Seneste forumindlæg
Køb / Salg
 * Uofficiel Black/White liste V2
Login / opret bruger

Forum \ Software \ Operativsystemer
Denne tråd er over 6 måneder gammel

Er du sikker på, at du har noget relevant at tilføje?

Manuelt passwordskift i AD uden admin skal sætte f...

Af Maxibruger Martin Lohse | 10-12-2019 16:14 | 1284 visninger | 12 svar, hop til seneste
Kort om vores miljø på skolen: Virtuelt miljø med Server 2019, hvor elever tilgår VDI. Miljøet bruger Hyper-V. Der udkommer nyt unilogin med nye sikkerhedskrav. Derudover vil Unisync stoppe, da STIL´s nye holdning er, at der ikke må synkroniseres passwords mellem deres servere og lokale AD. Dette gør, at vi enten kan gå IdP vejen eller køre et lokalt AD parallelt med Stil´s Unilogin Broker. Vi har valgt det sidste – især da vi skal stå for alt sikkerhed samt brugeroprettelse osv. Politikken fra Stil er, at elever i udskolingen skal ændre deres password 1 gang om året, eller ved behov, hvis de glemmer deres password. Det vil ikke være muligt længere, at logge ind på brugeradministration.emu.dk for at se deres login + password længere. Ændringen af password kan lærere gøre på hjemmesiden elevadgang.dk. Dette leder mig hen i retning af, at jeg kan se, Microsofts webclient er blevet opdateret, hvor det nu er muligt, at ændre passwords heri. Dette har jeg aktiveret på begge vores RDweb-servere. Fordelen er netop, at eleverne selv ville kunne ændre deres password efterhånden som, de ændrer deres Uniloginpassword – groft sagt, at de selv synkroniserer, når de foretager en ændring. Dog kan jeg se, at jeg fortsat manuelt skal sætte flueben i, at eleverne selv skal ændre deres password i AD, hvis de faktisk skal kunne ændre deres password. Dette leder mig hen imod mit spørgsmål – Er det muligt at gøre således, at en bestemt brugergruppe selv kan ændre sine passwords uden jeg har behov for at skulle sætte et flueben. Kan dette ikke lade sig gøre, vil vi skulle tildele eleverne et unikt brugerlogin + password, som kun anvendes på vores domæne. Stil anbefaler, at man bruger noget andet end deres normale Unilogin brugerID, hvis man ikke, på en eller anden måde, kan synkronisere deres password. Jeg vil allerhelst se, om jeg kan holde mig til et brugerID og et password. Jeg vil gerne se, om jeg kan holde mig fra tredjepartsprogrammer. Mvh Martin
--
#1
h-m
Gigabruger
10-12-2019 21:28

Rapporter til Admin
Hej Martin. Ud fra at jeres elever bruger unilogin til at logge på rigtig mange ting, ville jeg aldrig turde gå andre veje end ADFS. Jeg synes I evt. skal tage en dialog med In-Logic, som leverer løsninger til mange skoler. Mvh Michael
--
#2
Maks
Gæst
10-12-2019 21:32

Rapporter til Admin
Alternativ: powershell script der kører gruppen igennem og sætter flaget som ønsket, scheduleret.
--
Gæstebruger, opret dit eget login og få din egen signatur.
#3
Martin Lohse
Maxibruger
10-12-2019 23:39

Rapporter til Admin
#1 Mit AD skal slet ikke have noget med Unilogin at gøre, så jeg tænker ikke der er brug for ADFS i dette henseende. Eneste "forbindelse" er, at jeg gerne vil have eleverne selv til at opdatere deres password, når denne skal ændres. Mht. #0 Så skal vi stå for alt sikkerhed, hvis vi vælger selv at opsætte IdP - dette er skolen (Privatskole) alt for lille til, at skulle bruge ressourcer på, hvorfor jeg ikke vil gå denne vej.
--
Sidst redigeret 10-12-2019 23:41
#4
tuwk
Semi Nørd
11-12-2019 13:48

Rapporter til Admin
STIL præsenterer et produkt i januar 2020, som vil aktivere sync mellem lokale ADs og STIL. Men de præsenterer det først kort tid inden at det træder i kraft. I uge 8. Ugen efter ferien. Ugen hvor terminsprøver ligger. Fuck en omgang idioti.
--
Jeg synes, at en signatur er unødvendig.
#5
potteplante
Mega Supporter
11-12-2019 14:13

Rapporter til Admin
Det lidt sjovt at læse om, på hol, når selv står i samme synsvinkel. Vi har heldigvis aldrig brugt deres uni-login til login i vores AD.. _______________ Dette leder mig hen i retning af, at jeg kan se, Microsofts webclient er blevet opdateret, hvor det nu er muligt, at ændre passwords heri. Dette har jeg aktiveret på begge vores RDweb-servere. Fordelen er netop, at eleverne selv ville kunne ændre deres password efterhånden som, de ændrer deres Uniloginpassword – groft sagt, at de selv synkroniserer, når de foretager en ændring. Jeg ikke sikker på at jeg forstår denne del? Passwordet vil da aldrig synkronisere mm. Bruger selv aktivt ændre passwordet først i AD'et og efterfølgende hos STIL?? og som #2 er inde på kan du vel gøre det i powershell.
--
Google is your friend!
#6
|Smash|
Guru
11-12-2019 14:17

Rapporter til Admin
#5 - Han nævner RDWeb, så mon ikke det bare er muligheden for at ændre password fra RD Web Access. https://nedimmehic.org[...]
--
FFHAU!
#7
potteplante
Mega Supporter
11-12-2019 15:06

