hevtig 10 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 Hallo, gibt es eine Lösung für folgendes Szenario? - Domänenbetrieb - Mehrere Benutzer sind auf einem Rechner angelegt - Es handelt sich hauptsächlich um mobile Nutzer (sprich Laptop) Nun werden die Anmeldedaten erst bei der Anmeldung mit dem AD verglichen und dann in die SAM geschrieben, damit man sich offline anmelden kann. Wenn ich nun zwischenzeitig im AD eine Änderung für einen Benutzer vorgenommen habe und er sich noch nicht am Laptop angemeldet hat, dann befinden sich noch die alten Daten in der SAM. Gibt es eine Möglichkeit, beim Hochfahren im Netzbetrieb die SAMdaten zu aktualisieren? Konkret geht es darum, dass wir einen weiteren Adminaccount haben, dessen Passwort wir im Notfall herausgeben. Nachdem wir das Passwort weitergegeben haben, damit der Benutzer lokal Änderungen vornehmen kann, wird es im AD geändert. Zusätzlich müssen wir uns dann auf allen anderen Rechner und Notebooks anmelden, damit er die SAM abgleicht... Ideas? ;) Vielen dank für Lösungsvorschläge... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 Hallo, eine Lösung deines Wunsches ist mir nicht bekannt. Wozu aber das Ganze? Das ist doch nicht notwendig. Die Anmeldung an der Domäne ist doch cached möglich. Trenne den Rechner (Laptop) vom LAN, starte ihn und melde dich an der Domäne an. Viel Erfolg Edgar Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 Konkret geht es darum, dass wir einen weiteren Adminaccount haben, dessen Passwort wir im Notfall herausgeben. Sollte die Lösung deines Problems nicht lautet diesen Notfällen präventiv vorzubeugen? Dann erübrigt sich die Herausgabe von Admin-Kennwörtern. So richtig sicher wirst Du das mit Offline-Notebooks nämlich nicht hinbekommen. Wie sieht denn so ein Notfall aus? Gruß Andre Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. September 2005 Melden Teilen Geschrieben 1. September 2005 Nun werden die Anmeldedaten erst bei der Anmeldung mit dem AD verglichen und dann in die SAM geschrieben Irgendwie liegt da ein Missverständnis vor. AD ist das eine und eine SAM das andere, beide haben nicht das geringste miteinander zu tun. Wenn man sich als Domänenmitglied an einem Rechner anmeldet, werden die "cached credentials" (zwischengespeicherten Anmeldeinformationen) in der Registry abgelegt, so dass man sich bei Fehlen des DC nach wie vor anmelden kann, aber keinen autorisierten Zugriff aufs Netzwerk hat. Wenn ich mich das nächste mal bei wieder erreichbarem DC anmelde, werden nach der Authentifizierung am DC die cached credentials auf dem Rechner aktualisiert. Ich sehe jetzt das Problem noch nicht so genau grizzly999 Zitieren Link zu diesem Kommentar
hevtig 10 Geschrieben 1. September 2005 Autor Melden Teilen Geschrieben 1. September 2005 Sollte die Lösung deines Problems nicht lautet diesen Notfällen präventiv vorzubeugen?Dann erübrigt sich die Herausgabe von Admin-Kennwörtern. So richtig sicher wirst Du das mit Offline-Notebooks nämlich nicht hinbekommen. Wie sieht denn so ein Notfall aus? Gruß Andre Ich denke, man wird es kaum hinbekommen, diese Situation vorzubeugen. Das Problem sieht folgendermaßen aus, daß ein Kollege von mir (der User) ab und an innerhalb Deutschlands unterwegs ist und in vielen Fällen keine Remoteunterstützung etc möglich ist. Wenn er jetzt beim Kunden 200 km entfernt ist und z.B. sein Drucker versagt, dann kann er evtl einen anderen installieren, was er so halt erstmal nicht darf. Oder es liegt irgendein Defekt vor, den man nur als Admin lösen kann. Und 200km hin und zurück will sich keiner ans Bein binden... Irgendwie liegt da ein Missverständnis vor. AD ist das eine und eine SAM das andere, beide haben nicht das geringste miteinander zu tun.Wenn man sich als Domänenmitglied an einem Rechner anmeldet, werden die "cached credentials" (zwischengespeicherten Anmeldeinformationen) in der Registry abgelegt, so dass man sich bei Fehlen des DC nach wie vor anmelden kann, aber keinen autorisierten Zugriff aufs Netzwerk hat. Wenn ich mich das nächste mal bei wieder erreichbarem DC anmelde, werden nach der Authentifizierung am DC die cached credentials auf dem Rechner aktualisiert. Ich sehe jetzt das Problem noch nicht so genau Ja, wir reden beide von derselben Sache, ich habe mich nur unverständlich ausgedrückt ;) Aber darum geht es ja. Es wird gecached und der Cache sollte aktualisiert werden. Ich versuche es noch einmal zu veranschaulichen. Also wir haben unzählige Notebooks im Einsatz. Die Benutzer sind Hauptbenutzer. OS =W2K + XP Die Benutzer können online, sowie offline arbeiten. Für