Temporäre WLAN Verbindung für AD-Login
Hallo zusammen,
ich weiß leider nicht unter welchem Begriff ich dafür suchen muss, daher habe ich bisher leider nichts gefunden was mir weiterhilft. Falls jemand mir den Suchbegriff oder einen Link dazu sagen kann wäre ich auch schon sehr dankbar.
Mein Problem:
Ich habe hier 29 Laptops mit Windows 10 Enterprise, die von verschiedensten Benutzern (ca. 600) benutzt werden. Die Nutzer haben alle AD-Accounts und können sich am Laptop bei bestehender Netzwerkverbindung anmelden. Nur steht für diese Laptops kein LAN-Anschluss zur Verfügung, sondern nur WLAN. Die WLAN-Authentifizierung erfolgt ebenfalls über die AD-Accounts, allerdings erst, wenn der Benutzer sich einloggt und ausschließlich über die Benutzerdaten des Nutzers. Ein WLAN-Dummy-User, der für die Laptops eine dauerhafte Verbindung schon vor dem Login aufbaut und nach dem Login weiter aufrecht erhält, kommt aus sicherheitstechnischen Gründen nicht in Frage.
Ich suche eine Lösung, bei der der Laptop vor der Anmeldung des Benutzers über WLAN eine Verbindung zum AD-Server aufbaut, sodass ein Login möglich ist. Soweit kein Problem, der Knackpunkt: Nach dem Login soll dem Benutzer allerdings diese Verbindung nicht mehr zur Verfügung stehen. Entweder soll der Computer die Verbindung trennen und automatisch die Verbindung mit den Credentials des Nutzers wieder aufbauen (Idealfall) oder einfach nur die Verbindung trennen und der Nutzer muss sich anschließend mit seinen Credentials mit dem WLAN verbinden. Egal welcher der beiden Wege, die Verbindung ohne Credentials oder Dummy-Credentials darf nach dem Windows-Login für den Nutzer nicht mehr möglich sein. Auch muss sichergestellt werden, dass kein anderer Rechner / Laptop diese temporäre Verbindung dauerhaft nutzen kann. Mein Wunsch wäre eine Verbindung über Dummyzugangsdaten, die in den Laptops nicht sichtbar hinterlegt sind, nur im Anmeldebildschirm und nicht mit einem angemeldeten Benutzer verwendet werden können.
Gibt es hierfür eine Lösung? Ich weiß irgendwie suche ich hier eine eierlegende Wollmilchsau, aber vielleicht gibt es ja eine Lösung.
Viele Grüße
ich weiß leider nicht unter welchem Begriff ich dafür suchen muss, daher habe ich bisher leider nichts gefunden was mir weiterhilft. Falls jemand mir den Suchbegriff oder einen Link dazu sagen kann wäre ich auch schon sehr dankbar.
Mein Problem:
Ich habe hier 29 Laptops mit Windows 10 Enterprise, die von verschiedensten Benutzern (ca. 600) benutzt werden. Die Nutzer haben alle AD-Accounts und können sich am Laptop bei bestehender Netzwerkverbindung anmelden. Nur steht für diese Laptops kein LAN-Anschluss zur Verfügung, sondern nur WLAN. Die WLAN-Authentifizierung erfolgt ebenfalls über die AD-Accounts, allerdings erst, wenn der Benutzer sich einloggt und ausschließlich über die Benutzerdaten des Nutzers. Ein WLAN-Dummy-User, der für die Laptops eine dauerhafte Verbindung schon vor dem Login aufbaut und nach dem Login weiter aufrecht erhält, kommt aus sicherheitstechnischen Gründen nicht in Frage.
Ich suche eine Lösung, bei der der Laptop vor der Anmeldung des Benutzers über WLAN eine Verbindung zum AD-Server aufbaut, sodass ein Login möglich ist. Soweit kein Problem, der Knackpunkt: Nach dem Login soll dem Benutzer allerdings diese Verbindung nicht mehr zur Verfügung stehen. Entweder soll der Computer die Verbindung trennen und automatisch die Verbindung mit den Credentials des Nutzers wieder aufbauen (Idealfall) oder einfach nur die Verbindung trennen und der Nutzer muss sich anschließend mit seinen Credentials mit dem WLAN verbinden. Egal welcher der beiden Wege, die Verbindung ohne Credentials oder Dummy-Credentials darf nach dem Windows-Login für den Nutzer nicht mehr möglich sein. Auch muss sichergestellt werden, dass kein anderer Rechner / Laptop diese temporäre Verbindung dauerhaft nutzen kann. Mein Wunsch wäre eine Verbindung über Dummyzugangsdaten, die in den Laptops nicht sichtbar hinterlegt sind, nur im Anmeldebildschirm und nicht mit einem angemeldeten Benutzer verwendet werden können.
Gibt es hierfür eine Lösung? Ich weiß irgendwie suche ich hier eine eierlegende Wollmilchsau, aber vielleicht gibt es ja eine Lösung.
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 398918
Url: https://administrator.de/forum/temporaere-wlan-verbindung-fuer-ad-login-398918.html
Ausgedruckt am: 08.05.2025 um 06:05 Uhr
17 Kommentare
Neuester Kommentar
Hi.
Deine Forderungen sind ungewöhnlich. Warum möchtest Du, dass die Verbindung pro Nutzer hergestellt wird?
Ich vermute, dass das etwas mit Internettraffic, den Du überwachen willst, zu tun hat. In dem Fall würde ich das auf andere Weise empfehlen zu tun, zum Beispiel über SQUID-Authentifizierung am Proxy.
Deine Forderungen sind ungewöhnlich. Warum möchtest Du, dass die Verbindung pro Nutzer hergestellt wird?
Ich vermute, dass das etwas mit Internettraffic, den Du überwachen willst, zu tun hat. In dem Fall würde ich das auf andere Weise empfehlen zu tun, zum Beispiel über SQUID-Authentifizierung am Proxy.
Zitat von @Christian.Widauer:
Da es sich hierbei um keine Mitarbeiter handelt, die an Verträge und Dienstvorschriften gebunden sind, müssen wir immer nachvollziehen können, wer dahinter steckt, wenn Schindluder getrieben wurde.
Da es sich hierbei um keine Mitarbeiter handelt, die an Verträge und Dienstvorschriften gebunden sind, müssen wir immer nachvollziehen können, wer dahinter steckt, wenn Schindluder getrieben wurde.
Hallo,
du willst also Personen die keine Mitarbeiter sind in dein Firmennetzwerk lassen?
Wäre da nicht eher ein Gäste Netzwerk empfehlenswert?
Und wieso haben die einen AD-Account?
Tom
Hallo,
für mich hört sich das nach unsauber organisiserten Benutzerkonten an.
Normal wäre:
- Laptop authentifiziert sich über ein Computerzertifikat im WLAN
- der Benutzer authentifiziert sich über das AD
Das passt normalerweise. Voraussetzung wäre: Für jeden echten Benutzer (Mensch) ein AD-Konto. Die Kontoverwendung kann man dann auch sauber protokollieren. Niemand ist ja einfach "im WLAN unterwegs" - normalerweise greift er auf Dienste zu. Diese Zugriffe kann man überwachen. Dann weisst Du nicht nur, wer im WLAN war, sonder - und wichtiger - worauf der zugegriffen hat.
Ihr solltet sowieso nur Leute in Euer WLAN lassen, die eine dazu irgendwie geartete Vereinbarung unterschrieben haben. Ein Firmen-WLAN ist kein offenes WLAN.
Grüße
lcer
für mich hört sich das nach unsauber organisiserten Benutzerkonten an.
Normal wäre:
- Laptop authentifiziert sich über ein Computerzertifikat im WLAN
- der Benutzer authentifiziert sich über das AD
Das passt normalerweise. Voraussetzung wäre: Für jeden echten Benutzer (Mensch) ein AD-Konto. Die Kontoverwendung kann man dann auch sauber protokollieren. Niemand ist ja einfach "im WLAN unterwegs" - normalerweise greift er auf Dienste zu. Diese Zugriffe kann man überwachen. Dann weisst Du nicht nur, wer im WLAN war, sonder - und wichtiger - worauf der zugegriffen hat.
Ihr solltet sowieso nur Leute in Euer WLAN lassen, die eine dazu irgendwie geartete Vereinbarung unterschrieben haben. Ein Firmen-WLAN ist kein offenes WLAN.
Grüße
lcer
Hallo nochmal,
Wenn Du die WLAN-Anmeldung protokollierst weißt Du nicht, was der Benutzer gemacht hat. Das ist eigentlich sinnlos. Du willst wissen, wer wann welche Aktionen ausgeführt hat - das wirst Du so nicht mitbekommen.
Bei WPA2 Enterprise bekommst Du zum Beispiel auch nicht mit (man korrigiere mich, falls falsch) wann der Benutzer das WLAN wieder verlassen hat. RADIUS/NPS ist erstmal nur für das Genehmigen des Zugriffs da.
kurzum: Ihr macht Euch was vor und Euer Sicherheitskonzept ist "ausbaufähig".
Grüße
lcer
Zitat von @Christian.Widauer:
Es handelt sich hierbei um Studenten / Schüler. (Insgesamt ca 6000, aber etwa 600 am Standort), die mehrere Jahre bei uns sind und auch einen Mail-Account und weitere Dienste zur Verfügung gestellt bekommen, die an deren AD-Accounts geknüpft sind. Die Accounts werden automatisch über ein IDM bei der Einschreibung angelegt und nach ausscheiden wieder deaktiviert. Wie man sich das vorstellen kann, wird hier auch viel ausprobiert und versucht, weswegen wir auch nachvollziehbar haben wollen, wer wann was im Netzwerk gemacht hat, falls jemand die Grenzen übertritt.
Es handelt sich hierbei um Studenten / Schüler. (Insgesamt ca 6000, aber etwa 600 am Standort), die mehrere Jahre bei uns sind und auch einen Mail-Account und weitere Dienste zur Verfügung gestellt bekommen, die an deren AD-Accounts geknüpft sind. Die Accounts werden automatisch über ein IDM bei der Einschreibung angelegt und nach ausscheiden wieder deaktiviert. Wie man sich das vorstellen kann, wird hier auch viel ausprobiert und versucht, weswegen wir auch nachvollziehbar haben wollen, wer wann was im Netzwerk gemacht hat, falls jemand die Grenzen übertritt.
Wenn Du die WLAN-Anmeldung protokollierst weißt Du nicht, was der Benutzer gemacht hat. Das ist eigentlich sinnlos. Du willst wissen, wer wann welche Aktionen ausgeführt hat - das wirst Du so nicht mitbekommen.
Bei WPA2 Enterprise bekommst Du zum Beispiel auch nicht mit (man korrigiere mich, falls falsch) wann der Benutzer das WLAN wieder verlassen hat. RADIUS/NPS ist erstmal nur für das Genehmigen des Zugriffs da.
kurzum: Ihr macht Euch was vor und Euer Sicherheitskonzept ist "ausbaufähig".
Grüße
lcer
Zitat von @Christian.Widauer:
Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.
Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.
Wieso anonym? Wenn er sich mit einem AD Konto am Laptop anmelden muss um damit arbeiten zu können ist er ja nicht mehr anonym.
Daher würde ich mit einer Computerauthentifizierung eigentlich kein Problem sehen.
Tom
Ich würde bei der Notebookausgabe einfach einen LAN Anschluss zur Verfügung stellen und den Hinweis geben, dass eine erste Anmeldung erfolgen muss während das Notebook über diesem LAN Anschluss mit der AD verbunden ist.
Alles andere wird entweder sehr schwierig oder gar nicht zu bewerkstelligen sein.
Alles andere wird entweder sehr schwierig oder gar nicht zu bewerkstelligen sein.
Hallo nochmal,
auch wenn ich hier vielleicht nerve...
Möglicherweise ist Eure Sicherheitsrichtlinie unpassend oder schlicht falsch.
Grüße
lcer
auch wenn ich hier vielleicht nerve...
Zitat von @Christian.Widauer:
Der Punkt ist, dass ich aufgrund unserer Sicherheitsrichtlinie keine Computerauthentifizierung verwenden darf, wenn der Nutzer diese Verbindung nacher weiter verwendet und jetzt eine Lösung finden muss, die unserer Richtlinie entspricht.
Der Punkt ist, dass ich aufgrund unserer Sicherheitsrichtlinie keine Computerauthentifizierung verwenden darf, wenn der Nutzer diese Verbindung nacher weiter verwendet und jetzt eine Lösung finden muss, die unserer Richtlinie entspricht.
Möglicherweise ist Eure Sicherheitsrichtlinie unpassend oder schlicht falsch.
Zitat von @Christian.Widauer:
Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.
Auf dem Laptop - korrekt konfiguriert - können sich nur Benutzer anmelden, die sich am AD authentifizieren können. Natürlich kann man lokale Anmeldungen zulassen, aber wofür?Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.
Grüße
lcer
Zitat von @lcer00:
Hallo nochmal,
auch wenn ich hier vielleicht nerve...
Möglicherweise ist Eure Sicherheitsrichtlinie unpassend oder schlicht falsch.
Hallo nochmal,
auch wenn ich hier vielleicht nerve...
Zitat von @Christian.Widauer:
Der Punkt ist, dass ich aufgrund unserer Sicherheitsrichtlinie keine Computerauthentifizierung verwenden darf, wenn der Nutzer diese Verbindung nacher weiter verwendet und jetzt eine Lösung finden muss, die unserer Richtlinie entspricht.
Der Punkt ist, dass ich aufgrund unserer Sicherheitsrichtlinie keine Computerauthentifizierung verwenden darf, wenn der Nutzer diese Verbindung nacher weiter verwendet und jetzt eine Lösung finden muss, die unserer Richtlinie entspricht.
Möglicherweise ist Eure Sicherheitsrichtlinie unpassend oder schlicht falsch.
Ich sehe auch nicht wirklich einen Grund für diese Richtlinie, gerade da sie sich technisch so wohl nicht umsetzen lässt.
Eine Richtlinie sollte immer umsetzbar sein, sonst ist sie wertlos.
Zitat von @Christian.Widauer:
Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.
Auf dem Laptop - korrekt konfiguriert - können sich nur Benutzer anmelden, die sich am AD authentifizieren können. Natürlich kann man lokale Anmeldungen zulassen, aber wofür?Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.
Es ist doch eigentlich niemand wirklich anonym im Netzwerk wenn er gleichzeitig zur WLAN Verbindung mit seinem AD Konto angemeldet ist.
Zugriffsberechtigungen auf Netzlaufwerke usw. sind ja hoffentlich nicht anonym möglich sondern nur aufgrund der Freigaben die der User hat.
Wo ist das also bitte anonym?
Ich glaube, er meint folgendes:
Wenn sich ein User mit seinen eigenen Anmeldedaten im W-LAN anmeldet, ist nachvollziehbar, welcher User gerade die W-LAN-Verbindung hergestellt hat. Verbindet man das Notebook generell, sei es über Zertifikate oder eben über ANmeldedaten, mit dem W-LAN, ohne userspezifische Anmeldedaten, würde man zumindest auf dieser Verbindungsebene nicht feststellen können, wer sich nun mit dem W-LAN verbunden hat - also erst nach erfolgreicher DOmänen-Anmeldung, was bei einer hergestellten Verbindung am Ende kein Problem wäre, festzustellen, wer sich angemeldet hat.
Für mich klingt das so, als hätte die Chefetage irgendwelche Richtlinien erstellt und die armen Mitarbeiter müssen jetzt zusehen, wie sie die Traumvorstellung der Chefetage umsetzen können.
Ich versteh noch nicht ganz, wo das Problem ist, wenn das Notebook eine W-LAN-Verbindung hat. Wenn man sich mit keinem Benutzer anmeldet und am Gerät selbst die lokale Anmeldung über GPOs unterbindet, kann man mit dem Gerät doch gar nichts anfangen. Das Einzige was das Gerät hat ist die Verbindung über W-LAN, mehr nicht.
