Oggi parliamo di un fastidioso problema di mancata sincronizzazione della password dell’utente su un dominio di rete Active Directory che capita spesso con gli utenti aziendali che usano pc diversi in ufficio (es. un desktop) e a casa quando sono in smart working (es. un pc portatile). Il problema si presenta quando scade la password del dominio e l’utente la cambia in ufficio trovandosi poi a dover usare la password precedente quando è a casa invece della nuova appena modificata.
Facciamo uno scenario di esempio per capire bene il problema :
– lunedì l’utente lavora in ufficio in azienda su un pc desktop e gli scade la password del dominio, la cambia correttamente e se la annota
– martedì lo stesso utente lavora da casa in smart working collegandosi alla vpn aziendale su un pc portatile ma non riesce ad accedere al suo portatile aziendale con la nuova password (quella che ha impostato lunedì) ma è costretto ad usare quella precedente e potrebbe avere problemi nell’accedere alle risorse della lan aziendale (shares, stampanti, ecc…)
Il problema è legato al fatto che nonostante l’utente si colleghi alla vpn e quindi in teoria abbia accesso alla rete aziendale in realtà si trova ad usare la password in cache locale di Windows perchè il pc di casa non è riuscito a sincronizzare la nuova password di Active Directory con il server in azienda non essendo la macchina collegata fisicamente alla lan aziendale.
Per “forzare” la sincronizzazione in modo che possa usare la nuova password sono necessari alcuni passaggi :
– collegatevi al pc di casa con la vecchia password
– collegatevi alla vpn aziendale come fate di solito (ogni azienda ha il proprio metodo di collegamento vpn che varia a seconda del tipo di firewall o connessione remota che vi è stata messa a disposizione, di solito è un programma da eseguire o una connessione vpn creata direttamente in Windows, login e password della vpn potrebbero essere gli stessi che usate per il dominio o totalmente diversi, dipende dalla soluzione adottata dall’azienda)
– ora aprite un prompt dei comandi : start -> esegui -> cmd.exe
– quindi digitate il comando : runas /user:dominio\nome_utente cmd.exe
(ovviamente cambiate dominio e nome_utente con i vostri dati)
.
– il sistema vi chiederà di inserire la nuova password del dominio (quella cambiata lunedì in ufficio) perchè state “forzando” l’esecuzione di un comando con il vostro utente del dominio e in questo momento avete un collegamento diretto con la lan aziendale grazie alla vpn
– se avete inserito correttamente la password nuova del dominio vedrete aprirsi un altro prompt dei comandi cmd, li potete chiudere entrambi
– dopo pochi secondi / minuti Windows 10 / 11 dovrebbe notificarvi un popup in basso a destra che dice che dovete autenticarvi sul dominio con la nuova password (il sistema si è accorto che state usando una password vecchia)
– sia nel caso che appaia o no il popup dopo 30 sec / 1 minuto bloccate il pc con la solita sequenza di tasti
CTRL-ALT-CANC e quindi selezionate la voce Blocca come da immagine seguente :
.
– anche qui attendete circa 30 secondi e poi sbloccate il pc con la nuova password del dominio
– ora dovreste già avere accesso a tutte le risorse della rete aziendale (dischi condivisi di rete, stampanti, ecc..) che prima venivano negate perchè eravate collegati con la vecchia password in cache locale del pc
– per maggiore sicurezza fate un bel riavvio di Windows e vedrete che al logon la macchina vi chiederà di collegarvi con la nuova password del dominio, da questo momento in poi anche la password in cache locale del pc di casa sarà correttamente sincronizzata con quella del dominio (almeno fino al prossimo cambio password !)
Strano che Microsoft non abbia ancora trovato un modo automatico per sincronizzare le password modificate su pc diversi non collegati fisicamente alla rete aziendale se non via vpn come sono appunto i pc usati di solito per lo smart-working…….
