Domänenaccount für offline Nutzung vorbereiten
Hallo zusammen
ich möchte derzeit ein Laptop aufsetzen und mit unserer Domäne verbinden. Das läuft reibungslos.
Anschliessend möchte ich aber ein Domänenkonto auf dem Laptop für den Benutzer einrichten, welcher diesen Laptop auch bekommt.
Warum?
Der Benutzer ist ausserhalb unseres Netzwerkes und kann sich dementsprechend nicht frisch einloggen, wenn er das Laptop bei sich startet, da zu diesem Zeitpunkt keine Netzwerkverbindung mit unserem Netz besteht. Diese kann nur über eine VPN Lösung hergestellt werden, die der Benutzer selbst aktiviert, sobald er sich eingeloggt hat.
Wie bringe ich also ein gecachtes Konto des Benutzers auf das Laptop, damit dieser sich an seinem Standort einloggen kann und anschliessend per VPN mit der Domäne Kontakt aufbauen kann? Das Passwort des Benutzers zu ändern um dies selbst zu tun ist keine Option.
Vielen Dank im Vorraus.
ich möchte derzeit ein Laptop aufsetzen und mit unserer Domäne verbinden. Das läuft reibungslos.
Anschliessend möchte ich aber ein Domänenkonto auf dem Laptop für den Benutzer einrichten, welcher diesen Laptop auch bekommt.
Warum?
Der Benutzer ist ausserhalb unseres Netzwerkes und kann sich dementsprechend nicht frisch einloggen, wenn er das Laptop bei sich startet, da zu diesem Zeitpunkt keine Netzwerkverbindung mit unserem Netz besteht. Diese kann nur über eine VPN Lösung hergestellt werden, die der Benutzer selbst aktiviert, sobald er sich eingeloggt hat.
Wie bringe ich also ein gecachtes Konto des Benutzers auf das Laptop, damit dieser sich an seinem Standort einloggen kann und anschliessend per VPN mit der Domäne Kontakt aufbauen kann? Das Passwort des Benutzers zu ändern um dies selbst zu tun ist keine Option.
Vielen Dank im Vorraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 320543
Url: https://administrator.de/contentid/320543
Ausgedruckt am: 08.11.2024 um 09:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
https://blog.lan-tech.ca/2013/03/02/windows-8-connect-to-vpn-before-logo ...
https://social.technet.microsoft.com/Forums/office/en-US/fd4fbff2-80d0-4 ...
http://superuser.com/questions/783311/connect-to-vpn-before-windows-7-s ...
Gruß,
Peter
Zitat von @Slacky:
Anschliessend möchte ich aber ein Domänenkonto auf dem Laptop für den Benutzer einrichten, welcher diesen Laptop auch bekommt.
Nicht nötig - ausser ihr löscht den Lokal angelegten Profilordner beim Abmelden.Anschliessend möchte ich aber ein Domänenkonto auf dem Laptop für den Benutzer einrichten, welcher diesen Laptop auch bekommt.
Der Benutzer ist ausserhalb unseres Netzwerkes und kann sich dementsprechend nicht frisch einloggen
Doch. Nur hat er keine verbindung zum netzwerk und alles was dort in Anmelde- logon skripts und GPOs abläuft geht nicht. Nutzt er Offline Dateien für seine wichtigsten Arbeiten, ändert sich für diese (Lokale) Anwendung noch nicht einmal das Laufwerk. Arbeitet wie im Netz, nur hat er kein zugriff auf resourcen im Netz. Gut Planen was wie auf diesen Laptop genutzt werden soll. VPN kann er hinterher nach bedarf immer noch machen. Oder wenn zwingend eine Netzverbindug bestehen muss beim Anmelden, eine entsprechende NIC sowie deren Software damit Windows sich vor dem Anmelden schon ein VPN aufbaut und wenn die VPN schnell genug ist dann läuft auch alles so ab wie im normalen netz auch.Wie bringe ich also ein gecachtes Konto des Benutzers auf das Laptop
Einmal im Netz anmelden, danach ist das Lokale Profil vorhanden und der Benutzer kann jederzeit seine Zwischengespeicherte Anmeldedaten von eurer Domäne nutzen - es sei denn ihr habt dafür gesorgt das es eben nicht geht. Standard = es geht (beliebig oft)https://blog.lan-tech.ca/2013/03/02/windows-8-connect-to-vpn-before-logo ...
https://social.technet.microsoft.com/Forums/office/en-US/fd4fbff2-80d0-4 ...
http://superuser.com/questions/783311/connect-to-vpn-before-windows-7-s ...
Gruß,
Peter
Ändere das Nutzerkennwort auf einen mit dem Nutzer vereinbarten Wert und logge Dich als Nutzer ein - danach ändert der Nutzer es wieder. Etwas anderes geht nicht. Man kann keine Hashes transportieren, es sei denn man ist der Oberhacker - eingebaut gibt es das nicht.
Ja, das die Passworthistorie (falls Ihr die erzwingt) hier nicht zulässt, dass man das alte Kennwort erneut nutzt, ist blöd, aber so ist das. Er könnte es jedoch in Deinem Beisein über's ADUC resetten.
Ja, das die Passworthistorie (falls Ihr die erzwingt) hier nicht zulässt, dass man das alte Kennwort erneut nutzt, ist blöd, aber so ist das. Er könnte es jedoch in Deinem Beisein über's ADUC resetten.
Hallo,
Gruß,
Peter
Zitat von @Slacky:
Ich möchte mich nicht mit den Credentials des Users einloggen -- dazu brauche ich sein Passwort oder muss es resetten. Das sind wie bereits erwähnt keine Optionen die ich habe.
Vielleicht nochmal dieses Konzept überdenken bzw. Klären wie dann sein Benutzerprofil auf ein neues Gerät kommen soll. Es geht schlichtweg nicht. Gedankenübertragung oder wie? Dein "Wasch mich aber mach mich nicht nass" ist zwar schön, aber sauber wirst du davon nicht. Sag denn Entscheidungsträgern "So funktioniert es nicht". Notfalls muss dann der Laptop Benutzer hier in der IT erscheinen um sich selbst einmal an - abzumelden oder notfalls müssen wir ihm Remot die möglichkeit dazu geben. Anders hat der Herr (BillyBoy) das noch nicht vorgesehen. Auch ein Server OS kennt nicht das Password daher ist auch ein Auslesen nicht möglich.Ich möchte mich nicht mit den Credentials des Users einloggen -- dazu brauche ich sein Passwort oder muss es resetten. Das sind wie bereits erwähnt keine Optionen die ich habe.
4. Er soll sich direkt mit SEINEN Credentials anmelden, zu denen es aber zu diesem Zeitpunkt noch kein gecachtes Konto auf dem Laptop gibt.
Das Laptop dort in ein Standort - Standort VPN hängen bevor die Anmeldung erfolgt. Dann ist die Domänen-Anmeldung schon möglich. Ob allerdings dann evtl. die Leitung für Urwald-gebrüll sorgen ist wieder etwa anderes. Z.B. einen kleinen transportablen VPN Router (Raspbery PI?) passend für das Laptop eingerichtet mitgeben... Alles andere bedeutet entweder Gedankenübertragung oder noch ca. 50 Jahre warten - dann haben wir alle Glasfaser hinten drin stecken Wie kann ich es ihm ermöglichen sich trotzdem anzumelden?
Mit dem Laptop einen passend konfigurierten RaspBerry PI (VPN und DHCP, DNS) mitgeben welcher zwingend immer mit dem Firmen Laptop verwendet werden muss.Gruß,
Peter