ComputerBase Menü
Aktuelles

An Domäne von außerhalb anmelden

S

spr

Lieutenant
Registriert
Juni 2003
Beiträge
945
Hi,

habe mich per VPN von außerhalb an einer Domäne mit einem Notebook angemeldet / erstanmeldung.
Alles ok. Nach Neustart scheitert allerdings der Versuch sich wieder anzumelden mit dem Domänenkonto (Anmeldeserver nicht verfügbar).
Gibt es eine Möglichkeit da so reinzukommen? Oder muss man zwingend für die Erstanmeldung lokal im Netzwerk sein?

Danke
 
Normalerweise kann man sich ein seinem Gerät "normal" anmelden wenn die Domäne nicht verfügbar ist (zum Beispiel außerhalb des lokalen Netzwerkes bei einem Laptop).

Erste Anmeldung nach Neustart ist da egal.

Edit:

habe mich grad selbst gewundert und bin auf folgendes gestoßen: Link auf Administrator.de

Dort steht dass man in den Group Policies (Auf dem AD-Server) Zitat:"ob und wie lange credentials gecached werden"

Dies gibt an ob man ohne Domänen-Server sich am eigenen PC anmelden kann, und falls ja, wie lange/wie oft.


Da liegt dein Hund begraben.
 
Zuletzt bearbeitet:
Du kannst auch einfach den VPN als Lokaler User starten und dann per Benutzer Wechseln dich am DC anmelden, funktioniert einwandfrei.
 
Nope, nicht wenn du die Maschine von ausserhalb in die Domäne gebracht hast und dich dann das erste mal anmelden willst. Da wird dann die Verbindung zu einem DC vorrausgesetzt. Cached Credentials (sofern nicht deaktiviert) gehen nur nach einmaliger erfolgreicher Anmeldung.
Kommt drauf an wie dein VPN konfiguriert ist, u.U. kannst du die VPN Verbindung vor dem Login Process starten, dann geht deine Anmeldung. (muss dein VPN Provider unterstützen und auf deiner Maschine eingerichtet sein)
 
Wie gesagt: Lokal anmelden, VPN starten, nicht abmelden sondern Benutzer wechseln, und dann kann man sich an der Domäne anmelden!

Gerade vor 2 Tagen mit einem Win 8.1 Tablet gemacht um dort über die Ferne (VPN) DirectAccess VPN per GPO auszurollen.

Bitte pass deinen Beitrag an "blubberblase" spr ist mit meiner Antwort schon geholfen!
 
NeMeSiS_tm schrieb:
Normalerweise kann man sich ein seinem Gerät "normal" anmelden wenn die Domäne nicht verfügbar ist (zum Beispiel außerhalb des lokalen Netzwerkes bei einem Laptop).

Erste Anmeldung nach Neustart ist da egal.
Zum Vergrößern anklicken....

Das trifft aber nur auf lokale Administratoren zu. Evtl. auch Hauptbenutzer, das weiß ich grade nicht zu 100%, aber ich meine nur Administratoren.
Davon ab kann es sein das wenn man mit Cached Credentials sich anmeldet und dann den VPN aufbaut, das man dann trotzdem nicht an seine Laufwerke etc. kommt, weil a) kein gültiges Kerberos Ticket existiert und b) je nach Konfiguration weder Logonscripte noch GPOs ausgeführt werden.

Cached Credentials ist eigentlich eher dazu gedacht zu Hause ohne Verbindung zur Domäne sich anmelden und lokal arbeiten zu können ohne lokale Konten eingerichtet zu haben und mit Benutzerwechsel hantieren zu müssen etc.
 
Einen Rechner mit der Domäne verbinden scheitert schon an normalen User Rechten, daher müsste er alle Möglichkeiten gegeben haben. Und wie gesagt es braucht nichts gecached werden oder sonstiges solange das gesagte getan wurde.
Sobald du einen VPN als User oder Hauptbenutzer (nicht domänenuser) startest kannst du wenn du den Benutzer Wechselst (Sitzung des lokalen Users bleibt offen) dann wiederum eine Anmeldung am DC durchführen, da die Verbindung zum DC ja gestattet ist. Jedoch haben die Vorredner recht: Es gibt eine GPO, in welcher du definieren kannst, wie lange sich ein Rechner außerhalb der Domäne aufhalten kann ohne, dass er erneut eine Verbindung aufbauen muss. Jedoch ist diese Standardmässig so eingestellt, dass du nach einem einmaligen Anmelden (nach dem neustart des Domänenjoins) mittels VPN (weil du ja außerhalb bist) bei einer weiteren Anmeldung kein VPN mehr bräuchtest. Boah ich würd am liebsten Bildchen malen um es zu veranschaulichen :D... sorry ich bin echt kein Formulierungskünstler
 
  • Gefällt mir
Reaktionen: butchooka
Dass ein andere User auf dem gleichen von rumspringen darf geht aber auch nur wenn explizit erlaubt...
Manchmal lässt sich auch vor der Anmeldung eine von Verbindung aufbauen , mal in den anmelde Optionen schauen.

