Pusi 10 Geschrieben 21. Oktober 2007 Melden Geschrieben 21. Oktober 2007 Hi, kann mir jemand einen Link geben bezüglich dieses Themas? Alternativ folgende Frage beantworten ;-) Wird ein Computer(-konto) wg. fehlender Kennwortsynchronisation nach 30 Tagen an der Anmeldung in der Domäne gehindert? Beispiel Notebook, User 6 Wochen offline unterwegs. Danke Gruß Pusi
ducke 11 Geschrieben 21. Oktober 2007 Melden Geschrieben 21. Oktober 2007 Wie finde ich inaktive Computerkonten? - faq-o-matic.net
Daim 12 Geschrieben 21. Oktober 2007 Melden Geschrieben 21. Oktober 2007 Buenos dias, kann mir jemand einen Link geben bezüglich dieses Themas? siehe (runter scrollen): Yusuf`s Directory - Blog - Computerkonto löschen Wird ein Computer(-konto) wg. fehlender Kennwortsynchronisation nach 30 Tagen an der Anmeldung in der Domäne gehindert? Nein, wird er nicht. Der Client versucht dann sofort beim booten ein neues Computerkonto-Kennwort beim DC anzufordern.
Pusi 10 Geschrieben 21. Oktober 2007 Autor Melden Geschrieben 21. Oktober 2007 Nein, wird er nicht. Der Client versucht dann sofort beim booten ein neues Computerkonto-Kennwort beim DC anzufordern. Genau zu diesem Mechanismus suche ich Infos. Auffinden und Löschen ist nicht das Problem. Danke Gruß Pusi
blub 115 Geschrieben 21. Oktober 2007 Melden Geschrieben 21. Oktober 2007 Hi, jeder Computer speichert zwei Versionen seines Computerpasswords jeweils local und in der AD-Domäne ab. Wenn das aktuelle PW abgelaufen ist, dann wird versucht, mit der Vorgängerversion die Authentifizierung zwischen Client und Domain herzustellen. Die 30 Tage Frist kenne ich auch, habe aber jetzt keine Quelle dafür gefunden. Angenommen es sind 30 Tage, dann kann so im ungünstigsten Fall ein Client nach 31 Tagen Offline sich nicht mehr an der Domäne anmelden, nach 60 Tagen auf gar keinen Fall mehr. Mit "netdom resetpwd" lässt sich das Computerpassword auf <computername>$ zurücksetzen Zum Mechanismus und zur Bedienung von "netdom resetpwd" gibts diesen Artikel How to use Netdom.exe to reset machine account passwords of a Windows Server 2003 domain controller Steht zwar nicht in diesem Artikel, aber wegen der 2 Versionen, sollte man "netdom resetpwd" Commando zweimal ausführen, damit man komplett resetted. Der Aufwand ist minimal höher, aber evtl. Probleme durch korrupte PW-Einträge werden eliminiert. So stehts in den Disaster/ RecoveryBeschreibungen für AD cu blub
Daim 12 Geschrieben 22. Oktober 2007 Melden Geschrieben 22. Oktober 2007 Die 30 Tage Frist kenne ich auch, habe aber jetzt keine Quelle dafür gefunden. Bei NT sind es 7 Tage und ab Windows 2000 sind es standardmäßig alle 30 Tage. Effects of machine account replication on a domain Angenommen es sind 30 Tage, dann kann so im ungünstigsten Fall ein Client nach 31 Tagen Offline sich nicht mehr an der Domäne anmelden, nach 60 Tagen auf gar keinen Fall mehr. Das kann ich so nicht bestätigen, zwar ohne Quellen-Angabe aber dafür die eigene praktische Erfahrung. Im Büro arbeite ich an einem Desktop PC. Ich habe aber auch ein Firmen-Laptop das hauptsächlich daheim auf dem Wohnzimmer-Tisch steht. Wenn ich das Laptop alle 180 Tage (eher länger) mal mit in die Firma nehme, dann hatte ich noch nie Probleme mich ganz normal an der Domäne anzumelden. Des Weiteren konnte ich mich auch ganz normal in der Domäne bewegen konnte. Die Ereigniseinträge blieben ebenfalls schweigsam. Mit "netdom resetpwd" lässt sich das Computerpassword auf <computername>$ zurücksetzen Danach müsste der Client aber erneut in die Domäne joinen.
blub 115 Geschrieben 22. Oktober 2007 Melden Geschrieben 22. Oktober 2007 Hi Daim, 1. danke für den Link 2. Per NTLM-Authentifizierung kannst du dich noch in der Domäne bewegen, das ist richtig, dafür reicht eine gültige Userkennung. Per Kerberos nicht mehr, dazu ist zusätzlich ein gültiges Computerpasswort notwendig. (netzwerkmonitor einschalten, dann siehst du es live) 3. "netdom resetpwd" setzt sowohl in der Domain als auch am Client das Computerpasswort zurück. Ein rejoin ist nicht notwendig. Sonst bräuchte man den netdom-Befehl auch gar nicht. Mit rejoin gibts auch eine neue SID, mit netdom resetpwd gerade nicht cu blub
Daim 12 Geschrieben 22. Oktober 2007 Melden Geschrieben 22. Oktober 2007 Zu 1. Bitte ;) . Zu 2. OK, so genau ahtte ich das bisher nicht untersucht. Der XP-Client kann ja standardmäßig NTLM sowie Kerberos und wenn in der Domäne NTLM läuft, dann sollte das auch funktionieren. Allerdings wundere ich mich trotzdem, dass keine Anzeichen diesbezüglich irgendwo bestehen bzw. protokolliert werden. Denn die Fehlermeldungen aus diesem Artikel sollten das Problem protokollieren, was nicht passiert: Resetting computer accounts in Windows 2000 and Windows XP Das will natürlich nicht viel heißen... Aber nun gut, wenn ich die Zeit finde (in diesem Leben), werde ich dem einmal nachgehen und einige Tests durchführen.
Pusi 10 Geschrieben 24. Oktober 2007 Autor Melden Geschrieben 24. Oktober 2007 Ebenfalls Danke für den Link. Mir sind in der Praxis noch keine Probleme dazu untergekommen, kenne aber jemanden der das befürchtet. Deswegen wollte ich mehr wissen ;-) Danke Gruß Pusi
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden