Cached Credentials und Kennwortänderung

[Canni 11]

Hallo zusammen,

 

wir setzen einen Terminalserver, einen DC und ca. 20 Endgeräte ein, von denen ca. 80 Prozent Notebooks sind, die sich dauerhaft außerhalb des Büronetzwerkes befinden.

 

Diese Benutzer melden sich beim Start Ihres Notebooks folglich mit den cached credentials an der Domäne an und stellen danach eine Verbindung zur Firewall via VPN her.

 

Alle Dateifreigaben etc. stehen dann zur Verfügung.

 

Eine Passwortänderungsaufforderung erscheint natürlich auf dem lokalen Gerät nie, da die VPN-Verbindung ja während der Anmeldung nicht besteht.

 

Einzig bei Anmeldung auf dem Terminalserver erscheint die Aufforderung. Ändert der Benutzer jedoch dort sein Kennwort, sind die Anmeldeinformationen auf dem Client noch immer "veraltet" und müssen durch Sperren des Rechners + Aufhebung der Sperre mit dem neuen Kennwort aktualisiert werden.

 

Nimmt der Nutzer diese lokale Aktualisierung nicht vor, hat er sozusagen 2 Kennwörter.

 

Ich benötige nun einen Prozess, der im Hintergrund prüft, ob Zugriff auf die SysVol-Freigabe möglich ist - ansonsten den Rechner einfach sperrt und damit den Anwender zur Eingabe des Kennwortes zwingt.

 

Ganz heikel ist es bei Usern mit 2 Notebooks!

 

Wie würdet ihr verfahren?

 

Danke!

[Canni 11]

Hier muss doch ein Profi Rat wissen? :-)

 

Danke

[IThome 10]

Warum konfigurierst Du das VPN nicht so, dass vor der Anmeldung schon eine Verbindung besteht ?

[Canni 11]

Hallo IThome,

 

danke für die Antwort.

 

Das "geht" nicht, weil wir

 

1. VPN-SSL verwenden

2. mit dem VPN-Client des Herstellers und

3. zum Zeitpunkt der VPN-Verbindungsherstellung die Internet-Verbindung (UMTS) fehlt ...

 

Was schlägst Du vor?

[Windowsbetatest 10]

Hallo,

 

Dienstanweisung?

 

Was für einen VPN Client nutzt ihr den?

 

Ansonsten gibt es ja die Option "Über DFÜ Netzwerk anmelden" eventuell eine Option?

 

mfg

Windowsbetatest

[rep 10]

Ich kenne das Problem auch, würde aber noch eine Weitere Frage zu dem Thema anschließen wollen. Wie kann man das Cachen auf einem XP Client verhindern... früher konnte man bei NT4 es so einstellen das ein Client ohne Netzkontakt zur Domain sich gar nicht anmelden konnte (mehr oder minder auch aus Sicherheitsgründen)

 

 

Zu dem anderen Problem eine weitere Frage, beim Hochfahren meldet sich der Rechner selbst ja an, und wenn ein Rechner eine gewisse Zeit die Domains nicht gesehen hat fliegt er doch mit dem Computerkonto raus. 1. Ist das so korrekt verstanden 2. meldet der PC sich nach dem anmelden (wie im Beispiel bei VPN) noch mit dem Computerkonto Nachträglich an, und zieht auch die Group Policys?

[Canni 11]

Hallo Winfowsbetatest,

 

was soll mir das Wort "Dienstanweisung" sagen? Ich kann den Nutzern auch per Dienstanweisung vorschreiben, ein Backup durchzuführen - ob es dann realisiert wird, ist doch eine andere Sache.

 

Ich hätte eben gerne eine Skript-Lösung, die alle paar Minuten prüft, ob das Domänen-Passwort noch mit dem cached password übereinstimmt. Ist das machbar, was meint ihr?

 

Die DFÜ-Option sprach ja Dein Vorredner bereits an. Ist für uns kein Thema.

 

Rep: Die Policys werden (wenn Dein DNS funktioniert!!!) nachträglich aktualisiert; Aktualisierungsintervall kannst Du ja selbst anpassen, wenn Du es knapper brauchst. Computerkontokennwort wird nicht aktualisiert, da hast Du Recht - das funktioniert nur bei "Anmeldung über DFÜ" (VPN vor der Anmeldung) oder aber eben im LAN.

[Canni 11]

Weiß hier jemand etwas?

