User clonen und Passwort ändern

hufe

Cadet 1st Year
Registriert
März 2021
Beiträge
14
Vorbemerkung:
Es geht um eine Organisation mit vielen Niederlassungen. In jeder Niederlassung gibt es Arbeitsgruppen, bestehend aus Gruppenleiter und Gruppenmitglieder. Jeder Gruppenleiter, wie ich, erhält zwei Notebooks, wovon eines davon im Normalfall (aber nicht immer) der Gruppenleiter hat und eines für die restlichen Gruppenmitglieder zur Verfügung steht. Das ist natürlich nicht sehr viel, aber für die Gruppenarbeit nicht so entscheidend.

Jedes Notebook ist vorinstalliert mit einem Useraccount Gruppenleiter, Gruppenmitglied und Netzadministrator. Somit gibt es drei Passwörter, die dem Gruppenleiter bekannt sind. Alle Notebooks haben die gleichen Passwörter, sodass sich eine Gruppe von der anderen Gruppe Notebooks ausleihen kann. Wir Gruppenleiter vertrauen uns alle zu 100 Prozent, jedoch ist nicht auszuschließen, dass irrtümlich irgendein Fehler passiert.

Frage:
Daher möchte ich den Gruppenleiteraccount für mich clonen und dafür ein eigenes Passwort vergeben. Ich kenne mich mit Windows nicht so sehr aus und möchte dabei auch keine Fehler begehen und will das auf meinem privaten PC zuerst (Win 10 Pro) probieren. Welche Lizenz das Notebook hat, muss ich mir erst genau ansehen. Mir ist auch nicht klar, ob bei der Vorinstallation unterschiedliche Rechte für den Gruppenleiter und die Gruppenmitglieder vergeben werden. Ich gehe aber davon aus, dass es beim Clonen eines Gruppenleiteraccounts wieder die gleichen Rechte gibt und ich somit nichts falsch machen kann.

Kann man also einen Account clonen bzw. wie gehe ich am besten vor, um einen "zweiten Gruppenleiteraccount" mit eigenem Passwort zu erstellen?
 
Hat deine Organisation keine IT, die sich um sowas kümmert? Irgendwer richtet die Notebooks ja auch initial ein. Als Laie selbstständig Useraccounts anzulegen und mit Rechten zu hantieren, ist normalerweise das absolut Letzte, was man von Seiten der IT möchte.

Im Idealfall hättest du auch gar nicht die Rechte, sowas zu tun, aber das ganze Konstrukt klingt eher nach "historisch gewachsen" und nicht stringent durchgeplant.
 
  • Gefällt mir
Reaktionen: madmax2010
Hi...

hufe schrieb:
[...] Organisation mit vielen Niederlassungen. [...]
Wahrscheinlich sind dort alle Benutzerkonten in Domänen/AD DC verwaltet, daher ist das eine (fünf Minuten dauernde) Aufgabe für einen Admin der IT(-Abteilung) - da wird das Benutzerprofil geklont und mit der Option versehen, bei erster Anmeldung ein frei wählbares Kennwort zu vergeben und zu speichern.
 
Hat deine Organisation keine IT, die sich um sowas kümmert?

Unsere IT ist sehr beschäftigt und deswegen haben wir als Gruppenleiter alle Passwörter und gehen verantwortungsvoll damit um. Deshalb frage ich ja auch hier.

aber das ganze Konstrukt klingt eher nach "historisch gewachsen" und nicht stringent durchgeplant.

Ja, das läuft seit vielen Jahren so und hat noch nie zu Problemen geführt.

Mit dem Notebook wird nicht viel gemacht, ein wenig Office insbesondere Textverarbeitung und Internet, vor allem Browser und E-Mail. Mir ist keine Datenbankanwendung bekannt, die intern läuft. Alle Datenbanken sind von jedem beliebigen Browser und jedem beliebigen PC erreichbar. Als lokaler Serverdienst fällt mir nur ein gemeinsamer Drucker ein. Ich meine, es ist in Coronazeiten, wo sowieso viel zu tun ist, nicht der optimale Zeitpunkt über strukturelle Veränderungen zu diskutieren.

