Domänen-Notebooks: Verhalten außerhalb Domäne?

[Canni 11]

Hallo zusammen,

 

wir haben vor, bald alle Notebooks in eine Domäne aufzunehmen.

 

Die Besonderheit: es gibt Notebooks, die im täglichen Geschehen niemals vor der Windows-Anmeldung eine Verbindung zum DC haben.

 

 

Ich habe eine Frage zu folgenden Szenarien:

 

Szenario 1:

 

Ich installiere auf 3 Notebooks Windows XP Prof, richte es ein und füge die Geräte in die Domäne. Auf allen Notebooks melde ich mich

 

- 1 mal mit dem Account "DomänenAdmin" an und

- auf jedem Notebook 1 mal mit dem entsprechenden Domänenbenutzer (Notebook 1: Herr Schmid, Notebook 2: Herr Weber etc ...)

 

Im Produktivbetrieb später meldet sich an Notebook 1 Herr Schmid mit seinen zwischengespeicherten Anmeldeinformationen (ohne DC-Verbindung) mit seinem Domänen-Account an und stellt erst danach die VPN-Verbindung zur Domäne her.

 

Angenommen, der DomänenAdmin ändern jetzt sein Passwort an einem Domänen-Rechner (MIT DC-Verbindung), wird doch diese Passwortänderung NICHT mit den einzelnen Notebooks repliziert, richtig?!

 

Das würde bedeuten: muss der Domänen-Admin an einem der Notebooks später arbeiten - ohne DC-Verbindung, so müsste er sein ALTES Passwort für diese Anmeldung verwenden ?!

 

Bitte um Hilfe! Danke!

 

Canni

[guybrush 19]

ich würde schon sagen.

das passwort wird ja imho als hash zwischengespeichert, wenn kein dc zur authentifizierung bereitsteht. und die hash von dem von dir eingegebenen pw wird mit dem lokal zwischengespeicherten verglichen.

 

aus dem bauch heraus würd ich sagen, dass erst, wenn das notebook einmal wirklich auch vor der anmeldung eine verbindung zum dc hat, das neue passwort auch am dc authentifiziert wird und somit die neue hash lokal zwischengespeichert wird.

[Canni 11]

Danke für die Antwort.

 

Was meinen die Anderen hier?

[Canni 11]

Hat denn keiner mehr eine Erfahrung damit :-) ?

[IThome 10]

Sehe ich auch so, woher soll der Rechner das neue Kennwort kennen, wenn er keine Verbindung zum DC hat ? Allerdings wird es auch Zugriffsprobleme nach dem Aufbau der VPN-Verbindung geben (die Credentials passen nicht). Und wenn der Rechner sein Computerkontenkennwort eine gewisse Zeit nicht erneuern kann, bricht der sichere Kanal und ein Domänenanmeldung ist gar nicht mehr möglich ...

[Canni 11]

Hallo ITHome!

 

Danke für die schnelle Antwort.

 

Was meinst Du damit?

 

Die User verbinden sich doch nach der Anmeldung immer per VPN mit dem Netzwerk, da dürfte die Aktualisierung doch statt finden?

[IThome 10]

Wenn die DNS-Konfiguration korrekt eingestellt ist, ja ... Dann bekommen sie auch Gruppenrichtlinien zugewiesen z.B. ...

[Canni 11]

Hi,

 

danke, das meinte ich. Gruppenrichtlinien bekommt mein Test-Notebook hier zugewiesen, das klappt. Aktualisiert auch GruLi-Änderungen!

 

Damit müsste es klappen, oder?

[IThome 10]

Das sollte es ... :)

[Canni 11]

Das heisst aber auch, dass die Kennwortänderungsrichtlinie nicht aktiviert werden sollte, wenn die Serververbindung erst nach der Windows-Anmeldung besteht ... ?

[IThome 10]

Was spricht eigentlich dagegen, dass sich der Benutzer schon via VPN an der Domäne anmeldet ? Dann hast Du die ganzen "Probleme" nicht ...

[Canni 11]

Hallo ITHome,

hallo zusammen,

 

sorry, dass ich erst jetzt antworten kann ... :-)

 

 

Natürlich wäre das die beste Idee - VPN-Verbindung VOR der Anmeldung.

 

Hier sprechen aber diverse Punkte dagegen:

 

1. die User müssten VOR der Windows-Anmeldung entscheiden, ob sie eine Serververbindung benötigen, oder nicht.

 

2. der GateProtect-VPN-Client lässt sich laut Hersteller erst nach der Windows-Anmeldung aktivieren.

 

3. Die Internetverbindung wird immer anders aufgebaut: beim Kunden z.B. via LAN-Netzwerkkabel (das dürfen wir an manchen Orten), UMTS-Karte ... zu Hause bei den Notebookbesitzern selbst via ISDN ... etc. ... schwer, diese Fälle vor der Anmeldung zu berücksichtigen

 

 

 

Nochmal auf die Kennwortrichtlinie eingegangen:

Es wäre also doch unklug, wenn wir eine Kennwortrichtlinie für die Notebookuser festlegen, richtig?

 

Meldet sich ein Notebookuser immer erst ohne DC-Verbindung bei Windows an, so erhält er die Meldung "Ihr Kennwort wird in ... ablaufen" überhaupt nicht.

 

Hier sollte dann manuell durch mich überwacht werden, wann das Kennwort zu letzt geändert wurde. (bei ca. 15 Usern machbar).

 

Andere Meinungen?

[IThome 10]

Naja, eine Kennwortrichtlinie nur für die Notebookbenutzer kannst Du sowieso nicht anlegen. Das geht nur für alle Domänenbenutzer. Und wegen der Notebooks auf die Sicherheit verzichten ?

[Canni 11]

Hallo,

 

stimmt, Kennwortrichtlinie geht ja bis Server 2003 bzw. ohne Zusatztools nur Domänenweit. Wir haben aber nur 2 Desktop-Rechner, der Rest sind Notebooks :-)

 

Daher meinte ich das. Hier sollte ich die Kennwörter manuell überwachen.

 

 

Das Problem ist meiner Meinung nach bei aktiver Kennwortrichtlinie folgendes:

 

- die User melden sich mit dem zwischengespeicherten Profil an der Windows-Anmeldung an. Normalerweise (bei DC-Verbindung) würde jetzt der Hinweis kommen ... "ihr Kennwort läuft in 2 Tagen ab ..." .. erscheint ber nicht, da zwischengespeichertes Profil

 

- User melden sich 1 Tag nach Ablauf Ihres DC-Kennwortes wieder mit zwischengespeichertem Profil an der Windows-Anmeldung an ... funktioniert natürlich prächtig, wollen jetzt aber eine VPN-Verbindung zum Server herstellen, genau das dürfte doch jetzt nicht mehr klappen, richtig?

[IThome 10]

Denke ich auch, dass es nicht mehr klappt ...