Canni

Hallo zusammen, auf jedem unserer Clients gibt es ja zwei Administratoren-Konten: Einmal den lokalen Administrator --> dessen Kennwort lässt sich durch ein Skript oder das manuelle Verbinden mittels Computerverwaltung ändern. Dann den Administrator der Domäne: DOMAENE\Administrator --> dieses Kennwort lässt sich zwar im AD ändern, es synchronisiert aber natürlich nicht mit den zwischengespeicherten Anmeldeinformationen auf dem Client. Ändere ich also mein Domänen-Admin-Kennwort im AD, ist in Wahrheit auf den Clients (hier: vor allem Notebooks !) noch das alte zwischengespeichert. Wie verfahrt ihr hier? Canni

Hallo zusammen, den IE8 habe ich testweise auf ein paar Clients installiert. Soweit toll. Was mich stört ist: - die Willkommensmeldung beim ersten Start, in der der User Einstellungen treffen soll --> soll abgeschaltet werden, nur wie? - die Meldung, dass der Standardsuchanbieter beschädigt wurde (beim allerersten Start) --> weg damit. Wie bekomme ich dies mittels GPO hin? Danke ! Canni

Hallo zusammen, wir setzen David Zehn auf unserem Domänen-Controler ein - ohne das kleinste Problem damit. Nun möchten wir die Webbox-Funktion für unsere IPhones verwenden. Die nutzerfreundlichste Möglichkeit wäre das Forwarden des entsprechenden Webbox-Ports (80 .. oder ein anderer - ist änderbar) von der Firewall auf den Domänen-Controler. User öffnet seine Webbox über https://oeffentlicheIP ... Verbindung ist zwar verschlüsselt, doch ich sehe diese Variante trotzdem als Sicherheitsrisiko für unseren Server bzw. unser Netzwerk an, da wir ja hier einen "offenen" Port nach außen hin haben. Meine Idee (etwas nutzerunfreundlicher): aufbau einer PPTP-Verbindung von den IPhones aus und dann Aufrufen der Webbox mit http://192.168.... Wie schätzt ihr die Situation ein? Wie würdet ihr das realisieren? Gruß, Canni P.S.: Unsere Notebooks binden wir mit VPN-SSL an, nicht mit PPTP.

Hallo Chirho, bitte entschuldige, wenn das falsch rüberkam. Vielleicht haben wir ja aneinander vorbeigeredet? Lass uns doch noch einmal besprechen, wie wir es realisieren könnten? Interessiert sicher auch andere im Forum. Dein Ansatz war doch, den SingleSignOn-Clienten von GateProtect auf allen Geräten zu installieren, richtig?

Funktioniert einwandfrei, zumindest bei meinen Tests. Kannst Du den LDAP-Filter noch integrieren?

Nun, das mag schon stimmen, aber so muss ich die Passwortänderungs-Mails nicht mehr manuell schreiben. Schau mal, die User löschen die eMails sicher nicht bewusst, vergessen aber bei der anderen Methode, STRG+L zu drücken.

Vielleicht ist es für Euch interesannt, wenn ich kurz beschreibe, wie es bei uns aussieht: Wir setzen bis auf wenige Ausnahmen fast nur Notebooks ein. Alle Rechner sind Mitglieder der Domäne. Unsere User arbeiten mit ihren Notebooks fast ausschließlich von zu Hause aus. Sie melden sich also mit mit Ihrem Benutzernamen & Kennwort an der Domäne in Windows an. Danach starten sie eine VPN-Verbindung und sind "im Netz". Gruppenrichtlinien etc. werden von nun an im Hintergrund aktualisiert. Daraufhin starten die User eine Remotedesktopverbindung zu unserem Terminalserver. Wo liegt das Problem? --> Der User wird bei der Windows-Anmeldung nicht über ein abgelaufenes Kennwort informiert bzw. zum Wechsel dieses aufgefordert, da die Verbindung zum DC natürlich noch nicht besteht. Ist die Verbindung später per VPN hergestellt, erscheint keine Aufforderung mehr. --> Verbindet sich der User nun per RDP mit dem Terminalserver, würde er dort zum Ändern des Kennwortes aufgefordert werden, es sei denn, in den Userdaten ist eingestellt, dass der benutzer sein Kennwort NICHT ändern muss. Müsste er es nämlich ändern, würde sich dies ja nicht auf sein Notebook auswirken, da die "cached credentials" (leider!!!) nicht synchronisert werden. Er müsste STRG+L drucken und die Sperrung mittels neuem Kennwort aufheben - was in der Praxis nicht passiert. Daher mein Wunsch, für diese Notebook-User die Windows-Aufforderung zum Kennwort-Wechsel zu unterbinden. User, die nur an Desktop-Rechnern arbeiten (z.B. Azubis), sollen ganz normal zum Passwort-Wechsel aufgefordert werden. Eine Möglichkeit wäre, am Terminalserver die Kennwortänderungsaufforderung auf 0 zu setzen, oder? Möchte nicht vom Thema ablenken, nur darstellen, was das Problem ist bzw. weshalb die Funktion von oben praktisch wäre.

