19
Eingeschränkte und sichere PCs in einem Kleinunternehmen einrichten
Hallo,
ich bin in einem Praktikum und muss in 2 Wochen ein Referat halten über die Einrichtung, Verwaltung und Administration von PCs in einem Kleinunternehmen.
Nun folgende Frage: Was genau wird benötigt um die PCs in dem Kleinunternehmen vernünftig zu konfigurieren? Die Einschränkung der Mitarbeiter mit Netzwerkzugriff und sonstiges Ausführen am PC soll mit berücksichtigt werden.
Meine Idee:
- Administrator und Verwaltung der PCs im Rahmen des Kleinunternehmens: Ich
- 20 PCs mit der selben Hard- und Softwarekonfiguration
- Auf allen PCs sollen die selben Einschränkungen erfolgen
- Windows XP Professional Grundinstallation inkl. Treiber, Microsoft Office 2003, evtl. zus. Software die zum Unternehmen gehört
- Windows klassisches Design mit klassischem Login-Dialog
- Getrennte Benutzerkonten: Administrator: "svc_admin", eingeschränkte Benutzer: "Mitarbeiter 1, 2, 3, usw." (Benutzer müssen sich vorher in einer Nachweisliste eintragen)
- Administratoren sollen uneingeschränkten Zugriff haben, um Verwaltungsvorhaben vorzunehmen, Remotezugriff von einem beliebigen PC aus
- Installieren zusätzlicher Software der 20 PCs über Remotesteuerung (Installation zentral vom Server aus)
- Eingeschränkte Benutzer müssen Programme zb. Microsoft Word, Excel, Project, usw. ausführen können und über Internetzugang mit Microsoft Outlook zugreifen können.
- müssen auf einem entsprechenden eingerichteten PC zugang über Netzwerk auf ihre Daten zugreifen können (Server)
- Allgemeine Einschränkungen: verweigern von Hintergrundbild, Uhrzeitänderung, usw., Anlegen von Ordnern und Dateien (nur zulässig im Ordner des Mitarbeiters auf dem Server)
- dürfen keine Dateien aus dem Internet herunterladen, kein Zugriff auf CD/DVD-Laufwerke, USB-Sticks, usw., keine Programme ausführen oder starten, die nicht erlaubt sind (mspaint.exe, wmplayer.exe, usw.)
- beschränkter Zugang zum Internet: youtube, ebay, usw.
- Im Anschluss der ganzen Konfiguration sollte ein Backup mit Acronis True Image über das Netzwerk zum Server erfolgen und im Extremfall auf einem X-beliebigen PC wiederhergestellt werden (da jeder PC der selbe ist?) Kenntnisse von Backup und Restore mit True Image habe ich (auch Netzwerkunterstützung von der True Image Rescue-CD)
Habt ihr noch weitere Ideen/ Vorschläge oder Anregungen?
Da ich vereinzelt über Kenntnisse der Funktionen verfüge, brauche ich nur eine sichere Vorgehensweise was und wo ich einrichten soll.
Mit freundlichen Grüßen
Tim
ich bin in einem Praktikum und muss in 2 Wochen ein Referat halten über die Einrichtung, Verwaltung und Administration von PCs in einem Kleinunternehmen.
Nun folgende Frage: Was genau wird benötigt um die PCs in dem Kleinunternehmen vernünftig zu konfigurieren? Die Einschränkung der Mitarbeiter mit Netzwerkzugriff und sonstiges Ausführen am PC soll mit berücksichtigt werden.
Meine Idee:
- Administrator und Verwaltung der PCs im Rahmen des Kleinunternehmens: Ich
- 20 PCs mit der selben Hard- und Softwarekonfiguration
- Auf allen PCs sollen die selben Einschränkungen erfolgen
- Windows XP Professional Grundinstallation inkl. Treiber, Microsoft Office 2003, evtl. zus. Software die zum Unternehmen gehört
- Windows klassisches Design mit klassischem Login-Dialog
- Getrennte Benutzerkonten: Administrator: "svc_admin", eingeschränkte Benutzer: "Mitarbeiter 1, 2, 3, usw." (Benutzer müssen sich vorher in einer Nachweisliste eintragen)
- Administratoren sollen uneingeschränkten Zugriff haben, um Verwaltungsvorhaben vorzunehmen, Remotezugriff von einem beliebigen PC aus
- Installieren zusätzlicher Software der 20 PCs über Remotesteuerung (Installation zentral vom Server aus)
- Eingeschränkte Benutzer müssen Programme zb. Microsoft Word, Excel, Project, usw. ausführen können und über Internetzugang mit Microsoft Outlook zugreifen können.
- müssen auf einem entsprechenden eingerichteten PC zugang über Netzwerk auf ihre Daten zugreifen können (Server)
- Allgemeine Einschränkungen: verweigern von Hintergrundbild, Uhrzeitänderung, usw., Anlegen von Ordnern und Dateien (nur zulässig im Ordner des Mitarbeiters auf dem Server)
- dürfen keine Dateien aus dem Internet herunterladen, kein Zugriff auf CD/DVD-Laufwerke, USB-Sticks, usw., keine Programme ausführen oder starten, die nicht erlaubt sind (mspaint.exe, wmplayer.exe, usw.)
