Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Deaktivierte Computer haben weiterhin Zugriff

Mitglied: Verwurster

Verwurster (Level 1) - Jetzt verbinden

07.02.2020 um 10:10 Uhr, 587 Aufrufe, 13 Kommentare, 1 Danke

Hallo zusammen,

ich habe ein "kleines" Problem. Vorgestern habe ich etwa 150 Computerobjekte im AD deaktiviert, musste aber feststellen, dass die Nutzer trotz im AD deaktivierten Computern mehr oder weniger normal weiter arbeiten konnten. Zugriff auf Gruppenlaufwerke, Terminalserver, Mails usw. waren noch gegeben. Ich nahm an, das Deaktivieren der Computer würde dazu führen, dass der User von dem Gerät aus keinen Zugriff mehr auf die Domäne hätten, so als wäre das Benutzerobjekt deaktiviert.

Wie kann ich das verhindern?
Mitglied: Visucius
07.02.2020 um 10:13 Uhr
PW zurücksetzen?
Bitte warten ..
Mitglied: DerWoWusste
07.02.2020 um 10:19 Uhr
Hi.

Es geht hierbei um Kerberostickets, die per Default eine Lebenszeit von 10 Stunden haben, also bis zu 10 Stunden nach Deaktivierung weiter gültig sind. Das gilt für Nutzer- und Computerobjekte.

Sag doch mal genauer, warum du plötzlich so einer großen Zahl von Computern/Usern den Zugriff wegnehmen möchtest.
Bitte warten ..
Mitglied: Verwurster
07.02.2020 um 10:32 Uhr
Dank schlampiger Dokumentation, welcher Rechner an wen ausgegeben wurde und quasi fehlendem Assetmanagement, konnten die Computer nicht klar zugeordnet werden bzw. ist teilweise auch nicht bekannt, ob die Rechner überhaupt noch bei uns vorhanden sind. Ja, ich weiß....

Nachdem nun also versucht wurde die Rechner ausfindig zu machen, wurde entschieden die Geräte zu deaktivieren. Die Annahme: Wenn sie noch im Einsatz und nicht "verschwunden" sind, würden sich die User ja melden, weil sie nicht arbeiten können und wir könnten die Lücken der Dokumentation füllen. Wenn Sie aber wirklich "weg" sind, so wären sie wenigstens nicht mehr in der Lage auf die Domäne zuzugreifen und ein potentielles Risiko darzustellen.
Nun zeigt sich aber, dass weder der eine, noch der andere Zweck mit dem Deaktivieren erfüllt wird.
Bitte warten ..
Mitglied: certifiedit.net
07.02.2020 um 10:36 Uhr
Moin,

ggf. einfach auch schlicht "jeder" Freigaben und sonstiges, ich lese daraus, dass das Netz wie sonstwas aussieht?

Da hilft nur eine komplette Tiefenanalyse, zzgl. natürlich die Kommentare der Kollegen beachten.

Viele Grüße,

Christian
certifiedit.net | IT-Partner
Bitte warten ..
Mitglied: DerWoWusste
07.02.2020 um 10:46 Uhr
Wirf mal einen Blick auf das Tool pingcastle
https://www.pingcastle.com/
Damit weißt Du in weniger als 2 Minuten, welche Nutzer/Computer lange nicht mehr im Einsatz waren.
Bitte warten ..
Mitglied: Verwurster
07.02.2020 um 10:51 Uhr
Moin,

leider verstehe ich die Frage nicht so ganz. Was hat das "Aussehen" des Netzes damit zu tun, ob deaktivierte Geräte Zugriff auf die Domänenressourcen haben?
Bitte warten ..
Mitglied: Verwurster
07.02.2020 um 10:57 Uhr
Das herausfinden welcher User/Computer lang nicht im Einsatz war ist ja nicht das Problem, aber den Zugriff dieser Computer zu verhindern.

Kann man die Gültigkeitsdauer des Kerberos Tickets für eine OU (in der die deaktivierten Computerobjekte liegen) einschränken, sodass für Computer die in dieser OU liegen immer eine neue Authentifizierungsanfrage nötig ist, die entsprechend abgelehnt wird, eben weil der Computer nicht aktiv ist?
Bitte warten ..
Mitglied: SeaStorm
07.02.2020 um 10:57 Uhr
Also das liese sich ja recht einfach lösen. Am Computerobjekt steht wann sich das letzte mal da jemand dran angemeldet hat bzw auch wann sich der PC das letzte mal am AD gemeldet hat.
Alles älter als X Monate kann man ja deaktivieren/löschen.

Alle aktiven kann man per Powershell abfragen, wer sich da als letztes\die letzten X Tage angemeldet hat und den da erst mal zuordnen oder sich mit denen in Verbindung setzen und mal nachfragen wem das Ding gehört.


Zu deinem Problem: ich vermute jetzt mal, das die User Credentials noch auf dem Client gecached sind und der Rechner keine Verbindung zum AD hat. Ist dann wie bei Notebooks. Wenn das Notebook sich nicht beim AD melden kann, nimmt es die gecachten Credentials.
Prüfe mal die Netzwerkeinstellungen. Besonders den DNS
Bitte warten ..
Mitglied: DerWoWusste
07.02.2020 um 11:10 Uhr
Wenn Du tatsächlich an dem fragwürdigen Konzept "wir schalten mal alle ab und schauen, wer schreit" festhalten willst (nicht böse gemeint), dann schalte die Dinger doch Abends ab, am nächsten morgen (10 Stunden braucht das Ticket, um abzulaufen), geht dann das Schreien los.

Wenn Du mit pingcastle rausgefunden hast, wer oder was lange nicht benutzt wurde, kannst Du diese doch gezielt abschalten.
Bitte warten ..
Mitglied: Verwurster
07.02.2020 um 11:11 Uhr
Diese ganze Aktion mit dem Hinterhertelefonieren wurde gemacht, sodass aus ursprünglich 700 undokumentierten Clients schon mal nur noch 150 blieben, die unauffindbar waren.
Diese hab ich dann halt deaktiviert.

Nunja, die Computer hatten eine physische Verbindung zu unserem Netzwerk, also auch zum DC. Dass das Deaktivieren keinen Einfluss auf Geräte hat, die nicht im Netzwerk und somit ohne Verbindung zum DC haben, ist mir klar.

Ich hatte die Notebooks gegen 15 Uhr deaktiviert. Am nächsten Tag gegen 9 fragte ein Kollege, ob ich denn eine Anwendung bei ihm deinstallieren könne. Ich ging hin und stellte fest, dass meine Credentials nicht akzeptiert wurden. Kurz nachgesehen - Der Rechner war deaktiviert. Der Kollege konnte aber, obwohl die 10 Stunden Gültigkeitsdauer seines Tickets rum waren und er per LAN im Netz war, ungestört weiter arbeiten. Ob nun über Outlook, Anwendungen im Citrix, Internetzugriff, Gruppenlaufwerke usw.

Und an dem Punkt bin ich rein logisch ausgestiegen^^
Bitte warten ..
Mitglied: Verwurster
07.02.2020 um 11:18 Uhr
Ich finde die ganze Vorgehensweise auch eher schlecht, aber der Chef wollte es so. Leider hat 10 Stunden warten das Problem nicht gelöst.
Und abgesehen vom akuten Thema, sollte nunmal auch generell ein Rechner, der deaktiviert ist, nicht im Netz arbeiten dürfen.
Bitte warten ..
Mitglied: DerWoWusste
07.02.2020 um 11:27 Uhr
Mach doch mal Tests. Die Ticketlifetime kannst Du per Policy ja auch auf eine Stunde stellen (temporär) und das nach Ticketausstellung wieder ändern.

Da sich Nutzer auch an nicht-Domänen-PCs authentifizieren können, sollte klar sein, dass ein bloßes Deaktivieren der PCs im AD nicht auf die User wirkt, die bereits angemeldet sind bzw. den PC in Kernelhibernation schicken (=normales Ausschalten!).
Ob die PCs (die Systemkonten) noch auf Domänenressourcen kommen, ist eine komplett andere Sache.
Bitte warten ..
Mitglied: em-pie
07.02.2020 um 19:25 Uhr
Moin,

Ein anderer Andatz wäre doch sicherlich, per LogonScript „irgendwo“ eine Datei hinschreiben zu lassen, die die Uhrzeit, den Client und den User protokolliert.
Nach X Tagen sollte sich da ja was tun.

