fabio84
Goto Top

User-Logon Problem ohne aktives VPN - Diskussion

Hallo Admins,

wie löst Ihr folgendes Problem:

einige Mitarbeiter in einer ORG haben ein Notfall-Notebook welches nur wenig, seltener genutzt wird.
Problem ist, muss das User-PW aufgrund von Passwortrichtlinie der Domäne geändert werden.
Beispielsweise am festen-PCs des Hauptstandorts...
Hat man am Notfall-PC dann keine Verbindung mit dem Domaincontroller mehr.
Eine Windows-Logon ist dann nicht mehr mit dem aktuell gültigen Passwort am Domaincontroller nicht mehr möglich.


Ist ja auch logisch, weil das Notfall-Notebook eben lokal das alte Password-Hash hat, aufgrund der fehlenden Verbindung zum Domaincontroller.

Die Situation kommt dann immer ungelegen.
Oft hat der User dann sein altes/uraltes Passwort auch noch vergessen,sodass ein USER-Login nicht mehr möglich ist.


Aktuelle Lösung:
Wir loggen uns dann über einen Teamviewer-Host auf den Notfall-PC
Dann Login as domain or local Admin.
VPN Verbindung on demand aufbauen.
Als Admin angemeldet bleiben + Benutzer wechseln
im Anschluss kann der User sich mit seinem aktuell gültigen Passwort dann auch in seinem User-Profil anmelden.


Gerne würde ich hier einige Ideen sammeln wie man das eventuell besser machen kann ?

*Überlegungen*

-> im Homeoffice ein VPN-Gateway installieren, sodass der Tunnel auch vor der Anmeldung bereits aufgebaut ist.
DNS: Hier dann auch den oder einen der DC mit eintragen

-> Kann man sich vor der Windows Anmeldung per VPN on deman anmelden ?
-> geht das eventuell auch mit OPENVPN oder mit Securepoint VPN ?

-> VPN Verbindung am Notfall-PC via Zertifikat (als Dienst laufen lassen)
OpenVPN-Service o.ä

Habt ihr weitere Ideen Lösungsvorschläge

Content-Key: 61069335987

Url: https://administrator.de/contentid/61069335987

Printed on: February 29, 2024 at 22:02 o'clock

Member: NordicMike
NordicMike Dec 07, 2023 at 08:44:21 (UTC)
Goto Top
Ja, das geht (vor Anmelden Verbindung aufbauen)

Google einfach danach, da findest du genügend Treffer. Auch hier im Forum.
Member: erikro
erikro Dec 07, 2023 at 08:50:00 (UTC)
Goto Top
Moin,

das Problem kenne ich auch. face-wink Unsere Lösung:

User meldet sich mit dem alten Passwort lokal mit seinem Domainuser an.
User baut den Tunnel auf mit dem neuen Passwort. Nun besteht eine Verbindung zur Domain.
User sperrt den Bildschirm und entsperrt ihn mit dem neuen Passwort. Nun ist das neue Passwort auch im lokalen Cache.

hth

Erik
Member: commodity
commodity Dec 07, 2023 updated at 09:10:01 (UTC)
Goto Top
Google einfach danach
Treffer gibt's da viele, aber die meisten sind eher dürftig, fürchte ich.
Aktuelle Lösung: Wir loggen uns ...
Was für ein Krampf! Ihr Armen :-o

Ich habe für diesen Zweck einen mAP lite so aufgesetzt, dass er mir von unterwegs ein VPN ins Office aufbaut. Das Ding ist ca. 2x2 cm groß und "klebt" dank Magnetrückseite am Notebook (wenn man will). Der spannt ein eigenes Wifi auf, mit dem ich das Notebook connecte. Der schöne Nebeneffekt ist, dass ich mit dem Notebook dann gar nicht direkt im fremden Netz bin, sondern der mAP das abschottet. Ideal für Supporter.

Geht auch mit anderen Miniroutern denke ich, Stichwort Travel-Router. RouterOS ist da aber natürlich am flexibelsten.

Viele Grüße, commodity
Member: Hubert.N
Hubert.N Dec 07, 2023 at 09:14:02 (UTC)
Goto Top
Moin

Wie wird denn das VPN aufgebaut?. Das sollte doch hoffentlich vor der Anmeldung möglich sein!?

Gruß
Member: jsysde
jsysde Dec 07, 2023 at 09:37:45 (UTC)
Goto Top
Moin.

Also wenn du schon zur Diskussion anregst....
Zitat von @fabio84:
[...]Problem ist, muss das User-PW aufgrund von Passwortrichtlinie der Domäne geändert werden.[...]
Warum? Nenn mir nen zwingenden Grund, warum ein Passwort geändert werden _muss!_.
Nicht erst, seit das NIST vor ein paar Jahren diesen Ansatz verworfen hat, halte ich das für eines der größten Übel überhaupt. Ein Passwort ändert man erst und nur dann, wenn man eine Kompromittierung vermutet oder gar festgestellt hat. Setzt natürlich sichere Kennwörter voraus... andere Baustelle.

Löst euer "Problem" aber nicht vollständig, bei "zu seltener" Benutzung o.ä. könnte das Laptop auch die Vertrauensstellung zum AD verlieren. Dann wäre auch ein nicht geändertes Kennwort nicht der Problemlöser.

Der Ansatz von @commodity gefällt mir gut, etwas ähnliches hatten wir bei einem früheren Arbeitgeber auch im Einsatz (scheiterte seinerzeit am noch lahmen Mobilfunknetz). Muss ich mich wohl mal wieder mit befassen...

Der Punkt von @erikro ist auch gut - das hab' ich tatsächlich so noch nicht ausprobiert. Bisher war der "Befehl" immer: Laptop mit in die Firma bringen und mit angeschlossenem LAN-Kabel und Verbindung zum AD neu starten. Wenn man Software per GPO verteilt, klappt das ohne VPN _vor!_ der Anmeldung auch eher semi-gut. face-smile

Cheers,
jsysde
Member: nox309
nox309 Dec 07, 2023 at 16:57:23 (UTC)
Goto Top
Moin,

Ich habe gerade das "selbe" Problem, nur aus anderen Gründen das in der neuen hier die Geräte Lokal alle nicht in der Domain sind. Warum fragt mich nicht, ich ändere das nach und nach.

Meine Lösung sieht wie folgt aus (vermutlich für dich weniger umsetzt bar mit den Stichworten, die du genannt hast, aber vielleicht eine Anregung):
- Wir haben neue WLAN APs die einen VPN aufbauen und dann unser Firmen WLAN aus stahlen. Somit ist der PC immer in der "Reichweite" des ADs. Das nutzen die Kollegen, wenn sie länger und mit mehreren Kollegen im Außendienst sind.
- Für den Kollegen, der alleine unterwegs ist, soll unser VPN auch vor der Anmeldung zur Verfügung stehen (über das Netzwerksymbol, aktuell noch in der Testphase) hier meldet er sich an und dann die normale Windows-Anmeldung am AD. Somit ist ein Passwort wechsel oder auch der Fall, dass ich einem Kollegen ein neues Notebook ins Homeoffice schicken muss abgefrühstückt.

Gruß
Nox