Hallo zusammen,
ich würde gerne etwas mehr Sicherheit in das AD bekommen, welches ich betreue... Bisher war es so, das Passwörter wie optional behandelt wurden.
Sprich man muss das nie ändern, hat keine Mindestlänge und sowas halt...
Ich habe schon einiges gemacht... Konten werden bei 10 ungültigen Versuchen gesperrt... Eine solche Sperrung hat zwar nur Auswirkung auf das Domänenkonto, aber das reicht ja schon.
Die Benutzer sind alle samt die meiste Zeit draußen.
Das bedeutet, ich bekomme in folgenden Situationen für diese Benutzer ein Zugriffsproblem... Zur Info, VPN Zugänge werden durch den Provider gestellt und es erfolgt kein Auth am AD. Erst beim Zugriff auf Server wird das dann genutzt.
a) Wenn ich das Kennwort ändere und der Benutzer per VPN mit dem alten PW per VPN rein kommt und versucht auf Recoursen zuzugreifen.
Gibts die Meldung Zugriff verweigert. Kennwort kann dann auch nicht geändert werden, gibt die Meldung Domäne nicht verfügbar...
b) Wenn das Kennwort abläuft und der Benutzer dadurch normalerweise bei der Anmeldung die Meldung erhält, das er sein Kennwort jetzt ändern muss.
Diese Meldung gibts aber nicht, wenn man sich zwar mit dem Domänenaccount anmeldet, aber die die Domäne nicht erreichen kann...
Quasi eine Offline Anmeldung... Dann gibts die selben Meldungen wie unter a.
Jetzt muss ich also überlegen... Entwerder keine Änderungsrichtline oder doch eine und ich finde eine Lösung für das Problem.
Ich hatte mir was überlegt... Dadurch, das der VPN Zugang vpm Provider geschaltet ist und kein Auth am AD erfolgt könnte ich doch auf dem internen IIS in Zusammenarbeit mit PHP und LDAP eine Seite bauen, die eben diese Felder zum Kennwort ändern enthält.
Wie das von der Programmierung umzusetzen wäre, ist mir klar aber würde das überhaupt klappen?
Diese entsprechende Seite müsste ja Berechtigungsmäßig so sein, das die jeder aufrufen kann... Im internen Netz natürlich.
Aber das werde ich wohl doch vergessen können, weil dadurch würde ja bestimmt nicht das lokale Profil geupdatet werden... Das wird doch sicher erst bei der Anmeldung am AD direkt angepasst oder wie sieht das aus?
Die Grundidee war, dadurch das der IIS Server ja ein Mitgliedsserver ist und damit eine ständige Verbindung zum AD hat, könnte der Benutzer sein Kennwort an dieser Stelle ändern.
Aber da sind wie schon genannt, ein paar Fragen offen...
Dann ist auch noch die Sache, wer macht das?
Benutzer probiert, geht nicht... Ach jetzt muss ich die Seite wieder aufrufen etc. pp.
Grüße
Tom