Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Laptop im AD Passwort änderung Remote

Frage Microsoft Windows Server

Mitglied: geocast

geocast (Level 1) - Jetzt verbinden

15.04.2014, aktualisiert 16.04.2014, 2751 Aufrufe, 9 Kommentare

Hallo zusammen

Ich suche schon eine Weile im Internet, aber finde leider nichts dazu. Ich wollte mich nur über eine Funktion vom AD informieren.

Wenn ich ein Laptop zur AD hinzufüge und Passwort änderung auf z.B. 90 Tage setze. Was passiert nach den 90 Tagen und das Laptop ist nicht mit der Domain verbunden? Dann würde es ja ein Konflikt geben.

Kann man eine Richtlinie hinzufügen, dass das Passwort erst wieder geändert wird, wenn das Laptop wieder in der Domäne ist?

Ich weiß, es gibt die Möglichkeit mit VPN. Aber das würde ich gerne Unterbinden, da man sonst mit der Bandbreite zu kämpfen bekommt (Upload sei dank). Zusätzlich geht es noch um die Lizenzkosten für den VPN Client die ich gerne Sparen würde.

Vielen Dank für eine Aufklärung.
Mitglied: Pjordorf
15.04.2014 um 19:22 Uhr
Hallo,

Zitat von geocast:
Was passiert nach den 90 Tagen
Der Anwender wird aufgefordert sein Passwort zu ändern. Kann er dies tun oder ist er nur über den Laptop am Arbeiten welcher aber nicht an deine Domäne hängt?

und das Laptop ist nicht mit der Domain verbunden?
Hat dieser Anwender noch einen anderen Client oder möglichkeiten sich an deiner Domäne anzumelden?

Dann würde es ja ein Konflikt geben.
Warum? Wenn dein Laptop nicht in deiner Domäne ist, wie soll dann auf den DC das Passwort geändert werden? ein Laptop nutzt also sein ihm bekanntes Passwort, nämlich seine ihm bekannten "Zwischengespeicherte Anmeldungen" und zwar für die Anzahl der Anmeldungen welche du festgelegt hast (oder der welcher die GPOs baut)

Kann man eine Richtlinie hinzufügen, dass das Passwort erst wieder geändert wird, wenn das Laptop wieder in der Domäne ist?
Nein.

Gruß,
Peter
Bitte warten ..
Mitglied: geocast
15.04.2014, aktualisiert um 21:24 Uhr
Habe mich evtl. etwas falsch Ausgedrückt. Das Laptop ist in der Domain registriert und hat die Richtlinie bekommen, dass das Passwort nach 90 Tagen geändert werden muss. Nun ist aber der Mitarbeiter daheim und nicht physikalisch mit der Domäne verbunden und das Passwort läuft ab. Er muss es nun daheim ändern. Aber es stimmt nicht mehr mit dem der AD überein. Wenn er jetzt wieder in die Firma kommt und sich Anmelden will, dann gibt es doch einen Konflikt.

Grüße
Stefan
Bitte warten ..
Mitglied: DerWoWusste
15.04.2014 um 21:53 Uhr
Hi.

Das Laptop ist in der Domain registriert und hat die Richtlinie bekommen...
Nicht wirklich. Die Richtlinie, die der Laptop bekommt gilt für lokale Konten, um Domänenkonten kümmert sich allein Dein DC. Der Laptop kann also ohne Domänenzugang nicht entscheiden, für einen Domänennutzer eine Kennwortänderung anzufordern.
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 15.04.2014, aktualisiert 16.04.2014
Hallo,

Zitat von geocast:
Habe mich evtl. etwas falsch Ausgedrückt.


verbunden und das Passwort läuft ab.
Und zwar in der Domäne läuft das Passwort ab und soll geändert werden, nicht auf sein Laptop. Der Laptop hat nur zwischengespeicherte Anmeldedaten. Das Laptop ist kein DC mit einem AD. Und nur im AD wird das Passwort des Domänenbenutzers gespeichert oder geändert. Weshalb auch ohne DC ein Anmelden an einer Domäne nicht geht. Dein Laptop hat aber Diese daten zwischengespeichert für x Anzahl Anmeldungen je nach Konfiguration in deiner Default Domain Policy GPO sofern der Domänenbenutzer sich mindestens 1 mal erfolgreich an der Domäne angemeldet hat.

Er muss es nun daheim ändern.
Nein. Wie denn auch und woher soll er es wissen. Die GPO die dies steuert kann er nicht aufrufen geschweige denn Lesen oder Anwenden.

Aber es stimmt nicht mehr mit dem der AD
Er nutzt nach wie vor sein Zwischengespeichertes Anmeldeprofil und dessen Anmeldedaten. Diese sind per GPO definiert und je nach dem mit 10 oder 25 Anmeldungen (Offline) vorgegeben.

Wenn er jetzt wieder in die Firma kommt und sich Anmelden will, dann gibt es doch einen Konflikt.
Nur falls er sich am Laptop anmeldet ohne sich mit dem Netz und der Domäne vorher verbunden zu haben.

Er kommt in der Firma, hängt sein laptop ans LAN, Schaltet ein und meldet sich an der Domäne an und bekommt die Aufforderung vom DC sein Passwort zu ändern bevor er weitermachen kann. In diesem Szenario wird natürlich nicht das zwischengespeicherte Anmeldeprofil genutzt, sondern sich direkt am DC bedient der ja erreichbar ist. Da wird dann auch sein zwischengespeichertes Anmeldeprofil sofort auch wieder aktualisiert und der Zähler auf 0 gestellt. da gibt es keinen Konflickt. Wie auch?

Wenn er allerdings sich erst am Laptop anmeldet, dann die Verbindung zum DC herstellt (LAN oder WLAN), dann sind Zugriffsprobleme zwangsläufig und auch zwingend zu erwarten. Aberr wer macht soetwas....

Wenn du allerdings nachweislich die Anmeldung an deine DCs anders handhabts oder es bei euch anders läuft dann ignoriere mein geschreibsel.
Gruß,
Peter

http://support.microsoft.com/kb/172931/de
http://blogs.technet.com/b/instan/archive/2011/12/06/cached-logons-and- ...
http://technet.microsoft.com/en-us/library/cc957390.aspx
http://support.microsoft.com/kb/911605/de
http://social.technet.microsoft.com/Forums/en-US/6f9389ab-0f93-4837-aea ...
http://technet.microsoft.com/en-us/library/cc755473(v=WS.10).aspx
Bitte warten ..
Mitglied: geocast
16.04.2014 um 14:20 Uhr
Klingt doch schon mal alles viel Logischer. Also müsste man nur die anzahl Anmeldungen auf unendlich von mir aus mal Setzen und er könnte für immer daheim bleiben ohne das sich das Passwort ändern müsste. Nicht empfehlenswert, aber einfach eine Methode.
Bitte warten ..
Mitglied: Pjordorf
16.04.2014, aktualisiert um 14:48 Uhr
Hallo,

Zitat von geocast:
Also müsste man nur die anzahl Anmeldungen auf unendlich von mir aus mal Setzen
Zeigt du hast nicht begriffen das in den genannten Links (oder von mir auch genannt) die Maximale Anzahl bei 50 liegt, egal was du einträgst. MS macht bei 50 schluß, und damit weder empfehlenswert noch gar machbar.

Wenn du also ein Laptop hast welches nie in der Domäne mehr reingehangen wird, warum wird der dann überhaupt in der Domäne aufgenommen. Spar dir das dann und lass den dann als Einzelkämpfer laufen. An daten in der Domäne kommt man auch so dran.

Gruß,
Peter
Bitte warten ..
Mitglied: geocast
16.04.2014 um 14:51 Uhr
Hat es gerade gelesen, als ich es Abgeschickt hatte. Manchmal doch zu schnell mit dem Tippen Danke übringens für die Links!

Meine bedenken sind einfach, wenn jemand doch eine längere Zeit weggeht mit dem Laptop und schafft sich über 50 mal Anzumelden. Dann hat man den Salat...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 16.04.2014, aktualisiert um 15:24 Uhr
Die Zahl 50 steht nicht für die möglichen Offline-Anmeldungen, sondern für 50 verschiedene User, deren Anmeldungen gecached werden können. Also: unendlich ist per default schon gesetzt.
Bitte warten ..
Mitglied: geocast
16.04.2014 um 15:24 Uhr
Und jetzt ist ein Lichtlein aufgegangen. Vielen Dank für die Aufklärung!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Mac OS X
gelöst OSX AD Passwort Caching möglich? (3)

Frage von Phill93 zum Thema Mac OS X ...

Windows Userverwaltung
gelöst AD Passwort um bestimmte Uhrzeit setzen (6)

Frage von agnostiker zum Thema Windows Userverwaltung ...

Outlook & Mail
gelöst Outlook fragt Passwort ab, obwohl AD anmeldung erfolgreich (6)

Frage von LordNicon79 zum Thema Outlook & Mail ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...