derlenhart
Goto Top

Wie können sinnvoll GPOs am Firmenlaptop angewendet werden

GPOs werden beim booten geladen. Da der VPN Client erst später manuell gestartet wird gibt es einen Konflikt

Hallo zusammen,

ich plane gerade ein paar (fünf) Firmenlaptops einzuführen (Windows 7 Pro). Dabei stellt sich folgende Herrausforderung.

1. Die Laptops werden nicht in der Firma angeschlossen
2. Die Laptops booten außschlielich extern und greifen über einen VPN Client zu.

Die Herrausforderung dabei ist: Wie kann ich sicherstellen, dass die Clients die aktuellen GPOs, WSUS Patches und Sicherheitsschlüssel von der Domäne bekommen. Soweit ich weiß, werden viele dieser Parameter beim hochfahren oder login ausgetauscht. Der Vorgang wäre dann abgeschlossen.

1. Würde z.B. eine Batchdatei ausreichen in dem ich ein gpupdate ausführe? Die könne ich nach dem VPN Login ausführen. Werden dann auch Computerrichtlinien gespeichert und ab dem nächsten bootvorgang angewandt?
2. Was ist wenn ich das Benutzerkennwort ändere? Wann würde der Client diese Änderung mitbekommen?

Hat jeman eine Praxiserfahrung oder einen Bericht hier? Das Problem sollte ja nicht neu sein, mir fällt jedoch nichts sinnvollen ein. Ich möchte die Laptops schon gerne über die Domäne verwalten.

Vielen Dank, derLenhart

Content-ID: 157843

Url: https://administrator.de/contentid/157843

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

Christian25
Christian25 02.01.2011 um 16:20:00 Uhr
Goto Top
wenn kein netzwerkzugriff zum dc vorhanden ist kann man sich auch nicht in der domäne anmelden sondern nur lokal...
also das benutzerkw. sollte immer aktuell sein
der rest eigentlich auch...
nur wie realisierst du den vpn zugriff ?
derLenhart
derLenhart 02.01.2011 um 16:44:56 Uhr
Goto Top
Hallo, die Einbindung in die Domäne könnte ich z.B. in der Firma oder bei bestehender VPN Verbindung vornehmen. Der VPN Zugriff würde über den SonicWall VPN Client erfolgen. Nur wenn dann das Laptop startet, würde ja stets keine Verbindung zur Domäne bestehen. Erst, wenn der Tunnel aufgebaut ist.

Wie würde sich dann z.B. eine CMD Befehl für gpupdate verhalten. Würden die "neuen" Richtlinien abgeholt werden und ab dem nächsten Neustart angewandt. Gilt dies auch für Computer GPO´s?

Da kenne ich mich nicht aus. Ich weiß auch, dass in gewissen Invertallen die Richtlinien aktualisiert werden. Da ich aber nicht weiß, wie lange der VPN Tunnel aufgebaut ist, ist es etwas heikel hier nicht ein Update zu erzwingen.

Der Sonicwall Client erlaubt es z.B. ein batch/ps Script nach erfolgreicher Verbindung auszuführen.

Darüber hinaus weiß ich nicht, wie/wann sich die Domänen Infos aktualisieren. Angenommen ich würde auf dem Laptop im Offlinemodus (keine Verbindung zur Domäne) das Kennwort ändern. Würden sich die Schlüssel später aktualisieren, wenn der Tunnel aufgebaut ist? Oder andersrum: Ich würde das Kennwort am Server ändern oder Kontoeigentschaften ändern. Wie würde es sich da verhalten.

Darüber hinaus ist ja es nicht ganz korrekt. Wenn das Laptop in der Domäne ist und auf dem Laptop der User angelegt ist, kann ich mich auch ohne Verbindung zum DC anmelden. Allerdings nur für maximal 30 Tage (aus dem Kopf).
Schönen Grüß
derLenhart
wiesi200
wiesi200 02.01.2011 um 17:24:56 Uhr
Goto Top
Hallo,

Zitat von @derLenhart:
Wie würde sich dann z.B. eine CMD Befehl für gpupdate verhalten. Würden die "neuen" Richtlinien abgeholt
werden und ab dem nächsten Neustart angewandt. Gilt dies auch für Computer GPO´s?

Ja, dem ist so

Da kenne ich mich nicht aus. Ich weiß auch, dass in gewissen Invertallen die Richtlinien aktualisiert werden. Da ich aber
nicht weiß, wie lange der VPN Tunnel aufgebaut ist, ist es etwas heikel hier nicht ein Update zu erzwingen.

Wenn ich mich recht erinnere passiert das so im 2h Takt.

Der Sonicwall Client erlaubt es z.B. ein batch/ps Script nach erfolgreicher Verbindung auszuführen.

Darüber hinaus weiß ich nicht, wie/wann sich die Domänen Infos aktualisieren. Angenommen ich würde auf dem
Laptop im Offlinemodus (keine Verbindung zur Domäne) das Kennwort ändern. Würden sich die Schlüssel
später aktualisieren, wenn der Tunnel aufgebaut ist? Oder andersrum: Ich würde das Kennwort am Server ändern oder
Kontoeigentschaften ändern. Wie würde es sich da verhalten.

Ob du's es so einfach im Offlinemodus ändern kannst hab ich noch nie getestet. Andersrum gilt das Kennwort dann eigentlich ab dem nächsten Neustart. Im Prinzip so als wenn er im Haus währe und der PC angemeldet ist.

Darüber hinaus ist ja es nicht ganz korrekt. Wenn das Laptop in der Domäne ist und auf dem Laptop der User angelegt ist,
kann ich mich auch ohne Verbindung zum DC anmelden. Allerdings nur für maximal 30 Tage (aus dem Kopf).

Das geht auf jeden Fall. Nur sind's nicht die 30 Tage sondern er speichert sich eine gewisse Anzahl an Anmeldungen im Standard. Kann man aber in den GPO's einstellen.