14
Außendienst Mitarbeiter lange nicht im Netz - AD
Hallo Zusammen,
Erst einmal ein Hallo in die Runde und hoffentlich wurde die richtige Kategorie gewählt.
Ich benötige von euch etwas Rat und Hilfe. Folgendes Problem steht vor der Tür:
Wir haben ein AD, DCs sind 2012R2, Exchange 2013, die Clients Windows 7 und Zugang normalerweise von extern über NetExtender. Es gibt neu Außendienst Mitarbeiter, teilweise aus dem europäischen Ausland und Weltweit im Einsatz unteranderem auch im chinesischen Raum. (eingeschränkte Nutzung bzw. Probleme bei der Nutzung von VPN usw.)
Diese Benutzer bekommen Notebooks mit Windows 7 Pro und es soll ein AD Account erstellt werden, dieser soll dann auch für die Arbeit am Notebook verwendet werden.
Die erste Schwierigkeit liegt in der Passwort Änderung außerhalb der Domäne --> es geht sicher über OWA, aber das Client PW bleibt davon glaub ich unbeeindruckt.
Das zweite Problem einige Benutzer kommen über eine unbestimmte Zeit (teilweise 6 oder mehr Monate) nicht in das Firmennetzwerk.
Wie können wir gewährleisten, dass die Benutzer trotzdem den AD Account verwenden können? Die Cached Credentials laufen ja irgendwann aus, danach sollte ja die Anmeldung nicht mehr möglich sein oder bin ich da auf dem falschen Weg?
Habt ihr evtl. Erfahrungen mit solch einem Szenario?
Danke für die Unterstützung
Ronny
Erst einmal ein Hallo in die Runde und hoffentlich wurde die richtige Kategorie gewählt.
Ich benötige von euch etwas Rat und Hilfe. Folgendes Problem steht vor der Tür:
Wir haben ein AD, DCs sind 2012R2, Exchange 2013, die Clients Windows 7 und Zugang normalerweise von extern über NetExtender. Es gibt neu Außendienst Mitarbeiter, teilweise aus dem europäischen Ausland und Weltweit im Einsatz unteranderem auch im chinesischen Raum. (eingeschränkte Nutzung bzw. Probleme bei der Nutzung von VPN usw.)
Diese Benutzer bekommen Notebooks mit Windows 7 Pro und es soll ein AD Account erstellt werden, dieser soll dann auch für die Arbeit am Notebook verwendet werden.
Die erste Schwierigkeit liegt in der Passwort Änderung außerhalb der Domäne --> es geht sicher über OWA, aber das Client PW bleibt davon glaub ich unbeeindruckt.
Das zweite Problem einige Benutzer kommen über eine unbestimmte Zeit (teilweise 6 oder mehr Monate) nicht in das Firmennetzwerk.
Wie können wir gewährleisten, dass die Benutzer trotzdem den AD Account verwenden können? Die Cached Credentials laufen ja irgendwann aus, danach sollte ja die Anmeldung nicht mehr möglich sein oder bin ich da auf dem falschen Weg?
Habt ihr evtl. Erfahrungen mit solch einem Szenario?
Danke für die Unterstützung
Ronny
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 309581
Url: https://administrator.de/contentid/309581
Printed on: April 23, 2024 at 10:04 o'clock
14 Comments
Latest comment
Hallo Ronny,
wenn das PW des Benutzers nie abläuft, gibt es hier auch keine Probleme. Wenn diese Einstellung verwendet wird, sollte das Kennwort entsprechend stark von der Komplexität sein.
Gruß
wenn das PW des Benutzers nie abläuft, gibt es hier auch keine Probleme. Wenn diese Einstellung verwendet wird, sollte das Kennwort entsprechend stark von der Komplexität sein.
Gruß
Hallo Ronny
Eine Lösung wäre, dass er sich vor der Anmeldung im Windows Profil, sich per VPN Verbindet. Dann sind Passwortänderungen sehr einfach. Weitere Lösung sind DirectAccess, benötigt allerdings eine Enterprise Lizenz. OWA kann grundsätzlich auch das Passwort in die AD zurückschreiben, je nachdem wie du es aufgesetzt hast (Bei uns ist es über Office365 gelöst, da sind Passwortrückschreibungen möglich).