- beschränkter Zugang zum Internet: youtube, ebay, usw.
- Im Anschluss der ganzen Konfiguration sollte ein Backup mit Acronis True Image über das Netzwerk zum Server erfolgen und im Extremfall auf einem X-beliebigen PC wiederhergestellt werden (da jeder PC der selbe ist?) Kenntnisse von Backup und Restore mit True Image habe ich (auch Netzwerkunterstützung von der True Image Rescue-CD)
Habt ihr noch weitere Ideen/ Vorschläge oder Anregungen?
Da ich vereinzelt über Kenntnisse der Funktionen verfüge, brauche ich nur eine sichere Vorgehensweise was und wo ich einrichten soll.
Mit freundlichen Grüßen
Tim
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 134481
Url: https://administrator.de/contentid/134481
Printed on: April 18, 2024 at 07:04 o'clock
19 Comments
Latest comment
Hi Tim.
Bevor man jetzt anhand Deiner "Maske" Lücken füllt und weitere Vorschläge macht, brauchen wir Infos darüber, was geschützt wird (Art der Daten, Wert der Daten, wo liegen die Daten, wer kommt wo ran) und gegen wen (mögliche Angreifer, mögliche Angriffswege). Vorher sind solche Überlegungen zwar gut gemeint, aber ohne Ziel kein Weg.
Bevor man jetzt anhand Deiner "Maske" Lücken füllt und weitere Vorschläge macht, brauchen wir Infos darüber, was geschützt wird (Art der Daten, Wert der Daten, wo liegen die Daten, wer kommt wo ran) und gegen wen (mögliche Angreifer, mögliche Angriffswege). Vorher sind solche Überlegungen zwar gut gemeint, aber ohne Ziel kein Weg.
Hi,
sieht ja mal ganz gut aus dein Vorhaben.
Ich würde das ganze mit einem Domaincontroller (Server2003/2008) realisieren, dafür natürliche alle 20
Clients in die Domäne nehmen. Die Benutzeraccounts legst du auf dem DC an und passt eventl. noch an
ob du Servergespeicherte Profile oder nur Lokale Benutzerprofile haben möchtest.
Was die Einschränkungen angeht auf den Clients: Du kannst für die Benutzer die Konten unter XP so einstellen
das diese User nur Beschränkte Zugriffsrechte besitzen. Darunter fällt u.a. das sie keine bis wenig Software
installieren können da ihnen die Adminrechte fehlen (bis auf wenige Ausnahmen wo die Software dies umgehen kann).
Außerdem kannst du via Tools von Microsoft oder Drittanbietern Elemente in der Systemsteuerung ausblenden, sowie
Laufwerksbuchstaben. Indirekt kannst du somit auch verhindern das jemand einen USB Stick etc. verwendet, denn selbst
wenn er ihn anschließt und Windows ihm einen Laufwerksbuchstaben zuweißt hast du selbrigen ja ausgeblendet.
Mit NTFS Rechten kannst du die Festplatte komplett nach deinen Zugriffswünschen einstellenn und den Usern nur Zugriff
auf die Ordner geben von denen du willst das sie dort lesen/schreiben können.
Mit Netzwerkfreigaben und eben den damit verbundenen Lese/Schreibrechten kannst du auch den Zugriff auf Netzwerkressourcen
begrenzen oder erweitern.
Was das einstellen von Hintergrundbildern, Uhrzeit etc. angeht kannst du das auch mit diversen Tools unterbinden mit denen du die
Systemsteuerungselemente auch ausblendest. Eine andere Möglichkeit bieten hier sicher die GPOs (Gruppenrichtlinien) des DCs
die bei der Anmeldung bereits durchgesetzt werden. Auch hier gibt es eine Fülle an Einstellungen die man vornehmen kann um
so ziemlich alles einzustellen was Benutzer im allgemeinen dürfen und was nicht, ungeachtet von lokalen Adminrechten.
z.B. kannst du per GPO einstellen wie Windows Updates behandelt werden auf den Rechnern, selbst für Admins ist dann der entsprechende
Reiter im System ausgegraut, das man die Einstellungen nicht ohne weiteres ändern kann.
Den Internet Zugriff auf diverse Seiten zu beschränken wäre da schon eher etwas größeres, dafür könntest du den DC ebenfalls hernehmen
indem du ihn als Gateway benutzt über den jeder der Clients seinen Internetzugriff erhällt. Wie du den Server allerdings als Proxy einstellst und
Filter setzt kann ich dir leider nicht beantworten, damit habe ich mich noch nicht beschäftigt. Eventl. brauchst du aber noch eine Zusatzsoftware
zum filtern der gewünschten Seiten oder du stellst das ganze gleich in einer vor dem DC befindlichen Firewall ein, da gibts viele die zusätzliche
Optionen anbieten um diverse Dienste wie eMule, ICQ etc. zu unterbinden incl. Webfilter.
