9
AD-Passwortrotation von Aussendienstmitarbeitern via VPN
Hallo zusammen,
wir bedienen uns im Unternehmen seit kurzem endlich der Rotation von Passwörtern das Kollegen sich diese selbst vergeben können.
Nun machen wir um die Aussendienstkollegen noch einen kleinen Bogen da sich hier einige Schwierigkeiten ergeben haben.
Diese Kollegen loggen sich nur via VPN in das Netz ein.
Das funktioniert natürlich nicht mehr wenn das Kennwort abgelaufen ist, ohne die Meldung das es abläuft wissen die Kollegen jedoch nie wann es abläuft.
Desweiteren kollediert diese Art immer mit den Smartphones die eben diese Herrschaften noch haben, auch hier knallt alles wenn das Kennwort abläuft.
Sollte die Änderung manuell am Gerät dann doch mal klappen, dann rafft das Notebook das nicht also nutzen die Kollegen dort noch das alte Kennwort bis
Sie mal zum Meeting im Unternehmen sind.
Ein Programm welches über den Ablauf informiert haben wir aktuell leider nicht.
Hat jemand da nen Workaroun an der Hand wie man sowas angenehm lösen kann?
Anzumerken ist das die Aussendienstler alle keine IT-Genies sind ... alles über Outlook klicken ist FAST zu kompliziert!
wir bedienen uns im Unternehmen seit kurzem endlich der Rotation von Passwörtern das Kollegen sich diese selbst vergeben können.
Nun machen wir um die Aussendienstkollegen noch einen kleinen Bogen da sich hier einige Schwierigkeiten ergeben haben.
Diese Kollegen loggen sich nur via VPN in das Netz ein.
Das funktioniert natürlich nicht mehr wenn das Kennwort abgelaufen ist, ohne die Meldung das es abläuft wissen die Kollegen jedoch nie wann es abläuft.
Desweiteren kollediert diese Art immer mit den Smartphones die eben diese Herrschaften noch haben, auch hier knallt alles wenn das Kennwort abläuft.
Sollte die Änderung manuell am Gerät dann doch mal klappen, dann rafft das Notebook das nicht also nutzen die Kollegen dort noch das alte Kennwort bis
Sie mal zum Meeting im Unternehmen sind.
Ein Programm welches über den Ablauf informiert haben wir aktuell leider nicht.
Hat jemand da nen Workaroun an der Hand wie man sowas angenehm lösen kann?
Anzumerken ist das die Aussendienstler alle keine IT-Genies sind ... alles über Outlook klicken ist FAST zu kompliziert!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 496751
Url: https://administrator.de/contentid/496751
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Schicke ihnen doch ein Mail. Wie das geht, ist hier im Forum schon mehrfach diskutiert worden.
hth
Erik
Zitat von @Akrosh:
Das funktioniert natürlich nicht mehr wenn das Kennwort abgelaufen ist, ohne die Meldung das es abläuft wissen die Kollegen jedoch nie wann es abläuft.
Das funktioniert natürlich nicht mehr wenn das Kennwort abgelaufen ist, ohne die Meldung das es abläuft wissen die Kollegen jedoch nie wann es abläuft.
Schicke ihnen doch ein Mail. Wie das geht, ist hier im Forum schon mehrfach diskutiert worden.
hth
Erik
Zitat von @erikro:
Schicke ihnen doch ein Mail. Wie das geht, ist hier im Forum schon mehrfach diskutiert worden.
Das wäre wahrscheinlich das einfachste.Schicke ihnen doch ein Mail. Wie das geht, ist hier im Forum schon mehrfach diskutiert worden.
Jo so war ja auch mal der Plan.
Infomail über den Ablauf bei den Tagen 14, 7, 5, 3, 2, 1 und dann selber Schuld wenn vergessen.
Lösung per PS-Script haben wir probiert aber das zündet bei uns nicht bei allen ... und Systemuser die feste PWs haben bekommen dann Mails.
Ein Programm für faires Geld konnte ich nicht in Erfahrung bringen und wenns was gab konnte das Teil 100 AD-Sachen verwalten und als Abfallprodukt eben Mails schicken.
Ich hatte nur gehofft es gibt noch nen anderen Fahrplan den ich nicht im Fokus hab.
Infomail über den Ablauf bei den Tagen 14, 7, 5, 3, 2, 1 und dann selber Schuld wenn vergessen.
Lösung per PS-Script haben wir probiert aber das zündet bei uns nicht bei allen ... und Systemuser die feste PWs haben bekommen dann Mails.
Ein Programm für faires Geld konnte ich nicht in Erfahrung bringen und wenns was gab konnte das Teil 100 AD-Sachen verwalten und als Abfallprodukt eben Mails schicken.
Ich hatte nur gehofft es gibt noch nen anderen Fahrplan den ich nicht im Fokus hab.
Moin,
Warum?
Nicht, wenn man es richtig macht.
