Altere a senha do Active Directory pela VPN

Editar:

Vejo pelos seus comentários que você não está fazendo a "relação de confiança do homem pobre" com contas locais, mas sim credenciais de pré-armazenamento em cache nos computadores clientes antes de enviá-las para fora do site.

Com isso em mente, você ainda realmente quer realmente uma solução VPN site-a-site, em vez de executar clientes VPN em cada computador cliente. Isso fará com que a pergunta que você está fazendo seja um ponto discutível. Seus computadores clientes não "saberão" que há uma VPN presente, e coisas como logons de domínio e diretiva de grupo, bem como alterações de senha, "funcionarão".

Meus olhos estão quase sangrando, mesmo pensando em ter que lidar com VPN de site para site e credenciais em cache em computadores clientes em tal ambiente.

Meus olhos estão sangrando porque estou em uma situação muito parecida com os usuários que trabalham em casa.

Minha experiência é que você pode acessar a VPN, em seguida, usar ctrl-alt-del para alterar o pw, então você precisa IMEDIATAMENTE bloquear e desbloquear o pc, isso irá atualizar as credenciais de login em cache.

Isso funcionou na maioria dos clientes que eu precisei usá-lo, no entanto, eu tive que não funcionar uma vez. Não faço ideia do que foi diferente, mas tenha cuidado. Eu tentaria em uma máquina não crítica primeiro.

Parece que na sua situação um site para VPN do site evitaria muita dor de cabeça.

Talvez eu esteja sentindo falta de algo, mas se eles alterarem a senha depois de se conectarem à VPN, ela deve funcionar bem.

EDIT: Ok, que tal isso para uma solução alternativa: A única razão que eu posso pensar em ter uma política que impede que os usuários alterem suas senhas é garantir que os administradores de sistema sempre saibam todas as senhas. Deixe essa política em vigor para qualquer usuário local.

Para os usuários remotos, desabilite essa política e simplesmente diga que eles não devem alterar suas próprias senhas até que você as instrua (e diga a elas como alterá-las). Então, quando chegar a hora de eles terem uma nova senha, você fará com que eles efetuem login, façam login na VPN e alterem a senha. Se você quiser ter certeza de que eles mudaram para o que você disse, você também pode alterá-lo no servidor.

Se o seu gerenciamento realmente quiser impor a política para usuários remotos, ative auditoria suficiente para ver se eles o alteram por conta própria.

Não sei se isso ajudaria, mas a VPN da Cisco permite a conexão antes do logon do Windows. O SonicWALL pode ter a opção semelhante.

No CiscoVPN, você acessa as Opções, as propriedades de Logon do Windows e, em seguida, a caixa de seleção Ativar início antes do logon.

Reinicie o laptop e você deverá ser solicitado pela VPN para o seu nome de usuário e senha da rede antes de fazer logon no Windows.

(percebo que este é um post antigo, mas pode ajudar os técnicos atuais)

É exatamente por isso que eu prefiro uma solução VPN de site para site de hardware. Eu sei que isso não ajuda especificamente com sua pergunta, mas ajudará dramaticamente com a maioria de seus problemas com o software VPN.

Poderia ser tão fácil quanto usar apenas alguns roteadores Adtran 2050 (ou até mesmo alguns roteadores Linksys de uso profissional funcionarão) para construir os túneis apropriados. Você está olhando para algumas centenas de dólares para economizar horas e horas de tempo.

A outra pergunta aqui é o que fazer para a mudança forçada da Diretiva de Grupo? Nós também fizemos com que nossos usuários mudassem suas senhas com o comando ctrl + alt + del e permitissem que mudassem suas senhas. No entanto, logo caímos sob a influência maligna da SOX e tivemos que forçar nossos usuários remotos a mudarem suas senhas a cada 30 dias (Anteriormente eles estavam isentos). No início, mandamos executar um script e enviamos um e-mail para os usuários da data de aproximação deles, e se eles não o alterassem manualmente, o script bloqueava a conta deles em 30 dias ou mais. No entanto, isso era obviamente menos que ideal. Usamos o Checkpoint, fizemos algumas investigações e descobrimos que eles tinham uma opção chamada "Secure Domain Logon". Basicamente, quando você entrou pela primeira vez em sua estação de trabalho, antes de qualquer outra coisa acontecer (diretamente após digitar seu nome de usuário / senha), seu cliente VPN apareceu. Você fez login na VPN e, em seguida, sua máquina fez o download de todas as suas Políticas de Grupo apropriadas, uma das quais foi forçada a alterar a senha a cada 30 dias. O usuário mudou sua senha e foi bom para ir.

O único problema possível era se eles estivessem usando contas de domínio em cache ... eles precisavam bloquear a máquina para armazenar em cache as credenciais.

Então amarre tudo isso ... talvez olhe para ver se o Sonic tem uma opção para permitir que seus usuários recebam seus GPs antes que a máquina faça o login. Caso contrário, o Site VPN faz tudo isso para você também.