Jump to content
xrated2

Client im Ausland ins AD aufnehmen?

Recommended Posts

Hallo

 

wenn jetzt ein MA ausschließlich im Ausland arbeitet und nie in der Zentrale ist wo das Active Directory ist, frage ich mich gerade ob es Sinn macht das Windows 10 Gerät ins AD aufzunehmen. VPN läuft über OpenVPN also ist beim anmelden kein DC erreichbar. Dann funktionieren doch schon mal einige Policies (GPP, Loginscript, Netzlaufwerke, Drucker ?) nicht so wie ich verstanden habe, richtig? 

 

Macht das mit AD Mitgliedschaft Sinn oder nicht? Gehen dann nur die genannten Features nicht?

Eine synchrone Anmeldung wird bei allen Clients nicht forciert.

 

Edit: Wenn kein DC zur Verfügung steht kann sich der Client auch nicht unendlich lang anmelden? Siehe:

https://theitbros.com/active-directory-cached-credentials/

Wenn der CachedLogonsCount auf 10 steht, was passiert wenn sich ein User beim 11. mal offline anmeldet? Oder wird immer nur der älteste Login überschrieben?

Edited by xrated2

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb xrated2:

Edit: Wenn kein DC zur Verfügung steht kann sich der Client auch nicht unendlich lang anmelden? Siehe:

Doch kann er.

vor 3 Stunden schrieb xrated2:

Wenn der CachedLogonsCount auf 10 steht, was passiert wenn sich ein User beim 11. mal offline anmeldet?

Dann werden credentials von 10 Leuten gespeichert. Das ist also die Anzahl der cached credentials und nicht die Anzahl die Anmeldungen mittels cached credentials. Könnte man aber auch in der Erklärung der policy nachlesen. Bzw. Ist das im link den du oben gepostet hast auch genauso erklärt.

Edited by NorbertFe
  • Thanks 1

Share this post


Link to post
Share on other sites

ok, siehst du denn Gründe die dagegen sprechen den ins AD aufzunehmen wenn er den DC nur über VPN sieht?

Die "normalen" GPO müssten ja im Background alle x Std. ausgeführt werden.

Share this post


Link to post
Share on other sites
vor 16 Minuten schrieb xrated2:

Gründe die dagegen sprechen den ins AD aufzunehmen

 

Andersherum, welche Gründe sprechen wirklich zur Mitgliedschaft in der Domäne. Sind die Gründe zwingend?

Share this post


Link to post
Share on other sites

Es wäre gut wenn man das alles zentral steuern kann, gerade hinsichtlich GPO. Gibt einige Sachen die blockiert werden sollen. Verwaltung über Teamviewer ist ätzend.

Share this post


Link to post
Share on other sites

Nun, wenn so ist? Dann nehme man den Rechner auf. Falls es ohne Probleme funktioniert, der Benutzer zufrieden, dann alles gut? Falls es schlecht läuft, dann eben wieder raus. Was könnte schlecht laufen? Automatische Updates oder sowas. Der Benutzer kommt nicht zum Arbeiten. Was kann man noch denken?

 

Bei uns heiss es, der Soldat kann gar nicht so dumm denken wie es kommen kann. Tscha

Edited by lefg

Share this post


Link to post
Share on other sites
vor 12 Minuten schrieb lefg:

Bei uns heiss es, der Soldat kann gar nicht so dumm denken wie es kommen kann. Tscha

 

Da ist was dran. WSUS muss ich da sowieso raus nehmen. WPP schießt man dann wohl auch ab aber geht wohl nicht anders.

 

Share this post


Link to post
Share on other sites

Ich schaute mir die Übertragung wohl mit einem Monitor wie PRTG oä an.

Edited by lefg

Share this post


Link to post
Share on other sites
vor 23 Minuten schrieb xrated2:

 

Da ist was dran. WSUS muss ich da sowieso raus nehmen. WPP schießt man dann wohl auch ab aber geht wohl nicht anders. 

 

Du kannst den WPP und WSUS natürlich auch für diesen Client im Einsatz lassen. Den BITS, das ist der Dienst, der die Updates downloadet, in der Bandbreite begrenzen, schon klappt das auch mit dem WSUS/WPP. Wie das geht, wird hier beschrieben: https://www.wsus.de/bits/

 

Ansonsen zweiten WSUS aufsetzen, nur diesen Client aufnehmen und im WSUS in den Optionen einstellen, dass sich die Clients die Updates bei MSFT abholen, die Genehmigungen allerdings von dir kommen.

Share this post


Link to post
Share on other sites

Es arbeiten an manchen Tagen sehr viele von daheim und da würde man die ganze Leitung lahmlegen. Vor kurzem waren es noch 1MBit/s Upload, jetzt sind es immerhin 10MBit/s. Deswegen hab ich den IIS so eingestellt das nur LAN drauf kommt.

Zweiter WSUS wäre zuviel Aufwand.

So eine Art dynamische Einstellung zum runterladen von Updates gibts ja leider nicht z.b. im LAN vom WSUS und sonst über Inet.

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb xrated2:

Es arbeiten an manchen Tagen sehr viele von daheim und da würde man die ganze Leitung lahmlegen. Vor kurzem waren es noch 1MBit/s Upload, jetzt sind es immerhin 10MBit/s. Deswegen hab ich den IIS so eingestellt das nur LAN drauf kommt. 

Im OP war noch von *einem* die Rede. Und nochmal, man kann die Bandbreite die so ein Windows Client nutzen kann, auch per GPO beschränken. Natürlich kann man das GPO mit den BITS-Einstellungen auch mittels WMI-Abfrage an die VPN-Verbindung filtern lassen. Ist der Client im LAN, kann er volle Bandbreite nutzen.

 

vor 1 Stunde schrieb xrated2:

Zweiter WSUS wäre zuviel Aufwand.

Der ist ruckzuck aufgesetzt und konfiguriert.

 

vor 1 Stunde schrieb xrated2:

So eine Art dynamische Einstellung zum runterladen von Updates gibts ja leider nicht z.b. im LAN vom WSUS und sonst über Inet.

Siehe oben, GPO mit WMI-Abfrage filtern.

  • Thanks 1

Share this post


Link to post
Share on other sites

Ich sehe nichts, was dafür spricht, einen Client NICHT ins AD aufzunehmen. Der Rest steht oben schon :-)

Share this post


Link to post
Share on other sites

Ja das ist momentan der einzige Client (von insgesamt 2) im Ausland der neu ausgerollt wird, deswegen.

 

Das mit der WMI Abfrage ist interessant.

Also default zieht sich der Client die GPO wohl alle 90 + 0-30min gemäß Refresh Interval, macht dann wohl auch Sinn zu verkürzen. 

Share this post


Link to post
Share on other sites
vor 8 Stunden schrieb xrated2:

Also default zieht sich der Client die GPO wohl alle 90 + 0-30min gemäß Refresh Interval, macht dann wohl auch Sinn zu verkürzen.

Sehe ich nicht so. Was soll damit erreicht/verbessert werden?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...