Was das Backup angeht, ich kenne zwar Acronis und benutze es selbst, allerdings nur immer als Boot CD zum Image erstellen bzw. zurückspielen.
Ob es da eine Netzwerk Lösung für Backups gibt, kann ich dir gerade leider nicht sagen da ich keine aktuelle Version von Acronis vorliegen habe.
Ich meine aber gesehen zu haben das man Acronis auch auf dem Rechner installieren kann, welche Funktionen diese Installation dann aber mit
sich bringt kann ich dir ebenfalls leider nicht beantworten.
Mehr fällt mir gerade nicht ein was ich dir noch mitgeben könnte aber eine Frage habe ich da:
Willst du das Projekt auch umsetzen oder geht des hier nur um den theoretischen Teil der Machbarkeit, da ich etwas von Referat gelesen habe...?
Mfg.
sieht ja mal ganz gut aus dein Vorhaben.
Ich würde das ganze mit einem Domaincontroller (Server2003/2008) realisieren, dafür natürliche alle 20
Clients in die Domäne nehmen. Die Benutzeraccounts legst du auf dem DC an und passt eventl. noch an
ob du Servergespeicherte Profile oder nur Lokale Benutzerprofile haben möchtest.
Was die Einschränkungen angeht auf den Clients: Du kannst für die Benutzer die Konten unter XP so einstellen
das diese User nur Beschränkte Zugriffsrechte besitzen. Darunter fällt u.a. das sie keine bis wenig Software
installieren können da ihnen die Adminrechte fehlen (bis auf wenige Ausnahmen wo die Software dies umgehen kann).
Außerdem kannst du via Tools von Microsoft oder Drittanbietern Elemente in der Systemsteuerung ausblenden, sowie
Laufwerksbuchstaben. Indirekt kannst du somit auch verhindern das jemand einen USB Stick etc. verwendet, denn selbst
wenn er ihn anschließt und Windows ihm einen Laufwerksbuchstaben zuweißt hast du selbrigen ja ausgeblendet.
Mit NTFS Rechten kannst du die Festplatte komplett nach deinen Zugriffswünschen einstellenn und den Usern nur Zugriff
auf die Ordner geben von denen du willst das sie dort lesen/schreiben können.
Mit Netzwerkfreigaben und eben den damit verbundenen Lese/Schreibrechten kannst du auch den Zugriff auf Netzwerkressourcen
begrenzen oder erweitern.
Was das einstellen von Hintergrundbildern, Uhrzeit etc. angeht kannst du das auch mit diversen Tools unterbinden mit denen du die
Systemsteuerungselemente auch ausblendest. Eine andere Möglichkeit bieten hier sicher die GPOs (Gruppenrichtlinien) des DCs
die bei der Anmeldung bereits durchgesetzt werden. Auch hier gibt es eine Fülle an Einstellungen die man vornehmen kann um
so ziemlich alles einzustellen was Benutzer im allgemeinen dürfen und was nicht, ungeachtet von lokalen Adminrechten.
z.B. kannst du per GPO einstellen wie Windows Updates behandelt werden auf den Rechnern, selbst für Admins ist dann der entsprechende
Reiter im System ausgegraut, das man die Einstellungen nicht ohne weiteres ändern kann.
Den Internet Zugriff auf diverse Seiten zu beschränken wäre da schon eher etwas größeres, dafür könntest du den DC ebenfalls hernehmen
indem du ihn als Gateway benutzt über den jeder der Clients seinen Internetzugriff erhällt. Wie du den Server allerdings als Proxy einstellst und
Filter setzt kann ich dir leider nicht beantworten, damit habe ich mich noch nicht beschäftigt. Eventl. brauchst du aber noch eine Zusatzsoftware
zum filtern der gewünschten Seiten oder du stellst das ganze gleich in einer vor dem DC befindlichen Firewall ein, da gibts viele die zusätzliche
Optionen anbieten um diverse Dienste wie eMule, ICQ etc. zu unterbinden incl. Webfilter.
Was das Backup angeht, ich kenne zwar Acronis und benutze es selbst, allerdings nur immer als Boot CD zum Image erstellen bzw. zurückspielen.
Ob es da eine Netzwerk Lösung für Backups gibt, kann ich dir gerade leider nicht sagen da ich keine aktuelle Version von Acronis vorliegen habe.
Ich meine aber gesehen zu haben das man Acronis auch auf dem Rechner installieren kann, welche Funktionen diese Installation dann aber mit
sich bringt kann ich dir ebenfalls leider nicht beantworten.
Mehr fällt mir gerade nicht ein was ich dir noch mitgeben könnte aber eine Frage habe ich da:
Willst du das Projekt auch umsetzen oder geht des hier nur um den theoretischen Teil der Machbarkeit, da ich etwas von Referat gelesen habe...?
Mfg.
Zitat von @DerWoWusste:
Hi Tim.
