6
Verzwickte Passwort abgelaufen - Konto deaktivert - Konstellation mit VPN-Zugriff
Hi,
Folgende Gegebenheiten:
Windows-Domäne (2008R2) mit gesetzter Passwortpolicy: Kennwortablauf nach 90 Tagen.
Nun folgende Situation:
Benutzer hat 2 Computer: ein PC, ein Notebook (mit der Möglichkeit, sich per VPN von überall mit dem Firmennetz zu verbinden).
Benutzer sitzt am PC. System meldet: Kennwort läuft in 5 Tagen ab. Benutzer setzt neues Kennwort (seines Domänen-Accounts).
Soweit - so gut.
Benutzer nimmt nun sein Notebook (,welches die ganze Zeit ausgeschaltet war) mit nach Hause, fährt es zu Hause hoch. Das gespeichertes (Windows 7)-Domänenprofil kennt natürlich nur sein altes Kennwort. Also: Anmelden mit altem Kennwort, kein Problem. Jetzt Verbindung zum Firmennetzwerk mit VPN. Zugriffe auf Ressourcen (Exchange, File-Share etc.) nicht möglich, da plötzlich Windows-Konto gesperrt ist.
Ich habe nachgeschaut, es ist auch so. Sobald man die VPN-Verbindung hat und zugreifen möchte wird das Konto gesperrt.
Jetzt liegt es natürlich nahe, auf dem Notebook das Kennwort zu ändern:
Möglichkeit 1: mit aktiver VPN ---> geht nicht: da Konto ständig gesperrt.
Möglichkeit 2: Offline, also Notebook hochfahren und am lokal gespeicherten Domänenprofil anmelden. Kennwort ändern geht nicht, da Domänencontroller nicht verfügbar ist.
Einzige Lösung bisher: Notebook wieder ans Firmennetz ran und normal anmelden, mit dem neuen Kennwort, da ja jetzt der DC sofort erreichbar ist. Damit ist dann auch das lokale Profil wieder auf dem neuesten Stand. Hinweis: die VPN-Verbindung kann erst aufgebaut werden, wenn der Benutzer mit seinem Profil angemeldet ist, also quasi nur interaktiv möglich, geht ja auch nicht anders.
Diese Lösung ist allerdings nicht sehr zufriedenstellend.
Frage: Wie kommt man aus diesem Dilemma raus?
Vielen Dank im Voraus für Eure Antworten.
shiva
Folgende Gegebenheiten:
Windows-Domäne (2008R2) mit gesetzter Passwortpolicy: Kennwortablauf nach 90 Tagen.
Nun folgende Situation:
Benutzer hat 2 Computer: ein PC, ein Notebook (mit der Möglichkeit, sich per VPN von überall mit dem Firmennetz zu verbinden).
Benutzer sitzt am PC. System meldet: Kennwort läuft in 5 Tagen ab. Benutzer setzt neues Kennwort (seines Domänen-Accounts).
Soweit - so gut.
Benutzer nimmt nun sein Notebook (,welches die ganze Zeit ausgeschaltet war) mit nach Hause, fährt es zu Hause hoch. Das gespeichertes (Windows 7)-Domänenprofil kennt natürlich nur sein altes Kennwort. Also: Anmelden mit altem Kennwort, kein Problem. Jetzt Verbindung zum Firmennetzwerk mit VPN. Zugriffe auf Ressourcen (Exchange, File-Share etc.) nicht möglich, da plötzlich Windows-Konto gesperrt ist.
Ich habe nachgeschaut, es ist auch so. Sobald man die VPN-Verbindung hat und zugreifen möchte wird das Konto gesperrt.
Jetzt liegt es natürlich nahe, auf dem Notebook das Kennwort zu ändern:
Möglichkeit 1: mit aktiver VPN ---> geht nicht: da Konto ständig gesperrt.
Möglichkeit 2: Offline, also Notebook hochfahren und am lokal gespeicherten Domänenprofil anmelden. Kennwort ändern geht nicht, da Domänencontroller nicht verfügbar ist.
