6
Gecachtes Domänenprofil bei Admin-Nutzung vorübergehend nicht mehr zu gebrauchen
Ich untersuche gerade die Abschaffung von lokalen Profilen auf Notebooks, um nur noch mit den gecachten Domänen-Profilen zu arbeiten.
Folgendes Problem habe ich beobachtet:
Meldet sich ein Domänen-User außerhalb des Netzwerkes an seinem Notebook an, wird das sogenannte gecachte Profil geladen.
Sperrt der User den Desktop (z.B. in der Pause) und ein Techniker mit lokalen Adminrechten entsperrt den Rechner. Der momentane User wird aus der laufenden Windows-Sitzung herausgeschmissen. Der Techniker meldet sich an, installiert eine Software und rebootet das Notebook.
Anschließend ist eine Anmeldung mit dem gecachten Domänen-Profil nicht mehr möglich.
Erst wenn wieder eine Verbindung mit der Domäne besteht, ist das Profil wieder "repariert".
Habt Ihr eine Lösung wie man das gecachte Profil wiederbelebt (ohne Domänenverbindung) oder wie man es generell verhindert (Einstellung, Registry etc.)?
Hoffe auf Eure Hilfe.
Vielen Dank für die Antwort.
Folgendes Problem habe ich beobachtet:
Meldet sich ein Domänen-User außerhalb des Netzwerkes an seinem Notebook an, wird das sogenannte gecachte Profil geladen.
Sperrt der User den Desktop (z.B. in der Pause) und ein Techniker mit lokalen Adminrechten entsperrt den Rechner. Der momentane User wird aus der laufenden Windows-Sitzung herausgeschmissen. Der Techniker meldet sich an, installiert eine Software und rebootet das Notebook.
Anschließend ist eine Anmeldung mit dem gecachten Domänen-Profil nicht mehr möglich.
Erst wenn wieder eine Verbindung mit der Domäne besteht, ist das Profil wieder "repariert".
Habt Ihr eine Lösung wie man das gecachte Profil wiederbelebt (ohne Domänenverbindung) oder wie man es generell verhindert (Einstellung, Registry etc.)?
Hoffe auf Eure Hilfe.
Vielen Dank für die Antwort.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 119422
Url: https://administrator.de/contentid/119422
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo luckyhipo,
auch ich möchte mich in die Reihen derer stellen die sich über eine Begüßung/Anrede freuen würden.
Zu Deinem Problem:
Es gibt in den Gruppenrichtlinien eine Einstellung wieviele Anmeldungen auf einem Rechner gecacht werden.
Wenn diese Einstellung auf 1 steht, passiert genau das was Du beschrieben hast.
Wenn ihr diese Einstellung korrigiert und die Gruppenrichtlinien neu drüber laufen lasst sollte es gehen.
Gruss,
Destry
auch ich möchte mich in die Reihen derer stellen die sich über eine Begüßung/Anrede freuen würden.
Zu Deinem Problem:
Es gibt in den Gruppenrichtlinien eine Einstellung wieviele Anmeldungen auf einem Rechner gecacht werden.
Wenn diese Einstellung auf 1 steht, passiert genau das was Du beschrieben hast.
Wenn ihr diese Einstellung korrigiert und die Gruppenrichtlinien neu drüber laufen lasst sollte es gehen.
Gruss,
Destry
Anschließend ist eine Anmeldung mit dem gecachten Domänen-Profil nicht mehr möglich
...und dazu gehört eine aufschlussreiche Fehlermeldung, die Du uns leider vorenthältst.Die Vermutung ist in der Tat die, dass ihr eine Policy einsetzt, die Kennworthashes (nicht Profile!) zwischenspeichert und dabei auf einen Hash beschränkt habt. Meldet sich der Servicet. an, wird sein Hash gespeichert - der des Nutzers somit überschrieben. Da hilft nur, den Wert auf zwei zu setzen.
Um welche Policy es geht? Google nach cachedlogonscount
Hallo an ALLE!!!
(Sorry, bin etwas durcheinander...die Hitze...der Stress...die Arbeit...)
Vielen Dank für die Antworten.
Werde es ausprobieren.
@DerWoWusste
Die Fehlermeldung lautet:
The system could not log on. Make sure your user name and domain are correct, then type your passwort again. Letters in passwords must be typed using the correct case.
(Das Passwort und die User-ID sind ok.)
(Sorry, bin etwas durcheinander...die Hitze...der Stress...die Arbeit...)
Vielen Dank für die Antworten.
Werde es ausprobieren.
@DerWoWusste
Die Fehlermeldung lautet:
The system could not log on. Make sure your user name and domain are correct, then type your passwort again. Letters in passwords must be typed using the correct case.
(Das Passwort und die User-ID sind ok.)
Ich habe inzwischen nach cachedlogonscount gegoogelt und bin dabei über den Begriff "forceunlocklogon" gestoßen (http://support.microsoft.com/kb/329885/de). In dem Microsoft-Artikel wird ziemlich genau das beschrieben, was unser Problem ist.
Leider steht der Wert bei uns auf "0", so dass es bei uns nicht in Frage kommt.
Daher bitte noch mal die Frage: Wie kann ich es verhindern?
Leider steht der Wert bei uns auf "0", so dass es bei uns nicht in Frage kommt.
Daher bitte noch mal die Frage: Wie kann ich es verhindern?
Die Fehlermeldung passt nicht zu dem, was Du beschreibst. Ginge es um gecachte Profile, würde sie lauten: "Das System konnte Sie nicht anmelden, da die Domäne xy nicht zur Verfügung steht".
Deine Meldung kann nur von inkorrekten Logindaten kommen - oder von einem seltsamen Fehler, der tiefer liegt.
Und cachedlogonscount (und die entsprechende Policy) - haben welchen Wert?
Deine Meldung kann nur von inkorrekten Logindaten kommen - oder von einem seltsamen Fehler, der tiefer liegt.
Und cachedlogonscount (und die entsprechende Policy) - haben welchen Wert?
Der Wert ist bei "10".
Falsche Login-Daten kann ausgeschlossen werden, weil dieses "Problem" schon an mehreren Stellen aufgetreten ist und ich in einem Fall das Passwort Buchstabe für Buchstabe eingegeben habe...und den Test mehrfach durchgeführt habe.
Andere Vorschläge?
Falsche Login-Daten kann ausgeschlossen werden, weil dieses "Problem" schon an mehreren Stellen aufgetreten ist und ich in einem Fall das Passwort Buchstabe für Buchstabe eingegeben habe...und den Test mehrfach durchgeführt habe.
Andere Vorschläge?
