Seppim 14 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Hallo, gibt es eine Möglichkeit, einen Domänen Admin User für einen einmaligen Login einzurichten und danach er selber ein neues Passwort vergibt? Hintergrund: Falls eine sehr wichtige Software Installation auf einem Client PC nötig ist, sollte per Email ein Kennwort zugesendet werden, das genau einmal gilt. Wenn man bei der Installation nach einem Admin User gefragt wird, kann man genau einmal nutzen. Danach ist der account automatisch mit einem neuem Passwort versehen und das wird auf meine Mail Adresse gesendet oder sonst wo sicher abgelegt. Der User soll nur zur Installation für Programme genutzt werden. Er soll sich nie auf einen PC oder Server einloggen können. Ist dieses Szenario möglich? Danke! Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Hi, Domänen Administratoren haben nichts auf Client PCs verloren. Ebenso sind diese nicht für die Installation von Software nötig. I.d.R. administriert man mit diesen nur die Domain Controller. Wie soll der User Software installieren, wenn er sich nicht anmelden darf? Das könnte man mit LAPS oder AdmPwd.E (sofern ein Domain Account gebraucht wird) angehen. Je nachdem wie bei euch Software eingeführt wird, wäre wohl eine entsprechende Software Deployment Lösung die beste Wahl. Gruß Jan Zitieren Link zu diesem Kommentar
Seppim 14 Geschrieben 18. September 2020 Autor Melden Teilen Geschrieben 18. September 2020 Hallo, es ist für einen Kunden. Es kann sein das plötzlich eine Software zu installieren ist. Die Idee wäre, wenn er das Setup als normaler User startet, er ein Admin Konto mit einem "Einmal Passwort" bekommt ... dann kann er die Software installieren. Jedoch soll der Admin Account danach nicht weiter verfügbar sein. Es wäre eine schnelle Notlösung wenn eben eine Software zu installieren ist und kein Admin im Haus ist. Der User selbst ist natürlich schon angemeldet Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Moin, vergiss es. Weder kann Windows sowas von Haus aus, noch wirst du sowas sinnvoll einrichten können. Denk nur an Folgendes: Sobald der User sich als Admin anmelden kann, kann er sich mit diesem Zugriff ein weiteres Adminkonto anlegen. Da kannst du dann das Kennwort des ursprünglichen Accounts ändern, solange du willst, das wird den User schlicht nicht mehr interessieren. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Seppim 14 Geschrieben 18. September 2020 Autor Melden Teilen Geschrieben 18. September 2020 Hallo Nils, ja stimmt schon. Habe dies mal gefunden: https://www.dynasys.de/produkte/emergency-admin-manager/ sowas hatte ich halt im Auge aber theoretisch: Ich erstelle per Script pro PC einen Temporären Admin und erlaube aber nur auf dem eigenen PC sich einzuloggen Kennwort halte ich bei mir vorerst Software muss installiert werden und benötigt einen Admin account Per Script wird das Password zugesendet nach 2min wird ein Abmelden erzwungen (ist das möglich?) neues Passwort per Script neu setzen Was könnte der User machen? Falls er den Account zum anmelden am PC nutzt, könnte er sich nur auf einem Client anmelden und würde nach 2min (oder welche zeit auch immer) automatisch abgemeldet und kein weiteres Login wäre möglich. Er könnte eventuell als Admin ein Script starten. Aber kann man den Temporären Admin Account nicht weiter per GPO einschränken? Ziel wäre das er nur eine Software installieren darf und sonst nichts. Falls ja, könnte man das ja mit einem Script machen, oder nicht? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Moin, Sorry, aber das ist doch Unsinn. Dieses Tool tappt genau in dieselbe Falle. Admin ist Admin, und genau da liegt der Fehler bei dem ganzen Ansatz. Gruß, Nils 1 1 Zitieren Link zu diesem Kommentar
MrCocktail 194 Geschrieben 19. September 2020 Melden Teilen Geschrieben 19. September 2020 Hier kann ich Nils wie so oft nur zustimmen, gib mir 30sec einen DomAdmin und deine Domain gehört mir (länger brauche ich nicht, um die Powershell zu starten und einen neuen Account in der Gruppe der Dom Admins zu erstellen. Wenn "nur" eine Admin Berechtigung auf dem Client gebraucht wird, kann man das mit entsprechenden Rechten bauen, aber auch hier, hat der User für eine Weile Admin Rechte, kann er sich auch einen neuen lokalen Admin bauen. Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 19. September 2020 Melden Teilen Geschrieben 19. September 2020 vor 22 Stunden schrieb Seppim: Es wäre eine schnelle Notlösung wenn eben eine Software zu installieren ist und kein Admin im Haus ist. Besteht denn für irgendjemanden Gefahr für Leib oder Leben? Wenn nicht - ist es kein Notfall. Würdest Du denn im Wartezimmer beim Arzt im Zweifel dem neben Dir wartenden Patienten ein Skalpell in die Hand drücken, weil gerade der Doktor nicht verfügbar ist? Es gibt Software-Verteilungslösungen, die dem Benutzer die Installation von (freigegebener/entsprechend vorbereiteter) Software ermöglichen, ohne Admin-Berechtigungen zu haben. Zitieren Link zu diesem Kommentar
Seppim 14 Geschrieben 19. September 2020 Autor Melden Teilen Geschrieben 19. September 2020 ok, den Gedanken habe ich nun verworfen Danke an alle! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.