9
Passwort temporär ändern
Passwort von Benutzern nur temporär für administrative Dinge ändern, oder Master-Passwort?
Hallo,
bei der Fehlersuche an Client-Rechnern oder in Terminalserversitzungen stoße ich immer wieder auf das Problem, dass ich die Kennwörter der Benutzer nicht weiß. Oft ist es zum Nachstellen des Problems einfach am besten, sich unter der Benutzerkennung anzumelden und meist findet das dann abends statt wenn die Benutzer nicht mehr da sind. Da gibt es dann immer nur den Weg zu warten bis man den Benutzer mal erreicht und ihn nach seinem Kennwort fragt, was aber lästig und ungeschickt ist. Eine weitere Möglichkeit wäre da natürlich am Server einfach das Kennwort zurückzusetzen, doch dann kommt am nächsten morgen der Benutzer und kann sich selbst nicht mehr anmelden. Einen Zettel mit dem neuen Passwort einfach auf den Arbeitsplatz zu legen ist zum einen bei Arbeiten per Remote gar nicht möglich und wäre ohnehin nicht gerade sicher.
Was ich demnach recht geschickt fände wäre, dass man das Kennwort nur temporär für eine bestimmte Zeit zurücksetzt und danach wieder das normale Kennwort des Benutzers aktiv ist. Oder toll wäre auch eine Art Masterpasswort mit dem man sich unter jedem Benutzeraccount anmelden könnte, also wie eine Art Generalschlüssel. Solch ein Feature ist mir bei Windows Domänen aber nicht bekannt.
Von irgendwelchen verwaltungstechnischen Lösungen wie das Führen von Passwortlisten halte ich nichts und ist auch in den Unternehmen nicht immer durchsetzbar.
Vielleicht kennt hier ja jemand einen geschickten Lösungsweg?
Gruß
Markus
bei der Fehlersuche an Client-Rechnern oder in Terminalserversitzungen stoße ich immer wieder auf das Problem, dass ich die Kennwörter der Benutzer nicht weiß. Oft ist es zum Nachstellen des Problems einfach am besten, sich unter der Benutzerkennung anzumelden und meist findet das dann abends statt wenn die Benutzer nicht mehr da sind. Da gibt es dann immer nur den Weg zu warten bis man den Benutzer mal erreicht und ihn nach seinem Kennwort fragt, was aber lästig und ungeschickt ist. Eine weitere Möglichkeit wäre da natürlich am Server einfach das Kennwort zurückzusetzen, doch dann kommt am nächsten morgen der Benutzer und kann sich selbst nicht mehr anmelden. Einen Zettel mit dem neuen Passwort einfach auf den Arbeitsplatz zu legen ist zum einen bei Arbeiten per Remote gar nicht möglich und wäre ohnehin nicht gerade sicher.
Was ich demnach recht geschickt fände wäre, dass man das Kennwort nur temporär für eine bestimmte Zeit zurücksetzt und danach wieder das normale Kennwort des Benutzers aktiv ist. Oder toll wäre auch eine Art Masterpasswort mit dem man sich unter jedem Benutzeraccount anmelden könnte, also wie eine Art Generalschlüssel. Solch ein Feature ist mir bei Windows Domänen aber nicht bekannt.
Von irgendwelchen verwaltungstechnischen Lösungen wie das Führen von Passwortlisten halte ich nichts und ist auch in den Unternehmen nicht immer durchsetzbar.
Vielleicht kennt hier ja jemand einen geschickten Lösungsweg?
Gruß
Markus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 166410
Url: https://administrator.de/contentid/166410
Printed on: April 23, 2024 at 08:04 o'clock
9 Comments
Latest comment
Meine Vorgehensweise bei solchen Fällen:
Ich vereinbare mit dem Benutzer ein Paßwort, auf das ich den Account setze, wenn ich teste/prüfe. Nach Abschluß der Arbeiten wird eingestellt, daß der Benutzer das Paßwort ändern muß.
Damit muß der Benutzer mir nie sein Kennwort verraten und es ist sichergestellt, daß ich auch nach den Arbeiten sein neunes Kennwort nicht weiß.
