none
Windows 7 Enterprise Clients verlieren Vertrauensstellung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Das Problem wurde bereits verschiedenlich bearbeitet:

    30Stck PCs neu installiert:

    * vor etwas mehr als 30Tagen

    * Windows 7 Enterprise, Windows 2008 R2 - Domäne, DNS, DHCP OK

    * Basisinstallation mit MSDT2013

    * Sysprep-Vorbereitung und Verteilung der Systeme mit MSDT2013

    * keine Probleme bislang in Domäne

    Auf den Clients wird ein Festplattenschutz benutzt - HDGuard

    Die User wenden mandatory-Profiles an

    Warum können nun plötzlich auf einen Schlag 30 Systeme ihre Vertrauensstellung zur  Domänenanmeldung verlieren?

    Wir hatten diesen Fall bereits mehrmals bei Systemen, die ebenfalls mit Sysprep vorschriftsmäßig für die Domäneneinbindung vorbereitet wurden.

    Unsere Vermutung war damals, dass der HDGuard die Ursache sein könnte. Bislang konnten wir den Beweis hierfür aber nicht schaffen.

    Kennwortrichtlinie geändert?

    PC-Namen im Netz gleich?

    Was könnten Ursachen sein?

    mfg

    re

    Dienstag, 22. Juli 2014 11:21
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi Jenny,

    ich denke, die Ursache ist der HDGuard. 

    Was einige nicht wissen, ist, dass auch Computerkonten Kennwörter verwenden, um sich am AD zu authentifizieren. Diese werden vom AD automatisch verwaltet und im Standard alle 30 Tage geändert. 

    Da nun der HDGuard diese Systemänderung (es ändert sich ja das Kennwort als Parameter) wieder zurücksetzt, hat das AD das neue Kennwort, der PC aber das alte Kennwort. Dadurch verliert der PC die Zugehörigkeit zur Domäne und muss neu aufgenommen werden.

    Du kannst zwar den Zeitraum manuell hochsetzen, aber das ist nicht wirklich eine Lösung. Besser ist es, mal den Hersteller zu fragen, ob hier evtl. was nachkonfiguriert werden muss. HDGuard ist genauso wie Dr. Kaiser ein an Schulen beliebtes Tool zur Absicherung von PCs gegen die von Schülern gern praktizierte Sabotage, bei DKS weiß ich aber, dass es dort problemlos möglich ist, PCs mit Domänenmitgliedschaft abzusichern. Somit ist das rein technisch möglich.

    Gruß

    Ben

    PS: Siehe hierzu http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

    • Als Antwort markiert Jenny Frank Dienstag, 22. Juli 2014 14:34
    Dienstag, 22. Juli 2014 12:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 22.07.2014 13:21, schrieb Jenny Frank:

    Auf den Clients wird ein Festplattenschutz benutzt - HDGuard

    HDGuard verhindert den Wechsel der Computerkennworte der alle 30 Tage stattfindet.

    Dein Client ändert das PW im AD, das ist aber nur temporär LOKAL gespeichert. Beim nächsten Start ist das alte in Verwendung und das AD sagt: Ätsch.

    Lösung:
    eine GPO für die Clients:
     -> Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren = Aktiviert

    eine Änderung in der Default Domain Controllers Policy:
     -> Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern

    beides zu finden in den Sicherheitsoptionen der Lokalen Richtlinien

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Jenny Frank Dienstag, 22. Juli 2014 14:34
    Dienstag, 22. Juli 2014 14:23
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi Jenny,

    ich denke, die Ursache ist der HDGuard. 

    Was einige nicht wissen, ist, dass auch Computerkonten Kennwörter verwenden, um sich am AD zu authentifizieren. Diese werden vom AD automatisch verwaltet und im Standard alle 30 Tage geändert. 

    Da nun der HDGuard diese Systemänderung (es ändert sich ja das Kennwort als Parameter) wieder zurücksetzt, hat das AD das neue Kennwort, der PC aber das alte Kennwort. Dadurch verliert der PC die Zugehörigkeit zur Domäne und muss neu aufgenommen werden.

    Du kannst zwar den Zeitraum manuell hochsetzen, aber das ist nicht wirklich eine Lösung. Besser ist es, mal den Hersteller zu fragen, ob hier evtl. was nachkonfiguriert werden muss. HDGuard ist genauso wie Dr. Kaiser ein an Schulen beliebtes Tool zur Absicherung von PCs gegen die von Schülern gern praktizierte Sabotage, bei DKS weiß ich aber, dass es dort problemlos möglich ist, PCs mit Domänenmitgliedschaft abzusichern. Somit ist das rein technisch möglich.

    Gruß

    Ben

    PS: Siehe hierzu http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

    • Als Antwort markiert Jenny Frank Dienstag, 22. Juli 2014 14:34
    Dienstag, 22. Juli 2014 12:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 22.07.2014 13:21, schrieb Jenny Frank:

    Auf den Clients wird ein Festplattenschutz benutzt - HDGuard

    HDGuard verhindert den Wechsel der Computerkennworte der alle 30 Tage stattfindet.

    Dein Client ändert das PW im AD, das ist aber nur temporär LOKAL gespeichert. Beim nächsten Start ist das alte in Verwendung und das AD sagt: Ätsch.

    Lösung:
    eine GPO für die Clients:
     -> Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren = Aktiviert

    eine Änderung in der Default Domain Controllers Policy:
     -> Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern

    beides zu finden in den Sicherheitsoptionen der Lokalen Richtlinien

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Jenny Frank Dienstag, 22. Juli 2014 14:34
    Dienstag, 22. Juli 2014 14:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    danke für die Rückantwort, ich sehe den Sachverhalt genauso und habe auch die Richtlinien bereits angepasst.

    Es war mir dennoch wichtig, meine Meinung von Fachleuten nochmals bestätigt zu bekommen.

    Ergänzen darf ich aber dennoch: Dieses Verhalten von Windows 7 ist bezüglich dem Festplattenschutz erst ab Versionsständen von Windows 7 vom Frühjahr 2013 her aufgetreten. Zuvor gab es definitv diesbezüglich keine Probleme.

    Dienstag, 22. Juli 2014 14:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 22.07.2014 16:33, schrieb Jenny Frank:

    Ergänzen darf ich aber dennoch: Dieses Verhalten von Windows 7 ist
    bezüglich dem Festplattenschutz erst ab Versionsständen von Windows 7
    vom Frühjahr 2013 her aufgetreten.

    Seltsam, das Problem solltest du schon mit XP gehabt haben.
    Evtl. hat die alte HDGuard Version den Registry key aber schon bei Installation gesetzt?
    Denn ob der per GPO gesetzt wird oder direkt ist ja relativ Wurscht.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 22. Juli 2014 14:54
    |