Ist alles ein nettes Problem wenn. Mal das Passwort eines adUsers abgelaufen ist und rettet werden soll

Deswegen sollte ein lokales WLAN für alle User eingerichtet werden
 
Dass ein andere User auf dem gleichen von rumspringen darf geht aber auch nur wenn explizit erlaubt...
Manchmal lässt sich auch vor der Anmeldung eine von Verbindung aufbauen , mal in den anmelde Optionen schauen.
Zum Vergrößern anklicken....

Es müsste explizit verboten sein, da der Standard dies nicht verbietet.

Bei Windows XP bin ich mir nicht sicher aber ab Windows 7 ist das möglich. Wahrscheinlich ist natürlich kein "Profilbild" in der Anmeldemaske, welches man einfach anklicken kann sondern man muss sich mit .\administrator oder wie auch immer der lokale Benutzer heißt anmelden. Ein Anmelden mit dem Domänenadmin sollte ggf. aber auch ohne direkte DC Verbindung hinhauen.

Ich vermute mal, dass ich mich etwas umständlich ausgedrückt habe aber ich glaube so manch einer hat hier nicht verstanden, dass zwei Benutzer auf einem Rechner zur gleichen Zeit arbeiten können. Versteht jemand mein beschriebenes Szenario? Bisher immer so gemacht nie Probleme gehabt auch in den abgeschirmtesten Umgebungen nicht! Solange die Wege zum DC über den VPN sind und keine Policies verhindern, dass VPN Netze zum DC verbinden dürfen, ist das garkein Problem.. Ich hoffe dem TE wurde inzwischen geholfen.

Übrigens habe ich mit der Variante auch Benutzern im Home Office die Kennwörter zurücksetzen können. (der VPN Client befand sich natürlich auf dem Arbeitsgerät nicht wie in manchen Lösungen im Router!)
 
Zuletzt bearbeitet:
erstmal danke für die ganzen schnellen !! antworten..

im Grunde musste ich eines noch machen: Bei der Einrichtung des VPN sagen "Anderen Benutzern erlauben diese Verbindung zu benutzen"
Dann kann man sich beim Login unten rechts per VPN verbinden zuvor. (bei Win7... Bei Win8 muss man erst noch umstellen auf strg alt entf in den lokalen sicherheitsrichtlinien... super änderung microsoft...)
 
@kallii

Normalerweise bekommen Admins, die es in einem Unternehmen erlauben, dass die Mitarbeiter während einer laufenden VPN-Verbindung fröhlich die Benutzer wechseln können, garantiert ihre Kündigung. Alleine schon die Tatsache, dass überhaupt lokale Konten auf PCs genutzt werden (bzw. überhaupt vorhanden sind), die sich innerhalb einer Domäne befinden, ist schon äußerst fragwürdig.

Für sowas besteht i.d.R. überhaupt keinen Grund. Dank Cached-Credentials kann sich jeder Domänen-Benutzer an seinem Laptop auch ohne bestehende Netzwerkverbindung zum DC am System mit seinem Domänenbenutzer-Account anmelden. Danach wird dann die VPN-Verbindung hergestellt. (im Zweifelsfall mit GINA-Erweiterung auch schon davor.)

Viele VPN-Clients (u.a. Cisco oder Checkpoint) schreiben bei der Installation auch in die lokale Sicherheitsrichtlinie des Computers, dass das Wechseln des Benutzers während einer angemeldeten Session nicht erlaubt ist.
 
Für sowas eignet sich ein VPN Router bestens damit hast keinen Streß mehr. Für die Erstanmeldung am DC ist die Verbindung vor dem Login notwendig wird mit nem Desktop Client schwierig.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

cmdr_nemesis
Pc aus Domäne entfernt, keine Anmeldung als Admin
Antworten
10
Aufrufe
3.043
Tensai44
T
interface31
Windows Client an Windows Server 2022 anmelden DNS AD
Antworten
19
Aufrufe
1.259
interface31
interface31
Ex4mp1e
Postfächer von Exchange-Online zu anderem Exchange(-Online) migrieren
Antworten
10
Aufrufe
2.042
Ex4mp1e
Ex4mp1e
N
FRITZ!Box 6591 Cable / FRITZ!OS 7.50 / Dual Stack / Windows XBOX Probleme
2
Antworten
34
Aufrufe
3.993
wesch2000
W
Tiage
QNAP TBS464 - OpenVPN und Plex
Antworten
2
Aufrufe
792
Tiage
Tiage
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz