Hilfe
Neues Thema
Antworten
Hallo,
ich suche nach einer Möglichkeit bei einem Benutzer (in diesem Fall der Admin) eine Meldung erscheinen zu lassen, wenn dieser versucht sich abzumelden. Die Abmeldung sollte dadurch wenn möglich verhindert werden.
Gibt es sowas? Ich konnte bisher nichts finden.
Vielen Dank für eure Bemühungen!
Seite 1 von 1
Benutzerabmeldung verhindern / Warnung vor Abmeldung
#1
Munki 
geschrieben 02. August 2018 - 09:50
Nach oben
#2
RalphS
- Gruppe: VIP Mitglieder
- Beiträge: 8.895
- Beigetreten: 20. Juli 07
- Reputation: 1.126
- Geschlecht:Männlich
- Wohnort:Zuhause
- Interessen:Ja
geschrieben 02. August 2018 - 17:09
Das klingt erstmal nach einer verdammt schlechten Idee. 
Darf ich fragen, was Du damit erreichen möchtest? Vielleicht kriegt man das auch anders erledigt, ohne daß ein Benutzer in die Verlegenheit kommt, sich nicht abmelden zu *können*.
Darf ich fragen, was Du damit erreichen möchtest? Vielleicht kriegt man das auch anders erledigt, ohne daß ein Benutzer in die Verlegenheit kommt, sich nicht abmelden zu *können*.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie
#3
Funraver
geschrieben 02. August 2018 - 18:32
Ich vermute eher, das hier gemeint ist, das eine Warnung erscheint,
und nicht generell das Abmelden verhindert werden soll.
Sowas in der Art wie genau das Gegenteil vor Anmeldung
'Drücken sie strg+alt+entf zum Anmelden'.
Also im Grunde nur eine Sicherheitsfrage
'Wollen sie sich wirklich vom Admin-Konto abmelden?' oder
'Achtung sie sind noch als Admin angemeldet! Wirklich abmelden?'
Wenn man auf ok klickt dann abmelden oder halt abbrechen klicken.
Ist das so gemeint?
Leider weiss ich dazu auch gerade keine Lösung.
und nicht generell das Abmelden verhindert werden soll.
Sowas in der Art wie genau das Gegenteil vor Anmeldung
'Drücken sie strg+alt+entf zum Anmelden'.
Also im Grunde nur eine Sicherheitsfrage
'Wollen sie sich wirklich vom Admin-Konto abmelden?' oder
'Achtung sie sind noch als Admin angemeldet! Wirklich abmelden?'
Wenn man auf ok klickt dann abmelden oder halt abbrechen klicken.
Ist das so gemeint?
Leider weiss ich dazu auch gerade keine Lösung.
Dieser Beitrag wurde von Funraver bearbeitet: 02. August 2018 - 18:32
#4
RalphS
- Gruppe: VIP Mitglieder
- Beiträge: 8.895
- Beigetreten: 20. Juli 07
- Reputation: 1.126
- Geschlecht:Männlich
- Wohnort:Zuhause
- Interessen:Ja
geschrieben 02. August 2018 - 20:24
Hm... ich sag mal so, es "müßte" - wenn ich nicht vollends irre -- ein Logoff-Event geben, welches man abfangen kann.
Und es gibt in den Sicherheitsrichtlinien zumindest die Möglichkeit, Shutdownvorgänge auf Benutzer und -gruppen einzuschränken, wobei ich aber nicht sicher bin, ob das "Logoff" mit einschließt (oder zusätzlich ermöglicht).
Das wäre dann per GPO zuweis- und verteilbar.
Nur: mir erschließt sich der Nutzen nicht. Eher im Gegenteil: Wenn sich jetzt ein Admin, der ohnehin mehr darf als ein "normaler" Anwender, abmelden will,zB zum Neustarten oder weil er was gegen Bildschirmsperren hat und vom PC weg will, oder sonst irgendwas, und das geht nicht wegen interaktivem Dialog, der erst bestätigt werden muß, dann wird das mit ziemlicher Sicherheit dazu führen, daß sich irgendein Admin irgendwann eben NICHT erfolgreich abmeldet und ein anderer buchstäblich seine Session übernehmen kann - muß ja nur noch "nein, ich will mich nicht abmelden" anklicken.
Und das seh ich problematisch.
Wenn natürlich das ursprüngliche Problem ein anderes ist, dann kann man das vielleicht auf jene Situation so reduzieren, daß solche Lücken im System nicht entstehen.
Und es gibt in den Sicherheitsrichtlinien zumindest die Möglichkeit, Shutdownvorgänge auf Benutzer und -gruppen einzuschränken, wobei ich aber nicht sicher bin, ob das "Logoff" mit einschließt (oder zusätzlich ermöglicht).
Das wäre dann per GPO zuweis- und verteilbar.
Nur: mir erschließt sich der Nutzen nicht. Eher im Gegenteil: Wenn sich jetzt ein Admin, der ohnehin mehr darf als ein "normaler" Anwender, abmelden will,zB zum Neustarten oder weil er was gegen Bildschirmsperren hat und vom PC weg will, oder sonst irgendwas, und das geht nicht wegen interaktivem Dialog, der erst bestätigt werden muß, dann wird das mit ziemlicher Sicherheit dazu führen, daß sich irgendein Admin irgendwann eben NICHT erfolgreich abmeldet und ein anderer buchstäblich seine Session übernehmen kann - muß ja nur noch "nein, ich will mich nicht abmelden" anklicken.
Und das seh ich problematisch.
Wenn natürlich das ursprüngliche Problem ein anderes ist, dann kann man das vielleicht auf jene Situation so reduzieren, daß solche Lücken im System nicht entstehen.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie
#5
Sturmovik
- Gruppe: aktive Mitglieder
- Beiträge: 3.776
- Beigetreten: 10. Januar 08
- Reputation: 445
- Geschlecht:unbekannt
- Wohnort:In Reichweite der Kaffeemaschine
- Interessen:IT, Luftfahrt, historische Technik
geschrieben 02. August 2018 - 20:37
Dazu, wie man den Logoff unterbrechen kann, kann ich zwar nichts beisteuern, aber fuer die, die sich nach dem Sinn einer solchen Geschichte fragen, ein kleines Beispiel aus dem wirklich wahren Leben:
Ein Applikationsserver, auf dem ein nicht ganz unwichtiges Stueck Software laeuft, und zwar in einem Apache Tomcat. Selbiger wird ueber ein cmd-script gestartet, was aus mir unbekannten Gruenden nur im Administrator-Account funktioniert.
Folglich muss auf diesem System immer der Adminaccount angemeldet bleiben, da die Applikation in seiner Sitzung laeuft.
Abmelden -> Produktionsstillstand.
Disclaimer: Ja, ich weiss, dass man das auch sauber als Dienst laufen lassen koennte, hat der zustaendige Drittdienstleister aber eben nicht getan.
Das ist halt der reale Irrsinn im IT-Alltag.
Ein Applikationsserver, auf dem ein nicht ganz unwichtiges Stueck Software laeuft, und zwar in einem Apache Tomcat. Selbiger wird ueber ein cmd-script gestartet, was aus mir unbekannten Gruenden nur im Administrator-Account funktioniert.
Folglich muss auf diesem System immer der Adminaccount angemeldet bleiben, da die Applikation in seiner Sitzung laeuft.
Abmelden -> Produktionsstillstand.
Disclaimer: Ja, ich weiss, dass man das auch sauber als Dienst laufen lassen koennte, hat der zustaendige Drittdienstleister aber eben nicht getan.
Das ist halt der reale Irrsinn im IT-Alltag.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#6
RalphS
- Gruppe: VIP Mitglieder
- Beiträge: 8.895
- Beigetreten: 20. Juli 07
- Reputation: 1.126
- Geschlecht:Männlich
- Wohnort:Zuhause
- Interessen:Ja
geschrieben 02. August 2018 - 21:21
Okay, ja, das sind tatsächlich irrsinnige Implementierungen. 
Über Tomcat und deren seltsames Bootstrapping bin ich auch schon gestolpert.
Wenn geht, wie Du sagst, als Dienst bauen oder einen Dienst drumrumbauen.
Eventuell kann man das auch als Task laufen lassen: Fast so gut wie ein Dienst, erfordert aber keinen echten Windows-Dienst und läuft in einer eigenen Session.
Wenn das auch nicht geht... dann wird's schon schwieriger, aber wie Du andeutest, ist dann auch die Frage, welche Art Zugriff man überhaupt hat, wie/in welcher Form man da rankommt und was man entsprechend tun könnte.
Ich möcht aber dennoch anmerken, daß wenn man Logoff (erfolgreich) verbietet, dann funktioniert Shutdown implizit auch nicht mehr, weil der vom erfolgreichen Logoff abhängt. Man kann das ggf. noch erzwingen, aber was DAS dann für Auswirkungen auf das nicht-willentliche Benutzerkonto hat...
Das Nächste, was mir dazu einfällt, wäre, einen Systemdienst zu implementieren, welcher die nativen Logoff-Routinen vor dem OS versteckt und durch eigene überschreibt. Jene benutzerdefinierten Routinen könnten dann Logoff-Anforderungen stillschweigend übergehen, müßten aber gleichzeitig eine Möglichkeit bereitstellen, zB durch Übergabe eines zusätzlichen Parameters jene Sperre zu überwinden, um bei Bedarf das Konto doch noch abmelden und so die Maschine sauber runterfahren oder neustarten zu können (und sei es nur zum Installieren von Windowsupdates) was man dann aber notwendigerweise händisch machen muß.
Das wird also schon ein bissel aufwendiger.
Aber, durchaus möglich, daß ich grad den Wald vor Bäumen nicht seh, daher YMMV.
Über Tomcat und deren seltsames Bootstrapping bin ich auch schon gestolpert.Wenn geht, wie Du sagst, als Dienst bauen oder einen Dienst drumrumbauen.
Eventuell kann man das auch als Task laufen lassen: Fast so gut wie ein Dienst, erfordert aber keinen echten Windows-Dienst und läuft in einer eigenen Session.
