willywonka
Goto Top

PC noch in Domäne aber nicht im Domänen Netzwerk - läuft Passwort trotzdem ab ?

Hallo Leute,

habe mich gerade extra für diese Frage hier angemeldet.

Also mein Problem habe ich oben schon geschildert. Es war nämlich so das unsere Geschäftsführer seinen jetztigen PC den er in der Firma verwendet hat gerne nach Hause mit nehmen möchte, weil eine Software die am jetztigen PC installiert ist nicht mehr auf Win 8 funktioniert.

Das blöde ist halt, wenn ich den Client aus der Domäne entferne bleibt das bestehende User Profil ja nicht aktiviert. Das heißt alle Einstellungen sind futsch.Das möchte ich aufjedenfall umgehen.

Standartmäßig muss man in unserer Domäne alle 6 Monate das Passwort ändern.

Server 2008 R2 und der Rechner ist ein XP Rechner.

Hoffe man versteht was ich meine, danke schon mal.

MFG
Flo

Content-ID: 226189

Url: https://administrator.de/contentid/226189

Ausgedruckt am: 26.11.2024 um 15:11 Uhr

goscho
Lösung goscho 09.01.2014 aktualisiert um 10:32:41 Uhr
Goto Top
Moin Flo,

wenn du den PC physikalisch von der Domäne trennst, ohne ihn aus der Domäne zu entfernen, zieht dieser beim Starten keine GPOs mehr vom Server, da er auf diese keinen Zugriff hat.
AFAIK kommt dann auch keinen Passwortänderungsabfrage.

Ob du den dann bei dir aus dem AD rauswirfst oder nicht, hat so lange keine Bewandtnis, wie dieser Client nicht mit dem Firmennetzwerk verbunden wird.

Das blöde ist halt, wenn ich den Client aus der Domäne entferne bleibt das bestehende User Profil ja nicht aktiviert. Das heißt alle Einstellungen sind futsch.Das möchte ich aufjedenfall umgehen.
Man kann aber auch den Client aus der Domäne entfernen und das Profil übernehmen. Dies geht händisch oder mit Tools (bspw.User Profil Wizzard).
Ich habe damit zwar bisher nur den Weg in die andere Richtung genutzt (Arbeitsgruppe in Domäne) sollte aber auch so gehen.


Edit: Ich habe bei Leuten schon PCs gesehen, die vor Jahren in der Firma ausgemustert wurden und trotzdem noch mit der Domänenanmeldung und den Cached Credentials benutzt wurden. Oft waren dort auch alle Programme aus der Firma noch installiert.
WillyWonka
WillyWonka 09.01.2014 um 09:34:32 Uhr
Goto Top
Vielen Dank für die Antwort face-smile

Das heißt jetzt das das jetztige Passwort theoretisch für immer das bleibt das es jetzt ist ? Sobald er wieder im Domänen Netzwerk ist zieht er die GPO und verlangt dann das neue Passwort, richtig ?

Dachte mir vielleicht das ist in der Registry hinterlegt.
Lochkartenstanzer
Lösung Lochkartenstanzer 09.01.2014 aktualisiert um 10:32:44 Uhr
Goto Top
Zitat von @goscho:

Edit: Ich habe bei Leuten schon PCs gesehen, die vor Jahren in der Firma ausgemustert wurden und trotzdem noch mit der
Domänenanmeldung und den Cached Credentials benutzt wurden. Oft waren dort auch alle Programme aus der Firma noch
installiert.

Ja, habe ich auch schon gesehen. Wenn aus irgendeinem grund mal die credentials weg sind und die sich nciht mehr anmelden könne, wird dann um Hilfe gerufen. deswegen biete ich den Firmen auch als Dienstleistung "Platte putzen" für ausgemusterte PCs an. face-smile

lks

PS: Man sollte gar nicht glauben, wie leichfertig manche Firmen mit Ihren Firmendaten umgehen. face-sad
goscho
Lösung goscho 09.01.2014 aktualisiert um 10:32:51 Uhr
Goto Top
Zitat von @WillyWonka:

Vielen Dank für die Antwort face-smile
Bitte gerne doch.
Das heißt jetzt das das jetztige Passwort theoretisch für immer das bleibt das es jetzt ist ? Sobald er wieder im
Domänen Netzwerk ist zieht er die GPO und verlangt dann das neue Passwort, richtig ?
Falsch, du hast den PC doch aus dem AD entfernt.
Also wird er erst einmal neu in die Domäne aufgenommen werden müssen
Dachte mir vielleicht das ist in der Registry hinterlegt.
Nein, diese Infos zieht sich der PCs von den GPOs. Da er keine physikalische Verbindung zu einem DC hat, zieht er diese GPOs auch nicht.
Wenn nichts komisches passiert, kann er sich noch sehr lange an diesem PC mit dem alten Kennwort anmelden.

Auch wenn es sich um den Chef handelt, würde ich trotzdem den PC sauber aus der Domäne entfernen und alles so einrichten, dass die Firma später keinen Schaden nimmt.
WillyWonka
WillyWonka 09.01.2014 um 10:01:28 Uhr
Goto Top
Nein, ich glaub ich habe das jetzt falsch erläutert :D

Also der PC wird von Ihm mit nachhause genommen. Das heißt im einfachen wir haben den einfach abgesteckt und bei ihm zuhause aufgestellt.
In der Domäne ist der PC noch wie wir ihn abgesteckt haben.

Ich hoffe man versteht was ich meine face-smile

(Bezüglich Firmendaten habe ich ihn darauf angesprochen, meinte er wolle damit nicht ins Internet - seine Sache)
Ausserwoeger
Lösung Ausserwoeger 09.01.2014 aktualisiert um 10:32:53 Uhr
Goto Top
Hi

Dann läuft der Rechner so weiter wie er jetzt ist bis der chef ihn wieder mit in die Firma bringt.
Wenn du das Computerkonto nicht aus dem AD entfernst.
Wenn du nicht möchtest das dein chef wieder ins Firmennetzwerk kann mit diesem PC wenn er ihn mitbringt weil er ja Viren oder sonstigen müll mitbringen könnte kannst du das Computerkonto auch aus dem AD entfernen dann bekommt er selbst wenn er den PC firmenintern verwendet keine Passwortänderungsanfrage weil keine GPOs übernommen werden.

LG Andy
goscho
Lösung goscho 09.01.2014 aktualisiert um 10:32:54 Uhr
Goto Top
Zitat von @WillyWonka:

Nein, ich glaub ich habe das jetzt falsch erläutert :D

Also der PC wird von Ihm mit nachhause genommen. Das heißt im einfachen wir haben den einfach abgesteckt und bei ihm zuhause
aufgestellt.
In der Domäne ist der PC noch wie wir ihn abgesteckt haben.

Ich hoffe man versteht was ich meine face-smile
Nein, wir haben dich schon richtig verstanden und wollten dich darauf hinweisen, dass es nicht im Sinne der Firma ist, wenn die Daten bei Mitarbeitern zu Hause landen (außer es sind Heimarbeiter oder Firmeninhaber)
(Bezüglich Firmendaten habe ich ihn darauf angesprochen, meinte er wolle damit nicht ins Internet - seine Sache)
Was hat den das Internet mit den Firmendaten zu tun?

Oft sind dort Programme installiert, welche teuer zu lizenzieren sind. Meistens werden beim PC-Wechsel diese Lizenzen auf dem Nachfolge-PC weitergenutzt.
Auf dem auszumusternden PC dürften diese dann nicht mehr laufen.
Dann sind fast immer auch firmenrelevante Daten auf den PCs (gerade wenn deren User höhere Positionen haben).
Das diese nicht in falschen Händen landen, kann man glauben, muss man aber nicht.

Was, wenn der Geschäftsführer ein normaler Angestellter ist und ein paar Wochen später zu einem Konkurrenten wechselt?
WillyWonka
WillyWonka 09.01.2014 um 10:32:27 Uhr
Goto Top
Vielen Dank euch allen !! face-smile)

@goscho

Ja das könnte schon sein, nur wenn mir der 2te Firmenchef sagt das er das möchte, und ich ihm die Gefahren schon erläutert habe werde ich nicht mit ihm diskutieren :D
Soll er machen wie er das möchte face-smile)

Danke euch für die Infos, tolles Forum face-smile)
muftypeter
muftypeter 09.01.2014 um 12:11:26 Uhr
Goto Top
Hallo,
gerade bei Chefs sollte sich ein Sicherheitsbedürfnis entwicken. Das OS XP wird sehr bald nicht mehr vom Hersteller gepflegt, hier tun sich bald Lücken auf und die Aussage bezüglich WWW möchte ich gerne glauben.


