Dukel 457 Geschrieben 27. April 2020 Melden Teilen Geschrieben 27. April 2020 2 minutes ago, Trix said: Mit einer VPN Verbindung kann ich dann zwar das AD pingen, hab als normaler user da nichts zu suchen. Ich kann nur auf Daten zugreifen, wenn ich mich als Admin anmelde. Ist der Client und der Benutzer im AD angelegt / gejoint? Was ist das für ein VPN? Gibt es ein AD für die Mutter und ein eigenes für euch oder ist das nur ein AD? Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 27. April 2020 Melden Teilen Geschrieben 27. April 2020 vor 7 Minuten schrieb Trix: BOfH_666: Genau das was Du da beschreibst geht nicht. Hast Du das getestet oder glaubst Du nur, dass das nicht geht? Es wäre nämlich für 99,99% der Fälle der Normalfall. vor 7 Minuten schrieb Trix: Das liegt daran, dass die VPN Verbindung nicht mit unseren Servern konfiguriert ist und auch nie sein wird. Ein VPN verbindet auch keine Server sondern Netzwerke, bzw. in Deinem Fall Clients mit Unternehmensnetzwerken. vor 7 Minuten schrieb Trix: Wir melden uns mit einem anderen User am VPN an Das machen viele andere auch so ... das kann aber nicht das Problem sein. vor 7 Minuten schrieb Trix: und verbinden uns danach mit einer anderen Anmeldung mit unseren Servern. ... das ist eher unüblich, wie ich glaube. Zitieren Link zu diesem Kommentar
Sunny61 809 Geschrieben 27. April 2020 Melden Teilen Geschrieben 27. April 2020 (bearbeitet) vor 13 Minuten schrieb Trix: aber wo ist dann der nutze der GPO bei der ich einen lokalen Benutzer anlegen kann. Welchen Sinn hat dies GPO oder wann würde man den sowas überhaupt einsetzten. Die GPO Möglichkeit macht ja dann nichts wirklich. Mit dem GPO kannst Du lokal einen User anlegen, nicht mehr und nicht weniger. Man kann so eine Einstellung setzen, wenn man lokale Benutzer für bestimmte Dinge benötigt. Zum Beispiel einen lokalen Administrator oder einen lokalen Installationsbenutzer. Ein Benutzer in der Domain hat manchmal zu viele Berechtigungen. Aber ein User der im AD angelegt ist, sollte nicht lokal ein zweites Mal angelegt werden. Ein User aus der Domain muss sich einmal am Client anmelden, wenn der Client eine Verbindung zum AD hat, danach braucht der User und der Client niemals wieder eine Verbindung zum AD. BTW: Es heißt einsetzen. :) bearbeitet 27. April 2020 von Sunny61 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 27. April 2020 Melden Teilen Geschrieben 27. April 2020 Ich sehe da eine grandiose Kette von Mißverständnissen Seit MS15-025 kann man per GPO _keine_ lokalen User mehr anlegen (ok ok - es geht, wenn man fragwürdige Kennwortrichtlinien auf seine Computer verteilt. Aber das macht hoffentlich niemand) Um das WIndows-Kennwort eines Benutzers zu ändern, ist eine (VPN- oder sonstartige) Verbindung zur Authentifizierungsinstanz erforderlich. Für lokale Benutzer ist das der lokale SAM, für Domänenbenutzer das AD. Ohne AD-Verbindung keine Kennwortänderung. Das Ändern des Kennworts über OWA ändert zwar das Kennwort im AD. Aber wenn der Computer keine Verbindung zu selbigem hat, kommt diese Änderung dort nie an - lokal gilt also bis in alle Ewigkeit das bisherige zwischengespeicherte Kennwort (-> "Cached Credentials"). Das "Sperren" eines AD-Benutzers hat keinerlei Auswirkung auf die Möglichkeit, sich am entsprechenden Computer weiterhin offline anzumelden (-> noch mal "Cached Credentials") Zitieren Link zu diesem Kommentar
Trix 0 Geschrieben 28. April 2020 Autor Melden Teilen Geschrieben 28. April 2020 vor 19 Stunden schrieb Dukel: Ist der Client und der Benutzer im AD angelegt / gejoint? Was ist das für ein VPN? Gibt es ein AD für die Mutter und ein eigenes für euch oder ist das nur ein AD? Cisco VPN. Das Mutterschiff hat eigene Server und ein eigenes AD. wir wird sonst völlig unabhängig. vor 19 Stunden schrieb BOfH_666: Hast Du das getestet oder glaubst Du nur, dass das nicht geht? Es wäre nämlich für 99,99% der Fälle der Normalfall. Ein VPN verbindet auch keine Server sondern Netzwerke, bzw. in Deinem Fall Clients mit Unternehmensnetzwerken. Das machen viele andere auch so ... das kann aber nicht das Problem sein. ... das ist eher unüblich, wie ich glaube. Ich habe das getestet. Es funktioniert nicht. Ich bekomme immer die schon beschriebene Fehlermeldung. vor 12 Stunden schrieb daabm: Ich sehe da eine grandiose Kette von Mißverständnissen Seit MS15-025 kann man per GPO _keine_ lokalen User mehr anlegen (ok ok - es geht, wenn man fragwürdige Kennwortrichtlinien auf seine Computer verteilt. Aber das macht hoffentlich niemand) Um das WIndows-Kennwort eines Benutzers zu ändern, ist eine (VPN- oder sonstartige) Verbindung zur Authentifizierungsinstanz erforderlich. Für lokale Benutzer ist das der lokale SAM, für Domänenbenutzer das AD. Ohne AD-Verbindung keine Kennwortänderung. Das Ändern des Kennworts über OWA ändert zwar das Kennwort im AD. Aber wenn der Computer keine Verbindung zu selbigem hat, kommt diese Änderung dort nie an - lokal gilt also bis in alle Ewigkeit das bisherige zwischengespeicherte Kennwort (-> "Cached Credentials"). Das "Sperren" eines AD-Benutzers hat keinerlei Auswirkung auf die Möglichkeit, sich am entsprechenden Computer weiterhin offline anzumelden (-> noch mal "Cached Credentials") Danke Dir für Deine Erklärung. So wie ich das im Moment sehe, gibt es zwei Möglichkeiten. 1. wieder ganz normale lokale User anlegen (wollte ich eigentlich nicht mehr) 2. über VPN den unseren Domänencontroller anbaggern können. ich hab noch keinen Plan wie, aber anders geht es ja wohl nicht. Danke Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 28. April 2020 Melden Teilen Geschrieben 28. April 2020 Als evtl. dritte Option: vor 29 Minuten schrieb Trix: Cisco VPN. Das Mutterschiff hat eigene Server und ein eigenes AD. wir wird sonst völlig unabhängig. Wenn nur das VPN über die Mutter läuft und ihr ansonsten völlig losgelöst seid, warum implementiert ihr keine eigene VPN Infrastruktur? Zitieren Link zu diesem Kommentar
Trix 0 Geschrieben 28. April 2020 Autor Melden Teilen Geschrieben 28. April 2020 vor 5 Minuten schrieb testperson: Als evtl. dritte Option: Wenn nur das VPN über die Mutter läuft und ihr ansonsten völlig losgelöst seid, warum implementiert ihr keine eigene VPN Infrastruktur? Gute Frage. Geht im Moment nicht. Es gibt halt gewissen Vorgaben, die wir nicht umgehen können. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 29. April 2020 Melden Teilen Geschrieben 29. April 2020 @Trix Bist Du Dir sicher, daß Du den Unterschied zwichen "lokaler Benutzer" und "Domänenbenuzter mit lokal gecachten Credentials" kennst? Zitieren Link zu diesem Kommentar
Trix 0 Geschrieben 30. April 2020 Autor Melden Teilen Geschrieben 30. April 2020 vor 8 Stunden schrieb daabm: @Trix Bist Du Dir sicher, daß Du den Unterschied zwichen "lokaler Benutzer" und "Domänenbenuzter mit lokal gecachten Credentials" kennst? Hallo daabm Erklär es mir bitte. Nach meinen jetziges Kenntnissen ist ein lokaler Benutzer via GPO nur gut, wenn ich dem auf seinem gerät mehr rechte resp. Sonderrechte einräumen will. Was anderes ergibt sich mir nicht. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 1. Mai 2020 Melden Teilen Geschrieben 1. Mai 2020 Ne. Ein lokaler Benutzer ist nie gut. Wir betreiben ca. 200k Clients und 50k Server, und außer dem Builtin Admin gibt es bei uns keine lokalen Benutzer. Auf fast allen Systemen hat der zudem ein unbekanntes Kennwort, kann also nicht mal verwendet werden... Ich weiß jetzt nicht genau, was ich Dir erklären könnte - Du klingst, als wenn Du erst mal Grundlagen bräuchtest. Und zwar viele. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.