Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verzwickte Passwort abgelaufen - Konto deaktivert - Konstellation mit VPN-Zugriff

Frage Microsoft Windows 7

Mitglied: Shiva99

Shiva99 (Level 1) - Jetzt verbinden

04.01.2013 um 12:13 Uhr, 4964 Aufrufe, 6 Kommentare

Hi,
Folgende Gegebenheiten:
Windows-Domäne (2008R2) mit gesetzter Passwortpolicy: Kennwortablauf nach 90 Tagen.

Nun folgende Situation:

Benutzer hat 2 Computer: ein PC, ein Notebook (mit der Möglichkeit, sich per VPN von überall mit dem Firmennetz zu verbinden).
Benutzer sitzt am PC. System meldet: Kennwort läuft in 5 Tagen ab. Benutzer setzt neues Kennwort (seines Domänen-Accounts).
Soweit - so gut.
Benutzer nimmt nun sein Notebook (,welches die ganze Zeit ausgeschaltet war) mit nach Hause, fährt es zu Hause hoch. Das gespeichertes (Windows 7)-Domänenprofil kennt natürlich nur sein altes Kennwort. Also: Anmelden mit altem Kennwort, kein Problem. Jetzt Verbindung zum Firmennetzwerk mit VPN. Zugriffe auf Ressourcen (Exchange, File-Share etc.) nicht möglich, da plötzlich Windows-Konto gesperrt ist.
Ich habe nachgeschaut, es ist auch so. Sobald man die VPN-Verbindung hat und zugreifen möchte wird das Konto gesperrt.
Jetzt liegt es natürlich nahe, auf dem Notebook das Kennwort zu ändern:
Möglichkeit 1: mit aktiver VPN ---> geht nicht: da Konto ständig gesperrt.
Möglichkeit 2: Offline, also Notebook hochfahren und am lokal gespeicherten Domänenprofil anmelden. Kennwort ändern geht nicht, da Domänencontroller nicht verfügbar ist.

Einzige Lösung bisher: Notebook wieder ans Firmennetz ran und normal anmelden, mit dem neuen Kennwort, da ja jetzt der DC sofort erreichbar ist. Damit ist dann auch das lokale Profil wieder auf dem neuesten Stand. Hinweis: die VPN-Verbindung kann erst aufgebaut werden, wenn der Benutzer mit seinem Profil angemeldet ist, also quasi nur interaktiv möglich, geht ja auch nicht anders.
Diese Lösung ist allerdings nicht sehr zufriedenstellend.


Frage: Wie kommt man aus diesem Dilemma raus?

Vielen Dank im Voraus für Eure Antworten.
shiva

Mitglied: Chonta
04.01.2013 um 12:21 Uhr
Hallo,

anmelden über DFÜ dann muss der Benutzer sich immer am DC anmelden.

http://blogs.technet.com/b/grouppolicy/archive/2007/07/30/where-is-logo ...

Gruß

Chonta
Bitte warten ..
Mitglied: Shiva99
04.01.2013 um 12:27 Uhr
Es handelt sich hier bei uns zwar nicht um eine Microsoft VPN-Lösung, aber ich werde mir das mal anschauen. Ich hoffe, dass der Benutzer dann beim Anmelden auswählen darf, ob mit oder ohne DFÜ.
Danke erstmal.
Bitte warten ..
Mitglied: 2hard4you
04.01.2013 um 13:06 Uhr
Moin,

erstmal würde es reichen, wenn der Anwender weder Outlook noch was anderes beim Login aufmacht, wenn er schon zu ... ist, das Passwort über das Notebok zu ändern.

Damit wird das Paßwort nicht ungültig - und dann einfach Paßwort ändern.

Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.

Gruß

24
Bitte warten ..
Mitglied: Chonta
04.01.2013 um 13:08 Uhr
Hallo,

was für eine Lösung ist denn im Einsatz?
Das mit DFÜ haut nur hin, wenn eine MS-VPN Verbindung möglich ist.

OpenVPN kann man z.B. als Dinst starten, bei Zertifikaten darf kein Passwort hinterlegt sein.
Wenn der Laptop richtig verschlüsselt ist, ist das mit dem kein Passwort für das Zertifikat kein Problem.

Gruß

Chonta
Bitte warten ..
Mitglied: Shiva99
04.01.2013 um 13:45 Uhr
Damit wird das Paßwort nicht ungültig - und dann einfach Paßwort ändern.
Eben genau da kommt auch die Info vom System, dass es nicht geht und das Konto gesperrt ist/wurde.


Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Naja, der Sachverhalt ist schon nicht so trivial, dass man den Otto-Normal-User dafür beschuldigen muss.

Trotzdem Danke.
Gruß
Bitte warten ..
Mitglied: 2hard4you
04.01.2013 um 14:05 Uhr
Zitat von Shiva99:

> Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Naja, der Sachverhalt ist schon nicht so trivial, dass man den Otto-Normal-User dafür beschuldigen muss.


Entschuldige bitte, der Sachverhalt ist trivial!! - in der sehr großen Firma, für die arbeite, mußte ein Consultant schon mal 300 km bis zu einer Niederlassung fahren, weil der sich seinen Laptop so gesperrt hat - das macht der nur einmal.... dann weiß der das...

Und zur Technik - solange nicht LW-Verknüpfungen oder Outlook offen ist, oder der Proxy genutzt wird, geht kein Passwort rüber und damit wird auch nix gesperrt...

Gruß

24
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Client VPN Zugriff auf Remote Subnet (2)

Frage von niklas.kasper zum Thema Netzwerke ...

Drucker und Scanner
WLAN-Handscanner für VPN und Zugriff auf Anwendung im LAN (10)

Frage von Akrosh zum Thema Drucker und Scanner ...

Router & Routing
gelöst Site to Site VPN mit PfSense - Zugriff auf Remote Netze nicht möglich. (6)

Frage von RRESEARCH zum Thema Router & Routing ...

Router & Routing
gelöst Zugriff vom Terminalserver auf lokalen Netzwerdrucker ( VPN ) (8)

Frage von takvorian zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
Tipps für Router (ca. 100 clients, VPN) (18)

Frage von oel-auge zum Thema Router & Routing ...

Windows 7
BOOTMGR is missing (auch nach bootrec -RebuildBcd) (16)

Frage von Mipronimo zum Thema Windows 7 ...

TK-Netze & Geräte
gelöst Convert von TAPI auf CAPI gesucht (13)

Frage von StefanKittel zum Thema TK-Netze & Geräte ...