slacky
Goto Top

Domänenaccount für offline Nutzung vorbereiten

Hallo zusammen

ich möchte derzeit ein Laptop aufsetzen und mit unserer Domäne verbinden. Das läuft reibungslos.

Anschliessend möchte ich aber ein Domänenkonto auf dem Laptop für den Benutzer einrichten, welcher diesen Laptop auch bekommt.
Warum?
Der Benutzer ist ausserhalb unseres Netzwerkes und kann sich dementsprechend nicht frisch einloggen, wenn er das Laptop bei sich startet, da zu diesem Zeitpunkt keine Netzwerkverbindung mit unserem Netz besteht. Diese kann nur über eine VPN Lösung hergestellt werden, die der Benutzer selbst aktiviert, sobald er sich eingeloggt hat.

Wie bringe ich also ein gecachtes Konto des Benutzers auf das Laptop, damit dieser sich an seinem Standort einloggen kann und anschliessend per VPN mit der Domäne Kontakt aufbauen kann? Das Passwort des Benutzers zu ändern um dies selbst zu tun ist keine Option.

Vielen Dank im Vorraus.

Content-ID: 320543

Url: https://administrator.de/contentid/320543

Ausgedruckt am: 08.11.2024 um 09:11 Uhr

MettGurke
MettGurke 10.11.2016 um 16:14:31 Uhr
Goto Top
Hi,

genau so. Meld dich an. Der User kann sich normal anmelden -> VPn starten -> Verbindung in die Firma steht. So mache ich Homeoffice face-smile

Gruß MettGurke
Pjordorf
Pjordorf 10.11.2016, aktualisiert am 11.11.2016 um 19:58:53 Uhr
Goto Top
Hallo,

Zitat von @Slacky:
Anschliessend möchte ich aber ein Domänenkonto auf dem Laptop für den Benutzer einrichten, welcher diesen Laptop auch bekommt.
Nicht nötig - ausser ihr löscht den Lokal angelegten Profilordner beim Abmelden.

Der Benutzer ist ausserhalb unseres Netzwerkes und kann sich dementsprechend nicht frisch einloggen
Doch. Nur hat er keine verbindung zum netzwerk und alles was dort in Anmelde- logon skripts und GPOs abläuft geht nicht. Nutzt er Offline Dateien für seine wichtigsten Arbeiten, ändert sich für diese (Lokale) Anwendung noch nicht einmal das Laufwerk. Arbeitet wie im Netz, nur hat er kein zugriff auf resourcen im Netz. Gut Planen was wie auf diesen Laptop genutzt werden soll. VPN kann er hinterher nach bedarf immer noch machen. Oder wenn zwingend eine Netzverbindug bestehen muss beim Anmelden, eine entsprechende NIC sowie deren Software damit Windows sich vor dem Anmelden schon ein VPN aufbaut und wenn die VPN schnell genug ist dann läuft auch alles so ab wie im normalen netz auch.

Wie bringe ich also ein gecachtes Konto des Benutzers auf das Laptop
Einmal im Netz anmelden, danach ist das Lokale Profil vorhanden und der Benutzer kann jederzeit seine Zwischengespeicherte Anmeldedaten von eurer Domäne nutzen - es sei denn ihr habt dafür gesorgt das es eben nicht geht. Standard = es geht (beliebig oft)

https://blog.lan-tech.ca/2013/03/02/windows-8-connect-to-vpn-before-logo ...
https://social.technet.microsoft.com/Forums/office/en-US/fd4fbff2-80d0-4 ...
http://superuser.com/questions/783311/connect-to-vpn-before-windows-7-s ...

Gruß,
Peter
DerWoWusste
DerWoWusste 10.11.2016 um 17:45:41 Uhr
Goto Top
Hi.

Ich verstehe dein Problem, denn ich habe den letzten Absatz ernst genommen. Dennoch klingt es konstruiert. Begründe mal den letzten Absatz, bitte.
Slacky
Slacky 11.11.2016 um 11:48:23 Uhr
Goto Top
Gerne.

Ich möchte mich nicht mit den Credentials des Users einloggen -- dazu brauche ich sein Passwort oder muss es resetten. Das sind wie bereits erwähnt keine Optionen die ich habe.

