Domänenaccount für offline Nutzung vorbereiten

Hallo zusammen

ich möchte derzeit ein Laptop aufsetzen und mit unserer Domäne verbinden. Das läuft reibungslos.

Anschliessend möchte ich aber ein Domänenkonto auf dem Laptop für den Benutzer einrichten, welcher diesen Laptop auch bekommt.
Warum?
Der Benutzer ist ausserhalb unseres Netzwerkes und kann sich dementsprechend nicht frisch einloggen, wenn er das Laptop bei sich startet, da zu diesem Zeitpunkt keine Netzwerkverbindung mit unserem Netz besteht. Diese kann nur über eine VPN Lösung hergestellt werden, die der Benutzer selbst aktiviert, sobald er sich eingeloggt hat.

Wie bringe ich also ein gecachtes Konto des Benutzers auf das Laptop, damit dieser sich an seinem Standort einloggen kann und anschliessend per VPN mit der Domäne Kontakt aufbauen kann? Das Passwort des Benutzers zu ändern um dies selbst zu tun ist keine Option.

Vielen Dank im Vorraus.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 320543

Url: https://administrator.de/contentid/320543

Ausgedruckt am: 08.11.2024 um 09:11 Uhr

7 Kommentare

Neuester Kommentar

Hi,

genau so. Meld dich an. Der User kann sich normal anmelden -> VPn starten -> Verbindung in die Firma steht. So mache ich Homeoffice

Gruß MettGurke

Hallo,

Zitat von @Slacky:
Anschliessend möchte ich aber ein Domänenkonto auf dem Laptop für den Benutzer einrichten, welcher diesen Laptop auch bekommt.

Nicht nötig - ausser ihr löscht den Lokal angelegten Profilordner beim Abmelden.

Der Benutzer ist ausserhalb unseres Netzwerkes und kann sich dementsprechend nicht frisch einloggen

Doch. Nur hat er keine verbindung zum netzwerk und alles was dort in Anmelde- logon skripts und GPOs abläuft geht nicht. Nutzt er Offline Dateien für seine wichtigsten Arbeiten, ändert sich für diese (Lokale) Anwendung noch nicht einmal das Laufwerk. Arbeitet wie im Netz, nur hat er kein zugriff auf resourcen im Netz. Gut Planen was wie auf diesen Laptop genutzt werden soll. VPN kann er hinterher nach bedarf immer noch machen. Oder wenn zwingend eine Netzverbindug bestehen muss beim Anmelden, eine entsprechende NIC sowie deren Software damit Windows sich vor dem Anmelden schon ein VPN aufbaut und wenn die VPN schnell genug ist dann läuft auch alles so ab wie im normalen netz auch.

Wie bringe ich also ein gecachtes Konto des Benutzers auf das Laptop

Einmal im Netz anmelden, danach ist das Lokale Profil vorhanden und der Benutzer kann jederzeit seine Zwischengespeicherte Anmeldedaten von eurer Domäne nutzen - es sei denn ihr habt dafür gesorgt das es eben nicht geht. Standard = es geht (beliebig oft)

https://blog.lan-tech.ca/2013/03/02/windows-8-connect-to-vpn-before-logo ...
https://social.technet.microsoft.com/Forums/office/en-US/fd4fbff2-80d0-4 ...
http://superuser.com/questions/783311/connect-to-vpn-before-windows-7-s ...

Gruß,
Peter

Hi.

Ich verstehe dein Problem, denn ich habe den letzten Absatz ernst genommen. Dennoch klingt es konstruiert. Begründe mal den letzten Absatz, bitte.

Gerne.

Ich möchte mich nicht mit den Credentials des Users einloggen -- dazu brauche ich sein Passwort oder muss es resetten. Das sind wie bereits erwähnt keine Optionen die ich habe.

Ablauf:
1. Das Laptop wird frisch installiert und über ein Domain-Administrator-Konto mit der Domäne verbunden. Damit kann der Admin sich schonmal offline anmelden (ohne VPN/LAN/Internet) da sein Konto auf dem Laptop gecacht ist.
2. Das Laptop wird an den Benutzer ausgeliefert. Bisher gibt es auf dem Gerät nur ein lokales Konto (off-limits für den Benutzer) und das gegachte Admin Konto (ebenfalls Off-limit für den Benutzer)
3. Der Benutzer startet das Laptop bei sich. Internetzugang mag ja bestehen, die VPN Verbindung in die Domäne MUSS aber manuell NACH einem Login gestartet werden. (Also KEINE Verbindung zur Domäne beim Login)
4. Der Benutzer möchte sich mit seinen Credentials einloggen. Wie gesagt, besitzt das Laptop derzeit nur 1 lokales Konto und 1 Domain-Admin-Konto die der Benutzer beide nicht kennt. Er soll sich direkt mit SEINEN Credentials anmelden, zu denen es aber zu diesem Zeitpunkt noch kein gecachtes Konto auf dem Laptop gibt.

