Wie setzen Benutzer ihre eigenen Konten ohne Adminberechtigung zurück?

Hallo ihr alle,

in unserer Einrichtung gibt es einige Laptops, die mit möglichst wenig administrativen Aufwand (schnell mal für einige Tage) von der Fachabteilung an Kollegen auch zum Mitnehmen ausgeliehen werden sollen.

Auf diesen Laptops gibt es ein Admin-Konto sowie genau ein weiteres Konto, das die Kollegen benutzen dürfen. Die Geräte sind nicht im internen Netz eingebunden.

Wenn die Laptops zurückgegeben werden, kann es sein, dass "Benutzerspuren" zurückgeblieben sind. Wir suchen nun ein Tool oder eine Möglichkeit, nur dieses Konto auf den Ausgangszustand zurückzusetzen, natürlich ohne Admin-Rechte, denn sonst müsste die Fachabteilung ja wieder einen überlasteten Admin behelligen.

Bei meiner Suche im Internet habe ich immer nur Hinweise darauf gefunden, wie ein Admin Windows insgesamt zurücksetzen oder wie er Benutzerkonten entfernen oder deren Passwort zurücksetzen kann.

Wer kann helfen?

Gruß
Ralph

Content-Key: 1722106236

Url: https://administrator.de/contentid/1722106236

Ausgedruckt am: 28.01.2022 um 09:01 Uhr

Mitglied: VGem-e
VGem-e 14.01.2022 um 11:03:10 Uhr
Goto Top
Moin,

ohne es aktuell getestet zu haben, gab es doch mal die obligatorischen Benutzerprofile (user profile mandatory), siehe z.B. https://docs.microsoft.com/de-de/windows/client-management/mandatory-use ....

Gruß
Mitglied: wiesi200
wiesi200 14.01.2022 um 12:13:42 Uhr
Goto Top
Hallo,

darf ich mal fragen warum die nicht im Netzwerk integriert sind?
Ich hab auch so "Leihgeräte". Wenn die mal einer braucht melden sich die Leute mit dem eigenen Profil an und gut ist.

Und der nächste meldet sich dann mit seinem eigenen Profil an, das unabhängig ist
Mitglied: 149569
149569 14.01.2022 aktualisiert um 12:52:03 Uhr
Goto Top
Oder man aktiviert in Windows 10 (sofern Enterprise) den UWF, dabei wird nach einem Reboot Windows automatisch wieder auf einen definierten Zustand zurückgesetzt. Außnahmen für Ordner/Laufwerke etc. lassen sich natürlich setzen
Vereinheitlichter Schreibfilter (Unified Write Filter, UWF)

So machen wir das hier schon einige Jahre erfolgreich für ähnliche Szenarien.
Mitglied: raba34
raba34 16.01.2022 um 15:09:45 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

darf ich mal fragen warum die nicht im Netzwerk integriert sind?
Ich hab auch so "Leihgeräte". Wenn die mal einer braucht melden sich die Leute mit dem eigenen Profil an und gut ist.

Und der nächste meldet sich dann mit seinem eigenen Profil an, das unabhängig ist

Sie nehmen die Geräte nach Hause und müssten sich dann über VPN im Betrieb anmelden. Ist das so gemeint? Ich nehme das mal als Anregung. Ob das jemand konfiguriert, ist fraglich, da der überwiegende Teil der Geräte im Hause fest angeschlossen ist oder einen lokalen RADIUS-Server nutzt.
Mitglied: raba34
raba34 16.01.2022 um 15:15:43 Uhr
Goto Top
Zitat von @149569:

Oder man aktiviert in Windows 10 (sofern Enterprise) den UWF, dabei wird nach einem Reboot Windows automatisch wieder auf einen definierten Zustand zurückgesetzt. Außnahmen für Ordner/Laufwerke etc. lassen sich natürlich setzen
Vereinheitlichter Schreibfilter (Unified Write Filter, UWF)

So machen wir das hier schon einige Jahre erfolgreich für ähnliche Szenarien.