Es gibt verschiedene Gründe, warum ich einen eigenen User möchte:

1. Datenschutzrechtliche Gründe: In der Regel kommen nur E-Mails an, die an alle Gruppenleiter gerichtet sind. Geantwortet wird auf diese E-Mails in der Regel nicht. Es ist aber nicht auszuschließen, dass es ein paar Mal im Jahr vielleicht auch individuelle E-Mails gibt, womit der Datenschutz dann nicht gegeben wäre. Ähnliches gilt für Textdokumente.

2. Es ist nicht zu 100 Prozent auszuschließen, dass ein anderer Gruppenleiter eines meiner Dokumente unabsichtlich löscht. Für die Sicherung meiner Dateien bin ich selbst verantwortlich. Im Normalfall sichere ich wichtige Dinge auf meinem privaten PC im Homeoffice, wofür ich auch die Erlaubnis habe.

Wahrscheinlich sind dort alle Benutzerkonten in Domänen/AD DC verwaltet

Das glaube ich aufgrund der Nutzungssituation nicht, denn alle Tätigkeiten kann man von jedem beliebigen Computer ausführen. Wie kann man das prüfen?

Ich ersuche um die grundsätzliche Beantwortung meiner Frage, ob man lokal einen Benutzer clonen kann.
 
hufe schrieb:
Es gibt verschiedene Gründe, warum ich einen eigenen User möchte:
Über das Warum bist Du ja keine Rechenschaft schuldig - evtl. hilft zwar eine Erklärung den Zweck besser nachvollziehen zu können, ist aber für den angefragten Vorgang überhaupt nicht notwendig.
hufe schrieb:
Für die Sicherung meiner Dateien bin ich selbst verantwortlich. Im Normalfall sichere ich wichtige Dinge auf meinem privaten PC im Homeoffice, [...]
Richtig - wobei sich sowas auch mit einem USB-Datenträger (als permanent verfügbares Sicherungsmedium) einfach erledigen lassen würde.
hufe schrieb:
Wie kann man das prüfen?
Das sollte anhand der Benutzer-Profilliste ersichtlich sein.

Jetzt zum Wesentlichen:
hufe schrieb:
[...] ob man lokal einen Benutzer clonen kann.
Ja, da gibt's sogar mehrere Wege. 😉

Funktionieren sollte es so:
1. Eingabeaufforderung (cmd) als Admin starten.
2. Befehl net user "neuerUser" "Kennwort" /add (ohne Anführungszeichen) eingeben und bestätigen - "neuerUser"=Name des neuen Benutzerkontos, "Kennwort"=beliebig (kurz), kann später jederzeit geändert werden.
3. Abmelden und mit neuem Benutzer(konto) anmelden.
4. Rechner neu starten und als Aministrator (nicht Benutzer) anmelden.
5. Eigenschaften von Dieser PC aufrufen, dann Erweiterte Systemeinstellungen und dann auf der Registerkarte im Abschnitt "Benutzerprofile" Einstellungen wählen.
6. Hier dann mittels Kopieren nach... das alte in das neue Benutzer-Profil kopieren und dabei den neuen User als Besitzer angeben (wichtig!!!) - nur so weden alle Einstellungen (inkl. Registry) übernommen und auch die Rechte korrekt gesetzt.
7. Abmelden und als neuer Benutzer anmelden - kontrollieren, ob das neue (alte) Profil richtig geladen wird.
 
  • Gefällt mir
Reaktionen: hufe
Vielen Dank für die konstruktive Antwort!

Über das Warum bist Du ja keine Rechenschaft schuldig
Ich wollte nur begründen, warum mein Anliegen legitim ist. Es könnte ja auch sein, dass ich mein Ziel irgendwie anders umsetzen kann.

Eingabeaufforderung (cmd) als Admin starten.

Ich kann mir zwei Möglichkeiten vorstellen.
1. Ich melde mich als Gruppenleiter an und starte die Eingabeaufforderung mit Administratorrechten.
2. Ich melde mich als Netzadmin an. Dann sollte ich die notwendigen Rechte in der Konsole automatisch haben, oder?
 
hufe schrieb:
[...] als Netzadmin [...]
Genau in der Bedeutung in Eurem Fall (?) war meine Anfrage bzgl. der Domänen-/ AD DC-Zugehörigkeit...ist aber für ein lokales Konto irrelevant - und daher wäre auch die Bezeichnung nicht richtig.
Ein "Netzadmin" würde im Netzwerk administrativ rechtlich gleichgesetzt mit "ich darf im gesamten Netzwerkverbund überall alles einstellen" - das dürfte/sollte in solch einem Verbund auch für eure Konstellation aus rein sicherheitstechnischer Sicht nicht sein, noch nehme ich an, das es tatsächlich so existiert. Sollte dem wider so sein, kann ich nicht umhin, zu behaupten, dass da jemand seinen Job nicht richtig macht...

hufe schrieb:
Ich kann mir zwei Möglichkeiten vorstellen.
Unnötig - meine Beschreibung ging aus von dem aktuell angemeldeten Benutzer (User-Konto). Aber die Variante nach Pt. 1 war eher gemeint, wenn bei Euch der "Gruppenleiter" einem normalen Benutzer-Account entspricht.
Man könnte es natürlich auch vom Administrator-Konto aus initieren, allerdings entbindet das nicht von der Anmeldung/Einrichtung des neuen lokalen Benutzerkontos. Das ist erforderlich, um alle strukturell notwendigen Systemdateien für diesen Benutzer erstmalig zu erstellen. Auf dem anderen Weg wird nur künstlich ein weiterer Schritt im Ablauf notwendig.
Und nein, mit der manchmal recht eigenwilligen Windows-Rechteverwaltung hat man sogar auch als angemeldeter Administrator nicht automatisch überall freieste Administrationsrechte - zwar logisch nicht (immer) sinnig, ist aber leider (oft) so!

Zeig gerne mal einen Screenshot von den Benutzerprofilen... (Beispiel - sollte so ähnlich aussehen)
Fenster_Benutzerprofile.jpg
 
Zuletzt bearbeitet:
Vielen Dank für deine Mühen! Ich habe sonst auch viel zu tun und brauche etwas Zeit, um das Konzept zu verstehen. So wie es aussieht, ist der User Netadmin ein beliebiger Benutzer mit Administratorrechten. Jedenfalls sieht es vergleichbar zu deinem Screenshot aus. Typ und Status sind immer lokal.

Mir ist mittlerweile klar geworden, dass es schon Zugriffe auf einen Server gibt. Es gibt Netzlaufwerke, auf die Gruppenleiter das Recht haben zu speichern und Gruppenmitglieder nicht. Es gibt auch einen Netzwerkdrucker bzw. Scanner. Hier stellt sich für mich die Frage, ob ich nicht doch die IT brauche, sodass der neue User darauf zugreifen kann. Das sollte ja nach meinem Verständnis eine Einstellung auf dem Server sein, außer es gibt eine Gruppenberechtigung, die beim Kopieren des Kontos mitkopiert wird.

Bis jetzt probiere ich nur auf meinem privaten PC und schaffe es nicht es so umzusetzen wie du beschrieben hast.

Auf meinem PC hat der erste User Administratorrechte und weitere User gab es nicht. Diesen User konnte ich nicht kopieren, vermutlich, weil er Administratorrechte hat. Den Administratoraccount wollte ich bei mir nicht freischalten, da ich dies am Notebook nicht machen möchte. Ich habe daher in der grafischen Oberfläche einen User cornelia bei Familie angelegt, der Mitglied von "Benutzer" ist im Gegensatz zu meinem Benutzer, der Mitglied von Administrtaor ist. Der Gruppenleiter ist ebenfalls Mitglied von "Benutzer". Somit sollten die Rechte am privaten PC vergleichbar sein.

