Windows Server 2012 R2 Active Domain, Anmeldung von zu Hause beschränken, in Firma keine Beschränkung

[ah_frankfurt]

Hallo Leute,

Gibt es bei einem Windows Server 2012 R2 oder 2008 R2 bei Active Directory die Möglichkeit, die erlaubten Zugangszeiten zur Domäne bei "Einwahl" von zu Hause zu beschränken, während sich die Benutzer innerhalb der Firma jederzeit einloggen dürfen?

Finde unter Active Directory unter Benutzer nur die Möglichkeit, die Zeiten zu denen ein Benutzer sich anmelden darf, global (also für zu Hause und Firma) festzulegen. (Gruppenrichtlinien habe ich noch nicht durchprobiert)

Danke
ah_frankfurt

 

[st0rax]

ohne es ausprobiert zu haben, würde ich sagen du suchst folgende Gruppenrichtlinie:


CompConf\Windows Setting\Local Policy\Security Options:
“Interactive Logon: Number of previous logons to cache (in case domain controller is not available)” – the default should be 10 – just set it to 0 and users need to authenticate at the domain to log in.

Ok ich sehe gerade du willst anscheinend die Zeit einschränken, mit der o.g Lösung können sich die User dann NUR noch in der Firma anmelden.

 

[crashbandicot]

Fangen wir mal woanders an: auf welchem Weg haben die Nutzer denn Fernzugriff?

 

[h00bi]

Ich glaube der Ansatz die VPN connection zeitlich zu limitieren ist simpler als den domain account zu beschränken

 

[ah_frankfurt]

Es ist eine rein theoretische Übungsaufgabe. (wollte es ja eigentlich nicht schreiben...)

Planung eines Netzwerkes für 15 Mitarbeiter.


Das Problem, dass ich habe, ist nur dieses: die erlaubten Einlogzeiten:

Die Nutzer sollen sich über Active Directory in einer Domäne von zu Hause aus zwischen 20 Uhr und 24 Uhr einloggen können aber innerhalb der Firma jederzeit.

Die anderen Informationen nur zur Ergänzung.

Ein DHCP-Server wird eingerichtet. (2 Abteilungen die nicht untereinander zugreifen können -> 2 Subnetze, entsprechend IP-Vergabe über DHCP-Server, so stelle ich mir das vor).

VPN wäre möglich (Verbindung von zu Hause ins Firmennetzwerk).

- Ein oder zwei (oder wenn nötig mehr) Windowsserver 2012 R2 oder 2008 RS (andere Server kennen wir bis jetzt nicht).

- Active Directory (Gruppenrichtlinien habe ich mich noch nicht eingearbeitet).

- Subnetting kennen wir (weiß aber nicht, ob das irgendwie bei den Einlogzeiten helfen kann, die Besonderheiten bei Windows Server wie Relay-Agent oder so müssen nicht beachtet werden).

 

[kallii]

Gute Idee, dann macht keiner im Homeoffice mehr überstunden =).

Regelbar über NPS (Network Policy Server) und über GPOs sowohl unter 2k8 als auch 2k12.

Jenachdem welchen VPN Server du einsetzt kannst du dieses auch direkt dort definieren!

 

[ah_frankfurt]

Ich glaube der Ansatz die VPN connection zeitlich zu limitieren ist simpler als den domain account zu beschränken

Ok, Danke, ich glaube das war der Tipp, der mir fehlte.

Dann hätte ich eigentlich alles gelöst.

Ich lese mich heute abend mal ein in NPS und VPN-Konfiguration (auf Serverseite).

 

[st0rax]

ist halt die frage ob es dabei wirklich um das einloggen geht oder um die verbindung zum firmennetzwerk.
Letzteres lässt sich natürlich mit einer Einschränkung in der VPN Konfiguration beeinflussen.
Das einloggen geht idR immer, da die Daten nach dem ersten anmelden zwischengespeichert werden, außer natürlich man stellt das verhalten ab.