dfritz
Goto Top

Selfservice Active Directory

Hallo,

ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.

Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.

Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?

Vielen Dank für eure Hilfe.

Content-ID: 1643404928

Url: https://administrator.de/forum/selfservice-active-directory-1643404928.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

DerWoWusste
DerWoWusste 21.12.2021 um 09:42:56 Uhr
Goto Top
Wenn das VPN erst nach Anmeldung gestartet wird, dann kann eine Sperrung, die ja nicht am Notebook, sondernam Domänencontroller passiert logischerweise auch gar nicht bemerkt werden und der Mitarbeiter kann sich immer anmelden. Gesynct wird da übrigens gar nichts.
dfritz
dfritz 21.12.2021 um 09:51:18 Uhr
Goto Top
Ich meine aber, wenn der Mitarbeiter arbeitet und nebenher sich sein Passwort sperrt. Er nun Feierabend macht und Montag sich einloggen will, kommt er nicht mehr rein, weil sein Notebook mitbekommen hat, das der Account gesperrt ist.

Rein Sicherheitstechnisch, könnte man ja dann so durch ziehen den Netzwerksteckers den Login wieder ermöglichen. Das kann ich mir nicht vorstellen, das es so einfach sein soll. Oder verstehe ich Dich falsch ?
DerWoWusste
DerWoWusste 21.12.2021 um 09:57:46 Uhr
Goto Top
weil sein Notebook mitbekommen hat, das der Account gesperrt ist.
Das ist ein Irrtum. Da wird nichts gesynct und auch nichts "mitbekommen".
Du kannst offline, also ohne Netz immer mit dem alten Kennwort rein in den Rechner. Der Hash, der dann wirklich lokal gespeichert wird, wird erst erzeugt, wenn Du mit Netzzugang in der Domäne agierst.
DerWoWusste
DerWoWusste 21.12.2021 um 09:58:24 Uhr
Goto Top
Du kannst das alles ausprobieren.
SirEistee
SirEistee 21.12.2021 um 12:26:09 Uhr
Goto Top
Moin,

in den VPN-Einstellungen den DNS mit übergeben. Hat bei uns das Problem gelöst.
dfritz
dfritz 21.12.2021 um 13:08:54 Uhr
Goto Top
Ok, wir haben eine andere Lösung gefunden. "VPN before Logon" um den Rechner erstmal an die Domaine zu binden. So kann der Mitarbeiter sich dann ganz normal einloggen bzw. überhaupt nicht, wenn der Account gesperrt ist.
DerWoWusste
DerWoWusste 21.12.2021 um 14:36:46 Uhr
Goto Top
Wenn das geht, sollte man es immer nutzen, klar face-smile
beidermachtvongreyscull
beidermachtvongreyscull 21.12.2021 um 22:23:08 Uhr
Goto Top
Zitat von @dfritz:

Hallo,
Mahlzeit!

Zitat von @dfritz:
ich brauche mal eure Hilfe. Ich habe ein Henne / Ei Problem und hab mal davon gehört, das es dafür eine Softwarelösung geben soll.

Garantiert. Mit dem, was andere nicht wissen und auch nicht lösen, lässt sich viel Geld verdienen.

Zitat von @dfritz:
Wir haben Mitarbeiter in Afrika, die sich per Domain-Anmeldung in Ihr Notebook einloggen und dann per VPN mit dem Firmennetz verbinden.

Klingt cool.

Zitat von @dfritz:
Wenn nun ein Account gesperrt wird oder der Mitarbeiter sich aus einem anderen Grund nicht mehr anmelden kann, wie bekomme ich den User bzw. das Notebook wieder so gesynct, das es eine Anmeldung zuläßt ? Hat jemand eine Idee?

Ja. Es reicht das Konzept eines Notfallnutzers, der auf dem Laptop lokal authentifiziert werden kann. Ab dann kommt es auf die eingesetzte VPN-Lösung an. Wir haben eine Sophos im Einsatz. Da funktioniert das. Ein Nutzer bekommt von mir die Anmeldedaten des lokalen Nutzers (der KEINE Adminrechte hat), startet in dessen Kontext VPN, wechselt den Benutzer und meldet sich an.

Der Laptop prüft bei Erreichbarkeit der Domäne die Zugangsdaten des Nutzers und frischt seine lokalen Informationen auf. Wenn seitens Domäne mit dem Konto alles klar ist, sollte der Rechner auch wieder zufrieden sein.

Dann kann ein erneuter Benutzerwechsel zum lokalen Nutzer erfolgen und dieser aus VPN und Laptop abgemeldet werden.

Einfach, low tech und funktioniert.

VG
bdmvg



Vielen Dank für eure Hilfe.
Dani
Dani 22.12.2021 um 12:50:40 Uhr
Goto Top
Moin,
Ok, wir haben eine andere Lösung gefunden. "VPN before Logon" um den Rechner erstmal an die Domaine zu binden.
heutzutage sollte man eine VPN-Anmeldung via AD ohne 2FA eigentlich gar nicht mehr nutzen. Die Gefahr ist einfach zu groß, dass die Zugangsdaten abgegriffen werden. Such dir aus wie und wo...

Alternativ nutzt man für VPN (C2S) in der Regel Zertifikate. Entweder pro Benutzerkonto und/oder Computerkonto. Der private Schlüssel sollte natürlich auf keinen Fall exportierbar sein. Kann man natürlich dann noch mit dem Zugangsdaten des ADs kombinieren. Je nachdem wie hoch die Anforderungen und Wünsche sind. Man darf natürlich nicht vergessen, dass man das Ganze hinterher auch Warten/Pflegen so wie ggf. Fehler suchen muss.


Gruß,
Dani
dfritz
dfritz 24.12.2021 um 09:51:49 Uhr
Goto Top
2FA machen wir schon immer und ist auch mit der VPN before Login Methode kein Problem. Entsprechende Masken für Windows User / Passwort und VPN User / Passwort sind vorhanden.

Wir haben übrigens inzwischen selbst die Anmeldung eines bisher unbekannten User mit VPN before Login getestet. Es dauert - aber es funktioniert wunderbar.