Da wir öfter das Thema “was passiert, wenn auf meinem Firmennotebook zu Hause mein Passwort abläuft” hören, möchten wir heute etwas Einblick dazu geben.
Autor ist mein Kollege Roland Wacker, Escalation Engineer im Premier Active Directory Team und Owner des DEDS Blogs: http://blogs.technet.com/b/deds/archive/2011/05/24/aendern-abgelaufener-benutzerkennwoerter-nach-vpn-einwahl-mittels-switch-user.aspx

 

Hallo, hier wieder einmal Rol, heute mit einem Thema zu abgelaufenen Benutzerkennwörtern und Swich User.
Für diejenigen, welche sich evtl auch schon unter Vista mit dem Feature befasst haben, ist das vermutlich nichts Neues. Jedoch gibt es einige Windows 7 Rollout Situationen, wo das Thema durch den Umstieg von XP und dem ungewohnten Verhalten wieder interessant wird.
Im aktuellen Szenario hatte der Benutzer die Notification Balloons zur Passwortänderung nicht wahrgenommen. Mit seinem Laptop hatte er hauptsächlich mit Cached Credentials gearbeitet und sich nur gelegentlich mit VPN ins Firmennetz verbunden (ob eine Einwahl oder ggf sogar eine direkte Passwortänderung beim Einwahlvorgang ermöglicht wird, wenn das Passwort schon abgelaufen ist, ist natürlich abhängig vom VPN Client).
Problem: Inzwischen war jedoch sein Passwort abgelaufen, was zunächst keinen Einfluß auf die Anmeldung mit Cached Credentials hatte. Nach gelungener VPN Einwahl und dem Sperren des Windows 7 Clients, begannen dann aber die Probleme. Ein Entsperren war nicht mehr möglich, folgende Meldung war erschienen:

image

Der gewitzte Benutzer hatte dann zwar herausgefunden, daß er sich zwar wieder mit Cached Credentials anmelden kann, wenn er das Netzwerkkabel gezogen hatte - aber der Zugriff auf Netzwerkressourcen über VPN war ihm weiterhin verweigert worden. Er kann in dem Zustand mit abgelaufenen Passwort kein gültiges Ticket erhalten.

Spielen wir jetzt doch einfach den Vorschlag aus obiger Fehlermeldung durch, die Passwortänderung mittels “Switch User” durchzuführen.

Anmerkung: Um das Verhalten bei abgelaufenen Passwort nachzustellen, habe ich in meiner Testumgebung für den Domänenbenutzer RW8R2\User1 dessen User Attribut pwdLastSet im Active Directory mit ADSIEdit.msc auf den Wert “0” gesetzt, was einem abgelaufenen Passwort gleichkommt.

Wenn wir bei obiger Meldung OK” drücken, erhalten wir zunächst wieder den Entsperr-Dialog mit Passworteingabe.

image

Diesen brechen wir jedoch mit “Cancel” ab und erhalten dann den allgemeinen Entsperr-Dialog.

image

Hier können wir jetzt die "Switch User" Option auswählen.

image

Im “Switch User” Dialog wählen wir jetzt “Other User” aus.

image

Wir geben hier dann aber wieder User1 an, dessen Session derzeit nicht entsperrt werden kann. Da eine Verbindung zum DC nun jedoch möglich ist, bekommt Winlogon über den Netlogon Dienst mitgeteilt, daß das Passwort geändert werden muß.

image

Nach Bestätigen mit “OK” erscheint nun der Passwort-Änderungsdialog.

image

Hier haben wir nun Gelegenheit, das abgelaufenen Passwort zu ändern. Die Änderung erfolgt im Active Directory als auch in den lokalen Cached Credentials.

image

Wenn wir nach erfolgreicher Änderung hier “OKklicken, landen wir automatisch in der vorher gesperrten User Session und können direkt weiterarbeiten.

Seit Vista gibt es übrigens einen Fix, der den Vorgang ermöglicht, auch wenn Fast User Switching sonst deaktiviert ist. Siehe KB Artikel
958900 Error message when you try to unlock a Windows Vista-based or a Windows Server 2008-based computer that has the Fast User Switching feature disabled: "The password for this account has expired"; http://support.microsoft.com/default.aspx?scid=kb;EN-US;958900

Ich hoffe das bringt ein wenig Klärung zum Thema Passwortänderung mittels “Switch User”.

Damit sonnige Mai-Grüße aus München, Rol