7
Gruppenzugehörigkeit nach Anmeldung prüfen wegen VPN
Hallo,
die Gruppenzugehörigkeit wird ja beim Anmelden geprüft.
Da wir einige Domänen zugehörige Notebooks haben, habe ich hier Probleme mit NTFS Freigaben auf Ordner.
Ich Pflege stelle die Pflege gerade für einiges auf Gruppen um für einfachere Verwaltung.
Problem ist, das hier dann User entweder keinen Zugriff haben oder noch Zugriff haben, obwohl sie es nicht haben sollen.
Die User melden sich an und dann wird VPN angemacht. ( Persönliche VPN Anmeldung).
Gibt es eine möglichkeit die Gruppenzugehörigkeit danach zu aktuallisieren?
Zum Bsp. mit einer GPO?
GPO´s kann man ja erzwingen und werden derzeit auch alle 10min erneut abgefragt.
Ich hoffe das es eine Lösung gibt, sonst kann ich keine Freigaben per Gruppen machen und sitze Stunden für eine Neueinrichtung.
Ich kanns leider so wegen Datenschutz nicht lassen.
Besten dank und ein schönes Fest!
die Gruppenzugehörigkeit wird ja beim Anmelden geprüft.
Da wir einige Domänen zugehörige Notebooks haben, habe ich hier Probleme mit NTFS Freigaben auf Ordner.
Ich Pflege stelle die Pflege gerade für einiges auf Gruppen um für einfachere Verwaltung.
Problem ist, das hier dann User entweder keinen Zugriff haben oder noch Zugriff haben, obwohl sie es nicht haben sollen.
Die User melden sich an und dann wird VPN angemacht. ( Persönliche VPN Anmeldung).
Gibt es eine möglichkeit die Gruppenzugehörigkeit danach zu aktuallisieren?
Zum Bsp. mit einer GPO?
GPO´s kann man ja erzwingen und werden derzeit auch alle 10min erneut abgefragt.
Ich hoffe das es eine Lösung gibt, sonst kann ich keine Freigaben per Gruppen machen und sitze Stunden für eine Neueinrichtung.
Ich kanns leider so wegen Datenschutz nicht lassen.
Besten dank und ein schönes Fest!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 359220
Url: https://administrator.de/contentid/359220
Printed on: April 25, 2024 at 01:04 o'clock
7 Comments
Latest comment
Servus.
Ich würde über eine Integration des VPN in den Logon-Prozess nachdenken dann wird die VPN Verbindung schon während des Anmeldeprozesses hergestellt und das Kerberos-Ticket aktualisiert. Viele namhafte VPN-Client Hersteller bieten das schon seit geraumer Zeit an und das ist heutzutage eigentlich Standard.
Ansonsten wirst du nur über ein Skript und dem Befehl klist purge die aktuellen Kerberos-Tickets löschen müssen.
Siehe auch
https://social.technet.microsoft.com/Forums/windowsserver/en-US/d1413e3d ...
Spielen könntest du auch mit der Kerberos Ticketlifetime, da gibt es aber einiges zu beachten.
https://technet.microsoft.com/en-us/library/Dd277401.aspx
Das erstere würde ich dir aber eher empfehlen.
Grüße und fröhliche Weihnachten
Uwe
Ich würde über eine Integration des VPN in den Logon-Prozess nachdenken dann wird die VPN Verbindung schon während des Anmeldeprozesses hergestellt und das Kerberos-Ticket aktualisiert. Viele namhafte VPN-Client Hersteller bieten das schon seit geraumer Zeit an und das ist heutzutage eigentlich Standard.
Ansonsten wirst du nur über ein Skript und dem Befehl klist purge die aktuellen Kerberos-Tickets löschen müssen.
Siehe auch
https://social.technet.microsoft.com/Forums/windowsserver/en-US/d1413e3d ...
Spielen könntest du auch mit der Kerberos Ticketlifetime, da gibt es aber einiges zu beachten.
https://technet.microsoft.com/en-us/library/Dd277401.aspx
Das erstere würde ich dir aber eher empfehlen.
