Domänenprofil lokale Anmeldung VPN

[ronker]

Wir nutzen in der Firma Notebooks mit Windows 10 die über Domänen verwaltet werden.
Vor Ort über LAN hat man ja schon während der Windows Anmeldung Kontakt zum Domänencontroller aber mobil meldet man sich zunächst offline lokal an Windows an und wählt sich dann per VPN ein.

Ich habe mich dabei schon öfters mal gefragt was passiert wenn man im falschen Moment die VPN Verbindung über LTE trennt bzw. unterbrochen wird zb. wenn Windows gerade das Profil aktualisiert. Das passwort wird bspw. auch über VPN etwa alle halbe Stunde syncronisiert. Ist das trennen völlig problemlos Stichwort defektes Profil?
Man trennt die Verbindung für Windows ja völlig unvermittelt ohne vorheriges runter fahren oder abmelden.

 

[arvan]

Als jemand der seit über 10 Jahren so arbeitet (Zugang über LTE / VPN). Da passiert nichts. Das wird im Intervall halt nachgeholt. Windows läuft ja weiterhin im Benutzerkonto lokal ab.
Bei Passwortänderungen kann es natürlich sein, dass das Device noch das alte Kennwort hat, wenn es von dem neuen noch nichts weiß (offline ist).

 

[holdes]

Es gibt auch VPN Clients, welche eine Anmeldung im VPN bereits in der Anmeldemaske von Windows anbieten (z.B. der NCP Client für IPSec). Da würde der Rechner also sein PW schon beim einloggen am Domain Controller verifizieren lassen um sein Anmeldetoken zu bekommen. Das Problem mit dem lokalen Passwortcache hätte man in diesem Fall nicht.

Das ein Profil wegen einer Trennung defekt geht ist mir bisher nie untergekommen, ich wüsste auch gar nicht wieso. Letztlich hat dein Domänenuser eine SID mit der er sich beim Domaincontroller meldet und anfragt ob er für seine eingegebenen Daten ein Anmeldeticket bekommt. Das macht er in regelmäßigen Abständen immer mal wieder, da dieses Autorisierungsticket irgendwann abläuft und erneuert werden muss. Wenn deine Verbindung in so einem Moment mal abstirbt, wirst du entweder Zugriffsfehler bekommen oder er fragt dann nach einer erneuten Anmeldung/Passworteingabe. Das hat dann aber keine Auswirkungen auf dein lokales Profil, sondern lediglich auf Zugriffsrechte innerhalb der Domäne/Server/Freigaben usw..

 

[wirelessy]

Es gab ne Zeit, da sind DPAPI Keys nicht korrekt rotiert worden bei solchen Passwortwechseln.
SMIME private Keyser waren dann zB nicht mehr zugreifbar.
Ist aber 10 Jahre her.

 

[qiller]

Stichwort defektes Profil?

Also wenn wir von einem roaming Profile sprechen, kann ich davon ein Lied singen. Das ist ne wirklich blöde Idee, vor allem was das Abmelden angeht (wie soll das Profil auch zurückkopiert werden, wenn die VPN-Verbindung schon wieder abgebaut wurde?). Auch schon aus Performancegründen. Aber das jetzt schon locker 10 Jahre her, wo ich damit zu kämpfen hatte. Ka, ob sich da noch was getan hatte. Mittlerweile wird nur noch mit lokalem Profil, Netzlaufwerken und Ordnerumleitungen gearbeitet.

 

[Fard Dwalling]

Naja, ich hoffe mal, das ihr keine Roaming Profile einsetzt. DAS wäre dann ein Problem, wobei die nur bei an- und Abmeldung synchronisiert würden, nicht zyklisch.
Wir sagen unseren Usern nur, daß sie im Falle einer Passwortänderung am besten erst den VPN aufbauen und dann die Änderung vornehmen sollen.

 

[ronker]

Vielen Dank für Eure Antworten! Also scheint das Trennen der Verbindung grundsätzlich keine Problem zu sein für das lokale Profil bzw. die Synchronisation kann damit umgehen ohne etwas kaputt zu machen durch unvollständige Aktualisierung.

Woran erkenne ich denn ob Roaming oder lokale Profile verwendet werden?
Hier es so dass man sich einmal im LAN anmelden muss dann wird das Profil lokal auf das Notebook kopiert und ab da an kann man sich auch mobil
offline lokal anmelden und baut dann eine VPN Verbindung auf und irgendwann wieder ab.

Was dabei in seltenen Fällen schon vorgekommen ist dass durch ein Windows Update scheinbar das Profil kaputt gegangen ist und dann kann man sich nicht mehr offline anmelden. Meist hat es dann gereicht sich einmal im LAN anzumelden. Scheinbar schafft es Windows dann das Profil wieder zu reparieren bzw mit dem vom Server zu ersetzen.

 

[qiller]

Woran erkenne ich denn ob Roaming oder lokale Profile verwendet werden?

Wenn das ein roaming profile ist, steht da auf nem deutschen Client "servergespeichert".

Hier es so dass man sich einmal im LAN anmelden muss dann wird das Profil lokal auf das Notebook kopiert

Klingt schon irgendwie nach roaming Profile, aber theoretisch ginge das auch per Script.