Eine gute Idee. Dann muss der Benutzer aber sehr aufpassen, dass er während der Benutzung nicht mehr oder weniger absichtlich einen Reboot auf dem Laptop startet. Dann ist alles hin, oder verstehe ich den Mechanismus falsch?
Mitglied: 149569
149569 16.01.2022 aktualisiert um 16:39:46 Uhr
Goto Top
Zitat von @raba34:
Eine gute Idee. Dann muss der Benutzer aber sehr aufpassen, dass er während der Benutzung nicht mehr oder weniger absichtlich einen Reboot auf dem Laptop startet.
Nein, Ausnahmen für Verzeichnisse oder Laufwerke welche persistent sind darfst du natürlich selbst definieren.
Dann ist alles hin,
Nö nur das wofür du keine Ausnahmen definierst.
oder verstehe ich den Mechanismus falsch?
Wohl, noch nicht so ganz, lies dich mal ein dann bekommst du einen besseren Eindruck von den Möglichkeiten.

Ich habe das meist so das für das angelegte Userprofil-Verzeichnis eine Ausnahme gilt, sonstiges wie OS und Programme etc. sind geschützt, bei Ende der Nutzung wird das Profil einfach gelöscht und dann vom Admin einfach neu angelegt. Da im "DefaultUser"-Profil eine cleane Vorlage dieses Profils liegt ist danach alles wieder so wie es zu Beginn war.
Mitglied: wiesi200
wiesi200 17.01.2022 um 09:05:17 Uhr
Goto Top
Zitat von @raba34:

Zitat von @wiesi200:

Hallo,

darf ich mal fragen warum die nicht im Netzwerk integriert sind?
Ich hab auch so "Leihgeräte". Wenn die mal einer braucht melden sich die Leute mit dem eigenen Profil an und gut ist.

Und der nächste meldet sich dann mit seinem eigenen Profil an, das unabhängig ist

Sie nehmen die Geräte nach Hause und müssten sich dann über VPN im Betrieb anmelden. Ist das so gemeint? Ich nehme das mal als Anregung. Ob das jemand konfiguriert, ist fraglich, da der überwiegende Teil der Geräte im Hause fest angeschlossen ist oder einen lokalen RADIUS-Server nutzt.

Ob die jetzt zwingend VPN brauchen hängt nicht maßgeblich davon ab ob die Laptops im Firmennetzwerk integriert sind. Sondern ob die Daten aus dem Firmennetzwerk brauchen. Die Laptops puffen die Anmeldedaten zwischen und funktionieren dann auch ohne Verbindung. Die Erstanmeldung muss aber im Firmennetzwerk erfolgen.

Blöd kann es auch werden wenn die Geräte am Stück sehr lange außer Haus sind.
Mitglied: raba34
raba34 17.01.2022 um 16:01:19 Uhr
Goto Top
Hallo ihr alle,

vielen Dank für eure aufschlussreichen Beiträge.

Beim Lesen und weiteren Nachdenken über das Problem ist mir die folgende "Entschärfung" eingefallen, die einen unabhängig vom Firmennetzwerk machen könnte, und das geht so:

Das Notebook wird zentral einmal so konfiguriert, dass es einen Adminaccount und einen allgemeinen Benutzeraccount hat. Das ist der momentane Zustand. Aber jetzt kommt der Unterschied: das Passwort zum Adminaccount kennt eine Vertrauensperson in der Abteilung. Kommt das Notebook zurück, meldet sich diese Person als Admin an und führt einen einzigen Befehl aus. Damit wird der Benutzerbereich zurückgesetzt und hierfür sind keine speziellen Computerkenntnisse erforderlich. Außerdem wird kein Admin belastet.

Was meint ihr dazu? Geht so etwas?

Gruß
Ralph
Mitglied: 149569
149569 17.01.2022 aktualisiert um 16:14:09 Uhr
Goto Top
Was meint ihr dazu? Geht so etwas?
Ja siehe mein letztes Kommentar oben , so in der Art mache ich das hier auch. Vorlage ist das DefaultUser Profil, davon wird das neue Userprofil automatisch abgeleitet. Und das alte gelöscht.
Nur eben zusätzlich ergänzt um den UFW damit bestimmte Bereiche einfach nicht überschieben werden und somit die Funktionsfähigkeit der Maschine erhalten bleibt so lange der User das Teil nutzt, damit weitere Supportfälle ausbleiben, sollte jemand auf die Idee kommen an der Mühle anfangen zu Operieren.

Als Alternative habe ich hier intern auch nen PXE Server über den ich schnell übers Netz ein cleanes Image auf die Mühle ziehen kann sollte es notwendig sein.
Heiß diskutierte Beiträge
general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic35 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 21 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Vorkehrungen für einen StromausfallahussainVor 21 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...