Die GPO per aktivem loopback nur auf die 150 Cleibts loslassen und gut.

Am Ende eine Auswertung per Powershell o. Ä., um herauszufinden, welche Clients fehlen...

Gruß
em-pie
Bitte warten ..
Ähnliche Inhalte
Windows 7

Kein Zugriff auf Netzlaufwerk möglich - Konto deaktiviert

gelöst Frage von Buddy98Windows 78 Kommentare

Hallo zusammen, aktuell absolviere ich eine Ausbildung zum Fachinformatiker. Anfang der Woche sind wir von der Firma aus zu ...

Windows Server

Keine Zugriff auf Freigaben, wenn SMB2 und SMB1 deaktiviert sind

gelöst Frage von xcaburWindows Server3 Kommentare

Hallo zusammen Ich habe hier ein Problem, welches ich mir nicht erklären kann und hoffe, dass mir jemand einen ...

Windows 7

Ereignisanzeige plötzlich deaktiviert

Frage von itazubiiWindows 72 Kommentare

Hallo liebe Community, als ich in der Ereignisanzeige unter meiner Windows 7 Maschine nach einem Fehler suchen wollte, konnte ...

Windows Server

Datei nach dem löschen weiterhin vorhanden

Frage von derBadnerWindows Server5 Kommentare

Hallo zusammen, ich habe schon in diversen Foren nach der Lösung meines Problems gesucht. Leider bin ich nicht so ...

Neue Wissensbeiträge
E-Books

Ausgewählte Rheinwerk-Bücher jetzt online lesen! Kostenfrei

Information von Maxima2005 vor 1 TagE-Books1 Kommentar

Vielleicht hat ja jemand Interesse sein Wissen zu erweitern. Ausgewählte Rheinwerk-Bücher jetzt online lesen! Grüße Max

Instant Messaging
Jitsi Meet - April Update verfügbar
Information von Frank vor 1 TagInstant Messaging4 Kommentare

Im Rahmen des April-Updates erhält Jitsi Meet mehrere interessante Features. Anwender können nun nicht mehr nur ihren Bildschirm, sondern ...

Rechtliche Fragen

Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice

Information von AnkhMorpork vor 1 TagRechtliche Fragen

Sollte bekannt sein, aber

Router & Routing
"Upgrade" Fritte 7520 zu Fritte 7530 :-)
Information von Lochkartenstanzer vor 2 TagenRouter & Routing6 Kommentare

Moin, wie sich herausgestellt hat, ist die 7520 eine per Software kastrierte Version der 7530. Per "Chiptuning", um es ...

Heiß diskutierte Inhalte
Server-Hardware
Wie viel Speicher braucht eine Wissensdatenbank für bis zu 50 User?
Frage von Mrhallo19981Server-Hardware39 Kommentare

Hallo, könnt ihr mir sagen wieviel Speicherplatz eine Wissensdatenbank braucht (die physikalisch speichert, also nicht mit einer Datenbank zusammen) ...

Festplatten, SSD, Raid
Festplatten Datenvernichtung Server
Frage von survial555Festplatten, SSD, Raid30 Kommentare

Hallo, ich habe noch ein paar alte Server, wo ich die verbauten Festplatten gerne datentechnisch "sicher" löschen möchte. Leider ...

Linux
Internetprobleme mit Wine für Linux um .exe Dateien auszuführen
Frage von WinLiCLILinux22 Kommentare

Hallo zusammen, ich möchte auf meinem debian 10 einen client für cloud-telefonie (cloud pbx) installieren, den es nur für ...

Server-Hardware
Dimensionierung Server-Hardware
Frage von MurpelServer-Hardware17 Kommentare

Moin Moin, ich möchte einen Server besorgen und aufsetzen. Auf dem Server soll Branchensoftware laufen, auf die 4-6 Nutzer ...