11
Domain-User ohne AD-Verbindung anmelden (Cachezeitraum verlängern)
Hallo zusammen,
ich würde gerne den Zeitraum verlängern, in dem es möglich ist, sich mit einem Domänenuser an einem Domainenrechner anzumelden, ohne dass eine Verbindung zum AD besteht. Standard ist wohl sowas wie 30 Tage.
Ich habe diverse Hinweise gefunden, wie ich die Anzahl der gecachten Profile erhöhen kann, aber nichts wie der Zeitraum zu verlängern ist.
Vielen Dank,
LuckyHans
ich würde gerne den Zeitraum verlängern, in dem es möglich ist, sich mit einem Domänenuser an einem Domainenrechner anzumelden, ohne dass eine Verbindung zum AD besteht. Standard ist wohl sowas wie 30 Tage.
Ich habe diverse Hinweise gefunden, wie ich die Anzahl der gecachten Profile erhöhen kann, aber nichts wie der Zeitraum zu verlängern ist.
Vielen Dank,
LuckyHans
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4949653508
Url: https://administrator.de/contentid/4949653508
Printed on: April 27, 2024 at 07:04 o'clock
11 Comments
Latest comment
Moin,
Falsch. Die gespeicherten Credentials bleiben so lange gültig, bis es ein erfolgreiches Logon mit anderen gegen den DC gab.
Weil Du das nicht musst.
Sehr hilfreich bei dem Thema ist dieser Artikel:
https://webactivedirectory.com/2011/06/09/windows-active-directory-cache ...
hth
Erik
Zitat von @LuckyHans:
ich würde gerne den Zeitraum verlängern, in dem es möglich ist, sich mit einem Domänenuser an einem Domainenrechner anzumelden, ohne dass eine Verbindung zum AD besteht. Standard ist wohl sowas wie 30 Tage.
ich würde gerne den Zeitraum verlängern, in dem es möglich ist, sich mit einem Domänenuser an einem Domainenrechner anzumelden, ohne dass eine Verbindung zum AD besteht. Standard ist wohl sowas wie 30 Tage.
Falsch. Die gespeicherten Credentials bleiben so lange gültig, bis es ein erfolgreiches Logon mit anderen gegen den DC gab.
Ich habe diverse Hinweise gefunden, wie ich die Anzahl der gecachten Profile erhöhen kann, aber nichts wie der Zeitraum zu verlängern ist.
Weil Du das nicht musst.
Sehr hilfreich bei dem Thema ist dieser Artikel:
https://webactivedirectory.com/2011/06/09/windows-active-directory-cache ...
hth
Erik
Servas
Wäre mir neu.
Wäre mir neu.
Hallo,
Beim Server 2003 R2 gab es kein Zeitlimit. Solange der Rechner Domänenmitglied war (z.B. 20 Jahre), das Anmeldeprofil OK war, konntest du dich auch nach 20 Jahre dort noch als DomänenUser anmelden, vorrausgesetzt du hast dich einmal in der Domäne korreckt an und abgemeldet. Natürlich konntest du auch dort per GPO und Reg. Einträge einiges Basteln bzw. verbiegen oder putt machen. Nur warum will man sich als DomäneUser am Client anmelden wenn die Domänenmitgliedschaft nicht mehr existiert?
Gruß,
Peter
Beim Server 2003 R2 gab es kein Zeitlimit. Solange der Rechner Domänenmitglied war (z.B. 20 Jahre), das Anmeldeprofil OK war, konntest du dich auch nach 20 Jahre dort noch als DomänenUser anmelden, vorrausgesetzt du hast dich einmal in der Domäne korreckt an und abgemeldet. Natürlich konntest du auch dort per GPO und Reg. Einträge einiges Basteln bzw. verbiegen oder putt machen. Nur warum will man sich als DomäneUser am Client anmelden wenn die Domänenmitgliedschaft nicht mehr existiert?
Gruß,
Peter
Hallo,
der Client verweigert meines Wissens nach die Anmeldung erst, wenn eine gewisse Frist rum ist und dann ein DC erreichbar ist. Die Frist liegt aber, soweit ich weiß, deutlich über 30 Tage.
LG
der Client verweigert meines Wissens nach die Anmeldung erst, wenn eine gewisse Frist rum ist und dann ein DC erreichbar ist. Die Frist liegt aber, soweit ich weiß, deutlich über 30 Tage.
LG
Hallo,
Gruß,
Peter
Zitat von @Nils02:
der Client verweigert meines Wissens nach die Anmeldung erst, wenn eine gewisse Frist rum ist
Nein, der Client verweigert nichtsder Client verweigert meines Wissens nach die Anmeldung erst, wenn eine gewisse Frist rum ist
und dann ein DC erreichbar ist.
Dann braucht es keine Zwischengespeicherte Benutzerdaten, ist ja ein DC erreichbarDie Frist liegt aber, soweit ich weiß, deutlich über 30 Tage.
