VPN経由でActiveDirectoryのパスワードを変更する

在宅勤務のユーザーと非常によく似た状況にあるため、目が出血しています。

私の経験では、VPNにログインし、ctrl-alt-delを使用してpwを変更し、すぐにPCをロックおよびロック解除する必要があります。これにより、キャッシュされたログイン資格情報が更新されます。

これは、使用する必要のあるクライアントの大部分で機能しましたが、一度も機能しませんでした。何が違うのかわかりませんが、注意してください。最初に重要ではないマシンで試してみます。

あなたの状況では、サイト間VPNが多くの頭痛を防ぐように聞こえます。

これが役立つかどうかはわかりませんが、Cisco VPNでは、Windowsにログオンする前に接続できます。 SonicWALLにも同様のオプションがあります。

CiscoVPNでは、[オプション]、[Windowsログオンプロパティ]からアクセスし、[ログオン前に開始を有効にする]チェックボックスをオンにします。

ラップトップを再起動すると、Windowsにログオンする前に、VPNからネットワークユーザー名とパスワードの入力を求められます。

（これは古い投稿だと思いますが、現在のTechsに役立つ可能性があります）

何かが足りないかもしれませんが、VPNに接続した後にパスワードを変更すれば、問題なく動作するはずです。

編集：わかりました、回避策としてこれはどうですか：ユーザーがパスワードを変更できないようにするポリシーがあると私が考えることができる唯一の理由は、システム管理者が常にすべてのパスワードを知っていることを確認することです。ローカルユーザーに対しては、そのポリシーをそのままにしておきます。

リモートユーザーの場合は、そのポリシーを無効にし、指示するまで（そして何に変更するかを指示するまで）自分のパスワードを変更しないように指示するだけです。次に、新しいパスワードを取得するときが来たら、ログインしてVPNにログインし、パスワードを変更します。彼らがあなたが彼らに言ったことにそれを変更したことを確認したい場合は、サーバー上でそれを変更することもできます。

管理者が本当にリモートユーザーにポリシーを適用したい場合は、十分な監査をオンにして、ユーザーが自分でポリシーを変更したかどうかを確認できます。

ここでのもう1つの質問は、グループポリシーの強制変更をどうするかです。私たちもユーザーにctrl + alt + delでパスワードを変更してもらい、それによってユーザーはパスワードを変更できるようになりました。しかし、すぐにSOXの悪影響を受け、リモートユーザーに30日ごとにパスワードの変更を強制する必要がありました（以前は免除されていました）。最初にスクリプトを実行して、ユーザーに近づいてくる日付をメールで送信しました。ユーザーが手動で変更しなかった場合、スクリプトは30日以上でアカウントをロックアウトしました。しかし、それは明らかに理想的とは言えませんでした。チェックポイントを使用し、調査を行ったところ、「セキュアドメインログオン」というオプションがあることがわかりました。基本的に、最初にワークステーションにログインしたとき、何かが起こる前に（ユーザー名/パスワードを入力した直後に）、VPNクライアントが起動しました。 VPNにログインすると、マシンは適切なグループポリシーをすべてダウンロードしました...そのうちの1つは、30日ごとにパスワードの変更を強制されました。ユーザーはパスワードを変更し、問題なく使用できました。

考えられる唯一の問題は、キャッシュされたドメインアカウントを使用していた場合でした...資格情報をキャッシュするためにマシンをロックする必要がありました。

したがって、これをすべて結び付ける...おそらく、マシンがログインする前にユーザーがGPを取得できるようにするオプションがSonicにあるかどうかを確認してください。そうでない場合は、SiteVPNがすべてを行います。

これがまさに、私がハードウェアのサイト間VPNソリューションを好む理由です。私はそれがあなたの質問に特に役立たないことを知っています、しかしそれはソフトウェアVPNに関するあなたの問題の大部分に劇的に役立つでしょう。

Adtran 2050ルーターを2台使用するだけで（または一部のコンシューマーグレードのLinksysルーターでも機能します）、適切なトンネルを構築するのと同じくらい簡単です。あなたは何時間も何時間も節約するために数百ドルを見ています。