Domänenmember mit PC-Wächer möglich?

[lefg 276]

Hallo Gemeinde,

 

einen Pool aus P2P mit W2k wird betrieben, in den Rechenern wirkt der PC-Wächter von Dr. Kaiser. Ich möchte eigentlich lieber eine Domäne haben zum Nutzen von Gruppenrichtlinien.

 

Nun kann ja bei einer geschützten Systempartition eines Domänenclients kein WSUS wirken, keine Gruppenrichtlinie, kann bei Ablauf von Tombstoneliftime kein neues Computerkennwort vereinbart werden. Das mit WSUS und Grprichlinie, das könnte man ja zeitlich in den Griff bekommen bei Wartungsarbeiten. Was geschieht aber bei Ablauf von TLT, wahrscheinlich ist dann keine Anmeldung an der Domäne mehr möglich. Kann man das unterdrücken für dsie ganze Domäne oder OUs?

 

Hat jemand Kenntnis oder Erfahrung mit der Geschichte, Domänenclient und PC-Wächter?

 

Habt Dank für Aufmerksamkeit und rat.

 

Edgar

[Squire 273]

Hi Edgar,

 

ist zwar nicht die feine Art, aber das Ablaufintervall für die Computerkonten läßt sich auf 999 Tage hochsetzen. Bzw. ich meine, dass man es auch so hindrehen kann, dass die Computerkonten nicht ablaufen bzw. kein neues Kennwort ausgehandelt wird

[Velius 10]

Hi Edgar,

 

 

Es gibt da eine Möglichkeit, die vermindert aber leider die Sicherheit, ist aber in Einzelfällen vertretbar IMHO:

 

1. Click Start, click Run, type Gpedit.msc, and then press ENTER.

2. Expand Local Computer Policy, expand Windows Settings, expand Security Settings, expand Local Policies, expand Security Settings, expand Local Policies, and then expand Security Options.

3. Configure the following settings:

• Domain Member: Disable machine account password changes (DisablePasswordChange)

 

 

Effects of machine account replication on a domain

 

 

Gruss

Velius

 

 

P.S.: Die Einstellung verhindert alle zukunftigen Computer-Passwort Änderungen an diesem Rechner

 

Was geschieht aber bei Ablauf von TLT, wahrscheinlich ist dann keine Anmeldung an der Domäne mehr möglich.

Korrekt, aber die obige Einstelluing lässt sich natürlich auch mit GPO umsetzen.

[Gadget 37]

Moin Edgar,

 

wir setzen auch die Hardwareversion vom PC-Wächter an ner Schule ein, bei der Installation der Treiber wird automatisch eine änderung in der Registry gemacht.

 

Dr. Kaiser Systemhaus GmbH: Arbeitsstation

 

Warum können sich die Arbeitsplatzrechner nach ca. 14 Tagen nicht mehr am Server anmelden?

 

In regelmäßigen Abständen stimmen Server und Arbeitsstation ein Passwort zur Datenverschlüsselung neu ab. Dieses Passwort wird lokal gespeichert. Der Schutz des PC-Wächters verhindert diese Speicherung und die Arbeitsstation kann sich beim nächsten Start nicht mehr anmelden.

 

Dieses Problem kann durch einen Eintrag in der Registrierung gelöst werden. Bei jedem Arbeitsplatzrechner muss unter

 

HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

 

der Eintrag "Set DisablePasswordChange to 1" vorgenommen werden. Bei der Installation des 32-Bit-Treibers des PC-Wächters erfolgt dieser Eintrag automatisch.

 

BTW: Schau dir die AdminConsole u. LehrerConsole bei Bedarf an...sind zwei sehr nützliche Werkzeuge...

 

Dr. Kaiser Systemhaus GmbH: AdminConsole

 

LG Gadget

[lefg 276]

Hallo Kameraden,

 

danke für die Tipps, damit werde ich es dann wohl machen.

 

Die Sicherheit im Sinne von Domänensicherheit ist in diesem Falle nachrangig. Es handelt sich um einen Pool für Umschüler der CityLogistik. Die sollen JobRecherche im Inet machen, Word und Ecxel. Dann noch Testbögen für den Führerschein im Inet bearbeiten können. Manche sind nicht mit dem richtigen Biss bei der Sache, leisten sich Abscheifungen, mit ICRAplus und Jugendschutzprogramm habe ich da schon einen Riegel vorgeschoben, weitere (Spiele) möchte ich mit Gruppenrichtlinien einbauen, will aber keine Turnschuhadministration betreiben.

 

 

Dank und Gruß

 

Edgar

[lefg 276]

Moin Kohn,

 

sehe gerade deine Beitrag,

 

danke dafür, klar, das ist es.

 

Gruß

 

Edgar

[Velius 10]

@lefg

 

Der von mir gepostete Eintrag macht eigentlich dasselbe, eben nur Policy (kein Tatooing):wink2: Aber wenn der Eintrag (Reg-Key) durch die Karte schon gesetzt wird...

[lefg 276]

Ich schau mir das in der Registry an. Die Rechner sind ja noch nicht in der Domäne. Ich werde da heute Nachmittag mal hinfahren, es ist ein auusenliegendes Seminarcenter. Leider gibt es da kein VPN hin. Das muss ich mir auch bauen. Das Sekretäriat dort kann mir nur nicht sagen, ob der Raum frei ist oder nicht, so fahre ich ins Ungewisse.

[Gadget 37]

Nur eine Kiste mit PC-Wächter o. mehrere?

[lefg 276]

24 Stück, ein Pool.

[Gadget 37]

Dann installier auf jedenfall an einer Kiste die Admin-Console...

 

kann schön Schutz ausschalten / Schutz einschalten / PC Reboot, auschalten etc...:D

 

Außerdem sofern es sich um nen Schulungs-Raum handelt is die Lehrer-Console für den Dozenten / Ausbilder ganz nett kann er per einfachem klicken alle PC´s sperren u. an den Clients steht dann ne Nachricht wie..."Ihr PC wurde vom Dozenten gesperrt blaba"

 

Schön wenn man mal Aufmerksamkeit haben will u. nicht alle in der gegend rumsurfen sollen...

[lefg 276]

Es ist ein Schulungsraum, die einfache Konsole habe ich auch schon installiert, werde mich weiter umsehen.

[lefg 276]

Nun bin ich da, der Raum ist noch bis 15:00 besetzt, da lege ich doch mal die Füsse hoch und schaue ein wenig umher.