VPN AD-Passwort-Wechsel von einem Nicht-Domänen-PC

[WesMPipes 0]

Guten Tag zusammen,

 

ich stehe hier gerade auf dem Schlauch und finde keine passende Lösung.

Wir haben Home-Office-Mitarbeiter, welche sich von Ihrem PC zuhause (kein PC welcher im AD registriert ist) via OpenVPN an unserer Domäne anmelden.

Nach erfolgtem Tunnel-Aufbau kann der Mitarbeiter auf Ressourcen in der Domäne zugreifen.

 

Der Tunnelaufbau wird wie folgt durchgeführt:  am Heimat-PC mit lokalem User (kein AD-User-Name) anmelden --> OpenVPN-Client starten --> Verbinden ---> es kommt Anmeldemaske, wo der Mitarbeiter seine Domänen-Credentials eingibt ---> Tunnel wird aufgebaut ---> Mitarbeiter kann auf Netzwerk-Ressourcen zugreifen. Die PCs der Heimarbeiter nutzen zusätzlich noch ein VPN-Zertifikat.

 

Soweit klappt auch alles.

 

Nun haben wir unsere Kennwortrichtlinien geändert und die Leute müssen nach x Tagen ihr Domänen-Passwort ändern.

 

Wie kann das der Heim-Arbeiter machen?

 

Die Sache mit Strg+Alt+Entf kennwort ändern funktioniert so nicht, da es kein Domänen-PC ist.

Nächster Ansatz wäre ein Script gewesen wo der Anwender via "net user name passwort /domain" sein Passwort ändern kann - hier stoße ich aber auf das Problem, dass wenn ich den Parameter /domain mit angebe, dass dieser sich dann auf die jeweilige Arbeitsgruppe des Anwender-PCs bezieht.

 

Noch ein Ansatz wäre gewesen, dass die AW nach erfolgtem Tunnelaufbau, sich an einer - in der Domäne bekannten VM anmelden und darüber dann (mit strg+alt+entf) das Domänen-Passwort ändern kann. Dafür müsste die Anwender sich aber auf Ihren Maschinen extra einen VSphere Client installieren.

 

Ich tendiere eher zu der Script-Lösung - gibt es ausser "net user" noch eine andere Möglichkeit über Befehlseingabe das Domänen-Passwort zu ändern?

 

Oder hat jemand einen komplett anderen Lösungsansatz, den ich hier vor lauter Brettern nicht sehe?

 

Vielen Dank im Vorraus für Eure Zeit / Hilfe

 

Gruß

Wes

[Sunny61 773]

Über OWA kann der Benutzer auch sein Kennwort ändern. http://www.faq-o-matic.net/2010/10/14/abgelaufenes-kennwort-per-owa-ndern/

[WesMPipes 0]

hmm danke - aber meines Wissens haben wir keinen Exchange-Server - oder hätte ich es mit Server2012R2 und weiß es nur nicht? sorry ich bin da noch etwas unbedarft.

Unsere Mail-Server sind Linux-basierend.

 

Gruß

[Sunny61 773]

Ihr könntet natürlich auch den Homeusern Domain-Geräte geben oder sie von dieser Kennwortrichtlinie ausnehmen. Oder ihr verwendet für diese Benutzer ein passendes Tool. Norbert hat ein Tool in diesem Artikel beschrieben: http://www.faq-o-matic.net/2011/11/07/kennwrter-selbst-zurcksetzen/

[WesMPipes 0]

so wir haben uns jetzt für eine Web-Frontend-Lösung entschieden.

 

Die User können sich via Web-Frontend auf Ihrem Mail-Client verbinden und hier dann das Passwort ändern.

 

Alternativ gibt es noch die Möglichkeit, dass die User sich mit RDP auf einem VM-Client in der Domäne anmelden.

 

Danke Sunny61 für Deine Unterstützung

[Sunny61 773]

Schön, magst Du uns auch noch mitteilen, für welche Lösung *genau* ihr euch entschieden habt? Danke. ;)

[WesMPipes 0]

Entschuldige die verspätete Antwort.

Unsere Mailserver sind wie schon erwähnt linuxbasierend.

Wir haben ein Script via cronjob laufen welches über LDAP-Abfrage für die jeweiligen VPN-AW den Ablauf des Passwortes ermittelt.

Ab x Tagen vor Ablauf bekommt der AW eine Erinnerungs-Mail.

Die Mails können die Leute über ein Web-Frontend (Roundcube) abrufen.

Über dieses Web-Frontend kann jetzt auch zusätzlich über ein Plugin  das Passwort an der Domäne geändert werden.

 

Gruß

[Sunny61 773]

Danke für die Rückmeldung. ;)