none
Restablecer contraseña Windows VPN Cliente RRS feed

  • Pregunta

  • Buenas tardes

    Tenemos un par de usuarios con PC sobremesas metidos bajo dominio en casa de los usuarios, Los PC fueron metidos en dominio en la empresa y luego se los llevaron a sus casas, se conectan con el software CISCO VPN Client. el problema viene cuando caduca la contraseña o a alguno se le olvida dicha contraseña. Como no se conectan a nuestar Red hasta que no ejecutan el VPN Client, no se actualiza la contraseña y se siguen logueando con la contraseña cacheada.

    Hay alguna solucion para que se actualice la cache de contraseñas???

    Un saludo.
    lunes, 26 de octubre de 2009 16:19

Respuestas

  • Hola Dutx,

    El procedimiento arriba es para una conexión VPN default del Windows. Me olvidé de que usted está usando Cisco :)

    Bueno, déjame ver si tengo la comprensión correcta de su problema. Por ejemplo, un usuario está trabajando desde su casa y le caduca la contraseña del dominio. Está iniciando sesión con las credenciales cacheadas asociadas a su usuario y contraseña, almacenadas la última vez que inició sesión contra un Controlador de Dominio, correcto?

    Perfecto, después de un inicio de sesión correcto del dominio, se almacena en cache una forma de la información de inicio de sesión. Posteriormente, un usuario puede empezar una sesión en el equipo utilizando la cuenta de dominio, incluso si no está disponible el controlador de dominio que autenticó al usuario.

    Creo que es posible usted eliminar el cache de las credenciales. Pero este procedimiento requiere acceso físico al equipo.

    Bueno, esto era bien conocido, al menos para algunos, y hace mucho sentido en realidad. La única solución que conozco en su caso, es considerar el uso de un script en el servidor VPN que pide al usuario que cambie su contraseña.Esto puede hacerse utilizando un script post-connect, por ejemplo.

    Si usted desea elimiar el cache (requiere acceso físico al equipo), puede hacer el procedimiento abajo:

    1. Iniciar el Editor del Registro (Regedt32.exe)
     
    2. Buscar la siguiente clave del Registro

      HKEY_LOCAL_MACHINE\Security
     
    3. Botón derecho sobre Security -> Clicar en Permisos.
     
    4. Cambiar los permisos del grupo Administradores a Control total. Una vez aplicados los permisos podemos pulsar F5 para actualizar la vista y observaremos otras claves dentro de Security que antes no estaban.
     
    5. Buscar la siguiente clave del Registro

      HKEY_LOCAL_MACHINE\Security\Cache
     
    6. Dentro de esta clave encontramos los valores NL$1, NL$2, .... hasta NL$10 y el valor NL$Control. Eliminar todos estos valores, solo quedara el valor Predeterminado.
     
    7. Volvemos a la siguiente clave del Registro

     HKEY_LOCAL_MACHINE\Security


    8. Botón derecho sobre Security -> Clicar en Permisos.

    9. Cambiar los permisos en esta clave y en todas las subclaves para:

     Administrador: Sólo Controles de lectura y Escribir DAC
     Sistema: Control total
     
    Esta vez habrá que modificar los permisos desde Opciones avanzadas de la ventana seguridad, para otorgar solo los permisos necesarios para el grupo Administradores.

    10. Salir del Editor del Registro.

    Una vez reiniciemos el ordenador, se volveran a generar automaticamente los valores que hemos eliminado.

    Saludos!
    Atilla Arruda
    Microsoft TechNet Support for IT Professionals | http://atillaarruda.spaces.live.com/
    Microsoft Certified Trainer | MCSE | MCSA | MCP | MCTS | MCITP | MCDST | ITIL-F | ISO 20.000 | COBIT | CSS | TOEIC
    miércoles, 28 de octubre de 2009 16:51
    Moderador

Todas las respuestas

  • Hola Dutx,

    Qué tal? Muchas gracias por su contacto!

    Esta es una pregunta muy buena! Los usuarios remotos que necesitan sincronizar su equipo contraseña local con su contraseña en el AD puede hacer lo siguiente:

    1.) Inicie sesión en el ordenador con la contraseña antigua.
    2.) VPN en la red corporativa, utilizando la nueva contraseña.
    3.) Bloquear el ordenador mediante CTRL+ALT+DEL.
    4.) Desbloquear el equipo utilizando la nueva contraseña. Después de abrir el ordenador utilizando la nueva contraseña, esta contraseña vá a sener la nueva contraseña en el cache.

