Lokale benutzer und Gruppen

[Trix 0]

Hallo zusammen

Ich habe über GPO Lokale Benutzer und Gruppen einen user aus der Domäne angelegt.

Den user hat es auch lokal angelegt, aber erst, wenn man sich mit dem user anmeldet. ist das so?

Über "eingeschränkte Gruppen" hat er auch nur Benutzerrechte, was man aber beim lokalen user nicht sieht. wieso?

Soweit schon mal für mich nicht logisch.
Die Idee ist, dass er sich am PC anmelden kann, wenn er nicht am Domänennetz ist.

Er soll nun aber auch wenn er nicht am Domänennetz ist sein Passwort ändern können.

Das geht aber nicht. er kann sein Passwort nicht ändern.

 

geht das so generell nicht?
Dann begreife ich die GPO Lokale Benutzer und Gruppen nicht oder falsch.

 

Danke für jeden Tipp

Trix

 

[BOfH_666 577]

vor 10 Minuten schrieb Trix:

 

Die Idee ist, dass er sich am PC anmelden kann, wenn er nicht am Domänennetz ist.

... ich frag nur zur Sicherheit: Dafür ist kein lokaler Account nötig. Das funktioniert mit den für den Domänenbenutzer gespeicherten Anmeldedaten. Das weißt Du. oder?

[Trix 0]

ähmm… nein, wie den?
normale AD User können extern Ihr Passwort nicht ändern.
Wie geht das?

 

[Sunny61 806]

vor 22 Minuten schrieb Trix:

Ich habe über GPO Lokale Benutzer und Gruppen einen user aus der Domäne angelegt.

Den user hat es auch lokal angelegt, aber erst, wenn man sich mit dem user anmeldet. ist das so?

Weshalb möchtest Du einen User aus der Domain auch lokal anlegen? Was sind die Anforderungen? Was möchtest Du erreichen? Nicht den Weg beschreiben, sondern die Anforderungen, die Aufgabe die erfüllt werden soll.

[Trix 0]

Die Idee dahinter ist, dass ich über das AD einen User erfassen kann und dieser sich an einem Laptop anmelden darf.
Das ist ja mit einem normalen AD User das übliche.

Sollte dem Gerät (nicht in Haus) aber etwas passieren, will ich den Account vom AD aus sperren können.

Immer noch normales Verhalten.

Das Problem ist, der User muss sein Passwort auf dem Laptop ändern können.

Das krieg ich aber so nicht hin.

Wenn er es über sein WebMail ändert ist es zwar auf dem AD geändert. Das login am PC bleibt aber alt.
Ich hoffe Du verstehst was mein Problem ist?

[Sunny61 806]

vor 7 Minuten schrieb Trix:

Die Idee dahinter ist, dass ich über das AD einen User erfassen kann und dieser sich an einem Laptop anmelden darf.
Das ist ja mit einem normalen AD User das übliche.

Dafür braucht man aber nichts zu tun, wenn der User und der Computer in der Domain ist, dann ist nichts weiter zu tun.

vor 8 Minuten schrieb Trix:

Sollte dem Gerät (nicht in Haus) aber etwas passieren, will ich den Account vom AD aus sperren können.

Immer noch normales Verhalten.

Auch dafür braucht man keinen User lokal anlegen/erzeugen.

vor 8 Minuten schrieb Trix:

Das Problem ist, der User muss sein Passwort auf dem Laptop ändern können.

Das krieg ich aber so nicht hin.

Wo genau hängst Du? STRG, ALT + ENTF > Kennwort ändern auswählen.

vor 9 Minuten schrieb Trix:

Wenn er es über sein WebMail ändert ist es zwar auf dem AD geändert. Das login am PC bleibt aber alt.
Ich hoffe Du verstehst was mein Problem ist?

Über welches Webmail meinst Du? OWA = Outlook Web Access? Damit die Anmeldedaten am PC auch geändert werden, muss der Client eine Verbindung zum AD bekommen, richtig. Das macht man am sichersten über einen VPN Zugang.

[Trix 0]

Danke

Ja, genau über OWA Outlook. Dort können die User Ihr AD Passwort ändern. Aber nur diejenigen, die auf einem privaten Gerät arbeiten.
Bei den Laptop Usern ist es so, dass zwar Ihr AD Passwort geändert hat, aber Ihr LoginPasswort am Laptop nicht, bis Sie sich dann irgendwann mal im Büro wieder anmelden.

Das darf aber nicht so sein. Das Gerätelogin muss auch änderbar sein.

 

Ich kann keinen VPN Zugang machen bevor der User sich nicht angemeldet hat.

Das geht bei uns nicht, da der VPN Client nicht von uns ist.
Mit dem VPN Client melden wir uns an ein Mutter Netz an, von dem aus wir dann in unser Netz gelangen.

Deshalb die Idee mit dem lokalen User über GPO.

 

[Sunny61 806]

Mit einem lokalen User hebelst Du sehr viel aus, GPO-Einstellungen für Domänen Benutzer greifen dann nicht mehr. Und vieles andere vermutlich auch nicht.

 

Der Domänen User kann doch am Client selbst sein PW ändern, sobald der Client dann im AD ist, wird das PW AFAIK gegen das AD gesynct. Er kann es natürlich auch zusätzlich gleich über OWA ändern.

[Trix 0]

genau das wäre mein Wunschszenario.

Das geht aber nicht.

Die Meldung erscheint:

“Die Konfigurationsinformation konnte vom Domänencontroller nicht gelesen werden. Der Computer ist entweder nicht verfügbar, oder der Zugriff wurde verweigert.”

Ob ich zum Zeitpunkt der Passwort Änderung eine VPN Verbindung hab oder nicht ist egal.

 

 

[XP-Fan 217]

Hallo,

 

Das Problem ist, der User muss sein Passwort auf dem Laptop ändern können.

 

dazu muß das Gerät mit dem AD verbunden sein, ob per VPN oder direkt im Firmennetzwerk ist eigentlich egal

[MurdocX 951]

Wenn das über VPN bei Dir nicht funktioniert, dann solltest du überlegen deine Konfiguration anzupassen. Das lese ich jetzt so aus den Posts raus.

 

Möchtest du uns mehr Infos zu/über dein VPN geben?

[Trix 0]

XP-FAN:

Und wie soll das gehen?
ich melde mich ja von extern nur am Gerät an.

ein normaler Benutzer hat nur die Möglichkeit sich auf seine Daten in der Firma via VPN zu verbinden.
Wie soll sich das Gerät mit dem AD verbinden?

 

MurdocX:

Die VPN Umgebung gehört nicht uns. Wir haben hier keine Möglichkeiten oder Einfluss.

VPN gehört dem "Mutterschiff"

Auch wenn ich mir irgendwas sonst verbaue.
Warum kann ich bei einem User, der über GPO lokal angelegt wurde, das Passwort nicht ändern?

 

[BOfH_666 577]

Der User meldet sich an seinem nicht mit dem VPN und AD verbundenen PC mit den lokal gespeicherten Anmeldedaten am Laptop an. Dann wird die VPN-Verbindung aufgebaut. Danach kann der User sich mit dem üblichen Verfahren (<Strg>-<Alt>-<Entf>) sein eigenes AD-Passwort ändern.

bearbeitet 27. April 2020 von BOfH_666

[XP-Fan 217]

Hallo,

 

Wie soll sich das Gerät mit dem AD verbinden?

 

das ist ja die Aufgabe der VPN Verbindung, du kannst ja auch auf Ressourcen zugreifen oder nicht?

Wenn du den DC per Name auflösen kannst solltest du auch den Connect zu AD hinbekommen ausser die VPN lässt das nicht zu.

Dann solltest du eine Anforderung mal an den VPN Betreiber geben.

 

Ein lokaler Benutzer wird lokal gespeichert, ein Domänenbenutzer auf dem DC ( einfach gesagt ).

Das Passwort des Domänenbenutzers kann also nur bei Verbindung zum AD geändert werden, ein lokaler Benutzer kann sein Passwort nur lokal ändern.

 

Beachte aber das wenn du einen Benutzer Müller lokal anlegst und mit gleichem Namen in AD sind das 2 paar Schuhe.

Ändert der lokale Benutzer Müller sein Passwort interessiert das den Müller im AD nicht, das wird nicht geändert.

[Trix 0]

BOfH_666:

Genau das was Du da beschreibst geht nicht.

Das liegt daran, dass die VPN Verbindung nicht mit unseren Servern konfiguriert ist und auch nie sein wird.

Wir melden uns mit einem anderen User am VPN an und verbinden uns danach mit einer anderen Anmeldung mit unseren Servern.

Das geht nicht.

Mit einer VPN Verbindung kann ich dann zwar das AD pingen, hab als normaler user da nichts zu suchen.
Ich kann nur auf Daten zugreifen, wenn ich mich als Admin anmelde.

 

XP-Fan:

Das was Du da schreibst ist mir soweit schon klar.

aber wo ist dann der nutze der GPO bei der ich einen lokalen Benutzer anlegen kann.

Welchen Sinn hat dies GPO oder wann würde man den sowas überhaupt einsetzten.

Die GPO Möglichkeit macht ja dann nichts wirklich.