nite_fly 10 Geschrieben 2. Juni 2008 Melden Teilen Geschrieben 2. Juni 2008 Hallo, Ich hätte gerne mal folgendes Problem: Habe einen XP-Rechner, der in einer Domäne registriert ist, deren Kennwortrichtlinie vorschreibt, das Passwort alle 90 Tage zu ändern. Diesen Client habe ich mit VM-Ware virtualisiert. Nun die Frage: Was passiert, wenn ich auf dem realen Client das Kennwort ändere? Bzw. wie bekomme ich das neue Passwort in die virtuelle Maschine? Das Passwort auf der Virtuellen Maschine kann ich ja nicht ohne Domänenanmeldung ändern. Mit dem neuen Passwort kann ich mich mit dem virtuellen Client aber auch nicht mehr an der Domäne anmelden... Gibt's da einen Registryschlüssel, den ich von dem realen Client in den virtuellen kopieren kann, oder hat da jemand eine Idee? Hoffe, daß hier jemand weiss, welches Problem ich meine... Klingt zugegebenermassen etwas wirr, ist es aber auch... Danke schon mal und Gruß Nite_Fly Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Hallo Passwörter werden in einer Domäne von den Domaincontrollern (DC) verwaltet. Ist der virtuelle PC auch Mitglied der Domäne und heisst gleich wie der andere wird das Computerkonto bei dem Joining Vorgang überschrieben und somit existiert der alte physikalische Computer nicht mehr in der Domäne. Damit kannst Du mit diesem auch nicht mehr einloggen auf die Domäne. Hat der Rechner einen anderen Namen spielt es keine Rolle dort wo Du das Passwort zuerst änderst ist es gültig. Gruss Matthias Zitieren Link zu diesem Kommentar
nite_fly 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Hallo gysinma1, Die VM-Ware-Maschine ist ein identischer Clone der realen Maschine (gleicher Rechnername, gleiche SID) Die wechselweise Anmeldung am DC funktioniert auch, wobei der VM-Client sich nur über einen VPN-Tunnel anmeldet (aber ich denke, das spielt hier keine Rolle). Das Problem, das ich kommen sehe, ist, wenn von einem Rechner das Passwort geändert wird, dann kann sich der andere Client nur noch offline mit dem alten Passwort anmelden, und dann erst online gehen... Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Ich will ja kein Miesmacher sein aber eigentlich kann das auf Dauer nicht gut gehen mit gleichen SIDs Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Moin, Die VM-Ware-Maschine ist ein identischer Clone der realen Maschine (gleicher Rechnername, gleiche SID) ganz schlechte Idee. Du solltest SYSPREP anwenden, alles andere führt früher oder später zu Schiffbruch. Das Problem, das ich kommen sehe, ist, wenn von einem Rechner das Passwort geändert wird, dann kann sich der andere Client nur noch offline mit dem alten Passwort anmelden, und dann erst online gehen... Das Domänen-Kennwort hat doch nichts mit dem Client zu tun. Sobald eine Verbindung egal von welchem Domänen-Client zum DC besteht, kannst du dich mit deinem Kennwort anmelden. Dabei spielt es keine Rolle auf welchem Client du das Kennwort geändert hast, denn das Kennwort wird als Hash auf den DCs gespeichert. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Hallo Das kann auf Dauer nicht funktionieren. Sobald das Kerberosticket abläuft ist Schluss. Gruss Matthias Zitieren Link zu diesem Kommentar
