Wie kann ich mich bei einem Benutzerkonto in einer Domain anmelden, ohne das Benutzerkennwort zu zerstören?

Ich bin der Domänenadministrator. Gibt es eine Möglichkeit, mich als Benutzer an einer Workstation anzumelden, ohne deren Kennwort zu kennen?

Ich weiß, dass ich das Benutzerkennwort von Active Directory zurücksetzen kann. Aber sagen wir, ich habe das getan. Wie kann ich ihr altes Passwort zurücksetzen, nachdem ich es vorübergehend auf etwas zurückgesetzt habe, das ich kenne?

BEARBEITEN:

Es ist ein guter Gedanke zu glauben, dass wir alles über Gruppenrichtlinien konfigurieren können und dass Benutzer sogar klug genug sind, um grundlegende Assistenten für die erstmalige Verwendung auszuführen. Dies ist jedoch eine Realitätsfrage, keine theoretische. Ich stimme Ihnen zu, aber wenn ich aufgefordert werde, Outlook auf einem Benutzer-Desktop zu konfigurieren, werde ich deren Anfrage ohne Argument nachkommen.

Und dies ist natürlich ein ethischer Zugang, während der Endbenutzer mit mir telefoniert.

Imho - Die beste Lösung wäre die Verwendung eines Client-Management-Tools, mit dem Sie eine laufende Benutzersitzung für die Zeit der Behebung des technischen Problems (*) aus der Ferne überholen können.

Sie würden den Benutzer zuerst anrufen und ihn / sie bitten, sicherzustellen, dass alle geöffneten Programme / Fenster geschlossen werden, die möglicherweise die Zugriffsbeschränkungen gemäß den Unternehmensgesetzen einschränken, und - falls die private Nutzung der Unternehmenscomputer zulässig ist - alle Programme / Fenster zu schließen das kann damit zusammenhängen. Darüber hinaus informiert das Verwaltungstool Ihren Benutzer über Ihre Übernahme durch eine Meldung wie: "Möchten Sie admin-xyz die Kontrolle über Ihren Desktop ermöglichen?", Und der Benutzer muss dies bestätigen. Eine weitere gute Sache bei dieser Art von Software ist, dass der Benutzer sehen kann, was Sie auf seinem Computer tun. Viel transparenter als "Dinge im Dunkeln reparieren".

Ich stimme auch dem Kommentar von nhinkle voll und ganz zu - fragen Sie Ihre Benutzer nicht nach ihren Passwörtern! Eine Sache ist der erwähnte Social-Engineering-Faktor, die andere ist, dass Sie sich vor Herzinfarkten schützen müssen, indem Sie wissen, auf welche erstaunlichen Passwörter sich Ihre Benutzer verlassen.

• iDesktop, TightVNC, TeamViewer, Landesk usw ..

Als Domänenadministrator müssen Sie sich am Computer anmelden können. Normalerweise wird auf dem Bildschirm Folgendes angezeigt: Nur XXXX oder ein Administrator können diese Sitzung entsperren.

Sie geben sich unter Windows niemals als Benutzer aus. Sie wechseln jedoch den Benutzer und verwalten dann die Sitzung und beenden schließlich die Benutzersitzung.

Übrigens sehe ich keinen Fall, in dem Sie sich als Benutzer ausgeben müssten.

Als Referenz können Sie sich mssocial ansehen .

Ich verstehe beide Seiten dieser politischen Debatte. Es ist "am besten", sich nie als solche anzumelden, aber in kleinen Läden haben Sie oft nicht die Werkzeuge, um dies zu tun. Wenn Sie den Benutzer nicht nach seinem Passwort fragen möchten (ich bin damit einverstanden, dass Sie nicht danach fragen sollten), besteht die einzige Option, die ich gesehen habe, darin, sein PW zu ändern. Wenn Sie es dann so eingestellt haben, dass es abläuft, teilen Sie ihm das neue mit. Wenn sie sich erneut anmelden, werden sie dazu aufgefordert und können es wieder in das alte ändern ... es sei denn, Sie haben Ihre AD GPO-Kennwortrichtlinie so festgelegt, dass X alte Kennwörter gespeichert werden. In diesem Fall ist die einzige Option eine neue.

Ändern Sie es und teilen Sie ihnen mit, dass es geändert wurde (stellen Sie es so ein, dass es sich beim ersten Gebrauch ändert, wenn Sie fertig sind, damit sie es in etwas ändern können, das sie möchten).