w-lan-kabel
Goto Top

Passwort Reset für HomeOffice User in Domain

Hallo Leute,

folgendes Szenario:
User arbeitet von Zuhause und meldet sich mit seinem User in Win10 in der Domain an.
Anschließend verbindet er sich mit den VPN und ist im Netzlaufwerk.
Wir nutzen Microsoft AD FS mit einem DC.
O365 mit Business Premium

Vergisst der User aber sein Win10 Passwort, muss er in das Netzlaufwerk in sein Büro fahren. Der Admin vergibt über die AD ein neues Kennwort und der User kann sich mit dem neuen Kennwort anmelden, da sich der Client im Netzlaufwerk befindet.

Ideal wäre, dass der Admin das Passwort über Azure AD ein temporäres PW vergibt. Und der User dann im HomeOffice direkt im Login-Bereich bei Windows10 das neue Passwort eintippt, und anschließend einfach selbständig wieder selbst setzt.
Das muss doch möglich sein.

Wie habt ihr das gelöst?
Wie kann ich sicherstellen, dass die veralteten cached credentials beim Windows10 Anmeldebildschirm, sich das neue Passwort aus Azure zieht?
Ist ein Wechsel von AD FS zu Pass Through Authentication vielleicht die Lösung?

Der Microsoft Support konnte mir das nicht sagen.

Danke für eure Hilfe!

Gruß
Rami

Content-ID: 1165048296

Url: https://administrator.de/forum/passwort-reset-fuer-homeoffice-user-in-domain-1165048296.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

149062
149062 17.08.2021 aktualisiert um 14:55:45 Uhr
Goto Top
GrueneSosseMitSpeck
GrueneSosseMitSpeck 17.08.2021 aktualisiert um 19:07:15 Uhr
Goto Top
Hallo Rami, du schreibt ihr habt ADFS. Von wo nach wo?

Vermutlich damit sich User mit On premise AD Konten an Azure Ressourcen anmelden können, denn standardmäßig ist der User dann z.B. im O365 online immer erstmal bei @onmicrosoft.com. Dort muß erst ein Kennwort-Writeback für die Originaldomäne eingerichtet werden, ansonsten nützt einem das herzlich wenig.

Ein weiterer Weg wäre die MS Authenticator App, die Kennwörter auch von On Premise AD Konten resetten kann, aber das entsperrt keine Geräte, die offline sind.

Bei uns haben die Mitarbeiter ein lokales Not-Konto, dessen Zugangsdaten der User dann bei Bedarf erhält, falls er sich sonst garnicht mehr anmelden kann und früher (bevor es wegen Sicherheitsgründen abgestellt wurde) konnten sich User lokal auch mit einer Smartcard anmelden und ihr Konto damit resetten. Deren Pin ist statisch und das dazugehörige Zertifikat ist 3 Jahre gültig.

Bei mir selbst ist aber das Kind in den Brunnen gefallen... mein eigenes Konto war gesperrt, das Notkonto war während meines Urlaubes abgelaufen und wird nur erneuert, wenn ich eine VPN Anmeldung ins Firmennetz bewerkstellige face-sad Also Coronatest, Maske aufsetzen und ab ins Büro. Was ca. 2 Stunden Aufwand war.
Tezzla
Tezzla 18.08.2021 um 11:56:50 Uhr
Goto Top
Moin,

wir pushen einen Temp-User auf das Gerät, womit sich der Benutzer anmelden kann. Danach Fernwartung, VPN, Passwortreset etc., da keine Azure Anbindung gewünscht ist. Danach wird der Temp-User wieder gelöscht und der User kann weiterarbeiten.

VG
W-Lan-Kabel
W-Lan-Kabel 20.08.2021 um 10:47:03 Uhr
Goto Top
Hi Tezzla,

wir können auch einen lokalen User auf die Clients drauf puschen während eine VPN Verbindung aktiv ist, dann damit anmelden und dann ins VPN einwählen und dann Passwortreset durchführen.

Ich bin leicht irritiert mit dem Pushen des Temp-Users. Wann wird der gepusht? Wird der User im laufe des Betriebes auf die Clients gepusht? Ich wüsste nicht, wie sonst das Profil auf den Client kommt, wenn der Mitarbeiter sich bereits ausgesperrt hat?

Oder meinst du was anderes?

Wir wollen eher die Windowseigenen/Microsofteigenen Werkzeuge hierbei nutzen.

Dennoch vielen Dank für deine Nachricht.

Gruß Rami
Tezzla
Tezzla 20.08.2021 um 16:27:56 Uhr
Goto Top
Wir machen das bei Bedarf über die Softwareverteilung, die kann auch über's WAN arbeiten ohne VPN.

Oder ihr haltet per LAPS einen Notuser direkt auf dem Gerät vor und gebt dem HomeOffice Kollegen bei Bedarf das Kennwort für seine Maschine durch.
W-Lan-Kabel
W-Lan-Kabel 31.08.2021 um 09:39:59 Uhr
Goto Top
Zitat von @Tezzla:

Wir machen das bei Bedarf über die Softwareverteilung, die kann auch über's WAN arbeiten ohne VPN.

Oder ihr haltet per LAPS einen Notuser direkt auf dem Gerät vor und gebt dem HomeOffice Kollegen bei Bedarf das Kennwort für seine Maschine durch.

Hi Tezzla,

wir haben auch eine Softwareverteilung im Einsatz.
Da habe ich aber noch nicht dran gedacht, das Passwort neu zu vergeben!
Welches Tool nutzt ihr als Softwareverteilung?

Vielen Dank für die Tipps bisher.

Viele Grüße
Rami
Tezzla
Tezzla 31.08.2021 um 10:00:21 Uhr
Goto Top
Zitat von @W-Lan-Kabel:
Welches Tool nutzt ihr als Softwareverteilung?
Aagon ACMP

Wir haben hier uns eigenes LAPS nachgebaut mit einem lokalen Admin und einem lokalen User, dessen Kennwörter regelmäßig überschrieben werden. Somit steht bei Bedarf immer ein User oder ein lok. Admin zur Verfügung.

VG
Jan