CC84

Hallo zusammen, kurz zur Ausgangslange: In unserem Unternehmen wurde or circa 2 Monaten bei circa 200 Produktionsrechnern von einem allgemeinen Login auf ein personalisierten Login umgeschaltet. Dies führt bei den circa 500 Mitarbeitern zu großen Problemen, da sie sich ihr Passwort nicht merken können und mit dem von unserer Unternehmenscompliance vorgeschriebenen monatlichen Passwortwechsel überfordert sind. Aus Erfahrung mit den Mtarbeitern wissen wir, dass sich das auf lange Sicht nicht bessern wird Dies führt zu Ausfällen in der Produktion von wöchentlich mehreren tausend Euro. Nun gibt es von seiten der Geschäftsführung die Anforderung den Mitarbeitern diesen Prozess zu erleichtern und trotzdem die Anforderungen der Unternehmenscompliance zu erfüllen. Das Ziel soll sein: Mitarbeiter meldet sich wie auch immer ohne Passworteingabe an. Sein Passwort wird monatlich Scriptbasiert auf ein zufällig generiertes Passwort geändert. Der Mitarbeiter bekommt von dieser Änderung nichts mit und kann einfach arbeiten. Das Scriptbasierte ändern stellt keine Herausforderung dar. Ein Abrücken von dem monatlichen Passwortwechsel ist nicht möglich. Selbst das Angebot eine fine grained Password Policy zu nutzen um die Komplexität des Passwortes zu erhöhen, um zumindest diese Anforderung abzuschwächen, wird kategorisch von der Unternehmenscompliance abgelehnt. Das Passwort muss also monatlich geändert werden. Unser Technisches Umfeld: Domain Functional Level 2008R2 Alle beteiligten Clients laufen unter Windows 7x64 Keine Microsoft CA Unsere bisherigen Ansätze: 1. LogOn via Fingerabdruck. Problem hierbei ist, dass die Mitarbeiter an diesen 200 Rechnern keinen festen Arbeitsplatz haben und dementsprechend ihre Arbeitsplätze teilweise mehrmals täglich wechseln. Wir benötigen dementsprechend eine Software die diese Fingerabdrücke nicht lokal speichert und mit einem monatlichen Passwortwechsel "zurecht"kommt. Ziel soll wie gesagt sein, den Mitarbeiter vor einer Passworteingabe zu schützen. Da die Produktionsstätte staubig ist, könnte es hier ohnehin zu Problemen mit den Lesegeräten kommen. Desweiteren würde sich bei dieser Lösung unser Betriebsrat wohl leider "quer" stellen. 2. LogOn via USB Stick(rohos etc). Wir haben keine Lösung gefunden die unsere Anforderungen abdeckt(anmelden an allen Rechnern, Umgang mit automatisiertem Passwortwechsel) 3. LogOn via SmartCard. Alle Lösungen die wir bei unserer ersten Recherche gefunden haben, benötigen leider eine lokale Microsoft CA, welche wir aktuell nicht haben. Hat einer von euch eine ähnliche Herausforderung gehabt oder kennt ein Tool mit dem wir die Anforderungen erfüllen können? Vielen Dank im Voraus.

Nein im AD, kann man das nicht nachsehen, dafür müsstest du wie bereits erwähnt das Auditing aktiviert haben. Wobei auch das bei grossen Umgebungen und länger zurück liegenden Vorgängen, keine optimale Lösung ist. MfG

Hallo zurück. Hier ist es erklärt. Gewusst wie: Ausführen Programme automatisch, wenn Benutzer bei Windows 2000-Terminaldienste anmelden MfG CC

Hallo zurück, Ich sehe das nicht ganz so dramatisch, aber da es dir sehr wichtig zu sein scheint: Active Directory Sites and Services Inter-Site Transports- Die entsprechende Verbindung raussuchen rechtsklick Einstellungen/ ganz unten Replicate every 15 minuntes. Da kannst du den Intervall ändern, wobei du dir überlegen solltest ob du möchtest dass dein AD sicht tatsächlich öfter als alle 15 Minuten repliziert. MfG CC

Hallo zurück, Jeder User hat Standard mäßig das Recht im AD zu lesen, aber nichts zu ändern. Erstell der Software einen Systemaccount und lass sie damit arbeiten und gut ist, dafür brauchst du keine Delegierung. MfG

Hallo zurück. Was spricht dagegen neue Gruppen anzulegen? MfG

Hallo zurück Warum wurde der "alte" Namespace denn gelöscht? Wurde er wirklich sauber entfernt?

Hallo zurück Welchen IE hast du im Einsatz?

Hallo zurück Das es mit Active Desktop nicht geklappt hat ist komisch, wurde denn irgendeine Fehlermeldung ins Eventlog geschrieben? Was sagt denn rsop? Ich denke sowas per Registry Key zu machen ist mehr als ungünstig. MfG

Hallo zurück Bei uns ca 400 MA in der IT sind circa 20 externe Mitarbeiter. Bei meiner letzten Firma waren von ca 300 MA in der IT die hälfte externe. MfG

Wie Gulp gesagt hat wird dir da wohl nix anderes übrig bleiben. Ausserdem einen DC mit einer Reparatur CD wiederherzustellen, ist nicht der Weg den man gehen sollte.

Hallo zurück, Hört sich so an als hätte die Reparatur deine Domänenanbindung beeinträchtigt. Wenn vorhanden benutze ein Backup anstatt der Reparatur CD, änliche Probleme hatte ein Kollege mit einem Server nach der Reparatur mit CD. Füge den Rechner am besten neu zur Domäne hinzu und prüfe ob die Fehler nach wie vor vorhanden sind. MfG

Hallo zurück Wenn du nur das Backup abstellen möchtest, definier es doch über eine GPO: SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsBackup als Value Name trägst du DisableMonitoring ein und als Wert REg_Dword mit Wert 1. MfG

Hallo zurück, Arbeite doch einfach mit einem Windows 7 Client und den RSAT Tools. MfG