Ga naar inhoud

[win2k8] AD wachtwoord veranderen zonder inloggen op DC


anoniem

Aanbevolen berichten

op mijn werk zijn we een apart domein aan het opzetten voor onze hosted servers. Daar zitten ook ontwikkelservers bij waar alleem bepaalde groepen werknemers bij mogen komen. Ideale situatie dus voor een win2008 domein met active directory, etc. De users zijn overgetikt vanuit een 2003 domein van de holding. (Teveel werk om te importeren etc). Omdat dit domein compleet losstaat van het bestaande domein gebruiken we voor de toegang tot de servers dus 1 dc die het domein onderhoudt van de hosted servers. Authenticatie van de users gebeurt op moment van inloggen op de shares. Hier zit gelijk ook het probleem. Users zullen nooit inloggen op de dc's, hooguit bepaalde users met elevated rights middels rdp. Er is ook geen webmail op dit domein, laat staan zwevende profielen. De users zijn ook niet gesynct met het bestaande netwerk/domein. Eigenlijk moet je het zien als een apart domein waar alleen van shares gebruikt gemaakt gaat worden en waar auhenticatie geregeld wordt door gebruikersnamen die hetzelfde zijn van users op dit moment, puur omdat we ze hebben overgetikt. Wachtwoorden zijn dus ook niet per se sync. Probleemstelling: wanneer het wachtwoord verloopt en je logt nooit in op de dc, hoe kan je dan in hemelsnaam je wachtwoord veranderen voor dit domein?
Link naar reactie
het probleem is dat onze werkmij zich volledig wilt afsplitsen van de holding. het andere domein is een Novell-domein die wel in house staat. verloop van tijd zal authenticatie volledig op nieuwe 2008 domein verlopen. laat ik eerst nog wat aanvullende info schetsen: holding heeft domein waar op dit moment authenticatie plaatsvindt werkmij wilt zich volledig afsplitsen van holding alle clients zijn [i:e0c59b6a0a]niet[/i:e0c59b6a0a] aangesloten op domein en authenticeren lokaal diensten zoals webmail etc. verlopen dus via de holding uiteindelijke doel van de netwerkbeheerder is om alle clients uit het domein te houden maar wel te authenticeren via dit win2008 domein icm RADIUS en weet ik al niet meer waar ik geen verstand van heb. ik snap ook niet zo goed waarom hij dit gescheiden wilt houden. hij wilt geen sync. Sowieso een koppeling of trust naar de holding is geen optie door bovenstaande reden. Maar als je de clients niet toevoegt aan domein zal je dus altijd een niet gesyncte userbestand hebben.
Link naar reactie
Ik begrijp het niet helemaal volgens mij... Je hebt een nieuw Windows 2008 domein, maar de computers zijn geen lid van dat domein, terwijl de gebruikers wel op het domein in moeten kunnen loggen? Klinkt als een ideaal uitgangspunt voor een trust... Bij een trust kunnen gebruikers uit domain A inloggen op domein B, terwijl de computers lid zijn van domein A, of B... Op die manier kun je gefaseerd de werkmaatschappij afsplitsen, zonder dat je al te veel ingewikkelde constructies moet bedenken.
Link naar reactie
  • 4 weken later...

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...