Interaktive Anmeldung: Zum Entsperren muss der Domänencontroller authentifiziert sein

0

Interaktive Anmeldung: Zum Entsperren ist eine Domänencontrollerauthentifizierung erforderlich

enter image description here

Szenario: Ich war bei einer Windows 7 x 64 Enterprise N SP1-Domäne angemeldet, die einem Desktopcomputer beigetreten ist, der über ein LAN-Kabel mit dem Unternehmensnetzwerk verbunden ist. Ich habe versucht, mein Domänenbenutzer-ID-Kennwort über das Self-Service-Update-Webportal zu ändern. Es hat sich erfolgreich geändert. Dann habe ich den Computer mit der Taste WIN + L gesperrt.

Da ich mich nicht mit einem neuen Passwort am Computer angemeldet habe, wurde das neue Passwort nicht zwischengespeichert. Was passiert ist, konnte ich den Computer nur einmal mit zwischengespeicherten Anmeldeinformationen (altes Passwort) entsperren. Ich habe erneut versucht, die Sperre aufzuheben und konnte die Sperre nicht mit zwischengespeicherten Anmeldeinformationen (altes Kennwort) aufheben. Hier steht, dass Benutzername oder Passwort korrekt sind. Dann konnte ich den Computer nur mit einem neuen Kennwort entsperren, das vom Domänencontroller authentifiziert wurde.

Wenn diese Einstellung aktiviert ist, muss ein Domänencontroller gemäß der definierten Richtlinie (siehe Abbildung im Anhang) das Domänenkonto authentifizieren, das zum Entsperren des Computers verwendet wird.

In meinem Fall ist die Richtlinieneinstellung jedoch deaktiviert. Windows verwendete weiterhin neue Domänenanmeldeinformationen und kontaktierte den Domänencontroller, um das Domänenkonto zu authentifizieren, anstatt zwischengespeicherte Anmeldeinformationen zu verwenden (wenn die Einstellung deaktiviert ist). Was ist der Grund und warum ignorierte Windows die Anwendung der richtigen Richtlinienaktion?

Da es sich bei dieser Arbeitsstation um eine lokale Richtlinie handelt, dachte ich, dass dies durch Gruppenrichtlinien erzwungen werden könnte. Also habe ich RSOP.MSC ausgeführt und festgestellt, dass diese Richtlinieneinstellungen dort nicht einmal definiert wurden. Dies bedeutet, dass dies nicht durch eine Domänengruppenrichtlinie verursacht oder erzwungen wird.

G-1
quelle
"Das bedeutet also, dass dies nicht durch eine Domänengruppenrichtlinie verursacht oder erzwungen wird." - Dies gilt nur, wenn "nicht definiert" "deaktiviert" bedeutet. Ist dies der Fall? Aktualisieren Sie Ihre Frage, um anzuzeigen, dass Sie festgestellt haben, ob die Richtlinie aktiviert / deaktiviert ist, wenn sie "nicht definiert" ist. Sie haben die Richtlinie nicht aus dem AD bereitgestellt, sodass die Gruppenrichtlinieneinstellung Ihres lokalen Computers nicht wirklich hilfreich ist.
Ramhound
Ja ich verstehe das. Ich habe nur gesagt, dass der von Ihnen bereitgestellte Screenshot nicht die Ausgabe von RSOP.MSC ist. Geben Sie die relevante Ausgabe von an gpresult /Scope User /v und gpresult /Scope Computer /v
Ramhound
Ich habe RSOP.MSC auf einer lokalen Workstation ausgeführt. Navigiert zu Computerkonfiguration - & gt; Richtlinie - & gt; Windows-Einstellungen - & gt; Sicherheitseinstellungen - & gt; Lokale Richtlinien - & gt; Sicherheitsoptionen Interaktive Anmeldung: Domänencontroller-Authentifizierung zum Entsperren erforderlich Wert: Nicht definiert Derzeit sind weder die gpresult-Ausgabe noch der RSOP.MSC-Screenshot verfügbar.
G-1
Haben Sie versucht, es speziell zu deaktivieren? dann mache a gpupdate /force?
Ramhound
1
..... Du musst es auf dem AD-Server natürlich dann auf dem Client gpupdate / force machen. Dies kann nur behoben werden, wenn Sie Administrator in der Domäne sind.
Ramhound