Unsynchrones Passwort bei Offline-Notebook-Usern

27/01/2010 - 10:32 von Udo Linnenschmidt | Report spam
Hallo zusammen,

ich habe da folgendes Problem. Zuerst mal die etwas komplizierte Ausgangslage:
- Novell eDirectory (führendes System) wird synchronisiert mit AD (Windows
2008)
- Die Notebooks habe einen Novell-Client installiert
- Die User setzen im Novell-Anmelde-Client einen Haken, ob sie offline arbeiten
(und sich somit mit den Cache Credentials anmelden) oder ob sie "ganz normal"
online arbeiten (in der Firma mit Netzwerkkabel)

Die Notebook-User sind in ganz Deutschland verteilt und arbeiten in dem Sinne
offline an ihren Notebooks. Sie melden sich mit ihrem Domànenkonto (Cache
Credentials) an. Nach UMTS-Anmeldung starten sie einen Cisco-VPN-Client.
Dann können sie sich per Novell-Login ihre Netzlaufwerke mappen oder ihr
Mailsystem nutzen. Wenn das Passwort abgelaufen ist, kommt eine Meldung und
sie müssen es àndern. Das Passwort wird im eDirectory geàndert und sofort
mit dem AD synchronisiert. So weit so gut.

Startet der User dann sein Notebook neu, so muss er sich (offline, Cache
Credentials) mit seinem alten Passwort anmelden. Für die weiteren Anmeldungen
(Novell-Mappings, Mailsystem) muss dann das neue Passwort verwendet werden.
Mache ich dann (nach Anmeldung VPN etc.) ein gpupdate, so meldet mir Windows
"Windows erfordert Ihre Anmeldeinformationen" und die GPOs werden nicht upgedated
(weil Passwort "lokal" und AD halt nicht mehr identisch sind). Die Passwörter
kriege ich erst wieder synchron, wenn sich der User das nàchste Mal "online"
in der Firma anmeldet.

Fragen:
1) Kann ich irgendwie dafür sorgen, dass das lokal gespeicherte Kennwort
im Profile (Cache Credentials) aktualisiert wird auch wenn ich offline arbeite?
2) Wie ist das Verhalten in der "normalen" Microsoft-Welt? So weit ich weiß,
gibt's dort einmal die Möglichkeit sich direkt im MS-Anmeldefenster über
DFÜ oder halt auch im Nachgang via VPN-Client anmelden. Hat man dann in dem
Umfeld das gleiche Problem?

Danke & Gruß
Udo L.
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
27/01/2010 - 11:11 | Warnen spam
Hi,

Am 27.01.2010 10:32, schrieb Udo Linnenschmidt:
[Password Change] Startet der User dann sein Notebook neu, so muss
er sich (offline, Cache Credentials) mit seinem alten Passwort
anmelden. Für die weiteren Anmeldungen (Novell-Mappings, Mailsystem)
muss dann das neue Passwort verwendet werden.
[...] Die Passwörter kriege ich erst wieder synchron, wenn sich
der User das nàchste Mal "online" in der Firma anmeldet.



Richtig und absolut erwartetes Verhalten.

1) Kann ich irgendwie dafür sorgen, dass das lokal gespeicherte Kennwort
im Profile (Cache Credentials) aktualisiert wird auch wenn ich offline
arbeite?



Nein, da es mit dem Anmeldedienst verbunden ist. Dieser tràgt den
neuen HashWert in das lokale System. Ohne Verbindung kein Hash.

2) Wie ist das Verhalten in der "normalen" Microsoft-Welt?



Genau so.

Das Problem taucht in jeder Umgebung auf wo es zum Zeitpunkt der
Anmeldung keinen Kontakt zum DC gibt.

Lösung:
Sorge für eine VPN Verbindung _vor_ der Anmeldung.
Statte die User mit VPN-Site-To-Site Routern aus, integriere den Cisco
Client als Dienst oder integriere genau für diesen Fall: Anmelden über
DFÜ Netzwerk, was logischerweise dann eine MS VPN/Einwahl Infrastruktur
erfordert.

Einfachster Weg: Kennwort làuft nie ab, für diese Konten.
Ein sicheres Kennwort, besser kompletter Satz, das verstehen die Leute
auch ist ja schnell gefunden. 20 Zeichen Kennwort ist schnell getippt,
wenn es nicht "kryptisch" ist, sondern zB
"Da geht sie ab die Luzi!" voll ausgeschrieben.
Hàlt jedem Dictionary Attack stand, ist Komplex da Rechtschreibung
beachtet wird etc. und logischerweise lang genug.
Tippen könne die Leute mittlerweile.
Ich persönlioche finde ja fluchen als Passwort total geil, das kann man
sogar laut wàhrend der Eingabe ;-)

Die Implementation von DirektAccess mit Win7 Enterprise und 2008 R2
wàre auch noch eine Idee.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen