Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Passwortabgleich - Domäne vs. lokales System (Nach VPN-Passwortänderung)

Frage Microsoft Windows Userverwaltung

Mitglied: zacharias

zacharias (Level 1) - Jetzt verbinden

25.05.2010, aktualisiert 11:48 Uhr, 9359 Aufrufe, 2 Kommentare

Hallo Leute,

In letzter Zeit habe ich vermehrt Probleme mit Usern, welche ihr Passwort über eine VPN-Verbindung
ändern.

Szenario:
  1. User geht auf Dienstreise
  2. User ändert via VPN sein Passwort
  3. Dies hat zur Folge, dass das Passwort innerhalb der Domäne auf einen neuen Wert gesetzt wurde aber lokal noch immer das "alte" Passwort gültig ist.

Problem:
Somit gibt es Probleme mit den Anwendungen, denn der User meldet sich lokal mit seinem "alten" Kennwort
auf der lokalen Maschine an, stellt danach eine VPN-Verbindung her (neues Kennwort wird benötigt, da dieses
in der Domäne gültig ist). Wenn der User aber nun z.B. Outlook starten will authentifiziert sich dieses mit dem
"alten" Kennwort gegenüber dem MX-Server und somit kann keine Verbindung aufgebaut werden.

Gibt es eine Möglichkeit hier wieder synchron zu werden? D.h. dass das neu gesetzt Domänenkennwort auch
zur lokalen Maschine repliziert wird?



LG
Zacharias
Mitglied: Pjordorf
25.05.2010 um 14:43 Uhr
Hallo Zacharias,

Also dein User geht auf Dienstreise. Er ändert während der Dienstreise sein Domänenpasswort per VPN.

Was hat das jetzt mit deinem Lokalen Passwort zu tun?

Ist der User schon wieder von der Dienstreise zurück und will sich an seinem Rechner LOKAL anmelden oder will eine anderer während der Dienstreise sich an dem PC LOKAL anmelden?

Ist denn der Rechner nicht in der Domäne?

Und vielleicht erklärst du mal die genauen Schritte, welche deine User machen um per VPN ihr Domänenpasswort zu ändern.

Peter
Bitte warten ..
Mitglied: zacharias
25.05.2010 um 16:30 Uhr
Hallo Peter,

Erstmal Danke für deine Unterstüztung.

Ich werde versuchen, dieses Problem anders zu erklären, vllt. ist es dann verständlicher.
(Bitte die Sinnhaftigkeit von dem Beispiel ignorieren *gg*)

Nehmen wir an unser User hat 2 Clients

- Notebook (WinXP SP3)
- Desktop (WinXP SP3)

... und hat folgende Benutzerdaten:

- Benutzername: MyUser
- Kennwort: MyPassword


Die beiden Clients sind in einer Domäne und via LAN an's Firmennetzwerk angeschlossen.
Der User kann sich nach Lust und Laune ab- und anmelden und wir gehen mal davon aus,
dass alles funktioniert. D.h. in diesem Moment cached Windows die Benutzerdaten des Users
lokal, damit sich dieser auch OHNE Netzwerk anmelden kann.

Angenommen der User nimmt nun sein Notebook mit nachhause um HomeOffice zu betreiben.
Er kann sich mit den Benutzerdaten zuhause "offline" mit den Benutzerdaten "MyUser" und "MyPassword"
am Notebook anmelden (da diese Daten ja offline gecached wurden).

Gehen wir davon aus, dass der User am nächsten Tag wieder in's Büro fährt aber das Notebook zuhause
lässt. Wie es der Zufall will bekommt der User bei der Anmeldung am Desktop-PC die Info, das sein Passwort
ablaufen wird und ändert dieses prompt in "MyNEWPassword".

Jetzt haben wir folgende Situation:

Der User hat jetzt folgende Passwörter gesetzt:

- Domäne: "MyNEWPassword"
- Desktop-PC: "MyNEWPassword"
- Notebook: "MyPassword"

Da das Notebook zuhause steht ohne eine Verbindung mit dem DomainController bekommt es natürlich nichts
von dieser Änderung mit.

Am Abend fährt unser User wieder heim und will sich am Notebook anmelden. Tja ... funktioniert natürlich nicht mit
dem neuen Passwort "MyNEWPassword", da am Noteook noch das alte Passwort "MyPassword" aktiv ist. Also muss
sich der User mit den ALTEN Benutzerdaten anmelden. Danach kann er eine Internetverbindung aufbauen und sich mit
seiner VPN-Software in's Firmennetzwerk einwählen.
Der User muss sich bei der VPN-Authentifizerung natürlich mit den neuen Benutzerdaten anmelden. D.h. er hat jetzt ZWEI
Kennwörter: Für die lokale (offline) Anmeldung am Notebook nimmt er das Passwort "MyPassword" (weil das Notebook die
Änderung ja nicht mitbekommen hat) und damit er eine VPN-Verbindung aufbauen kann benötigt er jedoch schon das
Passwort "MyNEWPassword" weil er sich gegenüber der Domäne authentifizieren muss.

Jetzt kommen die Konsequenzen:

Da sich der User am Notebook offline anmeldet (mit den alten Benutzerdaten) laufen auch die Programme unter diesem
Userkontext (also mit den "falschen" Benutzerdaten).
Bsp: Outlook.exe wird am Notebook mit den Benutzerdaten "MyUser" und "MyPassword" ausgeführt. Da wir aber eine
VPN-Verbindung hergestellt haben, kann sich der User natürlich mit dem ExchangeServer verbinden. Outlook schickt
natürlich die Benutzerdaten mit ("MyUser" und "MyPassword") aber der ExchangeServer wartet auf "MyUser" und "MyNEWPassword".
Deshalb kann keine Verbindung aufgebaut werden.

WIE bekomme ich es jetzt hin, dass die Passwörter lokal am Notebook "aktualisiert" werden?? Es ist also notwendig, dass ein abgleich
zwischen den gespeicherten Benutzerdaten am Notebook und den aktuellen Benutzerdaten innerhalb der Domäne durchgeführt wird.

Das Problem hatte ich schon mehrmals unter den verschiedensten Umständen und ich konnte es bisher noch nicht wirklich lösen. Ein
WorkAround ist, dass ich den User nochmals das "ALTE" Passwort setze, denn dann ist das alte Passwort zugleich das neue Passwort
und alles funktioniert. Aus Datenschutzgründen (und ...) kann das natürlich keine Lösung sein.


Sorry für die umständliche Erklärung, aber was bessers ist mir jetzt nicht eingefallen .

Vllt. ein Bsp. zum Vergleich:
Angenommen der User arbeitet zuhause offline am Notebook (aber mit seinem Domänenbenutzer) und ein Admin ändert eine Policy. Das
Notebook bekommt das natürlich im offlineModus nicht mit, man kann die Policy aber mit "gpupdate /sync" oder "/force" abgleichen. GENAU
SOWAS suche ich ... nur eben für die Benutzeranmeldedaten.

Irgendwie glaub ich aber, dass ich bei diesem Thema mit der Kirche ums Kreuz laufe. Aber bei diesem Problem häng ich immer wieder.

Danke und LG
zacharias
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
VPn mit Domäne (9)

Frage von ratzekahlx zum Thema Windows Netzwerk ...

Windows 7
Domäne über VPN und WAN (2)

Frage von Cloudy zum Thema Windows 7 ...

Router & Routing
Layer 2 Bridge vs. FortiClient VPN Verbindung (5)

Frage von Richmen zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...