Forums Neueste Beiträge
 

Keymnger.dll gespeicherte Passwörter domänenweit löschen

18/01/2008 - 14:27 von Martin Freiberger | Report spam
Hallo,

Domàne mit SBS 2003 R2 mit Windows XP SP2 Clients.

Wir haben hier das bekannte Problem das aufgrund gespeicherter
Passwörter einzelner User die Gruppenrichtlinien nicht ausgeführt werden.

Um das zu lösen müsste ich mich jetzt mit dem betreffenden User an jedem
PC anmelden um diese Passwörter zu löschen.

Ich habe zwar eine Gruppenrichtlinie angelegt die verhindet das wieder
Passwörter gespeichert werden, aber die wird eben nur ausgeführt wenn
keine Passywörter gespeichert sind und dann die Gruppenrichtlinien
ausgeführt werden.

Gibt es eine Möglichkeit zentral alle gespeicherten Kennwörter aller
User auf allen Rechnern zu löschen?

Danke
 

Lesen sie die antworten

#1 Florian Frommherz [MVP]
18/01/2008 - 15:17 | Warnen spam
Howdie Martin!

Martin Freiberger schrieb:
Wir haben hier das bekannte Problem das aufgrund gespeicherter
Passwörter einzelner User die Gruppenrichtlinien nicht ausgeführt werden.



Du meinst mit "gespeicherte Passwörter" die "Cached Credentials"?

Um das zu lösen müsste ich mich jetzt mit dem betreffenden User an jedem
PC anmelden um diese Passwörter zu löschen.

Ich habe zwar eine Gruppenrichtlinie angelegt die verhindet das wieder
Passwörter gespeichert werden, aber die wird eben nur ausgeführt wenn
keine Passywörter gespeichert sind und dann die Gruppenrichtlinien
ausgeführt werden.



Du hast also eine Gruppenrichtlinie erstellt, die das Speichern der
erfolgreichen anmeldungen verhindert ( = auf 0 setzt), richtig?

Das wird nur bedingt dein Problem lösen, denn wenn du das Speichern von
Anmeldungen verbietest, können sich deine Benutzer nicht mehr anmelden,
wenn die Domàne nicht verfügbar ist - klar, wo sollten sie sich auch
authentifizieren? Das heißt, sie müssten mit lokalen anstatt
Domànenaccounts arbeiten ( - denk mal an Laptopbenutzer, die teils
unterwegs sind).

Der Grund, warum die Richtlinien nicht bzw. verspàtet, respektive bei
der Hintergrundaktualisierung ist die Tatsache, dass das Netzwerk, DNS
oder der Domànencontroller zum Zeitpunkt der Anmeldung des Benutzers
(noch) nicht verfügbar ist. Wenn dies der Fall ist, werden Cached
Credentials genutzt, um den Benutzer zumindest an seinem Domànenprofil
arbeiten zu lassen, auch, wenn keine Verbindung zur Domàne besteht.

Du solltest dich eher darum kümmern, dass die Domàne beim Windows-Start
verfügbar ist, dazu gibt es eine klassische Gruppenrichtlinie, die dir
bei Windows XP helfen kann (sorry, ich sitze an meinem englischen Notebook):
Computer Configuration\Administrative Templates\System\Logon\
"Always wait for the network at computer startup and logon". Das hàlt
Windows XP dazu an, beim Starten auf das Netzwerk zu warten, bevor es
die Anmeldemaske anzeigt. Probier das doch mal, vielleicht hilft es.

Die Cached Credentials zu deaktivieren halte ich für falsch, weil du
dann - wie gesagt - deine Benutzer aussperrst, wenn die Domàne mal nicht
verfügbar ist und/oder sie unterwegs sind.

Gibt es eine Möglichkeit zentral alle gespeicherten Kennwörter aller
User auf allen Rechnern zu löschen?



Wenn du den Befehl hast, kannst du das per Logon-Skript machen.
"rundll32 keymgr.dll" ist ein guter Ansatz dafür.

cheers,

Florian
Microsoft MVP - Windows Server - Group Policy.
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.

Ähnliche fragen