 

Wäre es denn einfach möglich, ein Tool zu schreiben, das im Tray mitläuft (auf jedem Notebook) und alle X Minuten prüft, ob eine Verbindung zum DC noch möglich ist?

[Canni 11]

Wer könnte mit mir denn so ein Programm erstellen :-) ?

[MattesP 10]

Hi,

 

was ist denn das für ein VPN Client, den ihr da nutzt?

Gruß,

Mattes

[Canni 11]

von Gate Protect - kann kein Skript starten, das steht schonmal fest.

 

Warum programmieren wir nicht ein kleines Programm, welches z.B. per Autostart auf allen Notebooks automatisch gestartet wird und das aus einer .exe - und einer .ini - Datei besteht? Das Programm sollte ohne Installation auskommen.

 

Hier hat jemand ein VB-Skript erstellt. Setzt aber voraus, dass das VPN-Programm ein Skript starten kann ...

 

synchronizing domain user Local cached credentials with domain - Windows Security

[Canni 11]

Ich schiebe das noch einmal hoch :) Hat jemand Neuigkeiten? Sowas müsste doch realisierbar sein? Wollen wir mal einen konkreten Punkteplan aufstellen?

[Canni 11]

Hallo zusammen,

 

ich habe mir noch einmal Gedanken gemacht.

 

Grundproblem ist ja: Wird der Nutzer an einem anderen Gerät oder in der Terminalsitzung zur Kennwortänderung aufgefordert, bleibt das Kennwort am Notebook, bei dem er sich unter Windows mittels Cached Credentials anmeldet, noch gleich. Eine Synchronisierung funktioniert nur, wenn der Nutzer den Bildschirm sperrt und die Sperrung mit dem neuen Kennwort aufhebt. Das tut fast kein Nutzer.

 

Mein VPN-Client kann kein Skript beim Start einer Verbindung starten.

 

Was haltet ihr von folgender Idee:

 

Start eines versteckten VBS-Skriptes (siehe Link oben - nur leicht abgeändert), das auf allen Notebooks im Hintergrund z.B. alle 3 Minuten überprüft:

 

Ist eine Verbindung zum SYSVOL-Ordner möglich?

 

Wenn nein --> Skript nach 3 Minuten von Vorne starten,

 

Wenn ja --> Ist das Passwort synchron, d.h. Zugriff möglich? Wenn nein: Message + Computer sperren.

 

Also wie das Skript oben, nur a) versteckt und b) ohne Abhängigkeit von der LAN-Verbindung oder des VPN-Clients.

 

Was meint ihr? Danke:-)

[chirho 10]

Warum die ganzen verrenkungen?

1. Die Gateprotect kann SingleSignOn. Damit wäre dein Problem keins mehr, weil

der SSO-Client merkt, wenn ein Passwort expiered ist.

2. Der Gateprotect-Client ist nix anderes als eine vereinfachte GUI for openSSL. Und das kann man auf der Kommandozeile beliebig konfigurieren.

Wende dich an deinen Händler oder den Gateprotect-Support. Wenn du einen zertifizierten Dienstleister hast, kann der dir das konfigurieren. (Habe die Zert. gemacht und bin gerade vom SSO begeistert:thumb1:)

[Canni 11]

Hallo,

 

danke für die Antwort. Der GateProtect SSO-Client ersetzt aber ja nur die Benutzerauthentifizierung im Netzwerk. VPN wird ja immer über den GateProtect-VPN-Client abgewickelt. Außerdem wurde uns definitiv davon abgeraten, den SSO-Client zu verwenden, da dieser ja auf Kerberos setzt - in einem Netz, in dem die meisten Notebooks das LAN jedoch nie sehen, gäbe dies, laut GP, Probleme.

 

Weist, was ich meine?

 

Konkret:

 

Wenn sich ein User ohne Netzverbindung bei seinem Notebook unter Windows anmeldet, dann die VPN-Verbindung zum Netzwerk herstellt und dann die Terminalsitzung aufbaut, wird ihn die Terminalsitzung ggf. zum Ändern des Passwortes auffordern. Soweit, so gut. Das Passwort des Clients ist dann aber nicht Synchron, es wird erst synchron, wenn der User Strg+L drückt. Wenn er sich abmeldet und wieder anmeldet, muss er sich sogar mit seinem alten Kennwort anmelden, sofern keine Dom-Verbindung vorhanden ist. Weißt Du, was ich meine?