Bevor man jetzt anhand Deiner "Maske" Lücken füllt und weitere Vorschläge macht, brauchen wir Infos
darüber, was geschützt wird (Art der Daten, Wert der Daten, wo liegen die Daten, wer kommt wo ran) und gegen wen
(mögliche Angreifer, mögliche Angriffswege). Vorher sind solche Überlegungen zwar gut gemeint, aber ohne Ziel kein
Weg.
Hi Tim.
Bevor man jetzt anhand Deiner "Maske" Lücken füllt und weitere Vorschläge macht, brauchen wir Infos
darüber, was geschützt wird (Art der Daten, Wert der Daten, wo liegen die Daten, wer kommt wo ran) und gegen wen
(mögliche Angreifer, mögliche Angriffswege). Vorher sind solche Überlegungen zwar gut gemeint, aber ohne Ziel kein
Weg.
Also es soll damit unterbunden werden, dass die PCs verändert werden. Keine Zusatzsoftware installieren dürfen. Naja, der Wert der Dateien kann ich nicht sagen aber ich denke mal allgemein Firmendateien. Dokumente in Word geschrieben sind oder halt Tabellenkalkulation mit Excel, usw. Abrechnungskosten, Kundeninformationen und sowas. Die Daten sollen alle auf dem "Server" liegen. Die Mitarbeiter sollen demnach all ihre erstellten und bearbeiteten Dateien auf dem Server ablegen können. Lokal soll es nicht sein. Angriffsversuche sind mir nicht bekannt, bzw. können wir später noch weiter diskutieren. ;)
@ Phalanx82
Mit Windows Server habe ich aktiv noch nix produktives gemacht. Nur rumexperimentiert mit Windows 2000 Server.
Ich habe mal was von Active Directory gehört und ist auch sehr interessant aber bestimmt nicht passend zu meinem Thema.
Von einer Domäne habe ich auch schonmal was gehört. Ist das nicht dieses Prinzip, wo sich der Mitarbeiter auf dem Server einloggt und es auf dem Lokalen PC so aussieht als ob er es lokal sehen würde?
Mit freundlichen Grüßen
Tim
EDIT: Aso, ja! Wenn ich das Referat durch habe müsste ich es auch umsetzen können (5 Clients reichen aus). Es ist eigendlich egal wie. Ich möchte stets gute Arbeitsergenisse erzielen.
Mit Windows Server habe ich aktiv noch nix produktives gemacht. Nur rumexperimentiert mit Windows 2000 Server.
Ich habe mal was von Active Directory gehört und ist auch sehr interessant aber bestimmt nicht passend zu meinem Thema.
Von einer Domäne habe ich auch schonmal was gehört. Ist das nicht dieses Prinzip, wo sich der Mitarbeiter auf dem Server einloggt und es auf dem Lokalen PC so aussieht als ob er es lokal sehen würde?
Mit freundlichen Grüßen
Tim
EDIT: Aso, ja! Wenn ich das Referat durch habe müsste ich es auch umsetzen können (5 Clients reichen aus). Es ist eigendlich egal wie. Ich möchte stets gute Arbeitsergenisse erzielen.
Hallo,
nein das ist es nicht! Was du meinst sind Terminal Server.
Ab einem Netzwerk über 15 PCs ist meiner Meinung nach AD mit GPOs Pflicht - sonst lernst du schnell den Begriff Turnschuhadmin kennnen. Wenn nach einem Monat der Chef meint alle Clients sollen einen anderen desktop hintergrund haben, was ist dann? Dann muss du zu jedem PC rennen und den Hintergrund wechseln. Und wie willst du das denn machen, wenn es gesperrt ist. Nur ein Beispiel von unzähligen.
Wenn du ernsthaft im Bereich der Windows Netzwerkadministration arbeiten willst musst dich früher oder später mit dem AD beschäftigen.
Als Proxy kann ich dir SQUID empfehlen.
mfG
nein das ist es nicht! Was du meinst sind Terminal Server.
Ab einem Netzwerk über 15 PCs ist meiner Meinung nach AD mit GPOs Pflicht - sonst lernst du schnell den Begriff Turnschuhadmin kennnen. Wenn nach einem Monat der Chef meint alle Clients sollen einen anderen desktop hintergrund haben, was ist dann? Dann muss du zu jedem PC rennen und den Hintergrund wechseln. Und wie willst du das denn machen, wenn es gesperrt ist. Nur ein Beispiel von unzähligen.
Wenn du ernsthaft im Bereich der Windows Netzwerkadministration arbeiten willst musst dich früher oder später mit dem AD beschäftigen.
Als Proxy kann ich dir SQUID empfehlen.
mfG
Nein das wäre Remotedesktop was du meinst.
Edit: Oder eben Terminal Server (thx Cubic83, war zu langsam beim schreiben)
Die Domäne dient dazu PCs zusammen zu fassen zu einem definierten Bereich.