Ablauf:
1. Das Laptop wird frisch installiert und über ein Domain-Administrator-Konto mit der Domäne verbunden. Damit kann der Admin sich schonmal offline anmelden (ohne VPN/LAN/Internet) da sein Konto auf dem Laptop gecacht ist.
2. Das Laptop wird an den Benutzer ausgeliefert. Bisher gibt es auf dem Gerät nur ein lokales Konto (off-limits für den Benutzer) und das gegachte Admin Konto (ebenfalls Off-limit für den Benutzer)
3. Der Benutzer startet das Laptop bei sich. Internetzugang mag ja bestehen, die VPN Verbindung in die Domäne MUSS aber manuell NACH einem Login gestartet werden. (Also KEINE Verbindung zur Domäne beim Login)
4. Der Benutzer möchte sich mit seinen Credentials einloggen. Wie gesagt, besitzt das Laptop derzeit nur 1 lokales Konto und 1 Domain-Admin-Konto die der Benutzer beide nicht kennt. Er soll sich direkt mit SEINEN Credentials anmelden, zu denen es aber zu diesem Zeitpunkt noch kein gecachtes Konto auf dem Laptop gibt.

Ich hoffe es ist nun etwas verständlicher. Hier nochmal der Versuch einer Kurzzusammenfassung:
Der Benutzer soll sich an einem Laptop anmelden, der beim Login Screen NICHT mit der Domäne verbunden ist. Sein Profil wurde bisher noch NICHT auf dem Gerät angelegt (z.B. durch einen initialen Login mit seinen Credentials) Wie kann ich es ihm ermöglichen sich trotzdem anzumelden?
DerWoWusste
Lösung DerWoWusste 11.11.2016 um 11:53:05 Uhr
Goto Top
Ändere das Nutzerkennwort auf einen mit dem Nutzer vereinbarten Wert und logge Dich als Nutzer ein - danach ändert der Nutzer es wieder. Etwas anderes geht nicht. Man kann keine Hashes transportieren, es sei denn man ist der Oberhacker - eingebaut gibt es das nicht.

Ja, das die Passworthistorie (falls Ihr die erzwingt) hier nicht zulässt, dass man das alte Kennwort erneut nutzt, ist blöd, aber so ist das. Er könnte es jedoch in Deinem Beisein über's ADUC resetten.
Slacky
Slacky 11.11.2016 um 12:01:15 Uhr
Goto Top
Vielen Dank für die Informationen.
Schade dass es keinen "einfacheren" Weg gibt die Konten im Vorfeld auf ein Gerät auszurollen. Ich vermute die einzige Lösung wäre eine permanenten VPN Verbindung die beim Booten des Gerätes aufgebaut wird und dann beim Login im Sinne der Domäne "online" ist.

Nichtsdestotrotz sehe ich die Frage als geklärt. Nochmal danke.
Pjordorf
Pjordorf 11.11.2016 aktualisiert um 20:49:49 Uhr
Goto Top
Hallo,

Zitat von @Slacky:
Ich möchte mich nicht mit den Credentials des Users einloggen -- dazu brauche ich sein Passwort oder muss es resetten. Das sind wie bereits erwähnt keine Optionen die ich habe.
Vielleicht nochmal dieses Konzept überdenken bzw. Klären wie dann sein Benutzerprofil auf ein neues Gerät kommen soll. Es geht schlichtweg nicht. Gedankenübertragung oder wie? Dein "Wasch mich aber mach mich nicht nass" ist zwar schön, aber sauber wirst du davon nicht. Sag denn Entscheidungsträgern "So funktioniert es nicht". Notfalls muss dann der Laptop Benutzer hier in der IT erscheinen um sich selbst einmal an - abzumelden oder notfalls müssen wir ihm Remot die möglichkeit dazu geben. Anders hat der Herr (BillyBoy) das noch nicht vorgesehen. Auch ein Server OS kennt nicht das Password daher ist auch ein Auslesen nicht möglich.

4. Er soll sich direkt mit SEINEN Credentials anmelden, zu denen es aber zu diesem Zeitpunkt noch kein gecachtes Konto auf dem Laptop gibt.
Das Laptop dort in ein Standort - Standort VPN hängen bevor die Anmeldung erfolgt. Dann ist die Domänen-Anmeldung schon möglich. Ob allerdings dann evtl. die Leitung für Urwald-gebrüll sorgen ist wieder etwa anderes. Z.B. einen kleinen transportablen VPN Router (Raspbery PI?) passend für das Laptop eingerichtet mitgeben... Alles andere bedeutet entweder Gedankenübertragung oder noch ca. 50 Jahre warten - dann haben wir alle Glasfaser hinten drin stecken face-smile

Wie kann ich es ihm ermöglichen sich trotzdem anzumelden?
Mit dem Laptop einen passend konfigurierten RaspBerry PI (VPN und DHCP, DNS) mitgeben welcher zwingend immer mit dem Firmen Laptop verwendet werden muss.

Gruß,
Peter