Wenn das auch nicht geht... dann wird's schon schwieriger, aber wie Du andeutest, ist dann auch die Frage, welche Art Zugriff man überhaupt hat, wie/in welcher Form man da rankommt und was man entsprechend tun könnte.
Ich möcht aber dennoch anmerken, daß wenn man Logoff (erfolgreich) verbietet, dann funktioniert Shutdown implizit auch nicht mehr, weil der vom erfolgreichen Logoff abhängt. Man kann das ggf. noch erzwingen, aber was DAS dann für Auswirkungen auf das nicht-willentliche Benutzerkonto hat...
Das Nächste, was mir dazu einfällt, wäre, einen Systemdienst zu implementieren, welcher die nativen Logoff-Routinen vor dem OS versteckt und durch eigene überschreibt. Jene benutzerdefinierten Routinen könnten dann Logoff-Anforderungen stillschweigend übergehen, müßten aber gleichzeitig eine Möglichkeit bereitstellen, zB durch Übergabe eines zusätzlichen Parameters jene Sperre zu überwinden, um bei Bedarf das Konto doch noch abmelden und so die Maschine sauber runterfahren oder neustarten zu können (und sei es nur zum Installieren von Windowsupdates) was man dann aber notwendigerweise händisch machen muß.
Das wird also schon ein bissel aufwendiger.
Aber, durchaus möglich, daß ich grad den Wald vor Bäumen nicht seh, daher YMMV.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie
#7
Funraver
geschrieben 02. August 2018 - 21:49
Man konnte doch mal über Gruppenrichtlinen diese User-Logon/Logoff
Scripte was einstellen.
Der Script muss dann nur erkennen wer der angemeldete Benutzer ist,
und entsprechend den Log Off Prozess stoppen, die Warnung anzeigen,
und ggf. fortfahren.
Hier ist ein Programmierer gefragt, ich hab das vergessen, das ist
schon lange her wo ich so spezielle Sachen mit Servern gemacht habe..
Auf die Schnelle habe ich das hier gefunden:
Windows Server 2008 User Logoff Script
Und hier ein Logoff Script Schnipsel wo beim Abmelden geprüft wird ob ein USB-Stick noch eingesteckt ist
Vielleicht kann da jemand was mit anfangen..
Scripte was einstellen.
Der Script muss dann nur erkennen wer der angemeldete Benutzer ist,
und entsprechend den Log Off Prozess stoppen, die Warnung anzeigen,
und ggf. fortfahren.
Hier ist ein Programmierer gefragt, ich hab das vergessen, das ist
schon lange her wo ich so spezielle Sachen mit Servern gemacht habe..
Auf die Schnelle habe ich das hier gefunden:
Windows Server 2008 User Logoff Script
Und hier ein Logoff Script Schnipsel wo beim Abmelden geprüft wird ob ein USB-Stick noch eingesteckt ist
Vielleicht kann da jemand was mit anfangen..
#8
Munki
geschrieben 07. August 2018 - 07:21
Hallo erstmal und danke für die vielen Antworten! WOW!
den Sinn dahinter hat der Herr Sturmovik schon passend beschrieben.
Über den Admin läuft ein Server von Deutz (Motorenhersteller) welcher alle 10 min Daten abgleicht. Wenn der Datenabgleich z.B. durch den abgemeldeten Admin nicht mehr funktioniert wirft das Programm (für Ersatz, Motorenteile etc.) mit welchem die User arbeiten, Fehlermeldungen aus.
Ich habe auf das Programm leider keinen Einfluss.
Ich werde die Idee von Funraver aufgreifen. Sobald ich was gescheites zustande bekomme poste ich das hier rein.
Vielen Dank!!
den Sinn dahinter hat der Herr Sturmovik schon passend beschrieben.
Über den Admin läuft ein Server von Deutz (Motorenhersteller) welcher alle 10 min Daten abgleicht. Wenn der Datenabgleich z.B. durch den abgemeldeten Admin nicht mehr funktioniert wirft das Programm (für Ersatz, Motorenteile etc.) mit welchem die User arbeiten, Fehlermeldungen aus.
Ich habe auf das Programm leider keinen Einfluss.
Ich werde die Idee von Funraver aufgreifen. Sobald ich was gescheites zustande bekomme poste ich das hier rein.
Vielen Dank!!
#9
Sturmovik
- Gruppe: aktive Mitglieder
- Beiträge: 3.776
- Beigetreten: 10. Januar 08
- Reputation: 445
- Geschlecht:unbekannt
- Wohnort:In Reichweite der Kaffeemaschine
- Interessen:IT, Luftfahrt, historische Technik
geschrieben 07. August 2018 - 07:39
Du solltest hier vielleicht keine Firmennamen nennen, Betriebsgeheimnisse und so.
Bin ich froh, dass ich mit dem Laden nix mehr zu tun hab...
Bin ich froh, dass ich mit dem Laden nix mehr zu tun hab...
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
- ← WSUS auf 2008 Server an Windows 10
- Windows Server 2008 R2 & Server 2008
- Benutzerrechte von active directory Benutzern anzeigen →
Thema verteilen:
Seite 1 von 1