Benutzer mit den meisten Antworten
cached ad account

Frage
Antworten
-
Am 16.04.2014 19:32, schrieb Kevin Momber:
dies kann per Registry gesteuert werden.
Siehe:
http://technet.microsoft.com/en-us/library/ff428139(WS.10).aspxDer gilt nur für die interaktiven Zugriffe, nicht für die Cached Credentials.
Cahced Creds sind unendlich, wenn der Client sich offline befindet. Sie werden erst wieder durch eine erneute Anmeldung online am AD ungültig, falls das PW mittlerweile abgelaufen ist, oder das Konto deaktiviert wurde. Solange aber kein DC angesprochen wird, bleibt es wie es ist.
Das Kennwort läuft auch nie ab, auch wenn im AD 30 Tage definiert ist.
Es gibt ja offline kein AD, das es überprüft und in den gespeicherten Informationen ist das nicht enthalten.
Darin steht nur die Information "Name, SID, PW".
Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: http://www.gruppenrichtlinien.de - deutsch
GPO Tool: http://www.reg2xml.com - Registry Export File Converter- Als Antwort markiert Johann Kr Freitag, 18. April 2014 08:27
Mittwoch, 16. April 2014 22:07 -
Hi,
Am 17.04.2014 15:24, schrieb Johann Kr:
aber so ganz dürfte das noch nicht funktionieren.
Doch einwandfrei. Ich und 100 andere arbeiten seite Jahren offline ;-)
Ich habe den Rechner jetzt von der Domäne getrennt. Bei manchen
Useraccounts bekomme ich jetzt die Fehlermeldung "es sind momentan
keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"Ohne Arme keine Kekse ... ohne Anmeldung ONLINE keine Cached Credentials. Der Client cached per Default nur max. 10 unterschiedliche Konten. Kommt der 11 "online" hinzu, fällt der 1te raus.
Die Anzahl ist über die GPOs zu steuern (der einzige Wert vorhandene mit "10"). Da nun HASH werte der Kennworte Lokal vorliegen, die angreifbar sind, sind 2 gecachte Anmeldungen aus Security Sicht der Wunsch. Eigentlich nur 1ne, aber dann wirds doof, wenn sich mal ein andere User anmeldet und der andere will dann wieder ran, dann muss er onlien sein ... sowas fällt meist erst am Wochende auf ;-)
Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: http://www.gruppenrichtlinien.de - deutsch
GPO Tool: http://www.reg2xml.com - Registry Export File Converter- Als Antwort markiert Johann Kr Freitag, 18. April 2014 08:27
Donnerstag, 17. April 2014 15:08
Alle Antworten
-
Am 16.04.2014 schrieb Johann Kr:
Wie oft oder wie lange kann ich mich mit einem AD Account auf einem Rechner anmelden, der nicht mehr mit der Domäne verbunden ist ?
Wenn nichts gegenteiliges per GPO konfiguriert ist, so lange bis die
HDD oder die andere HW defekt ist. Es gibt keine zeitliche Begrenzung.
Servus
Winfried
Gruppenrichtlinien
WSUS Package Publisher
HowTos zum WSUS Package Publisher
NNTP-Bridge für MS-ForenMittwoch, 16. April 2014 16:45 -
Hi,
dies kann per Registry gesteuert werden.
Siehe:
http://technet.microsoft.com/en-us/library/ff428139(WS.10).aspxGruß
Kevin
- Bearbeitet Kevin MomberMicrosoft employee Mittwoch, 16. April 2014 17:46
Mittwoch, 16. April 2014 17:32 -
Am 16.04.2014 19:32, schrieb Kevin Momber:
dies kann per Registry gesteuert werden.
Siehe:
http://technet.microsoft.com/en-us/library/ff428139(WS.10).aspxDer gilt nur für die interaktiven Zugriffe, nicht für die Cached Credentials.
Cahced Creds sind unendlich, wenn der Client sich offline befindet. Sie werden erst wieder durch eine erneute Anmeldung online am AD ungültig, falls das PW mittlerweile abgelaufen ist, oder das Konto deaktiviert wurde. Solange aber kein DC angesprochen wird, bleibt es wie es ist.
Das Kennwort läuft auch nie ab, auch wenn im AD 30 Tage definiert ist.
Es gibt ja offline kein AD, das es überprüft und in den gespeicherten Informationen ist das nicht enthalten.
Darin steht nur die Information "Name, SID, PW".
Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: http://www.gruppenrichtlinien.de - deutsch
GPO Tool: http://www.reg2xml.com - Registry Export File Converter- Als Antwort markiert Johann Kr Freitag, 18. April 2014 08:27
Mittwoch, 16. April 2014 22:07 -
Danke,
aber so ganz dürfte das noch nicht funktionieren.
Ich habe den Rechner jetzt von der Domäne getrennt. Bei manchen Useraccounts bekomme ich jetzt die Fehlermeldung "es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar" (andere funktionieren)
Ideen ?
Donnerstag, 17. April 2014 13:24 -
Hi,
Am 17.04.2014 15:24, schrieb Johann Kr:
aber so ganz dürfte das noch nicht funktionieren.
Doch einwandfrei. Ich und 100 andere arbeiten seite Jahren offline ;-)
Ich habe den Rechner jetzt von der Domäne getrennt. Bei manchen
Useraccounts bekomme ich jetzt die Fehlermeldung "es sind momentan
keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"Ohne Arme keine Kekse ... ohne Anmeldung ONLINE keine Cached Credentials. Der Client cached per Default nur max. 10 unterschiedliche Konten. Kommt der 11 "online" hinzu, fällt der 1te raus.
Die Anzahl ist über die GPOs zu steuern (der einzige Wert vorhandene mit "10"). Da nun HASH werte der Kennworte Lokal vorliegen, die angreifbar sind, sind 2 gecachte Anmeldungen aus Security Sicht der Wunsch. Eigentlich nur 1ne, aber dann wirds doof, wenn sich mal ein andere User anmeldet und der andere will dann wieder ran, dann muss er onlien sein ... sowas fällt meist erst am Wochende auf ;-)
Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: http://www.gruppenrichtlinien.de - deutsch
GPO Tool: http://www.reg2xml.com - Registry Export File Converter- Als Antwort markiert Johann Kr Freitag, 18. April 2014 08:27
Donnerstag, 17. April 2014 15:08 -
Am 18.04.2014 schrieb 5232joe:
Herr Heitbrink, wo in welcher GPO finde ich diesen Wert (10) zum verändern ?
Computerkonfiguration > Windows Einstellungen >
Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen >
Interaktive Anmeldungen: Anzahl zwischenzuspeichernder vorheriger
Anmeldungen.
Servus
Winfried
Gruppenrichtlinien
WSUS Package Publisher
HowTos zum WSUS Package Publisher
NNTP-Bridge für MS-ForenFreitag, 18. April 2014 09:51