand zurücksetzen.
Servus,
gibt es da nicht die mandatory profiles (verbindliche Benutzerprofile) als Möglichkeit, siehe z.B. https://docs.microsoft.com/de-de/windows/client-management/mandatory-use ..?
Gruß
gibt es da nicht die mandatory profiles (verbindliche Benutzerprofile) als Möglichkeit, siehe z.B. https://docs.microsoft.com/de-de/windows/client-management/mandatory-use ..?
Gruß
Das wäre mir zu unsicher, gerade wenn personenbezogene Daten auf den Geräten sind, würde ich die so nicht einfach wieder an den nächsten herausgeben, die würde ich vorher auf einen definierten Stand zurücksetzen.
Für mich zählt da auch drunter, dass der Ordner unter c:\Users\ gelöscht wird. @chriscar schreibt doch selbst:
Auf jedem Laptop werden drei Benutzerkonten mit vorgegebenen Kennwörtern angelegt (mehrere Konten deshalb, damit man den Laptop nicht sofort nach der Rückgabe zurücksetzen muss, bevor man ihn an eine weitere Person verleiht).
Geht also nicht darum jedes Mal in einen bestimmten Zustand zurück zu kommen, sondern wirklich nur um die Benutzerprofile. Du kannst nicht verhindern, dass die Leute Ihre Daten unter C:\Temp oder sonst wo speichern. Doch, ja, ich weiß. Mit den richtigen Einstellungen kann man das verhindern Zitat von @chriscar:
ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Das ist verständlich, aber einen Tod wirst du sterben müssen. Wenn du die lokalen Profile sauber aufräumst, dann wirst du an den Fragen nicht herumkommen. Wenn du "nur" die Daten löscht (zum Beispiel aus c:\Users\) dann wird immer irgendwo (auch in der Registry) ein Rest bleiben.ich würde den Verantwortlichen gerne die ganzen Fragen, den man bei einem neuen Benutzerkonto nach dem ersten Anmelden durchlaufen muss, ersparen.
Die Image-Option hast du ja bereits ausgeschlossen. Du musst dich halt unterm Strich entscheiden: Weniger Aufwand hat immer die Gefahr, dass benutzerbezogene Daten zurückbleiben. Viel Aufwand ist halt viel Aufwand
Gruß
Doskias
Hallo VGem-e
gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt. Zum anderen (korrigiere mich bitte falls ich falsch liege), werden mandaroty Profiles bei jeder Anmeldung vom Netzlaufwerk zurückgeschrieben. Und wenn der Laptop mehrere tage ausgeliehen ist, dann würde (Netzwerk Anbindung vorausgesetzt) das Profil jeden Tag aufs neue gelöscht werden und nicht erst bei der Rückgabe des Laptops. Allerdings weiß ich nicht ob Mandatory Profile überhaupt außerhalb des Netzwerkes eine Anmeldung ermöglichen.
Gruß
Doskias
gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt. Zum anderen (korrigiere mich bitte falls ich falsch liege), werden mandaroty Profiles bei jeder Anmeldung vom Netzlaufwerk zurückgeschrieben. Und wenn der Laptop mehrere tage ausgeliehen ist, dann würde (Netzwerk Anbindung vorausgesetzt) das Profil jeden Tag aufs neue gelöscht werden und nicht erst bei der Rückgabe des Laptops. Allerdings weiß ich nicht ob Mandatory Profile überhaupt außerhalb des Netzwerkes eine Anmeldung ermöglichen.
Gruß
Doskias
Zitat von @Doskias:
gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt.
Selbst wenn diese vorhanden wäre, eine Home Version wirst du da nicht ran bekommen ;)gute Idee, dafür brauchst du aber eine Domäne von der ich ausgehe, die nicht vorliegt.
Zitat von @chriscar:
Guter Tipp! Ich werde mal ausprobieren, ob das auch mit Windows 10 Home funktioniert.
Laut MS benötigst du Windows 10 ProGuter Tipp! Ich werde mal ausprobieren, ob das auch mit Windows 10 Home funktioniert.
Was passiert mit Dateien, die man während der Benutzung z.B. auf dem Desktop speichert, wenn man sich wieder abmeldet?
Beim Abmelden wohl nichts, aber bei der nächsten Anmeldung wird das leere Profil vom Server geladen und die Daten sind weg.Für einen Verein, der jungen Menschen bei Jobsuche und Bewerbungen hilft, möchte ich mehrere Laptops (Windows 10 Home) so einrichten, dass die Laptops an externe Personen ausgeliehen und nach der Rückgabe möglichst einfach wieder auf den Zustand zurückgesetzt werden können, den die Laptops vor der Ausleihe hatten.