Außerdem braucht man keine Post-ITs.
lks
Ich vereinbare mit dem Benutzer ein Paßwort, auf das ich den Account setze, wenn ich teste/prüfe. Nach Abschluß der Arbeiten wird eingestellt, daß der Benutzer das Paßwort ändern muß.
Damit muß der Benutzer mir nie sein Kennwort verraten und es ist sichergestellt, daß ich auch nach den Arbeiten sein neunes Kennwort nicht weiß.
Außerdem braucht man keine Post-ITs.
lks
Hallo @mdages,
Gruß
Snow
Zitat von @mdages:
Was ich demnach recht geschickt fände wäre, dass man das Kennwort nur temporär für eine bestimmte Zeit
zurücksetzt und danach wieder das normale Kennwort des Benutzers aktiv ist. Oder toll wäre auch eine Art Masterpasswort
mit dem man sich unter jedem Benutzeraccount anmelden könnte, also wie eine Art Generalschlüssel. Solch ein Feature ist
mir bei Windows Domänen aber nicht bekannt.
Die Gründe hierfür sollten dir allerdings bekannt sein.Was ich demnach recht geschickt fände wäre, dass man das Kennwort nur temporär für eine bestimmte Zeit
zurücksetzt und danach wieder das normale Kennwort des Benutzers aktiv ist. Oder toll wäre auch eine Art Masterpasswort
mit dem man sich unter jedem Benutzeraccount anmelden könnte, also wie eine Art Generalschlüssel. Solch ein Feature ist
mir bei Windows Domänen aber nicht bekannt.
Vielleicht kennt hier ja jemand einen geschickten Lösungsweg?
- Passwort zurücksetzen
- Arbeit erledigen
- Mitarbeiter einen Zettel auf den Tisch legen, dass er sich am nächsten morgen bei dir melden soll
- Wenn Mitarbeiter kommt, Passwort zurücksetzen, dem MB mitteilen, Einstellung setzen, dass Mitarbeiter Passwort beim nächsten Anmelden das Passwort ändern muss und gegebenenfalls Richtlinie kurzzeitig so ändern, dass er sein altes wieder verwenden kann.
- Nach Änderung durch den User die Passwortrichtlinien wieder so einstellen, dass nicht das gleiche Passwort verwendet werden kann, wenn diese vorhanden war.
Gruß
Snow
Moin,
ich hab es bei uns so ähnlich gemacht, als die Domäne neu aufgesetzt wurde:
- alle User haben ein Passwort bekommen, welches für alle gleich war (Groß-/Kleinschreibung, Sonderzeichen, Zahlen)
- in den Anmelderichtlinien festgelegt, daß der User das Passwort beim ersten Anmelden ändern muß
- wenn ich nun als User an einen Rechner muß, wird dessen Paswort auf das Initialpasswort zurückgesetzt
- nach Beendigung der Arbeit wird die Anmelderichtlinie wieder auf "Paßwort beim ersten Anmelden ändern" gesetzt
Diese Vorgehensweise wurde allen MA kommuniziert. Wenn sich nun also ein MA morgens nicht mit seinem alten Paßwort anmelden kann, geht er den beschriebenen Weg.
Gruß J
chem
ich hab es bei uns so ähnlich gemacht, als die Domäne neu aufgesetzt wurde:
- alle User haben ein Passwort bekommen, welches für alle gleich war (Groß-/Kleinschreibung, Sonderzeichen, Zahlen)
- in den Anmelderichtlinien festgelegt, daß der User das Passwort beim ersten Anmelden ändern muß
- wenn ich nun als User an einen Rechner muß, wird dessen Paswort auf das Initialpasswort zurückgesetzt
- nach Beendigung der Arbeit wird die Anmelderichtlinie wieder auf "Paßwort beim ersten Anmelden ändern" gesetzt
Diese Vorgehensweise wurde allen MA kommuniziert. Wenn sich nun also ein MA morgens nicht mit seinem alten Paßwort anmelden kann, geht er den beschriebenen Weg.
Gruß J
chem
Danke für eure ersten Antworten.
Das Problem ist, dass ich nicht nur das eigene System administriere, sondern auch Systeme anderer Firmen. Dabei auch oft per Remoteverbindungen. Damit scheidet das mit dem Zettel auf den Tisch legen schon mal aus. Auch sich bei mir am nächsten morgen melden geht nicht, weil die Arbeitszeiten von Personal und mir sich manchmal doch kräftig unterscheiden.
@Snowman25: Welche mir eigentlich bekannten Gründe sollen es denn sein, dass man beispielsweise das Administratorkennwort oder ein anderes als Masterpasswort verwenden könnte? Die Möglichkeit als Admin jedes Kennwort zurücksetzen zu können ist auch nichts anderes als ein Generalschlüssel, nur halt ein äußerst umständlicher.
@Jochem, Lochkartenstanzer: Eure Methoden über Kommunikation mit Initialkennwörtern oder vereinbarte Kennwörter kenne ich und habe sie teilweise auch schon angewendet. Sind aber eben jene verwaltungstechnische Dinge, die nicht bei allen durchzusetzen sind. Eine rein technische Lösung ohne Abstimmung mit einzelnen Benutzern wäre mir da lieber. Ich hatte bei dem Verfahren mit dem Initialkennwort schon einige male den Fall, dass der Benutzer sich nicht mehr dran erinnerte oder gar nicht auf die Idee gekommen ist es zu versuchen. Benutzer kann sich nicht anmelden und denkt dann immer mal zuerst, sein PC ist kaputt. Klar ist der User dann auch irgendwie selbst schuld, aber dennoch bekomme ich dann zu hören ob das nicht anders geht und wieso ich gerade dann nicht erreichbar war usw. usw.
Dank euch aber dennoch für eure Vorgehensweisen, auch wenn für mich das optimale noch nicht dabei war.
Gruß
Markus
Das Problem ist, dass ich nicht nur das eigene System administriere, sondern auch Systeme anderer Firmen. Dabei auch oft per Remoteverbindungen. Damit scheidet das mit dem Zettel auf den Tisch legen schon mal aus. Auch sich bei mir am nächsten morgen melden geht nicht, weil die Arbeitszeiten von Personal und mir sich manchmal doch kräftig unterscheiden.
@Snowman25: Welche mir eigentlich bekannten Gründe sollen es denn sein, dass man beispielsweise das Administratorkennwort oder ein anderes als Masterpasswort verwenden könnte? Die Möglichkeit als Admin jedes Kennwort zurücksetzen zu können ist auch nichts anderes als ein Generalschlüssel, nur halt ein äußerst umständlicher.
@Jochem, Lochkartenstanzer: Eure Methoden über Kommunikation mit Initialkennwörtern oder vereinbarte Kennwörter kenne ich und habe sie teilweise auch schon angewendet. Sind aber eben jene verwaltungstechnische Dinge, die nicht bei allen durchzusetzen sind. Eine rein technische Lösung ohne Abstimmung mit einzelnen Benutzern wäre mir da lieber. Ich hatte bei dem Verfahren mit dem Initialkennwort schon einige male den Fall, dass der Benutzer sich nicht mehr dran erinnerte oder gar nicht auf die Idee gekommen ist es zu versuchen. Benutzer kann sich nicht anmelden und denkt dann immer mal zuerst, sein PC ist kaputt. Klar ist der User dann auch irgendwie selbst schuld, aber dennoch bekomme ich dann zu hören ob das nicht anders geht und wieso ich gerade dann nicht erreichbar war usw. usw.
Dank euch aber dennoch für eure Vorgehensweisen, auch wenn für mich das optimale noch nicht dabei war.
Gruß
Markus
Zitat von @mdages:
@Snowman25: Welche mir eigentlich bekannten Gründe sollen es denn sein, dass man beispielsweise das Administratorkennwort
oder ein anderes als Masterpasswort verwenden könnte? Die Möglichkeit als Admin jedes Kennwort zurücksetzen zu
können ist auch nichts anderes als ein Generalschlüssel, nur halt ein äußerst umständlicher.
Das stimmt schon, allerdings hätte der User somit keine Möglichkeit zu erkennen, dass jemand ohne seine Erlaubnis auf sein Profil zugegriffen hat.@Snowman25: Welche mir eigentlich bekannten Gründe sollen es denn sein, dass man beispielsweise das Administratorkennwort
oder ein anderes als Masterpasswort verwenden könnte? Die Möglichkeit als Admin jedes Kennwort zurücksetzen zu
können ist auch nichts anderes als ein Generalschlüssel, nur halt ein äußerst umständlicher.
Sowas bräuchte zuerst einmal die technische Machbarkeit (also die Funktion an sich müsste bestehen) und du müsstest dich hier vertraglich absichern. Entweder über eine Klausel im Arbeitsvertrag, oder über eine Sicherheitsrichtlinie, welche jeder Mitarbeiter unterschreiben muss, um damit zu bestätigen, dass er sie gelesen, verstanden und akzeptiert hat. Denn hier greifft das Datenschutzgesetz.
Gruß
Snow
@snow
Mir ist an sich schon bekannt, dass es in Windows Server keine Möglichkeit eines Masterkennworts, Generalschlüssel oder ähnliches gibt. Hätte aber ja vielleicht sein können, dass es dazu Third-Party Software gibt. Das ganze so zu implementieren, dass der Benutzer dann bei der nächsten Anmeldung irgendwie eine entsprechende Information auf den Schirm bekommt, wäre dann natürlich erforderlich und sicher nicht das Problem.
LG
Markus
Mir ist an sich schon bekannt, dass es in Windows Server keine Möglichkeit eines Masterkennworts, Generalschlüssel oder ähnliches gibt. Hätte aber ja vielleicht sein können, dass es dazu Third-Party Software gibt. Das ganze so zu implementieren, dass der Benutzer dann bei der nächsten Anmeldung irgendwie eine entsprechende Information auf den Schirm bekommt, wäre dann natürlich erforderlich und sicher nicht das Problem.
LG
Markus
Hi mdages,
was auch immer du vorhast, solltest Du Dir über die Konsequenzen klar sein!
Du darfst unter einem Benutzerkonto nur arbeiten, wenn der Benutzer dem explizit zugestimmt hat! Gerade mit Blick auf eine Mitarbeiter Vertretung äußerst wichtig! Deswegen geht nur der Weg über KW zurücksetzen. Hier solltest Du aber erst klären, ob es dazu nicht eine Betriebsvereinbarung in dem Unternehmen gibt ...
Aus meiner Erfahrung habe ich gelernt: arbeite nie ohne den Mitarbeiter an dem PC! Die berühmten Sprüche sind immer: seit Sie an meinem PC waren ... oder vorher war noch alles da ... wo ist die Datei XXX
Gruß
Nagus
was auch immer du vorhast, solltest Du Dir über die Konsequenzen klar sein!
Du darfst unter einem Benutzerkonto nur arbeiten, wenn der Benutzer dem explizit zugestimmt hat! Gerade mit Blick auf eine Mitarbeiter Vertretung äußerst wichtig! Deswegen geht nur der Weg über KW zurücksetzen. Hier solltest Du aber erst klären, ob es dazu nicht eine Betriebsvereinbarung in dem Unternehmen gibt ...
Aus meiner Erfahrung habe ich gelernt: arbeite nie ohne den Mitarbeiter an dem PC! Die berühmten Sprüche sind immer: seit Sie an meinem PC waren ... oder vorher war noch alles da ... wo ist die Datei XXX
Gruß
Nagus
@Nagus
Danke für die aufklärenden Worte, aber darum geht es hier eigentlich nicht. Wenn ich unter einem Benutzerkonto arbeite, dann weiß ich warum ich das mache und ich bin mir dabei dann auch absolut sicher, dass ich dafür Erlaubnis habe. Meine Tätigkeiten und meine Authorisierung ist meist von ganz oben abgesegnet.
Mir geht es hier mehr darum, wie die angesprochene Problematik eventuell technisch zu lösen ist. Ob es da vielleicht Tricks gibt das Kennwort vor der Rücksetzung wegzusichern und danach wieder einzusetzen etc.
Darüber was ich darf, welche Konsequenzen es bei der Adminstration gibt, ob es Betriebsvereinbarungen gibt etc. ist hier nicht das Thema. Mein Bedarf dieses Thema hier zu eröffnen sollte rein technischer Hinsicht sein und keine Grundsatzdiskussionen über Rechte und Pflichten von Administratoren.
