Domäne Erreichbarkeit durch VPN
Hallo,
wir möchten unsere Externen Büros / Mitarbeiter auf den Baustellen mit in die Domäne holen.
Aktuell hat jeder User seinen Persönlichen VPN Zugang womit er in unserer Domäne arbeiten kann.
Momentan nutzen wir in der Domäne noch die Aufforderung (Pflicht) nach 90 Tagen sein Passwort zu ändern.
Wir haben es schon geschafft, User extern per Notebook in die Domäne zu holen mit folgenden Vorgang:
User meldet sich an seinem Notebook mit einem Lokalen User an
es wird die VPN Verbindung aufgebaut
Notebook wird in die Domäne geholt -> PC muss neu gestartet werden
User meldet sich wieder mit Lokalem User an
erneute VPN aufauben
DANN klickt der User auf "Benutzer Wechseln" (wodurch die VPN verbindung im Hintergund bestehen bleibt)
JETZT kann sich der User mit seinem Domänenbenutzer anmelden
Da wird as erst seit neuestem so umsetzen:
Seht Ihr darin irgendwelche Probleme?
Kennt Ihr bessere Wege?
- Hierzu spielen wir mit dem Gedanken in Büro´s mit der "Sophos RED" Box zu arbeiten, welche eine Standleitung mit unserem VPN-Netz aufbaut und wie ein Switch funktioniert
(aber die Anschaffung für einzelne Mitarbeiter auf Baustellen wäre zu Teuer)
Worüber ich mir gedanken mache ist die 90Tage PW-Änderung:
Wenn sich der user ohne über den Lokalen User sich anmeldet (was ja nach der 1. Anmeldung problemlos klappt) ist er ja im moment der Anmeldung nicht in der Domäne.
Erst wenn er angemeldet ist. Somit: Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.
Daher wäre wohl der einfachste Schritt die 90 Tage PW-Änderung zu deaktivieren, was ich aber so eigentlich nicht möchte...
Hat jemand eine bessere Idee was man machen könnte?
VG und danke für die Unterstützung!
j1m3e
wir möchten unsere Externen Büros / Mitarbeiter auf den Baustellen mit in die Domäne holen.
Aktuell hat jeder User seinen Persönlichen VPN Zugang womit er in unserer Domäne arbeiten kann.
Momentan nutzen wir in der Domäne noch die Aufforderung (Pflicht) nach 90 Tagen sein Passwort zu ändern.
Wir haben es schon geschafft, User extern per Notebook in die Domäne zu holen mit folgenden Vorgang:
User meldet sich an seinem Notebook mit einem Lokalen User an
es wird die VPN Verbindung aufgebaut
Notebook wird in die Domäne geholt -> PC muss neu gestartet werden
User meldet sich wieder mit Lokalem User an
erneute VPN aufauben
DANN klickt der User auf "Benutzer Wechseln" (wodurch die VPN verbindung im Hintergund bestehen bleibt)
JETZT kann sich der User mit seinem Domänenbenutzer anmelden
Da wird as erst seit neuestem so umsetzen:
Seht Ihr darin irgendwelche Probleme?
Kennt Ihr bessere Wege?
- Hierzu spielen wir mit dem Gedanken in Büro´s mit der "Sophos RED" Box zu arbeiten, welche eine Standleitung mit unserem VPN-Netz aufbaut und wie ein Switch funktioniert
(aber die Anschaffung für einzelne Mitarbeiter auf Baustellen wäre zu Teuer)
Worüber ich mir gedanken mache ist die 90Tage PW-Änderung:
Wenn sich der user ohne über den Lokalen User sich anmeldet (was ja nach der 1. Anmeldung problemlos klappt) ist er ja im moment der Anmeldung nicht in der Domäne.
Erst wenn er angemeldet ist. Somit: Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.
Daher wäre wohl der einfachste Schritt die 90 Tage PW-Änderung zu deaktivieren, was ich aber so eigentlich nicht möchte...
Hat jemand eine bessere Idee was man machen könnte?
VG und danke für die Unterstützung!
j1m3e
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 561345
Url: https://administrator.de/contentid/561345
Ausgedruckt am: 08.11.2024 um 15:11 Uhr
9 Kommentare
Neuester Kommentar
Es gibt VPN-Clients, die es ermöglichen, bereits vor der Benutzeranmeldung eine VPN-Verbindung aufzubauen. Vielleicht ist das mit deinem Client möglich oder man müsste sich eine andere VPN-Lösung anschauen. Cisco AnyConnect kann es mit dem GINA-Modul.
Daher wäre wohl der einfachste Schritt die 90 Tage PW-Änderung zu deaktivieren, was ich aber so eigentlich nicht möchte...
Früher war es eine Empfehlung vom BSI, mittlerweile hat das BSI den regelmäßigen Passwortwechsel NICHT mehr auf der Liste, sondern es gilt die Aussage, dass ein ausreichend langes, nicht bekannt gewordenes Passwort ausreichend sicher ist.
Schon mal was von Direct Access oder Always-On gehört?
Meiner Meinung nach ist es die leistungsfähigste und beste Art seine Roadwarrior online zu bringen.
Unterm Strich, alle Vorraussetzungen erledigt und auch finanziert, muss das Gerät nur noch online sein und ALLES andere ist so als wäre man im LAN.
Unterm Strich, alle Vorraussetzungen erledigt und auch finanziert, muss das Gerät nur noch online sein und ALLES andere ist so als wäre man im LAN.
Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.
Doch. Der User kann sich auch nach den 90 Tagen noch mit seinem bisher gültigen Kennwort anmelden. Auch noch nach 120 Tagen.
Sobald er aber (per VPN) Verbindung zur Domäne bekommt meldet sich sein Notebook wegen dem abgelaufenen Kennwort.
Der Ablauf ist dann folgendermaßen:
Der Benutzer wird aufgefordert seinen Desktop zu sperren und wieder zu entsperren.
Beim Entsperren erfolgt Abgleich mit der Domäne woraufhin sich Windows mit der bekannten Meldung "Ihr Kennwort ist abgelaufen und muss geändert werden" beim Benutzer meldet.
Das macht der Benutzer dann und alles ist wie es sein soll.
Manuel