7
Passwort Reset für HomeOffice User in Domain
Hallo Leute,
folgendes Szenario:
User arbeitet von Zuhause und meldet sich mit seinem User in Win10 in der Domain an.
Anschließend verbindet er sich mit den VPN und ist im Netzlaufwerk.
Wir nutzen Microsoft AD FS mit einem DC.
O365 mit Business Premium
Vergisst der User aber sein Win10 Passwort, muss er in das Netzlaufwerk in sein Büro fahren. Der Admin vergibt über die AD ein neues Kennwort und der User kann sich mit dem neuen Kennwort anmelden, da sich der Client im Netzlaufwerk befindet.
Ideal wäre, dass der Admin das Passwort über Azure AD ein temporäres PW vergibt. Und der User dann im HomeOffice direkt im Login-Bereich bei Windows10 das neue Passwort eintippt, und anschließend einfach selbständig wieder selbst setzt.
Das muss doch möglich sein.
Wie habt ihr das gelöst?
Wie kann ich sicherstellen, dass die veralteten cached credentials beim Windows10 Anmeldebildschirm, sich das neue Passwort aus Azure zieht?
Ist ein Wechsel von AD FS zu Pass Through Authentication vielleicht die Lösung?
Der Microsoft Support konnte mir das nicht sagen.
Danke für eure Hilfe!
Gruß
Rami
folgendes Szenario:
User arbeitet von Zuhause und meldet sich mit seinem User in Win10 in der Domain an.
Anschließend verbindet er sich mit den VPN und ist im Netzlaufwerk.
Wir nutzen Microsoft AD FS mit einem DC.
O365 mit Business Premium
Vergisst der User aber sein Win10 Passwort, muss er in das Netzlaufwerk in sein Büro fahren. Der Admin vergibt über die AD ein neues Kennwort und der User kann sich mit dem neuen Kennwort anmelden, da sich der Client im Netzlaufwerk befindet.
Ideal wäre, dass der Admin das Passwort über Azure AD ein temporäres PW vergibt. Und der User dann im HomeOffice direkt im Login-Bereich bei Windows10 das neue Passwort eintippt, und anschließend einfach selbständig wieder selbst setzt.
Das muss doch möglich sein.
Wie habt ihr das gelöst?
Wie kann ich sicherstellen, dass die veralteten cached credentials beim Windows10 Anmeldebildschirm, sich das neue Passwort aus Azure zieht?
Ist ein Wechsel von AD FS zu Pass Through Authentication vielleicht die Lösung?
Der Microsoft Support konnte mir das nicht sagen.
Danke für eure Hilfe!
Gruß
Rami
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1165048296
Url: https://administrator.de/contentid/1165048296
Printed on: May 23, 2024 at 14:05 o'clock
7 Comments
Latest comment
Hallo Rami, du schreibt ihr habt ADFS. Von wo nach wo?
Vermutlich damit sich User mit On premise AD Konten an Azure Ressourcen anmelden können, denn standardmäßig ist der User dann z.B. im O365 online immer erstmal bei @onmicrosoft.com. Dort muß erst ein Kennwort-Writeback für die Originaldomäne eingerichtet werden, ansonsten nützt einem das herzlich wenig.
Ein weiterer Weg wäre die MS Authenticator App, die Kennwörter auch von On Premise AD Konten resetten kann, aber das entsperrt keine Geräte, die offline sind.
Bei uns haben die Mitarbeiter ein lokales Not-Konto, dessen Zugangsdaten der User dann bei Bedarf erhält, falls er sich sonst garnicht mehr anmelden kann und früher (bevor es wegen Sicherheitsgründen abgestellt wurde) konnten sich User lokal auch mit einer Smartcard anmelden und ihr Konto damit resetten. Deren Pin ist statisch und das dazugehörige Zertifikat ist 3 Jahre gültig.
Bei mir selbst ist aber das Kind in den Brunnen gefallen... mein eigenes Konto war gesperrt, das Notkonto war während meines Urlaubes abgelaufen und wird nur erneuert, wenn ich eine VPN Anmeldung ins Firmennetz bewerkstellige
Also Coronatest, Maske aufsetzen und ab ins Büro. Was ca. 2 Stunden Aufwand war.
Vermutlich damit sich User mit On premise AD Konten an Azure Ressourcen anmelden können, denn standardmäßig ist der User dann z.B. im O365 online immer erstmal bei @onmicrosoft.com. Dort muß erst ein Kennwort-Writeback für die Originaldomäne eingerichtet werden, ansonsten nützt einem das herzlich wenig.
Ein weiterer Weg wäre die MS Authenticator App, die Kennwörter auch von On Premise AD Konten resetten kann, aber das entsperrt keine Geräte, die offline sind.
