8
Windows Anmeldung (Domäne) mit NFC Chip
Guten Morgen,
ich würde gerne in einer Windows-Domäne folgendes umsetzen:
Jeder Computer hat einen NFC Card Reader, jeder Nutzer entsprechend eine NFC Card.
Der Nutzer soll jetzt in der Lage sein, sich am Computer anzumelden, wenn die Karte auf den Reader gelegt wird.
Dazu habe ich bereits Anleitungen gefunden, bezogen sich jedoch alle auf lokale Benutzer und nicht Benutzer aus einer Domänen-Struktur.
Daher würde ich gerne wissen, ob es für Domänenbenutzer sowas auch gibt?
ich würde gerne in einer Windows-Domäne folgendes umsetzen:
Jeder Computer hat einen NFC Card Reader, jeder Nutzer entsprechend eine NFC Card.
Der Nutzer soll jetzt in der Lage sein, sich am Computer anzumelden, wenn die Karte auf den Reader gelegt wird.
Dazu habe ich bereits Anleitungen gefunden, bezogen sich jedoch alle auf lokale Benutzer und nicht Benutzer aus einer Domänen-Struktur.
Daher würde ich gerne wissen, ob es für Domänenbenutzer sowas auch gibt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3026944476
Url: https://administrator.de/contentid/3026944476
Printed on: April 25, 2024 at 01:04 o'clock
8 Comments
Latest comment
Ja, geht. Details hängen von der unbekannten Hardware ab.
Hi.
Ich würde keinen reinen NFC-Logon ohne PIN gut finden. Willst Du das wirklich? Karte in falschen Händen und schon Identitätsdiebstahl möglich?
Wenn Du mit PIN willst, wird das eine ganz andere Nummer, deshalb frage ich.
Ich würde keinen reinen NFC-Logon ohne PIN gut finden. Willst Du das wirklich? Karte in falschen Händen und schon Identitätsdiebstahl möglich?
Wenn Du mit PIN willst, wird das eine ganz andere Nummer, deshalb frage ich.
Es sollte mit einer PIN sein.
Am liebsten wäre mir sogar, wenn die Karte sich entfernt, dass der Computer gesperrt wird
Am liebsten wäre mir sogar, wenn die Karte sich entfernt, dass der Computer gesperrt wird
Ein Yubikey 5 NFC bietet das, Doku hier: https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Win ...
https://cpl.thalesgroup.com/access-management/idprime-md-pki-smart-cards
-> SafeNet IDPrime 3940 kann auch NFC aber ermöglicht auch wahlweise den Betrieb mit separatem (non-NFC-) SmartCard Reader (z.B. mit Thales IDBridge CT 700). Vorteil: die PIN kann nicht mehr von Keyloggern gesehen werden.
-> SafeNet IDPrime 3940 kann auch NFC aber ermöglicht auch wahlweise den Betrieb mit separatem (non-NFC-) SmartCard Reader (z.B. mit Thales IDBridge CT 700). Vorteil: die PIN kann nicht mehr von Keyloggern gesehen werden.
Hallo DerWoWusste,
hierzu dann eine Frage bei Yubikey, wie könnte das gelösst werden bei Server RDP Sitzungen von Client PC's aus wo der User keine Domain Admin rechte besitz.
Plus bei Server RDP Sitzungen welche über Android oder IOS Geräte hergestellt werden
Mfg Quercus
hierzu dann eine Frage bei Yubikey, wie könnte das gelösst werden bei Server RDP Sitzungen von Client PC's aus wo der User keine Domain Admin rechte besitz.
Plus bei Server RDP Sitzungen welche über Android oder IOS Geräte hergestellt werden
Mfg Quercus
@Quercus
Stell bitte eine eigene Frage. Zu dieser Frage von @malkie erkenne ich keinen Zusammenhang.
Wäre schön, wenn Du genauer sagen könntest, was Du machen möchtest und wo es hakt, ich kann so nicht verstehen, worum es geht bei "RDP Sitzungen von Client PC's aus".
RDP über Andoid/IOS: kann ich dir nicht sagen, nutzen wir nicht.
Stell bitte eine eigene Frage. Zu dieser Frage von @malkie erkenne ich keinen Zusammenhang.
Wäre schön, wenn Du genauer sagen könntest, was Du machen möchtest und wo es hakt, ich kann so nicht verstehen, worum es geht bei "RDP Sitzungen von Client PC's aus".
RDP über Andoid/IOS: kann ich dir nicht sagen, nutzen wir nicht.
Diebstahl der Karte ist ein Problem. Auch wenn mal Windows streikt.
Eine Box davor wäre ggf. was. Bildschirm bleibt ohne Auth schwarz. Karte kann sogar in der Tasche - bei der aktiven Variante - verbleiben.
Hab leider noch nicht angefragt. Das Thema kam auch bei uns mal auf und hatte dann die Fa. in der Nachbarschaft gefunden
Will keine Schleichwerbung machen. Aber fands für unsere Produktion interssant. Wo auch alte REchner stehen. Da es ja hier unabhängig läuft. Auch eine angemeldete RDP Sitzung wär kein Problem.
Nur müsste man dann für Plätze ohne diese Art der Auth darauf achten, dass RDP gesperrt wird. Verschiedene GPOs? Aufteilung der MA?
Kabel so verbauen, dass man nicht einfach umstecken kann. Vorteil wenn es streickt: Kabel umbauen, und es geht wieder. Ist ja eine Frage der Zeit. Wenn Diebe Stunden Zeit haben ist alles Essig. Schutz der Daten, DSGVO etc. find ich sowas ganz brauchbar....
Fa. südlich von Hannover im besten Bundesland der Welt.
https://www.deister.com/de/loesungen/computer-authentifizierung/
PS: Arbeitsplatzwechsel und automatisches Anmelden fallen hier natürlich flach. Ist mehr was für das Tagesgeschäft wo eben mal schnell gesperrt und entsperrt werden soll! Aber von wechselnden MA hast du oben nichts erwähnt.
Eine Box davor wäre ggf. was. Bildschirm bleibt ohne Auth schwarz. Karte kann sogar in der Tasche - bei der aktiven Variante - verbleiben.
Hab leider noch nicht angefragt. Das Thema kam auch bei uns mal auf und hatte dann die Fa. in der Nachbarschaft gefunden
Will keine Schleichwerbung machen. Aber fands für unsere Produktion interssant. Wo auch alte REchner stehen. Da es ja hier unabhängig läuft. Auch eine angemeldete RDP Sitzung wär kein Problem.Nur müsste man dann für Plätze ohne diese Art der Auth darauf achten, dass RDP gesperrt wird. Verschiedene GPOs? Aufteilung der MA?
Kabel so verbauen, dass man nicht einfach umstecken kann. Vorteil wenn es streickt: Kabel umbauen, und es geht wieder. Ist ja eine Frage der Zeit. Wenn Diebe Stunden Zeit haben ist alles Essig. Schutz der Daten, DSGVO etc. find ich sowas ganz brauchbar....
Fa. südlich von Hannover im besten Bundesland der Welt.
https://www.deister.com/de/loesungen/computer-authentifizierung/
PS: Arbeitsplatzwechsel und automatisches Anmelden fallen hier natürlich flach. Ist mehr was für das Tagesgeschäft wo eben mal schnell gesperrt und entsperrt werden soll! Aber von wechselnden MA hast du oben nichts erwähnt.
