touro411
Goto Top

Windows Anmeldemaske verzögern, Anmeldung verzögern

Hallo zusammen,

ich möchte - wie es sich schon vom Betreff ableiten lässt - die Anmeldung eines Users, bzw. das Erscheinen der Anmeldemaske verzögern.

Hintergrund: Die Mitarbeiter loggen sich im Homeoffice an den Rechnern ein, in dem Moment hat sich noch keine OpenVPN-Verbindung aufgebaut. Dadurch kann nicht das servergespeicherte Profil und auch die Netzlaufwerke nicht geladen werden.

OpenVPN ist als Dienst (ohne GUI) installiert.

Ich könnte eine Verzögerung im Logon-Script einbauen, mit welchem die Netzlaufwerke eingebunden werden, aber das Verbindung zum servergespeichertem Profil lässt sich damit nicht verzögern.

Habt ihr eine Idee, wie man dies "smart" lösen könnte?

Gruß
Touro411

Content-Key: 11222374502

Url: https://administrator.de/contentid/11222374502

Printed on: July 16, 2024 at 20:07 o'clock

Member: pebcak7123
pebcak7123 Jul 09, 2024 at 07:43:37 (UTC)
Goto Top
"Pre-Logon Access Provider" bei der OpenVPN installation mitinstallieren.
Siehe auch www.boc.de/watchguard-info-portal/2023/12/howto-openvpn-watchguard-sslvpn-und-start-before-logon-konfigurieren/
Member: touro411
touro411 Jul 09, 2024 at 07:51:26 (UTC)
Goto Top
Das OpenVPN läuft als Dienst im Hintergrund. Mit der Methode wird das nicht funktionieren, denke ich.
Member: vossi31
vossi31 Jul 09, 2024 at 08:02:55 (UTC)
Goto Top
Moin,

vielleicht hilft dir diese Gruppenrichtlinie?
"Computerkonfiguration/Administrative Vorlagen/System/Anmelden/Beim Neustart ... immer auf das Netzwerk warten“

Henning
Member: em-pie
em-pie Jul 09, 2024 at 08:13:18 (UTC)
Goto Top
Moin,

Dadurch kann nicht das servergespeicherte Profil und auch die Netzlaufwerke nicht geladen werden.
Willst du das wirklich?
Wenn das Profil 1GB groß ist oder rund 20.000 Files beinhaltet, wirst du eine Menge Spaß bekommen, wenn 5 Leute sich parallel anmelden...

"Gegen" die Netzlaufwerke könnte man etwas per Script lösen: "3 Minuten nach Anmeldung noch mal ein GPUpdate auslösen" als Beispiel...
Member: kreuzberger
kreuzberger Jul 09, 2024 at 08:14:11 (UTC)
Goto Top
moin @touro411

Soweit ich das verstehe geht es vor allem um die Reihenfolge der „Start-Optionen“ des Client-Computers. So muss OpenVPN gestartet sein als Dienst, bevor der User sich anmeldet, weil er seine Daten, auf die er Rechte hat, die er benötigt nicht zugreifen kann.
Das Profil ist allerdings doch durchaus auch Lokal gespiegelt. Somit wäre dann auch ein nachträgliches Mappen der Laufwerke nach der Useranmeldung möglich, eigentlich wegen der rechte auch gar nicht anders denkbar. Denn Laufwerke Mappen wenn nicht klar ist welcher user sich anmeldet weiss man ja die rechte auch nicht.
(User Anton hat Rechte auf Laufwerk Mapping „F:/anton“. User Berta hat rechte auf „G:/berta“.)

Off topic:
Es wäre ratsam, Serverbasiertes Userprofile sehr begrenzt zu halten, da sonst das anmelden wegen der Synchronisation über VPN doch sehr lange dauern kann.


hilft das evtl. weiter:
https://www.internet-xs.de/kb/tipps-zu-ip-tunnel-konfigurationsanleitung ...
Member: Penny.Cilin
Penny.Cilin Jul 09, 2024 at 09:51:43 (UTC)
Goto Top
Hallo,

beschäftige Dich mit AlwaysOnVPN. Damit werden Deine Probleme gelöst.

Gruss Penny.
Member: touro411
touro411 Jul 09, 2024 at 13:31:23 (UTC)
Goto Top
vielleicht hilft dir diese Gruppenrichtlinie?
"Computerkonfiguration/Administrative Vorlagen/System/Anmelden/Beim Neustart ... immer auf das Netzwerk warten“

Netzwerk ist in den meisten Fällen direkt nach dem Start da, es geht darum die Anmeldung erst dann anzubieten, wenn das VPN aufgebaut ist.
Member: DerWoWusste
DerWoWusste Jul 09, 2024 at 14:49:31 (UTC)
Goto Top
Mit der Methode wird das nicht funktionieren, denke ich.
Ich wüsste nicht, woran das scheitern soll. Das Beschriebene zeigt, wie der Nutzer vor dem Logon ein VPN aufbaut - das willst Du doch.
Member: touro411
touro411 Jul 10, 2024 at 10:23:46 (UTC)
Goto Top
Moin, ich konnte das Problem nun lösen, mit folgender Richtlinie:

Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options
Interactive logon: Number of previous logons to cache (in case domain controller is not available).

Hier habe ich den Wert 0 eingetragen, somit sind keine Login möglich, wenn der Domaincontroller nicht verfügbar ist.

Quelle:
https://learn.microsoft.com/en-us/answers/questions/1611007/how-to-remov ...
Member: kreuzberger
kreuzberger Jul 10, 2024 at 17:47:16 (UTC)
Goto Top
@touro411

Ob das nun eine wirklich nützliche Lösung des Problems ist kann ich nicht beurteilen. Klar ist: wenn der Domaincontrolelr nicht erreichbar ist, ist der Client-PC / Notebook nicht nutzbar. Das würde zb. für aussendest-Einsatz bedeutet: PC / Notebook ist nur ein Briefbeschwerer.

ggf ist eine andere Einstellung sinnvoller.

Warum sollte denn die VPN-Verbindung nicht nach dem login passieren dürfen, wenn man sie denn wirklich braucht?

Kreuzberger