Oder er meldet sich mit Cached Credentials an, Verbindet sich per VPN, ändert sein Passwort und meldet sich an seinem Profil neu an, gleich danach.
Die schönste Lösung ist natürlich DirectAccess, aber eben mit dem Lizenznachteil. Die schönste Lösung danach ist die VPN vor dem Login.
Hoffe das hilft erstmal
Eine Lösung wäre, dass er sich vor der Anmeldung im Windows Profil, sich per VPN Verbindet. Dann sind Passwortänderungen sehr einfach. Weitere Lösung sind DirectAccess, benötigt allerdings eine Enterprise Lizenz. OWA kann grundsätzlich auch das Passwort in die AD zurückschreiben, je nachdem wie du es aufgesetzt hast (Bei uns ist es über Office365 gelöst, da sind Passwortrückschreibungen möglich).
Oder er meldet sich mit Cached Credentials an, Verbindet sich per VPN, ändert sein Passwort und meldet sich an seinem Profil neu an, gleich danach.
Die schönste Lösung ist natürlich DirectAccess, aber eben mit dem Lizenznachteil. Die schönste Lösung danach ist die VPN vor dem Login.
Hoffe das hilft erstmal
hm, ok das mit dem Passwort ist sicher so machbar, aber wie schaut es mit der Nutzbarkeit aus bevor der Rechner die Anmeldung verweigert.
Der Benutzer bekommt den Rechner am z.B. 01.08.2016 meldet sich an richtet alles soweit ein und geht dann auf Reise. Der Benutzer kann sich das nächste mal 01.01.2017 im Netzwerk anmelden.
Würde denn solange die Cached Credantials funktionieren? Mit war es so als wenn die max. 50 mal verwendet werden können.
Der Benutzer bekommt den Rechner am z.B. 01.08.2016 meldet sich an richtet alles soweit ein und geht dann auf Reise. Der Benutzer kann sich das nächste mal 01.01.2017 im Netzwerk anmelden.
Würde denn solange die Cached Credantials funktionieren? Mit war es so als wenn die max. 50 mal verwendet werden können.
Wäre mir nicht bekannt. Aber da soll sich jemand anderes dazu Äußern.
Ist mir bisher auch nicht bekannt. Ich hatte bisher nur den Fall, dass die MA's dann Probleme mit Outlook hatten. Aber beim Login und ohne VPN weiß der Client nicht wann das PW abläuft.
hm, ok das mit dem Passwort ist sicher so machbar, aber wie schaut es mit der Nutzbarkeit aus bevor der Rechner die Anmeldung verweigert.
Der Benutzer bekommt den Rechner am z.B. 01.08.2016 meldet sich an richtet alles soweit ein und geht dann auf Reise. Der Benutzer kann sich das nächste mal 01.01.2017 im Netzwerk anmelden.
Der Benutzer ist nicht so sehr das Problem. Hier kommt ggf. bei Anmeldung ein Dialog, dass das PW geändert werden muss. Der Computer muss aber zuvor sein eigenes Kennwort aktualisiert haben, weil er sonst der Domäne nicht mehr vertrauen wird und damit auch nicht deren Konten.Der Benutzer bekommt den Rechner am z.B. 01.08.2016 meldet sich an richtet alles soweit ein und geht dann auf Reise. Der Benutzer kann sich das nächste mal 01.01.2017 im Netzwerk anmelden.
Würde denn solange die Cached Credantials funktionieren? Mit war es so als wenn die max. 50 mal verwendet werden können.
Die funktioneiren solange, wie sie im Cache sind und wie sie nicht abgelehnt wurden. Also wenn der Client online geht, diese Creds bei Anmeldung überprüft und dann gesagt bekommt, dass sie (inzwischen) ungültig sind, dann wird er sie nie mehr akzeptieren. Auch nicht offline. Meines Wissens.Edenso dürfen solche Konten (Computer wie Benutzer) bei Aufräumarbeiten im AD nicht aus Versehen gelöscht werden. ("Suche alle Konten welche sich seit x Wochen nicht angemeldet haben" o.ä.) Oder gesperrt.
