geocast
Goto Top

Laptop im AD Passwort änderung Remote

Hallo zusammen

Ich suche schon eine Weile im Internet, aber finde leider nichts dazu. Ich wollte mich nur über eine Funktion vom AD informieren.

Wenn ich ein Laptop zur AD hinzufüge und Passwort änderung auf z.B. 90 Tage setze. Was passiert nach den 90 Tagen und das Laptop ist nicht mit der Domain verbunden? Dann würde es ja ein Konflikt geben.

Kann man eine Richtlinie hinzufügen, dass das Passwort erst wieder geändert wird, wenn das Laptop wieder in der Domäne ist?

Ich weiß, es gibt die Möglichkeit mit VPN. Aber das würde ich gerne Unterbinden, da man sonst mit der Bandbreite zu kämpfen bekommt (Upload sei dank). Zusätzlich geht es noch um die Lizenzkosten für den VPN Client die ich gerne Sparen würde.

Vielen Dank für eine Aufklärung.

Content-Key: 235617

Url: https://administrator.de/contentid/235617

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: Pjordorf
Pjordorf 15.04.2014 um 19:22:45 Uhr
Goto Top
Hallo,

Zitat von @geocast:
Was passiert nach den 90 Tagen
Der Anwender wird aufgefordert sein Passwort zu ändern. Kann er dies tun oder ist er nur über den Laptop am Arbeiten welcher aber nicht an deine Domäne hängt?

und das Laptop ist nicht mit der Domain verbunden?
Hat dieser Anwender noch einen anderen Client oder möglichkeiten sich an deiner Domäne anzumelden?

Dann würde es ja ein Konflikt geben.
Warum? Wenn dein Laptop nicht in deiner Domäne ist, wie soll dann auf den DC das Passwort geändert werden? ein Laptop nutzt also sein ihm bekanntes Passwort, nämlich seine ihm bekannten "Zwischengespeicherte Anmeldungen" und zwar für die Anzahl der Anmeldungen welche du festgelegt hast (oder der welcher die GPOs baut)

Kann man eine Richtlinie hinzufügen, dass das Passwort erst wieder geändert wird, wenn das Laptop wieder in der Domäne ist?
Nein.

Gruß,
Peter
Mitglied: geocast
geocast 15.04.2014 aktualisiert um 21:24:54 Uhr
Goto Top
Habe mich evtl. etwas falsch Ausgedrückt. Das Laptop ist in der Domain registriert und hat die Richtlinie bekommen, dass das Passwort nach 90 Tagen geändert werden muss. Nun ist aber der Mitarbeiter daheim und nicht physikalisch mit der Domäne verbunden und das Passwort läuft ab. Er muss es nun daheim ändern. Aber es stimmt nicht mehr mit dem der AD überein. Wenn er jetzt wieder in die Firma kommt und sich Anmelden will, dann gibt es doch einen Konflikt.

Grüße
Stefan
Mitglied: DerWoWusste
DerWoWusste 15.04.2014 um 21:53:24 Uhr
Goto Top
Hi.

Das Laptop ist in der Domain registriert und hat die Richtlinie bekommen...
Nicht wirklich. Die Richtlinie, die der Laptop bekommt gilt für lokale Konten, um Domänenkonten kümmert sich allein Dein DC. Der Laptop kann also ohne Domänenzugang nicht entscheiden, für einen Domänennutzer eine Kennwortänderung anzufordern.
Mitglied: Pjordorf
Lösung Pjordorf 15.04.2014, aktualisiert am 16.04.2014 um 15:24:19 Uhr
Goto Top
Hallo,

Zitat von @geocast:
Habe mich evtl. etwas falsch Ausgedrückt.


verbunden und das Passwort läuft ab.
Und zwar in der Domäne läuft das Passwort ab und soll geändert werden, nicht auf sein Laptop. Der Laptop hat nur zwischengespeicherte Anmeldedaten. Das Laptop ist kein DC mit einem AD. Und nur im AD wird das Passwort des Domänenbenutzers gespeichert oder geändert. Weshalb auch ohne DC ein Anmelden an einer Domäne nicht geht. Dein Laptop hat aber Diese daten zwischengespeichert für x Anzahl Anmeldungen je nach Konfiguration in deiner Default Domain Policy GPO sofern der Domänenbenutzer sich mindestens 1 mal erfolgreich an der Domäne angemeldet hat.

