Toon posts:

Policy Windows wachtwoord buitendienst

Pagina: 1
Acties:

vrijdag 9 mei 2014 14:11

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Beste mensen,

Sinds kort hebben een directe VPN verbinding voor onze buitendienst buiten gebruik gesteld. Ter vervanging hiervan bieden wij deze gebruikers een Citrix XenApp sessie aan middels een CAG.

Welnu, we stellen vanuit het bedrijf wel een laptop beschikbaar aan deze gebruikers en worden aangemeld in ons domein om controle uit te oefenen over deze machines. Ook is er een wachtwoord policy op ons domein ingesteld dat elke 3 maanden het Windows wachtwoord gewijzigd moet worden. Nu is het zo dat de buitendienst hele lange tijd niet op kantoor is (dus niet verbonden met ons netwerk) en ook geen beschikking meer hebben over een directe VPN. Wanneer de drie maanden voorbij zijn, word het account gelockt omdat zij niet de mogelijk het hebben gehad de domain controller te bereiken.

Kun je dit op een andere manier afvangen? Dit schijnt nogal een lastig vraagstuk te zijn in de Microsoft wereld.....

Tip en opties zijn van harte welkom!

(Misschien goed om te weten: Wij hebben een domein op W2K8 R2 functional level en maken voor 100% gebruik van Windows 7 Professional clients, dus geen XP meer en nog geen Windows 8).

Alvast bedankt!!!

vrijdag 9 mei 2014 14:14

Acties:
  • 0 Henk 'm!

Verwijderd

Een aparte policy maken, en de groep buitendienst excluden uit je huidige policy.

vrijdag 9 mei 2014 15:28

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Oké, maar we willen de drie maanden policy behouden... want ook in Citrix moet het wachtwoord gewijzigd worden.

Men maakt gebruik van Outlook anywhere en webmail etc. Men heeft wel een lokale Outlook client ter beschikking.

vrijdag 9 mei 2014 16:04

Acties:
  • 0 Henk 'm!
  • akimosan
  • Registratie: Augustus 2003
  • Niet online

akimosan

Lokaal account aanmaken op de laptop waarvan het wachtwoord niet gewijzigd hoeft te worden en op de laptop aanmelden met dit account.

Het lokale account goed dichtzetten met policies, applocker, etc, eventueel mandatory profile maken.

Eventueel kun je ook de shell aanpassen dat niet Explorer wordt gebruikt als shell maar bijvoorbeeld internet explorer zodat wel de inlogpagina van de CAG beschikbaar is maar er verder geen applicaties gestart kunenn worden.

Doordat gebruikers lokaal aanmelden met een generiek account zijn de password policies niet van toepassing. Ze kunnen dan hun domein account wachtwoord wijzigen als ze aanmelden of aangemeld zijn op Citrix.

vrijdag 9 mei 2014 16:15

Acties:
  • 0 Henk 'm!
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 16:08

DukeBox

loves wheat smoothies

Misschien een optie om 2 factor authenthicatie te gebruiken ? Mogelijk kun je dan je 3 maanden policy versoepelen.

Op dit moment gebruiken we zelfs helemaal geen wachtwoorden meer. Middels een pas doe je authenticatie en via een pin (app) op je telefoon de authorisatie. Eventueel kunnen we telefonisch ook pin's afgeven die langer geldig zijn, voor het geval de betreffende gebruiker problemen heeft met zijn tel.

Voorheen gebruikten Self-Service Password Change onder FIM. Hier kan je ook een link sturen met een reminder die enkel te gebruiken is door iemand achter het systeem met een system identity certificate.

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 9 mei 2014 20:27

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:06

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Als je gebruikers authenticeren via de Citrix Access Gateway kun je deze gewoon instellen dat gebruikers hun (verlopen) wachtwoord kunnen aanpassen.

How to Configure Setup to Allow Users to Change Passwords when Using Access Gateway Enterprise Edition and Web Interface
After the introduction of Access Gateway Enterprise 9.2, users are now allowed to change the expired passwords if the user has completed a proper setup. For environments that still use versions earlier than Access Gateway Enterprise 9.2, this change password feature is not available but you can apply the workaround explained in this article.
Voor Outlook Web Access kan overigens hetzelfde geregeld worden

Configuring the Change Password Feature in Outlook Web App

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 9 mei 2014 20:31

Acties:
  • 0 Henk 'm!
  • ralpje
  • Registratie: November 2003
  • Laatst online: 14:19

ralpje

Deugpopje

Die gebruikers kunnen dat inderdaad wel wijzigen, maar op de laptop wordt ingelogd met een domain account met cached credentials, en die pakt die wachtwoordwijziging uiteraard niet op als er geen connectie met een DC gemaakt wordt.

Mijn suggestie zou inderdaad zijn af te stappen van de domain accounts op de laptops. Ten eerste vind ik (let op: mijn mening) dit contraproductief, zeker voor buitendienstmensen die vaak nog wel eens wat aparte software willen kunnen gebruiken voor bijvoorbeeld presentaties. Omdat vervolgens al je bedrijfsdata via Citrix ontsloten wordt hoef je niet bang te zijn voor kapotte installaties; een browser is genoeg voor die mensen om hun werk te kunnen doen .

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

vrijdag 9 mei 2014 21:04

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:06

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

ralpje schreef op vrijdag 09 mei 2014 @ 20:31:
Die gebruikers kunnen dat inderdaad wel wijzigen, maar op de laptop wordt ingelogd met een domain account met cached credentials, en die pakt die wachtwoordwijziging uiteraard niet op als er geen connectie met een DC gemaakt wordt.
Ik heb even gemist dat het domainmembers zijn. Goep punt :)

TS: Waarom de keuze gemaakt voor een Acces Gateway oplossing voor remote werken en niet voor Direct Acccess?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zaterdag 10 mei 2014 16:10

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

Vergeet overigens ook niet dat de computer account van de laptop ook last krijgt van een expired wachtwoord. Standaard moeten computers die lid zijn van een Windows domein elke 30 dagen hun eigen wachtwoord wijzigen. Doen ze dit niet dan verliest de computer de trust met het domein.

Gezien dat de laptops zelden tot nooit in het domein zich aanmelden zou ik ervoor kiezen om ze in Workgroup stand te zetten ipv domein. Configureer dan met lokale policies op de laptop zaken als Windows update en andere dingen zodat de gebruiker daar geen omkijken naar heeft. Zorg ook dat de gebruiker geen admin is op de machine maar een lokaal account heeft met normale user rechten.

Of stap over op BYOD. Je hebt toch Citrix, dus het enige wat ze nodig hebben is de Citrix Receiver. Geef dan bijvoorbeeld een vergoeding voor een eigen laptop om de X aantal jaar. Kunnen ze zelf kiezen wat ze kopen.

zaterdag 10 mei 2014 17:32

Acties:
  • 0 Henk 'm!
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 16:08

DukeBox

loves wheat smoothies

CMD-Snake schreef op zaterdag 10 mei 2014 @ 16:10:
Standaard moeten computers die lid zijn van een Windows domein elke 30 dagen hun eigen wachtwoord wijzigen. Doen ze dit niet dan verliest de computer de trust met het domein.
Dat klopt niet. Deze 'policy' wordt door de client geinitieerd en niet door de AD.

Oftewel, de client 'probeert' na 30 dagen zijn account te resetten en anders de eerst volgende keer dat er verbinding is met de AD.
bron: http://blogs.technet.com/...ive/2009/02/15/test2.aspx

Duct tape can't fix stupid, but it can muffle the sound.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq