laptop anmeldung ohne DC

[k33n 10]

Hallo erstmal,

ich habe ein problem mit einem laptop (win XP pro sp2) in einer W2003 Domäne.

Als DC läuft ein SBS 2003.

Der Laptop-User kann sich nur ein paar mal interaktiv an seinem laptop anmelden, wenn er keine Netzwerkverbindung zum DC hat. Zum Beispiel wenn er in Urlaub oder Zuhause arbeitet.

 

Eigentlich sollte ja die Anmeldung per "Cached Credentials" funktionieren.

Die GPO Computerkonfiguration -> Windows Einstellungen -> Lokale Richtlinie -> Sicherheitseinstellungen -> "Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen" sollte ja per Default 10 sein.

 

Kann das der Fehler sein. Bedeutet diese GPO, dass der User sich nur zehnmal ohne Netzverbindung zum DC anmelden kann?

 

Was muss ich einstellen, dass sich der Laptopuser ohne Netzverbingung unendlich oft anmelden kann?

Ich hoffe ich habe mich verständlich ausgedrückt.

 

Vielen Dank schon mal für eure Hilfe.

 

Gruss Mario

[grizzly999 11]

Habe jetzt keine konkrete Antwort auf dein Problem, nur: die Zahl 10 bedeutet nicht, dass man sich nur 10x anmelden .... , sondern er merkt sich die letzten 10 Anmeldungen. Kann es sein, dass sich da 10 andere zwischenrein anmelden an dem Rechner?

 

 

grizzly999

[k33n 10]

Hallo grizzly999,

 

nein, da hat sich niemand sonst angemeldet. Der Laptop wird nur von einem User genutzt.

 

k33n

[Stefan.Haegele 10]

Wobei man nicht außer Acht lassen darf, das per default ein Rechner nur 30 tage in der domaine bleibt. wenn er sich also 30 tage nicht angemelet hat, uß der rechner erst wieder in die domäne geholt werden.

[IThome 10]

Ist es nicht so, dass das Kennwort des Secure Channels alle 30 Tage erneuert werden muss und der Rechner erst nach 2 Perioden, also nach 60 Tagen, den Secure Channel nicht mehr aufbauen kann ?!

[k33n 10]

Hallo Stefan.Haegele, IThome.

 

DAs netztwerk gibt es erst seit 2 Wochen.

 

k33n

[IThome 10]

Hallo Stefan.Haegele, IThome.

 

DAs netztwerk gibt es erst seit 2 Wochen.

 

k33n

 

Der SecureChannel ist bei Deinem Problem auch nicht relevant, da der User sich anmeldet, ohne Zugriff auf den DC zu haben, ein Channel kommt also gar nicht zustande.

Welche Fehlermeldung bekommt der User, wenn er sich anmelden möchte (am besten auch den zugehörigen Eintrag in der Ereignisanzeige) ...

[k33n 10]

fehlermeldung: "die domäne xyz ist nicht verfügbar"

 

an den Eintrag der Ereignisanzeige komme ich leider nicht ran.

 

k33n

[IThome 10]

Du kannst Dich dioch als lokaler Admin anmelden und die Ereignisanzeige einsehen, oder kommst Du jetzt an das Notebook nicht ran ?

[k33n 10]

laptop ist nich da ;)

[IThome 10]

Schade, ich schätze, das würde sehr helfen ... ;)

[Joe 10]

Wobei man nicht außer Acht lassen darf, das per default ein Rechner nur 30 tage in der domaine bleibt. wenn er sich also 30 tage nicht angemelet hat, uß der rechner erst wieder in die domäne geholt werden.

Gibt es eine Möglichkeit, für einzelne Win2k-Workstations diese Zeit zu erhöhen?

 

Gruss

 

Joe

[IThome 10]

Ich kenne nur die Richtlinieneinstellung "Maximales Alter von Computerkennwörtern" , eine Einstellung für einzelne Rechner ist mir nicht bekannt. Die Rechner fliegen auch erst aus der Domäne, wenn das Kennwort das zweite Mal nicht geändert wurde, also nach 60 Tagen ...

[Joe 10]

Ich kenne nur die Richtlinieneinstellung "Maximales Alter von Computerkennwörtern" , eine Einstellung für einzelne Rechner ist mir nicht bekannt. Die Rechner fliegen auch erst aus der Domäne, wenn das Kennwort das zweite Mal nicht geändert wurde, also nach 60 Tagen ...

Was spricht dagegen, für alle Workstations das maximale Alter des Computerkennworts hochzusetzen? Bedeutet hier auch die "0", dass kein maximales Alter für das Computerkennwort gesetzt ist?

 

Joe

[IThome 10]

Wenn Du keine Änderung möchtest, kannst Du das mit der Richtlinie "Änderung von Computerkontenkennwörtern deaktivieren" erreichen (sowas stellt man z.B. ein, wenn Wächterkarten benutzt werden). Was spricht dagegen ... ?! Die gleichen Gründe, warum man ein Kennwort eines Users auch nicht immer gleich lassen soll, weil das System dadurch angreifbarer ist :)

Zitat Technet

"Die Sicherheitsoption Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren legt fest, ob ein Domänenmitglied sein Computerkontenkennwort regelmäßig ändern kann. Wenn diese Einstellung aktiviert ist, kann das Domänenmitglied sein Computerkontenkennwort nicht ändern. Bei Deaktivierung dieser Einstellung kann das Domänenmitglied sein Computerkontenkennwort entsprechend der Einstellung für Domänenmitglied: Maximalalter von Computerkontenkennwörtern ändern. Der Standardwert dieser Einstellung ist 30 Tage. Bei Computern, die ihre Kontenkennwörter nicht mehr automatisch ändern können, besteht die Gefahr, dass ein Angreifer das Kennwort für das Domänenkonto des Systems aufdeckt. Daher wird diese Option in allen der drei in diesem Handbuch definierten Umgebungen auf Deaktiviert eingestellt."