• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick

Login-Probleme von AD-Usern wenn FileVault aktiviert ist

chosen1

chosen1

Erdapfel
Registriert
07.07.22
Beiträge
3
Hallo zusammen,

ich habe ein Problem mit unseren Active Directory Usern, bzw. deren Login am Rechner wenn FileVault aktiviert ist.

Ausgangslage:
Auf den MacBooks (mit neuestem Monterey-Update) ist ein lokaler Admin eingerichtet und jeweils ein mobiler User der aus dem ActiveDirectory kommt. Nach einem Neustart nimmt der Rechner das Passwort des mobilen Users nicht an und erst, wenn sich der lokale Admin einmal angemeldet hat und sich dann wieder abmeldet, kann sich auch der mobile User anmelden. Sobald ich FileVault deaktiviere, funktioniert auch die Anmeldung des mobilen Users direkt nach dem Neustart 🤔

Habe ich – ausser FileVault dauerhaft zu deaktivieren – eine Möglichkeit, dass der mobile User sich von Anfang an anmelden kann?

Danke für Eure Ratschläge
 
Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.540
chosen1 schrieb:
ich habe ein Problem mit unseren Active Directory Usern, bzw. deren Login am Rechner wenn FileVault aktiviert ist.

Ausgangslage:
Auf den MacBooks (mit neuestem Monterey-Update) ist ein lokaler Admin eingerichtet und jeweils ein mobiler User der aus dem ActiveDirectory kommt. Nach einem Neustart nimmt der Rechner das Passwort des mobilen Users nicht an und erst, wenn sich der lokale Admin einmal angemeldet hat und sich dann wieder abmeldet, kann sich auch der mobile User anmelden. Sobald ich FileVault deaktiviere, funktioniert auch die Anmeldung des mobilen Users direkt nach dem Neustart 🤔
Zum Vergrößern anklicken....
das ist normal und muss so sein. FileVault ist Minisystem mit vorgeschalteter Abfrage nach einem Benutzer, der lokal authorisiert ist, das Dateisystem zu entschlüsseln. Diese Credentials werden durchgereicht an das macOS-System.

chosen1 schrieb:
Habe ich – ausser FileVault dauerhaft zu deaktivieren – eine Möglichkeit, dass der mobile User sich von Anfang an anmelden kann?
Zum Vergrößern anklicken....
früher war es so, dass man den Netzwerkbenutzer anmelden kann und diesem (bzw. dieser lokalen Kopie) mittels Kommandzozeile das Recht geben kann, das Dateisystem zu entschlüsseln. Dann taucht er in der Liste der FileVault-Benutzer am Systemstart auf.

Ob das empfohlen ist? Eher nicht.
 
chosen1

chosen1

Erdapfel
Registriert
07.07.22
Beiträge
3
Danke für Deine Antwort.

Das mit der Kommandozeile habe ich jetzt gemacht. Scheint zu funktionieren.

Aber "eher nicht empfohlen" würde ja bedeuten, dass alle AD-User den Rechner erst entsperren könnten, wenn der Admin sich vorher angemeldet hat 🤔 oder schaltet eben FileVault komplett ab. Da scheint es mir das kleinere Übel, wenn ich einem verifizierten User auch die Möglichkeit gebe, sich über die FileVault-Anmeldung anzumelden, als FileVault generell zu deaktivieren.
 
Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.540
chosen1 schrieb:
Da scheint es mir das kleinere Übel, wenn ich einem verifizierten User auch die Möglichkeit gebe, sich über die FileVault-Anmeldung anzumelden, als FileVault generell zu deaktivieren.
Zum Vergrößern anklicken....

über was für einen Mac redest Du? Ab der Einführung des T2 ist das Dateisystem ohnehin verschlüsselt und das Aktivieren von FileVault schaltet lediglich das Anmelde-Minisystem beim Systemstart davor. Eigentlich nur eine Bootsperre.
Soll heißen, seit 2018 kann man ein verschlüsseltes System haben und sich dennoch im Netzwerk anmelden, ohne die Verrenkungen zu machen, die ich beschrieb.
 
chosen1

chosen1

Erdapfel
Registriert
07.07.22
Beiträge
3
OK, dass wusste ich nicht. Ich sitze hier an ganz neuen M1Max MacBook Pros ... Also meinst du, ist FileVault nur eine Marginalie, die ich prinzipiell weglassen könnte? Also ja, dann keine Bootsperre, aber ansonsten bin ich sowieso verschlüsselt?
 
Marcel Bresink

Marcel Bresink

Breuhahn
Registriert
28.05.04
Beiträge
8.595
Es kommt darauf an, welchen Zweck die Verschlüsselung erfüllen soll. Solange der Rechner eingeschaltet ist, "weiß" er ja den Schlüssel und alle Daten sind auslesbar.

Eine pragmatische Lösung wäre zum Beispiel, auf jedem Rechner einen lokalen Pseudobenutzer ohne große Rechte anzulegen, dessen Kennwort jeder kennt, und gleichzeitig die Funktion einzuschalten, die Anmeldung bei FileVault von der Anmeldung bei macOS zu trennen. Dann kann jeder den Rechner starten und die Daten wären bei einem Diebstahl des Computers geschützt.
 
  • Like
Reaktionen: doc_holleday und Wuchtbrumme
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten