Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Laptop im AD Passwort änderung Remote

Frage Microsoft Windows Server

Mitglied: geocast

geocast (Level 1) - Jetzt verbinden

15.04.2014, aktualisiert 16.04.2014, 2927 Aufrufe, 9 Kommentare

Hallo zusammen

Ich suche schon eine Weile im Internet, aber finde leider nichts dazu. Ich wollte mich nur über eine Funktion vom AD informieren.

Wenn ich ein Laptop zur AD hinzufüge und Passwort änderung auf z.B. 90 Tage setze. Was passiert nach den 90 Tagen und das Laptop ist nicht mit der Domain verbunden? Dann würde es ja ein Konflikt geben.

Kann man eine Richtlinie hinzufügen, dass das Passwort erst wieder geändert wird, wenn das Laptop wieder in der Domäne ist?

Ich weiß, es gibt die Möglichkeit mit VPN. Aber das würde ich gerne Unterbinden, da man sonst mit der Bandbreite zu kämpfen bekommt (Upload sei dank). Zusätzlich geht es noch um die Lizenzkosten für den VPN Client die ich gerne Sparen würde.

Vielen Dank für eine Aufklärung.
Mitglied: Pjordorf
15.04.2014 um 19:22 Uhr
Hallo,

Zitat von geocast:
Was passiert nach den 90 Tagen
Der Anwender wird aufgefordert sein Passwort zu ändern. Kann er dies tun oder ist er nur über den Laptop am Arbeiten welcher aber nicht an deine Domäne hängt?

und das Laptop ist nicht mit der Domain verbunden?
Hat dieser Anwender noch einen anderen Client oder möglichkeiten sich an deiner Domäne anzumelden?

Dann würde es ja ein Konflikt geben.
Warum? Wenn dein Laptop nicht in deiner Domäne ist, wie soll dann auf den DC das Passwort geändert werden? ein Laptop nutzt also sein ihm bekanntes Passwort, nämlich seine ihm bekannten "Zwischengespeicherte Anmeldungen" und zwar für die Anzahl der Anmeldungen welche du festgelegt hast (oder der welcher die GPOs baut)

Kann man eine Richtlinie hinzufügen, dass das Passwort erst wieder geändert wird, wenn das Laptop wieder in der Domäne ist?
Nein.

Gruß,
Peter
Bitte warten ..
Mitglied: geocast
15.04.2014, aktualisiert um 21:24 Uhr
Habe mich evtl. etwas falsch Ausgedrückt. Das Laptop ist in der Domain registriert und hat die Richtlinie bekommen, dass das Passwort nach 90 Tagen geändert werden muss. Nun ist aber der Mitarbeiter daheim und nicht physikalisch mit der Domäne verbunden und das Passwort läuft ab. Er muss es nun daheim ändern. Aber es stimmt nicht mehr mit dem der AD überein. Wenn er jetzt wieder in die Firma kommt und sich Anmelden will, dann gibt es doch einen Konflikt.

Grüße
Stefan
Bitte warten ..
Mitglied: DerWoWusste
15.04.2014 um 21:53 Uhr
Hi.

Das Laptop ist in der Domain registriert und hat die Richtlinie bekommen...
Nicht wirklich. Die Richtlinie, die der Laptop bekommt gilt für lokale Konten, um Domänenkonten kümmert sich allein Dein DC. Der Laptop kann also ohne Domänenzugang nicht entscheiden, für einen Domänennutzer eine Kennwortänderung anzufordern.
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 15.04.2014, aktualisiert 16.04.2014
Hallo,

Zitat von geocast:
Habe mich evtl. etwas falsch Ausgedrückt.


verbunden und das Passwort läuft ab.
Und zwar in der Domäne läuft das Passwort ab und soll geändert werden, nicht auf sein Laptop. Der Laptop hat nur zwischengespeicherte Anmeldedaten. Das Laptop ist kein DC mit einem AD. Und nur im AD wird das Passwort des Domänenbenutzers gespeichert oder geändert. Weshalb auch ohne DC ein Anmelden an einer Domäne nicht geht. Dein Laptop hat aber Diese daten zwischengespeichert für x Anzahl Anmeldungen je nach Konfiguration in deiner Default Domain Policy GPO sofern der Domänenbenutzer sich mindestens 1 mal erfolgreich an der Domäne angemeldet hat.

Er muss es nun daheim ändern.
Nein. Wie denn auch und woher soll er es wissen. Die GPO die dies steuert kann er nicht aufrufen geschweige denn Lesen oder Anwenden.

Aber es stimmt nicht mehr mit dem der AD
Er nutzt nach wie vor sein Zwischengespeichertes Anmeldeprofil und dessen Anmeldedaten. Diese sind per GPO definiert und je nach dem mit 10 oder 25 Anmeldungen (Offline) vorgegeben.

Wenn er jetzt wieder in die Firma kommt und sich Anmelden will, dann gibt es doch einen Konflikt.
Nur falls er sich am Laptop anmeldet ohne sich mit dem Netz und der Domäne vorher verbunden zu haben.

Er kommt in der Firma, hängt sein laptop ans LAN, Schaltet ein und meldet sich an der Domäne an und bekommt die Aufforderung vom DC sein Passwort zu ändern bevor er weitermachen kann. In diesem Szenario wird natürlich nicht das zwischengespeicherte Anmeldeprofil genutzt, sondern sich direkt am DC bedient der ja erreichbar ist. Da wird dann auch sein zwischengespeichertes Anmeldeprofil sofort auch wieder aktualisiert und der Zähler auf 0 gestellt. da gibt es keinen Konflickt. Wie auch?

Wenn er allerdings sich erst am Laptop anmeldet, dann die Verbindung zum DC herstellt (LAN oder WLAN), dann sind Zugriffsprobleme zwangsläufig und auch zwingend zu erwarten. Aberr wer macht soetwas....

Wenn du allerdings nachweislich die Anmeldung an deine DCs anders handhabts oder es bei euch anders läuft dann ignoriere mein geschreibsel.
Gruß,
Peter

http://support.microsoft.com/kb/172931/de
http://blogs.technet.com/b/instan/archive/2011/12/06/cached-logons-and- ...
http://technet.microsoft.com/en-us/library/cc957390.aspx
http://support.microsoft.com/kb/911605/de
http://social.technet.microsoft.com/Forums/en-US/6f9389ab-0f93-4837-aea ...
http://technet.microsoft.com/en-us/library/cc755473(v=WS.10).aspx
Bitte warten ..
Mitglied: geocast
16.04.2014 um 14:20 Uhr
Klingt doch schon mal alles viel Logischer. Also müsste man nur die anzahl Anmeldungen auf unendlich von mir aus mal Setzen und er könnte für immer daheim bleiben ohne das sich das Passwort ändern müsste. Nicht empfehlenswert, aber einfach eine Methode.
Bitte warten ..
Mitglied: Pjordorf
16.04.2014, aktualisiert um 14:48 Uhr
Hallo,

Zitat von geocast:
Also müsste man nur die anzahl Anmeldungen auf unendlich von mir aus mal Setzen
Zeigt du hast nicht begriffen das in den genannten Links (oder von mir auch genannt) die Maximale Anzahl bei 50 liegt, egal was du einträgst. MS macht bei 50 schluß, und damit weder empfehlenswert noch gar machbar.

Wenn du also ein Laptop hast welches nie in der Domäne mehr reingehangen wird, warum wird der dann überhaupt in der Domäne aufgenommen. Spar dir das dann und lass den dann als Einzelkämpfer laufen. An daten in der Domäne kommt man auch so dran.

Gruß,
Peter
Bitte warten ..
Mitglied: geocast
16.04.2014 um 14:51 Uhr
Hat es gerade gelesen, als ich es Abgeschickt hatte. Manchmal doch zu schnell mit dem Tippen Danke übringens für die Links!

Meine bedenken sind einfach, wenn jemand doch eine längere Zeit weggeht mit dem Laptop und schafft sich über 50 mal Anzumelden. Dann hat man den Salat...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 16.04.2014, aktualisiert um 15:24 Uhr
Die Zahl 50 steht nicht für die möglichen Offline-Anmeldungen, sondern für 50 verschiedene User, deren Anmeldungen gecached werden können. Also: unendlich ist per default schon gesetzt.
Bitte warten ..
Mitglied: geocast
16.04.2014 um 15:24 Uhr
Und jetzt ist ein Lichtlein aufgegangen. Vielen Dank für die Aufklärung!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Wifi Auth per PEAP-MSCHAPv2 - AD-Accounts geblockt nach PW-Änderung (11)

Frage von jsysde zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook fragt Passwort ab, obwohl AD anmeldung erfolgreich (6)

Frage von LordNicon79 zum Thema Outlook & Mail ...

Windows Server
WSUS in Samba AD (3)

Frage von NerfNed zum Thema Windows Server ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (50)

Frage von sabines zum Thema Internet ...

Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (26)

Frage von PixL86 zum Thema Netzwerke ...

Router & Routing
PFsense - Netzverbindung steht, aber kein Internet vorhanden (24)

Frage von aschmid zum Thema Router & Routing ...

Windows Server
Windows 2016 Hyper-V und VHDS (18)

Frage von emeriks zum Thema Windows Server ...