Notebookuser / Domänenanmeldung / Roadwarrior

[clipso]

Hallo liebe Gemeinde,

heute habe ich eine Frage zum Thema Notebookuser und Windowsdomänen Anmeldung.

Gegeben ist Folgendes:

- Windows 2008 R2 Domäne

- Windwos XP und Windows 7 Notebooks

- Passwortrichtlinie: Kennwörter laufen nie ab (nicht meine Idee)

Prinzipiell funktioniert es ja ohne Probleme das ein Notebookuser sich ohne Domäne an seinem Rechner Unterwegs anmelden kann. Das Verdanken wir den "lokal gecachten" Anmeldedaten der Domäne auf den Geräten wenn ich das richtig verstanden habe.

Jetzt habe ich die Herausforderung dass einige Kollegen längere Zeit (3-6 Monate ggf. länger) ins Ausland Reisen und von dort aus keine Verbindung in unser LAN per VPN erhalten sollen (Geschäftsleitung möchte das nicht). Die Rechner arbeiten quasi als Inseln für längere Zeit.

Wie lange geht das maximal gut? Ich habe einen Zeitraum von 90 Tagen oder 25 Anmeldungen im Kopf die sich ein Roadwarrior ohne Domänenkontakt an seinem Gerät Anmelden kann.

Google liefert mir nichts genaues zu meiner Frage.

Meine Frage:

Kann man diesen Zeitraum gezielt setzen oder gar Verlängern? Wie handhabt ihr das ggf. bei euch in der Firma?

Für ein paar Erfahrungswerte, Ansätze oder gar Lösungen bin ich euch jetzt schonmal dankbar.

Gruß

clipso

[SilentDemise]

Das Problem ist die Lifetime von AD Objekten, die per default auf 90 Tage gestellt ist. Man könnte nun auf dem Domänencontroller diese Zeit auf 180 Tage erhöhen(bin jetzt gerade nicht sicher ob auch mehr geht). Danach altern die Computerkonten aus dem AD heraus und die PCs dürfen händisch angefasst und wieder in die Domäne eingefügt werden (nicht gut). Dies bringt aber auch verschiedene Nachteile mit sich.

Bei so langen Abwesenheiten sollte dann überlegt werden, ob man die PCs überhaupt in die Domäne aufnimmt, sie altern ja sowieso wieder heraus. Was spricht denn gegen ein VPN? Das ist doch eine erprobte und sichere Möglichkeit der Anbindung an das Netzwerk? Vor allem hat ein Rechner, der so lange nicht in der Domäne war auch keine Änderungen der Group Policies mitbekommen. Wie ist es mit Windows Updates? Wird das gewährleistet? Wenn Programme benötigt werden, kann dort Administrativ nicht unterstützt werden. Was ist bei Softwareproblemen auf den Geräten? Wie funktioniert der Support?

Entschuldigung, aber da versagt euer CIO an der Stelle. Da muss der GF klar gemacht werden, was für Probleme dieses Verhalten mit sich bringt.

[clipso]

Das Problem ist die Lifetime von AD Objekten, die per default auf 90 Tage gestellt ist. Man könnte nun auf dem Domänencontroller diese Zeit auf 180 Tage erhöhen(bin jetzt gerade nicht sicher ob auch mehr geht).

Ja genau, sowas hatte ich auch im hinterkopf...

Die Sache mit dem VPN ist so gesetzt, das hab ich nicht zu entscheiden.

All diese Argumente habe ich schon angebracht.

Das Thema Industriespionage wird mir jedes mal aufs neue als Schlagendes Argument entgegen geworfen.

Ich denke mir meinen Teil das es vermutlich unsicherer ist Ungepatchte Software zu verwenden als einen VPN-Tunnel zu verwenden...

Weitere Erfahrungswerte oder ideen?

Gruß

clipso

[SilentDemise]

und warum entkräftest du das argument dann nicht? Industriespionage ist kein Argument, im Gegenteil. Mit VPN müssen die kritischen Dateien nicht lokal auf der unverschlüsselten Festplatte liegen. Die Festplatte im Notebook ist ein wesentlich größeres Risiko für Spionage und vor allem Diebstahl. Wenn deine Geschäftsführung so tickt, müssen sie eben damit Leben das es nicht funktioniert. Punkt aus. Es gibt schlichtweg keine andere Lösung.