Gut, ich hätte zwei folgende, kreative Ideen:
1. Ihr aktiviert erst die standardmäßige W-LAN-Verbindung. Nach erfolgreicher Anmeldung am Notebook könnt ihr im Anmeldescript hinterlegen, dass die bestehende W-LAN-Verbindung getrennt werden soll. Ggf. könnt ihr sogar den User auffordern eine W-LAN-Verbindung herzustellen, indem ihr das dafür passende Fenster autoamtisch öffnet (mit Powershell alles möglich)
2. Ihr richtet bei jedem Notebook ein Standard-Benutzer ein, mit dem man im Grunde nichts machen kann, außer eben die userspezifische W-LAN-Verbindung herzustellen. Ist die hergestellt, meldet man sich um auf das andere Benutzerkonto. Ich weiß aber nicht, ob diese Möglichkeit ansatzweise realistisch ist, weil ich mir nicht sicher bin, ob die Verbindung bei Abmeldung bestehen bleiben würde.
Wenn sich ein User mit seinen eigenen Anmeldedaten im W-LAN anmeldet, ist nachvollziehbar, welcher User gerade die W-LAN-Verbindung hergestellt hat. Verbindet man das Notebook generell, sei es über Zertifikate oder eben über ANmeldedaten, mit dem W-LAN, ohne userspezifische Anmeldedaten, würde man zumindest auf dieser Verbindungsebene nicht feststellen können, wer sich nun mit dem W-LAN verbunden hat - also erst nach erfolgreicher DOmänen-Anmeldung, was bei einer hergestellten Verbindung am Ende kein Problem wäre, festzustellen, wer sich angemeldet hat.
Für mich klingt das so, als hätte die Chefetage irgendwelche Richtlinien erstellt und die armen Mitarbeiter müssen jetzt zusehen, wie sie die Traumvorstellung der Chefetage umsetzen können.
Ich versteh noch nicht ganz, wo das Problem ist, wenn das Notebook eine W-LAN-Verbindung hat. Wenn man sich mit keinem Benutzer anmeldet und am Gerät selbst die lokale Anmeldung über GPOs unterbindet, kann man mit dem Gerät doch gar nichts anfangen. Das Einzige was das Gerät hat ist die Verbindung über W-LAN, mehr nicht.
Gut, ich hätte zwei folgende, kreative Ideen:
1. Ihr aktiviert erst die standardmäßige W-LAN-Verbindung. Nach erfolgreicher Anmeldung am Notebook könnt ihr im Anmeldescript hinterlegen, dass die bestehende W-LAN-Verbindung getrennt werden soll. Ggf. könnt ihr sogar den User auffordern eine W-LAN-Verbindung herzustellen, indem ihr das dafür passende Fenster autoamtisch öffnet (mit Powershell alles möglich)
2. Ihr richtet bei jedem Notebook ein Standard-Benutzer ein, mit dem man im Grunde nichts machen kann, außer eben die userspezifische W-LAN-Verbindung herzustellen. Ist die hergestellt, meldet man sich um auf das andere Benutzerkonto. Ich weiß aber nicht, ob diese Möglichkeit ansatzweise realistisch ist, weil ich mir nicht sicher bin, ob die Verbindung bei Abmeldung bestehen bleiben würde.
Was ich am Problem vom OP noch nicht so ganz verstehe ist. Warum es nicht möglich sein soll, dass sich die Schüler/Studenten schon vor dem ersten Windows Login (bei dem dann das Profil von der AD überhaupt mal auf das Notebook kopiert wird) mit ihren eigenen AD Zugangsdaten am WLAN anmelden können?
Wenn ein RADIUS Server da ist sollte das auch gehen ohne dass man am Notebook bereits mal angemeldet war.
Wenn ein RADIUS Server da ist sollte das auch gehen ohne dass man am Notebook bereits mal angemeldet war.