Selfservice Active Directory
Hallo,
ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.
Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.
Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?
Vielen Dank für eure Hilfe.
ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.
Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.
Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?
Vielen Dank für eure Hilfe.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1643404928
Url: https://administrator.de/forum/selfservice-active-directory-1643404928.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
10 Kommentare
Neuester Kommentar
weil sein Notebook mitbekommen hat, das der Account gesperrt ist.
Das ist ein Irrtum. Da wird nichts gesynct und auch nichts "mitbekommen".Du kannst offline, also ohne Netz immer mit dem alten Kennwort rein in den Rechner. Der Hash, der dann wirklich lokal gespeichert wird, wird erst erzeugt, wenn Du mit Netzzugang in der Domäne agierst.
Mahlzeit!
Garantiert. Mit dem, was andere nicht wissen und auch nicht lösen, lässt sich viel Geld verdienen.
Klingt cool.
Ja. Es reicht das Konzept eines Notfallnutzers, der auf dem Laptop lokal authentifiziert werden kann. Ab dann kommt es auf die eingesetzte VPN-Lösung an. Wir haben eine Sophos im Einsatz. Da funktioniert das. Ein Nutzer bekommt von mir die Anmeldedaten des lokalen Nutzers (der KEINE Adminrechte hat), startet in dessen Kontext VPN, wechselt den Benutzer und meldet sich an.
Der Laptop prüft bei Erreichbarkeit der Domäne die Zugangsdaten des Nutzers und frischt seine lokalen Informationen auf. Wenn seitens Domäne mit dem Konto alles klar ist, sollte der Rechner auch wieder zufrieden sein.
Dann kann ein erneuter Benutzerwechsel zum lokalen Nutzer erfolgen und dieser aus VPN und Laptop abgemeldet werden.
Einfach, low tech und funktioniert.
VG
bdmvg
Vielen Dank für eure Hilfe.
Zitat von @dfritz:
ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.
ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.
Garantiert. Mit dem, was andere nicht wissen und auch nicht lösen, lässt sich viel Geld verdienen.
Zitat von @dfritz:
Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.
Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.
Klingt cool.
Zitat von @dfritz:
Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?
Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?
Ja. Es reicht das Konzept eines Notfallnutzers, der auf dem Laptop lokal authentifiziert werden kann. Ab dann kommt es auf die eingesetzte VPN-Lösung an. Wir haben eine Sophos im Einsatz. Da funktioniert das. Ein Nutzer bekommt von mir die Anmeldedaten des lokalen Nutzers (der KEINE Adminrechte hat), startet in dessen Kontext VPN, wechselt den Benutzer und meldet sich an.
Der Laptop prüft bei Erreichbarkeit der Domäne die Zugangsdaten des Nutzers und frischt seine lokalen Informationen auf. Wenn seitens Domäne mit dem Konto alles klar ist, sollte der Rechner auch wieder zufrieden sein.
Dann kann ein erneuter Benutzerwechsel zum lokalen Nutzer erfolgen und dieser aus VPN und Laptop abgemeldet werden.
Einfach, low tech und funktioniert.
VG
bdmvg
Vielen Dank für eure Hilfe.
Moin,
Alternativ nutzt man für VPN (C2S) in der Regel Zertifikate. Entweder pro Benutzerkonto und/oder Computerkonto. Der private Schlüssel sollte natürlich auf keinen Fall exportierbar sein. Kann man natürlich dann noch mit dem Zugangsdaten des ADs kombinieren. Je nachdem wie hoch die Anforderungen und Wünsche sind. Man darf natürlich nicht vergessen, dass man das Ganze hinterher auch Warten/Pflegen so wie ggf. Fehler suchen muss.
Gruß,
Dani
Ok, wir haben eine andere Lösung gefunden. "VPN before Logon" um den Rechner erstmal an die Domaine zu binden.
heutzutage sollte man eine VPN-Anmeldung via AD ohne 2FA eigentlich gar nicht mehr nutzen. Die Gefahr ist einfach zu groß, dass die Zugangsdaten abgegriffen werden. Such dir aus wie und wo...Alternativ nutzt man für VPN (C2S) in der Regel Zertifikate. Entweder pro Benutzerkonto und/oder Computerkonto. Der private Schlüssel sollte natürlich auf keinen Fall exportierbar sein. Kann man natürlich dann noch mit dem Zugangsdaten des ADs kombinieren. Je nachdem wie hoch die Anforderungen und Wünsche sind. Man darf natürlich nicht vergessen, dass man das Ganze hinterher auch Warten/Pflegen so wie ggf. Fehler suchen muss.
Gruß,
Dani