Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Servers

[win2k8] AD wachtwoord veranderen zonder inloggen op DC

fabstar81
4 antwoorden
  • op mijn werk zijn we een apart domein aan het opzetten voor onze hosted servers. Daar zitten ook ontwikkelservers bij waar alleem bepaalde groepen werknemers bij mogen komen. Ideale situatie dus voor een win2008 domein met active directory, etc.

    De users zijn overgetikt vanuit een 2003 domein van de holding. (Teveel werk om te importeren etc). Omdat dit domein compleet losstaat van het bestaande domein gebruiken we voor de toegang tot de servers dus 1 dc die het domein onderhoudt van de hosted servers.

    Authenticatie van de users gebeurt op moment van inloggen op de shares. Hier zit gelijk ook het probleem. Users zullen nooit inloggen op de dc's, hooguit bepaalde users met elevated rights middels rdp. Er is ook geen webmail op dit domein, laat staan zwevende profielen. De users zijn ook niet gesynct met het bestaande netwerk/domein.

    Eigenlijk moet je het zien als een apart domein waar alleen van shares gebruikt gemaakt gaat worden en waar auhenticatie geregeld wordt door gebruikersnamen die hetzelfde zijn van users op dit moment, puur omdat we ze hebben overgetikt. Wachtwoorden zijn dus ook niet per se sync.

    Probleemstelling:
    wanneer het wachtwoord verloopt en je logt nooit in op de dc, hoe kan je dan in hemelsnaam je wachtwoord veranderen voor dit domein?
  • Waarom leg je geen trust aan tussen deze domeinen? Je kan dan in domein B rechten geven aan gebruikers uit domein A. Voorwaarde is wel dat er een VPN tunnel aanwezig is, als de server ergens anders staan (maar die heb je waarschijnlijk al) en dat je geen Small Business Server gebruikt in beide domeinen.
  • het probleem is dat onze werkmij zich volledig wilt afsplitsen van de holding.
    het andere domein is een Novell-domein die wel in house staat. verloop van tijd zal authenticatie volledig op nieuwe 2008 domein verlopen.

    laat ik eerst nog wat aanvullende info schetsen:
    holding heeft domein waar op dit moment authenticatie plaatsvindt
    werkmij wilt zich volledig afsplitsen van holding
    alle clients zijn [i:e0c59b6a0a]niet[/i:e0c59b6a0a] aangesloten op domein en authenticeren lokaal
    diensten zoals webmail etc. verlopen dus via de holding

    uiteindelijke doel van de netwerkbeheerder is om alle clients uit het domein te houden maar wel te authenticeren via dit win2008 domein icm RADIUS en weet ik al niet meer waar ik geen verstand van heb.

    ik snap ook niet zo goed waarom hij dit gescheiden wilt houden. hij wilt geen sync. Sowieso een koppeling of trust naar de holding is geen optie door bovenstaande reden. Maar als je de clients niet toevoegt aan domein zal je dus altijd een niet gesyncte userbestand hebben.
  • Ik begrijp het niet helemaal volgens mij… Je hebt een nieuw Windows 2008 domein, maar de computers zijn geen lid van dat domein, terwijl de gebruikers wel op het domein in moeten kunnen loggen? Klinkt als een ideaal uitgangspunt voor een trust… Bij een trust kunnen gebruikers uit domain A inloggen op domein B, terwijl de computers lid zijn van domein A, of B… Op die manier kun je gefaseerd de werkmaatschappij afsplitsen, zonder dat je al te veel ingewikkelde constructies moet bedenken.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.