Ich hoffe es ist nun etwas verständlicher. Hier nochmal der Versuch einer Kurzzusammenfassung:
Der Benutzer soll sich an einem Laptop anmelden, der beim Login Screen NICHT mit der Domäne verbunden ist. Sein Profil wurde bisher noch NICHT auf dem Gerät angelegt (z.B. durch einen initialen Login mit seinen Credentials) Wie kann ich es ihm ermöglichen sich trotzdem anzumelden?

Ändere das Nutzerkennwort auf einen mit dem Nutzer vereinbarten Wert und logge Dich als Nutzer ein - danach ändert der Nutzer es wieder. Etwas anderes geht nicht. Man kann keine Hashes transportieren, es sei denn man ist der Oberhacker - eingebaut gibt es das nicht.

Ja, das die Passworthistorie (falls Ihr die erzwingt) hier nicht zulässt, dass man das alte Kennwort erneut nutzt, ist blöd, aber so ist das. Er könnte es jedoch in Deinem Beisein über's ADUC resetten.

Vielen Dank für die Informationen.
Schade dass es keinen "einfacheren" Weg gibt die Konten im Vorfeld auf ein Gerät auszurollen. Ich vermute die einzige Lösung wäre eine permanenten VPN Verbindung die beim Booten des Gerätes aufgebaut wird und dann beim Login im Sinne der Domäne "online" ist.

Nichtsdestotrotz sehe ich die Frage als geklärt. Nochmal danke.

Hallo,

Zitat von @Slacky:
Ich möchte mich nicht mit den Credentials des Users einloggen -- dazu brauche ich sein Passwort oder muss es resetten. Das sind wie bereits erwähnt keine Optionen die ich habe.

Vielleicht nochmal dieses Konzept überdenken bzw. Klären wie dann sein Benutzerprofil auf ein neues Gerät kommen soll. Es geht schlichtweg nicht. Gedankenübertragung oder wie? Dein "Wasch mich aber mach mich nicht nass" ist zwar schön, aber sauber wirst du davon nicht. Sag denn Entscheidungsträgern "So funktioniert es nicht". Notfalls muss dann der Laptop Benutzer hier in der IT erscheinen um sich selbst einmal an - abzumelden oder notfalls müssen wir ihm Remot die möglichkeit dazu geben. Anders hat der Herr (BillyBoy) das noch nicht vorgesehen. Auch ein Server OS kennt nicht das Password daher ist auch ein Auslesen nicht möglich.

4. Er soll sich direkt mit SEINEN Credentials anmelden, zu denen es aber zu diesem Zeitpunkt noch kein gecachtes Konto auf dem Laptop gibt.

Das Laptop dort in ein Standort - Standort VPN hängen bevor die Anmeldung erfolgt. Dann ist die Domänen-Anmeldung schon möglich. Ob allerdings dann evtl. die Leitung für Urwald-gebrüll sorgen ist wieder etwa anderes. Z.B. einen kleinen transportablen VPN Router (Raspbery PI?) passend für das Laptop eingerichtet mitgeben... Alles andere bedeutet entweder Gedankenübertragung oder noch ca. 50 Jahre warten - dann haben wir alle Glasfaser hinten drin stecken

Wie kann ich es ihm ermöglichen sich trotzdem anzumelden?

Mit dem Laptop einen passend konfigurierten RaspBerry PI (VPN und DHCP, DNS) mitgeben welcher zwingend immer mit dem Firmen Laptop verwendet werden muss.

Gruß,
Peter

gelöst Frage Microsoft Windows Netzwerk

Mehr von Slacky

Verbindungsprobleme beim Herabstufen von Windows Server 2k12Slacky - 2 Kommentare

LAN Verbindung bei Systemstart deaktiviertSlacky - 2 Kommentare

Mal wieder Netviewer-Alternarive gesuchtSlacky - 2 Kommentare

SBS 2003: DFÜ Verbindung eingerichtet, wie aufrufen?Slacky - 4 Kommentare

Heiß diskutiert