Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verzwickte Passwort abgelaufen - Konto deaktivert - Konstellation mit VPN-Zugriff

Frage Microsoft Windows 7

Mitglied: Shiva99

Shiva99 (Level 1) - Jetzt verbinden

04.01.2013 um 12:13 Uhr, 4795 Aufrufe, 6 Kommentare

Hi,
Folgende Gegebenheiten:
Windows-Domäne (2008R2) mit gesetzter Passwortpolicy: Kennwortablauf nach 90 Tagen.

Nun folgende Situation:

Benutzer hat 2 Computer: ein PC, ein Notebook (mit der Möglichkeit, sich per VPN von überall mit dem Firmennetz zu verbinden).
Benutzer sitzt am PC. System meldet: Kennwort läuft in 5 Tagen ab. Benutzer setzt neues Kennwort (seines Domänen-Accounts).
Soweit - so gut.
Benutzer nimmt nun sein Notebook (,welches die ganze Zeit ausgeschaltet war) mit nach Hause, fährt es zu Hause hoch. Das gespeichertes (Windows 7)-Domänenprofil kennt natürlich nur sein altes Kennwort. Also: Anmelden mit altem Kennwort, kein Problem. Jetzt Verbindung zum Firmennetzwerk mit VPN. Zugriffe auf Ressourcen (Exchange, File-Share etc.) nicht möglich, da plötzlich Windows-Konto gesperrt ist.
Ich habe nachgeschaut, es ist auch so. Sobald man die VPN-Verbindung hat und zugreifen möchte wird das Konto gesperrt.
Jetzt liegt es natürlich nahe, auf dem Notebook das Kennwort zu ändern:
Möglichkeit 1: mit aktiver VPN ---> geht nicht: da Konto ständig gesperrt.
Möglichkeit 2: Offline, also Notebook hochfahren und am lokal gespeicherten Domänenprofil anmelden. Kennwort ändern geht nicht, da Domänencontroller nicht verfügbar ist.

Einzige Lösung bisher: Notebook wieder ans Firmennetz ran und normal anmelden, mit dem neuen Kennwort, da ja jetzt der DC sofort erreichbar ist. Damit ist dann auch das lokale Profil wieder auf dem neuesten Stand. Hinweis: die VPN-Verbindung kann erst aufgebaut werden, wenn der Benutzer mit seinem Profil angemeldet ist, also quasi nur interaktiv möglich, geht ja auch nicht anders.
Diese Lösung ist allerdings nicht sehr zufriedenstellend.


Frage: Wie kommt man aus diesem Dilemma raus?

Vielen Dank im Voraus für Eure Antworten.
shiva

Mitglied: Chonta
04.01.2013 um 12:21 Uhr
Hallo,

anmelden über DFÜ dann muss der Benutzer sich immer am DC anmelden.

http://blogs.technet.com/b/grouppolicy/archive/2007/07/30/where-is-logo ...

Gruß

Chonta
Bitte warten ..
Mitglied: Shiva99
04.01.2013 um 12:27 Uhr
Es handelt sich hier bei uns zwar nicht um eine Microsoft VPN-Lösung, aber ich werde mir das mal anschauen. Ich hoffe, dass der Benutzer dann beim Anmelden auswählen darf, ob mit oder ohne DFÜ.
Danke erstmal.
Bitte warten ..
Mitglied: 2hard4you
04.01.2013 um 13:06 Uhr
Moin,

erstmal würde es reichen, wenn der Anwender weder Outlook noch was anderes beim Login aufmacht, wenn er schon zu ... ist, das Passwort über das Notebok zu ändern.

Damit wird das Paßwort nicht ungültig - und dann einfach Paßwort ändern.

Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.

Gruß

24
Bitte warten ..
Mitglied: Chonta
04.01.2013 um 13:08 Uhr
Hallo,

was für eine Lösung ist denn im Einsatz?
Das mit DFÜ haut nur hin, wenn eine MS-VPN Verbindung möglich ist.

OpenVPN kann man z.B. als Dinst starten, bei Zertifikaten darf kein Passwort hinterlegt sein.
Wenn der Laptop richtig verschlüsselt ist, ist das mit dem kein Passwort für das Zertifikat kein Problem.

Gruß

Chonta
Bitte warten ..
Mitglied: Shiva99
04.01.2013 um 13:45 Uhr
Damit wird das Paßwort nicht ungültig - und dann einfach Paßwort ändern.
Eben genau da kommt auch die Info vom System, dass es nicht geht und das Konto gesperrt ist/wurde.


Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Naja, der Sachverhalt ist schon nicht so trivial, dass man den Otto-Normal-User dafür beschuldigen muss.

Trotzdem Danke.
Gruß
Bitte warten ..
Mitglied: 2hard4you
04.01.2013 um 14:05 Uhr
Zitat von Shiva99:

> Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Naja, der Sachverhalt ist schon nicht so trivial, dass man den Otto-Normal-User dafür beschuldigen muss.


Entschuldige bitte, der Sachverhalt ist trivial!! - in der sehr großen Firma, für die arbeite, mußte ein Consultant schon mal 300 km bis zu einer Niederlassung fahren, weil der sich seinen Laptop so gesperrt hat - das macht der nur einmal.... dann weiß der das...

Und zur Technik - solange nicht LW-Verknüpfungen oder Outlook offen ist, oder der Proxy genutzt wird, geht kein Passwort rüber und damit wird auch nix gesperrt...

Gruß

24
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerke
Client VPN Zugriff auf Remote Subnet (2)

Frage von niklas.kasper zum Thema Netzwerke ...

Windows Server
RAS-VPN nur Zugriff auf per DHCP geleaste IPs (10)

Frage von lucarenner zum Thema Windows Server ...

Router & Routing
gelöst Raspberry PI als VPN Client - Zugriff auf VPN LAN (8)

Frage von PeterH96 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (23)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...