locked
cached ad account RRS feed

  • Frage

  • Wie oft oder wie lange kann ich mich mit einem AD Account auf einem Rechner anmelden, der nicht mehr mit der Domäne verbunden ist ?
    Mittwoch, 16. April 2014 16:39

Antworten

  • Am 16.04.2014 19:32, schrieb Kevin Momber:

    dies kann per Registry gesteuert werden.
    Siehe:
    http://technet.microsoft.com/en-us/library/ff428139(WS.10).aspx

    Der gilt nur für die interaktiven Zugriffe, nicht für die Cached Credentials.

    Cahced Creds sind unendlich, wenn der Client sich offline befindet. Sie werden erst wieder durch eine erneute Anmeldung online am AD ungültig, falls das PW mittlerweile abgelaufen ist, oder das Konto deaktiviert wurde. Solange aber kein DC angesprochen wird, bleibt es wie es ist.
    Das Kennwort läuft auch nie ab, auch wenn im AD 30 Tage definiert ist.
    Es gibt ja offline kein AD, das es überprüft und in den gespeicherten Informationen ist das nicht enthalten.
    Darin steht nur die Information "Name, SID, PW".
     Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Johann Kr Freitag, 18. April 2014 08:27
    Mittwoch, 16. April 2014 22:07
  • Hi,

    Am 17.04.2014 15:24, schrieb Johann Kr:

    aber so ganz dürfte das noch nicht funktionieren.

    Doch einwandfrei. Ich und 100 andere arbeiten seite Jahren offline ;-)

    Ich habe den Rechner jetzt von der Domäne getrennt. Bei manchen
    Useraccounts bekomme ich jetzt die Fehlermeldung   "es sind momentan
    keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"

    Ohne Arme keine Kekse ... ohne Anmeldung ONLINE keine Cached Credentials. Der Client cached per Default nur max. 10 unterschiedliche Konten. Kommt der 11 "online" hinzu, fällt der 1te raus.

    Die Anzahl ist über die GPOs zu steuern (der einzige Wert vorhandene mit "10"). Da nun HASH werte der Kennworte Lokal vorliegen, die angreifbar sind, sind 2 gecachte Anmeldungen aus Security Sicht der Wunsch. Eigentlich nur 1ne, aber dann wirds doof, wenn sich mal ein andere User anmeldet und der andere will dann wieder ran, dann muss er onlien sein ... sowas fällt meist erst am Wochende auf ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Johann Kr Freitag, 18. April 2014 08:27
    Donnerstag, 17. April 2014 15:08

Alle Antworten

  • Am 16.04.2014 schrieb Johann Kr:

    Wie oft oder wie lange kann ich mich mit einem AD Account auf einem Rechner anmelden, der nicht mehr mit der Domäne verbunden ist ?

    Wenn nichts gegenteiliges per GPO konfiguriert ist, so lange bis die
    HDD oder die andere HW defekt ist. Es gibt keine zeitliche Begrenzung.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Mittwoch, 16. April 2014 16:45
  • Hi,

    dies kann per Registry gesteuert werden.

    Siehe:
    http://technet.microsoft.com/en-us/library/ff428139(WS.10).aspx

    Gruß
    Kevin




    Mittwoch, 16. April 2014 17:32
  • Am 16.04.2014 19:32, schrieb Kevin Momber:

    dies kann per Registry gesteuert werden.
    Siehe:
    http://technet.microsoft.com/en-us/library/ff428139(WS.10).aspx

    Der gilt nur für die interaktiven Zugriffe, nicht für die Cached Credentials.

    Cahced Creds sind unendlich, wenn der Client sich offline befindet. Sie werden erst wieder durch eine erneute Anmeldung online am AD ungültig, falls das PW mittlerweile abgelaufen ist, oder das Konto deaktiviert wurde. Solange aber kein DC angesprochen wird, bleibt es wie es ist.
    Das Kennwort läuft auch nie ab, auch wenn im AD 30 Tage definiert ist.
    Es gibt ja offline kein AD, das es überprüft und in den gespeicherten Informationen ist das nicht enthalten.
    Darin steht nur die Information "Name, SID, PW".
     Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Johann Kr Freitag, 18. April 2014 08:27
    Mittwoch, 16. April 2014 22:07
  • Danke,

    aber so ganz dürfte das noch nicht funktionieren.

    Ich habe den Rechner jetzt von der Domäne getrennt. Bei manchen Useraccounts bekomme ich jetzt die Fehlermeldung   "es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar" (andere funktionieren)

    Ideen ?

    Donnerstag, 17. April 2014 13:24
  • Also es kann nur bei Accounts funktionieren mit denen du zuvor schon mal (während eine Verbindung zum AD bestand) angemeldet warst, denn nur für diese werden auch die Credentials gecached. 
    Donnerstag, 17. April 2014 13:44
  • Hi,

    Am 17.04.2014 15:24, schrieb Johann Kr:

    aber so ganz dürfte das noch nicht funktionieren.

    Doch einwandfrei. Ich und 100 andere arbeiten seite Jahren offline ;-)

    Ich habe den Rechner jetzt von der Domäne getrennt. Bei manchen
    Useraccounts bekomme ich jetzt die Fehlermeldung   "es sind momentan
    keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"

    Ohne Arme keine Kekse ... ohne Anmeldung ONLINE keine Cached Credentials. Der Client cached per Default nur max. 10 unterschiedliche Konten. Kommt der 11 "online" hinzu, fällt der 1te raus.

    Die Anzahl ist über die GPOs zu steuern (der einzige Wert vorhandene mit "10"). Da nun HASH werte der Kennworte Lokal vorliegen, die angreifbar sind, sind 2 gecachte Anmeldungen aus Security Sicht der Wunsch. Eigentlich nur 1ne, aber dann wirds doof, wenn sich mal ein andere User anmeldet und der andere will dann wieder ran, dann muss er onlien sein ... sowas fällt meist erst am Wochende auf ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Johann Kr Freitag, 18. April 2014 08:27
    Donnerstag, 17. April 2014 15:08
  • Hallo,

    Herr Heitbrink, wo in welcher GPO finde ich diesen Wert (10) zum verändern ?

    Danke, mfg

    Freitag, 18. April 2014 07:56
  • Am 18.04.2014 schrieb 5232joe:

    Herr Heitbrink, wo in welcher GPO finde ich diesen Wert (10) zum verändern ?

    Computerkonfiguration > Windows Einstellungen >
    Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen >
    Interaktive Anmeldungen: Anzahl zwischenzuspeichernder vorheriger
    Anmeldungen.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Freitag, 18. April 2014 09:51