Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PC noch in Domäne aber nicht im Domänen Netzwerk - läuft Passwort trotzdem ab ?

Frage Microsoft Windows Server

Mitglied: WillyWonka

WillyWonka (Level 1) - Jetzt verbinden

09.01.2014, aktualisiert 10:32 Uhr, 2515 Aufrufe, 13 Kommentare, 3 Danke

Hallo Leute,

habe mich gerade extra für diese Frage hier angemeldet.

Also mein Problem habe ich oben schon geschildert. Es war nämlich so das unsere Geschäftsführer seinen jetztigen PC den er in der Firma verwendet hat gerne nach Hause mit nehmen möchte, weil eine Software die am jetztigen PC installiert ist nicht mehr auf Win 8 funktioniert.

Das blöde ist halt, wenn ich den Client aus der Domäne entferne bleibt das bestehende User Profil ja nicht aktiviert. Das heißt alle Einstellungen sind futsch.Das möchte ich aufjedenfall umgehen.

Standartmäßig muss man in unserer Domäne alle 6 Monate das Passwort ändern.

Server 2008 R2 und der Rechner ist ein XP Rechner.

Hoffe man versteht was ich meine, danke schon mal.

MFG
Flo
Mitglied: goscho
LÖSUNG 09.01.2014, aktualisiert um 10:32 Uhr
Moin Flo,

wenn du den PC physikalisch von der Domäne trennst, ohne ihn aus der Domäne zu entfernen, zieht dieser beim Starten keine GPOs mehr vom Server, da er auf diese keinen Zugriff hat.
AFAIK kommt dann auch keinen Passwortänderungsabfrage.

Ob du den dann bei dir aus dem AD rauswirfst oder nicht, hat so lange keine Bewandtnis, wie dieser Client nicht mit dem Firmennetzwerk verbunden wird.

Das blöde ist halt, wenn ich den Client aus der Domäne entferne bleibt das bestehende User Profil ja nicht aktiviert. Das heißt alle Einstellungen sind futsch.Das möchte ich aufjedenfall umgehen.
Man kann aber auch den Client aus der Domäne entfernen und das Profil übernehmen. Dies geht händisch oder mit Tools (bspw.User Profil Wizzard).
Ich habe damit zwar bisher nur den Weg in die andere Richtung genutzt (Arbeitsgruppe in Domäne) sollte aber auch so gehen.


Edit: Ich habe bei Leuten schon PCs gesehen, die vor Jahren in der Firma ausgemustert wurden und trotzdem noch mit der Domänenanmeldung und den Cached Credentials benutzt wurden. Oft waren dort auch alle Programme aus der Firma noch installiert.
Bitte warten ..
Mitglied: WillyWonka
09.01.2014 um 09:34 Uhr
Vielen Dank für die Antwort

Das heißt jetzt das das jetztige Passwort theoretisch für immer das bleibt das es jetzt ist ? Sobald er wieder im Domänen Netzwerk ist zieht er die GPO und verlangt dann das neue Passwort, richtig ?

Dachte mir vielleicht das ist in der Registry hinterlegt.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 09.01.2014, aktualisiert um 10:32 Uhr
Zitat von goscho:

Edit: Ich habe bei Leuten schon PCs gesehen, die vor Jahren in der Firma ausgemustert wurden und trotzdem noch mit der
Domänenanmeldung und den Cached Credentials benutzt wurden. Oft waren dort auch alle Programme aus der Firma noch
installiert.

Ja, habe ich auch schon gesehen. Wenn aus irgendeinem grund mal die credentials weg sind und die sich nciht mehr anmelden könne, wird dann um Hilfe gerufen. deswegen biete ich den Firmen auch als Dienstleistung "Platte putzen" für ausgemusterte PCs an.

lks

PS: Man sollte gar nicht glauben, wie leichfertig manche Firmen mit Ihren Firmendaten umgehen.
Bitte warten ..
Mitglied: goscho
LÖSUNG 09.01.2014, aktualisiert um 10:32 Uhr
Zitat von WillyWonka:

Vielen Dank für die Antwort
Bitte gerne doch.
Das heißt jetzt das das jetztige Passwort theoretisch für immer das bleibt das es jetzt ist ? Sobald er wieder im
Domänen Netzwerk ist zieht er die GPO und verlangt dann das neue Passwort, richtig ?
Falsch, du hast den PC doch aus dem AD entfernt.
Also wird er erst einmal neu in die Domäne aufgenommen werden müssen
Dachte mir vielleicht das ist in der Registry hinterlegt.
Nein, diese Infos zieht sich der PCs von den GPOs. Da er keine physikalische Verbindung zu einem DC hat, zieht er diese GPOs auch nicht.
Wenn nichts komisches passiert, kann er sich noch sehr lange an diesem PC mit dem alten Kennwort anmelden.

