10
Selfservice Active Directory
Hallo,
ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.
Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.
Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?
Vielen Dank für eure Hilfe.
ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.
Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.
Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?
Vielen Dank für eure Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1643404928
Url: https://administrator.de/contentid/1643404928
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
10 Kommentare
Neuester Kommentar
Wenn das VPN erst nach Anmeldung gestartet wird, dann kann eine Sperrung, die ja nicht am Notebook, sondernam Domänencontroller passiert logischerweise auch gar nicht bemerkt werden und der Mitarbeiter kann sich immer anmelden. Gesynct wird da übrigens gar nichts.
Ich meine aber, wenn der Mitarbeiter arbeitet und nebenher sich sein Passwort sperrt. Er nun Feierabend macht und Montag sich einloggen will, kommt er nicht mehr rein, weil sein Notebook mitbekommen hat, das der Account gesperrt ist.
Rein Sicherheitstechnisch, könnte man ja dann so durch ziehen den Netzwerksteckers den Login wieder ermöglichen. Das kann ich mir nicht vorstellen, das es so einfach sein soll. Oder verstehe ich Dich falsch ?
Rein Sicherheitstechnisch, könnte man ja dann so durch ziehen den Netzwerksteckers den Login wieder ermöglichen. Das kann ich mir nicht vorstellen, das es so einfach sein soll. Oder verstehe ich Dich falsch ?
weil sein Notebook mitbekommen hat, das der Account gesperrt ist.
Das ist ein Irrtum. Da wird nichts gesynct und auch nichts "mitbekommen".Du kannst offline, also ohne Netz immer mit dem alten Kennwort rein in den Rechner. Der Hash, der dann wirklich lokal gespeichert wird, wird erst erzeugt, wenn Du mit Netzzugang in der Domäne agierst.
Du kannst das alles ausprobieren.
Moin,
in den VPN-Einstellungen den DNS mit übergeben. Hat bei uns das Problem gelöst.
in den VPN-Einstellungen den DNS mit übergeben. Hat bei uns das Problem gelöst.
Ok, wir haben eine andere Lösung gefunden. "VPN before Logon" um den Rechner erstmal an die Domaine zu binden. So kann der Mitarbeiter sich dann ganz normal einloggen bzw. überhaupt nicht, wenn der Account gesperrt ist.
Wenn das geht, sollte man es immer nutzen, klar 
Mahlzeit!
Garantiert. Mit dem, was andere nicht wissen und auch nicht lösen, lässt sich viel Geld verdienen.
Klingt cool.
Ja. Es reicht das Konzept eines Notfallnutzers, der auf dem Laptop lokal authentifiziert werden kann. Ab dann kommt es auf die eingesetzte VPN-Lösung an. Wir haben eine Sophos im Einsatz. Da funktioniert das. Ein Nutzer bekommt von mir die Anmeldedaten des lokalen Nutzers (der KEINE Adminrechte hat), startet in dessen Kontext VPN, wechselt den Benutzer und meldet sich an.
Der Laptop prüft bei Erreichbarkeit der Domäne die Zugangsdaten des Nutzers und frischt seine lokalen Informationen auf. Wenn seitens Domäne mit dem Konto alles klar ist, sollte der Rechner auch wieder zufrieden sein.
Dann kann ein erneuter Benutzerwechsel zum lokalen Nutzer erfolgen und dieser aus VPN und Laptop abgemeldet werden.
Einfach, low tech und funktioniert.
VG
bdmvg
Vielen Dank für eure Hilfe.
Zitat von @dfritz:
ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.
ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.
Garantiert. Mit dem, was andere nicht wissen und auch nicht lösen, lässt sich viel Geld verdienen.
Zitat von @dfritz:
Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.
Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.
Klingt cool.
Zitat von @dfritz:
Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?
Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?
Ja. Es reicht das Konzept eines Notfallnutzers, der auf dem Laptop lokal authentifiziert werden kann. Ab dann kommt es auf die eingesetzte VPN-Lösung an. Wir haben eine Sophos im Einsatz. Da funktioniert das. Ein Nutzer bekommt von mir die Anmeldedaten des lokalen Nutzers (der KEINE Adminrechte hat), startet in dessen Kontext VPN, wechselt den Benutzer und meldet sich an.
Der Laptop prüft bei Erreichbarkeit der Domäne die Zugangsdaten des Nutzers und frischt seine lokalen Informationen auf. Wenn seitens Domäne mit dem Konto alles klar ist, sollte der Rechner auch wieder zufrieden sein.
Dann kann ein erneuter Benutzerwechsel zum lokalen Nutzer erfolgen und dieser aus VPN und Laptop abgemeldet werden.
Einfach, low tech und funktioniert.
VG
bdmvg
Vielen Dank für eure Hilfe.
Moin,
Alternativ nutzt man für VPN (C2S) in der Regel Zertifikate. Entweder pro Benutzerkonto und/oder Computerkonto. Der private Schlüssel sollte natürlich auf keinen Fall exportierbar sein. Kann man natürlich dann noch mit dem Zugangsdaten des ADs kombinieren. Je nachdem wie hoch die Anforderungen und Wünsche sind. Man darf natürlich nicht vergessen, dass man das Ganze hinterher auch Warten/Pflegen so wie ggf. Fehler suchen muss.
Gruß,
Dani
Ok, wir haben eine andere Lösung gefunden. "VPN before Logon" um den Rechner erstmal an die Domaine zu binden.
heutzutage sollte man eine VPN-Anmeldung via AD ohne 2FA eigentlich gar nicht mehr nutzen. Die Gefahr ist einfach zu groß, dass die Zugangsdaten abgegriffen werden. Such dir aus wie und wo...Alternativ nutzt man für VPN (C2S) in der Regel Zertifikate. Entweder pro Benutzerkonto und/oder Computerkonto. Der private Schlüssel sollte natürlich auf keinen Fall exportierbar sein. Kann man natürlich dann noch mit dem Zugangsdaten des ADs kombinieren. Je nachdem wie hoch die Anforderungen und Wünsche sind. Man darf natürlich nicht vergessen, dass man das Ganze hinterher auch Warten/Pflegen so wie ggf. Fehler suchen muss.
Gruß,
Dani
2FA machen wir schon immer und ist auch mit der VPN before Login Methode kein Problem. Entsprechende Masken für Windows User / Passwort und VPN User / Passwort sind vorhanden.
Wir haben übrigens inzwischen selbst die Anmeldung eines bisher unbekannten User mit VPN before Login getestet. Es dauert - aber es funktioniert wunderbar.
Wir haben übrigens inzwischen selbst die Anmeldung eines bisher unbekannten User mit VPN before Login getestet. Es dauert - aber es funktioniert wunderbar.