Bei uns haben die Mitarbeiter ein lokales Not-Konto, dessen Zugangsdaten der User dann bei Bedarf erhält, falls er sich sonst garnicht mehr anmelden kann und früher (bevor es wegen Sicherheitsgründen abgestellt wurde) konnten sich User lokal auch mit einer Smartcard anmelden und ihr Konto damit resetten. Deren Pin ist statisch und das dazugehörige Zertifikat ist 3 Jahre gültig.
Bei mir selbst ist aber das Kind in den Brunnen gefallen... mein eigenes Konto war gesperrt, das Notkonto war während meines Urlaubes abgelaufen und wird nur erneuert, wenn ich eine VPN Anmeldung ins Firmennetz bewerkstellige
Also Coronatest, Maske aufsetzen und ab ins Büro. Was ca. 2 Stunden Aufwand war.
1
Moin,
wir pushen einen Temp-User auf das Gerät, womit sich der Benutzer anmelden kann. Danach Fernwartung, VPN, Passwortreset etc., da keine Azure Anbindung gewünscht ist. Danach wird der Temp-User wieder gelöscht und der User kann weiterarbeiten.
VG
wir pushen einen Temp-User auf das Gerät, womit sich der Benutzer anmelden kann. Danach Fernwartung, VPN, Passwortreset etc., da keine Azure Anbindung gewünscht ist. Danach wird der Temp-User wieder gelöscht und der User kann weiterarbeiten.
VG
Hi Tezzla,
wir können auch einen lokalen User auf die Clients drauf puschen während eine VPN Verbindung aktiv ist, dann damit anmelden und dann ins VPN einwählen und dann Passwortreset durchführen.
Ich bin leicht irritiert mit dem Pushen des Temp-Users. Wann wird der gepusht? Wird der User im laufe des Betriebes auf die Clients gepusht? Ich wüsste nicht, wie sonst das Profil auf den Client kommt, wenn der Mitarbeiter sich bereits ausgesperrt hat?
Oder meinst du was anderes?
Wir wollen eher die Windowseigenen/Microsofteigenen Werkzeuge hierbei nutzen.
Dennoch vielen Dank für deine Nachricht.
Gruß Rami
wir können auch einen lokalen User auf die Clients drauf puschen während eine VPN Verbindung aktiv ist, dann damit anmelden und dann ins VPN einwählen und dann Passwortreset durchführen.
Ich bin leicht irritiert mit dem Pushen des Temp-Users. Wann wird der gepusht? Wird der User im laufe des Betriebes auf die Clients gepusht? Ich wüsste nicht, wie sonst das Profil auf den Client kommt, wenn der Mitarbeiter sich bereits ausgesperrt hat?
Oder meinst du was anderes?
Wir wollen eher die Windowseigenen/Microsofteigenen Werkzeuge hierbei nutzen.
Dennoch vielen Dank für deine Nachricht.
Gruß Rami
Wir machen das bei Bedarf über die Softwareverteilung, die kann auch über's WAN arbeiten ohne VPN.
Oder ihr haltet per LAPS einen Notuser direkt auf dem Gerät vor und gebt dem HomeOffice Kollegen bei Bedarf das Kennwort für seine Maschine durch.
Oder ihr haltet per LAPS einen Notuser direkt auf dem Gerät vor und gebt dem HomeOffice Kollegen bei Bedarf das Kennwort für seine Maschine durch.
Zitat von @Tezzla:
Wir machen das bei Bedarf über die Softwareverteilung, die kann auch über's WAN arbeiten ohne VPN.
Oder ihr haltet per LAPS einen Notuser direkt auf dem Gerät vor und gebt dem HomeOffice Kollegen bei Bedarf das Kennwort für seine Maschine durch.
Wir machen das bei Bedarf über die Softwareverteilung, die kann auch über's WAN arbeiten ohne VPN.
Oder ihr haltet per LAPS einen Notuser direkt auf dem Gerät vor und gebt dem HomeOffice Kollegen bei Bedarf das Kennwort für seine Maschine durch.
Hi Tezzla,
wir haben auch eine Softwareverteilung im Einsatz.
Da habe ich aber noch nicht dran gedacht, das Passwort neu zu vergeben!
Welches Tool nutzt ihr als Softwareverteilung?
Vielen Dank für die Tipps bisher.
Viele Grüße
Rami
Aagon ACMP
Wir haben hier uns eigenes LAPS nachgebaut mit einem lokalen Admin und einem lokalen User, dessen Kennwörter regelmäßig überschrieben werden. Somit steht bei Bedarf immer ein User oder ein lok. Admin zur Verfügung.
VG
Jan
Wir haben hier uns eigenes LAPS nachgebaut mit einem lokalen Admin und einem lokalen User, dessen Kennwörter regelmäßig überschrieben werden. Somit steht bei Bedarf immer ein User oder ein lok. Admin zur Verfügung.
VG
Jan
