45455
Nov 22, 2014
2438
8
0
Zugangsdaten für VPN sperren
Hallo,
für ein paar Laptops, die wechselnd von Usern außerhalb des Netzwerks verwendet werden, haben wir VPN-Zugangsdaten für alle User voreingestellt.
Leider ist noch kein Radius oä. umgesetzt, so dass fürs VPN andere Zugangsdaten wie fürs OS nötig sind und das wollen sich die User einfach nicht merken.
Blöder Effekt dabei: Einige fangen dann doch wieder das Denken an, das sie eigentlich nicht wollen, und überschreiben unter ihrem Account die vorgegebenen Zugangsdaten mit ihrem Windows-Login, was logischerweise nicht funktioniert und dann auch der Rückweg verbaut ist.
Kann man die Zugangsdaten irgendwie schreibschützen?
Wo sind die eigentlich hinterlegt?
Gruß
Kai
für ein paar Laptops, die wechselnd von Usern außerhalb des Netzwerks verwendet werden, haben wir VPN-Zugangsdaten für alle User voreingestellt.
Leider ist noch kein Radius oä. umgesetzt, so dass fürs VPN andere Zugangsdaten wie fürs OS nötig sind und das wollen sich die User einfach nicht merken.
Blöder Effekt dabei: Einige fangen dann doch wieder das Denken an, das sie eigentlich nicht wollen, und überschreiben unter ihrem Account die vorgegebenen Zugangsdaten mit ihrem Windows-Login, was logischerweise nicht funktioniert und dann auch der Rückweg verbaut ist.
Kann man die Zugangsdaten irgendwie schreibschützen?
Wo sind die eigentlich hinterlegt?
Gruß
Kai
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 255633
Url: https://administrator.de/contentid/255633
Printed on: April 19, 2024 at 10:04 o'clock
8 Comments
Latest comment
Moin,
was hindert dich denn daran, für das VPN die gleichen Anmeldedaten wie für das OS zu hinterlegen?
Die Userdaten für VPN sind normalerweise in der lokalen Datenbank des VPN Gateways hinterlegt.
Gruß,
Uwe
was hindert dich denn daran, für das VPN die gleichen Anmeldedaten wie für das OS zu hinterlegen?
Die Userdaten für VPN sind normalerweise in der lokalen Datenbank des VPN Gateways hinterlegt.
Gruß,
Uwe
IdR weiß ein Admin nicht das persönliche Passwort eines Users, kann es also nicht im VPN-Gateway hinterlegen, solange die Systeme nicht über Radius oä. verbunden sind.
Und wie gesagt: Die User wollen keine zusätzlichen Anmeldedaten wissen müssen. Auf diese Entscheidung habe ich keinen Einfluss.
Mir geht es darum, wo Windows die "für alle User" gespeicherten VPN-Anmeldedaten hinterlegt, um diese gegen Veränderung zu sperren.
Und wie gesagt: Die User wollen keine zusätzlichen Anmeldedaten wissen müssen. Auf diese Entscheidung habe ich keinen Einfluss.
Mir geht es darum, wo Windows die "für alle User" gespeicherten VPN-Anmeldedaten hinterlegt, um diese gegen Veränderung zu sperren.
Hallo,
man müsst jetzt z.b. mal wissen welcher VPN Client usw.
Aber bevor ihr da jetzt rumbastelt. Macht es doch gleich sauber und richtet den Radiusserver ein und gut ist.
Der Aufwand ist doch wirklich nicht so groß.
man müsst jetzt z.b. mal wissen welcher VPN Client usw.
Aber bevor ihr da jetzt rumbastelt. Macht es doch gleich sauber und richtet den Radiusserver ein und gut ist.
Der Aufwand ist doch wirklich nicht so groß.
Welcher VPN-Client: nativ w7
Radiusserver Aufwand: Anbindung an Draytek VPN-Router, sooo wenig Aufwand ist das jetzt auch nicht
Radiusserver Aufwand: Anbindung an Draytek VPN-Router, sooo wenig Aufwand ist das jetzt auch nicht
Sorry aber das dauert vielleicht mal 15 Minuten aufwand wenn man sowas schon mal gemacht hat.
http://www.draytek.com/index.php?option=com_k2&view=item&id=197 ...
Rechnen wir noch etwas zeit zum testen usw. dazu und du hast in einem halben Tag eine Lauffähige Konfig.
Und dann funktioniert das wie es soll und musst nicht rumbasteln.
Das geht schneller als die Übergangslösung von dir und dann ist das Thema sauber vom Tisch und muss später nicht noch mal ran.
Zudem sparst du dir die Zeit dann bei der Verwaltung sehr schnell wieder rein.
http://www.draytek.com/index.php?option=com_k2&view=item&id=197 ...
Rechnen wir noch etwas zeit zum testen usw. dazu und du hast in einem halben Tag eine Lauffähige Konfig.
Und dann funktioniert das wie es soll und musst nicht rumbasteln.
Das geht schneller als die Übergangslösung von dir und dann ist das Thema sauber vom Tisch und muss später nicht noch mal ran.
