Jump to content

Recommended Posts

Hallo zusammen. 

Ich habe folgendes Problem. Wir stellen Geräte her, mit welchen etwas getestet wird. Unser Service und unsere Produktion muss diese Geräte vor der Auslieferung ausgiebig testen und Kalibrieren. Diese Tests können schon mal mehrere Tage dauern. Nun kann es passieren, dass ein User, welcher diesen Test laufen lässt, ausfällt. Dadurch kann sich, würden die Kennwörter geheim gehalten werden, kein anderer am System anmelden und auf die Tests, die Ergebnisse und Ähnliches zugreifen. Aus diesem Grund hat mein Vorgänger auch keine Kennwortrichtlinie eingeführt. Dies möchte ich aber tun und dabei aber die Arbeitsabläufe der Abteilungen nicht beeinträchtigen. 

Aus diesem Grund überlege ich, Benutzerkennungen zu erstellen, welche von mehreren Usern genutzt werden. Diese haben dann nur die Berechtigung, auf ein Verzeichnis im Netzt zugreifen zu können. Oder es werden lokale Kennungen, die auch nur lokal schreiben können. Beides gefällt mir aber eigentlich auch nicht. Und nun kommt Ihr, gibt es noch andere Möglichkeiten und wenn ja, welche?

 

Umgebung: AD, 2 DC, Win Server 2012 R2, WIN 7 und WIN 10 Clients,

Ist hierfür noch was nötig? Dann Fragen.

 

Danke allen im Voraus

Share this post


Link to post
Share on other sites

Du kannst bei den Userkonten, die keine Kennwortrichtlinie bekommen sollen, einfach den Haken setzen, Kennwort läuft nicht ab. Am besten richtet man für solche speziellen Konten keine normalen Accounts ein, sondern eben nur dafür vorgesehene. Wenn man sich mit diesen speziellen Accounts nicht an 'normalen' PCs nicht amelden soll, dann kannst Du das auch per GPO einrichten.

  • Thanks 1

Share this post


Link to post
Share on other sites

Moin,

 

weitergehend wäre die Frage, ob solche Accounts überhaupt im produktiven AD richtig aufgehoben sind. Aus Sicherheitssicht wäre zu prüfen, ob man für diese Tests nicht ein separates AD einrichtet. Schließlich habt ihr offenbar eine ganze Reihe von Sessions, die unbeaufsichtigt laufen - und das dann künftig vielleicht auch noch mit Shared Accounts. 

 

Gruß, Nils

 

  • Thanks 1

Share this post


Link to post
Share on other sites

Ich würde für so was ja auf lokale Accounts zurückgreifen - schließlich hängt das Testequipment ja wohl auch lokal an einem PC. Das Übertragen zur Domäne kann dann ein Task oder sonst was übernehmen, der mit dem Computeraccount läuft (der halt berechtigt sein muß).

  • Thanks 1

Share this post


Link to post
Share on other sites
vor 9 Stunden schrieb daabm:

Ich würde für so was ja auf lokale Accounts zurückgreifen - schließlich hängt das Testequipment ja wohl auch lokal an einem PC. Das Übertragen zur Domäne kann dann ein Task oder sonst was übernehmen, der mit dem Computeraccount läuft (der halt berechtigt sein muß).

Das war auch meine Favoritenidee. Danke daabm! Das Equipment hängt zwar nicht direkt am PC, das bekomme ich aber hin. Ich werde wohl wirklich einen Benutzer auf den betreffenden (oder auf allen) Rechnern erstellen (per GPO?) und dann ein Abmeldescript erstellen, welches die generierten Daten auf einen Share der Domäne verteilt.

Share this post


Link to post
Share on other sites

Das hier ist nur die Möglichkeit so etwas zu machen: https://www.gruppenrichtlinien.de/de/artikel/verwaltung-der-lokalen-administratoren/

Denk einfach dabei an die lokalen Konten, die Du anlegen möchtest.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...