Grüße und fröhliche Weihnachten
Uwe
Hi,
zusätzlich zu dem was Uwe schreibt:
Das ist dann aber auch nur für lokale Ressourcen des Clients interessant, oder z.B. für Scripte oder Programme, welche lokal laufen und die Gruppenmitgliedschaft des Benutzers auswerten. Server, welche "hinter dem VPN" liegen, fordern beim Verbindungaufbau ein eigenes Ticket für diese Sitzung an. Interne Server werden also immer bei den internen DC ein Ticket anfordern, wenn der Benutzer das erste Mal nach VPN-Aufbau auf diesen Server zugreift. Es sein denn beim Test, wenn man "zu schnell" die VPN-Verbindung testweise trennt und wieder startet, die Gruppenmitgliedschaft zwischendurch ändert und das Ticket auf dem Server noch nicht erneuert wurde. Aber im "normalen" Alltag würde das Ticket neu abgefragt.
E.
zusätzlich zu dem was Uwe schreibt:
Das ist dann aber auch nur für lokale Ressourcen des Clients interessant, oder z.B. für Scripte oder Programme, welche lokal laufen und die Gruppenmitgliedschaft des Benutzers auswerten. Server, welche "hinter dem VPN" liegen, fordern beim Verbindungaufbau ein eigenes Ticket für diese Sitzung an. Interne Server werden also immer bei den internen DC ein Ticket anfordern, wenn der Benutzer das erste Mal nach VPN-Aufbau auf diesen Server zugreift. Es sein denn beim Test, wenn man "zu schnell" die VPN-Verbindung testweise trennt und wieder startet, die Gruppenmitgliedschaft zwischendurch ändert und das Ticket auf dem Server noch nicht erneuert wurde. Aber im "normalen" Alltag würde das Ticket neu abgefragt.
E.
Danke für eure Antworten,
naja, der Fileserver liegt klar hinter dem VPN zusammen mit dem DC.
Die Laufwerke selbst werden per Anmeldescript gemapt.
Die Berechtigungen werden hier aber Local auf dem NB bei der Anmeldung geprüft, den Fileserver ist das ja egal und erstellt eben kein Ticket.
Es ist durch die Offline Anmeldung eben im Userprofil die alte Gruppe verankert.
Nur GPO werden Automatisch alle 10min vom Notebook abgefragt.
Wir nutzen Sophos VPN.
Mir fällt nur ein : eine GPO was das Ticket neu anfordert.
Genial wäre ja ein Script gewesen.
naja, der Fileserver liegt klar hinter dem VPN zusammen mit dem DC.
Die Laufwerke selbst werden per Anmeldescript gemapt.
Die Berechtigungen werden hier aber Local auf dem NB bei der Anmeldung geprüft, den Fileserver ist das ja egal und erstellt eben kein Ticket.
Es ist durch die Offline Anmeldung eben im Userprofil die alte Gruppe verankert.
Nur GPO werden Automatisch alle 10min vom Notebook abgefragt.
Wir nutzen Sophos VPN.
Mir fällt nur ein : eine GPO was das Ticket neu anfordert.
Genial wäre ja ein Script gewesen.
Da kommen mir gleich mehrere Fragen.
Ist das Problem, dass sich die Gruppenmitgliedschaften des Benutzers ändern wärend der Client offline ist oder dass die NTFS-Berechtigungen der per Offline Files zwischengespeicherten Dateien gändert werden wärend der Client offline ist?
NTFS-Berechtigungen werden bei der nächsten Synchronisation der Offline Files übernommen. Diese Synchronisation sollte eigentlich kurz nach Verfügbarkeit der Freigabe (VPN steht) erfolgen.
Wenn sich die Gruppenmitgliedschaft ändert, so wird hier sehr wohl ein neues Ticket generiert, wenn die Freigabe der zwischengespeicherten Dateien wieder verfügbar ist. Das muss so sein, weil Microsoft angibt:
Edit: Falsche Angabe bei "Wert" korrigiert
Ich kanns leider so wegen Datenschutz nicht lassen.
Da stellt sich die Frage, ob dann Offline Files Eure Datenschutzrichtlinine nicht schon im Prinzip untergraben? Denn solange der Client offline ist gelten die Zugriffsrechte der letzten Sycnhronisation. Auch wenn dem Mitarbeiter inzwischen die Rechte entzogen wurden.Ist das Problem, dass sich die Gruppenmitgliedschaften des Benutzers ändern wärend der Client offline ist oder dass die NTFS-Berechtigungen der per Offline Files zwischengespeicherten Dateien gändert werden wärend der Client offline ist?
NTFS-Berechtigungen werden bei der nächsten Synchronisation der Offline Files übernommen. Diese Synchronisation sollte eigentlich kurz nach Verfügbarkeit der Freigabe (VPN steht) erfolgen.
