wbs2008 10 Geschrieben 3. Juni 2009 Melden Teilen Geschrieben 3. Juni 2009 Hallo zusammen, was würdet ihr machen, in einer Umgebung, in der es so gut wie nur Notebookuser gibt und diese User so gut wie nie im Büro sind. Das interne Netz wird von diesen Benutzern nur per VPN gesehen... Vor so einer Situation stehe ich... Ich muss jetzt überlegen, was ich in Bezug auf Sicherheitseinstellungen der Domäne mache, wie z.B. Kontosperrungsschwelle. WSUS usw. läuft mit dem BITS ja ganz passabel übers VPN... Ich muss jetzt überlegen, wenn die Schwelle auf 5 Anmeldeversuche steht, dann eine Sperre für 24h kommt ohne Eingreifen des Admin, der Benutzer sich aber ohne VPN Verbindung quasi Offline sperrt, dann habe ich keine Möglichkeit ohne das der Benutzer seine Maschine im Büro ans Netz hängt, das Konto vor den 24h wieder freizuschalten... Oder ist bei Offline Verbindungen anders? Bei gesperrtem Konto kann ich zwar eine VPN Verbindung herstellen, kann aber die Systeme nicht nutzen. Beim abmelden würde die Verbindung ja auch getrennt werden. Damit würde der Punkt abmelden, mit lokalem Benutzer anmelden, VPN Verbindug herstellen, abmelden und mit Domänen Account anmelden auch ausscheiden... Habt ihr für diese "besondere" Situation Vorschläge zum Vorgehen? Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 3. Juni 2009 Melden Teilen Geschrieben 3. Juni 2009 Hallo, wo ist das Problem wenn der User eine Notebookuser ist? Wenn er sich falsch anmeldet wird das AD Konto gesperrt, entsperren tust du es wieder bei dir am Server ... somit kann der User dann weiter arbeiten. Wenn er sich dann Lokal ohne VPN in der Domäne anmelden will, müsste das über die zwischengespeicherte Anmeldung ja funktionieren ... die VPN Verbindung natürlich erst wenn du an deinem DC das Konto wieder entsperrt hast. Oder habe ich deine Problemstellung falsch verstanden ? mfg Micha Zitieren Link zu diesem Kommentar
wbs2008 10 Geschrieben 3. Juni 2009 Autor Melden Teilen Geschrieben 3. Juni 2009 Nee nicht wirklich... Ich bin aber der Meinung, kann auch sein das ich mich irre, daher frage ich es lieber mal nach... Ich meine, das dass zwischengespeicherte Konto auch gesperrt wird. Wenn der Benutzer nicht in der Domäne ist und dann 6 mal versucht sich anzumelden, wird dann nicht auch das zwischengespeicherte Profil gesperrt und bei Verbindung zum Netz, z.B. durch einbuchen im Netz, weil der Benutzer ins Büro kommt etc. dieses dann innerhalb der 24h auch an den Server übertragen wird... Konkret geht darum, ich meine das zwischengespeicherte Konto ist von der Richtline auch betroffen. Wenn der Benutzer offline 6 falsche Anmeldungen durchführt, wird zwar das zwischengespeicherte Konto gesperrt, das sehe ich aber auf dem Server nicht. Das würde ich erst dann sehen, wenn das Notebbok innerhalb dieser 24 h ans Netz kommt... Somit könnte ich es nicht freischalten... Liege ich da falsch? Zitieren Link zu diesem Kommentar
wbs2008 10 Geschrieben 8. Juni 2009 Autor Melden Teilen Geschrieben 8. Juni 2009 Hallo nochmal, ich will ja den Thread nicht pushen, aber hat jemand irgendwie weitere Infos in dieser Sache? Danke Euch. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Juni 2009 Melden Teilen Geschrieben 8. Juni 2009 Hallo, vielleicht als Grundsatzerläuterung zu dem Thema noch einmal der Hinweis, daß 5 Anmeldeversuche viel zu wenig ist. Selbst für Hochsicherheitsumgebungen empfihelt Microsoft nicht weniger als 10 Anmeldeversuche, in normalen Umgebungen 20-50. Unter Umständen stellt sich die Frage also gar nicht, wenn die Kontosperrungsschwelle hochsetzt. Insgesamt greifen die Richtlinien auch für lokale Computerkonten bei Domänenclients. Die Einstellungen sind unter Windows Server 2003 in der Default Domain Policy eingetragen, daher greifen diese auch für Computerkonten. Diese erzwingen die Einstellung dann standardmäßig für die lokalen Konten. Viele Grüße olc Zitieren Link zu diesem Kommentar
wbs2008 10 Geschrieben 10. Juni 2009 Autor Melden Teilen Geschrieben 10. Juni 2009 Hi, danke erst mal für deine Antwort. Wenn also die Einstellung, wie ich das auch schon gedacht hatte auch für die lokalen Konten zieht, stellt sich natürlich die Frage, selbst wenn ich das ganze jetzt hochstelle und dann trotzdem sich einer das Konto sperrt, wie ich das dann wieder aufkriege... Wenn sich der User in der Domäne anmeldet, wird ja automatisch eine lokale Kopie des Kontos auf die Maschine gezogen. Nur dadurch existiert ja noch lange kein Local Account, den man in den Verwaltungseigenschaften wieder freischalten könnte. Daher steht ja die Frage im Raum, was ist wenn. Dem Benutzer zu sagen, komm zurück ins Büro, schließ das NB einmal an und dann biste wieder freigeschlatet, das geht ja gar nicht. Gäbs denn ne Möglichkeit, wie man das Konto auch so wieder freischalten könnte? Sprich ich gebs im AD frei. Was mache ich aber dann mit dem User auf dem NB, der dann immer noch gesperrt ist. Wie gebe ich den wieder frei außer mit oben genannter Methode... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. Juni 2009 Melden Teilen Geschrieben 10. Juni 2009 Hi, entschuldige, ist nicht böse gemeint - aber das ist doch ein rein theoretische Diskussion ohne wirkliches Ziel: Du kannst naturgemäß kein Domänen-Konto wieder freischalten, wenn die Domäne für den Client nicht verfügbar ist. Trotzdem möchtest Du eine 24h Sperrung des Kontos, was meines Erachtens auch nicht zielführend ist - beides Zusammen kann also nicht funktionieren. Mit rein technischen Mitteln ist "Sicherheit" nicht zu erreichen, d.h. das Sperren eines Kontos nach 5 Versuchen für 24h ist schlichtweg in den allermeisten Umgebungen weder sinnvoll noch erhöht es tatsächlich das Sicherheitslevel der Umgebung. Worüber sprechen wir hier also? :) Deine Probleme sind in dem Moment behoben, indem Du die 24h Sperrung auf 30 Minuten o.ä. zurückstellst. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.