Auch wenn es sich um den Chef handelt, würde ich trotzdem den PC sauber aus der Domäne entfernen und alles so einrichten, dass die Firma später keinen Schaden nimmt.
Bitte warten ..
Mitglied: WillyWonka
09.01.2014 um 10:01 Uhr
Nein, ich glaub ich habe das jetzt falsch erläutert :D

Also der PC wird von Ihm mit nachhause genommen. Das heißt im einfachen wir haben den einfach abgesteckt und bei ihm zuhause aufgestellt.
In der Domäne ist der PC noch wie wir ihn abgesteckt haben.

Ich hoffe man versteht was ich meine

(Bezüglich Firmendaten habe ich ihn darauf angesprochen, meinte er wolle damit nicht ins Internet - seine Sache)
Bitte warten ..
Mitglied: Ausserwoeger
LÖSUNG 09.01.2014, aktualisiert um 10:32 Uhr
Hi

Dann läuft der Rechner so weiter wie er jetzt ist bis der chef ihn wieder mit in die Firma bringt.
Wenn du das Computerkonto nicht aus dem AD entfernst.
Wenn du nicht möchtest das dein chef wieder ins Firmennetzwerk kann mit diesem PC wenn er ihn mitbringt weil er ja Viren oder sonstigen müll mitbringen könnte kannst du das Computerkonto auch aus dem AD entfernen dann bekommt er selbst wenn er den PC firmenintern verwendet keine Passwortänderungsanfrage weil keine GPOs übernommen werden.

LG Andy
Bitte warten ..
Mitglied: goscho
LÖSUNG 09.01.2014, aktualisiert um 10:32 Uhr
Zitat von WillyWonka:

Nein, ich glaub ich habe das jetzt falsch erläutert :D

Also der PC wird von Ihm mit nachhause genommen. Das heißt im einfachen wir haben den einfach abgesteckt und bei ihm zuhause
aufgestellt.
In der Domäne ist der PC noch wie wir ihn abgesteckt haben.

Ich hoffe man versteht was ich meine
Nein, wir haben dich schon richtig verstanden und wollten dich darauf hinweisen, dass es nicht im Sinne der Firma ist, wenn die Daten bei Mitarbeitern zu Hause landen (außer es sind Heimarbeiter oder Firmeninhaber)
(Bezüglich Firmendaten habe ich ihn darauf angesprochen, meinte er wolle damit nicht ins Internet - seine Sache)
Was hat den das Internet mit den Firmendaten zu tun?

Oft sind dort Programme installiert, welche teuer zu lizenzieren sind. Meistens werden beim PC-Wechsel diese Lizenzen auf dem Nachfolge-PC weitergenutzt.
Auf dem auszumusternden PC dürften diese dann nicht mehr laufen.
Dann sind fast immer auch firmenrelevante Daten auf den PCs (gerade wenn deren User höhere Positionen haben).
Das diese nicht in falschen Händen landen, kann man glauben, muss man aber nicht.

Was, wenn der Geschäftsführer ein normaler Angestellter ist und ein paar Wochen später zu einem Konkurrenten wechselt?
Bitte warten ..
Mitglied: WillyWonka
09.01.2014 um 10:32 Uhr
Vielen Dank euch allen !! )

@goscho

Ja das könnte schon sein, nur wenn mir der 2te Firmenchef sagt das er das möchte, und ich ihm die Gefahren schon erläutert habe werde ich nicht mit ihm diskutieren :D
Soll er machen wie er das möchte )

Danke euch für die Infos, tolles Forum )
Bitte warten ..
Mitglied: muftypeter
09.01.2014 um 12:11 Uhr
Hallo,
gerade bei Chefs sollte sich ein Sicherheitsbedürfnis entwicken. Das OS XP wird sehr bald nicht mehr vom Hersteller gepflegt, hier tun sich bald Lücken auf und die Aussage bezüglich WWW möchte ich gerne glauben.