Ich wusste doch, dass ich das schonmal hier im Forum diskutiert habe:
AD Password Reminder Mail
Das sollte, wenn Du es auf Deine Umgebung anpasst, funktionieren.
hth
Erik
Zitat von @Akrosh:
Lösung per PS-Script haben wir probiert aber das zündet bei uns nicht bei allen ...
Lösung per PS-Script haben wir probiert aber das zündet bei uns nicht bei allen ...
Warum?
und Systemuser die feste PWs haben bekommen dann Mails.
Nicht, wenn man es richtig macht.
Ich wusste doch, dass ich das schonmal hier im Forum diskutiert habe:
AD Password Reminder Mail
Das sollte, wenn Du es auf Deine Umgebung anpasst, funktionieren.
hth
Erik
Außendiensttmitarbeiter ohne Bürottage würde ich nicht mit einem Domain Joined Device ausstatten, sondern mitt einem beliebigen Endgerät. Ressourcen würde ich dann als "Cloud Apps" bereitstellen und die Authentifizierung mitels Azure AD oder Okta umsettzen. Das Passwortt kann dann bequem und unabhängig vom Endgerät im Brwoser geändfert werden. Alternarttiov kannstt Du Domain Joined Devices auch mittetls Directt Access oder z.B. ZScaler Privartte Access "ttransparentt" anbinden. Die Gerättttett verhalttetn sich dann als wären sie intern.
PS; Meine Tastatur ist kaputt, sorry!
PS; Meine Tastatur ist kaputt, sorry!
Moin,
Vorab gibt es mit Hilfe eines PowerShell Skripts entsprechende Info E-Mails ins Postfach. Schön wäre, wenn du auch Fälle berücksichtigst wo das Passwort zur Laufzeit unter zwei Tage beträgt. Denn die Info E-Mail liest er erst den Tag darauf und somit sollte auch um selben Tag um Mitternacht der Haken "Benutzer muss Passwort bei der nächsten Anmeldung ändern" setzen.
Gruß,
Dani
Infomail über den Ablauf bei den Tagen 14, 7, 5, 3, 2, 1 und dann selber Schuld wenn vergessen.
Dafür stellen wir mit Hilfe von Microsoft AD FS eine Passwort ändern Funktionalität im Internet bereit.Vorab gibt es mit Hilfe eines PowerShell Skripts entsprechende Info E-Mails ins Postfach. Schön wäre, wenn du auch Fälle berücksichtigst wo das Passwort zur Laufzeit unter zwei Tage beträgt. Denn die Info E-Mail liest er erst den Tag darauf und somit sollte auch um selben Tag um Mitternacht der Haken "Benutzer muss Passwort bei der nächsten Anmeldung ändern" setzen.
Alternarttiov kannstt Du Domain Joined Devices auch mittetls Directt Access oder z.B. ZScaler Privartte Access "ttransparentt" anbinden. Die Gerättttett verhalttetn sich dann als wären sie intern.
Das löst aus meiner Sicht das Hauptproblem nicht. Passwort läuft ab und am Besten noch mittags. Dem Notebook ist es so zu sagen egal, das Handy fängt zicken an und der VPN-Verbindung ist egal, da diese bereits schon aktiv ist.Gruß,
Dani
Der Vorteil bei Azure AD z.B. ist, dass Du einen Self Service PAsword Reset einfach implementieren kannst. User enttsperren Konten selbst oder setzen Paswörtter (vertgessen) zurück. Außwerdem muss keine Verbindung zur Windows Server Domäne bestehen, was imho das größtte Problem bei Domain Joined Devices außerhalb des Untternehmens ist.
Nach langer langer Suche bin ich auf dieses Tool gestoßen, welches mir bisher gute Dienste leistet.
Bedingung war, daß es kostenlos ist.
https://www.manageengine.com/products/self-service-password/free-passwor ...
Bedingung war, daß es kostenlos ist.
https://www.manageengine.com/products/self-service-password/free-passwor ...
1
Das Crasht bei mir mit der Meldung
Das Script hab ich minimal angepasst um es vorerst zu testen.
Von Azure AD und so lassen wir hier in der Region aktuell noch die Finger ... alles in der Cloud ist aktuell noch HEXENWERK ... sicher praktisch und funktional aber das bekomm ich hier nicht durch!
Das Argument "1" mit dem Wert "23.09.2019 08:31:24" für "op_Subtraction" kann nicht in den Typ "System.TimeSpan" konvertiert werden: "Der Wert "23.09.2019 08:31:24"
kann nicht in den Typ "System.TimeSpan" konvertiert werden. Fehler: "Ungültige Umwandlung von "System.DateTime" in "System.TimeSpan".""
In C:\Users\####\Desktop\###.ps1:13 Zeichen:1Das Script hab ich minimal angepasst um es vorerst zu testen.
Von Azure AD und so lassen wir hier in der Region aktuell noch die Finger ... alles in der Cloud ist aktuell noch HEXENWERK ... sicher praktisch und funktional aber das bekomm ich hier nicht durch!
