7
Notebook über vpn in die on-prem domain einfügen
Hallo,
a)
1-2x BYOD Notebooks sollten in die on-prem Domäne ohne Factoryreset vorher.
Habe am Notebook über Anydesk dann VPN zur on-prem Domain gestartet.
CMD: ping on-prem-domain.local funktioniert
als lokaler admin user: Notebook sagt: Willkommen in Domäne.
Ganz normal abmelden, VPN nicht explizit getrennt.
Neustarten, wieder als lokaler Admin einloggen
VPN starten/Windows + L/als Domainadministrator einloggen = geht
Notebook neustarten über Anydesk.
Als Domainadministrator einloggen -> 5 Zeilen Fehlermeldung....Vertrauensstellung...
Welche Arbeitsschritt fehlt hier/was mache ich da falsch?
b) Mit diesem GMX Irrtum hab ich nix zu tun.
Bisherige lokale Windows Benutzer war jeweils eine pers. private GMX Adresse. (und muss nicht weiter funktionieren)
Am Loginscreen wird nur PIN abgefragt oder Smartcard.
D.h. konventionelles Kennwort irgendwie nicht zu Auswahl.
Kann ja passieren, das Enduser sagt: ich kenn nur die PIN, Benutzerkennwort ist mir unbekannt.
a)
1-2x BYOD Notebooks sollten in die on-prem Domäne ohne Factoryreset vorher.
Habe am Notebook über Anydesk dann VPN zur on-prem Domain gestartet.
CMD: ping on-prem-domain.local funktioniert
als lokaler admin user: Notebook sagt: Willkommen in Domäne.
Ganz normal abmelden, VPN nicht explizit getrennt.
Neustarten, wieder als lokaler Admin einloggen
VPN starten/Windows + L/als Domainadministrator einloggen = geht
Notebook neustarten über Anydesk.
Als Domainadministrator einloggen -> 5 Zeilen Fehlermeldung....Vertrauensstellung...
Welche Arbeitsschritt fehlt hier/was mache ich da falsch?
b) Mit diesem GMX Irrtum hab ich nix zu tun.
Bisherige lokale Windows Benutzer war jeweils eine pers. private GMX Adresse. (und muss nicht weiter funktionieren)
Am Loginscreen wird nur PIN abgefragt oder Smartcard.
D.h. konventionelles Kennwort irgendwie nicht zu Auswahl.
Kann ja passieren, das Enduser sagt: ich kenn nur die PIN, Benutzerkennwort ist mir unbekannt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668631
Url: https://administrator.de/contentid/668631
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
7 Kommentare
Neuester Kommentar
Eventuell hat der Laptop das Machinepassword geändert es aber nicht richtig synchronisiert ?
als lokaler admin auf dem Laptop mal versuchen, dabei natürlich per VPN verbunden sein.
Mal abgesehen davon, mit domain-admin auf irgendwelche clientgeräte einloggen ist echt übel. Das sollte definitiv gesperrt werden. Würde dringend dazu raten das domain-admin passwort direkt zu ändern.
als lokaler admin auf dem Laptop mal
Reset-ComputerMachinePassword -Server "DCxxx" -Credential domain\username Mal abgesehen davon, mit domain-admin auf irgendwelche clientgeräte einloggen ist echt übel. Das sollte definitiv gesperrt werden. Würde dringend dazu raten das domain-admin passwort direkt zu ändern.
CMD: ping on-prem-domain.local
Manche lernen es nie... 
https://imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
https://www.heise.de/news/Ueberfaellig-ICANN-legt-sich-auf-Namen-fuer-in ...
Verstehe ich das richtig, du nimmst Geräte, die deinen Mitarbeitern privat gehören und von ihnen bereits privat genutzt werden, ohne Reset in deine Domain auf und meldest dich dann über Anydesk an dem lokalen Gerät als Domain Admin an? ...
4
Zitat von @ukulele-7:
Verstehe ich das richtig, du nimmst Geräte, die deinen Mitarbeitern privat gehören und von ihnen bereits privat genutzt werden, ohne Reset in deine Domain auf und meldest dich dann über Anydesk an dem lokalen Gerät als Domain Admin an? ...
Verstehe ich das richtig, du nimmst Geräte, die deinen Mitarbeitern privat gehören und von ihnen bereits privat genutzt werden, ohne Reset in deine Domain auf und meldest dich dann über Anydesk an dem lokalen Gerät als Domain Admin an? ...
Leben am Limit. Strebt womöglich neuen AG an.
3
Zitat von @13402570474:
Leben am Limit. Strebt womöglich neuen AG an.
Zitat von @ukulele-7:
Verstehe ich das richtig, du nimmst Geräte, die deinen Mitarbeitern privat gehören und von ihnen bereits privat genutzt werden, ohne Reset in deine Domain auf und meldest dich dann über Anydesk an dem lokalen Gerät als Domain Admin an? ...
Verstehe ich das richtig, du nimmst Geräte, die deinen Mitarbeitern privat gehören und von ihnen bereits privat genutzt werden, ohne Reset in deine Domain auf und meldest dich dann über Anydesk an dem lokalen Gerät als Domain Admin an? ...
Leben am Limit. Strebt womöglich neuen AG an.
Ich vermute eher ordre di mufti von oben und der arme Tropf - vermutlich Azubi oder einer der im Gegensatz zu den anderen nicht schreiend weggelaufen ist, als sie ihn zum Admin gemacht haben, weil er weiß, wie man den computer einschaltet - muß das ganze jetzt ausbaden.
lks
Mal abgesehen davon, mit domain-admin auf irgendwelche clientgeräte einloggen ist echt übel. Das sollte definitiv >gesperrt werden. Würde dringend dazu raten das domain-admin passwort direkt zu ändern.
Verstehe ich das richtig, du nimmst Geräte, die deinen Mitarbeitern privat gehören und von ihnen bereits privat >genutzt werden, ohne Reset in deine Domain auf und meldest dich dann über Anydesk an dem lokalen Gerät als >Domain Admin an? ...
Es ist eine 7 Mann Domäne, die Geräte vom Eigentümer und ich kenn die Menschen einige Jahre. Riskante Webseiten/Anhänge sind dort selten/nie. Bei Fremden hätte ich das nicht gemacht.
Es ist ein temporär erstellter Domainuser in Gruppe Domänen-Admins dessen Kennwort nach dieser Baustelle geändert wird (und wieder deaktiviert wird)
Es geht ja um Prävention "pass the hash" und das Ziel "clean keyboard".
Riskante Webseiten/Anhänge sind dort selten/nie.
Nein, niemals. Sowieso nicht wenns die Geräte vom Eigentümer sind. Die surfen nämlich gar nicht (ich habe nichts gemacht), sondern schauen nur die Bildgalerie von Windows durch und kopieren 2 Icons aufm Desktop.Selbstverständlich müssen die Geräte sauber sein.
Tipp:
temporär erstellter Domainuser in Gruppe Domänen-Admins
yes, verschlüsseln wir die Geräääääääteeeeeeeeeeeeeeeeeeeeeeee.Best Practise ist das nicht, auch nicht bei einer 3 Mann Domäne. Gerade bei einer 7 Mann klitsche, kann ein Verlust der Daten die Existenz bedrohen: ABER, ihr wisst das.
Wünsche trotzdem gutes Gelingen.