Spiel mal am Client (vorher LAN und WLAN klauen) mit dem Datum rum. Ich habe max. 20 Jahre rumgespielt. Gruß,
Peter
Ich habe die Erfahrung gemacht, dass die User sich nach einer gewissen Zeit ohne Sync mit dem AD nicht mehr einloggen konnten und habe es darauf geschoben, dass die gespeicherten Credentials nur eine gewisse Zeit lang gültig bleiben und dann den erneuten Sync benötigen.
Wenn dem nicht so ist, wäre das natürlich von Vorteil...
Wenn dem nicht so ist, wäre das natürlich von Vorteil...
Vielen Dank!
Zitat von @LuckyHans:
Ich habe die Erfahrung gemacht, dass die User sich nach einer gewissen Zeit ohne Sync mit dem AD nicht mehr einloggen konnten und habe es darauf geschoben, dass die gespeicherten Credentials nur eine gewisse Zeit lang gültig bleiben und dann den erneuten Sync benötigen.
Ich habe die Erfahrung gemacht, dass die User sich nach einer gewissen Zeit ohne Sync mit dem AD nicht mehr einloggen konnten und habe es darauf geschoben, dass die gespeicherten Credentials nur eine gewisse Zeit lang gültig bleiben und dann den erneuten Sync benötigen.
Lies mal den Artikel, den ich verlinkt habe. Das Problem ist, dass die Creds auf ewig gespeichert bleiben. Der typische Fall ist: User hat Notebook zuhause. In der Firma wird er zum Ändern des PWs aufgefordert und macht es brav. Dann geht er wieder ins mobile Arbeiten zuhause. Er loggt sich auf dem NB ein und nimmt natürlich das neue PW. Computer sagt nein. Wenn er schlau ist, nimmt er jetzt das alte. Computer sagt ja. Dann loggt er sich per VPN ein und will auf den RDS zugreifen. Der Admin hat SSO eingerichtet. Computer sagt nein. Schließlich will der RDS das neue PW sehen. Jetzt ist der User ganz schlau und sperrt seinen Bildschirm. Dann schubst er die Maus und - siehe da - Entsperren mit dem neuen PW geht. Danach geht auch wieder nach einmal ab- und wieder anmelden das neue PW am Notebook und der SSO auf den RDS.
Zitat von @Nils02:
Hallo,
der Client verweigert meines Wissens nach die Anmeldung erst, wenn eine gewisse Frist rum ist und dann ein DC erreichbar ist. Die Frist liegt aber, soweit ich weiß, deutlich über 30 Tage.
Hallo,
der Client verweigert meines Wissens nach die Anmeldung erst, wenn eine gewisse Frist rum ist und dann ein DC erreichbar ist. Die Frist liegt aber, soweit ich weiß, deutlich über 30 Tage.
Nicht der Client, sondern der DC verweigert den Zugriff, wenn das PW des Computers abgelaufen ist. Aber ist das nicht Geschichte? Ich meine, gelesen zu haben, dass dem nicht mehr so ist.
Dem User wird tatsächlich der Zugriff verweigert, wenn er zu lange über die Frist des Änderungszwangs drüber ist. Ich weiß nicht genau, wie viele Tage das sind.
Nicht der Client, sondern der DC verweigert den Zugriff, wenn das PW des Computers abgelaufen ist. Aber ist das nicht Geschichte? Ich meine, gelesen zu haben, dass dem nicht mehr so ist.
Weißt du wann sich das geändert haben könnte? Beim Lesen des Threads habe ich auch bemerkt, dass ich hier wohl falsches im Kopf hatte.
Wir hatten aber bis vor ein paar Jahren doch immer wieder Probleme mit PCs die den Trust verloren haben. Nachdem sie wieder im Netz waren, ließen sie sich nur durch Computer-Passwortreset "wiederbeleben".
Nie genauer nachgeforscht und das ganze auf die 30 Tage im Hinterkopf geschoben.
In letzter Zeit sind mir aber ein paar aufgefallen, die wohl den Trust verloren haben, die User aber munter O365 weiter nutzen können. Vertribler, die seit O365 das VPN nicht aktivieren und jetzt Probleme mit dem Salestool hatten.
Hybrid join haben wir nicht.
Sg Dirm
Zitat von @Dirmhirn:
Weißt du wann sich das geändert haben könnte? Beim Lesen des Threads habe ich auch bemerkt, dass ich hier wohl falsches im Kopf hatte.
Nicht der Client, sondern der DC verweigert den Zugriff, wenn das PW des Computers abgelaufen ist. Aber ist das nicht Geschichte? Ich meine, gelesen zu haben, dass dem nicht mehr so ist.
Weißt du wann sich das geändert haben könnte? Beim Lesen des Threads habe ich auch bemerkt, dass ich hier wohl falsches im Kopf hatte.
Das kann nicht so lange her sein. Mit 2016 vielleicht? Unter 2012R2 war es noch so.