Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

AD User Password aus anderer Domain ändern

Mitglied: Michel2000

Michel2000 (Level 1) - Jetzt verbinden

08.11.2010 um 16:38 Uhr, 5301 Aufrufe, 9 Kommentare

Ich brauche Eure Hilfe um ein verzwicktes Problem zu lösen.

Wir migrieren unsere Desktops und Notebooks incl. Fileserver zu unserern Mutterkonzern.
Die Benutzeranmeldung wird folglich zukünftig auch in deren AD erfolgen.

Da einige Applikationsserver nicht migriert werden können/sollen, wird das bisherige AD beibehalten.

Die zwei Domainenstämme bekommen kein Vertrauensverhältnis, so dass die User für Zugriffe zu Applikationen/Dateien in der bisherigen Domaine sich anmelden müssen.

Ich könnte die Accounts natürlich so einstellen, dass das Passwort nicht mehr abläuft, aber das ist mit zu unsicher.


Nun meine Frage an Euch:

Kennt ihr eine Lösung / ein Webtool oder ähnliches um den Usern aus Domain A zu erlauben bei den Account in Domain B das Passwort zu ändern.

=> Sprich die Funktion [Strg] + [Alt] + [Entf] => Passwort ändern für eine Fremddomain => idealerweise eine WebApplikation


Ich danke Euch schon mal im Voraus für Eure Hilfe
Michel2000
Mitglied: Mike.ekiM
08.11.2010 um 16:48 Uhr
Hallo,

Eigentlich hast du die Frage schon selbst beantwortet. Ohne Vertrauensstellung kein Zugriff auf Objekte oder sonstiges der fremden Domain.
Wie soll das also realisiert werden??

Wieso migriert ihr nicht komplett alle Server? Auch wenns teilweise sehr zeitaufwendig ist -> Es lässt sich grundsätzlich alles migrieren.
Es muss nur richtig geplant und umgesetzt werden. Lieber einmal den schweren Weg gehen und in einer konsolidierten Umgebung arbeiten.

Gruß
Bitte warten ..
Mitglied: Michel2000
08.11.2010 um 17:07 Uhr
Das ist von der Gruppe nicht gewollt oder erwünscht.

Das Netzwerk ist durch 2 VLAN getrennt

Die Umstellung der rund 30 Server incl. Applikationen und Datenbanken wäre ein zu großer Aufwand - zudem ist zum Überfluß eine Ablösung einiger Applikationen wie ERP usw. durch SAP geplant - es wird also noch umfangreicher und verzwickter

Ich hatte so eine Lösung schon mal gesehen - das war eine WebApp, bei der Du Dich mit Domain\Username angemeldet hattest und anschließend das Passwort ändern konntest - genau das wäre ideal.

Gruß
Bitte warten ..
Mitglied: 60730
08.11.2010 um 17:49 Uhr
Auch dir keine Zeile des Grußes...

naja das Projekt hört sich doch vernünftig von einem frisch von der Schulbank kommenden Studifizierten an

  • Ist OWA oder ne andere IIS Schüssel geplant?
Frag den Adjutanten mal nach "IISADMPWD"

Gruß
Bitte warten ..
Mitglied: filippg
08.11.2010 um 20:52 Uhr
Hallo,

die Bereitstellung eines Portals ist ja gut und schön. Nur: wer wird das Nutzen? Wenn du passwortablauf deaktivierst: niemand. Wenn du Passwortablauf aktiviert lässt gibt es zwei Möglichkeiten: 1. Die Anwendungen kennen sich mit AD aus und erkennen, dass das Passwort abgelaufen ist. Dann sind sie ziemlich sicher auch so gut, eine Änderung anzubieten. Oder 2. Die Änderungen kennen sich nicht mit AD aus und melden nur "Login nicht erfolgreich" wenn das Kennwort abgelaufen ist. Dann bekommst du haufenweise Tickets, dass die Applikation nicht geht. Natürlich sagt dann der ServiceDesk "Probieren sie erstmal das Kennwort über die Website zu ändern" - aber bis dahin hat der Nutzer schon 10mal versucht, die Applikation mit den alten Daten zu starten, und der Account ist gelockt.

Lösung: Einrichten einer Passwort-Synchronisation vom neuen Forest in den alten. Kostenfreies MS-Produkt (okay, man benötigt, wenn das nicht mittlerweile geändert wurde Win Enterprise & SQL Enterprise) dazu ist der Identity Lifecycle Manager. Und nein Mike.ekiM: man benötigt dazu _keine_ Trust. Wie das dann funktioniert? Über LDAP. ADMT ist vielleicht etwas einfacher zu handhaben, das aber benötigt den Trust.

Gruß

Filipp
Bitte warten ..
Mitglied: dog
08.11.2010 um 21:22 Uhr
Technisch ist das auch ohne Vertrauensstellung kein Problem.

Einkaufsliste:
  • Ein Server in der alten Domain
  • PHP mit LDAP
  • IP-Connectivity zur neuen Domain
  • Identische Benutzernamen oder eine Möglichkeit die gegeneinander aufzulösen
  • Ein Benutzerkonto, was alle Passwörter ändern kann

Wie man das dann zusammenbaut kann sich denken

Dass ILM kostenlos ist wäre mir völlig neu.
Das ist noch mit eins der teuersten M$-Produkte für die CALs.
Das Spiel hatte ich mit M$ nämlich schonmal für ein Projekt durch und da MS mir nicht mal eine funktionierende Demo einräumen wollte, damit auch eingestampft.
Bitte warten ..
Mitglied: filippg
08.11.2010 um 22:18 Uhr
Hallo,

Dass ILM kostenlos ist wäre mir völlig neu.
Mea culpa! ILM ist der Nachfolger des MIIS, sprich der kostenpflichtigen Schiene. Der letzte Abkömmling der kostenfreien Sippschaft ist das IIFP (Identity Integration Feature Pack). Nicht mehr ganz taufrisch, aber sehr gut funktionierend.
Ich muss aber zugeben, etwas weiteres nicht bedacht zu haben: Für die Passwort-Synchronisiation muss im Source-Forest auf jedem DC der PCNS (Password Change Notification Service) installiert werden, evtl. hat die Muttergesellschaft da etwas dagegen.
Der Aussage, dass es kein Problem ist, eine Website einzurichten, über die man Kennwörter ändern kann, schließe ich mich an.

Gruß

Filipp
Bitte warten ..
Mitglied: Michel2000
09.11.2010 um 09:17 Uhr
Hi TimoBeol

das Problem sind nicht die Studienabgänger sondern die Nationalität
Bei US-Firmen ist immer eine Übersicherung alles Dinge ein MUSS...

Mail Services sind NATÜRLICH längst zentralisiert und daher ausgelagert - also auch hier keine Chance.

Cheers
Michel2000
Bitte warten ..
Mitglied: Michel2000
09.11.2010 um 09:27 Uhr
Hi filippg,

erst mal DANKE auch an die anderen HELFER.

Ich werde mal IIFP ausprobierern. Es ist sehr schwierig hier weiter zu kommen, wenn man so abgekapselt wird. Die Technische Domain (so konnte man sie wohl nennen) bleibt voll in unserer Hand - aber wie gesagt - leider komplett abgekapselt *FRUST*

Danke noch mal - habt mir viel geholfen!!

Michel2000
Bitte warten ..
Mitglied: filippg
09.11.2010 um 23:42 Uhr
Hallo,

Ich werde mal IIFP ausprobierern. Es ist sehr schwierig hier weiter zu kommen, wenn man so abgekapselt wird. Die Technische Domain
(so konnte man sie wohl nennen) bleibt voll in unserer Hand - aber wie gesagt - leider komplett abgekapselt *FRUST*
nee, das war ja leider das, was ich nicht beachtet habe. Du musst den PCNS auf den Domaincontrollern der Domain installieren, an der sich die Nutzer anmelden (da sie auch dort ihr Kennwort ändern). Der PCNS greift eingehende Requests zur Passwortänderung ab und schickt sie an den IIFP. Dieser wiederum setzt das Kennwort dann in der Zieldomain (also eurer bisherigen). Notwendig ist der PCNS, da nur zum Zeitpunkt der Kennwortänderung dieses überhaupt unverschlüsselt (bzw mit einer entschlüsselbaren Verschlüsselung) am DC vorliegt (Alternative: Man kann "Store Password with reversible Encryption" setzen, dann könnte man statt dem PCNS wohl auch irgendeine Schedule-basierte Lösung entwickeln).

Gruß

Filipp
Bitte warten ..
Ähnliche Inhalte
Windows Server
AD Password Komplexität anpassen
gelöst Frage von enduranceWindows Server3 Kommentare

Hallo zusammen Wenn ich im nachhingen die Passwort Komplexität für alle User (default GPO) anpasse, müssen dann alle User ...

Entwicklung

VBSkript um Attribute für AD-User zu ändern

gelöst Frage von RustyVSEntwicklung3 Kommentare

Hallo zusammen, ich versuche ein VBSkript zu erstellen, dass für alle Benutzer in unserer AD das extensionAttribut10 setzt. Dazu ...

Windows 10

AD-User soll COM-Einstellungen ändern können

Frage von WilliWillsWissen99Windows 102 Kommentare

Hallo Zusammen, ich suche eine Möglichkeit, dass normale AD User die COM-Einstellungen auf dem Computer ändern können. Ich habe ...

Batch & Shell

Powershell Skript AD User deaktivieren und Beschreibung ändern

gelöst Frage von TastuserBatch & Shell8 Kommentare

Hallo! Ich möchte alle Benutzer aus einer Liste (User.txt) im Activ Directory deaktivieren und deren Beschreibung durch "Neue Beschreibung" ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 10 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 11 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 14 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...