Danke.
Gruß
Markus
Danke für die aufklärenden Worte, aber darum geht es hier eigentlich nicht. Wenn ich unter einem Benutzerkonto arbeite, dann weiß ich warum ich das mache und ich bin mir dabei dann auch absolut sicher, dass ich dafür Erlaubnis habe. Meine Tätigkeiten und meine Authorisierung ist meist von ganz oben abgesegnet.
Mir geht es hier mehr darum, wie die angesprochene Problematik eventuell technisch zu lösen ist. Ob es da vielleicht Tricks gibt das Kennwort vor der Rücksetzung wegzusichern und danach wieder einzusetzen etc.
Darüber was ich darf, welche Konsequenzen es bei der Adminstration gibt, ob es Betriebsvereinbarungen gibt etc. ist hier nicht das Thema. Mein Bedarf dieses Thema hier zu eröffnen sollte rein technischer Hinsicht sein und keine Grundsatzdiskussionen über Rechte und Pflichten von Administratoren.
Danke.
Gruß
Markus
Hallo nochmal @mdages,
Das bringt dir aber nicht viel, du brauchst nämlich auch die Einwilligung bzw. Kenntnisnahme des Users, unter dessen Konto du arbeiten möchtest. Hier geht es um Schutz persönlicher und personenbezogener Daten, da haben Chefs recht wenig mitzureden.
Zwar gibt es Programme, welche das Datenbankfile mit den Hashs öffnen und teilweise entschlüsseln können, allerdings funktioniert soetwas (soweit ich weiss) nur mit der lokalen SAM-Datenbank.
Du bist ja nicht die einzige Person, die hier mitliest. Dieser Beitrag wird über diverse Suchmaschinen noch häufig gefunden werden, und Leute, die das hier dann lesen sollten nach Möglichkeit auch auf die rechtlichen Konsequenzen aufmerksam gemacht werden.
Gruß
Snow
Das bringt dir aber nicht viel, du brauchst nämlich auch die Einwilligung bzw. Kenntnisnahme des Users, unter dessen Konto du arbeiten möchtest. Hier geht es um Schutz persönlicher und personenbezogener Daten, da haben Chefs recht wenig mitzureden.
Mir geht es hier mehr darum, wie die angesprochene Problematik eventuell technisch zu lösen ist. Ob es da vielleicht Tricks
gibt das Kennwort vor der Rücksetzung wegzusichern und danach wieder einzusetzen etc.
Das Kennwort wird nicht als Plaintext gespeichert, sondern bloß ein Hash dieses Kennworts. Bei der Anmeldung wird aus dem eingegebenen Kennwort ein Hash erstellt und gegen den abgespeicherten verglichen. So werden die Kennwörter an sich nie übertragen und das System kennt sie auch nicht.gibt das Kennwort vor der Rücksetzung wegzusichern und danach wieder einzusetzen etc.
Zwar gibt es Programme, welche das Datenbankfile mit den Hashs öffnen und teilweise entschlüsseln können, allerdings funktioniert soetwas (soweit ich weiss) nur mit der lokalen SAM-Datenbank.
Darüber was ich darf, welche Konsequenzen es bei der Adminstration gibt, ob es Betriebsvereinbarungen gibt etc. ist hier
nicht das Thema. Mein Bedarf dieses Thema hier zu eröffnen sollte rein technischer Hinsicht sein und keine
Grundsatzdiskussionen über Rechte und Pflichten von Administratoren.
Trotzdem ist das ein Thema, das bei einer solchen Thematik zumindest angesprochen werden sein sollte. Was ja hiermit geschehen ist.nicht das Thema. Mein Bedarf dieses Thema hier zu eröffnen sollte rein technischer Hinsicht sein und keine
Grundsatzdiskussionen über Rechte und Pflichten von Administratoren.
Du bist ja nicht die einzige Person, die hier mitliest. Dieser Beitrag wird über diverse Suchmaschinen noch häufig gefunden werden, und Leute, die das hier dann lesen sollten nach Möglichkeit auch auf die rechtlichen Konsequenzen aufmerksam gemacht werden.
Gruß
Snow