Ab jetzt verstehe ich die Logik nicht. Gruppenleiter und Gruppenmitglied haben ja unterschiedliche Zugriffsrechte auf Netzlaufwerke und das dürfte im Standardprofil ja nicht hinterlegt sein.

Von diesem Benutzer ausgehend bin ich nach deiner Anleitung vorgegangen. Ich könnte zu dem neuen Benutzer nur das Standardprofil kopieren, aber ich will ja das Profil von "cornelia" (entspricht Gruppenleiter) nach "ich" kopieren. Wenn es also am Server (Netzlaufwerk) keine Gruppenberechtigung gibt, dann brauche ich meiner Meinung nach die IT Abteilung, damit sie dem neuen User die entsprechende Berechtigung gibt. Damit wäre das jetzige Konzept gesprengt und würde eine Lawine an Änderungen für alle Gruppenleiter auslösen. Es gibt ja mehrere Niederlassungen.

Ich sehe da nicht wirklich einen Unterschied zum Anlegen über die grafische Oberfläche, wenn ich sowieso nur den Standardbenutzer auswählen kann.
 

Anhänge

  • benutzer_screenshot.png.png
    benutzer_screenshot.png.png
    25,1 KB · Aufrufe: 210
Ich müsste zum Klonen mal Nachfragen:
Ist das Klonen eines (nicht angemeldeten) Benutzrer[kontos] durch den Administrator eine Frage von Home oder Pro? In meinem Dialogfeld kann ich (ZItat) «wenn ich sowieso nur den Standardbenutzer auswählen kann.» eben genau nur diesen Standarduser klonen (effiektiv idnetisch mit dem normalen Anlegen).
Falls eine Pro-Frage, gibt es einen Wprkaround?

CN8
 
Tja, niemand hat behauptet, dass Benutzerverwaltung in Netzwerkumgebungen einfach sei - genau aus diesem Grund gibt's ja in der Regel besonders ausgebildete Fachleute dafür. 😉

Es ist schon problematisch (bis sogar unmöglich) aus der Ferne dazu die passende Lösung zu präsentieren, ohne genaue und defizile Kenntnisse von der Netzstruktur bzw. -organisation zu haben.
Sowas reicht halt von der Benutzerverwaltung über Dienste- und Appnutzung bis zur Einbindung von Hardware aller Art und anderem, und bietet so zu viele Unwägbarkeiten.

Dazu mal ein kleiner Exkurs:
Grundsätzlich kann man in einem Netzwerkverbund jeden Rechner als "Server" betreiben und entsprechend definieren bzw. einrichten - inwieweit das so sinnvoll ist, lassen wir mal beiseite.
Meist ergeben sich solche Konstellationen aus finanziellem Grund, da grade für Einzel-/Kleinunternehmer selten ein umfangreiches Budget für die seriös und legal korrekte, serverbasierte IT-Infrastruktur zur Verfügung steht. Überwiegend funktioniert das auch, um z. B. gemeinsam genutzten Dateien einen zentralen Speicherplatz zu bieten oder Zugriff zu Geräten zu haben, und auch Server-/Client-basierte Anwendungen laufen meistens. Mit mehr oder weniger manuellem Aufwand lassen sich sogar auch noch individuelle Anforderungsanpassungen vornehmen. Allerdings bleiben dabei schon elementare Dinge, wie z. B. Daten- und Systemsicherheit sowie zentrale Administration neben vielem Anderen außen vor.
Bei einer serverbasiert aufgebauten Netzwerkstruktur sieht's dagegen etwas anders aus - vieles lässt sich viel defiziler einstellen und justieren. Insgesamt wird die Administration einfacher, obwohl durch mehr nutzfähige Funktionalitäten eigtl. mehr Aufwand betrieben werden müßte. Darunter fällt auch und insbesondere die Benutzerverwaltung - wie schon zuvor von mir angemerkt, bedeutet in der Windows-Welt die Verwendung des Begriffs Administrator leider nicht (immer) "Administrator=darf absolut alles". Dem steht das Administrator-Konto mit lokal absolut administrativen Rechten entgegen.

