Client im Ausland ins AD aufnehmen?

[xrated2 15]

Hallo

 

wenn jetzt ein MA ausschließlich im Ausland arbeitet und nie in der Zentrale ist wo das Active Directory ist, frage ich mich gerade ob es Sinn macht das Windows 10 Gerät ins AD aufzunehmen. VPN läuft über OpenVPN also ist beim anmelden kein DC erreichbar. Dann funktionieren doch schon mal einige Policies (GPP, Loginscript, Netzlaufwerke, Drucker ?) nicht so wie ich verstanden habe, richtig? 

 

Macht das mit AD Mitgliedschaft Sinn oder nicht? Gehen dann nur die genannten Features nicht?

Eine synchrone Anmeldung wird bei allen Clients nicht forciert.

 

Edit: Wenn kein DC zur Verfügung steht kann sich der Client auch nicht unendlich lang anmelden? Siehe:

https://theitbros.com/active-directory-cached-credentials/

Wenn der CachedLogonsCount auf 10 steht, was passiert wenn sich ein User beim 11. mal offline anmeldet? Oder wird immer nur der älteste Login überschrieben?

bearbeitet 31. Juli 2019 von xrated2

[NorbertFe 2.034]

vor 3 Stunden schrieb xrated2:

Edit: Wenn kein DC zur Verfügung steht kann sich der Client auch nicht unendlich lang anmelden? Siehe:

Doch kann er.

vor 3 Stunden schrieb xrated2:

Wenn der CachedLogonsCount auf 10 steht, was passiert wenn sich ein User beim 11. mal offline anmeldet?

Dann werden credentials von 10 Leuten gespeichert. Das ist also die Anzahl der cached credentials und nicht die Anzahl die Anmeldungen mittels cached credentials. Könnte man aber auch in der Erklärung der policy nachlesen. Bzw. Ist das im link den du oben gepostet hast auch genauso erklärt.

bearbeitet 31. Juli 2019 von NorbertFe

[xrated2 15]

ok, siehst du denn Gründe die dagegen sprechen den ins AD aufzunehmen wenn er den DC nur über VPN sieht?

Die "normalen" GPO müssten ja im Background alle x Std. ausgeführt werden.

[lefg 276]

vor 16 Minuten schrieb xrated2:

Gründe die dagegen sprechen den ins AD aufzunehmen

 

Andersherum, welche Gründe sprechen wirklich zur Mitgliedschaft in der Domäne. Sind die Gründe zwingend?

[xrated2 15]

Es wäre gut wenn man das alles zentral steuern kann, gerade hinsichtlich GPO. Gibt einige Sachen die blockiert werden sollen. Verwaltung über Teamviewer ist ätzend.

[lefg 276]

Nun, wenn so ist? Dann nehme man den Rechner auf. Falls es ohne Probleme funktioniert, der Benutzer zufrieden, dann alles gut? Falls es schlecht läuft, dann eben wieder raus. Was könnte schlecht laufen? Automatische Updates oder sowas. Der Benutzer kommt nicht zum Arbeiten. Was kann man noch denken?

 

Bei uns heiss es, der Soldat kann gar nicht so dumm denken wie es kommen kann. Tscha

bearbeitet 31. Juli 2019 von lefg

[xrated2 15]

vor 12 Minuten schrieb lefg:

Bei uns heiss es, der Soldat kann gar nicht so dumm denken wie es kommen kann. Tscha

 

Da ist was dran. WSUS muss ich da sowieso raus nehmen. WPP schießt man dann wohl auch ab aber geht wohl nicht anders.

 

[lefg 276]

Ich schaute mir die Übertragung wohl mit einem Monitor wie PRTG oä an.

bearbeitet 31. Juli 2019 von lefg

[Sunny61 806]

vor 23 Minuten schrieb xrated2:

 

Da ist was dran. WSUS muss ich da sowieso raus nehmen. WPP schießt man dann wohl auch ab aber geht wohl nicht anders. 

 

Du kannst den WPP und WSUS natürlich auch für diesen Client im Einsatz lassen. Den BITS, das ist der Dienst, der die Updates downloadet, in der Bandbreite begrenzen, schon klappt das auch mit dem WSUS/WPP. Wie das geht, wird hier beschrieben: https://www.wsus.de/bits/

 

Ansonsen zweiten WSUS aufsetzen, nur diesen Client aufnehmen und im WSUS in den Optionen einstellen, dass sich die Clients die Updates bei MSFT abholen, die Genehmigungen allerdings von dir kommen.

[xrated2 15]

Es arbeiten an manchen Tagen sehr viele von daheim und da würde man die ganze Leitung lahmlegen. Vor kurzem waren es noch 1MBit/s Upload, jetzt sind es immerhin 10MBit/s. Deswegen hab ich den IIS so eingestellt das nur LAN drauf kommt.

Zweiter WSUS wäre zuviel Aufwand.

So eine Art dynamische Einstellung zum runterladen von Updates gibts ja leider nicht z.b. im LAN vom WSUS und sonst über Inet.

[NorbertFe 2.034]

Wie oben schon geschrieben, könnte man ja auch dem Client die verfügbare Bandbreite definieren.

[Sunny61 806]

vor 1 Stunde schrieb xrated2:

Es arbeiten an manchen Tagen sehr viele von daheim und da würde man die ganze Leitung lahmlegen. Vor kurzem waren es noch 1MBit/s Upload, jetzt sind es immerhin 10MBit/s. Deswegen hab ich den IIS so eingestellt das nur LAN drauf kommt. 

Im OP war noch von *einem* die Rede. Und nochmal, man kann die Bandbreite die so ein Windows Client nutzen kann, auch per GPO beschränken. Natürlich kann man das GPO mit den BITS-Einstellungen auch mittels WMI-Abfrage an die VPN-Verbindung filtern lassen. Ist der Client im LAN, kann er volle Bandbreite nutzen.

 

vor 1 Stunde schrieb xrated2:

Zweiter WSUS wäre zuviel Aufwand.

Der ist ruckzuck aufgesetzt und konfiguriert.

 

vor 1 Stunde schrieb xrated2:

So eine Art dynamische Einstellung zum runterladen von Updates gibts ja leider nicht z.b. im LAN vom WSUS und sonst über Inet.

Siehe oben, GPO mit WMI-Abfrage filtern.

[daabm 1.354]

Ich sehe nichts, was dafür spricht, einen Client NICHT ins AD aufzunehmen. Der Rest steht oben schon

[xrated2 15]

Ja das ist momentan der einzige Client (von insgesamt 2) im Ausland der neu ausgerollt wird, deswegen.

 

Das mit der WMI Abfrage ist interessant.

Also default zieht sich der Client die GPO wohl alle 90 + 0-30min gemäß Refresh Interval, macht dann wohl auch Sinn zu verkürzen. 

[MurdocX 950]

vor 8 Stunden schrieb xrated2:

Also default zieht sich der Client die GPO wohl alle 90 + 0-30min gemäß Refresh Interval, macht dann wohl auch Sinn zu verkürzen.

Sehe ich nicht so. Was soll damit erreicht/verbessert werden?