theunreal
Goto Top

Lösung für AD-konfig gesucht

Hallo zusammen,

ich lerne grade im selbststudium by "doing" wie es um die ActiveDirectory bestellt ist. Diverse Bücher und v2b haben mich auch recht weit gebracht. Nun habe ich aber eine Aufgabenstellung die mich etwas verzweifeln lässt :

Wir setzen ein hauseigenes ERP System ein. Dieses System basiert auf MSAccess - Das Problem : Sind unter Access Datenbanken noch geöffnet, kann man einige Operationen nicht ausführen.
Haben wir also einen AD Nutzer, der sein ERP abends nicht beendet bzw. der Rechner läuft noch, bleibt nur das abmelden vom Server oder das Herunterfahren des Rechnsers.
Dabei kann aber leider das Backend des ERPs empfindlich crashen, da es nicht geordnet beendet werden kann. Die GF wünscht natürlich, dass das möglich sein muss.
Das ERP Zentral zu beenden fällt raus, da die Prozeduren in Access auch gerne mal hängenbleiben.

Meine Notlösung ist die Implementierung eines tightVNC auf den Clients - aber irgendwie muss es da doch etwas eleganteres geben?

- Gibt es beim AD die Möglichkeit, dem Admin auch das Recht zu geben mit seinem PW in bestehende Accounts einzuwählen?
- RDP kann ich mich in die Bildschirmsession einwählen wenn ich das Kennwort kenne, wie ist es ähnlich oben?

Google spukt zwar eine Menge Ergebnisse aus, aber irgendwie habe ich das Gefühl dass ich flalsche Begriffe verwende. Die meisten Ergebnisse erzählen nur was ich schon weiß :D

Danke im voraus,
Gruß Sascha

Content-Key: 392042

Url: https://administrator.de/contentid/392042

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: Th0mKa
Lösung Th0mKa 08.11.2018 um 11:38:41 Uhr
Goto Top
Zitat von @TheUnreal:

- Gibt es beim AD die Möglichkeit, dem Admin auch das Recht zu geben mit seinem PW in bestehende Accounts einzuwählen?

Nein, das ist nicht möglich.

/Thomas
Mitglied: emeriks
Lösung emeriks 08.11.2018 um 11:59:16 Uhr
Goto Top
Hi,
wenn Du das Passwort des Benutzers kennst und sich dieser vie RDP an diesem Rechner anmelden darf, dann kannst Du Dich via RDP auf der Workstation anmelden und bekommst dann die laufende Sitzung, kannst dort also die laufenden Programme "sauber" schließen.

Siehe lokale Gruppe "Remotedesktopbenutzer".

E.
Mitglied: sabines
sabines 08.11.2018 aktualisiert um 12:09:27 Uhr
Goto Top
Zitat von @TheUnreal:


Wir setzen ein hauseigenes ERP System ein. Dieses System basiert auf MSAccess - Das Problem : Sind unter Access Datenbanken noch geöffnet, kann man einige Operationen nicht ausführen.
Haben wir also einen AD Nutzer, der sein ERP abends nicht beendet bzw. der Rechner läuft noch, bleibt nur das abmelden vom Server oder das Herunterfahren des Rechnsers.

Moin,

auf Access Basis gehört sich eigentlich nicht mehr, das ist mehr etwas für die DVD Verwaltung.
Und am besten wird so etwas über erzieherische Maßnahmen verfolgt.
Für den vnc Zugriff muss i.d.R. ein Betreibsrat (so vorhanden) zustimmen, immerhin kannst Du ja in die aktive Sitzung und mitlesen.

Gruss
Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 08.11.2018 um 12:14:36 Uhr
Goto Top
Hallo,

mir würde zu der Fragestellung folgende Antworten einfallen:

1. Der Client mit einem "shutdown –f" zu einen geordenten Herunterfahren bringen.
2. ERP auf Accessbasis geht ja gar nicht, ergo die Datenbanken in einen anständigen MS-SQL-Server migrieren.
Mitglied: DerWoWusste
Lösung DerWoWusste 08.11.2018 um 13:12:49 Uhr
Goto Top
Hi.

Was leistet denn tightvnc für dich? Du kommst damit nicht in das Konto des Nutzers, hne sein Kennwort zu kennen.
Solltest Du wirklich in die Sitzung des Nutzers müssen (warum?), dann lies mal

https://www.borncity.com/blog/2018/09/23/rdp-hijacking-fr-rds-und-remote ...
Mitglied: TheUnreal
TheUnreal 08.11.2018 um 13:46:16 Uhr
Goto Top
Richtig - aber die Passwörter sollten ja nicht bekannt sein
Mitglied: TheUnreal
TheUnreal 08.11.2018 um 13:52:10 Uhr
Goto Top
Hi und danke für den Link - Ich hatte das schon wieder aus den Augen verloren.

