Giu30202330 Giugno 202330 Giugno 20230Commentidi Ermanno Goletto

Forzare il refresh della password di un account Windows quando si utilizza una VPN

Pubblicato in Security, Tips

Una problematica comune quando gli utenti si connettono all’infrastruttura aziendale basata su Active Directory tramite connessioni VPN è quella di avere la password non sincronizzata.

Questa situazione può succedere se la password è scaduta ed è stata modificata dall’utente su un computer differente da quello da cui si sta eseguendo la VPN, per esempio se in ufficio l’utente utilizza un computer desktop e quando è in smartworking utilizza per esempio un computer portatile. In questo scenario il computer utilizzato per connettersi tramite VPN ha in cache ancora la password precedente, a riguardo si veda Cached domain logon information – Windows Server | Microsoft Learn:

“When you log on to Windows by using cached logon information, if the domain controller is unavailable to validate your account, you cannot access network resources that require domain validation. However, you can access network resources that do not require domain validation.

Through the Registry Editor or a Registry Console Tool (reg.exe), you can change the number of previous logon attempts that a server will cache. The valid range of values for this parameter is 0 to 50. A value of 0 turns off logon caching and any value above 50 will only cache 50 logon attempts. By default, all versions of Windows remember 10 cached logons except Windows Server 2008.”

Cached logon information is controlled by the following key:

  • Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
  • Value name: CachedLogonsCount
  • Data type: REG_SZ
  • Values: 0 – 50

Any changes you make to this key require that you restart the computer for the changes to take effect.

In questo caso occorre connettersi al computer con la password precedente scaduta, quindi utilizzare la password corrente per connettersi alla VPN.

Nonostante la connessione VPN venga instaurata l’utente si troverà a lavorare in una situazione non coerente dal momento che la sessione utente è stata avviata con la password scaduta e la connessione VPN con la password corrente e ciò può causare problemi durante l’accesso a risorse di rete ed anche il blocco dell’account utente.

Per ripristinare una situazione coerente dal punto di vista dell’autenticazione occorre forzare il refresh della password dell’account e per farlo si può procedere in questo modo:

  1. Connettersi al computer utilizzando la password scaduta
  2. Connettersi alla VPN utilizzando la  password corrente
  3. Bloccare il computer premendo la combinazione di tasti [Tasto Windows] + [Tasto L]
  4. Sbloccare il computer inserendo la password corrente e ciò causerà la sinocronizzazione tra il computer locale e il dominio Active Directory
  5. Eseguire il logout
  6. Ora è possibile connettersi al computer con la password corrente

In alternativa è possibile è anche possibile utilizzare la seguente procedura:

  1. Connettersi al computer utilizzando la password scaduta
  2. Connettersi alla VPN utilizzando la  password corrente
  3. Aprire il prompt dei comandi
  4. Digitare il comando runas /user:<domain>\<username> cmd
  5. Digitare la password corrente e ciò causerà la sinocronizzazione tra il computer locale e il dominio Active Directory
  6. Eseguire il logout
  7. Ora è possibile connettersi al computer con la password corrente