Renator 10 Geschrieben 30. November 2011 Melden Teilen Geschrieben 30. November 2011 Hallo, wie handhabe ich die Dauer der Gültigkeit von Computerkennwörtern richtig? Ich habe mehrere Mitarbeiter, welche durchaus Mal bis zu 1 Jahr in der Welt rumjetten. Die Folge ist eben, dass sobald diese wieder ins Haus kommen, das Computerkennwort abgelaufen ist und erst einmal kein Login mehr möglich ist. Also Computer raus und wieder rein in die Domäne. Die Standardablaufzeit ist, glaube ich, 60 Tage, oder? Kann ich diese erhöhen? Welche Folgen hat es, wenn man diesen Zeitraum auf meinetwegen 360 oder mehr Tage erhöht? Und: Wo erhöhe ich die? Danke! Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 30. November 2011 Melden Teilen Geschrieben 30. November 2011 Moin, das "Offline"-Szenario selbst stellt für das Computerkennwort kein Problem dar. Der Computer kann sein abgelaufenes Kennwort ändern, solange es noch korrekt ist. Die Änderung nimmt AD immer nur vor, wenn es mit dem Computer kommunizieren kann. Problematisch ist das Computerkennwort nur, wenn man einen Rechner auf einen historischen Zustand zurücksetzt: Im Image ist das Kennwort "A" hinterlegt, das zum Zeitpunkt des Image aktuell war. Nach dem Erzeugen ändert der Computer sein Kennwort im AD auf "B", alles OK. Spielt man nun das Image zurück, hat der Computer wieder "A" als Kennwort, im AD steht aber "B". Es muss also in deiner Situation etwas anderes im Spiel sein. Wann läuft ein Maschinenaccount / Computerkonto ab? Gar nicht! - Aktives Verzeichnis Blog - Site Home - TechNet Blogs Gruß, Nils Zitieren Link zu diesem Kommentar
Renator 10 Geschrieben 30. November 2011 Autor Melden Teilen Geschrieben 30. November 2011 Morgen, danke erst einmal für die Antwort. Es wurde definitiv kein Image zurückgespielt. Weder auf dem Client noch auf dem Server. Ich lösche auch keine Konten etc. per Script. Trotzdem passiert dies des Öfteren. Ich habe zum Beispiel hier auch einen festen Office PC, welcher nur sporadisch alle paar Monate eingeschaltet wird. Auch hier habe ich das Verhalten festgestellt. Bei den mobilen Mitarbeitern könnte ich mir vorstellen, dass diese versuchen bei einer VPN Verbindung das Kennwort neu zu setzen, wobei dann was schief geht... aber sonst?! Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. November 2011 Melden Teilen Geschrieben 30. November 2011 Hi, ich meine mich grau zuerinnern, daß Windows XP / Vista das Kennwort dummerweise in bestimmten Konstellationen auch ändert, wenn kein DC oder Secure Channel zur Verfügung steht. Erst ab Windows 7 muß in jedem Fall eine Verbindung bzw. ein SC zu einem DC bestehen. Ich mag mich da irren, aber irgendwo im Hinterkopf klingelt da etwas. Handelt es sich um XP / Vista oder um Windows 7 Clients? Schau einmal hier hinein, dort findest Du a) ein paar Möglichkeiten, um die Ursache zu prüfen und b) auch ein, zwei Hinweise, wo Probleme liegen können: Ueberpruefung wann das Computer Passwort lokal und im Active Directory zuletzt geaendert wurde - Aktives Verzeichnis Blog - Site Home - TechNet Blogs Viele Grüße olc Zitieren Link zu diesem Kommentar
nawas 32 Geschrieben 30. November 2011 Melden Teilen Geschrieben 30. November 2011 Ist das anmelden anch einer bestimmten Zeit an den DC nur für den User nicht mehr möglich oder auch für aktive/aktuelle User auch nicht mehr. Oder warum muss der aus dem DC genommen und wieder rein gehoben werden?? Wenn es so ist dann probier doch mal folgendes: In den Gruppenrichtlinien unter "Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien, Sicherheitsoptionen" kannst Du unter "Domänenmitglied: Maximalalter von Computerkontenkennwörtern" den Wert entsprechend ändern. Und dann natürlich erst testen bevor du es für die Gruppe frei gibst!!! Zitieren Link zu diesem Kommentar
Renator 10 Geschrieben 30. November 2011 Autor Melden Teilen Geschrieben 30. November 2011 Bei den Notebooks handelt es sich um Windows 7 pro 64bit, der einzelne feste Arbeitsplatz ist ein XP-Rechner, aber der hätte, wenn er eingeschaltet ist, immer Zugang zum DC. Und nein an dem Rechner kann sich dann gar kein User mehr anmelden. Ich trenne dann immer einfach die Netzwerkverbindung (physikalisch), dann melde ich mich an, Netzwerk wieder ran. Dann raus aus der Domain, rein in eine Arbeitsgruppe, Neustart, Rein in Domäne, Neustart, alles wieder gut. Über Teamviewer in einem Büro in den USA oder so ist das halt nicht ganz so angenehm... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. November 2011 Melden Teilen Geschrieben 30. November 2011 Hi, wie schon angesprochen, schau einmal in den oben verlinkten Artikel. Vollziehe nach, welches Kennwort neuer ist und daraus leite die entsprechend im Blog beschriebenen Ansätze ab. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.