Tinwhistle 0 Geschrieben 14. September 2016 Melden Teilen Geschrieben 14. September 2016 Hallo zusammen, habe ein kleines Firmennetzwerk mit ca. 20 Clients auf WIN 7, Server 2012 R2. Nun müssen sich einige Clients mit Passwort anmelden, manche Clients aber können sich einfach ohne Passwort anmelden, müssen also nur Enter drücken. Gibt es eine Möglichkeit, eine Passwortabfrage auf allen Clients bzw. für alle User zu erzwingen? Bin mit der Situation unzufrieden, dass gewisse Workstations/User einfach so reinkommen, m.E. nach untergräbt das alle Sicherheitsrichtlinien :) Alles was Google mir auswirft ist, wie ich das genaue Gegenteil erreiche bzw. wie man Benutzerkennwörter rücksetzen oder das Ändern erzwingen kann... PS: Ich kenn mich nicht gut aus, sorry falls es das falsche Unterforum ist :) Liebe Grüße, Tinwhistle Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 14. September 2016 Melden Teilen Geschrieben 14. September 2016 AD Netzwerk? Passe die Default Domain Policy an (hier nur(!) die Passwort Richtlinien). Kein AD Netzwerk? Installiere ein AD! Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. September 2016 Melden Teilen Geschrieben 14. September 2016 (bearbeitet) Moin, die Benutzerkonten haben wohl ein leeres Kennwort. Du kennst den Unterschied zwischen Client und User, Rechner in einem Server-Client-Netzwerk und dem Benutzer an einem Einzelrechner oder einem Benutzer in einer Windows-Domäne? In einer Domäne gibt es ein Activer Directory, darin eine Verwaltung für die Benutzerkonten. In den Eigenschaften eines Kontos sind soche Dinge wie das Erzwingen eines Passwortes einstellbar. Weiter gibt es in der Domäne die Möglichkeit Kennwortlänge und komplexität zu erzwingen. An einem Einzelrecher, Host, Client, gibt es in der Systemsteuerung, Verwaltung, Computerverwaltung die Möglichkeit Benutzerkonten anzulegen, Kennwörter zurückzusetzen, den Benutzer zwingen, bei der nächsten Anmeldung das Kennwort zu ändern. Das Einstellen zum Erzwingen, das kann nur ein Administrator, ein Angehöriger der Gruppe der Administratoren. Falls der benutzer dieser Gruppe angehört, dann kann der die Einstellungen ändern. Also nimmt der Admininstrator den benutzer aus diese Gruppe. bearbeitet 14. September 2016 von lefg Zitieren Link zu diesem Kommentar
Tinwhistle 0 Geschrieben 14. September 2016 Autor Melden Teilen Geschrieben 14. September 2016 (bearbeitet) Der Reihe nach. Ich denke es ist ein AD-Netzwerk, zumindest finde ich alle Einstellungen, wenn ich einen User anlege, auf dem Server unter Active Directory. Dort lege ich auch vorab das Kennwort fest, gehe dann zur Workstation und logge mich dort ein. Es ist auch für alle User ein Kennwort angelegt, leere Kennwörter gibt es nicht. Nun kommen wir zur Differenz: In der AD-Maske für die User kann ich unter Konto alles einstellen, z.B. Kennwort zurücksetzen, Ablaufdatum, muss bei nächster Anmeldung Passwort ändern, Kerberosverschlüsselung usw. Eine Option für zwingende Passwortabfrage habe ich hier aber nicht. Als Administrator melde ich mich im Übrigen per mstsc am Server an, daran sollte es nicht liegen. Wie ihr den Antworten entnehmen könnt, gut auskennen tue ich mich nicht, ich kann halt Linksklick vom Rechtsklick unterscheiden und wurde daher "auserwählt". Ausserdem koste ich unwesentlich weniger für solche kleinere Verwaltungsaufgaben als ein vollständiger ITler (den wir notfalls aber im Hintergrund haben) EDIT: Zum Vergleich meine Workstation in der Computerverwaltung (Anmeldung an dem PC ohne Passwort möglich): 2 deaktivierte Benutzer, Administrator und Gast. 1 aktivierter benutzer, "TGA". Bei Gruppenzugehörigkeit steht hier auch "Administratoren" Allerdings taucht hier mein Domänenname, mit dem ich mich an jedem PC anmelden kann, nicht auf (FBernauer) Könnte hier eventuell der Hund begraben liegen mit lokalen Administrationsrechten? EDIT 2: Nein, habe mich selbst aus der Gruppe entfernt, muss immer noch kein Passwort angeben :) bearbeitet 14. September 2016 von Tinwhistle Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 14. September 2016 Melden Teilen Geschrieben 14. September 2016 Dann solltest du die lokalen User an den PCs löschen / deaktivieren und den User die Adminrechte wegnehmen. Schon können die User sich nicht mehr mit lokalen Konten anmelden. Zitieren Link zu diesem Kommentar
Tinwhistle 0 Geschrieben 14. September 2016 Autor Melden Teilen Geschrieben 14. September 2016 (bearbeitet) Ich bin mir sicher, dass ich mich in dem ganzen Text etwas unklar ausdrücke :) Ich melde mich an meinem PC als FBernauer an. Das ist mein zugewiesener Benutzer in der AD. Diesen gibt es am PC garnicht nicht als lokalen Benutzer (In der Computerverwaltung) Es gibt dort einen einzelnen User namens "TGA" (so heisst unsere Firma). Dieser hat keine Adminrechte. oder hab ich da jetzt etwas falsch verstanden? bearbeitet 14. September 2016 von Tinwhistle Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 14. September 2016 Melden Teilen Geschrieben 14. September 2016 Zum Vergleich meine Workstation in der Computerverwaltung (Anmeldung an dem PC ohne Passwort möglich): 1 aktivierter benutzer, "TGA". Bei Gruppenzugehörigkeit steht hier auch "Administratoren" Es gibt dort einen einzelnen User namens "TGA" (so heisst unsere Firma). Dieser hat keine Adminrechte ? Zitieren Link zu diesem Kommentar
