goat82 2 Geschrieben 18. März 2019 Melden Teilen Geschrieben 18. März 2019 Hallo Zusammen, wir haben eine Remoteseite die über VPN mit dem AD verbunden ist. Die Remoteseite hat selbst außer Router keine Infrastruktur. DNS wird geroutet bzw. gesplittet. Dhcp kommt vom Router selbst und hat einen anderen Adressbereich wie der DHCP auf dem AD. Packe ich einen Rechner in die Domaine ist alles gut. Wird hier aber länger niemand angemeldet, dann geht die Vertrauensstellung zur Domaine verloren. Die meisten Benutzer arbeiten lokal an diesen Pcs, ich brauche die Domaine zur für Administrative Zwecke (Wsus, Vernwartung, diverse Tools die eine Domaien voraussetzen). Welchen Befehl kann ich an den Clients ausführen, dass die Vertrauensstellung dauerhaft aktiv ist? Oder an welchem anderen Schräubchen muss ich drehen umd diesen Timeoutwert zu erhöhen? LG Goat Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Moin, was genau bedeutet länger niemand angemeldet? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.355 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Bei uns werden die Rechner zeitgesteuert jeden Tag gegen 18:00h gestartet, Updates installiert (sofern vorhanden) und dann wieder heruntergefahren. Wenn die kein WOL können, dann im BIOS Auto-ON einschalten... Zitieren Link zu diesem Kommentar
testperson 1.527 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Hi, vor 14 Stunden schrieb goat82: Wird hier aber länger niemand angemeldet, dann geht die Vertrauensstellung zur Domaine verloren. was ist denn "länger" in Tagen? vor 14 Stunden schrieb goat82: Die meisten Benutzer arbeiten lokal an diesen Pcs Warum nicht mit Domänen Accounts? Gruß Jan Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 19. März 2019 Autor Melden Teilen Geschrieben 19. März 2019 (bearbeitet) 30 Tage, weil die User hauptsächlich mit einer anderen Domaine arbeiten. Das ist historisch eben so weil es früher keine technische Möglichkeit gab und sich die Zuständigkeiten geändert haben. Die User arbeiten hauptsächlich mit Citrix. Der lokale User ist überall gleich und wird nur als doofes "Terminal" genutzt. Es gibt glaub ich irgendein Befehl der eine Domainanmeldung simuliert, ich glaube netdom verify oder netdom trust. dies funktioniert aber nur auf dem dc. Da die meisten Pcs ja lokal laufen könnte ich auch täglich einen ähnlichen Befehl ausführen, wenn es den disen gibt? Lieber wäre mir das Timeout auf 90 Tage zu setzen. bearbeitet 19. März 2019 von goat82 Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Nach 30 Tagen wird vom DC das Computer Kennwort geändert. Irgendwie mal zwischendurch Autologin und wieder abmelden. Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 19. März 2019 Autor Melden Teilen Geschrieben 19. März 2019 (bearbeitet) gibt es da keine andere Möglichkeit wie eine Netzwerkverbindung oder ein Batch oder so? Die Rechner sind täglich in Betrieb wie soll ich da bitte ein Autologin planen...... Kann man die 30 Tage nicht auf 90 Tage hochsetzen? Alle User könnten sich auch mit dem selben Domaineaccount anmelden, dann wäre das Problem auch gelöst wäre aber eher suboptimal bearbeitet 19. März 2019 von goat82 Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Du kannst per GPO: Computerkonfiguration, Richtlinien, Windows Einstellungen, Sicherheitseinstellungen, Lokale Richtlinie, Sicherheitsoptionen: Domänencontroller: Änderungen von Computerkennwörtern verweigern, und Domänenmitglied: Änderungen von Computerkennwörtern deaktivieren aktivieren. Ob es sinnvoll ist sei dahingestellt. Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 19. März 2019 Autor Melden Teilen Geschrieben 19. März 2019 das ist nicht gut, weil die user ja das KEnnwort auch ändern sollen. Dann halt doch einen gemeinsamen Domaineaccount für die Computeranmeldung Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Es geht dabei um das *Computerkennwort*, hat mit dem Benutzerkennwort nichts zu tun. Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 20. März 2019 Autor Melden Teilen Geschrieben 20. März 2019 Ok, das klingt gut. Die Änderungen würde ich dann via GPO machen. Domänencontroller: Änderungen von Computerkennwörtern verweigern, und Domänenmitglied: Änderungen von Computerkennwörtern deaktivieren aktivieren. Ob es sinnvoll ist sei dahingestellt. Domänenmitglied mache ich über Sicherheitsfilterung oder über OU-GPO. Domainencontroller. Ich möchte die Änderung gerne nur für bestimmte PCs machen. Ist das auch irgendwie möglich am Dc die Änderrung von Computerkennwörter verweigern nur für bestimmte PCs/Ou ? Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 20. März 2019 Melden Teilen Geschrieben 20. März 2019 Moin, mache doch eine OU in welche Du die Rechner, die die GPO erhalten sollen schiebst. Und dann die GPO mit der OU verknüpfen. Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 20. März 2019 Autor Melden Teilen Geschrieben 20. März 2019 Klar, das hatte ich ja vor. Hier wurde aber gesagt das ich die Regeln auf den DCs "Änderungen von Computerkennwörtern verweigern" ebenfalls ändern muss und hier war die Frage wie ich diese Regeln auf dem DC nur für diese bestimmten Computerkonten definiere? Die Regeln greifen ja dann praktisch für alle Computerkonten die am DC verbunden sind Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 20. März 2019 Melden Teilen Geschrieben 20. März 2019 Am 19.3.2019 um 09:35 schrieb Tektronix: Nach 30 Tagen wird vom DC das Computer Kennwort geändert. Irgendwie mal zwischendurch Autologin und wieder abmelden. Schwere Fehleinschätzung... Die Änderung wird IMMER vom Member initiiert. Wenn ein Client ausgeschaltet ist, kann er das monatelang bleiben, sein Domänenkennwort wird sich dadurch nicht ändern und auch nicht ungültig werden. Erst wenn er wieder online kommt, wird das aktualisiert. Und Autologon hat mit Computerkennwörtern auch kaum was zu tun. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.