5
NTFS-Berechtigungen-Gruppenzugehörigkeiten werden über VPN nicht übertragen
Hallo zusammen,
aus diversen gründen haben wir einige Mitarbeiter, welche sich permanent nur über VPN in unser Firmennetz einwählen (mit lokal zwischengespeicherten Domänenkonten). Soweit funktioniert auch alles recht gut und ohne Probleme.
Probleme treten nur dann auf, wenn wir einen dieser Mitarbeiter einer im AD hinterlegten Gruppe zuordnen (diese Gruppen bilden die Grundlage unserer NTFS-Berechtigungen). Solange diese Mitarbeiter sich nicht einmal direkt in unserem Firmennetz anmelden, bekommen Sie keinen Zugriff auf Ordner, welche Berechtigungen über die Gruppe zugewiesen bekommen.
Das Problem ist offensichtlich, dass die Berechtigungen (die neue Gruppenzugehörigkeit) erst nach einer Neuanmeldung an den Client übertragen werden (siehe z.B. W2k3 Fileserver übernimmt Berechtigungen nicht=137861).
Da sich die externen Mitarbeiter erst am Windows anmelden müssen, um danach die VPN-Verbindung herstellen zu können, ist es unmöglich, dass sich die Benutzer mit Verbindung zum DC neu anmelden.
Die Frage ist jetzt, gibt es eine Möglichkeit, die Berechtigungen auch ohne Neuanmeldung zu bekommen? Bei Gruppenrichtlinien gibt es für solche Zwecke ja gpupdate. Einen analogen Befehl muss es doch auch für die Gruppenzugehörigkeiten geben oder ist dies von Microsoft wirklich so gewollt, dass sich unsere Mitarbeiter immer auf den Weg in die Firma machen um sich dort einmalig anzumelden?
Hoffe ihr könnt uns helfen!
MfG
cochran
aus diversen gründen haben wir einige Mitarbeiter, welche sich permanent nur über VPN in unser Firmennetz einwählen (mit lokal zwischengespeicherten Domänenkonten). Soweit funktioniert auch alles recht gut und ohne Probleme.
Probleme treten nur dann auf, wenn wir einen dieser Mitarbeiter einer im AD hinterlegten Gruppe zuordnen (diese Gruppen bilden die Grundlage unserer NTFS-Berechtigungen). Solange diese Mitarbeiter sich nicht einmal direkt in unserem Firmennetz anmelden, bekommen Sie keinen Zugriff auf Ordner, welche Berechtigungen über die Gruppe zugewiesen bekommen.
Das Problem ist offensichtlich, dass die Berechtigungen (die neue Gruppenzugehörigkeit) erst nach einer Neuanmeldung an den Client übertragen werden (siehe z.B. W2k3 Fileserver übernimmt Berechtigungen nicht=137861).
Da sich die externen Mitarbeiter erst am Windows anmelden müssen, um danach die VPN-Verbindung herstellen zu können, ist es unmöglich, dass sich die Benutzer mit Verbindung zum DC neu anmelden.
Die Frage ist jetzt, gibt es eine Möglichkeit, die Berechtigungen auch ohne Neuanmeldung zu bekommen? Bei Gruppenrichtlinien gibt es für solche Zwecke ja gpupdate. Einen analogen Befehl muss es doch auch für die Gruppenzugehörigkeiten geben oder ist dies von Microsoft wirklich so gewollt, dass sich unsere Mitarbeiter immer auf den Weg in die Firma machen um sich dort einmalig anzumelden?
Hoffe ihr könnt uns helfen!
MfG
cochran
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 180938
Url: https://administrator.de/contentid/180938
Printed on: April 20, 2024 at 12:04 o'clock
5 Comments
Latest comment
Hi,
ich kämpfe ab und an mit ähnlichen Problemen.
Wir haben Nutzer mit PC und Notebook. PC im lokalen Netz, Notebook per VPN.
Jetzt müssen unsere User alle 90 Tage ein neues Passwort vergeben. Am PC alles i.o.
Melden sie sich allerdings dann am Notebook an, kennt das Notebook das neue Passwort noch nicht. Also nehmen sie dort ihr altes, können allerdings keine Netzlaufwerke nutzen.
Wie geht man da vor?
Aktuell nehmen wir das Notebook ins Lan und melden und dann erst an. Damit geht es, ist aber keine schicke Lösung.
ich kämpfe ab und an mit ähnlichen Problemen.
Wir haben Nutzer mit PC und Notebook. PC im lokalen Netz, Notebook per VPN.
