hej allihopa,
jag jobbar för ett företag där många personer arbetar hemifrån med sina företagslaptops (Windows).
Ibland glömmer folk sina lösenord och kan då inte logga in på datorn. Den enda lösningen är att skicka datorn till företaget, koppla den till företagets nätverk och nollställa användarens lösenord. Att nollställa lösenordet medan datorn är hemma fungerar inte eftersom den inte kan nå aktiv directory-servern då.
hur hanterar ni dessa problem?
vi tänkte på att lägga till ett lokalt konto på varje maskin, men att visa lösenordet för användaren skulle leda till att användarna bara använder detta konto för dagligt arbete.
Tillåt VPN-anslutning före inloggning och då kan laptopen “prata” med AD-servern
Företaget jag jobbar för använder Windows Direct Access som standard på alla maskiner
Vi brukade använda Cisco AnyConnect. Sedan bytte vi till GlobalProtect för VPN. Båda tillät anställda att koppla upp sig till VPN före inloggning.
Jag vet inte hur man kan ändra lösenord över VPN, men jag antar att det finns Azure AD VPN:er som kan göra det.
Om du kan ställa in lösenordet för dem utan att göra en reset vid inloggning, och VPN är konfigurerad för att använda AD-autentisering, kan de vanligtvis använda nätverksinloggningsalternativet på inloggningsskärmen.
Det visas bredvid wifi- och strömknapparna, ser ut som två skärmar staplade på varandra. Det loggar in dem på deras VPN och laddar alla omdirigerade mappar och mappade enheter innan inloggning.
Jag vet inte om alla brandväggar kan göra detta, vi använder Meraki och jag är inte huvudnätskonsulten, mer fokuserad på systemadministration/helpdesk.
Det kanske går att låta dem använda RDP för att återställa sina lösenord efteråt. Du kan göra detta genom att ansluta till deras fjärrsession på TS och låsa skärmen, jag tror att den visas som låsskärmen istället för att logga ut dem, men jag kanske tänker på think clients.
Edit: Åh, jag kom just på något annat. Du kanske kan logga in på deras dator på distans som administratör (eller med andra cache- eller lokala credentials), koppla till VPN, växla användare (förbli ansluten till VPN och logga inte ut, bara växla) och låta dem logga in. Det kan också be dem om ett lösenordsbyte eftersom din inloggning fortfarande har kontakten.
Jag har anslutit många datorer till en domän med denna metod.
Det här händer också ofta på mitt företag. Vi använder en applikation som heter Go ToAssist för fjärrsupport. Den är installerad på varje dator. Det gör att jag kan ansluta till vilken dator som helst i organisationen på distans.
Först ansluter jag och loggar in med mina uppgifter på användarens dator. Sedan kopplar jag till vårt VPN.
Sedan klickar jag på växla användare och låter den andra försöka logga in med sitt konto. Vanligtvis kommer det att uppmana dem att ändra sitt lösenord när de försöker logga in.
Ett annat alternativ är att gå in i AD och välja “användaren måste byta lösenord vid nästa inloggning”.
hur kan jag tillåta VPN-anslutning före inloggning? Nödvändigtvis måste jag logga in först för att starta OpenVPN, eller?
Ja, antagligen. Men om ditt företag stöder de vanliga VPN-standarderna som är inbyggda i Windows, kan du ansluta dem på inloggningsskärmen.
Jag använder FortiClient och det är bara en inställning i VPN:en, ledsen… vet inget om OpenVPN.
Det finns också vissa VPN-program som tillåter anslutning före inloggning.