justinp
Goto Top

temporär Password ändern Benutzerkonto Windows 2003 Domäne

Hallo,

wenn ich mal einige benutzerspezifische Programmeinstellungen ändern will, bin ich immer auf den Benutzer angewiesen der sich dann einloggen muss. Ist es möglich das Password nur für ein paar Minuten zu ändern um diese Aufgaben zu erledigen.

Der Benutzer soll sich dann anschließend wieder mit seinem aktuellen Password einloggen können.

Wir haben eine Windows 2003 Domäne (Kennworthistorie und strenge Kennwortrichtlinien) und Windows XP Clients.

Gruß
JP

Content-ID: 39573

Url: https://administrator.de/contentid/39573

Ausgedruckt am: 26.11.2024 um 12:11 Uhr

gemini
gemini 07.09.2006 um 10:30:32 Uhr
Goto Top
Nein, das geht nicht!

Du kannst aber das Passwort zurücksetzen und eine Änderung beim nächsten Login erzwingen.
AndreasHoster
AndreasHoster 07.09.2006 um 12:27:20 Uhr
Goto Top
Alle meckern über die Sicherheit von Windows und wollen sie doch aushebeln.

Nein, das geht nicht, weil dann der Admin als User arbeiten könnte, ohne das der User es überhaupt mitbekommt.
Große Sicherheitslücke.
filippg
filippg 07.09.2006 um 13:05:41 Uhr
Goto Top
Du kannst aber das Passwort
zurücksetzen und eine Änderung beim
nächsten Login erzwingen.

Hallo,

damit sollte man ein ganz klein wenig vorsichtig sein: Dateien, die mit EFS verschlüsselt wurden sind dann nicht mehr lesbar.
Ansonsten: was Andreas geschrieben hat macht schon Sinn: der Admin soll sich nicht unbemerkt als anderer Nutzer anmelden können. Allerdings müsste es möglich sein, die Authentifizierungsdatenbank zu sichern, und nach dem Zugriff mit geändertem Passwort wieder zurückzuspielen.

Filipp
justinp
justinp 07.09.2006 um 14:20:56 Uhr
Goto Top
Hallo Andreas,

als _Admin_ kann ich doch eh machen was ich will, also was soll das Theater.

Ich will das Password auch nicht wissen, ich will nur ein Paar Dinge einstellen ohne dass der Benutzer sich anschließend mal wieder ein neues Password ausdenken muss (eh schon oft genug).

Unter Linux kann ich als root mittels "su - username" mal schnell die Identität eines Nutzers annehmen ohne das Password zu wissen/ändern.

Gruß
JP
AndreasHoster
AndreasHoster 07.09.2006 um 14:35:07 Uhr
Goto Top
Ja, aber in irgendwelchen Logs steht dann auch Administrator drin, bzw, wenn ich das Passwort zurücksetze, merkt es der User, weil das Passwort nicht mehr stimmt.
Und wenn man Änderungsverfolgung in der Excel-Datei (als Beispiel) drin hat, weiß man, das der Admin ###e gebaut hat und nicht der User.

Noch extremer wird es bei Single Sign On, wo eventuell ein SAP oder sonst was großes dahinterläuft, dort einen Auftrag freigeben als User, der man nicht ist usw.

Berechtigungen und Authentifizierung sind 2 paar Stiefel. Ich als Admin darf natürlich fast alles, ich darf aber nicht behaupten User x zu sein und dann Unsinn machen.
justinp
justinp 07.09.2006 um 14:52:57 Uhr
Goto Top
Ja, aber es gibt keine Sicherheit vor dem Administrator (hehe das hört sich gut an). Der ändert halt das Password gibt den Auftrag frei und gut ist. Der Admin kann auch die Logfiles löschen...also die Sicherheit wird damit nicht erhöht.

Wenn ein Admin seine Position mißbraucht um an Informationen zu gelangen die nicht für ihn bestimmt sind dann ist das ein arbeitsrechtliches Problem für das es aber keine (jedenfalls keine in Windows eingebaute) technische Lösung gibt.

Mein alter Lehrer (seines Zeichens Novell-Nostalgiker) würde jetzt sagen "Aber unter Novell gab es da einen User namens Supervisor der über dem Administrator stand".

Gruß
JP