Beste Lösung Tinwhistle 0 Geschrieben 14. September 2016 Autor Beste Lösung Melden Teilen Geschrieben 14. September 2016 GELÖST: Ich habe für mich jetzt mal das Kennwort zurückgesetzt. Hat alleine nicht gereicht, dann waren aber die Netzlaufwerke nicht mehr erreichbar. Hat wohl versucht sich an TGA-ER anzumelden. Die Domäne heißt aber tga-er.local . Von Hand darauf angemeldet, seitdem kann ich ohne Passwort nicht mehr rein. Ich muss ja nicht alles verstehen, solange es funktioniert, oder? Ich denke da wurde vor nem halben jahr bei der Migration des Servers durch einen neuen ITler ein klein wenig geschlampt :) Danke für eure Hilfe! Zitieren Link zu diesem Kommentar
Little John 0 Geschrieben 14. September 2016 Melden Teilen Geschrieben 14. September 2016 Bitte korrigiert mich wenn ich da jetzt was falsch gelesen habe: Die Firma ist der User im AD?? Die Netzlaufwerke würde ich per Script anbinden, wir machen das zumindest so. Ich würde mir an Firmen statt zumindest einen IT Dienstleister mit ins Boot holen der dich bei Problemen unterstützt. Sonst befürchte ich, steht das ganze irgendwann mal komplett. Man darf mal falsch gesetzte Häckchen nicht unterschätzen *Ironie off* Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 14. September 2016 Melden Teilen Geschrieben 14. September 2016 Hi, Kontrolliere doch mal, ob auf den Clients Autologon konfiguriert wurde: https://support.microsoft.com/en-us/kb/324737 https://technet.microsoft.com/en-us/sysinternals/autologon.aspx Ich muss ja nicht alles verstehen, solange es funktioniert, oder? eine gefährliche Einstellung in der IT, aber sehr verbreitet. Muss man aber nicht übernehmen bzw. akzeptieren. blub Zitieren Link zu diesem Kommentar
Tinwhistle 0 Geschrieben 14. September 2016 Autor Melden Teilen Geschrieben 14. September 2016 (bearbeitet) Wir haben einen größeren IT-Dienstleister an Bord, der die ganze Installation gemacht hat. Nur wussten wir halt selber nicht so genau was wir wollen :rolleyes: deswegen sind einige Funktionen eher rudimentär ausgeführt. Da der Dienstleister für eine Wartung aber natürlich einen entsprechenden Batzen Geld verlangt, mach ich so Kleinkram als "Lokaler Mitarbeiteradmin" eben selbst. Ich versuchs das Netzwerk zur Info mal laienhaft darzustellen, sollte aber eher klassisch sein: Der Plan ist, Serverrack im Serverraum als DC und AP virtualisiert, AD-Benutzersteuerung mit der sich jeder in die Domäne einloggt und automatisch Zugriff auf die freigeschalteten Netzlaufwerke erhält. Dienste wie Projekt- und Lizensierungsserver laufen natürlich auch auf der VM. Ich befürchte nur, dass wir mit den Benutzerkonten noch migrationsbedingt einige Altlasten vom alten Server mit uns herumtragen :jau: Die Firma ist also kein User, jedoch schwirren wohl auf diversen WS noch alte Benutzer wie Praktikant, TGA oder Ähnliches rum. EDIT Hi blub, den Eintrag "WinLogon" hat meine Registry garnicht...der Artikel scheint wohl für WinNT zu sein? Falls es hilft, ich musste immer noch Enter drücken, vollautomatisch lief es nicht, nur halt keine Passwortabfrage :) bearbeitet 14. September 2016 von Tinwhistle Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 14. September 2016 Melden Teilen Geschrieben 14. September 2016 Dann war dein Password wohl《leer》.Aber vielleicht solltet ihr euch mal grundsätzliche Gedanken über eure IT machen. Ein Dienstleister, der leere Passwörter (warum auch immer) zulässt, das ist z.B. keine besonders gute Wahl. Es bringt wenig, wenn du nur hier und da an ein paar Schrauben drehst. Bei 20 Clients hängen wahrscheinlich etwa 20 Arbeitsplätze d.h. Jobs von dieser IT ab... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. September 2016 Melden Teilen Geschrieben 14. September 2016 (bearbeitet) Nun kommen wir zur Differenz: In der AD-Maske für die User kann ich unter Konto alles einstellen, z.B. Kennwort zurücksetzen, Ablaufdatum, muss bei nächster Anmeldung Passwort ändern, Kerberosverschlüsselung usw. Eine Option für zwingende Passwortabfrage habe ich hier aber nicht. Und was ist das, bewirkt das Folgende? muss bei nächster Anmeldung Passwort ändern, Und dann berücksichtigen die Kennwortrichtlinie, darin Kennwortlänge und Komplexität. So das ein Benutzer kein leeres Kennwort eingben kann beim Ändern. bearbeitet 14. September 2016 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.