nite_fly 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Danke erstmal für die Antworten, Aber ich denke mal, die SID muss die gleiche sein, sonst könnte ich mich mit dem Clone gar nicht mehr anmelden, denn der DC soll ja gar nichts davon mitbekommen, daß das ein anderer Rechner ist Uuund das Domänenpasswort ist ganz klar auf dem Client abgelegt, sonst könnte man sich damit ja ohne Zugang zum DC gar nicht anmelden (Offline-Betrieb) Typisches Szenario: Ein Aussendienstmitarbeiter meldet sich ja auch ohne Netzwerkanschluss erstmal mit dem Domänenkonto an, auch ohne daß der DC gefunden wird. Er bekommt lediglich eine Mitteilung, daß er Offline ist. Wird dann ein Netzwerkkabel angeschlossen, und er verbindet sich beispielsweise über VPN mit der Domäne, erfolgt keine neuerliche Passwortabfrage, sondern es wird dem DC offensichtlich lediglich irgendwie mitgeteilt, daß der User ordentlich angemeldet ist. Habe das schon ausprobiert: Auf einem Rechner habe ich Online das Passwort geändert. Auf dem anderen Rechner habe ich mich danach offline mit dem alten Passwort angemeldet, das da ja hinterlegt ist (der hat ja noch nix von der Passwortänderung mitbekommen). Wenn ich mich danach mit diesem Rechner an die Domäne hänge, kann ich damit ganz normal in der Domäne arbeiten. Nur: Wenn das Passwort abgelaufen ist, dann weiss das auch der Client, wenn er offline ist. Dann zwingt er mich zur Passwortänderung, und dann geht gar nix mehr. Was ich also brauche, ist die Möglichkeit, den Hashwert des Passworts, und dessen Lebensdauer auf den virtuellen Client zu übertragen. Sysprep ist eher dazu gedacht, mehrere Rechner in eine Domäne zu bringen, ohne jeden einzeln aufsetzen zu müssen, wobei es da elegantere Möglichkeiten gibt. Ich möchte aber ein und denselben Rechner wahlweise virtuell, oder eben den echten Rechner an der Domäne betreiben. Solange ich da mit serverbasierten Profilen arbeite, sollte das auch gehen. Es geht darum, daß ich oftmals von zuhause aus für Kunden Support leisten muss, dazu aber in unser Firmennetz muss und deshalb nicht jedesmal meinen Laptop holen und aufbauen will. Das geht ja auch soweit! Habe das schon zwei Monate getestet, aber das Passwort ist halt das Problem. Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 4. Juni 2008 Melden Teilen Geschrieben 4. Juni 2008 Hier hast Du einiges falsch verstanden: Die Anmeldeinformationen werden auf dem Client lediglich gecacht (zwischengespeichert), ändert sich das Passwort auf dem DC bzw im AD, dann kann man sich offline (also ohne Netzwerkverbindung zum DC oder AD) schon noch anmelden, hat aber nichts davon, da kein Zugriff mehr auf Netzwerkressourcen möglich sein wird. Der Client synchronisiert seine Anmeldeinformationen mit dem DC, sobald dieser erreichbar ist (zB über VPN), daher werden dann in periodischen Abständen auch die Gruppenrichtlinien auf den Client angewendet, die über das Passwortalter, -länge, etc entscheiden und der Client weiss dann auch, dass das Passwort nicht mehr gültig ist. Entweder Du änderst im AD (auf einem DC) die Passwortrichtlinien für den Benutzer, so dass dieser das Passwort nicht mehr ändern muss. Oder Du machst eine VPN Einwahl vor dem Offline Login, dann gibt es faktisch keinen Unterschied zu einem Rechner im lokalen Netz. Die SID ist für die Anmeldung am DC erstmal nicht relevant, da der Client ein Computerkonto hat. Die SID bestimmt, vereinfacht gesagt, lediglich als eindeutiger Wert die Grundlage für lokale Standard Userkonten, bei SID gleichen Rechnern sind zB die User Administrator völlig identisch (der Name Administrator ist nur ein Platzhalter für die SID des Users) und das ist ein eklatantes Sicherheitsrisiko, denn damit könnten zwei verschiedene User die gleiche User SID erhalten und trotz unterschiedlicher Rechte die Ressourcen des jeweiligen anderen Users einsehen. Auch die Computerkonten basieren auf der SID (in Domänen kommen aber noch weitere SID's dazu), bei Computerkonten werden allerdings die dort verwendeten Computerpasswörter automatisch zwischen Server und Client abgeglichen. Verwenden 2 verschiedene Computer ein Computerkonto, so hat sobald der erste das Passwort ändert (was alle 60, oder waren es 120 Tage, egal ....) der zweite keinen Zugriff mehr, da er das Passwort ja nicht synchronisiert hat. Da schafft man sich unter Umständen ganz seltsame Probleme mit .... Sysprep ist die einzig von Microsoft unterstützte Methode Clients bis XP zu clonen (auch der Transfer in eine VM ist ein Clone) und hat rein gar nichts mit Rechner in die Domäne bringen zu tun. Es wird aus oben genannten Gründen dringlich empfohlen. Warum muss es denn für die VPN Verbindung ein Domänenrechner sein? Man kann schliesslich eine VPN Verbindung auch ohne Mitgliedschaft in einer Domäne aufbauen und trotzdem auf Ressourcen der Domäne zugreifen. Grüsse Gulp Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 4. Juni 2008 Melden Teilen Geschrieben 4. Juni 2008 Hallo Dein Szenario kann nicht funktionieren. Ich würde "irgendwie und es geht einfach" weglassen, denn das sind technisch nicht saubere Aussagen. Den Fakten, die Dir Daim und ich mitgeteilt haben sind so. Eine Domain ist ausgelegt für eine Resource pro Sid und nicht zwei Resorucen, die sich eine Sid "teilen". Ein client der Domainmember ist, loggt sich resourcenmässig auch immer auf die Domain ein. Ist das Netzwerkkabel gezogen, holt er sich nach, sobald die Netzwerkverbindung steht. Es gibt zwei User: Der PC als Resource und der User als Resource. Zu beiden Konten muss eine trustrelationship zwischen Domain und den Konten existieren. Das Passwort ist auch nicht im Profil gespeichert. Es gibt keinen Weg dran vorbei: Microsoft supported sind zwei Resourcen mit zwei eigenen SIDs. Alles andere ist technisch nicht funktionierend. Einen Hinweis wie ein Hash auf einen client übertragen werden kann, läuft unter Aushebelung der Domainsicherheit, wozu Du in diesem Board sicher keinen Tipp bekommen wirst. Gruss Matthias Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 4. Juni 2008 Melden Teilen Geschrieben 4. Juni 2008 Es gibt zwei User: Der PC als Resource und der User als Resource. Zu beiden Konten muss eine trustrelationship zwischen Domain und den Konten existieren. Das hast du aber schön und dazu noch so früh am morgen, formuliert. ;) Das Passwort ist auch nicht im Profil gespeichert. Genau. Das zwischengespeicherte Benutzerkennwort wird im Security-Zweig in der Registry hinterlegt, in dem der normalsterbliche (auch Administrator) so - verständlicherweise - nicht dran kommt. @Gulp Das Computerkontokennwort wird unter NT standardmäßig alle 7 und ab Windows 2000 alle 30 Tage geändert. ;) How to disable automatic machine account password changes Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 4. Juni 2008 Melden Teilen Geschrieben 4. Juni 2008 Off-Topic:@Daim:Wusste ich doch, dass Du das aus dem FF weisst und gleich noch den passenden Link ..... ;) ...... auf Dich ist aber auch immer wieder Verlass!Schönen Gruss von der Mosel an den Main! GrüsseGulp Zitieren Link zu diesem Kommentar
B6n 10 Geschrieben 4. Juni 2008 Melden Teilen Geschrieben 4. Juni 2008 Ich bin mir nicht ganz sicher, aber ich sehe da auch ein lizenztechnisches Problem, da ich mal denke, dass auf der virtuellen Maschine und auf dem realen Client noch die gleiche Lizenz installiert ist. Wenn ich damit richtig liege muss ehh eine andere Lösung her..... Zitieren Link zu diesem Kommentar
Heros 10 Geschrieben 4. Juni 2008 Melden Teilen Geschrieben 4. Juni 2008 Korrekt! So läuft das ganze, wenn nicht durch einen bestimmten Vertrag oder so geklärt, nicht legal! Zitieren Link zu diesem Kommentar
B6n 10 Geschrieben 4. Juni 2008 Melden Teilen Geschrieben 4. Juni 2008 Au weia.....dann kommt bestimmt bald Doc.Melzer mit dem großen Schlüssel.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.