PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Passwort ändern unmöglich machen



mamue
20.01.05, 11:27
Hallo,
ich war überrascht, dass es bei mir neuerdings einfach möglich ist, unter Windows sein eigenes Domänenkennwort zu ändern. Früher (3.0.3) gab es da noch erheblich Schwierigkeiten, weil das Kennwort nicht oder nicht immer auch beim BDC geändert wurde.
Bevor ich das freigebe möchte ich das erst einmal testen, vor allem aber bis dahin abschalten.
Weiß jemand, auf welchen Wert ich sambaPwdCanChange und SambaPwdMustChange setzen muß, damit das Ändern nicht möglich aber auch nicht nötig ist? Oder kann ich das einstweilen global in der smb.conf abschalten?

Danke,
mamue

Edit: Daß das nicht funktionierte lag sicher eher an mir, denn an samba.

mamue
20.01.05, 11:57
Mein erster Vorschlag wäre, SambaPwdCanChange und SambaPwdMustChange auf 9999999999 (10*9) zu setzen.
Kann mir jemand sagen, ob das eine blöde Idee ist?

Danke,
mamue

emba
21.01.05, 10:52
das hat bei mir nicht funktionier

was funktionieren könnte


To change a users SMB password, the smbpasswd by default connects to the localhost - 127.0.0.1
address as an SMB client to issue the password change request. If bind interfaces only is set then unless the
network address 127.0.0.1 is added to the interfaces parameter list then smbpasswd will fail to connect in it's
default mode. smbpasswd can be forced to use the primary IP interface of the local host by using its
smbpasswd(8) -r remote machine parameter, with remote machine set to the IP name of the primary interface
of the local host

greez

mamue
21.01.05, 15:56
Auch nicht schlecht!
Ich hoffe, das sorgt nicht dafür, dass die PC aus der Domäne fliegen, wenn sie ihr "shared secret" mit dem PDC erneuern wollen?

Danke,
mamue

emba
21.01.05, 17:33
Ich hoffe, das sorgt nicht dafür, dass die PC aus der Domäne fliegen, wenn sie ihr "shared secret" mit dem PDC erneuern wollen?
das würde mich auch interessieren, obwohl du die periodische änderung des "shared secret" auch unterbinden kannst

greez

mamue
21.01.05, 22:13
das würde mich auch interessieren, obwohl du die periodische änderung des "shared secret" auch unterbinden kannst

greez

Meines Wissens geht das nur über entsprechende registry-Einträge auf den Clients? Ich mußte das schon gelegentlich machen, wenn die PC eine reborn oder PC-Wächter Karte haben. Ich habe das aber nicht bei allen PC eingestellt.

Danke,
mamue

emba
25.01.05, 13:05
Meines Wissens geht das nur über entsprechende registry-Einträge auf den Clients?
jep, ich glaube mich auch zu erinnern, dass das so war - also auch keine rechte lösung :(

greez

Windoofsklicker
25.01.05, 13:25
Wird das SharedSecret nicht sogar bei jeder Anmeldung neu ausgehandelt?
Es gibt AFAIK Windows-Tools, die daran ausmachen, wann ein Client das letzte Mal angemeldet waren.