Lies hierzu mal folgenden Artikel: http://de.wikipedia.org/wiki/Domain_Controller
Mit dem Domaincontroller erzielst du wie gesagt, das du jeweils eigene Benutzerkonten auf dem DC anlegen kannst
und diesen individuell Rechte vergibst. Innerhalb einer Domain kannst du dich dann an jedem PC mit diesem Benutzer
Account anmelden, ganz so wie du das von deinem PC daheim gewohnt bist wo der Benutzeraccount lokal vorhanden ist.
Bei der Anmeldung wird der Desktop sowie deine Einstellungen und ein Teil deiner gespeicherten Daten auf den aktuellen
Rechner vom DC oder dem Server wo das Benutzerprofil hinterlegt ist, übertragen.
Nehmen wir an du hast einen DC (Domain-Controller) mit 5 angelegten Accounts + Administrator Account und 5 Client PCs
mit Windows XP. Auf allen hast du die gleichen Programme installiert, für dieses Beispiel mal Office2003/2007.
Benutzer A-D haben jeweils alle die selben Benutzerrechte und Desktop Einstellungen, Benutzer E hat noch weiter beschränkte
Rechte und darf eigendlich garnix außer eine Word Datei öffnen.
Nehmen wir weiter an du hast gerade auf allen 5 Clients Windows frisch installiert sammt Office etc. Auf dem PC existiert nur ein
Benutzeraccount "Administrator". Alle 5 Clients sind in der Domain XY eingetragen.
Das heißt jetzt für die User A-E das sie sich an jedem der 5 Clients anmelden können, überall den gleichen Desktop mit Verknüpfungen
vorfinden und alle ihre gespeicherten Daten (sofern sie diese unter dem vordefinierten Ordner "Eigene Dateien" gespeichert haben).
Dabei wird das ganze Profil vom Server (in diesem Fall liegen die Profile auf dem DC) auf den aktuellen Rechner übertragen und unter:
C:\Dokumente und Einstellungen\"aktueller User" gespeichert und Änderungen die der User macht (z.B. Dokumente anlegen) werden
beim Herunterfahren oder Abmelden wieder auf den Profilserver (hier der DC) hochgeladen.
Meldet sich nun User A an Rechner 1 an, landet sein Profil dort erstmal auf der Festplatte. User A legt eine Word Datei an und speichert
diese unter Eigene Dateien\Eigene Dokumente (Standard Einstellung unter Windows) ab. Beim Abmelden des Users wird diese Datei nun
auf den DC kopiert.
Am nächsten Tag meldet sich User A an Rechner 3 an, weil an Rechner 1 schon jemand sitzt. Nun holt sich der Rechner das gesamte Profil
wieder vom DC ab incl. seiner am Vortag angelegten Word Datei.
So kannst du dir die Sache mit Servergespeicherten Profile vorstellen. Jeder User kann sich quasi an einem beliebigen Rechner in der Domäne
anmelden und hat immer den gleichen Desktop und seine Dateien zur Verfügung (natürlich nur so lange wie er die Dateien auch innerhalb der Profil
Ordner Struktur speichert, legt er nun seine Word Datei auf C:\ ab, wird diese natürlich nicht auf den DC geladen).
Natürlich ist das ganze hier etwas vereinfacht, in der Realität kannst du sogar einstellen an welchen PCs sich welcher User anmelden darf und an
welchem PC er es nicht darf.
Ich hoffe das war nun einigermaßen verständlich für dich ;)
Mfg.
Edit: Oder eben Terminal Server (thx Cubic83, war zu langsam beim schreiben)
Die Domäne dient dazu PCs zusammen zu fassen zu einem definierten Bereich.
Lies hierzu mal folgenden Artikel: http://de.wikipedia.org/wiki/Domain_Controller
Mit dem Domaincontroller erzielst du wie gesagt, das du jeweils eigene Benutzerkonten auf dem DC anlegen kannst
und diesen individuell Rechte vergibst. Innerhalb einer Domain kannst du dich dann an jedem PC mit diesem Benutzer
Account anmelden, ganz so wie du das von deinem PC daheim gewohnt bist wo der Benutzeraccount lokal vorhanden ist.
Bei der Anmeldung wird der Desktop sowie deine Einstellungen und ein Teil deiner gespeicherten Daten auf den aktuellen
Rechner vom DC oder dem Server wo das Benutzerprofil hinterlegt ist, übertragen.
Nehmen wir an du hast einen DC (Domain-Controller) mit 5 angelegten Accounts + Administrator Account und 5 Client PCs
mit Windows XP. Auf allen hast du die gleichen Programme installiert, für dieses Beispiel mal Office2003/2007.
Benutzer A-D haben jeweils alle die selben Benutzerrechte und Desktop Einstellungen, Benutzer E hat noch weiter beschränkte
Rechte und darf eigendlich garnix außer eine Word Datei öffnen.
Nehmen wir weiter an du hast gerade auf allen 5 Clients Windows frisch installiert sammt Office etc. Auf dem PC existiert nur ein
Benutzeraccount "Administrator". Alle 5 Clients sind in der Domain XY eingetragen.
