raba34
Goto Top

Wie setzen Benutzer ihre eigenen Konten ohne Adminberechtigung zurück?

Hallo ihr alle,

in unserer Einrichtung gibt es einige Laptops, die mit möglichst wenig administrativen Aufwand (schnell mal für einige Tage) von der Fachabteilung an Kollegen auch zum Mitnehmen ausgeliehen werden sollen.

Auf diesen Laptops gibt es ein Admin-Konto sowie genau ein weiteres Konto, das die Kollegen benutzen dürfen. Die Geräte sind nicht im internen Netz eingebunden.

Wenn die Laptops zurückgegeben werden, kann es sein, dass "Benutzerspuren" zurückgeblieben sind. Wir suchen nun ein Tool oder eine Möglichkeit, nur dieses Konto auf den Ausgangszustand zurückzusetzen, natürlich ohne Admin-Rechte, denn sonst müsste die Fachabteilung ja wieder einen überlasteten Admin behelligen.

Bei meiner Suche im Internet habe ich immer nur Hinweise darauf gefunden, wie ein Admin Windows insgesamt zurücksetzen oder wie er Benutzerkonten entfernen oder deren Passwort zurücksetzen kann.

Wer kann helfen?

Gruß
Ralph

Content-Key: 1722106236

Url: https://administrator.de/contentid/1722106236

Ausgedruckt am: 26.09.2022 um 10:09 Uhr

Mitglied: VGem-e
VGem-e 14.01.2022 um 11:03:10 Uhr
Goto Top
Moin,

ohne es aktuell getestet zu haben, gab es doch mal die obligatorischen Benutzerprofile (user profile mandatory), siehe z.B. https://docs.microsoft.com/de-de/windows/client-management/mandatory-use ....

Gruß
Mitglied: wiesi200
wiesi200 14.01.2022 um 12:13:42 Uhr
Goto Top
Hallo,

darf ich mal fragen warum die nicht im Netzwerk integriert sind?
Ich hab auch so "Leihgeräte". Wenn die mal einer braucht melden sich die Leute mit dem eigenen Profil an und gut ist.

Und der nächste meldet sich dann mit seinem eigenen Profil an, das unabhängig ist
Mitglied: 149569
149569 14.01.2022 aktualisiert um 12:52:03 Uhr
Goto Top
Oder man aktiviert in Windows 10 (sofern Enterprise) den UWF, dabei wird nach einem Reboot Windows automatisch wieder auf einen definierten Zustand zurückgesetzt. Außnahmen für Ordner/Laufwerke etc. lassen sich natürlich setzen
Vereinheitlichter Schreibfilter (Unified Write Filter, UWF)

So machen wir das hier schon einige Jahre erfolgreich für ähnliche Szenarien.
Mitglied: raba34
raba34 16.01.2022 um 15:09:45 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

darf ich mal fragen warum die nicht im Netzwerk integriert sind?
Ich hab auch so "Leihgeräte". Wenn die mal einer braucht melden sich die Leute mit dem eigenen Profil an und gut ist.

Und der nächste meldet sich dann mit seinem eigenen Profil an, das unabhängig ist

Sie nehmen die Geräte nach Hause und müssten sich dann über VPN im Betrieb anmelden. Ist das so gemeint? Ich nehme das mal als Anregung. Ob das jemand konfiguriert, ist fraglich, da der überwiegende Teil der Geräte im Hause fest angeschlossen ist oder einen lokalen RADIUS-Server nutzt.
Mitglied: raba34
raba34 16.01.2022 um 15:15:43 Uhr
Goto Top
Zitat von @149569:

Oder man aktiviert in Windows 10 (sofern Enterprise) den UWF, dabei wird nach einem Reboot Windows automatisch wieder auf einen definierten Zustand zurückgesetzt. Außnahmen für Ordner/Laufwerke etc. lassen sich natürlich setzen
Vereinheitlichter Schreibfilter (Unified Write Filter, UWF)

So machen wir das hier schon einige Jahre erfolgreich für ähnliche Szenarien.