Zudem sparst du dir die Zeit dann bei der Verwaltung sehr schnell wieder rein.
Ebenfalls sorry,
a) wenn man das schon mal gemacht hat
b) wenn das Zeitfenster da ist (Produktivsystem)
Beides trifft derzeit nicht zu.
Meine Ausgangsfrage zielte ja auf eine schnelle Zwischenlösung (Datei, Verzeichnis, Schlüssel schreibschützen). Das wäre, wenn möglich, eine Kleinigkeit.
Dass das mittelfristig mit dem Radius die sinnvollere Lösung ist, ist mir klar, deswegen schrieb ich ja "noch nicht".
Ist ja auch auf der Agenda. Geht aber gerade nicht.
a) wenn man das schon mal gemacht hat
b) wenn das Zeitfenster da ist (Produktivsystem)
Beides trifft derzeit nicht zu.
Meine Ausgangsfrage zielte ja auf eine schnelle Zwischenlösung (Datei, Verzeichnis, Schlüssel schreibschützen). Das wäre, wenn möglich, eine Kleinigkeit.
Dass das mittelfristig mit dem Radius die sinnvollere Lösung ist, ist mir klar, deswegen schrieb ich ja "noch nicht".
Ist ja auch auf der Agenda. Geht aber gerade nicht.
Hallo
selbst im Produktiv System kannst du ein Radius installieren und einrichten, nimm einfach den NPS Server von Microsoft, dann musst lediglich den Radius "Client" also dein VPN Gateway und zwei popelige Regeln erstellen, dazu 1 AD Gruppe, dort alle User rein und fertig, das ist zeitlicher Aufwand von unter einer Stunde und das kann man im Produktiv-System ohne Probleme einrichten.
Unsere L2TP/IPSec Verbindungseinrichtung war in unter 30 Minuten voll lauffähig (allerdings mit PSK nicht mit Zertifikaten) - wenn du das mit Zertifikaten machst, kannst die gesamte Config via GPO ausrollen und musst keinen Client anfassen...das mit dem fehlenden Zeitfenster ist eher vorweg geschoben, bis du deine "Behelfslösung" implementiert hast die Benutzer eingewiesen wurden ... hast den Radius schon längst fertig und der User muss nur noch auf "Verbinden" klicken.
Behelfslösungen sind sicher für "mal eben" toll, aber ich sprech aus eigener Erfahrung das eine spätere Anpassung bedeutend mehr Aufwand ist wie alles andere ...
Gruß
@clSchak
selbst im Produktiv System kannst du ein Radius installieren und einrichten, nimm einfach den NPS Server von Microsoft, dann musst lediglich den Radius "Client" also dein VPN Gateway und zwei popelige Regeln erstellen, dazu 1 AD Gruppe, dort alle User rein und fertig, das ist zeitlicher Aufwand von unter einer Stunde und das kann man im Produktiv-System ohne Probleme einrichten.
Unsere L2TP/IPSec Verbindungseinrichtung war in unter 30 Minuten voll lauffähig (allerdings mit PSK nicht mit Zertifikaten) - wenn du das mit Zertifikaten machst, kannst die gesamte Config via GPO ausrollen und musst keinen Client anfassen...das mit dem fehlenden Zeitfenster ist eher vorweg geschoben, bis du deine "Behelfslösung" implementiert hast die Benutzer eingewiesen wurden ... hast den Radius schon längst fertig und der User muss nur noch auf "Verbinden" klicken.
Behelfslösungen sind sicher für "mal eben" toll, aber ich sprech aus eigener Erfahrung das eine spätere Anpassung bedeutend mehr Aufwand ist wie alles andere ...
Gruß
@clSchak
Mit 30 min wars lange nix, aber es läuft mittlerweile.
Allerdings scherte sich der NPS leider zunächst nicht um die erstellte Gruppenregel, ich musste erst mal bei den zugelassenen Benutzern einzeln erlauben.
Im NPS habe ich die Zugriffsrichtlinie für eine neuerstellte Benutzergruppe zugewiesen. In die Gruppe habe ich die gewünschten Nutzer aufgenommen.
Dennoch wurde denen dann der Zugriff verweigert: "Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein."
Knackpunkt war dann der NAS-Porttyp, der automatisch mit in die Richtlinie eingetragen war. Das harmonierte offenbar nicht mit unseren VPN-Routern.
Gruß
Kai
Allerdings scherte sich der NPS leider zunächst nicht um die erstellte Gruppenregel, ich musste erst mal bei den zugelassenen Benutzern einzeln erlauben.
Im NPS habe ich die Zugriffsrichtlinie für eine neuerstellte Benutzergruppe zugewiesen. In die Gruppe habe ich die gewünschten Nutzer aufgenommen.
Dennoch wurde denen dann der Zugriff verweigert: "Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein."
Knackpunkt war dann der NAS-Porttyp, der automatisch mit in die Richtlinie eingetragen war. Das harmonierte offenbar nicht mit unseren VPN-Routern.
Gruß
Kai