Wenn sich die Gruppenmitgliedschaft ändert, so wird hier sehr wohl ein neues Ticket generiert, wenn die Freigabe der zwischengespeicherten Dateien wieder verfügbar ist. Das muss so sein, weil Microsoft angibt:
When you logon to Windows by using cached logon information, if the domain controller is unavailable to validate your account, you cannot access network resources that require domain validation. However, you can access network resources that do not require domain validation.
Wenn der Zugriff weiter funktioniert, dann liegt das daran, dass er Client weiterhin mit den Offline Files arbeitet, obwohl die Freigabe online ist, und die Änderungen mit der Freigabe synchronisiert. Das kann man aber (in Grenzen) steueren. Es gibt die GPOComputerkonfiguration - Administrative Vorlagen - Netzwek - Offlinedateien - Modus für langsame Verbindungen konfigurieren
Damit kann man steuern, ab welcher Latenz der Client mit der lokalen Kopie arbeitet. Wenn Du sicherstellen willst, dass bei Verfügarkeit der Freigabe auch unbedingt mit dieser gearbeitet wird, dann trägst Du in dieser GPO für diese Freigabe eine sehr hohe Latenz ein, z.B. > 100 ms oder noch mehr.Wertname: \\server\freigabe
Wert: Latency=100
Wert: Latency=100
Edit: Falsche Angabe bei "Wert" korrigiert
Wir nutzen garkeine Offline Files.
Es werden wie erwähnt die die Freigegeben Ordner per Script als Laufwerk hinterlegt.
Ist der client Offine, sind auch die Netzwerke für ihn nicht erreichbar.
Dann lügt wohl MS!
Den nochmal :
Wenn ich auf einen Ordner eine Gruppe habe und ein User hinzufüge oder entferne und das zugehörige Notebook nicht im Domänennetzwerk ist, werden die Gruppen nicht aktuallisiert, da dies bei der Anmeldung passiert.
Es mag richtig sein, dass in den Moment, wo der User auf den Ordner klickt hier die neuen Gruppen drin sind, der User hat aber dann dennoch keine Berechtigung, weil er in der Gruppe noch nicht gesehen wird, weil er seine ID nicht in der Gruppe hinterlegt hat.
Das passiert beim Anmelden.
Ich habs auch mehrfach getestet und es ist so.
Gleiches ist, wenn ein user aus der Gruppe entfernt wird und sich dann Offline anmeldet und danach VPN anmacht.
Er ist zwar nicht mehr in der Gruppe aber kommt weiterhin auf den Ordner, weil sein Profil auf den Notebook immer noch seine ID in der Gruppe mit führt.
Ich hoffe du verstehst jetzt was ich meine.
Es werden wie erwähnt die die Freigegeben Ordner per Script als Laufwerk hinterlegt.
Ist der client Offine, sind auch die Netzwerke für ihn nicht erreichbar.
Dann lügt wohl MS!
Den nochmal :
Wenn ich auf einen Ordner eine Gruppe habe und ein User hinzufüge oder entferne und das zugehörige Notebook nicht im Domänennetzwerk ist, werden die Gruppen nicht aktuallisiert, da dies bei der Anmeldung passiert.
Es mag richtig sein, dass in den Moment, wo der User auf den Ordner klickt hier die neuen Gruppen drin sind, der User hat aber dann dennoch keine Berechtigung, weil er in der Gruppe noch nicht gesehen wird, weil er seine ID nicht in der Gruppe hinterlegt hat.
Das passiert beim Anmelden.
Ich habs auch mehrfach getestet und es ist so.
Gleiches ist, wenn ein user aus der Gruppe entfernt wird und sich dann Offline anmeldet und danach VPN anmacht.
Er ist zwar nicht mehr in der Gruppe aber kommt weiterhin auf den Ordner, weil sein Profil auf den Notebook immer noch seine ID in der Gruppe mit führt.
Ich hoffe du verstehst jetzt was ich meine.
Hi,
wenn Du da keine Offline Files hast, dann hast Du Null Problem. Die Tatsache, dass da im Explorer möglicherweise noch ein Netzlaufwerk angezeigt wird, ändert nichts daran, dass jemand im NTFS Zugriffsrechte hat oder nicht. Man kann einem Benutzer auch ein Laufwerk verbinden und ihm danach die Rechte entziehen. Er sieht das Laufwerk dann zwar noch, kann aber nicht zugreifen.
Und weil heute Weihnachten ist, habe ich das eben sogar noch mal durchgespielt.