Einzige Lösung bisher: Notebook wieder ans Firmennetz ran und normal anmelden, mit dem neuen Kennwort, da ja jetzt der DC sofort erreichbar ist. Damit ist dann auch das lokale Profil wieder auf dem neuesten Stand. Hinweis: die VPN-Verbindung kann erst aufgebaut werden, wenn der Benutzer mit seinem Profil angemeldet ist, also quasi nur interaktiv möglich, geht ja auch nicht anders.
Diese Lösung ist allerdings nicht sehr zufriedenstellend.
Frage: Wie kommt man aus diesem Dilemma raus?
Vielen Dank im Voraus für Eure Antworten.
shiva
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196471
Url: https://administrator.de/contentid/196471
Printed on: April 19, 2024 at 06:04 o'clock
6 Comments
Latest comment
Hallo,
anmelden über DFÜ dann muss der Benutzer sich immer am DC anmelden.
http://blogs.technet.com/b/grouppolicy/archive/2007/07/30/where-is-logo ...
Gruß
Chonta
anmelden über DFÜ dann muss der Benutzer sich immer am DC anmelden.
http://blogs.technet.com/b/grouppolicy/archive/2007/07/30/where-is-logo ...
Gruß
Chonta
Es handelt sich hier bei uns zwar nicht um eine Microsoft VPN-Lösung, aber ich werde mir das mal anschauen. Ich hoffe, dass der Benutzer dann beim Anmelden auswählen darf, ob mit oder ohne DFÜ.
Danke erstmal.
Danke erstmal.
Moin,
erstmal würde es reichen, wenn der Anwender weder Outlook noch was anderes beim Login aufmacht, wenn er schon zu ... ist, das Passwort über das Notebok zu ändern.
Damit wird das Paßwort nicht ungültig - und dann einfach Paßwort ändern.
Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Gruß
24
erstmal würde es reichen, wenn der Anwender weder Outlook noch was anderes beim Login aufmacht, wenn er schon zu ... ist, das Passwort über das Notebok zu ändern.
Damit wird das Paßwort nicht ungültig - und dann einfach Paßwort ändern.
Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Gruß
24
Hallo,
was für eine Lösung ist denn im Einsatz?
Das mit DFÜ haut nur hin, wenn eine MS-VPN Verbindung möglich ist.
OpenVPN kann man z.B. als Dinst starten, bei Zertifikaten darf kein Passwort hinterlegt sein.
Wenn der Laptop richtig verschlüsselt ist, ist das mit dem kein Passwort für das Zertifikat kein Problem.
Gruß
Chonta
was für eine Lösung ist denn im Einsatz?
Das mit DFÜ haut nur hin, wenn eine MS-VPN Verbindung möglich ist.
OpenVPN kann man z.B. als Dinst starten, bei Zertifikaten darf kein Passwort hinterlegt sein.
Wenn der Laptop richtig verschlüsselt ist, ist das mit dem kein Passwort für das Zertifikat kein Problem.
Gruß
Chonta
Damit wird das Paßwort nicht ungültig - und dann einfach Paßwort ändern.
Eben genau da kommt auch die Info vom System, dass es nicht geht und das Konto gesperrt ist/wurde.Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Naja, der Sachverhalt ist schon nicht so trivial, dass man den Otto-Normal-User dafür beschuldigen muss.Trotzdem Danke.
Gruß
Zitat von @Shiva99:
> Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Naja, der Sachverhalt ist schon nicht so trivial, dass man den Otto-Normal-User dafür beschuldigen muss.
> Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Naja, der Sachverhalt ist schon nicht so trivial, dass man den Otto-Normal-User dafür beschuldigen muss.
Entschuldige bitte, der Sachverhalt ist trivial!! - in der sehr großen Firma, für die arbeite, mußte ein Consultant schon mal 300 km bis zu einer Niederlassung fahren, weil der sich seinen Laptop so gesperrt hat - das macht der nur einmal.... dann weiß der das...
Und zur Technik - solange nicht LW-Verknüpfungen oder Outlook offen ist, oder der Proxy genutzt wird, geht kein Passwort rüber und damit wird auch nix gesperrt...
Gruß
24
