takeit easy 10 Geschrieben 14. Juli 2011 Melden Teilen Geschrieben 14. Juli 2011 (bearbeitet) Hallo zusammen, wir haben eine ähnliche Konstellation wie hier (Link zum Thread) Ein SUN Directory Server synchronisiert unidirektional seine User in ein AD (2k8R2). Die Passwörter werden auch darüber geschickt und nur darüber. Seitens der Windows 7 Clients darf kein Passwort geändert werden (da sonst die abhängigen Dienste wie Mailserver etc die Passwörter nicht bekommen) Wir haben eine Web-Oberfläche zum Ändern der Passwörter, die auf unseren Linux-Clients angezeigt wird wenn das Passwort abgelaufen ist und nur Gelegenheit zum Ändern gibt (->graceLogins) Das Problem ist jetzt folgendes. Durch eine geplante Passwortpolicy werden Kennwörter nach z.B. 60 Tagen ablaufen. Da das nicht mit synchronisiert wird, muss die Policy in beiden Directorys vorhanden sein, was kein Problem darstellt. Allerdings hat der User unter Windows 7 nach Kennwortablauf KEINE Chance mehr ohne Admin Zugang zubekommen. Gibt es irgendeine Möglichkeit zum Beispiel im LoginScreen einen Button einzubauen, der einen Browser mit der Weboberfläche öffnet? (Security kann hier mal außen vor bleiben :) ) Meine Versuche waren: Eigenen Service erstellen, der einen Button "Always on top" erstellt... Ging nicht (Allerdings läuft da bereits ein Netsupport Client im Hintergrund, sodass es theroretisch gehen müsste) Verschiedene RegKeys um einen Firefox zu starten... Geht nicht Instsrv und servany.exe ... geht nicht im loginscreen. Für Ideen oder Erfahrungen wäre ich sehr dankbar. Edit: Wäre es möglich sowas über ein Loginscript abzufangen und eine Passwortänderung dadurch zu erzwingen, sowie die Ausführen des Explorers etc bis Scriptende zu pausieren? bearbeitet 14. Juli 2011 von thomasnitsche Ergänzung Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 18. Juli 2011 Melden Teilen Geschrieben 18. Juli 2011 hallo, also was du bräuchtest ist eine GINA Erweiterung (Grafical Identification and Authorization), andere Executable-Formen wie Deine Service-Versuche gehen hier nicht, ebenso wenig wie IDeen mit Login-Script, etc. denn das läuft ja erst wenn sich der USer angemeldet hat und das geht nicht, wenn das PW abgelaufen ist. Es gibt einige Software, die die offizielle GINA (der "Ctrl-Alt-Del"-Dialog) erweitert, z.B. der Novell-Client, oder Plattenverschlüssleungen wie Safeguard Easy. Es gibt auch kommerzielle Password-Self-Service-Software, die die Gina erweitert und genau das macht, was Du haben willst, z.B. sowas hier: Self-Service Password Reset/Account Unlock via Windows Logon (CTRL+ALT+DEL screen) using GINA/CP Password Management Functionality - ADSelfService Plus. Wie man allerdings eine eigene GINA bauen kann, weiß ich nicht genau, hier gibt es Hinweise dafür: The Essentials of Replacing the Microsoft Graphical Identification and Authentication Dynamic Link Library Vielleicht hilft Dir das ja weiter :) Gruß, Philipp Zitieren Link zu diesem Kommentar
takeit easy 10 Geschrieben 18. Juli 2011 Autor Melden Teilen Geschrieben 18. Juli 2011 Vielen Dank für die Antwort, dass das mit Gina funktionieren würde, war mir zwar schon bekannt, aber auf den ersten Link bin ich nicht gestoßen. Und die Gina selbst zu ersetzen ist eventuell ein Overkill, denn das will ja erstmal programmiert werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.