Deaktivierte Computer haben weiterhin Zugriff
Hallo zusammen,
ich habe ein "kleines" Problem. Vorgestern habe ich etwa 150 Computerobjekte im AD deaktiviert, musste aber feststellen, dass die Nutzer trotz im AD deaktivierten Computern mehr oder weniger normal weiter arbeiten konnten. Zugriff auf Gruppenlaufwerke, Terminalserver, Mails usw. waren noch gegeben. Ich nahm an, das Deaktivieren der Computer würde dazu führen, dass der User von dem Gerät aus keinen Zugriff mehr auf die Domäne hätten, so als wäre das Benutzerobjekt deaktiviert.
Wie kann ich das verhindern?
ich habe ein "kleines" Problem. Vorgestern habe ich etwa 150 Computerobjekte im AD deaktiviert, musste aber feststellen, dass die Nutzer trotz im AD deaktivierten Computern mehr oder weniger normal weiter arbeiten konnten. Zugriff auf Gruppenlaufwerke, Terminalserver, Mails usw. waren noch gegeben. Ich nahm an, das Deaktivieren der Computer würde dazu führen, dass der User von dem Gerät aus keinen Zugriff mehr auf die Domäne hätten, so als wäre das Benutzerobjekt deaktiviert.
Wie kann ich das verhindern?
Please also mark the comments that contributed to the solution of the article
Content-Key: 544566
Url: https://administrator.de/contentid/544566
Printed on: May 5, 2024 at 23:05 o'clock
13 Comments
Latest comment
Hi.
Es geht hierbei um Kerberostickets, die per Default eine Lebenszeit von 10 Stunden haben, also bis zu 10 Stunden nach Deaktivierung weiter gültig sind. Das gilt für Nutzer- und Computerobjekte.
Sag doch mal genauer, warum du plötzlich so einer großen Zahl von Computern/Usern den Zugriff wegnehmen möchtest.
Es geht hierbei um Kerberostickets, die per Default eine Lebenszeit von 10 Stunden haben, also bis zu 10 Stunden nach Deaktivierung weiter gültig sind. Das gilt für Nutzer- und Computerobjekte.
Sag doch mal genauer, warum du plötzlich so einer großen Zahl von Computern/Usern den Zugriff wegnehmen möchtest.
Wirf mal einen Blick auf das Tool pingcastle
https://www.pingcastle.com/
Damit weißt Du in weniger als 2 Minuten, welche Nutzer/Computer lange nicht mehr im Einsatz waren.
https://www.pingcastle.com/
Damit weißt Du in weniger als 2 Minuten, welche Nutzer/Computer lange nicht mehr im Einsatz waren.
Also das liese sich ja recht einfach lösen. Am Computerobjekt steht wann sich das letzte mal da jemand dran angemeldet hat bzw auch wann sich der PC das letzte mal am AD gemeldet hat.
Alles älter als X Monate kann man ja deaktivieren/löschen.
Alle aktiven kann man per Powershell abfragen, wer sich da als letztes\die letzten X Tage angemeldet hat und den da erst mal zuordnen oder sich mit denen in Verbindung setzen und mal nachfragen wem das Ding gehört.
Zu deinem Problem: ich vermute jetzt mal, das die User Credentials noch auf dem Client gecached sind und der Rechner keine Verbindung zum AD hat. Ist dann wie bei Notebooks. Wenn das Notebook sich nicht beim AD melden kann, nimmt es die gecachten Credentials.
Prüfe mal die Netzwerkeinstellungen. Besonders den DNS
Alles älter als X Monate kann man ja deaktivieren/löschen.
Alle aktiven kann man per Powershell abfragen, wer sich da als letztes\die letzten X Tage angemeldet hat und den da erst mal zuordnen oder sich mit denen in Verbindung setzen und mal nachfragen wem das Ding gehört.
Zu deinem Problem: ich vermute jetzt mal, das die User Credentials noch auf dem Client gecached sind und der Rechner keine Verbindung zum AD hat. Ist dann wie bei Notebooks. Wenn das Notebook sich nicht beim AD melden kann, nimmt es die gecachten Credentials.
Prüfe mal die Netzwerkeinstellungen. Besonders den DNS
Wenn Du tatsächlich an dem fragwürdigen Konzept "wir schalten mal alle ab und schauen, wer schreit" festhalten willst (nicht böse gemeint), dann schalte die Dinger doch Abends ab, am nächsten morgen (10 Stunden braucht das Ticket, um abzulaufen), geht dann das Schreien los.
Wenn Du mit pingcastle rausgefunden hast, wer oder was lange nicht benutzt wurde, kannst Du diese doch gezielt abschalten.
Wenn Du mit pingcastle rausgefunden hast, wer oder was lange nicht benutzt wurde, kannst Du diese doch gezielt abschalten.
Mach doch mal Tests. Die Ticketlifetime kannst Du per Policy ja auch auf eine Stunde stellen (temporär) und das nach Ticketausstellung wieder ändern.
Da sich Nutzer auch an nicht-Domänen-PCs authentifizieren können, sollte klar sein, dass ein bloßes Deaktivieren der PCs im AD nicht auf die User wirkt, die bereits angemeldet sind bzw. den PC in Kernelhibernation schicken (=normales Ausschalten!).
Ob die PCs (die Systemkonten) noch auf Domänenressourcen kommen, ist eine komplett andere Sache.
Da sich Nutzer auch an nicht-Domänen-PCs authentifizieren können, sollte klar sein, dass ein bloßes Deaktivieren der PCs im AD nicht auf die User wirkt, die bereits angemeldet sind bzw. den PC in Kernelhibernation schicken (=normales Ausschalten!).
Ob die PCs (die Systemkonten) noch auf Domänenressourcen kommen, ist eine komplett andere Sache.
Moin,
Ein anderer Andatz wäre doch sicherlich, per LogonScript „irgendwo“ eine Datei hinschreiben zu lassen, die die Uhrzeit, den Client und den User protokolliert.
Nach X Tagen sollte sich da ja was tun.
Die GPO per aktivem loopback nur auf die 150 Cleibts loslassen und gut.
Am Ende eine Auswertung per Powershell o. Ä., um herauszufinden, welche Clients fehlen...
Gruß
em-pie
Ein anderer Andatz wäre doch sicherlich, per LogonScript „irgendwo“ eine Datei hinschreiben zu lassen, die die Uhrzeit, den Client und den User protokolliert.
Nach X Tagen sollte sich da ja was tun.
Die GPO per aktivem loopback nur auf die 150 Cleibts loslassen und gut.
Am Ende eine Auswertung per Powershell o. Ä., um herauszufinden, welche Clients fehlen...
Gruß
em-pie