fly87 10 Geschrieben 13. August 2009 Melden Teilen Geschrieben 13. August 2009 Hallo zusammen, ich würde gerne etwas mehr Sicherheit in das AD bekommen, welches ich betreue... Bisher war es so, das Passwörter wie optional behandelt wurden. Sprich man muss das nie ändern, hat keine Mindestlänge und sowas halt... Ich habe schon einiges gemacht... Konten werden bei 10 ungültigen Versuchen gesperrt... Eine solche Sperrung hat zwar nur Auswirkung auf das Domänenkonto, aber das reicht ja schon. Die Benutzer sind alle samt die meiste Zeit draußen. Das bedeutet, ich bekomme in folgenden Situationen für diese Benutzer ein Zugriffsproblem... Zur Info, VPN Zugänge werden durch den Provider gestellt und es erfolgt kein Auth am AD. Erst beim Zugriff auf Server wird das dann genutzt. a) Wenn ich das Kennwort ändere und der Benutzer per VPN mit dem alten PW per VPN rein kommt und versucht auf Recoursen zuzugreifen. Gibts die Meldung Zugriff verweigert. Kennwort kann dann auch nicht geändert werden, gibt die Meldung Domäne nicht verfügbar... b) Wenn das Kennwort abläuft und der Benutzer dadurch normalerweise bei der Anmeldung die Meldung erhält, das er sein Kennwort jetzt ändern muss. Diese Meldung gibts aber nicht, wenn man sich zwar mit dem Domänenaccount anmeldet, aber die die Domäne nicht erreichen kann... Quasi eine Offline Anmeldung... Dann gibts die selben Meldungen wie unter a. Jetzt muss ich also überlegen... Entwerder keine Änderungsrichtline oder doch eine und ich finde eine Lösung für das Problem. Ich hatte mir was überlegt... Dadurch, das der VPN Zugang vpm Provider geschaltet ist und kein Auth am AD erfolgt könnte ich doch auf dem internen IIS in Zusammenarbeit mit PHP und LDAP eine Seite bauen, die eben diese Felder zum Kennwort ändern enthält. Wie das von der Programmierung umzusetzen wäre, ist mir klar aber würde das überhaupt klappen? Diese entsprechende Seite müsste ja Berechtigungsmäßig so sein, das die jeder aufrufen kann... Im internen Netz natürlich. Aber das werde ich wohl doch vergessen können, weil dadurch würde ja bestimmt nicht das lokale Profil geupdatet werden... Das wird doch sicher erst bei der Anmeldung am AD direkt angepasst oder wie sieht das aus? Die Grundidee war, dadurch das der IIS Server ja ein Mitgliedsserver ist und damit eine ständige Verbindung zum AD hat, könnte der Benutzer sein Kennwort an dieser Stelle ändern. Aber da sind wie schon genannt, ein paar Fragen offen... Dann ist auch noch die Sache, wer macht das? Benutzer probiert, geht nicht... Ach jetzt muss ich die Seite wieder aufrufen etc. pp. Grüße Tom Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 13. August 2009 Melden Teilen Geschrieben 13. August 2009 Wieso melden sich die Leute nicht immer mit ihrem Domain-Accounts an ihren Laptops an? Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 13. August 2009 Autor Melden Teilen Geschrieben 13. August 2009 Das tun die ja... Das geschilderte basiert auf den Domänen Accounts... Aber ohne Domäne im Rücken ist es eine Offline Anmeldung. Das geschilderte basiert auf den Domänen Accounts. Wenn ich Offline Profile sage, meine ich nicht lokale auf dem Notebook selber... Sondern schon Domänenprofile, die aber eben dann offline anmelden. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 13. August 2009 Melden Teilen Geschrieben 13. August 2009 Was für eine VPN-Verbindung verwendest du denn? Evtl. macht es sinn wenn sich die User gleich direkt via VPN anmelden (Also einen Online-Logon durchführen). Dann sollten sie auch in der Lage sein gleich ihr Kennwort zu ändern. Ich versteh auch nicht ganz wo nun welche Benutzer verwendet werden - du redest stellenweise von "lokalen Profilen"? Vielleicht suchst du auch nur einfach sowas hier: Implementing the Change Password feature with Outlook Web Access Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 14. August 2009 Autor Melden Teilen Geschrieben 14. August 2009 Hallo, das wäre ja noch nicht mal die Sache... Nur das der Online Logon direkt über VPN wohl so nicht möglich ist... Wenn der User draußen ist, dann muss er um wieder rein zu kommen zunächst mal eine UMTS Verbindung herstellen und danach eine Einwahl ins VPN durchführen. Sicher kann ich bei der Anmeldung sagen, per DFÜ anmelden. Das bringt mir aber nichts... Über diesen Punkt kann ich keine UMTS Verbindung herstellen. Und selbst wenn, dann fehlt immer noch die VPN Einwahl. So oder so müssten also zwei Verbindungen gewählt werden. Zunächst mal UMTS und dann VPN... Aber wie sollte ich das machen? Du sagst ich rede von lokalen Profilen... So meine ich das aber nicht. Wenn die Domäne nicht verfügbar ist und ich mich dennoch mit meinem Domänenprofil anmelde, dann habe ich ja eine Offline Anmeldung. Das meine ich dann mit lokalen Profilen. Viele Grüße Tom Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 14. August 2009 Melden Teilen Geschrieben 14. August 2009 Hallo, wenn Du mittels Suche meine Threads gefunden hättest, wüsstest Du, wie ich mit dieser Thematik bereits in der Vergangenheit die Foren-Gemeinde geplagt hatte ;-) Auch bei uns findet keine VPN-Verbindung VOR der Windows-Anmeldung statt. Lass` die User das Kennwort doch bei bestehender VPN-Verbindung ändern. Das Ablaufen des Passwortes regulierst Du mit Zusatz-Tools, die auf ein abgelaufenes Passwort hinweisen. Zitieren Link zu diesem Kommentar
malteg 10 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 Ich hätte auch eine frage zu diesem Thema. Und zwar meldet sich ein Home-User mit seinem Laptop an der Domäne an und erstallt dann mittels OpenVPN eine Verbindung. Wenn das Passwort vom User für das VPN abgelaufen ist, kann er es aber nicht selber ändern, sondern muss beim Admin anrufen und es dort ändern lassen. Besteht die Möglichkeit, dass dem User die Chance gegeben wird, sein VPN Passwort wenn es abgelaufen ist, selber zu ändern? Ich weiss, dass es Programme und Scripts gibt, die dem User öfters daran erinnern, dass sein Passwort demnächst ausläuft, aber was passiert mit den Usern, die im Urlaub sind und somit keine Benachrichtigung erhalten? LG Malte Zitieren Link zu diesem Kommentar
Webbrauser 10 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 Hi zusammen, klar gibt es die - wenn das ganze über einen Windows Server (2008 R2)läuft kannst du die Option ziemlich easy über den NAP konfigurieren. Die Einstellung findest du in der jeweiligen Richtlinie unter "Einschränkungen" - Dort den Haken bei "Benutzer darf das Kennwort nach Ablaufdatum ändern" setzen. Tadaaa. Viele Grüße, Webbrauser Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.