VPN Alternative zum Zugriff auf das Büronetzwerk

[F.K.Hamacher]

Hi, im Zuge meiner Ausbildung stoße ich auf folgendes Problem.
Problembeschreibung:

Unser aktueller Prozess sieht vor, dass wir neue Laptops bei uns Installieren und Einrichten. Ist die Windows Installation durch, muss der Mitarbeiter sich zwingend in unserem Büro Netzwerk befinden, um sich zum ersten Mal an seinem neuen Laptop anzumelden - in diesem Stadium ist es nicht möglich eine VPN-Verbindung aus Windows heraus aufzubauen. Der Prozess ist in der Hinsicht auch nicht zu umgehen mit z.B.:
Laptop in der Firma komplett fertigstellen -> Passwort vergeben -> Mitarbeiter dieses zukommen lassen -> darum bitten das er ein neues Passwort anlegt

In "Home-Office-Zeiten" hat sich nun gezeigt, dass das zu einem größeren Problem werden kann. Besonders, wenn wir neue Mitarbeiter nur Remote einarbeiten und diese aus verschiedenen Gründen das Büro nicht in absehbarer Zeit aufsuchen werden.

Die Frage wäre:

Wie können ich das Büro Netzwerk zu unseren Mitarbeitern bringen? Besonders hier mit dem Hintergrund, dass man bei der ersten Windows-Anmeldung am Laptop nur die Kontrolle über das WLAN / LAN besitzt - weitere Möglichkeiten stehen hier auf dem Gerät selbst nicht zur Verfügung.

Danke schonmal im voraus für die Antworten :)

[Bitschnipser]

Warum könnt ihr nicht die Erstanmeldung durchführen, das Gerät zuschicken, sich per VPN einwählen lassen und ihn dann das Passwort ändern lassen? Machen wir auch nicht anders bei Notebookwechsel. Genauso würde es, wenn nicht anders möglich, bei einem neuen User passieren.

Wer das Passwort zur Profileinrichtung eintippst ist doch vollkommen Latte. Und nachdem das geschehen ist, kann doch eine VPN-Verbindung aufgebaut werden??

[Maniska]

vor 11 Minuten schrieb Bitschnipser:

Wer das Passwort zur Profileinrichtung eintippst ist doch vollkommen Latte.

Beißt sich aber mit der Aussage dass User ihr Kennwort unter keinen Umständen weitergeben sollen.

Was geht - Lizenz vorausgesetzt - ist, dass sich der User via Fernwartungstool (z.B. Teamviewer) aus das fertig eingerichtete Gerät aufschaltet und über "Benutzer wechseln" anmeldet.

So kommt das lokale Profil auf das Gerät und der User gibt sein Kennwort nicht raus.

Alternativ - aber teuer - wäre ein Softwareverteilung die auch eine "Betankung" über das Internet vorsieht.

[FBDIMM]

Wenn es um eine Alternative gehen soll, VXLAN mit 802.11x ist möglich.

Praktikabel ist aber meiner Ansicht nach aber nur die VPN Lösung wie bereits beschrieben.

[Montaine]

Blöde Frage aber muss sich der User bei JEDER Passwortänderung im firmeneigenen Netzwerk befinden? 

Maniska hat ja nicht Unrecht mit dem Einwand das User ihr Passwort unter keinen Umständen weiter geben sollen aber falls sich der User nur bei der allerersten Anmeldung im firmeneigenen Netzwerk befinden muss und bei der 2. Passwortänderung nicht mehr dann wäre doch der folgende Weg auch möglich?

Laptop in der Firma komplett fertigstellen -> Passwort vergeben ->  1. Anmeldung durch Firmenmitarbeiter mit Vergebung eines 2. Passwortes >> Mitarbeiter neues PW zukommen lassen -> darum bitten das er ein neues Passwort anlegt.

Falls das so nicht geht bitte ich um Nachsicht, aber falls doch dann wäre es nur ein Arbeitsschritt mehr und das Problem wäre damit gelöst.

[Bitschnipser]

Ob ein Admin es eintippt - der, wenn er denn wöllte, sich mit seinen Administratorberechtigungen sowieso Zugang zu allem beschaffen könnte - oder der User selbst halte ich für nicht relevant.

Wenn überhaupt, erhalten neue User doch ein initiales Passwort mit ihrem Account, dass sie dann ändern (müssen im Besten Fall).
Also da sehe ich wirklich nicht das Problem.

[Maniska]

vor 10 Minuten schrieb Bitschnipser:

Ob ein Admin es eintippt - der, wenn er denn wöllte, sich mit seinen Administratorberechtigungen sowieso Zugang zu allem beschaffen könnte - oder der User selbst halte ich für nicht relevant.

Ähm, also ich habe noch keinen Weg gefunden, mich in einen Useraccount einzuloggen ohne das Kennwort zu wissen.

• Entweder der User sagt es mir, dann weiß er, das ich sein Kennwort habe, und kann entsprechend reagieren.
• Oder ich setzt das Kennwort zurück und ändere es auf ein mir bekanntes. Auch das bekommt der User relativ sicher mit

Nur weil ich mir Zugang verschaffen kann, bedeutet es nicht dass ich das auch darf.

Zitat

Wenn überhaupt, erhalten neue User doch ein initiales Passwort mit ihrem Account, dass sie dann ändern (müssen im Besten Fall).
Also da sehe ich wirklich nicht das Problem.

Und was machst du bei neuen Geräten für Bestandsuser?

Oder bekommt bei euch keiner ein neues Gerät?

[0x00]

Bei uns funktionierts auch so: Laptop wird intern komplett aufgesetzt, Passwort von IT "vorvergeben". Dann wird der Laptop und das Password verschickt. Mitarbeiter wählt sich per VPN ein und ändert das Passwort, voilà neues Passwort.
Für "alte" Mitarbeiter funktionierts genauso, bloß das sie als "altes" Passwort einfach ihr Domänenkennwort nehmen und dementsprechend dieses halt wie gewohnt nach Ablauf der Zeit X ändern.

Das der Administrator dann mit dem Initialpassword Schabernack treiben kann halte ich wie von @Bitschnipser beschrieben auch für nicht relevant. Der kann an noch ganz anderen Stellen Schaden anrichten.

Bearbeitet 18. Februar 2021 von 0x00

[allesweg]

Variante 1: persönliche Abholung mit initalem LogIn am Abhol-Tresen (analog Click&Collect)

Variante 2: erstmalige Anmeldung des Useraccounts am Gerät erfolgt durch Admin mit anschließender Passwortrücksetzung. Danach Versand der Hardware. Bei bestehenden Accounts schwieriger...

Variante 3: sitzungsübergreifende Fernwartung, welche auch ohne angemeldeten Windows-User aktiv ist.

[Kellerbräune]

Moin,

ich versuche da mal einiges beizutragen. Wenn ich mich irren sollte, bitte um Korrektur.

Es gibt mMn nur zwei Optionen. 

Option 1: VPN

Option 2: Alles in die Cloud.

Wenn die Kollegen remote eingearbeitet werden, greifen bzw. müssen die Kollegen schon irgendwie auf euer Netzwerkzugreifen können oder können die tatsächlich alle lokal arbeiten?

Es gäbe bestimmt die Option per RDP eine Sitzung zu ermöglichen. Ohne eine RDP Sitzung sieht es so aus, als könnte man die Rechner direkt in die Workgroup packen, da die Benutzer sowieso vom Server keine Rückmeldung bekommen. Wie auch? 

Wenn dazu noch kommt, dass die Passwörter regelmäßig geändert werden, macht es die Sache nicht einfacher. 

Es kann sein, wenn ich mich nicht irre, dass es darauf hinaus läuft, dass die PW  - Änderung gar nicht greift.

Angenommen Müller ist im HO und muss das PW ändern. Aktuelles ist: 12345

Ändert er es auf 123456 muss Müller trotzdem 1234 eingeben. 

Das ist alles bissel Kraut und Rüben.

[Türöffner]

Hatte zum 4.1 dieses Jahres meinen AG gewechselt, der neue hatte einen extra lokalen User erstellt womit ich mich zum ersten Mal anmelden sollte. Danach mit meinen Anmeldedaten ins VPN einwählen, User wechseln und dann konnte ich mich auch mit meinem Account einloggen. 
 

Verbleibt natürlich der lokale Account noch, den man aber ggf. ja später noch Remote entfernen könnte. 

[Enno]

Ansonsten, allerdings bedeutet das einen höheren Aufwand:

 

AlwaysOn oder StartupBeforeLogon VPN mal suchen.

Es gibt VPN Clients die starten die Verbindung schon vor der Anmeldung am Windows. Dort wird dann auch für die Anmeldung im VPN nicht der lokale User verwendet.

Damit ist der Rechner sobald hochgefahren und mit Internetverbindugn IMMER in eurem Netzwerk.

Bedeutet allerdings das ihr an eurer VPN Verbindung was machen müsst.

Oder mal suchen, eventuell gibts das Feature ja schon bei eurer aktuell genutzen VPN Lösung nur es weis keiner.

[varafisi]

vor einer Stunde schrieb Enno:

Es gibt VPN Clients die starten die Verbindung schon vor der Anmeldung am Windows. Dort wird dann auch für die Anmeldung im VPN nicht der lokale User verwendet.

Damit ist der Rechner sobald hochgefahren und mit Internetverbindugn IMMER in eurem Netzwerk.

Bedeutet allerdings das ihr an eurer VPN Verbindung was machen müsst.

Sehr interessant. Mal gut zu wissen.

 

Meine Lösung für das Ganze wäre, alles gezielt über das - sofern vorhanden - AD laufen zu lassen.

Soll der User im HO arbeiten, bekommt er eine SSL-Gruppe zugeordnet. Auf der Firewall wird diese Gruppe angegeben und der Login mit dem AD gegengeprüft. Demnach kann das vergebene Passwort der IT "123456" bei der Windows-Anmeldung und der aufzubauenden VPN genutzt werden. Einfach - zentral - super. Nun weiß ich nicht, welche Firewall + VPN-Client ihr nutzt. Es geht über mein Wissen hinaus, ob es durchaus auch Firewalls gibt, die keine AD-Anbindung haben - wäre denkbar.

[_n4p_]

Also abgesehen davon das es den Vorschlag schon gab ...

Am 18.2.2021 um 15:22 schrieb Maniska:

Und was machst du bei neuen Geräten für Bestandsuser?

?