SP4 Client Laptop

[KainzVonBeiden 10]

Guten Morgen MCSE Board,

 

wir haben hier eine Domäne auf Wind. 2k3 std. Servern. Auf dieser Domäne liegt eine Kennwortgruppenrichtlinie die einwandfrei funktioniert. In dieser Richtlinie ist hinterlegt das die Benutzer das Kennwort alle 180 Tage ändern müssen und 14 Tage zuvor bei Anmeldung einen Hinweis erhalten das Sie noch 14 Tage haben bis Ihre Kennwort abläuft.

 

Nun war es bei einem MA so:

Er arbeitet normalerweise an einem Desktop PC doch da er für 10 Tage auf Betriebsreise ging hat er ein Reise NB erhalten um auch unterwegs arbeiten zu können. Eigentlich alles gut und recht. Auf diesem Notebook hat er sich kurz vor seiner Reise an unserer Domäne mit seinem Benutzername angemeldet und somit alle wichtigen Richtlinien auf das NB übertragen bekommen, auch die Kennwortrichtlinie. Da es eine ziemliche Hau-Ruck Aktion war haben wir, die IT, nicht viel davon mitbekommen und nach seinem 3. Tag Reise ruft er dann doch an.

Aussage Benutzer: "Ich bin gerade in der USA und bei der Anmeldung kommt ein Hinweis das ich in 3 Tagen mein Passwort ändern muss. Da meine Reise noch länger geht würde ich gerne wissen ob dies vom Standort USA aus möglich ist."

Da ich diesen Fall bis jetzt noch nicht miterlebt habe, habe ich die Teorie in den Raum gestellt das höstwars***einlich das NB bei PW Änderung das PW lokal ablegt und sobald wieder eine Verbindung zur Domäne besteht dies mit der Domäne abgeglichen wird. Naja, falsch gedacht. Um mögliche Probleme auszuschließen, habe ich einen VPN Tunnel aufgebaut um den Rechner Remote zu administrieren. Ich habe über den lokalen Admin ein lokales Benutzerkonte zur Sicherheit erstellt falls die PW Änderung nicht funktionieren sollte. Durch die VPN Verbindung hat er im Normalfall eine Verbindung zu unserem DC und kann sich daran anmelden doch besteht die Möglichkeit das ein Timeout erfolgt durch eine zu langsame Leitung.

Nun hat sich der Benutzer an der Domäne angemeldet und den Hinweis erhalten sein PW zu ändern, Um zu testen ob es funktioniert haben wir auf PW sofort ändern gedrückt und wollte ein neues PW vergeben.

So nun da war der Fehler: "Password kann nicht geändert werden da keine Verbindung zur Domäne ******* besteht." Wäre nun das PW schon abgelaufen und keine VPN Verbindung möglich gewesen um einen lokalen Admin anzumelden hätte der Benutzer auf seiner restlichen Reise den Laptop nicht weiter verwenden können. Als wir uns mit dem alten PW (das zum Glück noch nicht abgelaufen war) angemeldet hatten und uns dann mit Angemeldeten Benutzerprofil die PW Änderung aktivierten, konnten wir das PW ändern da der VPN Tunnel nach Anmeldung erst geöffnet ist.

So nun die Fragen:

1. Hat schon jemand das besagt Problem gehabt?

2. Gibt es eine Möglichkeit oder eine Richtlinie die man konfigurieren kann das ohne Netzverbindung das PW lokal hinterlegt wird bis man sich wieder am DC anmelden kann?

3. Wiso ist bei einem Laptop der hinter einem VPN Router hängt der VPN Tunnel erst nach und nicht bei der Benutzeranmeldung geöffnet? Normal sollte er doch andauern ein VPN Verbindung online haben.

 

Vielleicht ist das Problem gar nicht so groß wie ich dachte. Aber wenn hier keine Lösung bekannt ist, werde ich es an unseren Microsoft Betreuer weitergeben.

 

Danke für jede Antwort im voraus.

 

Gruß

KainzVonBeiden