Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verzwickte Passwort abgelaufen - Konto deaktivert - Konstellation mit VPN-Zugriff

Frage Microsoft Windows 7

Mitglied: Shiva99

Shiva99 (Level 1) - Jetzt verbinden

04.01.2013 um 12:13 Uhr, 5104 Aufrufe, 6 Kommentare

Hi,
Folgende Gegebenheiten:
Windows-Domäne (2008R2) mit gesetzter Passwortpolicy: Kennwortablauf nach 90 Tagen.

Nun folgende Situation:

Benutzer hat 2 Computer: ein PC, ein Notebook (mit der Möglichkeit, sich per VPN von überall mit dem Firmennetz zu verbinden).
Benutzer sitzt am PC. System meldet: Kennwort läuft in 5 Tagen ab. Benutzer setzt neues Kennwort (seines Domänen-Accounts).
Soweit - so gut.
Benutzer nimmt nun sein Notebook (,welches die ganze Zeit ausgeschaltet war) mit nach Hause, fährt es zu Hause hoch. Das gespeichertes (Windows 7)-Domänenprofil kennt natürlich nur sein altes Kennwort. Also: Anmelden mit altem Kennwort, kein Problem. Jetzt Verbindung zum Firmennetzwerk mit VPN. Zugriffe auf Ressourcen (Exchange, File-Share etc.) nicht möglich, da plötzlich Windows-Konto gesperrt ist.
Ich habe nachgeschaut, es ist auch so. Sobald man die VPN-Verbindung hat und zugreifen möchte wird das Konto gesperrt.
Jetzt liegt es natürlich nahe, auf dem Notebook das Kennwort zu ändern:
Möglichkeit 1: mit aktiver VPN ---> geht nicht: da Konto ständig gesperrt.
Möglichkeit 2: Offline, also Notebook hochfahren und am lokal gespeicherten Domänenprofil anmelden. Kennwort ändern geht nicht, da Domänencontroller nicht verfügbar ist.

Einzige Lösung bisher: Notebook wieder ans Firmennetz ran und normal anmelden, mit dem neuen Kennwort, da ja jetzt der DC sofort erreichbar ist. Damit ist dann auch das lokale Profil wieder auf dem neuesten Stand. Hinweis: die VPN-Verbindung kann erst aufgebaut werden, wenn der Benutzer mit seinem Profil angemeldet ist, also quasi nur interaktiv möglich, geht ja auch nicht anders.
Diese Lösung ist allerdings nicht sehr zufriedenstellend.


Frage: Wie kommt man aus diesem Dilemma raus?

Vielen Dank im Voraus für Eure Antworten.
shiva

Mitglied: Chonta
04.01.2013 um 12:21 Uhr
Hallo,

anmelden über DFÜ dann muss der Benutzer sich immer am DC anmelden.

http://blogs.technet.com/b/grouppolicy/archive/2007/07/30/where-is-logo ...

Gruß

Chonta
Bitte warten ..
Mitglied: Shiva99
04.01.2013 um 12:27 Uhr
Es handelt sich hier bei uns zwar nicht um eine Microsoft VPN-Lösung, aber ich werde mir das mal anschauen. Ich hoffe, dass der Benutzer dann beim Anmelden auswählen darf, ob mit oder ohne DFÜ.
Danke erstmal.
Bitte warten ..
Mitglied: 2hard4you
04.01.2013 um 13:06 Uhr
Moin,

erstmal würde es reichen, wenn der Anwender weder Outlook noch was anderes beim Login aufmacht, wenn er schon zu ... ist, das Passwort über das Notebok zu ändern.

Damit wird das Paßwort nicht ungültig - und dann einfach Paßwort ändern.

Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.

Gruß

24
Bitte warten ..
Mitglied: Chonta
04.01.2013 um 13:08 Uhr
Hallo,

was für eine Lösung ist denn im Einsatz?
Das mit DFÜ haut nur hin, wenn eine MS-VPN Verbindung möglich ist.

OpenVPN kann man z.B. als Dinst starten, bei Zertifikaten darf kein Passwort hinterlegt sein.
Wenn der Laptop richtig verschlüsselt ist, ist das mit dem kein Passwort für das Zertifikat kein Problem.

Gruß

Chonta
Bitte warten ..
Mitglied: Shiva99
04.01.2013 um 13:45 Uhr
Damit wird das Paßwort nicht ungültig - und dann einfach Paßwort ändern.
Eben genau da kommt auch die Info vom System, dass es nicht geht und das Konto gesperrt ist/wurde.


Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Naja, der Sachverhalt ist schon nicht so trivial, dass man den Otto-Normal-User dafür beschuldigen muss.

Trotzdem Danke.
Gruß
Bitte warten ..
Mitglied: 2hard4you
04.01.2013 um 14:05 Uhr
Zitat von Shiva99:

> Ansonsten muß er eben in die Firma fahren - entweder Hirn oder Sprit investieren.
Naja, der Sachverhalt ist schon nicht so trivial, dass man den Otto-Normal-User dafür beschuldigen muss.


Entschuldige bitte, der Sachverhalt ist trivial!! - in der sehr großen Firma, für die arbeite, mußte ein Consultant schon mal 300 km bis zu einer Niederlassung fahren, weil der sich seinen Laptop so gesperrt hat - das macht der nur einmal.... dann weiß der das...

Und zur Technik - solange nicht LW-Verknüpfungen oder Outlook offen ist, oder der Proxy genutzt wird, geht kein Passwort rüber und damit wird auch nix gesperrt...

Gruß

24
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Client VPN Zugriff auf Remote Subnet (2)

Frage von niklas.kasper zum Thema Netzwerke ...

Router & Routing
FritzBox VPN (LAN-LAN Kopplung) kein Zugriff auf HTTPS Adressen (2)

Frage von 132932 zum Thema Router & Routing ...

Windows Server
gelöst Site to Site VPN (Kein Zugriff von Client auf Remote Server) (3)

Frage von subsee zum Thema Windows Server ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (16)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

CMS
Lokales Wordpress im LAN - wie aufsetzen? (15)

Frage von Static zum Thema CMS ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (14)

Frage von guntis zum Thema LAN, WAN, Wireless ...

Java
gelöst Net user per script aus txt oder csv für FTP (12)

Frage von OlliPWS zum Thema Java ...