10
PC mit gecachtem Passwort nach einem gewissen Zeitraum sperren
Hallo @ll,
Wenn ein Domänen-Computer nach Zeit X nicht an der Domäne anmeldet ist das Computerkontopasswort nicht mehr synchron, der User könnte sich nicht mehr an der Domäne anmelden.
Wie sperre ich aber eine Anmeldung am PC mit gecachten Credentials der sich nicht an der Domäne anmeldet, also nur lokal arbeitet.
Kann man eine art timer setzen in dem auch das gecachte Passwort abläuft?
Danke im Vorraus.
Wenn ein Domänen-Computer nach Zeit X nicht an der Domäne anmeldet ist das Computerkontopasswort nicht mehr synchron, der User könnte sich nicht mehr an der Domäne anmelden.
Wie sperre ich aber eine Anmeldung am PC mit gecachten Credentials der sich nicht an der Domäne anmeldet, also nur lokal arbeitet.
Kann man eine art timer setzen in dem auch das gecachte Passwort abläuft?
Danke im Vorraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 423634
Url: https://administrator.de/contentid/423634
Printed on: May 6, 2024 at 06:05 o'clock
10 Comments
Latest comment
Hi
Du kannst das Kennwort am AD-Benutzer ablaufen lassen, also von vornherein so festlegen. Dann läuft das auch lokal am Rechner ab, wenn der lange nicht am AD ist.
Und im übrigen laufen Computerkonten nicht einfach so ab, wenn sie sich nicht am AD melden. Jedenfalls nicht in der Default Einstellung
ist das Computerkontopasswort nicht mehr synchron
Computerkennwörter sind nie synchron :\ Sie schütteln vielleicht synchron den Kopf über solche Sätze, aber sonst ist da nix synchron ...Du kannst das Kennwort am AD-Benutzer ablaufen lassen, also von vornherein so festlegen. Dann läuft das auch lokal am Rechner ab, wenn der lange nicht am AD ist.
Und im übrigen laufen Computerkonten nicht einfach so ab, wenn sie sich nicht am AD melden. Jedenfalls nicht in der Default Einstellung
Wenn ein Domänen-Computer nach Zeit X nicht an der Domäne anmeldet ist das Computerkontopasswort nicht mehr synchron, der User könnte sich nicht mehr an der Domäne anmelden.
Nein, das ist ein Märchen. Dieses Phänomen siehst Du nur, wenn Du einen PC aus einem Image restorest, welches zu einem Zeitpunkt angefertigt wurde, als das Computerkonto noch ein anderes Kennwort hatte (Computerkennwörter werden alle 30 Tage automatisch gewechselt) - sonst nicht.Kann man eine art timer setzen in dem auch das gecachte Passwort abläuft?
Nein.
OK, aber wie zwinge ich Benutzer die ein Laptop zuhause betreiben und sich nicht an der Domäne anmelden dazu das das Gerät wieder an die Domäne muss, also irgendwie das gecachte Passwort ablaufen lassen?
Du kannst Ihnen lediglich aufzwingen, sich immer an der Domäne anmelden zu müssen, sprich, das Caching ganz abzuschalten. Dazu muss dann zu Hause ein VPN her.
Die User sollen ihre Rechner schon ohne VPN verwenden können … aber irgendwann doch bitte mal an die Domäne anmelden um sich updates zu holen, einige Schlaumeier verwenden die Laptops nur zuhause, das soll damit etwas eingegrenzt werden.
Daher die Frage ob sich irgendwie ein Ablufdatum einbauen läst (script oder Task)
Daher die Frage ob sich irgendwie ein Ablufdatum einbauen läst (script oder Task)
Du kannst die gecachten Credentials zerstören, ja, und das auch zeitgesteuert. Aber Ich glaube nicht, dass das dann noch überhaupt mit dem logon an der Domäne funktioniert.
Lade psexec runter, öffne ein elevated command prompt und starte
psexec -s -i regedit
In regedit, gehe dann zu
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
und benenne da mal den zum User passenden Zweig um und versuche dich dann ohne Domäne anzumelden. Wird nicht gehen. Danach versuch es wieder mit Domäne - ich denke, auch das wird leider nicht gehen.
Lade psexec runter, öffne ein elevated command prompt und starte
psexec -s -i regedit
In regedit, gehe dann zu
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
und benenne da mal den zum User passenden Zweig um und versuche dich dann ohne Domäne anzumelden. Wird nicht gehen. Danach versuch es wieder mit Domäne - ich denke, auch das wird leider nicht gehen.
hmm, eine -Anmeldung am Rechner ohne ans Domänennetz zu gehen würde ja ewig gehen (mit gleichem Passwort), wenn ich aber an der Domäne bin, werde ich ja gezwungen mein Passwort entsprechend der Policies zu ändern, ist da nicht ein Ansatz wo man sagen kann, ich "zerstöre" das gecachte Passwort, habe ich aber einen physikalischen zugang zum Domänennetz kann ich mein Passwort neu setzZn?
Den lege ich dir ja gerade offen - es ist nicht anders vorgesehen.
Dein Anliegen ist selten. Will man Leute offline arbeiten lassen, oder nicht - Du willst beides. Das ist nicht vorgesehen.
Dein Anliegen ist selten. Will man Leute offline arbeiten lassen, oder nicht - Du willst beides. Das ist nicht vorgesehen.
Zitat von @DerWoWusste:
Wenn ein Domänen-Computer nach Zeit X nicht an der Domäne anmeldet ist das Computerkontopasswort nicht mehr synchron, der User könnte sich nicht mehr an der Domäne anmelden.
Nein, das ist ein Märchen. Dieses Phänomen siehst Du nur, wenn Du einen PC aus einem Image restorest, welches zu einem Zeitpunkt angefertigt wurde, als das Computerkonto noch ein anderes Kennwort hatte (Computerkennwörter werden alle 30 Tage automatisch gewechselt) - sonst nicht.Kann man eine art timer setzen in dem auch das gecachte Passwort abläuft?
Nein.Habe ich gerade noch mit zwei Rechner nachvollziehen können. Auf dem einen das alte Kennwort. Auf dem anderen das neue Kennwort.
Der alte hat drei Neustarts gebraucht um das zu synchronisierieren.
Dein Kommentar ist verwirrend. Es geht hier nicht um Nutzerkennwörter.
