StefanWe 14 Geschrieben 17. Mai 2013 Melden Teilen Geschrieben 17. Mai 2013 Hallo, ich suche derzeit die GPO Einstellung um zu sagen, wie lange die Anmeldeinformationen auf den Laptops gespeichert werden sollen, solange er keinen Kontakt zur Domäne hat. ich hab immer nur die Einstellung gefunden, dass nicht Tage sind, sondern die Anzahl (Standard Wert wohl 10) greift. Allerdings habe ich mich jetzt ohne Domänenkontakt mehr als 10 mal ab und angemeldet und es geht immer noch. Wo definiere ich denn, wie lange die Benutzer sich mit ihren Domänen Informationen an den Laptops anmelden können ohne Kontakt zur Domäne zu haben. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 17. Mai 2013 Melden Teilen Geschrieben 17. Mai 2013 (bearbeitet) ich hab immer nur die Einstellung gefunden, dass nicht Tage sind, sondern die Anzahl (Standard Wert wohl 10) greift. Allerdings habe ich mich jetzt ohne Domänenkontakt mehr als 10 mal ab und angemeldet und es geht immer noch. Das betrifft die Anzahl der Konten, nicht die Anzahl der Anmeldungen. Wo definiere ich denn, wie lange die Benutzer sich mit ihren Domänen Informationen an den Laptops anmelden können ohne Kontakt zur Domäne zu haben. IMHO gar nicht. Wie genau lautet denn die Anforderung? bearbeitet 17. Mai 2013 von Sunny61 Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 17. Mai 2013 Autor Melden Teilen Geschrieben 17. Mai 2013 (bearbeitet) Das die Notebooks, wenn sie einmal in der Domäne sind und der Benutzer sich das 1. mal angemeldet hat, sich mehrere Monate, gar 1 oder 2 Jahre nicht mehr mit der Domäne kommunizieren kann. Es gibt keinen VPN Tunnel. Ich habe eben einen Beitrag gefunden, wo steht, dass die Anmeldedaten auf "ewig" gespeichert bleiben. Wie sieht es mit dem Computer Kennwort aus? Was passiert, wenn der Computer versucht sein Kennwort zu erneuern und keinen Kontakt zum DC hat? Reicht es hier aus, wenn ich dies per GPO deaktiviere? bearbeitet 17. Mai 2013 von StefanWe Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 17. Mai 2013 Melden Teilen Geschrieben 17. Mai 2013 Ich glaube nicht dass Du an dieser Stelle etwas einstellen kannst. Nochmal gefragt: Wie genau sehen die Anforderungen aus? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 17. Mai 2013 Melden Teilen Geschrieben 17. Mai 2013 (bearbeitet) Das die Notebooks, wenn sie einmal in der Domäne sind und der Benutzer sich das 1. mal angemeldet hat, sich mehrere Monate, gar 1 oder 2 Jahre nicht mehr mit der Domäne kommunizieren kann. Es gibt keinen VPN Tunnel. Ich habe eben einen Beitrag gefunden, wo steht, dass die Anmeldedaten auf "ewig" gespeichert bleiben. Wie sieht es mit dem Computer Kennwort aus? Was passiert, wenn der Computer versucht sein Kennwort zu erneuern und keinen Kontakt zum DC hat? Reicht es hier aus, wenn ich dies per GPO deaktiviere? Wenn der Computer keine Verbindung mit der Domäne hat, dann wird es keinen Versuch geben, das Computerkennwort zu erneuern. Falls das Kennwort abgelaufen, dann ist mit dem Laptop keine Anmeldung an der Domäne mehr möglich (Tombstone Life Time ) Nun, es wurde beschrieben, das Laptop habe sowieso keine Verbindung zur Domäne (nie). Dann sollte man ihn wohl erst überhaupt nicht in die Domäne aufnehmen, dann spart man sich selbst Unsicherheiten, Unwägbarkeiten, falls man befürchtet, der User könne sich plötzlich nicht mehr mit den zwischengespeicherten Creds am Laptop anmelden. Welchen Sinn sollte denn eine Zugehörigkeit zu einer Domäne haben, wenn nie Verbindung zu dieser besteht, keine Zugehörigkeit notwendig ist? Schon wegen den Kosten für die CAL(`s) vermiede ich sowas. bearbeitet 17. Mai 2013 von lefg Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 17. Mai 2013 Melden Teilen Geschrieben 17. Mai 2013 Die Cached Domain-Credentials findet man übrigens in der Registry: http://mybrainsaver.blogspot.de/2010/09/how-to-delete-windows-local-domain.html ACHTUNG: Zum Änderung wird SYSTEM-Recht benötigt! Fehlbedienung kann die komplette Registry schrotten! Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 17. Mai 2013 Melden Teilen Geschrieben 17. Mai 2013 Dann definieren, dass das Domain-Konto nach XX Tagen abläuft. Sobald das 1x auf den NB's angekommen ist, müssen die User einfach ;) Zumal es nervt, 2 unterschiedliche Kennwörter zu verwenden. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 17. Mai 2013 Autor Melden Teilen Geschrieben 17. Mai 2013 Die Notebooks sind über unbestimmte zeit in ganz Deutschland unterwegs. Bis jetzt wurden die Laptops in die Domäne genommen und dann mit lokalen Benutzern gearbeitet. Ich hatte nur immer im Hinterkopf das die PCs sich nach x Tagen wieder blinder Domäne melden müssen da sonst die cached credentials ablaufen. Aber scheint ja nicht der fall zu sein Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.