6
Windows-Kennwort-Verteilung
Grüß euch!
Ich habe im Bereich Windows-Kennwortverwaltung Wissenslücken und ich kam auch nach längerer Internetrecherche nicht zu den Antworten die ich mir erhofft hatte.
Windows-Domäne
Endpoints mit Win 10 oder 11
Kennwort-Policy aktriviert, PW-Gültigkeit 90 Tage
Alle Endpoints sind Domänenmitglieder
Variante 1: Benutzer ändert sein Kennwort während der Endpoint in der Domäne hängt, alles paletti.
Variante 2: Benutzer ändert sein Kennwort auf einem Gerät, dass in der Domäne hängt. Sein Endpoint zu Hause bekam von der Kennwortänderung nichts mit, da keine Verbindung zur Domäne, er muss dort mit dem alten Kennwort einsteigen - so lange bis der Endpoint Verbindung zur Domäne hat und das Kennwort dadurch aktualisiert wird.
Jetzt ist es so, dass manche Endpoints, die definitiv keine Verbindung über LAN zur Domäne haben, trotzdem das neue Kennwort übernehmen.
Zusatzinfos:
-Gearbeitet wird auf den Endpoints über eine Terminalserververbindung (kein VPN sondern ein RDP-Gateway)
-Wir haben MS365 im Einsatz, manche der Benutzer sind lokal bei MS365 angemeldet
Die Frage ist nun - wie kann das möglich sein, dass sich das Kennwort lokal auf dem Endpoint, der aktuell keine Verbindung zur Domäne hat, aktualisiert?
Für sachdienliche Hinweise bin ich sehr dankbar.
Grüsse
Bert
Ich habe im Bereich Windows-Kennwortverwaltung Wissenslücken und ich kam auch nach längerer Internetrecherche nicht zu den Antworten die ich mir erhofft hatte.
Windows-Domäne
Endpoints mit Win 10 oder 11
Kennwort-Policy aktriviert, PW-Gültigkeit 90 Tage
Alle Endpoints sind Domänenmitglieder
Variante 1: Benutzer ändert sein Kennwort während der Endpoint in der Domäne hängt, alles paletti.
Variante 2: Benutzer ändert sein Kennwort auf einem Gerät, dass in der Domäne hängt. Sein Endpoint zu Hause bekam von der Kennwortänderung nichts mit, da keine Verbindung zur Domäne, er muss dort mit dem alten Kennwort einsteigen - so lange bis der Endpoint Verbindung zur Domäne hat und das Kennwort dadurch aktualisiert wird.
Jetzt ist es so, dass manche Endpoints, die definitiv keine Verbindung über LAN zur Domäne haben, trotzdem das neue Kennwort übernehmen.
Zusatzinfos:
-Gearbeitet wird auf den Endpoints über eine Terminalserververbindung (kein VPN sondern ein RDP-Gateway)
-Wir haben MS365 im Einsatz, manche der Benutzer sind lokal bei MS365 angemeldet
Die Frage ist nun - wie kann das möglich sein, dass sich das Kennwort lokal auf dem Endpoint, der aktuell keine Verbindung zur Domäne hat, aktualisiert?
Für sachdienliche Hinweise bin ich sehr dankbar.
Grüsse
Bert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2401339533
Url: https://administrator.de/contentid/2401339533
Printed on: April 18, 2024 at 12:04 o'clock
6 Comments
Latest comment
Hallo,
Grüße
lcer
Zitat von @neckhock:
Jetzt ist es so, dass manche Endpoints, die definitiv keine Verbindung über LAN zur Domäne haben, trotzdem das neue Kennwort übernehmen.
Zusatzinfos:
-Gearbeitet wird auf den Endpoints über eine Terminalserververbindung (kein VPN sondern ein RDP-Gateway)
-Wir haben MS365 im Einsatz, manche der Benutzer sind lokal bei MS365 angemeldet
Was heißt MS365? Sind die Clients in Intune registriert? Verwendet Ihr eine Synchronisation zwischen On-Premise Active Directory und Azure Active Directory?Jetzt ist es so, dass manche Endpoints, die definitiv keine Verbindung über LAN zur Domäne haben, trotzdem das neue Kennwort übernehmen.
Zusatzinfos:
-Gearbeitet wird auf den Endpoints über eine Terminalserververbindung (kein VPN sondern ein RDP-Gateway)
-Wir haben MS365 im Einsatz, manche der Benutzer sind lokal bei MS365 angemeldet
Die Frage ist nun - wie kann das möglich sein, dass sich das Kennwort lokal auf dem Endpoint, der aktuell keine Verbindung zur Domäne hat, aktualisiert?
3 Möglichkeiten fallen mir ein:- Sie haben doch eine Verbindung zum Domänencontroller
- Ihr syncronisiert die Kennwörter und die Clients sind per Intune eingebunden
- Die Geschichte, dass die Clients das Kennwort trotzdem übernehmen stimmt nicht.
Grüße
lcer
Generell ist die Vorstellung, dass Clients "ein Kennwort übernehmen" grundverkehrt. Der Client übernimmt gar nichts, einzig der Domänencontroller hat diese Information. Nach der ersten Anmeldung mit dem neuen Kennwort wird auf dem Client ein Kennworthash abgelegt, der dann für weitere Offlineverwendung genutzt werden kann.
1
@icer
Wenn sie eine Verbindung zum Domänencontroller haben frage ich mich wie. Wie gesagt, ein VPN ist nicht im Einsatz. Ob dies eventuell püber eine RDP Verbindung im Hintergund ablaufen kann wage ich zu bezweifeln.
Intune ist nicht im Einsatz.
Ich tendiere dazu, dass die Geschichte nicht stimmt und mich die betreffenden Kolleg:innen falsch informierten.
Zitat von @lcer00:
Hallo,
Grüße
lcer
Hallo,
Zitat von @neckhock:
Jetzt ist es so, dass manche Endpoints, die definitiv keine Verbindung über LAN zur Domäne haben, trotzdem das neue Kennwort übernehmen.
Zusatzinfos:
-Gearbeitet wird auf den Endpoints über eine Terminalserververbindung (kein VPN sondern ein RDP-Gateway)
-Wir haben MS365 im Einsatz, manche der Benutzer sind lokal bei MS365 angemeldet
Was heißt MS365? Sind die Clients in Intune registriert? Verwendet Ihr eine Synchronisation zwischen On-Premise Active Directory und Azure Active Directory?Jetzt ist es so, dass manche Endpoints, die definitiv keine Verbindung über LAN zur Domäne haben, trotzdem das neue Kennwort übernehmen.
Zusatzinfos:
-Gearbeitet wird auf den Endpoints über eine Terminalserververbindung (kein VPN sondern ein RDP-Gateway)
-Wir haben MS365 im Einsatz, manche der Benutzer sind lokal bei MS365 angemeldet
Die Frage ist nun - wie kann das möglich sein, dass sich das Kennwort lokal auf dem Endpoint, der aktuell keine Verbindung zur Domäne hat, aktualisiert?
3 Möglichkeiten fallen mir ein:- Sie haben doch eine Verbindung zum Domänencontroller
- Ihr syncronisiert die Kennwörter und die Clients sind per Intune eingebunden
- Die Geschichte, dass die Clients das Kennwort trotzdem übernehmen stimmt nicht.
Grüße
lcer
Wenn sie eine Verbindung zum Domänencontroller haben frage ich mich wie. Wie gesagt, ein VPN ist nicht im Einsatz. Ob dies eventuell püber eine RDP Verbindung im Hintergund ablaufen kann wage ich zu bezweifeln.
Intune ist nicht im Einsatz.
Ich tendiere dazu, dass die Geschichte nicht stimmt und mich die betreffenden Kolleg:innen falsch informierten.
Zitat von @DerWoWusste:
Generell ist die Vorstellung, dass Clients "ein Kennwort übernehmen" grundverkehrt. Der Client übernimmt gar nichts, einzig der Domänencontroller hat diese Information. Nach der ersten Anmeldung mit dem neuen Kennwort wird auf dem Client ein Kennworthash abgelegt, der dann für weitere Offlineverwendung genutzt werden kann.
Generell ist die Vorstellung, dass Clients "ein Kennwort übernehmen" grundverkehrt. Der Client übernimmt gar nichts, einzig der Domänencontroller hat diese Information. Nach der ersten Anmeldung mit dem neuen Kennwort wird auf dem Client ein Kennworthash abgelegt, der dann für weitere Offlineverwendung genutzt werden kann.
Sorry wegen der ungenauen Formulierg. Der Client speichert den Kennworthash lokal ab (umgangssprachlich übernimmt er das Kennwort)
Was ich mir an der Stelle noch vorstellen könnte, ist, dass Geräte hybrid verwaltet sind (z.B. weil sie von AAD Connect mit ins AzureAD gesynct werden oder weil die Nutzer sie dem AzureAD joinen können). Dann würden die Nutzer mittels Delta-Sync das Passwort vom DC in AzureAD gesynct kriegen und könnten sich dann damit am Rechner an AzureAD anmelden.
Sehr unwahrscheinlich, aber möglicherweise wird ein Kerberos Proxy verwenden und auf den Clients die die Einstellung haben dass die auf den Proxy zugreifen funktioniert die Kennwortänderung.