Das heißt jetzt für die User A-E das sie sich an jedem der 5 Clients anmelden können, überall den gleichen Desktop mit Verknüpfungen
vorfinden und alle ihre gespeicherten Daten (sofern sie diese unter dem vordefinierten Ordner "Eigene Dateien" gespeichert haben).
Dabei wird das ganze Profil vom Server (in diesem Fall liegen die Profile auf dem DC) auf den aktuellen Rechner übertragen und unter:
C:\Dokumente und Einstellungen\"aktueller User" gespeichert und Änderungen die der User macht (z.B. Dokumente anlegen) werden
beim Herunterfahren oder Abmelden wieder auf den Profilserver (hier der DC) hochgeladen.
Meldet sich nun User A an Rechner 1 an, landet sein Profil dort erstmal auf der Festplatte. User A legt eine Word Datei an und speichert
diese unter Eigene Dateien\Eigene Dokumente (Standard Einstellung unter Windows) ab. Beim Abmelden des Users wird diese Datei nun
auf den DC kopiert.
Am nächsten Tag meldet sich User A an Rechner 3 an, weil an Rechner 1 schon jemand sitzt. Nun holt sich der Rechner das gesamte Profil
wieder vom DC ab incl. seiner am Vortag angelegten Word Datei.
So kannst du dir die Sache mit Servergespeicherten Profile vorstellen. Jeder User kann sich quasi an einem beliebigen Rechner in der Domäne
anmelden und hat immer den gleichen Desktop und seine Dateien zur Verfügung (natürlich nur so lange wie er die Dateien auch innerhalb der Profil
Ordner Struktur speichert, legt er nun seine Word Datei auf C:\ ab, wird diese natürlich nicht auf den DC geladen).
Natürlich ist das ganze hier etwas vereinfacht, in der Realität kannst du sogar einstellen an welchen PCs sich welcher User anmelden darf und an
welchem PC er es nicht darf.
Ich hoffe das war nun einigermaßen verständlich für dich ;)
Mfg.
Hallo Tim && alle anderen,
Client-Betriebssysteme von MS lasssen maximal _10_ gleichzeitige Verbindungen zu sich selbst zu, dh. bei 20 PC die auf den "Server" wollen,
bist Du da weit drüber. Geht also schon mal nicht. Die Server-BS lassen halt soviel Zugriffe wie lizensiert (oder max möglich) zu. Bei einem Kleinunternehmen ist ein SmallBusinessServer 2003/8 die Variante der Wahl. Mit AD, Gruppenrichtlinie & Co wirst du dich wohl beschäftigen müssen.....
mfg
Client-Betriebssysteme von MS lasssen maximal _10_ gleichzeitige Verbindungen zu sich selbst zu, dh. bei 20 PC die auf den "Server" wollen,
bist Du da weit drüber. Geht also schon mal nicht. Die Server-BS lassen halt soviel Zugriffe wie lizensiert (oder max möglich) zu. Bei einem Kleinunternehmen ist ein SmallBusinessServer 2003/8 die Variante der Wahl. Mit AD, Gruppenrichtlinie & Co wirst du dich wohl beschäftigen müssen.....
mfg
Zitat von @Cubic83:
Hallo,
nein das ist es nicht! Was du meinst sind Terminal Server.
Ab einem Netzwerk über 15 PCs ist meiner Meinung nach AD mit GPOs Pflicht - sonst lernst du schnell den Begriff
Turnschuhadmin kennnen. Wenn nach einem Monat der Chef meint alle Clients sollen einen anderen desktop hintergrund haben, was ist
dann? Dann muss du zu jedem PC rennen und den Hintergrund wechseln. Und wie willst du das denn machen, wenn es gesperrt ist. Nur
ein Beispiel von unzähligen.
Wenn du ernsthaft im Bereich der Windows Netzwerkadministration arbeiten willst musst dich früher oder später mit dem AD
beschäftigen.
Als Proxy kann ich dir SQUID empfehlen.
mfG
Hallo,
nein das ist es nicht! Was du meinst sind Terminal Server.
Ab einem Netzwerk über 15 PCs ist meiner Meinung nach AD mit GPOs Pflicht - sonst lernst du schnell den Begriff
Turnschuhadmin kennnen. Wenn nach einem Monat der Chef meint alle Clients sollen einen anderen desktop hintergrund haben, was ist
dann? Dann muss du zu jedem PC rennen und den Hintergrund wechseln. Und wie willst du das denn machen, wenn es gesperrt ist. Nur
ein Beispiel von unzähligen.
Wenn du ernsthaft im Bereich der Windows Netzwerkadministration arbeiten willst musst dich früher oder später mit dem AD
beschäftigen.
Als Proxy kann ich dir SQUID empfehlen.
mfG
GPO's? - Was ist das?
Naja, wenn ich auf allen Desktops ein anderes Hintergrundbild wählen will mache ich das doch über Remotesteuerung über ein spezielles Konto (svc_admin). OK wäre vielleicht etwas umständlich wenn es auch einfacher geht. Gesperrt ist es ja nicht, wenn ein Admin angemeldet wird... ;) Ups mir fällt grad ein, dass das ja nicht geht über Remotesteuerung
. Weil ja nur der auf dem lokalen PC der aktuelle Benutzer angemeldet ist. Somit würde ja nur der Admin "sein" Hintergrund ändern. Mh...
@Phalanx82
Das hört sich ja richtig gut an!
Somit ist man ja richtig flexibel, wenn sich die Benutzer an einem der beliebigen PCs anmelden kann. Die Variante mit dem Domänen-Controller hört sich echt gut an. Allerdings habe ich noch nicht sowas eingerichtet, geschweige denn administriert. ;(
Zu dem Probelm, wenn Benutzer eine Datei in C:\ ablegen. Da hatte ich die Idee, dass man das irgendwie sperren kann, wenn der aktuelle Benutzer sich angemeldet hat. Administratoren sollen natürlich vollen Zugriff haben.
Das hört sich ja richtig gut an!
Somit ist man ja richtig flexibel, wenn sich die Benutzer an einem der beliebigen PCs anmelden kann. Die Variante mit dem Domänen-Controller hört sich echt gut an. Allerdings habe ich noch nicht sowas eingerichtet, geschweige denn administriert. ;(Zu dem Probelm, wenn Benutzer eine Datei in C:\ ablegen. Da hatte ich die Idee, dass man das irgendwie sperren kann, wenn der aktuelle Benutzer sich angemeldet hat. Administratoren sollen natürlich vollen Zugriff haben.
Zitat von @Loeffelstiel:
Hallo Tim && alle anderen,
Client-Betriebssysteme von MS lasssen maximal _10_ gleichzeitige Verbindungen zu sich selbst zu, dh. bei 20 PC die auf den
"Server" wollen,
bist Du da weit drüber. Geht also schon mal nicht. Die Server-BS lassen halt soviel Zugriffe wie lizensiert (oder max
möglich) zu. Bei einem Kleinunternehmen ist ein SmallBusinessServer 2003/8 die Variante der Wahl. Mit AD, Gruppenrichtlinie
& Co wirst du dich wohl beschäftigen müssen.....
mfg
Hallo Tim && alle anderen,
Client-Betriebssysteme von MS lasssen maximal _10_ gleichzeitige Verbindungen zu sich selbst zu, dh. bei 20 PC die auf den
"Server" wollen,
bist Du da weit drüber. Geht also schon mal nicht. Die Server-BS lassen halt soviel Zugriffe wie lizensiert (oder max
möglich) zu. Bei einem Kleinunternehmen ist ein SmallBusinessServer 2003/8 die Variante der Wahl. Mit AD, Gruppenrichtlinie
& Co wirst du dich wohl beschäftigen müssen.....
mfg
Hui, Active-Directory? Uff, hab davon mal was gehört und soll wohl angeblich recht komplex sein. Ich werd mal versuchen mich da reinzuhängen.
Mit den ganzen Lizensen habe ich mich noch nie befasst. Man bezahlt nur für den lokalen zugang zu Server pro PC! Fine ich von Microsoft eine Frechheit. Aber man kommt nicht drumherum.
Alle diese Sachen kannst du per GPO kontrollieren.
GPO = Group Policy Objects
Stell dir das Active directory wie den Windows Explorer vor:
ORGANISATION / BENUTZER / COMPUTER wären dann die Ordner in denen die Dateien Benutzer1 / Benutzer2 / Computer1 etc liegen.
Jetzt kanns du aber Richtlinien definieren die für alle Objekte (Dateien) in einem Container (Ordner). Diese Richtlinien gelten dann automatisch für alle PCS oder für alle Benutzer in diesem Container.
Besorg dir mal ein Anfängerbuch für Windows 2008 Domainen. Hier geht nichts ohne lesen!!! Einfach mal machen ist nicht drin und wird sich früher oder später rächen.
mfG
GPO = Group Policy Objects
Stell dir das Active directory wie den Windows Explorer vor:
- ORGANISATION
- BENUTZER
-> BENUTZER1
-> BENUTZER2
- COMPUTER
-> COMPUTER1
-> COMPUTER2ORGANISATION / BENUTZER / COMPUTER wären dann die Ordner in denen die Dateien Benutzer1 / Benutzer2 / Computer1 etc liegen.
Jetzt kanns du aber Richtlinien definieren die für alle Objekte (Dateien) in einem Container (Ordner). Diese Richtlinien gelten dann automatisch für alle PCS oder für alle Benutzer in diesem Container.
Besorg dir mal ein Anfängerbuch für Windows 2008 Domainen. Hier geht nichts ohne lesen!!! Einfach mal machen ist nicht drin und wird sich früher oder später rächen.
mfG
Zitat von @Cubic83:
Alle diese Sachen kannst du per GPO kontrollieren.
GPO = Group Policy Objects
Stell dir das Active directory wie den Windows Explorer vor:
ORGANISATION / BENUTZER / COMPUTER wären dann die Ordner in denen die Dateien Benutzer1 / Benutzer2 / Computer1 etc liegen.
