Passwort Reset für HomeOffice User in Domain
Hallo Leute,
folgendes Szenario:
User arbeitet von Zuhause und meldet sich mit seinem User in Win10 in der Domain an.
Anschließend verbindet er sich mit den VPN und ist im Netzlaufwerk.
Wir nutzen Microsoft AD FS mit einem DC.
O365 mit Business Premium
Vergisst der User aber sein Win10 Passwort, muss er in das Netzlaufwerk in sein Büro fahren. Der Admin vergibt über die AD ein neues Kennwort und der User kann sich mit dem neuen Kennwort anmelden, da sich der Client im Netzlaufwerk befindet.
Ideal wäre, dass der Admin das Passwort über Azure AD ein temporäres PW vergibt. Und der User dann im HomeOffice direkt im Login-Bereich bei Windows10 das neue Passwort eintippt, und anschließend einfach selbständig wieder selbst setzt.
Das muss doch möglich sein.
Wie habt ihr das gelöst?
Wie kann ich sicherstellen, dass die veralteten cached credentials beim Windows10 Anmeldebildschirm, sich das neue Passwort aus Azure zieht?
Ist ein Wechsel von AD FS zu Pass Through Authentication vielleicht die Lösung?
Der Microsoft Support konnte mir das nicht sagen.
Danke für eure Hilfe!
Gruß
Rami
folgendes Szenario:
User arbeitet von Zuhause und meldet sich mit seinem User in Win10 in der Domain an.
Anschließend verbindet er sich mit den VPN und ist im Netzlaufwerk.
Wir nutzen Microsoft AD FS mit einem DC.
O365 mit Business Premium
Vergisst der User aber sein Win10 Passwort, muss er in das Netzlaufwerk in sein Büro fahren. Der Admin vergibt über die AD ein neues Kennwort und der User kann sich mit dem neuen Kennwort anmelden, da sich der Client im Netzlaufwerk befindet.
Ideal wäre, dass der Admin das Passwort über Azure AD ein temporäres PW vergibt. Und der User dann im HomeOffice direkt im Login-Bereich bei Windows10 das neue Passwort eintippt, und anschließend einfach selbständig wieder selbst setzt.
Das muss doch möglich sein.
Wie habt ihr das gelöst?
Wie kann ich sicherstellen, dass die veralteten cached credentials beim Windows10 Anmeldebildschirm, sich das neue Passwort aus Azure zieht?
Ist ein Wechsel von AD FS zu Pass Through Authentication vielleicht die Lösung?
Der Microsoft Support konnte mir das nicht sagen.
Danke für eure Hilfe!
Gruß
Rami
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1165048296
Url: https://administrator.de/forum/passwort-reset-fuer-homeoffice-user-in-domain-1165048296.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo Rami, du schreibt ihr habt ADFS. Von wo nach wo?
Vermutlich damit sich User mit On premise AD Konten an Azure Ressourcen anmelden können, denn standardmäßig ist der User dann z.B. im O365 online immer erstmal bei @onmicrosoft.com. Dort muß erst ein Kennwort-Writeback für die Originaldomäne eingerichtet werden, ansonsten nützt einem das herzlich wenig.
Ein weiterer Weg wäre die MS Authenticator App, die Kennwörter auch von On Premise AD Konten resetten kann, aber das entsperrt keine Geräte, die offline sind.
Bei uns haben die Mitarbeiter ein lokales Not-Konto, dessen Zugangsdaten der User dann bei Bedarf erhält, falls er sich sonst garnicht mehr anmelden kann und früher (bevor es wegen Sicherheitsgründen abgestellt wurde) konnten sich User lokal auch mit einer Smartcard anmelden und ihr Konto damit resetten. Deren Pin ist statisch und das dazugehörige Zertifikat ist 3 Jahre gültig.
Bei mir selbst ist aber das Kind in den Brunnen gefallen... mein eigenes Konto war gesperrt, das Notkonto war während meines Urlaubes abgelaufen und wird nur erneuert, wenn ich eine VPN Anmeldung ins Firmennetz bewerkstellige Also Coronatest, Maske aufsetzen und ab ins Büro. Was ca. 2 Stunden Aufwand war.
Vermutlich damit sich User mit On premise AD Konten an Azure Ressourcen anmelden können, denn standardmäßig ist der User dann z.B. im O365 online immer erstmal bei @onmicrosoft.com. Dort muß erst ein Kennwort-Writeback für die Originaldomäne eingerichtet werden, ansonsten nützt einem das herzlich wenig.
Ein weiterer Weg wäre die MS Authenticator App, die Kennwörter auch von On Premise AD Konten resetten kann, aber das entsperrt keine Geräte, die offline sind.
Bei uns haben die Mitarbeiter ein lokales Not-Konto, dessen Zugangsdaten der User dann bei Bedarf erhält, falls er sich sonst garnicht mehr anmelden kann und früher (bevor es wegen Sicherheitsgründen abgestellt wurde) konnten sich User lokal auch mit einer Smartcard anmelden und ihr Konto damit resetten. Deren Pin ist statisch und das dazugehörige Zertifikat ist 3 Jahre gültig.
Bei mir selbst ist aber das Kind in den Brunnen gefallen... mein eigenes Konto war gesperrt, das Notkonto war während meines Urlaubes abgelaufen und wird nur erneuert, wenn ich eine VPN Anmeldung ins Firmennetz bewerkstellige Also Coronatest, Maske aufsetzen und ab ins Büro. Was ca. 2 Stunden Aufwand war.
Aagon ACMP
Wir haben hier uns eigenes LAPS nachgebaut mit einem lokalen Admin und einem lokalen User, dessen Kennwörter regelmäßig überschrieben werden. Somit steht bei Bedarf immer ein User oder ein lok. Admin zur Verfügung.
VG
Jan
Wir haben hier uns eigenes LAPS nachgebaut mit einem lokalen Admin und einem lokalen User, dessen Kennwörter regelmäßig überschrieben werden. Somit steht bei Bedarf immer ein User oder ein lok. Admin zur Verfügung.
VG
Jan