Okay, bin ja schon überredet ;-) Kann ich bei einem LDAP-Filter eigentlich auch einzelne User wählen, oder muss der LDAP-Filter immer irgend ein anderes Kriterium haben? Man könnte doch auch nach einem Feld in den Userdaten filtern, z.B. SENDE eMail an die, bei denen "XX1" im Feld "Organisation" steht. Wichtig wäre, dass man die Abhängigkeit von "User muss das Kennwort nicht ändern" deaktivieren könnte.

Wow. Einfach klasse. Großes Kompliment! Was meinst Du zu der Idee, nur gewisse User per eMail auffordern zu lassen? Praktisch wäre es, wenn man z.B. durch Semikolon (o.ä.) getrennt die User aufführen könnte, die angeschrieben werden sollen - auch, wenn "User muss Kennwort nicht ändern" gesetzt ist.

Weshalb, nur weil man auf der fachlichen Ebene nicht weiter kommt, mit Aussagen wie "Genau. Sonst hast du aber keine Probleme, oder? " kontern? Solche Aussagen bitte in Zukunft unterlassen. Wollen wir uns wieder dem Thema, dem tollen Projekt des PassAlerts, annehmen? Meine "Wünsche" hatte ich ja angemerkt, wenn diese noch andere interessieren, könnte man ja vielleicht über eine Umsetzung nachdenken (1. modifizierbare Betreffzeile, 2. Selektieren der User nach OU oder einzeln). Gruß

Hallo ;-) Nun, weil in meinem anderen Thread keiner auf eine Skript-Lösung bezüglich der Cached Credentials (konkret gesehen) reagierte .. vielleicht hilfst Du mir ja ;-) Nun, mit filtern meinte ich es anders: Die User, die per eMail zum Kennwortwechsel aufgefordert werden, sollen NICHT unter Windows dazu aufgefordert werden (Gründe --> siehe anderer Thread). Ich würde es also gern pro User oder OU einstellen können .. ?

Ganz großes Kompliment. Ich dachte immer, ich wäre der einzige, der so eine Lösung benötigen könnte. Bei uns ist es das Notebook-Umfeld und die Cached credentials, die die Probleme beherbergen. Wie wäre ein Tool, das den lokalen Rechner sperrt, wenn das Kennwort nicht synchron ist? Gibt es eine Möglichkeit, anderweitig festzulegen, welcher Nutzer per eMail aufgefordert wird und wer nicht? Wenn beispielsweise gewünscht ist, dass nur manche Nutzer per eMail aufgefordert werden ... ? Wie bereits angesprochen: Ändern der Betreffzeile möglich?

Danke für die Antworten, auch im anderen Thread. Ein Skript-Beispiel gibt es ja bereits, Link habe ich gepostet. Das Skript könnte im Autostart aller Notebook-User liegen (ggf. versteckt ausgeführt werden) und alle X Minuten prüfen, ob die credentials aktuell sind. Die Bubble-Blase rechts unten bei nicht synchronen Kennwörtern ist ja wohl ein Witz - wer beachtet die schon? Passwörter pushen meinte ich viel eher das, was ja normalerweise auch der Fall ist, nämlich dass im Hintergrund die Kennwörter synchronisiert werden. Bin ich mit zwei PCs im Lan angemeldet und ändere auf einem Kennwort mein Passwort, so erscheint auf dem anderen ja auch nicht die Blubber-Blase - anscheinend läuft hier im Hintergrund die Synchronisation ab. Was meint ihr?

Hallo zusammen, leider konnte mir noch niemand richtig helfen. Ich bin sicher, dass jemand von Euch einen Tipp hat. Wenn unsere User sich an ihren Notebooks anmelden, verwenden Sie ihren Domänen-Account mit den zwischengespeicherten Anmeldeinformationen. Erst danach bauen sie eine Internet-Verbindung (z.B. per UMTS) auf, danach die VPN-Verbindung zum Firmennetzwerk per VPN-Client. Ist das Domänen-Passwort abgelaufen, erhalten sie bis hier noch KEINE Benachrichtung. Bauen sie danach eine Terminalsitzung mit unserem Terminalserver auf, so fordert dieser die User auf, ihr Kennwort zu ändern. Tun sie dies dort, sind die Kennwörter nicht mehr synchron: auf TS das neue Kennwort, auf dem Laptop das alte. Synchronisieren müssen die User manuell mit STRG + L und Aufheben der Sperrung mittels neuem Passwort. Das verstehen viele nicht. Wie könnte man dies automatisieren? Dass der Client die neuen Infos "gepusht" bekommt? Oder ein Skript, das regelmässig prüft, ob das Kennwort abgelaufen ist - wenn ja, STRG + L. Was meint ihr? Vielen Dank!