Eine gute Idee. Dann muss der Benutzer aber sehr aufpassen, dass er während der Benutzung nicht mehr oder weniger absichtlich einen Reboot auf dem Laptop startet. Dann ist alles hin, oder verstehe ich den Mechanismus falsch?
Mitglied: 149569
149569 16.01.2022 aktualisiert um 16:39:46 Uhr
Goto Top
Zitat von @raba34:
Eine gute Idee. Dann muss der Benutzer aber sehr aufpassen, dass er während der Benutzung nicht mehr oder weniger absichtlich einen Reboot auf dem Laptop startet.
Nein, Ausnahmen für Verzeichnisse oder Laufwerke welche persistent sind darfst du natürlich selbst definieren.
Dann ist alles hin,
Nö nur das wofür du keine Ausnahmen definierst.
oder verstehe ich den Mechanismus falsch?
Wohl, noch nicht so ganz, lies dich mal ein dann bekommst du einen besseren Eindruck von den Möglichkeiten.

Ich habe das meist so das für das angelegte Userprofil-Verzeichnis eine Ausnahme gilt, sonstiges wie OS und Programme etc. sind geschützt, bei Ende der Nutzung wird das Profil einfach gelöscht und dann vom Admin einfach neu angelegt. Da im "DefaultUser"-Profil eine cleane Vorlage dieses Profils liegt ist danach alles wieder so wie es zu Beginn war.
Mitglied: wiesi200
wiesi200 17.01.2022 um 09:05:17 Uhr
Goto Top
Zitat von @raba34:

Zitat von @wiesi200:

Hallo,

darf ich mal fragen warum die nicht im Netzwerk integriert sind?
Ich hab auch so "Leihgeräte". Wenn die mal einer braucht melden sich die Leute mit dem eigenen Profil an und gut ist.

Und der nächste meldet sich dann mit seinem eigenen Profil an, das unabhängig ist

Sie nehmen die Geräte nach Hause und müssten sich dann über VPN im Betrieb anmelden. Ist das so gemeint? Ich nehme das mal als Anregung. Ob das jemand konfiguriert, ist fraglich, da der überwiegende Teil der Geräte im Hause fest angeschlossen ist oder einen lokalen RADIUS-Server nutzt.

Ob die jetzt zwingend VPN brauchen hängt nicht maßgeblich davon ab ob die Laptops im Firmennetzwerk integriert sind. Sondern ob die Daten aus dem Firmennetzwerk brauchen. Die Laptops puffen die Anmeldedaten zwischen und funktionieren dann auch ohne Verbindung. Die Erstanmeldung muss aber im Firmennetzwerk erfolgen.

Blöd kann es auch werden wenn die Geräte am Stück sehr lange außer Haus sind.
Mitglied: raba34
raba34 17.01.2022 um 16:01:19 Uhr
Goto Top
Hallo ihr alle,

vielen Dank für eure aufschlussreichen Beiträge.

Beim Lesen und weiteren Nachdenken über das Problem ist mir die folgende "Entschärfung" eingefallen, die einen unabhängig vom Firmennetzwerk machen könnte, und das geht so:

Das Notebook wird zentral einmal so konfiguriert, dass es einen Adminaccount und einen allgemeinen Benutzeraccount hat. Das ist der momentane Zustand. Aber jetzt kommt der Unterschied: das Passwort zum Adminaccount kennt eine Vertrauensperson in der Abteilung. Kommt das Notebook zurück, meldet sich diese Person als Admin an und führt einen einzigen Befehl aus. Damit wird der Benutzerbereich zurückgesetzt und hierfür sind keine speziellen Computerkenntnisse erforderlich. Außerdem wird kein Admin belastet.

Was meint ihr dazu? Geht so etwas?

Gruß
Ralph
Mitglied: 149569
149569 17.01.2022 aktualisiert um 16:14:09 Uhr
Goto Top
Was meint ihr dazu? Geht so etwas?
Ja siehe mein letztes Kommentar oben , so in der Art mache ich das hier auch. Vorlage ist das DefaultUser Profil, davon wird das neue Userprofil automatisch abgeleitet. Und das alte gelöscht.
Nur eben zusätzlich ergänzt um den UFW damit bestimmte Bereiche einfach nicht überschieben werden und somit die Funktionsfähigkeit der Maschine erhalten bleibt so lange der User das Teil nutzt, damit weitere Supportfälle ausbleiben, sollte jemand auf die Idee kommen an der Mühle anfangen zu Operieren.

Als Alternative habe ich hier intern auch nen PXE Server über den ich schnell übers Netz ein cleanes Image auf die Mühle ziehen kann sollte es notwendig sein.