Wie kann ich mich bei einem Benutzerkonto in einer Domain anmelden, ohne das Benutzerkennwort zu zerstören?

8

Ich bin der Domänenadministrator. Gibt es eine Möglichkeit, mich als Benutzer an einer Workstation anzumelden, ohne deren Kennwort zu kennen?

Ich weiß, dass ich das Benutzerkennwort von Active Directory zurücksetzen kann. Aber sagen wir, ich habe das getan. Wie kann ich ihr altes Passwort zurücksetzen, nachdem ich es vorübergehend auf etwas zurückgesetzt habe, das ich kenne?

BEARBEITEN:

Es ist ein guter Gedanke zu glauben, dass wir alles über Gruppenrichtlinien konfigurieren können und dass Benutzer sogar klug genug sind, um grundlegende Assistenten für die erstmalige Verwendung auszuführen. Dies ist jedoch eine Realitätsfrage, keine theoretische. Ich stimme Ihnen zu, aber wenn ich aufgefordert werde, Outlook auf einem Benutzer-Desktop zu konfigurieren, werde ich deren Anfrage ohne Argument nachkommen.

Und dies ist natürlich ein ethischer Zugang, während der Endbenutzer mit mir telefoniert.

Servermanfail
quelle

Antworten:

3

Imho - Die beste Lösung wäre die Verwendung eines Client-Management-Tools, mit dem Sie eine laufende Benutzersitzung für die Zeit der Behebung des technischen Problems (*) aus der Ferne überholen können.

Sie würden den Benutzer zuerst anrufen und ihn / sie bitten, sicherzustellen, dass alle geöffneten Programme / Fenster geschlossen werden, die möglicherweise die Zugriffsbeschränkungen gemäß den Unternehmensgesetzen einschränken, und - falls die private Nutzung der Unternehmenscomputer zulässig ist - alle Programme / Fenster zu schließen das kann damit zusammenhängen. Darüber hinaus informiert das Verwaltungstool Ihren Benutzer über Ihre Übernahme durch eine Meldung wie: "Möchten Sie admin-xyz die Kontrolle über Ihren Desktop ermöglichen?", Und der Benutzer muss dies bestätigen. Eine weitere gute Sache bei dieser Art von Software ist, dass der Benutzer sehen kann, was Sie auf seinem Computer tun. Viel transparenter als "Dinge im Dunkeln reparieren".

Ich stimme auch dem Kommentar von nhinkle voll und ganz zu - fragen Sie Ihre Benutzer nicht nach ihren Passwörtern! Eine Sache ist der erwähnte Social-Engineering-Faktor, die andere ist, dass Sie sich vor Herzinfarkten schützen müssen, indem Sie wissen, auf welche erstaunlichen Passwörter sich Ihre Benutzer verlassen.

  • iDesktop, TightVNC, TeamViewer, Landesk usw ..
Desasteralex
quelle
Ich mag diese Lösung, aber die meisten kosten Geld. Und da bereits eine vollständige Microsoft Server / Client-Architektur bereitgestellt wurde, wäre es hilfreich, die integrierten Methoden zu verwenden.
Servermanfail
1
Die Windows-Remoteunterstützung ist integriert und kostenlos.
MDMarra
2

Als Domänenadministrator müssen Sie sich am Computer anmelden können. Normalerweise wird auf dem Bildschirm Folgendes angezeigt: Nur XXXX oder ein Administrator können diese Sitzung entsperren.

Sie geben sich unter Windows niemals als Benutzer aus. Sie wechseln jedoch den Benutzer und verwalten dann die Sitzung und beenden schließlich die Benutzersitzung.

Übrigens sehe ich keinen Fall, in dem Sie sich als Benutzer ausgeben müssten.

Als Referenz können Sie sich mssocial ansehen .

M'vy
quelle
Richtig, Sie geben sich niemals ohne dessen Wissen direkt als Benutzer aus. Sie können die Funktion "Remote Assistance" verwenden, bei der der Benutzer Sie aktiv auffordert, die Maschine fernzusteuern, während sie anwesend ist. Funktioniert unter Vista / Win7 viel besser als unter XP.
Rmalayter
"Übrigens sehe ich keinen Fall, in dem Sie sich als Benutzer ausgeben müssten." - Wie wäre es, Outlook für sie zu konfigurieren?
Kenny
Dafür gibt es noch andere Werkzeuge: wie hier, denke ich.
M'vy
Das Problem dabei ist, dass ich nicht gespeicherte Arbeit auf dem Desktop des Benutzers verlieren könnte. Außerdem konfiguriert die gesamte Übung etwas im Namen des Benutzers in seinem eigenen Profil.
Servermanfail
1

Ich verstehe beide Seiten dieser politischen Debatte. Es ist "am besten", sich nie als solche anzumelden, aber in kleinen Läden haben Sie oft nicht die Werkzeuge, um dies zu tun. Wenn Sie den Benutzer nicht nach seinem Passwort fragen möchten (ich bin damit einverstanden, dass Sie nicht danach fragen sollten), besteht die einzige Option, die ich gesehen habe, darin, sein PW zu ändern. Wenn Sie es dann so eingestellt haben, dass es abläuft, teilen Sie ihm das neue mit. Wenn sie sich erneut anmelden, werden sie dazu aufgefordert und können es wieder in das alte ändern ... es sei denn, Sie haben Ihre AD GPO-Kennwortrichtlinie so festgelegt, dass X alte Kennwörter gespeichert werden. In diesem Fall ist die einzige Option eine neue.

Bret Fisher
quelle
0

Ändern Sie es und teilen Sie ihnen mit, dass es geändert wurde (stellen Sie es so ein, dass es sich beim ersten Gebrauch ändert, wenn Sie fertig sind, damit sie es in etwas ändern können, das sie möchten).

Windos
quelle
17
Nein . Fragen Sie NIEMALS einen Benutzer nach seinem Passwort. Dies ist eine wichtige Richtlinie in der IT-Administration. Den Benutzern muss beigebracht werden, dass niemand, einschließlich IT-Mitarbeiter, jemals nach ihrem Passwort fragen wird. Dies hilft, Social-Engineering-Angriffe zu verhindern.
nhinkle
Guter Punkt, Kommentar entfernt.
Windos
Dies ist die realistischste Methode, die bisher vorgeschlagen wurde, aber wenn ich den Benutzer anrufen und ihm das neue Passwort über das Telefon mitteilen möchte, werden sie es zweifellos aufschreiben. Ich könnte sie genauso gut weniger und gerechter belästigen Erhalten Sie ihr aktuelles Passwort selbst über das Telefon.
Servermanfail
Es ist immer noch eine schreckliche Praxis, nach ihrem Passwort zu fragen. Jemand könnte sich telefonisch als Sie ausgeben und Ihre Kunden nach ihren Passwörtern fragen. Es ist nicht wahrscheinlich, aber ich bin sicher, dass es irgendwann jemandem passiert ist. Außerdem überzeugt es sie, dass die IT irgendwann ihr Passwort benötigt. Ich möchte lieber einen Weg finden, wie sie sich selbst anmelden (über Remotedesktop) oder ihr Passwort ändern können. Sie müssen es dann zurück oder zu etwas anderem ändern, aber c'est la vie und Sie sind geschützt.
Joshua Nurczyk