AD zusätzlich Passwort schützen

[lukluk]

Hallo Zusammen.
Ich habe folgendes Problem hier in einer kleinen Domänenumgebung:
Ein Mitarbeiter hat auf seinem Rechner einige AD Freigabe eingebunden. Soweit so gut. Nun kommt es des öfteren vor dass ein anderer Mitarbeiter kurz an den gleichen Rechner an eine bestimmte Software muss, die aber nur auf diesem PC lizenziert ist. Die Software ist aber geöffnet vom Mitarbeiter 1. Der Mitarbeiter 2 soll aber wenn möglich keine Einsicht auf gewisse Laufwerke haben. Ein Benutzerwechsel fällt aus, da die Software mit entsprechender Datei eh geöffnet ist und es zu umständlich wäre immer wieder alles zu schließen und umzumelden.
Kann ich gewisse Freigaben nochmals durch Passworteingabe sperren? Hatte schon mit Veracrypt und verschlüsselten Containern versucht. Ist aber auch alles nicht wirklich freundlich in einer funktionierenden Domäne.
Gibt es andere Lösungsansätze?

 

[Nacrana]

Ein Benutzerwechsel fällt aus, da die Software mit entsprechender Datei eh geöffnet ist und es zu umständlich wäre immer wieder alles zu schließen und umzumelden.

Die Antwort hast du dir grad selbst gegeben.

Es ist mE grob fahrlässig in so einer Umgebung jemanden anderen an den angemeldeten Benutzer ran zu lassen.
Insbesondere dann, wenn dort Dinge sind, die jemand anderes nicht zu sehen hat.
Szenario: Dinge passieren. Wer ist der Schuldige? Na der Nutzer, der angemeldet war. Auch wenn er es dann nicht war. Er hätte den Zugang sperren müssen.

Was sagt denn der Datenschützer / BR / PR in der Firma dazu?

Workaround:
Schonmal überlegt die Software auf ne VM, welche auf nem (Terminal-)Server liegt zu schieben(oder Fileserver w/e)?
Dann kann jeder der berechtigt ist sich gern remote raufschalten und mit dem Programm arbeiten.

 

[lukluk]

Ja auch die Überlegung war schon da. Es handelt sich allerdings um große CAD-Baugruppen, die schon lokale Rechenleitung benötigen. Aber dann muss ich entweder weiter mit Ab/Anmeldung arbeiten, oder ein kleines Notebook daneben stellen.

 

[Nacrana]

Das wäre mir alles zu heiß.
Ab/Anmeldung erzwingen.
Arbeits-/ Dienstanweisung herausgeben und unterschreiben lassen.
GG.

Wenn dann einer dumme Dinge tut, ja gut, hat er halt verloren.
Aber du kannst dir sagen, hast alles richtig gemacht und die Schuld ist woanders zu suchen.

Viel Erfolg!

 

[passat3233]

Oder die Software schlicht auf einem zweiten Rechner lizensieren.

Man sollte NIE zwei Benutzer mit dem gleichen Benutzeraccount arbeiten lassen.
Und die Weitergabe von Passwörtern etc. ist per Dienstanweisung zu verbieten und mit arbeitsrechtlichen Schritten zu sanktionieren.
Sobald man den Platz verlässt, sollte man seinen PC sperren, geht ganz einfach, indem man WIN+L drückt.

 

[lukluk]

Die Software weiter zu lizenzieren wäre nicht das Problem. Problem ist eher die große CAD-Baugruppe zu schließen und wieder zu öffnen. Aber hilft nichts und werde ich so machen.
Danke für die Hilfe

 

[gtawelt]

Möglich aber hässlich:

- Dem Benutzer die Rechte für die geschützten Laufwerke entziehen
- 2. Benutzer anlegen mit Berechtigungen auf geschützte Laufwerke
- Batch Script auf dem Desktop welches die geschützten Laufwerke trennt
- Batch Script welche die Laufwerke wieder verbindet, Passwort für den 2. Account muss dann eingegeben werden

Hauptbenutzer darf den Platz dann niemals verlassen ohne die Laufwerke zu trennen

 

[lukluk]

hatte ich schonmal versucht.allerdings scheint ja ein windows client nur eine domäne anmeldung zuzulassen,oder nicht?

 

[passat3233]

Nö.
Es geht auch ein lokale Anmeldung.
Da muss man dann allerdings vor den lokalen Benutzernamen den PC-Namen setzen:
PC-Name\lokaler Benutzername.
Zudem muß dann natürlich auf dem PC das entsprechende lokale Benutzerkonto angelegt sein.