[...]
* Ein Laptop wird dann, zusammen mit Benutzerkonto und Kennwort, an einen jungen Menschen verliehen. Diese Person verwendet dann den Laptop mehrere Tage daheim, um z.B. Bewerbungen zu schreiben, im Internet zu surfen, E-Mails im Browser zu bearbeiten u.ä.
[...]
Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
Zitat von @mbehrens:
Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
So sehe ich das auch, gerade wenn da Bewerbungen und Co. drauf geschrieben werden, ein NoGo.Ich würde das Gerät als kompromittiert ansehen und es daher auf jeden Fall auf den Stand der letzten Datensicherung zurücksetzen.
Zitat von @chriscar:
Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.
Dann besorg baugleiche Geräte und du brauchst nur immer eines aktuell halten und verteilst dann das Image auf die anderen.Ausgeschlossen: nicht grundsätzlich. Ich fände es halt unglücklich, wenn der Laptop nach dem Wiedereinspielen eines Images sich erstmal wieder mittels Updates auf den aktuellen Stand bringen muss. Fünf Laptops, die Updates per WLAN über eine DSL6000-Leitung herunterladen, können die eigene Geduld schon auf die Probe stellen.
Zitat von @chriscar:
Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.
Die brauchen dann aber Admin Rechte, wenn sie die Profile löschen sollen, das klingt mir alles nicht wirklich durchdacht muss ich sagen.Ein gutes Argument. Im Grunde sehe ich das genauso. Die Verantwortlichen auch, möchten aber eine Lösung, die von Mitarbeiter/-innen mit durchschnittlichem technischen Hintergrund (sprich: Anwender/-innen) gehandhabt werden kann.
Der Verein hat ein Büro, das aus einem großen Raum besteht. Dort beraten sie Jugendliche bzw. junge Leute. Es gibt dort WLAN, einen WLAN-fähigen Drucker und die zwei, drei festen Mitarbeiterinnen haben jeweils einen Laptop, ebenfalls per WLAN angebunden. Als Server fungiert eine Synology DiskStation. Die Ressourcen sind arg begrenzt. Was würdest Du in dieser Konstellation als "vernünftig" bezeichnen?
Was für eine Synology ist das? Ist sie Intel-basiert, so dass das Paket Active Backup for Business läuft? Dann würde ich Images mit dem Agent ziehen, ein Wiederherstellungsmedium je Laptop (USB-Stick) erstellen, Bootreihenfolge ändern (so dass immer vom USB-Stick gebootet wird).
Kommt der Laptop zurück, dann im LAN anschließen (über WLAN mal testen, wie lange das dauert), USB-Stick dran, booten vom USB-Stick, dann läuft die Wiederherstellung aus dem Image durch, fertig.
Mehr dazu bspw. unter https://www.synology.com/de-de/knowledgebase/DSM/help/ActiveBackup/activ ....
Natürlich ist damit der Aufwand der regelmäßigen Aktualisierung des Images verbunden (Restore durchführen (damit nichts Unbekanntes mehr aktiv ist), Updates einspielen, neues Image erstellen), doch halte ich das für unerlässlich. Auch ehrenwerte Unterstützung schützt nicht davor, dass es sonst massive DSGVO-Verstöße gibt, die sonst richtig Geld kosten könnten. Denn gerade Bewerbungsdaten sind besonders schützenswerte personenbezogene Daten, die nur dadurch gesichert vom Laptop kommen, indem alles überschrieben wird.
Partielles Löschen ist schlicht ungeeignet, da kann man noch so schöne Skripte schreiben, da Du gar nicht weißt, was die Entleiher für Software einsetzen (ggf. neu installieren) und wo sie Daten speichern.
Davon abgesehen, solltest Du auch im Eigeninteresse jeden Laptop, der zurück kommt, als verdächtig behandeln, da dort schlicht auch Trojaner, Viren, Ransomware aktiv sein können und sonst in Dein WLAN eingeschleppt werden.
Den Aufwand für Automatisierung solltest Du daher in den "Update-Tag" stecken, wenn also die Laptops auf den aktuellen Stand gebracht werden (sinnigerweise kurz nach dem MS Patchday). Dazu prüfen, welche Standardsoftware Du vorab installierst und dann schauen, wie dort der Updatemechanismus getriggert werden kann.