Ebenso müssen die Computer in jedem Tel der Welt in der jeweils aktuellen Zeitzone sein, wenn sie mal via Direct Access oder VPN mit dem Firmen LAN verbinden. Oder man lebt damit, dass die am Computer angezeigte Uhrzeit nicht immer der lokalen Zeit vor Ort entspricht. Das wäre aber nur für Computer relevant, welche zwischen den Zeitzonen bewegt werden.
Ich würde wahrscheinlich mit Standalone Computer arbeiten. Für Arbeiten im Firmennetz könnte man eine TS-Infrastruktur bereitstellen und dafür dann je Benutzer nochmal ein Domänenkonto vorhalten.
2
Zitat von @geocast:
Hallo Ronny
Eine Lösung wäre, dass er sich vor der Anmeldung im Windows Profil, sich per VPN Verbindet. Dann sind Passwortänderungen sehr einfach.
Wie soll das funktionieren? Noch dazu, wenn man Single Sign-On verwendet.Hallo Ronny
Eine Lösung wäre, dass er sich vor der Anmeldung im Windows Profil, sich per VPN Verbindet. Dann sind Passwortänderungen sehr einfach.
Gruss Penny.
Bevor man sich Anmeldet, kann man auf Benutzer wechseln gehen. Dann steht unten "mit VPN Verbinden" oder sowas in dem Sinne. VPN muss natürlich mit AD Verknüpft sein.
Hallo emeriks
ja diesen Gedanken hatten wir auch. Wir hatten gehofft das evtl wer eine AD Lösung kennt bzw. in diese Richtung schon wer Erfahrungen hat.
Eine kleine TS Farm ist vorhanden, deshalb werden wir in diese Richtung weiter machen.
Danke an alle für die Lösungsvorschläge.
Ich würde wahrscheinlich mit Standalone Computer arbeiten. Für Arbeiten im Firmennetz könnte man eine TS-Infrastruktur bereitstellen und dafür dann je Benutzer nochmal ein Domänenkonto vorhalten.
ja diesen Gedanken hatten wir auch. Wir hatten gehofft das evtl wer eine AD Lösung kennt bzw. in diese Richtung schon wer Erfahrungen hat.
Eine kleine TS Farm ist vorhanden, deshalb werden wir in diese Richtung weiter machen.
Danke an alle für die Lösungsvorschläge.
Zitat von @geocast:
Bevor man sich Anmeldet, kann man auf Benutzer wechseln gehen. Dann steht unten "mit VPN Verbinden" oder sowas in dem Sinne. VPN muss natürlich mit AD Verknüpft sein.
Das funktioniert aber nur, wenn der VPN Client beim Systemstart mitgestartet wird. Hier ist es so, daß der VPN Client manuell gestartet wird und zwar NACH einer anmeldung am Rechner.Bevor man sich Anmeldet, kann man auf Benutzer wechseln gehen. Dann steht unten "mit VPN Verbinden" oder sowas in dem Sinne. VPN muss natürlich mit AD Verknüpft sein.
Der VPN Client von Microsoft selbst startet immer gleich mit beim Start, wenn ein VPN Profil vorhanden ist ;)
Hier wird aber nicht der VPN Client von MS verwendet sondern der von Dell und auch dieser startet beim Systemstart und kann genutzt werden. Abgesehen davon ist nicht das starten oder verbinden mit einem VPN Client das Problem sondern, dass die Mitarbeiter teilweise länger Zeit nicht ins Internet kommen. Also kann der VPN Client starten wie er will ohne Netz wird es schwierig.
Hier wird ein VPN Client von Juniper Networks verwendet.
Da muss ich mal schauen, ob beim Anmeldebildschirm diese Oprion zur Verfügung steht.
Da muss ich mal schauen, ob beim Anmeldebildschirm diese Oprion zur Verfügung steht.
Bei Dell musst du auf Benutzer Wechsel klicken und dann unten rechts steht die Auswahl für VPN.
