Außendienstmitarbeiter als Domänenmitglieder?

[siry 10]

Hallo zusammen, habe mal eine Frage:

 

Unsere Außendienstler haben von uns neue Laptops bekommen. Nach dem Installieren (noch in unserem Netz) wurden die Laptops in die Domäne (W2k3) aufgenommen und die Benutzer eingerichtet. Wenn die ADs zu Hause sind, melden Sie sich normal am PC an (ohne direkte Verbindung zum Netz/Domäne) und verbinden sich nach der Anmeldung unregelmäßig per DFÜ Einwahl mit unserem Firmennetz.

 

Jetzt zu meiner Frage:

Normalerweise kann man sich ja 50 mal am PC anmelden ohne Verbindung zur Domäne zu haben. Wird diese Verbindung auch hergestellt sobald sich der AD nach der Anmeldung eingewählt hat und somit der "Zähler" wieder auf null gestellt, oder haben wir uns gestern ein Problem geschaffen??

 

Danke schon mal für eure Antworten.

[grizzly999 11]

Woher hast du die Zahl 50? Es sind die letzten 10 erfolgreich angemeldeten Benutzer unlimitiert berechtigt sich anzumelden.

 

Und eine Verbindung nach der Anmeldung zur Domäne herzustellen, Bsp. VPN, setzt auch keinen Zähler zurück

 

 

grizzly999

[siry 10]

Also verstehe ich dich richtig:

Wenn der User (er war einer der letzten 10 Benutzer da überhaupt nur 2 an dem Laptop angemeldet wurden) einmal erfolgreich angemeldet wurde, kann er sich immer wieder anmelden ohne (theoretisch) jemals wieder Verbindung zum Domänencontroller aufzubauen?

 

Die Zahl 50 habe ich wohl aus den Gruppenrichtlinien, da dort dies die höchstmögliche Zahl bei den interaktiven Anmeldungen ohne Domänenkontakt ist. Habe aber diese GP wohl falsch gedeutet.

 

Siehst Du also Probleme (vielleicht abgelaufene Computerkonto Kennwörter?) die evtl auftauchen könnten? Wenn ja wäre eine kurze Antwort nett.

 

Vielen Dank

[grizzly999 11]

Also verstehe ich dich richtig:

Wenn der User (er war einer der letzten 10 Benutzer da überhaupt nur 2 an dem Laptop angemeldet wurden) einmal erfolgreich angemeldet wurde, kann er sich immer wieder anmelden ohne (theoretisch) jemals wieder Verbindung zum Domänencontroller aufzubauen?

Ja, richtig verstanden :thumb1:

 

Siehst Du also Probleme (vielleicht abgelaufene Computerkonto Kennwörter?) die evtl auftauchen könnten?

Ja, das wäre ein problem, wenn die NBs länger als max. 30 Tage draussen sind.

Es gäbe vorbeugend die Möglichkeit, das Erneuern der Computerkennwörter per GPO ganz abzuschalten, oder deutlich höher zu setzen.

 

Das Kennwort für die anmeldung mit den Cached Credentilas bleibt natürlich das alte, auch über das Ablaufdatum hinaus, bis man sich wieder ordnungsgemßig an dem Rechner an der Domäne angemeldet hat , und es ändert.

 

grizzly999

[Daim 12]

Wenn der User (er war einer der letzten 10 Benutzer da überhaupt nur 2 an dem Laptop angemeldet wurden) einmal erfolgreich angemeldet wurde, kann er sich immer wieder anmelden ohne (theoretisch) jemals wieder Verbindung zum Domänencontroller aufzubauen?

 

Natürlich nur, wenn der Standard nicht verändert wurde.

Das kannst Du kontrollieren unter:

 

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\

Lokale Richtlinien\Sicherheitsoptionen\

 

Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger

Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) - 10 Anmeldungen

[weg5st0 10]

J

Ja, das wäre ein problem, wenn die NBs länger als max. 30 Tage draussen sind.

Es gäbe vorbeugend die Möglichkeit, das Erneuern der Computerkennwörter per GPO ganz abzuschalten, oder deutlich höher zu setzen.

 

 

Hi Leutz,

 

so wie ich das hier erlebe ist das für den Ablauf von Computerkennworten ziemlich egal. Das läuft wie bei einem User, ob das Passwort 1 Tag abgelaufen ist oder 12 Monate - die erste Anmeldung an der Domäne geht trotzdem und dabei wird das Computerkennwort geändert.

 

Bitte korrigieren, falls das nicht stimmt.

[siry 10]

Danke für eure Hilfe, wir werden in den GPOs dann die Änderungg der Computerkennwörter deaktivieren.