Hallo Leuts! Problemstellung: Es gibt ein Labor mit mehreren Prüfständen, die von einem zentralen Rechner aus bedient werden. Es kann immer nur ein Prüfstand gleichzeitig laufen - Parallelbetrieb findet nicht statt. Es gibt einen zentralen Server, auf dem jeder Mitarbeiter seinen eigenen LogIN hat. Der Prüfstandsrechner (Windows 10) hat drei lokale Benutzer für den jeweilingen Prüfstand. Nicht jeder Mitarbeiter darf jeden Prüfstand bedienen. Jetzt kann ich für jeden lokalen Benutzer ein eigenes Passwort vergeben. Wenn sich aber etwas ändert, dann müssen z.b. die Passwörter geändert werden. Frage: Ist es möglich, dass man einen lokalen Benutzer unter Windows 10 einrichtet - z.B. Windkanal - und sich dann dort die Mitarbeiter über den Domänenlogin anmelden können - dann aber nicht ein neuer Benutzer für sie auf den Rechner wie bei einer ersten Neuanmeldung durchgeführt werden kann, sondern dann halt der ausgewählte loakel Benutzer? Für Tipps oder gute Hinweise/Ideen würde ich mich sehr freuen.
Wenn Du Hardware auf das problem werfen kannst: - SmartCard Leser oder - Fingerabdruck scanner Beim Fingerabdruck wird oft der Username verknüpft, dann muss ein Bediener mit multiplen Berechtigungen mehrere Finger verwenden. Hat den Vorteil das die $LUser die Passwörter nicht mehr kennen müssen. In 'ner größeren Firma würde ich mit dem Betriebsrat kurz abklären - bei Fingerabdrücken könnte der Mauern. Ach ja: Manche Fingerabdruck Software erlaubt nur 10 Finger per User. Musst dann bei Dir nachschauen ob das ausreicht.
Jim M. schrieb: > Ach ja: Manche Fingerabdruck Software erlaubt nur 10 Finger per User. > Musst dann bei Dir nachschauen ob das ausreicht. ...kann problematisch werden, wenn einer zwölf Finger besitzt :-)
Jim M. schrieb: > Hat den Vorteil das die $LUser die Passwörter nicht mehr kennen müssen. Klassischer Nachteil: Passwörter kann man ändern, Fingerabücke nicht. Ein grooßer Biometrieanbieter hat erst letztens jede Menge Daten geleaked.
Jim M. schrieb: > Hat den Vorteil das die $LUser die Passwörter nicht mehr kennen müssen. > > In 'ner größeren Firma würde ich mit dem Betriebsrat kurz abklären - bei > Fingerabdrücken könnte der Mauern. Und das zu Recht, denn einen Fingerabdruck kann man nicht mehr ändern, wenn dessen Signatur mal auf freier Wildbahn in Hackerkreisen bekannt ist.
Heiko D. schrieb: > Der Prüfstandsrechner (Windows 10) hat drei lokale Benutzer > für den jeweilingen Prüfstand. Nicht jeder Mitarbeiter darf jeden > Prüfstand bedienen. Falscher Ansatz. Leg für die Prüfstände jeweils eine Benutzergruppe an und ordne die entsprechenden User mit ihren persönlichen Accounts diesen Gruppen zu. Dann hat sich Dein Problem mit öffentlichen Passwörtern von selbst erledigt
guest schrieb: > Leg für die Prüfstände jeweils eine Benutzergruppe an und ordne die > entsprechenden User mit ihren persönlichen Accounts diesen Gruppen zu Das klingt gut. Ich erstelle also z.B. drei Benutzergruppen A, B und C. Benutzergruppe A darf von Mitarbeitern 1,2,5 benutzt werden, B von 1,4,7 und C von 2,8,9. Wenn sich jetzt Mitarbeiter 3 einloggt - entsteht dann für jeden Benutzer ein lokales Konto und ich muss über meine Bediensoftware austesten, zu welcher Benutzergruppe der jweilige User gehört und dann entsprechend die Software sperren - oder haben dann alle Mitarbeiter, die zu Benutzergruppe A gehören, genau den gleichen Desktop, den ich dann entsprechend einrichten kann?
Heiko D schrieb: > Das klingt gut. Ich erstelle also z.B. drei Benutzergruppen A, B und C. Ja, und zwar am besten nicht lokal sondern gleich auf eurem AD/Domaincontroller. > Wenn sich jetzt Mitarbeiter 3 einloggt - entsteht dann für jeden > Benutzer ein lokales Konto Ja. > ich muss über meine Bediensoftware > austesten, zu welcher Benutzergruppe der jweilige User gehört und dann > entsprechend die Software sperren Kommt auf die Software an. Wenn jeder Prüfstand seine eigene SW hat, würde es schon reichen die Lese-/Ausführrechte auf den Programmverzeichnissen nur für die jeweilige Gruppe freizugeben. > oder haben dann alle Mitarbeiter, > die zu Benutzergruppe A gehören, genau den gleichen Desktop, den ich > dann entsprechend einrichten kann? Nein, die haben schon Ihren eigenen Desktop. Normalerweise kannst Du aber über Gruppenrichtlinien auf Deinem AD/Domaincontroller ziemlich detailliert festlegen, was die einzelnen Gruppen und User auf der Kiste dürfen oder eben auch nicht. Und Ihnen damit im Prinzip auch einen definierten Desktop vorsetzen, den Sie nicht ändern können. Ruf einfach mal gpedit.msc auf, dann bekommst Du einen Vorgeschmack davon.
guest schrieb: > Normalerweise kannst Du aber über Gruppenrichtlinien auf Deinem > AD/Domaincontroller ziemlich detailliert festlegen, was die einzelnen > Gruppen und User auf der Kiste dürfen oder eben auch nicht. Heiko D schrieb: > der haben dann alle Mitarbeiter, > die zu Benutzergruppe A gehören, genau den gleichen Desktop, den ich > dann entsprechend einrichten kann? Das geht auch. Dein Zauberwörter heißen "Benutzer- und Gruppenrichtlinien".
guest schrieb: > Kommt auf die Software an. Wenn jeder Prüfstand seine eigene SW hat, > würde es schon reichen die Lese-/Ausführrechte auf den > Programmverzeichnissen nur für die jeweilige Gruppe freizugeben. Danke - das ist die beste Idee glaub ich - ich werde die Sachen, die Du mir erklärt hast, am Wochenende mal testen.
guest schrieb: > Normalerweise kannst Du aber über Gruppenrichtlinien auf Deinem > AD/Domaincontroller ziemlich detailliert festlegen, Dazu sollte man "etwas" Übung/Erfahrung haben. Im Netz sind einige Dokus und Beispiele zu Gruppenrichtlinien.
oszi40 schrieb: > Dazu sollte man "etwas" Übung/Erfahrung haben. Im Netz sind einige Dokus > und Beispiele zu Gruppenrichtlinien. "etwas" ist gut, etwas mehr wäre besser :) So adhoc würd ich mir das auch nicht zutrauen. Bin ja auch "nur" Entwickler und kein Netzi. Da beim OP schon ein Domaincontroller vorhanden ist bin ich halt davon ausgegangen, daß da auch schon jemand mit entsprechendem Wissen existiert.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.