phil-de
Goto Top

Active Directory Gast Benutzer kein Internetzugriff bei MS Produkten?

Guten Morgen zusammen!

ich stehe momentan vor einem Problem! Ich soll für unsere Besprechungsräume eine Lösung ausarbeiten womit es nur noch einen Zentralisierten Benutzer für diese Räume gibt. Da wir Microsoft Teams verwenden, und sich die Mitarbeiter an dem Raum damit anmelden sollen, kam mir der Gast Benutzer in den Sinn (Automatischer Logout durch Temporäres Profil). Zur Installation von Microsoft Teams habe ich den Maschine Wide Installer von MS verwendet, damit die Installation vom Benutzer nicht selbst getätigt werden muss. Beim Login, wird Teams auch geladen. Teams schafft es nur leider nicht sich mit den MS Servern zu verbinden.

Der Gast Benutzer ist jetzt im Active Directory aktiviert, und man kann sich auch anmelden.
Nach dem Login bin ich leider auf folgende Probleme gestoßen:
- Windows 10 Startmenü kann nicht geöffnet werden. (Dadurch kein Herunterfahren oder Neustart möglich (shutdown /r geht z.B. auch nicht))
- Microsoft Edge hat kein Internet Zugriff (Google Chrome / Firefox hingegen schon)
- Netzwerksymbol erscheint nicht im Infobereich (W-Lan / Ethernet) <--- Nicht so wichtig, aber vielleicht ein Hinweis?
- Microsoft Teams kann nicht gestartet werden (Fehlermeldung: online_check_failed: exceeded retry attempts)
- Ansonsten funktioniert alles wie gewollt!

Weiß jemand wie man diese Probleme beheben kann? Sind das Richtlinien die noch festgelegt werden müssen?
Ich habe aktuell dazu leider recht wenig gefunden...

Danke euch!

Gruß Phillip

Content-ID: 3310845418

Url: https://administrator.de/forum/active-directory-gast-benutzer-kein-internetzugriff-bei-ms-produkten-3310845418.html

Ausgedruckt am: 27.12.2024 um 07:12 Uhr

alex1984
alex1984 11.07.2022 um 10:32:01 Uhr
Goto Top
Hallo,
würde darauf tippen da Teams eine Microsoft Anwendung ist du das selbe Problem hast wie beim Edge.
Irgendeine was blockiert die zwei Anwendungen.

Schau mal in der Ereignisanzeige ob es einen Hinweis gibt.

Versuch mal den Domain-Gäste User in die lokale Benutzergruppe von den PC hinzuzufügen ob er das Problem dann noch immer hat so kannst du ausschließen das es am AD liegt und nicht nur an den PC Richtlinien.


Schon mal überlegt einen eigenen "normalen" Benutzer anzulegen für den Besprechungsraum.
Und den dann alle Rechte auf allen Servern zu entziehen.


lg
emeriks
emeriks 11.07.2022 um 10:41:21 Uhr
Goto Top
Hi,
ich habe das selbst so nicht ausprobiert, aber unabhängig von dem von Dir genannten:

Der Gast-Benutzer hat doch kein dauerhaftes Profil. Also auch kein dauerhaft im Profil gespeichertes MS-Konto. Wie soll das da praktikabel funktionieren?

Euer AD ist über AADC an einem Tenant gebunden? Falls ja: Wie läuft da die Authentifizierung? Über Password-Hash-Sync oder Agent oder ADFS?

Ich kann mir nicht vorstellen, dass das mit DEM Gast-Konto funktionieren soll. Mal vom Sicherheitsaspekt ganz abgesehen.

E.
Phil-DE
Phil-DE 11.07.2022 um 10:42:56 Uhr
Goto Top
Also erstmal vielen Dank!

In der Ereignisanzeige steht leider gar nichts darüber...
Also als der Gast Benutzer kann ich die gar nicht öffnen, als Administrator gibt es keine Einträge darüber...

Ich habe Testweise auch den lokalen Gast Benutzer aktiviert und verwendet. Dieser hat leider die gleichen Probleme mit den gleichen Anwendungen. Also es muss ja schlussendlich an den Computer Richtlinien oder Sicherheitseinstellungen liegen, vermute ich zumindest...

Ja, die Idee hatte ich auch schon. Aber mir ist keine Lösung in den Sinn gekommen, wie man ein temporäres Profil erstellen kann ohne auf Drittanbieter Software zugreifen zu müssen.
Phil-DE
Phil-DE 11.07.2022 um 10:47:04 Uhr
Goto Top
Zitat von @emeriks:

Hi,
ich habe das selbst so nicht ausprobiert, aber unabhängig von dem von Dir genannten:

Der Gast-Benutzer hat doch kein dauerhaftes Profil. Also auch kein dauerhaft im Profil gespeichertes MS-Konto. Wie soll das da praktikabel funktionieren?

Euer AD ist über AADC an einem Tenant gebunden? Falls ja: Wie läuft da die Authentifizierung? Über Password-Hash-Sync oder Agent oder ADFS?

Ich kann mir nicht vorstellen, dass das mit DEM Gast-Konto funktionieren soll. Mal vom Sicherheitsaspekt ganz abgesehen.

E.

Genau, es soll auch kein Dauerhaftes Profil sein. Es soll lediglich die Möglichkeit bestehen sich dort damit anzumelden um dann halt an Teams Sitzung teilzunehmen.

Wie es angebunden ist, kann ich dir gar nicht so genau sagen. Wir haben schlussendlich unseren AD-Server auf dem unsere Benutzer angelegt sind, mit deren Kennwörtern. Diese melden sich dann einfach per Kennwort an.

Sinn des Gast Kontos ist es doch, temporär an einem Gerät zu arbeiten damit die Daten bei einer Abmeldung nicht mehr vorhanden sind.

Ursache des ganzen sind die Roaming Profile. Diese müllen die Platte leider sehr voll, und von den Zeiten des Login Vorgangs ganz abgesehen...
emeriks
emeriks 11.07.2022 um 10:55:05 Uhr
Goto Top
Ich würde ein dediziertes AD-Konto für die Besprechungsräume erstellen. Entweder eins für alle Räume oder für jeden Raum ein eigenes.
Phil-DE
Phil-DE 11.07.2022 aktualisiert um 10:59:42 Uhr
Goto Top
Zitat von @emeriks:

Ich würde ein dediziertes AD-Konto für die Besprechungsräume erstellen. Entweder eins für alle Räume oder für jeden Raum ein eigenes.

Aber wie würde es denn funktionieren wenn sich MS Teams dort automatisch bei einer Abmeldung, dort abmeldet.
Kann man AD-Profile als Temporäres Profil anlegen, der quasi auch angelegte Daten löscht?

Geht schließlich ja um Datenschutz bezüglich der angemeldeten Benutzer...
emeriks
Lösung emeriks 11.07.2022 aktualisiert um 11:03:52 Uhr
Goto Top
Man kann einen Domain Member per GPO konfigurieren, dass er bei Abmeldung die lokalen Profile löschen soll.
Wenn der Benutzer dann kein Roaming Profile hat, dann wird er jedes Mal mit einem neuen Profil angemeldet.
Oder man setzt Mandatory Profiles ein.

Allerdings erschließt sich mir der Sinn nicht ganz:
Es ist doch sicherlich gewollt, dass dieses Benutzer dann automatisch auch im Teams angemeldet wird, oder?
Falls ja, dann muss entweder im Profil ein MS-Konto eingetragen sein oder das AD-Konto mit AADC ins Azure synchronisiert werden.
Falls erstes, dann macht es doch keinen Sinn, das Profil immer wieder zu löschen, weil dann auch das MS-Konto nicht mehr konfiguriert ist? Oder?
Falls zweites, dann macht das nur mit einem dedizierten Konto Sinn.
Phil-DE
Phil-DE 11.07.2022 um 11:16:31 Uhr
Goto Top
Zitat von @emeriks:

Man kann einen Domain Member per GPO konfigurieren, dass er bei Abmeldung die lokalen Profile löschen soll.
Wenn der Benutzer dann kein Roaming Profile hat, dann wird er jedes Mal mit einem neuen Profil angemeldet.
Oder man setzt Mandatory Profiles ein.

Allerdings erschließt sich mir der Sinn nicht ganz:
Es ist doch sicherlich gewollt, dass dieses Benutzer dann automatisch auch im Teams angemeldet wird, oder?
Falls ja, dann muss entweder im Profil ein MS-Konto eingetragen sein oder das AD-Konto mit AADC ins Azure synchronisiert werden.
Falls erstes, dann macht es doch keinen Sinn, das Profil immer wieder zu löschen, weil dann auch das MS-Konto nicht mehr konfiguriert ist? Oder?
Falls zweites, dann macht das nur mit einem dedizierten Konto Sinn.

Okay, werde ich dann nachher mal versuchen. Danke!

Der Sinn besteht darin, das nicht jeder Mitarbeiter ein AD-Konto oder MS-Konto hat. Dafür die Zentralisierte Lösung damit jeder Mitarbeiter die Möglichkeit hat, eine Präsentation vorzustellen, an einer Teams Sitzung teilzunehmen, etc.

Die MS-Teams Konten sind auch noch nicht mit den AD Konten verknüpft. Dies ist bisher noch nicht geschehen, daher müssen die sich eh bei Teams anmelden dann. Zugriff auf Ihre Dateien und co. würden die Mitarbeiter dann über eine RD-Sitzung auf deren Rechner erhalten. Über RD lässt sich nur leider kein Bild und Ton von MS-Teams übertragen. Daher muss MS-Teams direkt auf dem Client laufen.

Und es gibt immer Leute die vergessen sich abzumelden, und daher aus Datenschutzrechtlicher Sicht muss ein Automatischer Log-Off durch das Löschen der MS-Teams Daten durchgeführt werden. Wäre denke ich der einfachste Weg... Ich meine nicht jeder MA soll ja mitbekommen was der BR mit der GL schreibt, etc. ;)
emeriks
emeriks 11.07.2022 um 11:20:48 Uhr
Goto Top
Es gibt auch spezielle Raumsysteme für sowas. Quasi "Computer mit eingebautem Teams".

suche mal nach
"MS Teams Raumsystem"
"teams conferencing system"
o.ä.
alex1984
alex1984 11.07.2022 aktualisiert um 11:36:31 Uhr
Goto Top
Du könntest ein Script schreiben das beim abmelden von einem Benutzer aktiviert wird über den Taskplaner.
Darin löscht du dann das Profile auf dem PC.

Computerverwaltung-> Aufgabenplanung -> Neue Aufgabe erstellen -> Trigger -> neu -> Bei Trennung von Benutzersitzung -> Bestimmter Benutzer -> Gast auswählen.

Dann Aktionen und eine kleine Bat Datei schreiben die das Profil löscht.
C:\PL\profillöschen.bat

Achtung da könnte es sein das der Task lokale Admin Rechte braucht.

Hier könntest du dann auch einen nicht Gast Benutzer nehmen.
Phil-DE
Phil-DE 11.07.2022 um 13:51:46 Uhr
Goto Top
Ich habe das jetzt über die Mandatory Profiles gelöst. Funktioniert echt zuverlässig!
Danke euch!