9
Domäne Erreichbarkeit durch VPN
Hallo,
wir möchten unsere Externen Büros / Mitarbeiter auf den Baustellen mit in die Domäne holen.
Aktuell hat jeder User seinen Persönlichen VPN Zugang womit er in unserer Domäne arbeiten kann.
Momentan nutzen wir in der Domäne noch die Aufforderung (Pflicht) nach 90 Tagen sein Passwort zu ändern.
Wir haben es schon geschafft, User extern per Notebook in die Domäne zu holen mit folgenden Vorgang:
User meldet sich an seinem Notebook mit einem Lokalen User an
es wird die VPN Verbindung aufgebaut
Notebook wird in die Domäne geholt -> PC muss neu gestartet werden
User meldet sich wieder mit Lokalem User an
erneute VPN aufauben
DANN klickt der User auf "Benutzer Wechseln" (wodurch die VPN verbindung im Hintergund bestehen bleibt)
JETZT kann sich der User mit seinem Domänenbenutzer anmelden
Da wird as erst seit neuestem so umsetzen:
Seht Ihr darin irgendwelche Probleme?
Kennt Ihr bessere Wege?
- Hierzu spielen wir mit dem Gedanken in Büro´s mit der "Sophos RED" Box zu arbeiten, welche eine Standleitung mit unserem VPN-Netz aufbaut und wie ein Switch funktioniert
(aber die Anschaffung für einzelne Mitarbeiter auf Baustellen wäre zu Teuer)
Worüber ich mir gedanken mache ist die 90Tage PW-Änderung:
Wenn sich der user ohne über den Lokalen User sich anmeldet (was ja nach der 1. Anmeldung problemlos klappt) ist er ja im moment der Anmeldung nicht in der Domäne.
Erst wenn er angemeldet ist. Somit: Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.
Daher wäre wohl der einfachste Schritt die 90 Tage PW-Änderung zu deaktivieren, was ich aber so eigentlich nicht möchte...
Hat jemand eine bessere Idee was man machen könnte?
VG und danke für die Unterstützung!
j1m3e
wir möchten unsere Externen Büros / Mitarbeiter auf den Baustellen mit in die Domäne holen.
Aktuell hat jeder User seinen Persönlichen VPN Zugang womit er in unserer Domäne arbeiten kann.
Momentan nutzen wir in der Domäne noch die Aufforderung (Pflicht) nach 90 Tagen sein Passwort zu ändern.
Wir haben es schon geschafft, User extern per Notebook in die Domäne zu holen mit folgenden Vorgang:
User meldet sich an seinem Notebook mit einem Lokalen User an
es wird die VPN Verbindung aufgebaut
Notebook wird in die Domäne geholt -> PC muss neu gestartet werden
User meldet sich wieder mit Lokalem User an
erneute VPN aufauben
DANN klickt der User auf "Benutzer Wechseln" (wodurch die VPN verbindung im Hintergund bestehen bleibt)
JETZT kann sich der User mit seinem Domänenbenutzer anmelden
Da wird as erst seit neuestem so umsetzen:
Seht Ihr darin irgendwelche Probleme?
Kennt Ihr bessere Wege?
- Hierzu spielen wir mit dem Gedanken in Büro´s mit der "Sophos RED" Box zu arbeiten, welche eine Standleitung mit unserem VPN-Netz aufbaut und wie ein Switch funktioniert
(aber die Anschaffung für einzelne Mitarbeiter auf Baustellen wäre zu Teuer)
Worüber ich mir gedanken mache ist die 90Tage PW-Änderung:
Wenn sich der user ohne über den Lokalen User sich anmeldet (was ja nach der 1. Anmeldung problemlos klappt) ist er ja im moment der Anmeldung nicht in der Domäne.
Erst wenn er angemeldet ist. Somit: Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.
Daher wäre wohl der einfachste Schritt die 90 Tage PW-Änderung zu deaktivieren, was ich aber so eigentlich nicht möchte...
Hat jemand eine bessere Idee was man machen könnte?
VG und danke für die Unterstützung!
j1m3e
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 561345
Url: https://administrator.de/contentid/561345
Printed on: April 20, 2024 at 00:04 o'clock
9 Comments
Latest comment
Es gibt VPN-Clients, die es ermöglichen, bereits vor der Benutzeranmeldung eine VPN-Verbindung aufzubauen. Vielleicht ist das mit deinem Client möglich oder man müsste sich eine andere VPN-Lösung anschauen. Cisco AnyConnect kann es mit dem GINA-Modul.
Daher wäre wohl der einfachste Schritt die 90 Tage PW-Änderung zu deaktivieren, was ich aber so eigentlich nicht möchte...
