werniman
Goto Top

Passwort für Terminalserver-Login über IGEL-Client neu vergeben ?

Hallo,
ich bin -verglichen mit euch- ein absoluter Rookie in der Branche, habe aktuell seit meiner Ausbildung gerade den ersten Job als Admin begonnen. Also verzeiht mir,wenn ich mich vielleicht etwas unbeholfen ausdrücke.
Bei uns in der Firma haben nur ganz wenige User einen richtigen PC (ich hab glücklicherweise einen), der große Rest arbeitet mit Thin Clients (mit IgelOS drauf) auf einem Terminal-Server (mit Windows Server 2012 drauf), auf dem dann die ganzen Anwendungen laufen.

Gestern rief meine Personalchefin an,daß ihr Passwort mal wieder (!) nicht akzeptiert würde (ist wohl etwas vergesslich, die gute Frau, wie mir mein Chef bereits sagte). Also hab ich das Standardprocedere durchgezogen: im AD eingeloggt, Passwort zurückgesetzt und die Option ausgewählt, daß beim nächsten Login das Passwort gewechselt werden soll. Hab sie dann noch am Telefon angewiesen, nochmal zu probieren, wieder "Authorisierung fehlgeschlagen". Von meinem Rechner aus mit ihren Daten probiert...ging, ich bekam die Maske zur Eingabe eines neuen Passwortes.
Also bin ich hingefahren und mir vorführen lassen,was sie macht. Der Login klappte tatsächlich nicht: Was sie mir natürlich mal wieder nicht verraten hat: Neben "Authentifizierung fehlgeschlagen", stand seit dem PW-Reset noch die zusätzliche Meldung,dass das Passwort geändert werden müsse. Alles paletti,sollte man meinen, Passwort ändern und gut ist. Tja, dummerweise hat die Remoteverbindung vom IgelOS zum Terminalserver aber keine Eingabemaske für ein neues Passwort angezeigt. Ich hab mir dann damit geholfen, mich mit meinen eigenen Admin-Daten direkt in unseren DC einzuloggen und das Passwort dort nochmal zurückzusetzen und sie direkt dort ihr Wunsch-Passwort eingeben zu lassen. Das kann natürlich keine Dauerlösung sein,zumal wir verschiedene (räumlich getrennte) Geschäftsstellen haben.

Meine Frage: Ist das normal,dass die Remotedesktopverbindung vom ThinClient offenbar nicht alle aufpoppenden Fenster des Terminalservers anzeigt ? Hat jemand eine Idee, wie ich das mit der Vergabe eines neuen Wunsch-Passwortes machen kann, wenn der ThinClient diese Maske nicht anzeigt ? Wir haben zwar beim Zurücksetzen eines Passwortes unser "Standard- Userpasswort" für den ersten Login,aber es ist ja nicht wirklich toll, wenn Benutzer dauerhaft das Standard-PW nutzen.

Content-Key: 375182

Url: https://administrator.de/contentid/375182

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: erikro
Lösung erikro 26.05.2018 um 11:20:46 Uhr
Goto Top
Moin,

Zitat von @Werniman:

Meine Frage: Ist das normal,dass die Remotedesktopverbindung vom ThinClient offenbar nicht alle aufpoppenden Fenster des Terminalservers anzeigt ? Hat jemand eine Idee, wie ich das mit der Vergabe eines neuen Wunsch-Passwortes machen kann, wenn der ThinClient diese Maske nicht anzeigt ? Wir haben zwar beim Zurücksetzen eines Passwortes unser "Standard- Userpasswort" für den ersten Login,aber es ist ja nicht wirklich toll, wenn Benutzer dauerhaft das Standard-PW nutzen.


Das liegt nicht an Deinem ThinClient, sondern am Remote Desktop. Ist das PW abgelaufen oder wird vom Admin gesetzt, dass das PW beim ersten Login geändert werden muss, dann hat der User keine Möglichkeit, das am RD zu machen. Das ist ein echtes Problem, wenn die User nur den RD zur Verfügung haben. Wir lösen das so, dass die User kein Standardpasswort, sondern ein zufällig erzeugtes bekommen. Die sind dann so kompliziert (16 Zeichen mit vielen Sonderzeichen), dass sie ganz freiwillig ihr PW neu setzen. Dann muss man ihnen noch beibringen, dass sie Ihr PW ändern, wenn sie dazu aufgefordert werden, und nicht warten, bis es geändert werden muss.

Eine andere Möglichkeit wäre, Ihnen einen (also nicht jeder einen, sondern einen pro Außenstelle) richtigen PC hinzustellen, mit dem sie sich direkt gegen die Domäne anmelden.

Weiter kann man, um das Problem zu lösen, einen Webaccess zur Verfügung stellen. Allerdings setzt das auch wieder einen Client voraus, auf dem mindestens ein Browser gestartet werden kann, ohne dass man sich vorher gegen die Domain angemeldet hat. Und sicherer wird das System dadurch auch nicht wirklich. ;)

hth

Erik
Mitglied: n.o.b.o.d.y
Lösung n.o.b.o.d.y 26.05.2018 um 11:46:16 Uhr
Goto Top
Hallo,

genau, so machen wir das auch. Die User bekommen ein Standard-PW gesetz, was sie dann innerhalb der RDP-Session sofort zu ändern haben. Hat bei uns eigentlich problemlos geklappt, dass den Anwender beizubringen.
Mitglied: derhoeppi
Lösung derhoeppi 26.05.2018 um 11:47:55 Uhr
Goto Top
Sind die IGEL für die AD Authentifizierung konfiguriert. Wenn sich die User dort anmelden bekommen Sie den Hinweis zum Ändern des Kennwortes und das Problem wär gelöst. So machen wir es jedenfalls mit den ThinClients. Hat auch den Vorteil von SingleSignOn, wenn es gewünscht ist.
Mitglied: Werniman
Werniman 26.05.2018 um 12:54:12 Uhr
Goto Top
Danke für alle Antworten. Die Idee,ein möglichst kompliziertes Passwort zu vergeben,um den Usern einen "Anreiz" zum baldigen Wechsel des Passwortes zu geben, ist gar nicht so übel. Manchmal muss man die Leute halt ein wenig ärgern, um zum Ziel zu kommen face-big-smile
Mitglied: erikro
erikro 26.05.2018 um 12:59:40 Uhr
Goto Top
Moin,
Zitat von @Werniman:

Manchmal muss man die Leute halt ein wenig ärgern, um zum Ziel zu kommen face-big-smile

Manchmal? Leute ärgern ist unser Job. ;)

Liebe Grüße

Erik
Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 26.05.2018 um 13:21:33 Uhr
Goto Top
Manchmal muss man die Leute halt ein wenig ärgern, um zum Ziel zu kommen face-big-smile

Manchmal? Leute ärgern ist unser Job. ;)

Stimmt, das wird mir quasi auch täglich vorgeworfen.... "....das macht ihr doch mit Absicht!...." Meine Antwort ist dann immer "Ja klar, ist alles zur Sicherung meines Arbeitspaltzes!"
Mitglied: Saftnase
Saftnase 28.05.2018 um 10:22:53 Uhr
Goto Top
Warum musst du dazu eigentlich zum User hinfahren ? Der Igel hat doch die Möglichkeit den Bildschirm des Users zu spiegeln. (VNC Viewer ist integriert) Funktioniert sogar noch vor der SSO Anmeldung des Users.