domänen anmeldung ohne dc möglich?

[spam400 10]

hallo

 

kann mir einer sagen, warum ich mich an einer domöne anmelden kann, wenn keine vorhanden ist. ( wenn z.b. der netzstecker nicht angeschlossen ist. )

 

das geht nur, wenn ich das richtige passwort ( also domänen-passwort ) angebe.

dann wird jedes passwort auf dem client gespeichert. ( auch vom admin! )

 

kann mir einer erklären, warum das so ist?

ich denke, es gibt bestimmt schon tools, wo jemand das gespeicherte passwort knacken kann.

wie kann ich verhindern, das der client die passwoerter speichert?!?

 

server: win2003

client: winxp ( sp1 )

 

vielen Danke

[Dirk_privat 10]

Hi,

 

wenn Du als Notebook User offline bist, solltest Du Dich ja trotzdem an der Domain anmelden können. Ansonsten bräuchtest Du überall lokale User Accounts und Profile.

 

XP speichert das Kennwort lokal in der Registry unter HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1 bis NL$10 (Default sind es 10 Anmeldungen und nur das System hat auf den Hive Rechte) als Hashwert. Der Hashwert ist immer zufällig und sehr schwer zu knacken. Die bekannten Tools (Jack the Ripper, usw.) haben damit erhebliche Probleme und Du brauchst richtig viel Zeit. Letztendlich kann jedes Password irgendwann geknackt werden, es ist nur eine Frage der Zeit. Das Caching kannst Du deaktivieren, aber welche Vorteile versprichst Du Dir davon.

 

Gruß

Dirk

[spam400 10]

wenn Du als Notebook User offline bist, solltest Du Dich ja trotzdem an der Domain anmelden können. Ansonsten bräuchtest Du überall lokale User Accounts und Profile.

 

das stimmt, an das habe ich nicht gedacht.

 

Die bekannten Tools (Jack the Ripper, usw.) haben damit erhebliche Probleme und Du brauchst richtig viel Zeit. Letztendlich kann jedes Password irgendwann geknackt werden, es ist nur eine Frage der Zeit. Das Caching kannst Du deaktivieren, aber welche Vorteile versprichst Du Dir davon.

 

meine schueler haben richtig viel zeit! :)

und warum sollen die passwörter auf einem pc gespeichert werden, der bestimmt nie ohne dc dasteht.

 

weis jemand wo und wie ich das deaktivieren kann.

[IThome 10]

In einer Gruppenrichtlinie in der Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - " Interaktive Anmeldung: Anzahl zwischenzuspeichernder ..." von 10 auf 0 setzen

[spam400 10]

In einer Gruppenrichtlinie in der Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - " Interaktive Anmeldung: Anzahl zwischenzuspeichernder ..." von 10 auf 0 setzen

 

super, danke und einen schönen vatertag!

( hoffe ich kann noch ein weilchen ohne auskommen :) )

 

see you

have a lot of fun.....

[thedreamer 10]

Hallo zusammen,

 

Hab grad eine interessante Entdeckung gemacht.

Ich hatte ein ähnliches Problem mit einem Client bei mir im Netz, er hat dauert fehlerhafte Anmeldedaten gesendet worauf mich meinen HealthMonitor mit E-Mails beschossen hat.

Das interessante daran ist, dass der Client nicht in der Domäne ist. Ist ein eigenständiger Rechner mit XPPro. Der Benutzer muss wohl irgendwann mal die Anmeldedaten falsch eingegeben haben und Windows hat sich dies gemerkt. Da man aber an die schon gespeicherten über die Registry nicht ohne Änderung der Sicherheitsoptionen rankommt hatte ich ein Prob.

Hab dann mehr aus Zufall auf einem der Windows 2003 Server eine Systemsteuerungsdatei mit dem Namen „keymgr.cpl“ gefunden. Die kann man auf eine Netzwerkfreigabe kopieren und dann starten. Dort listet er einem dann alle gespeicherten Anmeldedaten des Clients auf. Mann kann Sie dann ändern, hinzufügen oder eben löschen.

Jetzt hab ich erstmal Ruhe, und werde ins Wochenende gehen :D

[IThome 10]

Mit CONTROL USERPASSWORDS2 kannst Du das auch machen ...