Früher war es eine Empfehlung vom BSI, mittlerweile hat das BSI den regelmäßigen Passwortwechsel NICHT mehr auf der Liste, sondern es gilt die Aussage, dass ein ausreichend langes, nicht bekannt gewordenes Passwort ausreichend sicher ist.
Schon mal was von Direct Access oder Always-On gehört?
Wie sieht es eigentlich mit dem Domänen User auf dem Notebook aus:
wenn die 90 Tage PW-Zwangsänderung deaktiviert ist, wird der Domänen User auf dem Notebook trotzdem irgendwann "ausgesperrt"
weil er x Tage nicht mit dem DC verbunden war oder kann er den Login auf ewige Zeit nutzen?
wenn die 90 Tage PW-Zwangsänderung deaktiviert ist, wird der Domänen User auf dem Notebook trotzdem irgendwann "ausgesperrt"
weil er x Tage nicht mit dem DC verbunden war oder kann er den Login auf ewige Zeit nutzen?
Zitat von @142583:
Schon mal was von Direct Access oder Always-On gehört?
Schon mal was von Direct Access oder Always-On gehört?
nein leider nicht
Meiner Meinung nach ist es die leistungsfähigste und beste Art seine Roadwarrior online zu bringen.
Unterm Strich, alle Vorraussetzungen erledigt und auch finanziert, muss das Gerät nur noch online sein und ALLES andere ist so als wäre man im LAN.
Unterm Strich, alle Vorraussetzungen erledigt und auch finanziert, muss das Gerät nur noch online sein und ALLES andere ist so als wäre man im LAN.
Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.
Doch. Der User kann sich auch nach den 90 Tagen noch mit seinem bisher gültigen Kennwort anmelden. Auch noch nach 120 Tagen.
Sobald er aber (per VPN) Verbindung zur Domäne bekommt meldet sich sein Notebook wegen dem abgelaufenen Kennwort.
Der Ablauf ist dann folgendermaßen:
Der Benutzer wird aufgefordert seinen Desktop zu sperren und wieder zu entsperren.
Beim Entsperren erfolgt Abgleich mit der Domäne woraufhin sich Windows mit der bekannten Meldung "Ihr Kennwort ist abgelaufen und muss geändert werden" beim Benutzer meldet.
Das macht der Benutzer dann und alles ist wie es sein soll.
Manuel
Zitat von @manuel-r:
Doch. Der User kann sich auch nach den 90 Tagen noch mit seinem bisher gültigen Kennwort anmelden. Auch noch nach 120 Tagen.
Sobald er aber (per VPN) Verbindung zur Domäne bekommt meldet sich sein Notebook wegen dem abgelaufenen Kennwort.
Der Ablauf ist dann folgendermaßen:
Der Benutzer wird aufgefordert seinen Desktop zu sperren und wieder zu entsperren.
Beim Entsperren erfolgt Abgleich mit der Domäne woraufhin sich Windows mit der bekannten Meldung "Ihr Kennwort ist abgelaufen und muss geändert werden" beim Benutzer meldet.
Das macht der Benutzer dann und alles ist wie es sein soll.
Manuel
Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.
Doch. Der User kann sich auch nach den 90 Tagen noch mit seinem bisher gültigen Kennwort anmelden. Auch noch nach 120 Tagen.
Sobald er aber (per VPN) Verbindung zur Domäne bekommt meldet sich sein Notebook wegen dem abgelaufenen Kennwort.
Der Ablauf ist dann folgendermaßen:
Der Benutzer wird aufgefordert seinen Desktop zu sperren und wieder zu entsperren.
Beim Entsperren erfolgt Abgleich mit der Domäne woraufhin sich Windows mit der bekannten Meldung "Ihr Kennwort ist abgelaufen und muss geändert werden" beim Benutzer meldet.
Das macht der Benutzer dann und alles ist wie es sein soll.
Manuel
Ah ok. Aber hier ist dann unser Problem: Sboald der Benutzer den PC Sperrt wird die VPN verbindung (softwarelösung) getrennt (was beim benutzer wechsel nicht passiert) wodurch wiederum dann das neue Passwort nicht an die domäne übertragen wird oder?
Wo gibt's denn sowas?
Das müsste man dann wohl ausprobieren.
Das müsste man dann wohl ausprobieren.
Sboald der Benutzer den PC Sperrt wird die VPN verbindung (softwarelösung) getrennt (was beim benutzer wechsel nicht passiert)
Das ist deine Theorie. Mit Sicherheit ist das nicht so. Sperren ist kein Abmelden.
