akrosh
Goto Top

AD-Passwortrotation von Aussendienstmitarbeitern via VPN

Hallo zusammen,

wir bedienen uns im Unternehmen seit kurzem endlich der Rotation von Passwörtern das Kollegen sich diese selbst vergeben können.
Nun machen wir um die Aussendienstkollegen noch einen kleinen Bogen da sich hier einige Schwierigkeiten ergeben haben.

Diese Kollegen loggen sich nur via VPN in das Netz ein.
Das funktioniert natürlich nicht mehr wenn das Kennwort abgelaufen ist, ohne die Meldung das es abläuft wissen die Kollegen jedoch nie wann es abläuft.
Desweiteren kollediert diese Art immer mit den Smartphones die eben diese Herrschaften noch haben, auch hier knallt alles wenn das Kennwort abläuft.
Sollte die Änderung manuell am Gerät dann doch mal klappen, dann rafft das Notebook das nicht also nutzen die Kollegen dort noch das alte Kennwort bis
Sie mal zum Meeting im Unternehmen sind.

Ein Programm welches über den Ablauf informiert haben wir aktuell leider nicht.

Hat jemand da nen Workaroun an der Hand wie man sowas angenehm lösen kann?
Anzumerken ist das die Aussendienstler alle keine IT-Genies sind ... alles über Outlook klicken ist FAST zu kompliziert!

Content-ID: 496751

Url: https://administrator.de/forum/ad-passwortrotation-von-aussendienstmitarbeitern-via-vpn-496751.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

erikro
erikro 20.09.2019 um 11:50:05 Uhr
Goto Top
Moin,

Zitat von @Akrosh:
Das funktioniert natürlich nicht mehr wenn das Kennwort abgelaufen ist, ohne die Meldung das es abläuft wissen die Kollegen jedoch nie wann es abläuft.

Schicke ihnen doch ein Mail. Wie das geht, ist hier im Forum schon mehrfach diskutiert worden.

hth

Erik
emeriks
emeriks 20.09.2019 um 12:10:50 Uhr
Goto Top
Zitat von @erikro:
Schicke ihnen doch ein Mail. Wie das geht, ist hier im Forum schon mehrfach diskutiert worden.
Das wäre wahrscheinlich das einfachste.
Akrosh
Akrosh 20.09.2019 um 12:16:03 Uhr
Goto Top
Jo so war ja auch mal der Plan.

Infomail über den Ablauf bei den Tagen 14, 7, 5, 3, 2, 1 und dann selber Schuld wenn vergessen.

Lösung per PS-Script haben wir probiert aber das zündet bei uns nicht bei allen ... und Systemuser die feste PWs haben bekommen dann Mails.
Ein Programm für faires Geld konnte ich nicht in Erfahrung bringen und wenns was gab konnte das Teil 100 AD-Sachen verwalten und als Abfallprodukt eben Mails schicken.

Ich hatte nur gehofft es gibt noch nen anderen Fahrplan den ich nicht im Fokus hab.
erikro
erikro 20.09.2019 um 12:31:25 Uhr
Goto Top
Moin,

Zitat von @Akrosh:
Lösung per PS-Script haben wir probiert aber das zündet bei uns nicht bei allen ...

Warum?

und Systemuser die feste PWs haben bekommen dann Mails.

Nicht, wenn man es richtig macht. face-wink

Ich wusste doch, dass ich das schonmal hier im Forum diskutiert habe:
AD Password Reminder Mail
Das sollte, wenn Du es auf Deine Umgebung anpasst, funktionieren.

hth

Erik
Matsushita
Matsushita 20.09.2019 aktualisiert um 17:16:33 Uhr
Goto Top
Außendiensttmitarbeiter ohne Bürottage würde ich nicht mit einem Domain Joined Device ausstatten, sondern mitt einem beliebigen Endgerät. Ressourcen würde ich dann als "Cloud Apps" bereitstellen und die Authentifizierung mitels Azure AD oder Okta umsettzen. Das Passwortt kann dann bequem und unabhängig vom Endgerät im Brwoser geändfert werden. Alternarttiov kannstt Du Domain Joined Devices auch mittetls Directt Access oder z.B. ZScaler Privartte Access "ttransparentt" anbinden. Die Gerättttett verhalttetn sich dann als wären sie intern.

PS; Meine Tastatur ist kaputt, sorry!
Dani
Dani 20.09.2019 um 17:27:00 Uhr
Goto Top
Moin,
Infomail über den Ablauf bei den Tagen 14, 7, 5, 3, 2, 1 und dann selber Schuld wenn vergessen.
Dafür stellen wir mit Hilfe von Microsoft AD FS eine Passwort ändern Funktionalität im Internet bereit.
Vorab gibt es mit Hilfe eines PowerShell Skripts entsprechende Info E-Mails ins Postfach. Schön wäre, wenn du auch Fälle berücksichtigst wo das Passwort zur Laufzeit unter zwei Tage beträgt. Denn die Info E-Mail liest er erst den Tag darauf und somit sollte auch um selben Tag um Mitternacht der Haken "Benutzer muss Passwort bei der nächsten Anmeldung ändern" setzen.

Alternarttiov kannstt Du Domain Joined Devices auch mittetls Directt Access oder z.B. ZScaler Privartte Access "ttransparentt" anbinden. Die Gerättttett verhalttetn sich dann als wären sie intern.
Das löst aus meiner Sicht das Hauptproblem nicht. Passwort läuft ab und am Besten noch mittags. Dem Notebook ist es so zu sagen egal, das Handy fängt zicken an und der VPN-Verbindung ist egal, da diese bereits schon aktiv ist.


Gruß,
Dani
Matsushita
Matsushita 20.09.2019 um 18:45:52 Uhr
Goto Top
Der Vorteil bei Azure AD z.B. ist, dass Du einen Self Service PAsword Reset einfach implementieren kannst. User enttsperren Konten selbst oder setzen Paswörtter (vertgessen) zurück. Außwerdem muss keine Verbindung zur Windows Server Domäne bestehen, was imho das größtte Problem bei Domain Joined Devices außerhalb des Untternehmens ist.
cobanm
cobanm 21.09.2019 um 18:12:49 Uhr
Goto Top
Nach langer langer Suche bin ich auf dieses Tool gestoßen, welches mir bisher gute Dienste leistet.
Bedingung war, daß es kostenlos ist.

https://www.manageengine.com/products/self-service-password/free-passwor ...
Akrosh
Akrosh 23.09.2019 um 08:47:29 Uhr
Goto Top
Das Crasht bei mir mit der Meldung

Das Argument "1" mit dem Wert  "23.09.2019 08:31:24" für "op_Subtraction" kann nicht in den Typ "System.TimeSpan" konvertiert werden: "Der Wert "23.09.2019 08:31:24"   
kann nicht in den Typ "System.TimeSpan" konvertiert werden. Fehler: "Ungültige Umwandlung von "System.DateTime" in "System.TimeSpan".""  
In C:\Users\####\Desktop\###.ps1:13 Zeichen:1

Das Script hab ich minimal angepasst um es vorerst zu testen.

Von Azure AD und so lassen wir hier in der Region aktuell noch die Finger ... alles in der Cloud ist aktuell noch HEXENWERK ... sicher praktisch und funktional aber das bekomm ich hier nicht durch!