Peter
goscho
goscho 09.01.2014 um 12:35:58 Uhr
Goto Top
Zitat von @muftypeter:

Hallo,
gerade bei Chefs sollte sich ein Sicherheitsbedürfnis entwicken. Das OS XP wird sehr bald nicht mehr vom Hersteller gepflegt,
hier tun sich bald Lücken auf und die Aussage bezüglich WWW möchte ich gerne glauben.
Dazu benötigt man aber kein altes XP, das hat man mit so ziemlich jedem System, egal von welchem Hersteller und egal wie jung.
Chonta
Chonta 09.01.2014 um 17:57:43 Uhr
Goto Top
Hallo,

wenn für die Domänenbenutzerkonten Passwortverfall eingestellt ist, wird dem Domänenprofil vom Chefe irgendwann das Passwort ablaufen oder die Anzahl der zwischengespeicherten Anmeldungen wird aufgebraucht und und und. (Jehnachdem was für GPO gelten und die hat er ja schonmal gezogen).

Das Computerkonto kann auslaufen ok, aber wenn der PC nie wieder in die Domäne kommt, egal.

Aber warum richtest Du nicht einfach ein neues Lokales Profil ein und kopierst die Profileinstellungen (nicht über den Explorer sondern so wie es vorgesehen ist) auf das neue Profil?
Dann hat Cefe alle einstelungen und du kannst den PC sauber aus dem AD entfernen.

Gruß

Chonta
83237
83237 09.01.2014 um 22:50:55 Uhr
Goto Top
Wenn ein Domänen PC aus dem Domänen Netzwerk entfernt wird,nicht aber aus der Domäne,so hat der selbstverständlich noch die GPOs der Domäne.

Wenn jetzt die Passwortrichtlinie vorgibt,dass ein Kennwort nach 42 Tagen geändert werden muss,dann greift diese.

Wenn die Richtlinie aus welchen gründen auch immer nicht mehr greifen sollte oder so Konfiguriert ist,dass das Kennwort nicht abläuft, so greift aber mal zumindest eine andere Richtlinie,die dem Nutzer das leben versüßt und diese besagt,dass wenn x Anmeldungen am PC vorgenommen wurden,ohne einen Kontakt zu einem DC zu haben,dann ist mal nix mehr mit Anmelden.
Ausserwoeger
Ausserwoeger 10.01.2014 aktualisiert um 10:21:08 Uhr
Goto Top
Zitat von @83237:

Wenn ein Domänen PC aus dem Domänen Netzwerk entfernt wird,nicht aber aus der Domäne,so hat der
selbstverständlich noch die GPOs der Domäne.

Wenn jetzt die Passwortrichtlinie vorgibt,dass ein Kennwort nach 42 Tagen geändert werden muss,dann greift diese.

Wenn die Richtlinie aus welchen gründen auch immer nicht mehr greifen sollte oder so Konfiguriert ist,dass das Kennwort nicht
abläuft, so greift aber mal zumindest eine andere Richtlinie,die dem Nutzer das leben versüßt und diese
besagt,dass wenn x Anmeldungen am PC vorgenommen wurden,ohne einen Kontakt zu einem DC zu haben,dann ist mal nix mehr mit
Anmelden.

Hi

Was passiert wenn man die Lokalen Sicherheitsrichtlinien entsprechend anpasst wenn der PC nicht mehr in die Domain kommt ?????

GPOs ändern diese einstellungen bzw. die Registrierung des Computers, wenn man also möchte kann man diese Einstellungen anpassen.

Ich glaube was du meinst ist GPO Caching . Diese Funktion gibt es aber erst ab Windows 8. Hier beschrieben:
http://www.windowspro.de/wolfgang-sommergut/gpo-neuerungen-windows-81-c ...

Ich arbeite bereits 2 Jahre mit einem Domain Rechner ausserhalb der Domain ohne Probleme.


Zitat von @Chonta:
Passwort ablaufen oder die Anzahl der zwischengespeicherten Anmeldungen wird aufgebraucht und und und

Es gibt keine Anmeldungen die sich aufbrauchen. Es handelt sich hier um die Einstellung wieviel Benutzerkontos er zwischenspeichert. Das bedeutet arbeiten 20 Verschiedene benutzer auf dem PC können sich wenn der DC nicht verfügbar ist nur 10 User anmelden weil die anderen 10 User nicht mehr im Cache des PCs liegen. 10 ist übrigens nur die standard einstellungen und kann erhöht werden.

Ist ein Benutzerkonto gespeichert bleibt es das auch bis das Konto manuell entfernt wird. Oder der User in der Domain gelöscht wird und der PC kontakt zur domain hatte.

LG