Hallo, danke für die Antwort. Der GateProtect SSO-Client ersetzt aber ja nur die Benutzerauthentifizierung im Netzwerk. VPN wird ja immer über den GateProtect-VPN-Client abgewickelt. Außerdem wurde uns definitiv davon abgeraten, den SSO-Client zu verwenden, da dieser ja auf Kerberos setzt - in einem Netz, in dem die meisten Notebooks das LAN jedoch nie sehen, gäbe dies, laut GP, Probleme. Weist, was ich meine? Konkret: Wenn sich ein User ohne Netzverbindung bei seinem Notebook unter Windows anmeldet, dann die VPN-Verbindung zum Netzwerk herstellt und dann die Terminalsitzung aufbaut, wird ihn die Terminalsitzung ggf. zum Ändern des Passwortes auffordern. Soweit, so gut. Das Passwort des Clients ist dann aber nicht Synchron, es wird erst synchron, wenn der User Strg+L drückt. Wenn er sich abmeldet und wieder anmeldet, muss er sich sogar mit seinem alten Kennwort anmelden, sofern keine Dom-Verbindung vorhanden ist. Weißt Du, was ich meine?

Hallo zusammen, ich habe mir noch einmal Gedanken gemacht. Grundproblem ist ja: Wird der Nutzer an einem anderen Gerät oder in der Terminalsitzung zur Kennwortänderung aufgefordert, bleibt das Kennwort am Notebook, bei dem er sich unter Windows mittels Cached Credentials anmeldet, noch gleich. Eine Synchronisierung funktioniert nur, wenn der Nutzer den Bildschirm sperrt und die Sperrung mit dem neuen Kennwort aufhebt. Das tut fast kein Nutzer. Mein VPN-Client kann kein Skript beim Start einer Verbindung starten. Was haltet ihr von folgender Idee: Start eines versteckten VBS-Skriptes (siehe Link oben - nur leicht abgeändert), das auf allen Notebooks im Hintergrund z.B. alle 3 Minuten überprüft: Ist eine Verbindung zum SYSVOL-Ordner möglich? Wenn nein --> Skript nach 3 Minuten von Vorne starten, Wenn ja --> Ist das Passwort synchron, d.h. Zugriff möglich? Wenn nein: Message + Computer sperren. Also wie das Skript oben, nur a) versteckt und b) ohne Abhängigkeit von der LAN-Verbindung oder des VPN-Clients. Was meint ihr? Danke:-)

Ich schiebe das noch einmal hoch :) Hat jemand Neuigkeiten? Sowas müsste doch realisierbar sein? Wollen wir mal einen konkreten Punkteplan aufstellen?

Wie soll denn ein servergespeichertes Profil geladen werden, wenn die VPN-Verbindung erst nach der Windows-Anmeldung erfolgt und wie soll das Profil zurück geschrieben werden, wenn die VPN-Verbindung vor der Abmeldung getrennt wird?

Einen Tipp: Niemals servergespeicherte Profile bei Notebooks. Nur so wirst Du glücklich, glaube es mir!

Jetzt habe ich mal eine Frage: Was versteht ihr bzw. der Kunde denn unter "Ausfallsicherheit"? Lediglich die technisch-elektronische? 1 Stunde sei unangenehm, aber vertretbar - soweit, so gut. Was aber, wenn die Hütte in Flammen steht? Wie sieht es dann mit der Ausfallzeit aus? Wie werden die Server hardware-seitig geschützt? Ein Verbund mehrerer Server (sei es ein SAN etc.) ist doch eine trügerische Sicherheit, wenn die Geräte physikalisch am selben Ort sind.

Vielen Dank für Eure Tipps. Die Sache ist die: wir haben 2 Standorte; der Zweitstandort ist zwar nur mit 2 Anwendern besetzt, jedoch läuft dort ein Rechner 24 Stunden. Hätte ich ein Windows-Tool, das als Dienst läuft könnte ich damit den 1. Standort "gegenprüfen". Denn was, wenn die DSL-Verbindung ausfällt? Dann kann mir selbst Nagios keine Meldung mehr absetzen.

von Gate Protect - kann kein Skript starten, das steht schonmal fest. Warum programmieren wir nicht ein kleines Programm, welches z.B. per Autostart auf allen Notebooks automatisch gestartet wird und das aus einer .exe - und einer .ini - Datei besteht? Das Programm sollte ohne Installation auskommen. Hier hat jemand ein VB-Skript erstellt. Setzt aber voraus, dass das VPN-Programm ein Skript starten kann ... synchronizing domain user Local cached credentials with domain - Windows Security

Hast Du Beispiele hierfür? :-) Bin schon am Verzweifeln bei der Suche :-)

Wer könnte mit mir denn so ein Programm erstellen :-) ?

Weiß hier jemand etwas? Wäre es denn einfach möglich, ein Tool zu schreiben, das im Tray mitläuft (auf jedem Notebook) und alle X Minuten prüft, ob eine Verbindung zum DC noch möglich ist?