Peter
Bitte warten ..
Mitglied: goscho
09.01.2014 um 12:35 Uhr
Zitat von muftypeter:

Hallo,
gerade bei Chefs sollte sich ein Sicherheitsbedürfnis entwicken. Das OS XP wird sehr bald nicht mehr vom Hersteller gepflegt,
hier tun sich bald Lücken auf und die Aussage bezüglich WWW möchte ich gerne glauben.
Dazu benötigt man aber kein altes XP, das hat man mit so ziemlich jedem System, egal von welchem Hersteller und egal wie jung.
Bitte warten ..
Mitglied: Chonta
09.01.2014 um 17:57 Uhr
Hallo,

wenn für die Domänenbenutzerkonten Passwortverfall eingestellt ist, wird dem Domänenprofil vom Chefe irgendwann das Passwort ablaufen oder die Anzahl der zwischengespeicherten Anmeldungen wird aufgebraucht und und und. (Jehnachdem was für GPO gelten und die hat er ja schonmal gezogen).

Das Computerkonto kann auslaufen ok, aber wenn der PC nie wieder in die Domäne kommt, egal.

Aber warum richtest Du nicht einfach ein neues Lokales Profil ein und kopierst die Profileinstellungen (nicht über den Explorer sondern so wie es vorgesehen ist) auf das neue Profil?
Dann hat Cefe alle einstelungen und du kannst den PC sauber aus dem AD entfernen.

Gruß

Chonta
Bitte warten ..
Mitglied: IT-Kean
09.01.2014 um 22:50 Uhr
Wenn ein Domänen PC aus dem Domänen Netzwerk entfernt wird,nicht aber aus der Domäne,so hat der selbstverständlich noch die GPOs der Domäne.

Wenn jetzt die Passwortrichtlinie vorgibt,dass ein Kennwort nach 42 Tagen geändert werden muss,dann greift diese.

Wenn die Richtlinie aus welchen gründen auch immer nicht mehr greifen sollte oder so Konfiguriert ist,dass das Kennwort nicht abläuft, so greift aber mal zumindest eine andere Richtlinie,die dem Nutzer das leben versüßt und diese besagt,dass wenn x Anmeldungen am PC vorgenommen wurden,ohne einen Kontakt zu einem DC zu haben,dann ist mal nix mehr mit Anmelden.
Bitte warten ..
Mitglied: Ausserwoeger
10.01.2014, aktualisiert um 10:21 Uhr
Zitat von IT-Kean:

Wenn ein Domänen PC aus dem Domänen Netzwerk entfernt wird,nicht aber aus der Domäne,so hat der
selbstverständlich noch die GPOs der Domäne.

Wenn jetzt die Passwortrichtlinie vorgibt,dass ein Kennwort nach 42 Tagen geändert werden muss,dann greift diese.

Wenn die Richtlinie aus welchen gründen auch immer nicht mehr greifen sollte oder so Konfiguriert ist,dass das Kennwort nicht
abläuft, so greift aber mal zumindest eine andere Richtlinie,die dem Nutzer das leben versüßt und diese
besagt,dass wenn x Anmeldungen am PC vorgenommen wurden,ohne einen Kontakt zu einem DC zu haben,dann ist mal nix mehr mit
Anmelden.

Hi

Was passiert wenn man die Lokalen Sicherheitsrichtlinien entsprechend anpasst wenn der PC nicht mehr in die Domain kommt ?????

GPOs ändern diese einstellungen bzw. die Registrierung des Computers, wenn man also möchte kann man diese Einstellungen anpassen.

Ich glaube was du meinst ist GPO Caching . Diese Funktion gibt es aber erst ab Windows 8. Hier beschrieben:
http://www.windowspro.de/wolfgang-sommergut/gpo-neuerungen-windows-81-c ...

Ich arbeite bereits 2 Jahre mit einem Domain Rechner ausserhalb der Domain ohne Probleme.


Zitat von Chonta:
Passwort ablaufen oder die Anzahl der zwischengespeicherten Anmeldungen wird aufgebraucht und und und

Es gibt keine Anmeldungen die sich aufbrauchen. Es handelt sich hier um die Einstellung wieviel Benutzerkontos er zwischenspeichert. Das bedeutet arbeiten 20 Verschiedene benutzer auf dem PC können sich wenn der DC nicht verfügbar ist nur 10 User anmelden weil die anderen 10 User nicht mehr im Cache des PCs liegen. 10 ist übrigens nur die standard einstellungen und kann erhöht werden.

Ist ein Benutzerkonto gespeichert bleibt es das auch bis das Konto manuell entfernt wird. Oder der User in der Domain gelöscht wird und der PC kontakt zur domain hatte.

LG
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...