Jetzt zu Deinem Verständnis:
hufe schrieb:
So wie es aussieht, ist der User Netadmin ein beliebiger Benutzer mit Administratorrechten. [...] Typ und Status sind immer lokal.
Typ und Status sagen nur aus, dass das lokale Benutzerprofil lokal (auf dem Rechner) gespeichert ist - sonst leider nix.
Evtl. lässt sich in der Computerverwaltung > Benutzer und Gruppen > Benutzer sowie unter den jeweiligen Eigenschaften (siehe Administrator-Konto) weiteres erkennen. Selbstverständlich können auch dort (ausgehend von den Rechten des aktuellen Benutzers) alle Benutzeroperationen durchgeführt werden.

hufe schrieb:
Das sollte ja nach meinem Verständnis eine Einstellung auf dem Server sein, außer es gibt eine Gruppenberechtigung, die beim Kopieren des Kontos mitkopiert wird.
Das muß nicht unbedingt so sein, kann aber durchaus - tricky ist halt das Zusammenspiel diverser Definitionen, wie z. B. Benutzerkonten, -rechte, Gruppenzugehörigkeit, Freigaben, etc.

hufe schrieb:
Somit sollten die Rechte am privaten PC vergleichbar sein.
Nein, wohl (leider) nicht - ein Benutzerkonto kann durchaus der gleichen (im Übrigen auch frei definierbaren) Benutzergruppe angehören und trotzdem durch eine defizil gesteuerte Konfigurierung (auch schon im Vorweg des Erstellens) dieses Benutzerkontos, z. B. mittels sog. Gruppenrichtlinien (GPO) oder administrativer Vorlagen (ADM Templates), mit anderen Rechten ausgestattet sein.

hufe schrieb:
[...] das dürfte im Standardprofil ja nicht hinterlegt sein.
Wenn man von einem Standard-Setup für den Konsumer-/Endanwenderbereich ausgeht, nein - aber es gibt auch Möglichkeiten selbst so ein Standardprofil für die Massenverteilung vorzukonfigurieren.

hufe schrieb:
Ich könnte zu dem neuen Benutzer nur das Standardprofil kopieren, aber ich will ja das Profil von "cornelia" (entspricht Gruppenleiter) nach "ich" kopieren.
Hier besteht auch leider schon eine Fehlannahme:
1. lässt sich gem. dem Windows-naturell ein lokales Benutzerprofil in Benutzung nicht klonen resp. kopieren - hierfür wäre m. W. n. mind. ein der Gruppe Administratoren zugehöriger Benutzer nötig, besser aber das mit der Win-Installation erstellte aber (meistens) inaktive Administrator-Konto (vllt. war meine vorige Anleitung dahingehend nicht deutlich genug!?).
2. das Benutzerprofil "cornelia" kann hier aufgrund seiner Erstellung nicht dem erwünschten Profil "Gruppenleiter" entsprechen.

hufe schrieb:
Wenn es also am Server (Netzlaufwerk) keine Gruppenberechtigung gibt, [...]
Ist halt die Frage - evtl. könnten Zugriffsrechte für unterschiedliche Benutzer(gruppen) über die Laufwerksfreigabe definiert sein.

hufe schrieb:
[...] dann brauche ich meiner Meinung nach die IT Abteilung, damit sie dem neuen User die entsprechende Berechtigung gibt.
Entspräche ja den anfangs gegebenen Empfehlungen.
 
Zurück
Oben