qf1410640014

Login-Credentials kopieren?

Hallo,

Frage: ist es in einer Windows 2012R2-Domäne möglich, Mitarbeitern ihre Laptops zur Verfügung zu stellen, ohne dass die beim Einloggen Domain-Controller-Kontakt brauchen?

Bisher hab ich die immer zu mir gebeten und die 1x einloggen lassen, dass deren Credentials gecacht sind, wenn die außer Haus sind.

Leider ist das nun nicht mehr möglich, da die Laptops zentral aufgesetzt und dann ausgegeben werden. Wenn da mal ein Mitarbeiter nicht einloggt vorher, hat der ohne DC 0,0 Chance da einzuloggen.

Möchte nämlich mit lokalen Standard-Accounts erst gar nichts anfangen, da dann sowohl dieser wie der Domain-Account verwendet werden würden und mal dort und da Daten liegen.

Gebraucht wird also ein Skript, das da die Folders anlegt für den User und beim Aufsetzen des Laptops schon einen Login des jeweiligen Users emuliert.

Wäre sowas irgendwie ohne 748 Klimmzüge zu tätigen zu bewerkstelligen?

LG
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 335242

Url: https://administrator.de/forum/login-credentials-kopieren-335242.html

Ausgedruckt am: 16.07.2025 um 02:07 Uhr

StefanKittel
StefanKittel 14.04.2017 um 22:39:32 Uhr
Hallo,

das einfachste wären kleine VPN-Router.
NB dran, WAN an irgendein Netzwerk und schon ist man drin.
Danach das Ding zurückschicken. Man braucht es ja nur ein mal.

Stefan
Herbrich19
Herbrich19 15.04.2017 um 03:04:11 Uhr
Hallo,

Was spricht gegen eine VPN Lösung oder noch besser DirectAccess?? face-smile

Gruß an die IT-Welt,
J Herbrich
132895
132895 15.04.2017 aktualisiert um 10:10:12 Uhr
noch besser DirectAccess
Genau das wäre hier auch mein Favorit, funktioniert aus jedem Netz heraus, auch aus den zig Hotspots dieser Welt.
Zusätzlicher Vorteil, GPOs etc. kommen so direkt und überall beim Notebook an sobald eine Netzwerkverbindung aufgebaut wird.

Gruß
Vision2015
Vision2015 15.04.2017 um 10:22:21 Uhr
moin..

also ich traue der sache mit DirectAccess nicht über den weg....
dann lieber ein VPN!

Frank
132895
132895 15.04.2017 aktualisiert um 10:27:43 Uhr
Zitat von @Vision2015:
also ich traue der sache mit DirectAccess nicht über den weg....
dann lieber ein VPN!
Dann hast du definitiv noch nie damit gearbeitet ...das ist ein SSL-VPN auf IPv6 Basis welches problemlos auch über IPv4 arbeitet!!!
Vision2015
Vision2015 15.04.2017 um 10:43:32 Uhr
Zitat von @132895:

Zitat von @Vision2015:
also ich traue der sache mit DirectAccess nicht über den weg....
dann lieber ein VPN!
Dann hast du definitiv noch nie damit gearbeitet ...das ist ein SSL-VPN auf IPv6 Basis welches problemlos auch über IPv4 arbeitet!!!
Danke für die Aufklärung.... das ist bekannt face-smile
für mich ist es ein unding, einen windows server auch noch VPN (DirectAccess) spielen zu lassen...
dafür gibbet vpn gateways...

Frank
132895
132895 15.04.2017 aktualisiert um 10:58:54 Uhr
Zitat von @Vision2015:
Danke für die Aufklärung.... das ist bekannt face-smile
für mich ist es ein unding, einen windows server auch noch VPN (DirectAccess) spielen zu lassen...
dafür gibbet vpn gateways...
Ja nee, ein DA-Server sollte ja ist auch immer eine separate Istanz in einer DMZ sein! Les erst mal die Best Practices zu DA, dann können wir hier weiter diskutieren, aber das ist ja jetzt nicht Thema des Beitrags, also lassen wir das.
Herbrich19
Herbrich19 15.04.2017 um 20:22:40 Uhr
Hallo

Dann hast du definitiv noch nie damit gearbeitet ...das ist ein SSL-VPN auf IPv6 Basis welches problemlos auch über IPv4 arbeitet!!!

Eben nicht ganz, du brauchst Protokoll 41 für 6to4 um DirectAccess über IPv4 nutzen zu können laut TechNet face-smile

Gruß an die IT-Welt,
J Herbrich
132895
132895 15.04.2017 aktualisiert um 23:29:23 Uhr
Zitat von @Herbrich19:

Hallo

Dann hast du definitiv noch nie damit gearbeitet ...das ist ein SSL-VPN auf IPv6 Basis welches problemlos auch über IPv4 arbeitet!!!

Eben nicht ganz, du brauchst Protokoll 41 für 6to4 um DirectAccess über IPv4 nutzen zu können laut TechNet face-smile
Quark das ist veraltet, den Umsetzer hat der DA schon an Bord und macht der schon von Haus aus über IP-HTTPs, den ganzen Teredo-Krams braucht es heute wirklich nicht mehr "das war mal" und den deaktiviert man meist...Heutzutage reicht es völlig IP-HTTPs freizugeben, darüber läuft alles. Glaub's mir, ich arbeite mit DA schon seit Jahren über IPv4 von Extern.
Herbrich19
Herbrich19 16.04.2017 um 01:34:58 Uhr
Würde das SSL VPN auch mit installierten IIS laufen??

Gruß an die IT-Welt,
J Herbrich
132895
132895 16.04.2017 aktualisiert um 08:49:09 Uhr
Zitat von @Herbrich19:

Würde das SSL VPN auch mit installierten IIS laufen??
Hierfür existiert ja schon SSTP im RRAS das als Quasi-SSL-VPN fest über Port 443 im Parallelbetrieb mit dem IIS läuft. Das Protokoll beherrschen alle Windows-Clients, aber das ist hier ja jetzt nicht Thema des Beitrags.
Herbrich19
Herbrich19 16.04.2017 um 15:23:36 Uhr
Oh danke für die Information face-smile

Gruß an die IT-Welt,
J Herbrich
qf1410640014
qf1410640014 01.05.2017 um 22:55:22 Uhr
Hallo,

danke für die vielen Antworten. Leider geht das am Problem vorbei, da Frage nicht präzise genug vormuliert: die User sollen ja einloggen können, ohne Internet-Kontakt zu haben.

Die kriegen ihre Laptops und fahren dann irgendwo hin zu Kunden, wo (noch) kein Internet vor Ort ist. Dann funktioniert kein VPN, kein DA und auch kein Domain-Login.

Lösung ist wohl wirklich nur lokale Accounts.

LG
Herbrich19
Herbrich19 02.05.2017 um 08:36:56 Uhr
Hallo,

Es gibt in der GPO eine Policy wo man einstellen kann wie viele Logins akzeptabel sind (also im Cache bleiben) bis wieder eine Verbindung zum DC nötig ist.

Gruß an die IT-Welt,
J Herbrich