Dieses Verhalten ist by design.
Edit:
Das ist umgekehrt übrigens genauso. Wenn ich mal bei meinem o.g. Bsp. bleibe, Wenn ich den Benutzer wieder zu dieser Gruppe hinzufüge, dann hat er nicht sofort Zugriff. Es sei denn, die Sitzung auf dem Fileserver war schon abgelaufen und der Server musste sowieso ein neues Ticket für den Benutzer holen.
Hinweis: Die Sitzung auf dem Server korreliert mit der Sitzung am Client. Wenn man den Benutzer am Client neu anmeldet, dann wird beim erneuten Zugriff auf den Server auch sofort eine neue Sitzung erstellt und dafür ein neues Ticket bezogen.
Man kann aber auch einfach das Session Timeout auf dem Server abwarten und dann erst wieder auf die Freigabe zugreifen, ohne den Benutzer am Client neu anmelden zu müssen.
wenn Du da keine Offline Files hast, dann hast Du Null Problem. Die Tatsache, dass da im Explorer möglicherweise noch ein Netzlaufwerk angezeigt wird, ändert nichts daran, dass jemand im NTFS Zugriffsrechte hat oder nicht. Man kann einem Benutzer auch ein Laufwerk verbinden und ihm danach die Rechte entziehen. Er sieht das Laufwerk dann zwar noch, kann aber nicht zugreifen.
Wenn ich auf einen Ordner eine Gruppe habe und ein User hinzufüge oder entferne und das zugehörige Notebook nicht im Domänennetzwerk ist, werden die Gruppen nicht aktuallisiert, da dies bei der Anmeldung passiert.
Ja, das ist ja auch logisch aber für den Fileserver vollkommen irrelevant. Der Fileserver fordert jedes Mal neu ein Ticket für den Benutzer an, wenn dieser eine neue Sitzung mit dem Fileserver herstellt und verwirft es wieder, wenn diese Sitzung abläuft oder wenn das Ticket abläuft. Das Ticket, welches der Benutzer am Client hat, ist dafür vollkommen wurscht.Es mag richtig sein, dass in den Moment, wo der User auf den Ordner klickt hier die neuen Gruppen drin sind, der User hat aber dann dennoch keine Berechtigung, weil er in der Gruppe noch nicht gesehen wird, weil er seine ID nicht in der Gruppe hinterlegt hat.
Das passiert beim Anmelden.
Das passiert bei jedem Anmelden neu, egal ob interaktiv oder bei Remote-Zugriff auf eine freigegebene Ressource.Das passiert beim Anmelden.
Und weil heute Weihnachten ist, habe ich das eben sogar noch mal durchgespielt.
- Benutzer am Client angemeldet
- am Server eine neue Freigabe erstellt; nur eine Gruppe hat dort Zugriff; Benutzer ist Mitglied in dieser Gruppe
- mit Benutzer auf Freigabe zugegriffen - OK
- Explorer geschlossen
- Benutzer aus o.g. Gruppe entfernt
- Benutzer nicht neu angemeldet
- AD-Replikation und "Idle Connection Timer" abgewartet --> CIFS and SMB Timeouts in Windows
- Benutzer kann vom Client nicht mehr auf die o.g. Freigabe zugreifen
Dieses Verhalten ist by design.
Ich habs auch mehrfach getestet und es ist so.
Dann warst Du zu schnell/ungeduldig. s.o. TimeoutsEdit:
Das ist umgekehrt übrigens genauso. Wenn ich mal bei meinem o.g. Bsp. bleibe, Wenn ich den Benutzer wieder zu dieser Gruppe hinzufüge, dann hat er nicht sofort Zugriff. Es sei denn, die Sitzung auf dem Fileserver war schon abgelaufen und der Server musste sowieso ein neues Ticket für den Benutzer holen.
Hinweis: Die Sitzung auf dem Server korreliert mit der Sitzung am Client. Wenn man den Benutzer am Client neu anmeldet, dann wird beim erneuten Zugriff auf den Server auch sofort eine neue Sitzung erstellt und dafür ein neues Ticket bezogen.
Man kann aber auch einfach das Session Timeout auf dem Server abwarten und dann erst wieder auf die Freigabe zugreifen, ohne den Benutzer am Client neu anmelden zu müssen.
Danke dir!
in der TAT, ich hatte zu kurz gewartet
Grüße
in der TAT, ich hatte zu kurz gewartet
Grüße