    Bueno, nosotros estamos a su disposición para cualquier otra duda, ok? Estoy seguro de que será un placer ayudarle otra vez.

    Dejame saber que puedo hacer para poder ayudar!

    Saludos cordiales,

    Atilla Arruda
    Microsoft TechNet Support for IT Professionals | http://atillaarruda.spaces.live.com/
    Microsoft Certified Trainer | MCSE | MCSA | MCP | MCTS | MCITP | MCDST | ITIL-F | ISO 20.000 | COBIT | CSS | TOEIC
    miércoles, 28 de octubre de 2009 13:25
    Moderador
  • No entiendo que quieres decir en el paso 2, ya que la contraseña del Cisco VPN Client no tiene nada que ver con la contraseña del usuario en el dominio.

    Me puedes explicar un poco mejor ese paso??

    Un saludo.
    miércoles, 28 de octubre de 2009 15:34
  • Hola Dutx,

    El procedimiento arriba es para una conexión VPN default del Windows. Me olvidé de que usted está usando Cisco :)

    Bueno, déjame ver si tengo la comprensión correcta de su problema. Por ejemplo, un usuario está trabajando desde su casa y le caduca la contraseña del dominio. Está iniciando sesión con las credenciales cacheadas asociadas a su usuario y contraseña, almacenadas la última vez que inició sesión contra un Controlador de Dominio, correcto?

    Perfecto, después de un inicio de sesión correcto del dominio, se almacena en cache una forma de la información de inicio de sesión. Posteriormente, un usuario puede empezar una sesión en el equipo utilizando la cuenta de dominio, incluso si no está disponible el controlador de dominio que autenticó al usuario.

    Creo que es posible usted eliminar el cache de las credenciales. Pero este procedimiento requiere acceso físico al equipo.

    Bueno, esto era bien conocido, al menos para algunos, y hace mucho sentido en realidad. La única solución que conozco en su caso, es considerar el uso de un script en el servidor VPN que pide al usuario que cambie su contraseña.Esto puede hacerse utilizando un script post-connect, por ejemplo.

    Si usted desea elimiar el cache (requiere acceso físico al equipo), puede hacer el procedimiento abajo:

    1. Iniciar el Editor del Registro (Regedt32.exe)
     
    2. Buscar la siguiente clave del Registro

      HKEY_LOCAL_MACHINE\Security
     
    3. Botón derecho sobre Security -> Clicar en Permisos.
     
    4. Cambiar los permisos del grupo Administradores a Control total. Una vez aplicados los permisos podemos pulsar F5 para actualizar la vista y observaremos otras claves dentro de Security que antes no estaban.
     
    5. Buscar la siguiente clave del Registro

      HKEY_LOCAL_MACHINE\Security\Cache
     
    6. Dentro de esta clave encontramos los valores NL$1, NL$2, .... hasta NL$10 y el valor NL$Control. Eliminar todos estos valores, solo quedara el valor Predeterminado.
     
    7. Volvemos a la siguiente clave del Registro

     HKEY_LOCAL_MACHINE\Security


    8. Botón derecho sobre Security -> Clicar en Permisos.

    9. Cambiar los permisos en esta clave y en todas las subclaves para:

     Administrador: Sólo Controles de lectura y Escribir DAC
     Sistema: Control total
     
    Esta vez habrá que modificar los permisos desde Opciones avanzadas de la ventana seguridad, para otorgar solo los permisos necesarios para el grupo Administradores.

    10. Salir del Editor del Registro.

    Una vez reiniciemos el ordenador, se volveran a generar automaticamente los valores que hemos eliminado.

    Saludos!
    Atilla Arruda
    Microsoft TechNet Support for IT Professionals | http://atillaarruda.spaces.live.com/
    Microsoft Certified Trainer | MCSE | MCSA | MCP | MCTS | MCITP | MCDST | ITIL-F | ISO 20.000 | COBIT | CSS | TOEIC
    miércoles, 28 de octubre de 2009 16:51
    Moderador