3
Netzlaufwerke können nicht verbunden werden wenn Benutzer ein neues Kennwort setzen muss
Hallo Community!
Wir haben einige PC die mit einem Standard-User unter Windows 7 Prof. automatisch angemeldet hochfahren.
Bei Bedarf können Netzlaufwerke mit eigenen Domain-Benutzernamen und Passwörtern verbunden werden um Zugriff auf Serverdateien zu bekommen.
Zum Schluss werden die Verbndungen wieder komplett aufgelöst und beim Neustart wird die Partition mit PC-Sheriff wieder auf einen Grundzustand gebracht.
Dadurch ersparen wir uns haufenweise Profile und Registry-Einträge für die ca. 70 verschiedenen Lehrer, die sich nacheinander an den PCs aufhalten.
Bisher hatten wir jahrelang keine Probleme mit dieser Lösung, weil wir die Passworte administrativ eingetragen hatten. Nun sollen die Passwörter aber nicht mehr durch den Admin vorgegeben werden, sondern als Benutzergeheimnis von jedem selbst.
Das Problem ist nun, dass alle Benutzer per Kontoeinstellungen in der Domain zur Kennwortänderung aufgefordert werden sollen. Die Benutzer melden sich ja nicht interaktiv an einer Windows-Sitzung an, sondern verbinden nur immer ihre Netzlaufwerke. Und genau das klappt nicht mehr, wenn der Benutzer sein Passwort aufgrund der Kontoeinstellung neu einstellen soll.
Ich würde das zwar per Script lösen können, aber wie stelle ich fest, ob der Benutzer sich mit seinem korrekten alten Passwort anmeldet?
Ohne die bisherige Authentifizierung kann ich nicht einfach ein neues Passwort per dsmod-Befehl in die Domain eintragen. Das wäre eine fatale Sicherheitslücke.
Eigentlich müsste die Änderung im Kontext des Benutzers gemacht werden, aber der Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" lässt keine reguläre Anmeldung mehr zu.
Evtl. muss ich die Zwangsaufforderung für diese Benutzer raus nehmen, aber wie kann ich dann sicherstellen, dass sie tatsächlich zweimal pro Jahr ihr Passwort ändern?
Hoffentlich kann mir da jemand einen Tipp geben.
Wir haben einige PC die mit einem Standard-User unter Windows 7 Prof. automatisch angemeldet hochfahren.
Bei Bedarf können Netzlaufwerke mit eigenen Domain-Benutzernamen und Passwörtern verbunden werden um Zugriff auf Serverdateien zu bekommen.
Zum Schluss werden die Verbndungen wieder komplett aufgelöst und beim Neustart wird die Partition mit PC-Sheriff wieder auf einen Grundzustand gebracht.
Dadurch ersparen wir uns haufenweise Profile und Registry-Einträge für die ca. 70 verschiedenen Lehrer, die sich nacheinander an den PCs aufhalten.
Bisher hatten wir jahrelang keine Probleme mit dieser Lösung, weil wir die Passworte administrativ eingetragen hatten. Nun sollen die Passwörter aber nicht mehr durch den Admin vorgegeben werden, sondern als Benutzergeheimnis von jedem selbst.
Das Problem ist nun, dass alle Benutzer per Kontoeinstellungen in der Domain zur Kennwortänderung aufgefordert werden sollen. Die Benutzer melden sich ja nicht interaktiv an einer Windows-Sitzung an, sondern verbinden nur immer ihre Netzlaufwerke. Und genau das klappt nicht mehr, wenn der Benutzer sein Passwort aufgrund der Kontoeinstellung neu einstellen soll.
Ich würde das zwar per Script lösen können, aber wie stelle ich fest, ob der Benutzer sich mit seinem korrekten alten Passwort anmeldet?
Ohne die bisherige Authentifizierung kann ich nicht einfach ein neues Passwort per dsmod-Befehl in die Domain eintragen. Das wäre eine fatale Sicherheitslücke.
Eigentlich müsste die Änderung im Kontext des Benutzers gemacht werden, aber der Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" lässt keine reguläre Anmeldung mehr zu.
Evtl. muss ich die Zwangsaufforderung für diese Benutzer raus nehmen, aber wie kann ich dann sicherstellen, dass sie tatsächlich zweimal pro Jahr ihr Passwort ändern?
Hoffentlich kann mir da jemand einen Tipp geben.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 295048
Url: https://administrator.de/contentid/295048
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo.
Ich würde die PCs trotz PC-Sheriff in die Domäne aufnehmen. Das Ändern des Kennworts ist ja ein interaktiver Vorgang mit dem DC, stört sich also nicht daran, daß die Kisten danach mittels PC-Sheriff wieder zurückgesetzt werden. Meine Instruktion an den "Lee(h)rkörper"
sähe so aus:
- 1. Melden Sie sich bitte im ersten Schritt mit Ihrem Domänenbenutzer (lehrername@domaene.local) an (falls das PWD abgelaufen ist, muß er das dann selbst ändern).
- 2. Bitte in dieser Kennung nicht arbeiten, sondern danach sogleich wieder abmelden!