Er muss es nun daheim ändern.
Nein. Wie denn auch und woher soll er es wissen. Die GPO die dies steuert kann er nicht aufrufen geschweige denn Lesen oder Anwenden.

Aber es stimmt nicht mehr mit dem der AD
Er nutzt nach wie vor sein Zwischengespeichertes Anmeldeprofil und dessen Anmeldedaten. Diese sind per GPO definiert und je nach dem mit 10 oder 25 Anmeldungen (Offline) vorgegeben.

Wenn er jetzt wieder in die Firma kommt und sich Anmelden will, dann gibt es doch einen Konflikt.
Nur falls er sich am Laptop anmeldet ohne sich mit dem Netz und der Domäne vorher verbunden zu haben.

Er kommt in der Firma, hängt sein laptop ans LAN, Schaltet ein und meldet sich an der Domäne an und bekommt die Aufforderung vom DC sein Passwort zu ändern bevor er weitermachen kann. In diesem Szenario wird natürlich nicht das zwischengespeicherte Anmeldeprofil genutzt, sondern sich direkt am DC bedient der ja erreichbar ist. Da wird dann auch sein zwischengespeichertes Anmeldeprofil sofort auch wieder aktualisiert und der Zähler auf 0 gestellt. da gibt es keinen Konflickt. Wie auch?

Wenn er allerdings sich erst am Laptop anmeldet, dann die Verbindung zum DC herstellt (LAN oder WLAN), dann sind Zugriffsprobleme zwangsläufig und auch zwingend zu erwarten. Aberr wer macht soetwas....

Wenn du allerdings nachweislich die Anmeldung an deine DCs anders handhabts oder es bei euch anders läuft dann ignoriere mein geschreibsel.
Gruß,
Peter

http://support.microsoft.com/kb/172931/de
http://blogs.technet.com/b/instan/archive/2011/12/06/cached-logons-and- ...
http://technet.microsoft.com/en-us/library/cc957390.aspx
http://support.microsoft.com/kb/911605/de
http://social.technet.microsoft.com/Forums/en-US/6f9389ab-0f93-4837-aea ...
http://technet.microsoft.com/en-us/library/cc755473(v=WS.10).aspx
Mitglied: geocast
geocast 16.04.2014 um 14:20:54 Uhr
Goto Top
Klingt doch schon mal alles viel Logischer. Also müsste man nur die anzahl Anmeldungen auf unendlich von mir aus mal Setzen und er könnte für immer daheim bleiben ohne das sich das Passwort ändern müsste. Nicht empfehlenswert, aber einfach eine Methode.
Mitglied: Pjordorf
Pjordorf 16.04.2014 aktualisiert um 14:48:02 Uhr
Goto Top
Hallo,

Zitat von @geocast:
Also müsste man nur die anzahl Anmeldungen auf unendlich von mir aus mal Setzen
Zeigt du hast nicht begriffen das in den genannten Links (oder von mir auch genannt) die Maximale Anzahl bei 50 liegt, egal was du einträgst. MS macht bei 50 schluß, und damit weder empfehlenswert noch gar machbar. face-smile

Wenn du also ein Laptop hast welches nie in der Domäne mehr reingehangen wird, warum wird der dann überhaupt in der Domäne aufgenommen. Spar dir das dann und lass den dann als Einzelkämpfer laufen. An daten in der Domäne kommt man auch so dran.

Gruß,
Peter
Mitglied: geocast
geocast 16.04.2014 um 14:51:43 Uhr
Goto Top
Hat es gerade gelesen, als ich es Abgeschickt hatte. Manchmal doch zu schnell mit dem Tippen face-smile Danke übringens für die Links!

Meine bedenken sind einfach, wenn jemand doch eine längere Zeit weggeht mit dem Laptop und schafft sich über 50 mal Anzumelden. Dann hat man den Salat...
Mitglied: DerWoWusste
Lösung DerWoWusste 16.04.2014 aktualisiert um 15:24:23 Uhr
Goto Top
Die Zahl 50 steht nicht für die möglichen Offline-Anmeldungen, sondern für 50 verschiedene User, deren Anmeldungen gecached werden können. Also: unendlich ist per default schon gesetzt.
Mitglied: geocast
geocast 16.04.2014 um 15:24:13 Uhr
Goto Top
Und jetzt ist ein Lichtlein aufgegangen. Vielen Dank für die Aufklärung!