Also wenn ich den TightVNC(Server - sorry) auf dem Client installiere, kann ich für 2 Modi Passwörter wählen - Kontrolle und Zuschauen. Dazu gebe ich 2 verschiedene PWs an. Ich habe es zugegebener Maßen noch nicht im AD-Umfeld probiert, aber zumindest der lokal angemeldete User bekommt eine Meldung dass ich verbunden bin, und ich kann ohne sein PW, mit Hilfe des "Kontroll-PW's" am PC in der aktuellen Benutzersession arbeiten.
Mitglied: erikro
erikro 08.11.2018 um 13:52:31 Uhr
Goto Top
Moin,

Zitat von @TheUnreal:
Wir setzen ein hauseigenes ERP System ein. Dieses System basiert auf MSAccess - Das Problem : Sind unter Access Datenbanken noch geöffnet, kann man einige Operationen nicht ausführen.

Das ist das kleinste der Probleme bei Access.

Haben wir also einen AD Nutzer, der sein ERP abends nicht beendet bzw. der Rechner läuft noch, bleibt nur das abmelden vom Server oder das Herunterfahren des Rechnsers.
Dabei kann aber leider das Backend des ERPs empfindlich crashen, da es nicht geordnet beendet werden kann. Die GF wünscht natürlich, dass das möglich sein muss.

Dann ist die Software offensichtlich für den Gebrauch im Firmennetz nicht geeignet. Wenn sie crashed, weil mal ein User sich nicht ordnungsgemäß abmeldet, dann ist das maximal eine Alphaversion. Was passiert denn, wenn mal ein Rechner abraucht? Oder der Switch kaputt geht? Oder, oder, oder ... Es gibt viele Möglichkeiten, dass ein User aus dem System ungeordnet fliegt. Wenn da jedesmal das Backend empfindlich crashed, dann ist das ein großer Mist. Also Lösung für die GF: Schafft vernünftige Software an.

Das ERP Zentral zu beenden fällt raus, da die Prozeduren in Access auch gerne mal hängenbleiben.

Ach das auch noch. Wurde die Software vielleicht vom Neffen des Chefs programmiert? Der muss ja Ahnung davon haben. Schließlich sitzt er den ganzen Tag vor der Kiste und spielt Doom. face-wink

Meine Notlösung ist die Implementierung eines tightVNC auf den Clients - aber irgendwie muss es da doch etwas eleganteres geben?

Auch keine Lösung. Wie kommst Du drauf, wenn der Rechner gesperrt wurde?

- Gibt es beim AD die Möglichkeit, dem Admin auch das Recht zu geben mit seinem PW in bestehende Accounts einzuwählen?

Nein, natürlich nicht.

- RDP kann ich mich in die Bildschirmsession einwählen wenn ich das Kennwort kenne, wie ist es ähnlich oben?

Der Admin kennt die PWs der User nicht.

Mir scheint, dass da die IT-Abteilung den Geiz der GF ausbaden muss. Als verantwortungsvoller Admin würde ich solche Software niemals auf mein System lassen. Wer weiß, was die noch so für Bugs hat, wenn es schon am grundlegenden hapert.

Liebe Grüße

Erik
Mitglied: TheUnreal
TheUnreal 08.11.2018 um 13:54:15 Uhr
Goto Top
2. ERP auf Accessbasis geht ja gar nicht, ergo die Datenbanken in einen anständigen MS-SQL-Server migrieren.

Müssen solche, doch eher persönlichen, Kommentare sein? Es ist nun einmal so, und wird sich aufgrund deiner Meinung auch nicht ändern. Das vergiftet nur die Stimmung und trägt nicht zu einer Lösung bei.
Mitglied: TheUnreal
TheUnreal 08.11.2018 um 13:56:18 Uhr
Goto Top
Moin, generell alles korrekt - aber als Admin der von der GF bezahlt wird, bekommt man auch mal klare Anweisungen.
Mitglied: erikro
erikro 08.11.2018 um 14:01:57 Uhr
Goto Top
Moin,


Das ist keine Lösung. Das, was da beschrieben ist, ist in Deutschland (und in vielen anderen Ländern auch) illegal.

Liebe Grüße

Erik
Mitglied: erikro
erikro 08.11.2018 um 14:04:07 Uhr
Goto Top
Moin,

Zitat von @TheUnreal:

Moin, generell alles korrekt - aber als Admin der von der GF bezahlt wird, bekommt man auch mal klare Anweisungen.

Ja, sowas passiert. Aber wenn die Anweisung lautet: "Töte den Kollegen Meier!" oder "Klau bei Saturn drei Rechner!" wirst Du sie ja auch nicht ausführen. face-wink

Liebe Grüße

Erik
Mitglied: DerWoWusste
DerWoWusste 08.11.2018 um 14:08:20 Uhr
Goto Top
Das, was da beschrieben ist, ist in Deutschland (und in vielen anderen Ländern auch) illegal.
Nicht, wenn Du es mit den Mitarbeitern schriftlich vereinbarst.
Mitglied: Th0mKa
Th0mKa 08.11.2018 um 14:33:19 Uhr
Goto Top
Zitat von @TheUnreal:
aber zumindest der lokal angemeldete User bekommt eine Meldung dass ich verbunden bin, und ich kann ohne sein PW, mit Hilfe des "Kontroll-PW's" am PC in der aktuellen Benutzersession arbeiten.