den Fall eines "Notfalls" haben wir einen separaten Admin, dessen Kennwort wir rausgeben können, wenn Hand an ein Notebook angelegt werden muss, Notebook aber außer Reichweite ist. Geben wir das Kennwort raus kann sich der Benutzer als Admin offline auf seinem Notebook authentifizieren. Wir, die in der Domäne sind ändern sofort das Kennwort des "Notfalladmins", da wir ja verhindern wollen, dass irgendjemand mehr im Netz macht, als er soll. Das heißt also vorher "Notfalladmin" => Passwort = 123456 dann wird das Kennwort herausgegeben und es wird geändert "Notfalladmin" => Kennwort = 234567 Gut, in der Domäne ist alles klar. Es kann sich keiner mehr online als "Notfalladmin" mit dem alten Kennwort anmelden. Dafür kann es jeder offline. Denn damit man sich offline als Notfalladmin anmelden kann mußten wir ja uns zuvor als eben dieser an dem Laptop anmelden und an allen anderen auch. Das heißt also für mich => in der Domäne "Notfalladmin" => Kennwort = 234567 => in den Caches der Rechner "Notfalladmin" => Passwort = 123456 Da wir aber nicht wollen, dass irgendwer als Admin (außer halt in den sog. Notfällen) rumläuft müssen wir das verhindern und den Cache aktualisieren. Das machen wir, indem wir uns jeweils an jedem Rechner als "Notfalladmin" anmelden um die cached Credentials zu überschreiben. Danach kann man sich also erst wieder mit dem aktuellen Kennwort offline als Notfalladmin anmelden. Aber gerade diesen umständlichen Schritt (an allen PCs anmelden als Notfalladmin) möchet ich gerne vereinfachen. (*puh*) Ich hoffe, dass es jetzt verständlicher war. Ideas? Danke Zitieren Link zu diesem Kommentar
hevtig 10 Geschrieben 7. September 2005 Autor Melden Teilen Geschrieben 7. September 2005 hmm, weiß da keiner was? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. September 2005 Melden Teilen Geschrieben 7. September 2005 Mach es doch nicht so kompliziert und nehme die Leute in die Fruppe der lokalen Administratoren auf, falls es nicht anders geht. Zitieren Link zu diesem Kommentar
hevtig 10 Geschrieben 7. September 2005 Autor Melden Teilen Geschrieben 7. September 2005 Hmm, danke für die Antwort, aber ich denke, dass das nicht akzeptabel ist. Ich bin Netzwerkadmin und habe ca 80 CLients und davon gehen 70 oft auf Außenprüfung. Das würde bedeuten, dass die Herr auf ihren Rechners sein würden. Das ist nicht gewollt oder geplant. Dafür haben leider zuviele zuwenig ein Bewußtsein für Sicherheit, Datenschutz, -sicherheit etc. Gibt es denn tatsächlich keinen Weg die cached credentials automatisch zu aktualisieren? Weil, wie gesagt, ich muss für eine Passwortänderung einen Samstag dranhängen, um mich an jedem Client als Notfalladmin anzumelden :! Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 8. September 2005 Melden Teilen Geschrieben 8. September 2005 Mein Beitrag war provokativ gemeint. :) Eine gehbare Lösung habe ich leider nicht. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 8. September 2005 Melden Teilen Geschrieben 8. September 2005 Hi Hevtig, mit dem Problem bist du nicht allein... es ist aber seit längerer Zeit eigentlich kein Problem mehr...=> VPN ist das Stichwort. Kauf für die Notebooks UMTS-Karten und stelle dann per VPN eine Verbindung zur Domäne her. Da schlägt mehrer Fliegen mit einer Klappe (z.B. zentrale Datenhalten, E-Mail, Virenscannerüberwachung, Remoteunterstützung möglich) Natürlich laufen da einige Kosten auf aber dies ist imho der einzig gängige Weg. LG Gadget Zitieren Link zu diesem Kommentar
master-obi-wan 10 Geschrieben 8. September 2005 Melden Teilen Geschrieben 8. September 2005 Hallo hevtig, wie auch meine Vorposter sehe ich auch keine Möglichkeit die gecachten Anmeldedaten ohne erneutes Anmelden zu ändern. Wie wäre es aber mit diesem Workaround: - Du legst einen lokalen Notfalladmin auf allen Notebooks an. - Dann schreibst du dir ein Script in welchem du das Passwort vom lokalen Notfalladmin auf den aktuellen Wert setzt. (z.B. mit pspasswd.exe) - Wenn dieses Script bei der Domänenanmeldung abläuft, hat der Notfalladmin das aktuelle Passwort. Oder um den Faden weiterzuspinnen: Wenn du das Script lokal auf die Notebooks legst und bei jedem Start ausführen lässt, kannst du dir eine Logik überlegen (die natürlich nicht allzu leicht nachzuvollziehen sein darf), um das Passwort abhängig vom Datum auf einen bestimmten Wert zu setzen. Somit hättest du das Passwort auf den Notebooks auch unterwegs täglich geändert ... :D Dass, das Script nicht nicht einsehbar sein sollte versteht sich denke ich von selbst ... ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.