chris239
Goto Top

Domain Passwort remote ändern

Hallo

ich bin noch neu hier und verfasse jetzt direkt mal meine erste Frage face-smile

Wie ihr im Titel der Frage bereits gesehen habt, geht es darum ein Domänen Passwort (Windows Domäne) remote zu ändern. Ich war mir nicht ganz sicher in welchen Bereich diese Frage am besten passt, aber ich denke mal ich habs ganz gut getroffen face-smile

Das Problem ist eigentlich folgendes:

Ein Mitarbeiter der im Außendienst arbeitet will die Mails aus seinem Outlook (vom Exchange Server hier) auf seinem iPhone empfangen. Das klappt auch alles soweit wunderbar (also keine Angst in diese Richtung geht die Frage nicht face-wink ).

Das Problem ist, dass er so gut wie nie im Betrieb ist und auch kein Notebook o.Ä. von uns gestellt bekommt (ist ein wenig kompliziert). Jetzt schlägt allerdings regelmäßig die Policy zu und er muss nach einem gewissen Zeitraum sein Passwort ändern.

Da er aber nur sein iPhone hat, stehe ich hier vor einem Problem.
- Ich kann ihm schlecht sagen, dass er herkommen soll um sein Passwort zu ändern.
- Ich kann ihm auch kein Default Passwort (oder irgendein Passwort) setzen, da er das ja aus Sicherheitsgründen auch wieder ändern müsste, da es halt nur ein Default Passwort ist bzw. da ich es kennen würde.
- Eine Mail Weiterleitung auf einen privaten Account den er selbst verwalten kann kommt aus Datenschutz Gründen nicht in Frage und ein Notebook mit VPN Client kann ich ihm auch nicht eben mal so einfach geben, nur weil mir nichts besseres einfällt.

VPN vom Smartphone bzw. iPhone ins Firmennetz ist bei uns derzeit nicht implementiert (und auch nicht unbedingt geplant), ich sehe es zur Zeit allerdings als einzige Möglichkeit die noch bleibt.


Hat irgendjemand vielleicht noch eine andere Idee, die so einfach ist das ich einfach nicht drauf komme? face-smile

gruß Chris239

Content-Key: 133283

Url: https://administrator.de/contentid/133283

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: Diskilla
Diskilla 12.01.2010 um 16:33:21 Uhr
Goto Top
Hi Chris,

schonmal drüber nachgedacht bei seinem Exchange Konto den Punkt "Kennwort läuft nie ab" zu aktivieren? Wenn du das eurem Datenschutzbeauftragten so erklärst, wie uns hier, und der User ein kennwort hat, das euren Richtlinien entspricht, dann sollte das doch eigentlich kein Problem sein. Immer noch besser, als ewig lange zu suchen und gar keine Lösung zu finden ^^
Wenn jemand eine Lösung hat, immer her damit... ich lerne schließlich auch gerne was neues, aber ich wüsste keine andere Möglichkeit. Allerdings kenne ich mich mit iPhone und dergleichen nicht genug aus, um sagen zu können, was für ein Aufwand es ist darüber eine z.b. vpn verbindung aufzubauen.

Greetz Diskilla
Mitglied: mayho33
mayho33 12.01.2010 um 17:15:59 Uhr
Goto Top
Hallo Chris!

Kannst du ihn nicht vonder Policy ausnehmen? Das wäre meiner Ansicht nach für User im Außendienst sinnvoll.

grüß!

Mayho
Mitglied: mayho33
mayho33 12.01.2010 um 17:18:27 Uhr
Goto Top
Hi Diskilla!

Das Problem ist wohl eher, dass das Passwort von Extern nicht gesetzt werden kann da es keine sichere Verbindung bzw der User aus einem unsicheren entferntem Netzwerk nicht die Berechtigung hat.
Mitglied: 45877
45877 12.01.2010 um 17:19:53 Uhr
Goto Top
Hallo,

installier ihm idesktop auf dem iPhone, dann kann er per VPN und RDP aufn terminalserver und da sein Passwort ändern.

Oder du setzt einfach den Hacken auf "Kennwort läuft nie ab".
Btw. ist es doch total gaga ihm die Mails nicht weiterzuleiten wenn er sie eh auf nem Smartphone hat auf das ihr 0 admin zugriff habt.
Mitglied: DerWoWusste
DerWoWusste 12.01.2010 um 20:12:21 Uhr
Goto Top
Hi Mayho.
Du kannst keine User von der Kennwortpolicy ausnehmen, sofern es Domänenkonten sind, es sei denn es ist eine Domäne im 2008er Funktionslevel (mit PSOs).
Was natürlich geht, ist das Setzen von "Kennwort läuft nie ab" am Userobjekt selbst, wie schon erwähnt.
Mitglied: manuel-r
manuel-r 12.01.2010 um 21:05:41 Uhr
Goto Top
Da du ja eh schon ein von außen zugängliches OWA betreibst wäre es doch ein gangbarer Weg das Accountpasswort darüber zu ändern. Gehen tut das...
Mitglied: chris239
chris239 13.01.2010 um 08:54:16 Uhr
Goto Top
Hey erst mal vielen dank für die vielen Rückmeldungen face-smile

Das mit der Ausnahme bei der Policy haben wir uns natürlich auch schon überlegt, da es wohl die einfachste Lösung wäre face-smile

Allerdings ist es definitiv keine Option, da ja nicht auszuschließen ist, dass diese Anforderung auch mal auf andere User zutrifft. Dann müsste man bei jedem Mitarbeiter mit Smartphone eine Ausnahme machen. Anforderung ist ja schlussendlich eine skalierbare Lösung, da bei uns zunehmend mehr iPhones eingesetzt werden.