Rapporter til Admin
#6 Det var noget i den retning jeg tænkte. Men så ryger den "sync" del. Da jeg forstiller mig det var noget med at sætte passwordet til at udløbe. en gang om året som uni-c loginet gør. Hvis eleven så selv går ind og ændre sit sit password. "før tid" så vil det jo først udløbe et år efter de har lavet det nye password. Og derfor ikke være ens med det de nu har lavet til uni. Kan være jeg hænger mig i detaljer?
--
Google is your friend!
#8
|Smash|
Guru
11-12-2019 15:18

Rapporter til Admin
#7 - Som jeg læser det, så er det "sync" en manuel proces og brugeren skal selv sørge for at password er ens begge steder, hvis det ønskes. Til alle andre - det er vidst dette scenarie #0 er ude i. https://viden.stil.dk[...] Edit: Jeg havde nok selv gået IdP vejen.
--
FFHAU!
--
Sidst redigeret 11-12-2019 15:22
#9
Martin Lohse
Maxibruger
11-12-2019 15:52

Rapporter til Admin
#4 Er du sikker - jeg synes ellers meldinger fra Stil er, at der ikke skal synkroniseres password mellem Stil og lokale AD - de nævnte de på webinar i mandags. Unisync vil fortsat køre, men der vil ikke blive synkroniseret passwords efter uge 8 mener jeg det var. #5 Se #6 #6 Præcis. Det er så deres html5 klient, som netop er blevet opdateret. #7 Du har netop lige fat i en af detaljerne ift. af være administrator på en skole uden IT-uddannelse. Jeg vil gerne have, at elevernes password er ens med deres uniloginpassword, da de ganske enkelt ikke kan huske det. Ændrer de det før tid, skal jeg ind og give dem lov til at ændre i AD´et. Dette vil jeg gerne undgå for at skabe et fornuftigt flow i dagligdagen. Da jeg ikke har nogen IT-uddannelse, men blot er autodidakt, så er PS ikke lige min stærke side. #8 Jeg var også først hut på IdP vejen, men da jeg på webinar hørte om de krav det vil stille til os, så vælger jeg ikke at gå i den retning. Især da jeg kun er en simpel folkeskolelærer, men med en rimelig god IT-viden. Havde vi en ren IT-afdeling gav det klart mening. #Alle - Vi har ikke haft opsat Unisync på vores DC - jeg har sørget for manuelt at lægge de ca 70 brugere ind, som starter på skolen hvert år. Det jeg blot ønsker er, at brugeren manuelt har mulighed for at ændre sit password på vores domæne, når de har ændret det hos Uni-C. Det kan være jeg skyder gråspurve med kanoner, men jeg har altid gerne villet være på forkant, således hverdagen er så gnidningsfri som muligt. Indtil videre har der ikke være problemer med glemte passwords - dem har jeg kunnet finde frem via brugeradministrationen hos Stil - dette kan man dog ikke i fremtiden, og da der bliver mulighed for, at den enkelte lærer kan nulstille passwords for elever i hverdagen, så tænker jeg, der sker lidt hyppigere end allerede. Derudover vil jeg også gerne sikre mig, at når brugeren vil blive bedt om at ændre sit password af Uni-C, så kan man selv gøre det på vores DC også. Jeg ved ikke, om det vil være den samme dato for alle brugere, eller et password vil fungere et år fra det er lavet. Derved vil brugere, som lejlighedsvis har fået nulstillet deres password i løbet af året, opleve en anden ændringsdato. Er der problemer med login, ved jeg jo godt hvem de (elever og lærere) vil komme til, og jeg har også min almindelige undervisning, jeg gerne vil gennemføre uden forstyrrelser.
--
#10
tuwk
Semi Nørd
11-12-2019 22:59

Rapporter til Admin
#9 Næh. Jeg hører kun hvad min CTO fortalte på et møde tidligere på ugen, efter han havde talt med dem.
--
Jeg synes, at en signatur er unødvendig.
#11
anox
Gæst
12-12-2019 00:42

Rapporter til Admin
Det er lidt svært at finde rundt i, hvad teknologi der ligger bag. Så du må ret mig hvis jeg tager fejl. I starten fortæller du, at du ikke mere kan se brugernavn og password i UNI-C? I så fald, vil du aldrig kunne sikre at password er det samme i AD. Jeg kender ikke til Microsoft VDI (har erfaring med Citrix), men vil tro at ctrl+alt+del og change password er den simpelste løsning for dine elever. Har brugeren glemt sit password, skal vedkommende alligevel forbi IT-kontoret for at verificere sin identitet. Du kan lave delegate i AD og give lærer udviddet rettigheder til at ændre passwords. Du højreklikker på den pågældende OU af brugere og vælger delegate.
--
Gæstebruger, opret dit eget login og få din egen signatur.
#12
potteplante
Mega Supporter
12-12-2019 11:56

Rapporter til Admin
#9 umiddelbart tror jeg ikke der nogen god løsning på det. De kommer bare til at have 2 bruger. der forskellige fra hinanden. Det jeg mest bange for er, hvor meget de tager væk fra admins? For det lyder som om at kun brugerne selv, der kommer til at skulle stå for at resætte deres password. så de IT svage elever/kursister står tilbage. #11 det var heller ikke en rigtig sync han snakker om. Det som han gerne ville opnå var at brugernes kode udløb på samme tid. og her efter ændre koden begge steder til samme.
--
Google is your friend!

Opret svar til indlægget: Manuelt passwordskift i AD uden admin skal sætte f...

Grundet øget spam aktivitet fra udlandet, er det desværre ikke muligt for dig, at oprette svar som gæst.

Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.

Opret bruger | Login
NYHEDSBREV
Afstemning