- 3. Melden Sie sich anschließend mit der Ihnen bekannten, lokalen Kennung (z. B. HOSTNAME\lokalerAccount) an
- 4. in dieser Kennung können Sie nun arbeiten, falls Sie Netzwerkressourcen benötigen, verbinden Sie sich Ihre benötigten Netzlaufwerke bitte wie gewohnt
Die automatische Anmeldung des lokalen Accounts kannst Du dann natürlich nicht fortführen (sonst können die nie die Domänenanmeldung durchführen), setz' halt ein immer gleiches Standardpasswort für alle in derart betroffenen PCs und teile es den betroffenen Lehrern mit.
Die Lehrer werden erstmal meckern, aber wenn die Domänenanmeldung (Schritt 1) keinerlei Ressourcen außer der Verbindung zur Domäne zieht, sollte das schnell durch sein.
Wenn Du die betroffenen Rechner partout nicht in die Domäne aufnehmen willst: Stell' ein paar Domänenrechner ins Lehrerzimmer und weise die Lehrer an, sich morgens früh einmal an- und danach gleich wieder abzumelden (so, als müßten sie in einem normalen Beruf frühmorgens nach Eintreffen die Stempelkarte an der Zeituhr durchziehen). Du mußt halt irgendwie einmal täglich die ggf. bestehende Passworthürde nehmen.
Viele Grüße
von
departure69
Ich würde die PCs trotz PC-Sheriff in die Domäne aufnehmen. Das Ändern des Kennworts ist ja ein interaktiver Vorgang mit dem DC, stört sich also nicht daran, daß die Kisten danach mittels PC-Sheriff wieder zurückgesetzt werden. Meine Instruktion an den "Lee(h)rkörper"
sähe so aus:- 1. Melden Sie sich bitte im ersten Schritt mit Ihrem Domänenbenutzer (lehrername@domaene.local) an (falls das PWD abgelaufen ist, muß er das dann selbst ändern).
- 2. Bitte in dieser Kennung nicht arbeiten, sondern danach sogleich wieder abmelden!
- 3. Melden Sie sich anschließend mit der Ihnen bekannten, lokalen Kennung (z. B. HOSTNAME\lokalerAccount) an
- 4. in dieser Kennung können Sie nun arbeiten, falls Sie Netzwerkressourcen benötigen, verbinden Sie sich Ihre benötigten Netzlaufwerke bitte wie gewohnt
Die automatische Anmeldung des lokalen Accounts kannst Du dann natürlich nicht fortführen (sonst können die nie die Domänenanmeldung durchführen), setz' halt ein immer gleiches Standardpasswort für alle in derart betroffenen PCs und teile es den betroffenen Lehrern mit.
Die Lehrer werden erstmal meckern, aber wenn die Domänenanmeldung (Schritt 1) keinerlei Ressourcen außer der Verbindung zur Domäne zieht, sollte das schnell durch sein.
Wenn Du die betroffenen Rechner partout nicht in die Domäne aufnehmen willst: Stell' ein paar Domänenrechner ins Lehrerzimmer und weise die Lehrer an, sich morgens früh einmal an- und danach gleich wieder abzumelden (so, als müßten sie in einem normalen Beruf frühmorgens nach Eintreffen die Stempelkarte an der Zeituhr durchziehen). Du mußt halt irgendwie einmal täglich die ggf. bestehende Passworthürde nehmen.
Viele Grüße
von
departure69
moin,
wie der vorredner schon erwähnt hat: wenn der/die rechner in der domäne wäre(n), dann kann man sich schnell ein powershellskript ergooglen.
problem ist aber, dass ein DC einem rechner, der nicht mitglied in der domäne ist, schlichtweg nicht vertraut. hab da zwei sehr interessante dinge gefunden:
https://blogs.technet.microsoft.com/heyscriptingguy/2013/11/29/remoting- ...
ggf. sogar einfacher:
https://technet.microsoft.com/en-us/magazine/ff700227.aspx
in beiden fällen darauf achten, nur den maschinen vertrauen, auf denen die problematik besteht, nicht wildcard * verwenden.
viel spass beim tüfteln.
hau rein!
wie der vorredner schon erwähnt hat: wenn der/die rechner in der domäne wäre(n), dann kann man sich schnell ein powershellskript ergooglen.
problem ist aber, dass ein DC einem rechner, der nicht mitglied in der domäne ist, schlichtweg nicht vertraut. hab da zwei sehr interessante dinge gefunden:
https://blogs.technet.microsoft.com/heyscriptingguy/2013/11/29/remoting- ...
ggf. sogar einfacher:
https://technet.microsoft.com/en-us/magazine/ff700227.aspx
in beiden fällen darauf achten, nur den maschinen vertrauen, auf denen die problematik besteht, nicht wildcard * verwenden.
viel spass beim tüfteln.
hau rein!
Zitat von @departure69:
- 2. Bitte in dieser Kennung nicht arbeiten, sondern danach sogleich wieder abmelden!
- 2. Bitte in dieser Kennung nicht arbeiten, sondern danach sogleich wieder abmelden!
Und um den Schritt zu vermeiden, einfach ein Skript in den Autostart packen, was den User sofort wieder abmeldet
1
