Jump to content

Lokale benutzer und Gruppen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

2 minutes ago, Trix said:

Mit einer VPN Verbindung kann ich dann zwar das AD pingen, hab als normaler user da nichts zu suchen.
Ich kann nur auf Daten zugreifen, wenn ich mich als Admin anmelde.

Ist der Client und der Benutzer im AD angelegt / gejoint?

Was ist das für ein VPN?

Gibt es ein AD für die Mutter und ein eigenes für euch oder ist das nur ein AD?

Link zu diesem Kommentar
vor 7 Minuten schrieb Trix:

BOfH_666:

Genau das was Du da beschreibst geht nicht.

Hast Du das getestet oder glaubst Du nur, dass das nicht geht? Es wäre nämlich für 99,99% der Fälle der Normalfall. ;-) 

vor 7 Minuten schrieb Trix:

Das liegt daran, dass die VPN Verbindung nicht mit unseren Servern konfiguriert ist und auch nie sein wird.

Ein VPN verbindet auch keine Server sondern Netzwerke, bzw. in Deinem Fall Clients mit Unternehmensnetzwerken.

vor 7 Minuten schrieb Trix:

Wir melden uns mit einem anderen User am VPN an

Das machen viele andere auch so ... das kann aber nicht das Problem sein.

vor 7 Minuten schrieb Trix:

und verbinden uns danach mit einer anderen Anmeldung mit unseren Servern.

... das ist eher unüblich, wie ich glaube.

 

Link zu diesem Kommentar
vor 13 Minuten schrieb Trix:

aber wo ist dann der nutze der GPO bei der ich einen lokalen Benutzer anlegen kann.

Welchen Sinn hat dies GPO oder wann würde man den sowas überhaupt einsetzten.

Die GPO Möglichkeit macht ja dann nichts wirklich.

Mit dem GPO kannst Du lokal einen User anlegen, nicht mehr und nicht weniger.

Man kann so eine Einstellung setzen, wenn man lokale Benutzer für bestimmte Dinge benötigt. Zum Beispiel einen lokalen Administrator oder einen lokalen Installationsbenutzer. Ein Benutzer in der Domain hat manchmal zu viele Berechtigungen. Aber ein User der im AD angelegt ist, sollte nicht lokal ein zweites Mal angelegt werden.

 

Ein User aus der Domain muss sich einmal am Client anmelden, wenn der Client eine Verbindung zum AD hat, danach braucht der User und der Client niemals wieder eine Verbindung zum AD.

 

BTW: Es heißt einsetzen. :)

bearbeitet von Sunny61
Link zu diesem Kommentar

Ich sehe da eine grandiose Kette von Mißverständnissen :-)

  • Seit MS15-025 kann man per GPO _keine_ lokalen User mehr anlegen (ok ok - es geht, wenn man fragwürdige Kennwortrichtlinien auf seine Computer verteilt. Aber das macht hoffentlich niemand)
  • Um das WIndows-Kennwort eines Benutzers zu ändern, ist eine (VPN- oder sonstartige) Verbindung zur Authentifizierungsinstanz erforderlich. Für lokale Benutzer ist das der lokale SAM, für Domänenbenutzer das AD. Ohne AD-Verbindung keine Kennwortänderung.
  • Das Ändern des Kennworts über OWA ändert zwar das Kennwort im AD. Aber wenn der Computer keine Verbindung zu selbigem hat, kommt diese Änderung dort nie an - lokal gilt also bis in alle Ewigkeit das bisherige zwischengespeicherte Kennwort (-> "Cached Credentials").
  • Das "Sperren" eines AD-Benutzers hat keinerlei Auswirkung auf die Möglichkeit, sich am entsprechenden Computer weiterhin offline anzumelden (-> noch mal "Cached Credentials")
Link zu diesem Kommentar
vor 19 Stunden schrieb Dukel:

Ist der Client und der Benutzer im AD angelegt / gejoint?

Was ist das für ein VPN?

Gibt es ein AD für die Mutter und ein eigenes für euch oder ist das nur ein AD?

Cisco VPN.
Das Mutterschiff hat eigene Server und ein eigenes AD.

wir wird sonst völlig unabhängig.

vor 19 Stunden schrieb BOfH_666:

Hast Du das getestet oder glaubst Du nur, dass das nicht geht? Es wäre nämlich für 99,99% der Fälle der Normalfall. ;-) 

Ein VPN verbindet auch keine Server sondern Netzwerke, bzw. in Deinem Fall Clients mit Unternehmensnetzwerken.

Das machen viele andere auch so ... das kann aber nicht das Problem sein.

... das ist eher unüblich, wie ich glaube.

 

Ich habe das getestet. Es funktioniert nicht. Ich bekomme immer die schon beschriebene Fehlermeldung.

 

vor 12 Stunden schrieb daabm:

Ich sehe da eine grandiose Kette von Mißverständnissen :-)

  • Seit MS15-025 kann man per GPO _keine_ lokalen User mehr anlegen (ok ok - es geht, wenn man fragwürdige Kennwortrichtlinien auf seine Computer verteilt. Aber das macht hoffentlich niemand)
  • Um das WIndows-Kennwort eines Benutzers zu ändern, ist eine (VPN- oder sonstartige) Verbindung zur Authentifizierungsinstanz erforderlich. Für lokale Benutzer ist das der lokale SAM, für Domänenbenutzer das AD. Ohne AD-Verbindung keine Kennwortänderung.
  • Das Ändern des Kennworts über OWA ändert zwar das Kennwort im AD. Aber wenn der Computer keine Verbindung zu selbigem hat, kommt diese Änderung dort nie an - lokal gilt also bis in alle Ewigkeit das bisherige zwischengespeicherte Kennwort (-> "Cached Credentials").
  • Das "Sperren" eines AD-Benutzers hat keinerlei Auswirkung auf die Möglichkeit, sich am entsprechenden Computer weiterhin offline anzumelden (-> noch mal "Cached Credentials")

Danke Dir für Deine Erklärung.

So wie ich das im Moment sehe, gibt es zwei Möglichkeiten.
1. wieder ganz normale lokale User anlegen (wollte ich eigentlich nicht mehr)
2. über VPN den unseren Domänencontroller anbaggern können.

ich hab noch keinen Plan wie, aber anders geht es ja wohl nicht.

Danke

Link zu diesem Kommentar
vor 8 Stunden schrieb daabm:

@Trix Bist Du Dir sicher, daß Du den Unterschied zwichen "lokaler Benutzer" und "Domänenbenuzter mit lokal gecachten Credentials" kennst?

Hallo daabm

Erklär es mir bitte.

Nach meinen jetziges Kenntnissen ist ein lokaler Benutzer via GPO nur gut, wenn ich dem auf seinem gerät mehr rechte resp. Sonderrechte einräumen will.

Was anderes ergibt sich mir nicht.

 

 

Link zu diesem Kommentar

Ne. Ein lokaler Benutzer ist nie gut. Wir betreiben ca. 200k Clients und 50k Server, und außer dem Builtin Admin gibt es bei uns keine lokalen Benutzer. Auf fast allen Systemen hat der zudem ein unbekanntes Kennwort, kann also nicht mal verwendet werden...

 

Ich weiß jetzt nicht genau, was ich Dir erklären könnte - Du klingst, als wenn Du erst mal Grundlagen bräuchtest. Und zwar viele.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...