Jetzt müssen unsere User alle 90 Tage ein neues Passwort vergeben. Am PC alles i.o.
Melden sie sich allerdings dann am Notebook an, kennt das Notebook das neue Passwort noch nicht. Also nehmen sie dort ihr altes, können allerdings keine Netzlaufwerke nutzen.
Wie geht man da vor?
Aktuell nehmen wir das Notebook ins Lan und melden und dann erst an. Damit geht es, ist aber keine schicke Lösung.
Zitat von @Caddy0815:
Hi,
ich kämpfe ab und an mit ähnlichen Problemen.
Wir haben Nutzer mit PC und Notebook. PC im lokalen Netz, Notebook per VPN.
Jetzt müssen unsere User alle 90 Tage ein neues Passwort vergeben. Am PC alles i.o.
Melden sie sich allerdings dann am Notebook an, kennt das Notebook das neue Passwort noch nicht. Also nehmen sie dort ihr altes,
können allerdings keine Netzlaufwerke nutzen.
Wie geht man da vor?
Aktuell nehmen wir das Notebook ins Lan und melden und dann erst an. Damit geht es, ist aber keine schicke Lösung.
Hi,
ich kämpfe ab und an mit ähnlichen Problemen.
Wir haben Nutzer mit PC und Notebook. PC im lokalen Netz, Notebook per VPN.
Jetzt müssen unsere User alle 90 Tage ein neues Passwort vergeben. Am PC alles i.o.
Melden sie sich allerdings dann am Notebook an, kennt das Notebook das neue Passwort noch nicht. Also nehmen sie dort ihr altes,
können allerdings keine Netzlaufwerke nutzen.
Wie geht man da vor?
Aktuell nehmen wir das Notebook ins Lan und melden und dann erst an. Damit geht es, ist aber keine schicke Lösung.
Hi.
Zu dem oben genannten Problem habe ich zunächst noch keine Idee ehrlich gesat, aber zu dem Problem mit den Netzlaufwerken. Fall ihr die mit einem CMD-Script verbindet, kann du z.B. net use z: \\server\freigabe /USER:domäne\nutzername verwenden, dann müsste eigentlich ein Meldung kommen, dass das Passwort falsch ist, weil ja das lokal gespeicherter, alte verwendet wird, aber dann müsste der Benutzer die Möglichkeit haben, im DOS-Fenster das neue Domänen Passwort einzugegeben.
Kanns jetzt leider selbst nicht testen.
Hi
Also wenn die Clients Windows XP Vista oder Win 7 sind kann man auch eine VPN Verbindung vor dem Anmelden aufbauen. Somit werden die neuen GPO´s usw gezogen.
Vor rausgesetzt es ist keine Drittanbietersoftware also reines L2TP/IPSEC von Windows.
Dann baut sich erst der VPN Tunnel auf dann meldet sich der Benutzer an und dann werden auch alle Änderungen gezogen.
MfG Nemesis
Also wenn die Clients Windows XP Vista oder Win 7 sind kann man auch eine VPN Verbindung vor dem Anmelden aufbauen. Somit werden die neuen GPO´s usw gezogen.
Vor rausgesetzt es ist keine Drittanbietersoftware also reines L2TP/IPSEC von Windows.
Dann baut sich erst der VPN Tunnel auf dann meldet sich der Benutzer an und dann werden auch alle Änderungen gezogen.
MfG Nemesis
Zitat von @nEmEsIs:
Hi
Also wenn die Clients Windows XP Vista oder Win 7 sind kann man auch eine VPN Verbindung vor dem Anmelden aufbauen. Somit werden
die neuen GPO´s usw gezogen.
Vor rausgesetzt es ist keine Drittanbietersoftware also reines L2TP/IPSEC von Windows.
Hi
Also wenn die Clients Windows XP Vista oder Win 7 sind kann man auch eine VPN Verbindung vor dem Anmelden aufbauen. Somit werden
die neuen GPO´s usw gezogen.
Vor rausgesetzt es ist keine Drittanbietersoftware also reines L2TP/IPSEC von Windows.
Hallo Nemesis,
ist leider eine Drittanbietersoftware (CiscoClient).
Hi
Da gab es auch die Möglichkeit, dass das VPN sich vor der Anmeldung aufgebaut hat. Dann ist der Client ja bei euch im Firmennetz und somit mit dem DC verbunden.
MfG Nemesis
Da gab es auch die Möglichkeit, dass das VPN sich vor der Anmeldung aufgebaut hat. Dann ist der Client ja bei euch im Firmennetz und somit mit dem DC verbunden.
MfG Nemesis
