Windows-Kennwort-Verteilung

neckhock
Goto Top
Grüß euch!

Ich habe im Bereich Windows-Kennwortverwaltung Wissenslücken und ich kam auch nach längerer Internetrecherche nicht zu den Antworten die ich mir erhofft hatte.

Windows-Domäne
Endpoints mit Win 10 oder 11
Kennwort-Policy aktriviert, PW-Gültigkeit 90 Tage
Alle Endpoints sind Domänenmitglieder

Variante 1: Benutzer ändert sein Kennwort während der Endpoint in der Domäne hängt, alles paletti.
Variante 2: Benutzer ändert sein Kennwort auf einem Gerät, dass in der Domäne hängt. Sein Endpoint zu Hause bekam von der Kennwortänderung nichts mit, da keine Verbindung zur Domäne, er muss dort mit dem alten Kennwort einsteigen - so lange bis der Endpoint Verbindung zur Domäne hat und das Kennwort dadurch aktualisiert wird.

Jetzt ist es so, dass manche Endpoints, die definitiv keine Verbindung über LAN zur Domäne haben, trotzdem das neue Kennwort übernehmen.

Zusatzinfos:
-Gearbeitet wird auf den Endpoints über eine Terminalserververbindung (kein VPN sondern ein RDP-Gateway)
-Wir haben MS365 im Einsatz, manche der Benutzer sind lokal bei MS365 angemeldet

Die Frage ist nun - wie kann das möglich sein, dass sich das Kennwort lokal auf dem Endpoint, der aktuell keine Verbindung zur Domäne hat, aktualisiert?


Für sachdienliche Hinweise bin ich sehr dankbar.

Grüsse
Bert

Content-Key: 2401339533

Url: https://administrator.de/contentid/2401339533

Ausgedruckt am: 27.06.2022 um 22:06 Uhr

Mitglied: lcer00
lcer00 04.04.2022 aktualisiert um 12:47:01 Uhr
Goto Top
Hallo,
Zitat von @neckhock:

Jetzt ist es so, dass manche Endpoints, die definitiv keine Verbindung über LAN zur Domäne haben, trotzdem das neue Kennwort übernehmen.

Zusatzinfos:
-Gearbeitet wird auf den Endpoints über eine Terminalserververbindung (kein VPN sondern ein RDP-Gateway)
-Wir haben MS365 im Einsatz, manche der Benutzer sind lokal bei MS365 angemeldet
Was heißt MS365? Sind die Clients in Intune registriert? Verwendet Ihr eine Synchronisation zwischen On-Premise Active Directory und Azure Active Directory?
Die Frage ist nun - wie kann das möglich sein, dass sich das Kennwort lokal auf dem Endpoint, der aktuell keine Verbindung zur Domäne hat, aktualisiert?
3 Möglichkeiten fallen mir ein:
  • Sie haben doch eine Verbindung zum Domänencontroller
  • Ihr syncronisiert die Kennwörter und die Clients sind per Intune eingebunden
  • Die Geschichte, dass die Clients das Kennwort trotzdem übernehmen stimmt nicht.

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 04.04.2022 um 13:04:10 Uhr
Goto Top
Generell ist die Vorstellung, dass Clients "ein Kennwort übernehmen" grundverkehrt. Der Client übernimmt gar nichts, einzig der Domänencontroller hat diese Information. Nach der ersten Anmeldung mit dem neuen Kennwort wird auf dem Client ein Kennworthash abgelegt, der dann für weitere Offlineverwendung genutzt werden kann.
Mitglied: neckhock
neckhock 04.04.2022 um 13:55:21 Uhr
Goto Top
@icer
Zitat von @lcer00:

Hallo,
Zitat von @neckhock:

Jetzt ist es so, dass manche Endpoints, die definitiv keine Verbindung über LAN zur Domäne haben, trotzdem das neue Kennwort übernehmen.

Zusatzinfos:
-Gearbeitet wird auf den Endpoints über eine Terminalserververbindung (kein VPN sondern ein RDP-Gateway)
-Wir haben MS365 im Einsatz, manche der Benutzer sind lokal bei MS365 angemeldet
Was heißt MS365? Sind die Clients in Intune registriert? Verwendet Ihr eine Synchronisation zwischen On-Premise Active Directory und Azure Active Directory?
Die Frage ist nun - wie kann das möglich sein, dass sich das Kennwort lokal auf dem Endpoint, der aktuell keine Verbindung zur Domäne hat, aktualisiert?
3 Möglichkeiten fallen mir ein:
  • Sie haben doch eine Verbindung zum Domänencontroller
  • Ihr syncronisiert die Kennwörter und die Clients sind per Intune eingebunden
  • Die Geschichte, dass die Clients das Kennwort trotzdem übernehmen stimmt nicht.

Grüße

lcer


Wenn sie eine Verbindung zum Domänencontroller haben frage ich mich wie. Wie gesagt, ein VPN ist nicht im Einsatz. Ob dies eventuell püber eine RDP Verbindung im Hintergund ablaufen kann wage ich zu bezweifeln.
Intune ist nicht im Einsatz.
Ich tendiere dazu, dass die Geschichte nicht stimmt und mich die betreffenden Kolleg:innen falsch informierten.
Mitglied: neckhock
neckhock 04.04.2022 um 13:56:43 Uhr
Goto Top
Zitat von @DerWoWusste:

Generell ist die Vorstellung, dass Clients "ein Kennwort übernehmen" grundverkehrt. Der Client übernimmt gar nichts, einzig der Domänencontroller hat diese Information. Nach der ersten Anmeldung mit dem neuen Kennwort wird auf dem Client ein Kennworthash abgelegt, der dann für weitere Offlineverwendung genutzt werden kann.

Sorry wegen der ungenauen Formulierg. Der Client speichert den Kennworthash lokal ab (umgangssprachlich übernimmt er das Kennwort)
Mitglied: zaphod88
zaphod88 04.04.2022 aktualisiert um 16:07:44 Uhr
Goto Top
Was ich mir an der Stelle noch vorstellen könnte, ist, dass Geräte hybrid verwaltet sind (z.B. weil sie von AAD Connect mit ins AzureAD gesynct werden oder weil die Nutzer sie dem AzureAD joinen können). Dann würden die Nutzer mittels Delta-Sync das Passwort vom DC in AzureAD gesynct kriegen und könnten sich dann damit am Rechner an AzureAD anmelden.
Mitglied: canlot
canlot 04.04.2022 um 17:29:41 Uhr
Goto Top
Sehr unwahrscheinlich, aber möglicherweise wird ein Kerberos Proxy verwenden und auf den Clients die die Einstellung haben dass die auf den Proxy zugreifen funktioniert die Kennwortänderung.