Solange die Nutzer noch an ihrem Rechner arbeiten könntest du sie ja auch einfach anrufen. Wenn sie aber nicht mehr da sind ist ihre Sitzung vermutlich auch gesperrt, dann siehst du auch nur die Anmeldemaske.

/Thomas
Mitglied: erikro
erikro 08.11.2018 um 14:40:05 Uhr
Goto Top
Zitat von @DerWoWusste:

Das, was da beschrieben ist, ist in Deutschland (und in vielen anderen Ländern auch) illegal.
Nicht, wenn Du es mit den Mitarbeitern schriftlich vereinbarst.

Doch, da keine Benachrichtigung erscheint, dass Du Dich einklinkst.
Mitglied: DerWoWusste
Lösung DerWoWusste 08.11.2018 aktualisiert um 14:42:30 Uhr
Goto Top
Du kannst mit den Mitarbeitern schriftlich vereinbaren, dass Du zu jederzeit und ohne Benachrichtigung in Ihrem Namen handeln darfst (natürlich das was und wie detailliert beschreiben). Wenn sie das unterschreiben (selbst Schuld), dann bist Du safe.
Mitglied: Vision2015
Lösung Vision2015 08.11.2018 um 14:57:19 Uhr
Goto Top
Moin...
Zitat von @erikro:

Moin,

Zitat von @TheUnreal:
Wir setzen ein hauseigenes ERP System ein. Dieses System basiert auf MSAccess - Das Problem : Sind unter Access Datenbanken noch geöffnet, kann man einige Operationen nicht ausführen.

Das ist das kleinste der Probleme bei Access.
richtig...

Haben wir also einen AD Nutzer, der sein ERP abends nicht beendet bzw. der Rechner läuft noch, bleibt nur das abmelden vom Server oder das Herunterfahren des Rechnsers.
Dabei kann aber leider das Backend des ERPs empfindlich crashen, da es nicht geordnet beendet werden kann. Die GF wünscht natürlich, dass das möglich sein muss.
user remote abmelden... per script!

Dann ist die Software offensichtlich für den Gebrauch im Firmennetz nicht geeignet. Wenn sie crashed, weil mal ein User sich nicht ordnungsgemäß abmeldet, dann ist das maximal eine Alphaversion. Was passiert denn, wenn mal ein Rechner abraucht? Oder der Switch kaputt geht? Oder, oder, oder ... Es gibt viele Möglichkeiten, dass ein User aus dem System ungeordnet fliegt. Wenn da jedesmal das Backend empfindlich crashed, dann ist das ein großer Mist. Also Lösung für die GF: Schafft vernünftige Software an.
das können viele nicht, weil das teilweise zugeschnittene Lösungen sind!

Das ERP Zentral zu beenden fällt raus, da die Prozeduren in Access auch gerne mal hängenbleiben.
na ja...irgendwas ist immer

Ach das auch noch. Wurde die Software vielleicht vom Neffen des Chefs programmiert? Der muss ja Ahnung davon haben. Schließlich sitzt er den ganzen Tag vor der Kiste und spielt Doom. face-wink
face-smile

Meine Notlösung ist die Implementierung eines tightVNC auf den Clients - aber irgendwie muss es da doch etwas eleganteres geben?

Auch keine Lösung. Wie kommst Du drauf, wenn der Rechner gesperrt wurde?
kann sich ja einloggen....

- Gibt es beim AD die Möglichkeit, dem Admin auch das Recht zu geben mit seinem PW in bestehende Accounts einzuwählen?

Nein, natürlich nicht.
nö...

- RDP kann ich mich in die Bildschirmsession einwählen wenn ich das Kennwort kenne, wie ist es ähnlich oben?

Der Admin kennt die PWs der User nicht.
lächerlich! sagt wer bitte... und warum sollte er das nicht könnrn und dürfen!
im vorfeld die private nutzung ausschließen... und der weg ist frei!

Mir scheint, dass da die IT-Abteilung den Geiz der GF ausbaden muss. Als verantwortungsvoller Admin würde ich solche Software niemals auf mein System lassen. Wer weiß, was die noch so für Bugs hat, wenn es schon am grundlegenden hapert.
na dann darfst du als verantwortungsvoller Admin, gleich mal deinen schreibtich räumen- und zuhause darüber nachdenken, warum jetzt ein Dienstleister deinen Job macht!
ich hoffe nicht, du hast frau und kinder......
es ist nicht schön, aber der eine oder andere kunde hat spezial software, meist auch nur für einen bereich- in der regel etwa 10-14 jahre alt- und läuft.. einfach eben- weil es nix neues gibt!

Liebe Grüße
von mir auch

Erik
Frank
Mitglied: TheUnreal
TheUnreal 08.11.2018 um 14:57:39 Uhr
Goto Top
Richtig, aber ich sehe da doch noch einen kleinen qualitativen Unterschied face-smile