Windows Anmeldung (Domäne) mit NFC Chip
Guten Morgen,
ich würde gerne in einer Windows-Domäne folgendes umsetzen:
Jeder Computer hat einen NFC Card Reader, jeder Nutzer entsprechend eine NFC Card.
Der Nutzer soll jetzt in der Lage sein, sich am Computer anzumelden, wenn die Karte auf den Reader gelegt wird.
Dazu habe ich bereits Anleitungen gefunden, bezogen sich jedoch alle auf lokale Benutzer und nicht Benutzer aus einer Domänen-Struktur.
Daher würde ich gerne wissen, ob es für Domänenbenutzer sowas auch gibt?
ich würde gerne in einer Windows-Domäne folgendes umsetzen:
Jeder Computer hat einen NFC Card Reader, jeder Nutzer entsprechend eine NFC Card.
Der Nutzer soll jetzt in der Lage sein, sich am Computer anzumelden, wenn die Karte auf den Reader gelegt wird.
Dazu habe ich bereits Anleitungen gefunden, bezogen sich jedoch alle auf lokale Benutzer und nicht Benutzer aus einer Domänen-Struktur.
Daher würde ich gerne wissen, ob es für Domänenbenutzer sowas auch gibt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3026944476
Url: https://administrator.de/contentid/3026944476
Ausgedruckt am: 14.11.2024 um 15:11 Uhr
8 Kommentare
Neuester Kommentar
Ja, geht. Details hängen von der unbekannten Hardware ab.
Ein Yubikey 5 NFC bietet das, Doku hier: https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Win ...
https://cpl.thalesgroup.com/access-management/idprime-md-pki-smart-cards
-> SafeNet IDPrime 3940 kann auch NFC aber ermöglicht auch wahlweise den Betrieb mit separatem (non-NFC-) SmartCard Reader (z.B. mit Thales IDBridge CT 700). Vorteil: die PIN kann nicht mehr von Keyloggern gesehen werden.
-> SafeNet IDPrime 3940 kann auch NFC aber ermöglicht auch wahlweise den Betrieb mit separatem (non-NFC-) SmartCard Reader (z.B. mit Thales IDBridge CT 700). Vorteil: die PIN kann nicht mehr von Keyloggern gesehen werden.
@Quercus
Stell bitte eine eigene Frage. Zu dieser Frage von @malkie erkenne ich keinen Zusammenhang.
Wäre schön, wenn Du genauer sagen könntest, was Du machen möchtest und wo es hakt, ich kann so nicht verstehen, worum es geht bei "RDP Sitzungen von Client PC's aus".
RDP über Andoid/IOS: kann ich dir nicht sagen, nutzen wir nicht.
Stell bitte eine eigene Frage. Zu dieser Frage von @malkie erkenne ich keinen Zusammenhang.
Wäre schön, wenn Du genauer sagen könntest, was Du machen möchtest und wo es hakt, ich kann so nicht verstehen, worum es geht bei "RDP Sitzungen von Client PC's aus".
RDP über Andoid/IOS: kann ich dir nicht sagen, nutzen wir nicht.
Diebstahl der Karte ist ein Problem. Auch wenn mal Windows streikt.
Eine Box davor wäre ggf. was. Bildschirm bleibt ohne Auth schwarz. Karte kann sogar in der Tasche - bei der aktiven Variante - verbleiben.
Hab leider noch nicht angefragt. Das Thema kam auch bei uns mal auf und hatte dann die Fa. in der Nachbarschaft gefunden Will keine Schleichwerbung machen. Aber fands für unsere Produktion interssant. Wo auch alte REchner stehen. Da es ja hier unabhängig läuft. Auch eine angemeldete RDP Sitzung wär kein Problem.
Nur müsste man dann für Plätze ohne diese Art der Auth darauf achten, dass RDP gesperrt wird. Verschiedene GPOs? Aufteilung der MA?
Kabel so verbauen, dass man nicht einfach umstecken kann. Vorteil wenn es streickt: Kabel umbauen, und es geht wieder. Ist ja eine Frage der Zeit. Wenn Diebe Stunden Zeit haben ist alles Essig. Schutz der Daten, DSGVO etc. find ich sowas ganz brauchbar....
Fa. südlich von Hannover im besten Bundesland der Welt.
https://www.deister.com/de/loesungen/computer-authentifizierung/
PS: Arbeitsplatzwechsel und automatisches Anmelden fallen hier natürlich flach. Ist mehr was für das Tagesgeschäft wo eben mal schnell gesperrt und entsperrt werden soll! Aber von wechselnden MA hast du oben nichts erwähnt.
Eine Box davor wäre ggf. was. Bildschirm bleibt ohne Auth schwarz. Karte kann sogar in der Tasche - bei der aktiven Variante - verbleiben.
Hab leider noch nicht angefragt. Das Thema kam auch bei uns mal auf und hatte dann die Fa. in der Nachbarschaft gefunden Will keine Schleichwerbung machen. Aber fands für unsere Produktion interssant. Wo auch alte REchner stehen. Da es ja hier unabhängig läuft. Auch eine angemeldete RDP Sitzung wär kein Problem.
Nur müsste man dann für Plätze ohne diese Art der Auth darauf achten, dass RDP gesperrt wird. Verschiedene GPOs? Aufteilung der MA?
Kabel so verbauen, dass man nicht einfach umstecken kann. Vorteil wenn es streickt: Kabel umbauen, und es geht wieder. Ist ja eine Frage der Zeit. Wenn Diebe Stunden Zeit haben ist alles Essig. Schutz der Daten, DSGVO etc. find ich sowas ganz brauchbar....
Fa. südlich von Hannover im besten Bundesland der Welt.
https://www.deister.com/de/loesungen/computer-authentifizierung/
PS: Arbeitsplatzwechsel und automatisches Anmelden fallen hier natürlich flach. Ist mehr was für das Tagesgeschäft wo eben mal schnell gesperrt und entsperrt werden soll! Aber von wechselnden MA hast du oben nichts erwähnt.