Und das mit 0 Administrativen Zugriff auf das Smartphone stimmt so ja auch nicht, da wir ja durch Remote Wipe die Möglichkeit haben bei einem Verlust des Geräts zumindest alle Mails zu löschen.

Was ich allerdings nicht wusste, ist dass man sein Domain Passwort über den OWA ändern kann. Wie genau ist das möglich?
Mitglied: manuel-r
manuel-r 13.01.2010 um 09:01:29 Uhr
Goto Top
Was ich allerdings nicht wusste, ist dass man sein Domain Passwort über den OWA ändern kann. Wie genau ist das möglich?
  • am OWA anmelden
  • rechts oben Optionen anklicken
  • in der Navbar links Kennwort ändern anklicken
  • los geht's
Mitglied: chris239
chris239 13.01.2010 um 09:21:25 Uhr
Goto Top
Die Schaltfläche (der Button) ist aber kein Standard oder?

Ich habe mich grade mal am OWA angemeldet um das zu testen.
- Ich habe oben rechts kein Feld Optionen
- in der Navbar keinen Button Kennwort ändern

Die Hilfe gibt auch nicht viel her:

Ändern des Windows-Kennwortes
Klicken Sie auf Kennwort ändern. Sie werden zu einer Website umgeleitet, die von einem Administrator in der Organisation zu diesem Zweck eingerichtet wurde. Wenden Sie sich an den Serveradministrator, um weitere Informationen zu erhalten.

Google hat folgendes ausgespuckt:

http://support.microsoft.com/kb/297121/de

Also möglich ist es, ich werde mir das mal genauer anschauen und mich dann noch einmal melden.

Vielen Dank für den Hinweis! face-smile

gruß Chris
Mitglied: chris239
chris239 13.01.2010 um 10:28:08 Uhr
Goto Top
So...

Also das ist wohl keine allzu komplizierte Sache, allerdings stellt sich mir jetzt noch folgende Frage.

--> Was passiert wenn das Passwort bereits abgelaufen ist?

Kann ich mich trotzdem anmelden und werde zum Ändern des Passworts aufgefordert oder kann ich mich dann bereits nicht mehr anmelden? Denn wenn man sich bei abgelaufenem Passwort nicht mehr anmelden kann wäre das ganze ja auch nicht im Sinne des Erfinders...
Mitglied: manuel-r
manuel-r 13.01.2010 um 10:35:30 Uhr
Goto Top
Die Frage kann ich dir auch nicht beantworten. Versuch macht klug face-wink
Mitglied: chris239
chris239 13.01.2010 um 10:45:17 Uhr
Goto Top
Ja das stimmt face-smile

Hab das ganze eben mal ausprobiert. Bei abgelaufenem Passwort kommt man nicht mehr in den OWA rein.

Ich denke mal wir werden etwas in die Richtung Passwort über OWA ändern und per Script X Tage vor Passwort Ablauf automatische Mail an den User mit Aufforderung zum Ändern machen...

Auf jeden Fall vielen Dank für die ganzen Vorschläge und Informationen !!! Ich werde mich auf jeden Fall noch einmal melden wenn die ganze Sache dann abgeschlossen ist face-smile

gruß Chris
Mitglied: mayho33
mayho33 13.01.2010 um 17:25:47 Uhr
Goto Top
Hi @ DerWoWusste

Du kannst keine User von der Kennwortpolicy ausnehmen, sofern es Domänenkonten sind, es sei denn es ist eine Domäne im
2008er Funktionslevel (mit PSOs).
Was natürlich geht, ist das Setzen von "Kennwort läuft nie ab" am Userobjekt selbst, wie schon erwähnt.


Eventuell liege ich da falsch aber wenn ich in einer Domäne mehrere OU's habe und die einzelnen Clients diesen zugeordnet sind, kann ich doch unterschiedliche GPO's anwenden. Einen Administrator kann ich doch auch von der GPO ausschließen.

Siehe hier: http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...

Grüße

Mayho
Mitglied: DerWoWusste
DerWoWusste 13.01.2010 um 22:56:49 Uhr
Goto Top
@mayho
Jou, da liegst Du falsch, aber dieser Irrtum ist weit verbreitet. Die Domänenkonten werden am DC authentifiziert, dort greift die Kennwortpolicy. Und weil sie dort am DC greift, kann es auch nur eine geben. Wenn Du auf mehrere OUs unterschiedliche KW-Policies anwendest, hat das schon einen Effekt: auf lokale Konten nämlich.
Mitglied: manuel-r
manuel-r 14.01.2010 um 07:44:38 Uhr
Goto Top
Kennwortrichtlinien können grundsätzlich nur auf eine ganze Domäne angewandt werden. Zumindest bis Server 2003 war das so. Ab Server 2008 kann man auch bestimmten Gruppen andere Kennwortrichtlinien (oder besser gesagt Password Setting Objects) zuweisen:

Manuel
Mitglied: chris239
chris239 10.02.2010 um 16:18:00 Uhr
Goto Top
OK

Das Passwort ändern Feature im OWA wurde implementiert und funktioniert. Wir haben zusätzlich noch eine automatische Benachrichtigung eingebaut welche XX Tage vor Passwort Ablauf eine eMail versendet und den User daran erinnert sein Passwort zu ändern.

Das Problem kann man damit als gelöst ansehen. Nochmals vielen Dank für die nette Unterstützung hier face-smile