Jetzt kanns du aber Richtlinien definieren die für alle Objekte (Dateien) in einem Container (Ordner). Diese Richtlinien
gelten dann automatisch für alle PCS oder für alle Benutzer in diesem Container.
Besorg dir mal ein Anfängerbuch für Windows 2008 Domainen. Hier geht nichts ohne lesen!!! Einfach mal machen ist nicht
drin und wird sich früher oder später rächen.
mfG
lol Ich bin zu faul zum lesen. Vor allem wenns ganz viel ist. Aber ich komme wohl da nicht drumherum. Was das Windows 2008 angeht würde ich lieber Windows 2000 oder 2003 nehmen. Da wir noch kein Windows Server 2008 bzw. R2 haben. Oder ich mach mich mal parallel schlau woher ich es im Rahmen meines Praktikums "finde".Alle diese Sachen kannst du per GPO kontrollieren.
GPO = Group Policy Objects
Stell dir das Active directory wie den Windows Explorer vor:
>
> - ORGANISATION
> - BENUTZER
> -> BENUTZER1
> -> BENUTZER2
> - COMPUTER
> -> COMPUTER1
> -> COMPUTER2
>
> ORGANISATION / BENUTZER / COMPUTER wären dann die Ordner in denen die Dateien Benutzer1 / Benutzer2 / Computer1 etc liegen.
Jetzt kanns du aber Richtlinien definieren die für alle Objekte (Dateien) in einem Container (Ordner). Diese Richtlinien
gelten dann automatisch für alle PCS oder für alle Benutzer in diesem Container.
Besorg dir mal ein Anfängerbuch für Windows 2008 Domainen. Hier geht nichts ohne lesen!!! Einfach mal machen ist nicht
drin und wird sich früher oder später rächen.
mfG
Am besten wäre mir eine Anleitung lieber als ein Buch wo nur Fachgesimpel steht. Ich bin eher der Praxismensch. :D
Hi Tim,
um sich in so eine ziemlich komplexe Sache einzuarbeiten, ist ein Buch ganz hilfreich, da ja bei der Ersteinrichtung viele Sachen zu bedenken sind.
Einen SBS2003 wirst du als Testsoftware nicht mehr bekommen. Eine Teststellung des 2008(R2) bekommst du als 180-Tage-Testversion von MS selbst, nur für die 64bit-fähige HW musst du selbst sorgen (oder als VM), danach will MS aber Geld sehen.
Buchtip (ist zwar dick, für den Anfang brauchst du aber nicht alles lesen und hast gleichzeitig noch ne Übersicht, was du noch zu beachten hast) für den SBS 2003: MS Windows Small Business Server 2003 R2 - Das Praxisbuch (2.Auflage) (MS-Press ISBN 978-3-86645-562-7)
Für die Images empfehle ich den MS Windows Deployment Service (Anleitungen gibts im Netz).
PS: Was fürn Praktikum ist denn das eigentlich? Hat dein Chef eigentlich schon mal über Geld für die Technik gesprochen? Sind die XP-Clients eigentlich schon da?
um sich in so eine ziemlich komplexe Sache einzuarbeiten, ist ein Buch ganz hilfreich
, da ja bei der Ersteinrichtung viele Sachen zu bedenken sind.Einen SBS2003 wirst du als Testsoftware nicht mehr bekommen. Eine Teststellung des 2008(R2) bekommst du als 180-Tage-Testversion von MS selbst, nur für die 64bit-fähige HW musst du selbst sorgen (oder als VM), danach will MS aber Geld sehen
.Buchtip (ist zwar dick, für den Anfang brauchst du aber nicht alles lesen und hast gleichzeitig noch ne Übersicht, was du noch zu beachten hast) für den SBS 2003: MS Windows Small Business Server 2003 R2 - Das Praxisbuch (2.Auflage) (MS-Press ISBN 978-3-86645-562-7)
Für die Images empfehle ich den MS Windows Deployment Service (Anleitungen gibts im Netz).
PS: Was fürn Praktikum ist denn das eigentlich? Hat dein Chef eigentlich schon mal über Geld für die Technik gesprochen? Sind die XP-Clients eigentlich schon da?
@Loeffelstiel
OK, ich werd mal versuchen das Buch aufzutreiben und nachlesen ;)
Was das Praktikum betrifft. Ist eine Schule in meiner Nähe. Dort wollen Sie erstmal feststellen was wir so alles können und wofür wir uns interessieren. Und da ich mich halt über die Vernetzung, vergabe von Freigaben und Sicherheit der PCs im Unternehmen interessiere, habe ich die die Eigeninitiative ergriffen so ein Referat zu machen.
OK, ich werd mal versuchen das Buch aufzutreiben und nachlesen ;)
Was das Praktikum betrifft. Ist eine Schule in meiner Nähe. Dort wollen Sie erstmal feststellen was wir so alles können und wofür wir uns interessieren. Und da ich mich halt über die Vernetzung, vergabe von Freigaben und Sicherheit der PCs im Unternehmen interessiere, habe ich die die Eigeninitiative ergriffen so ein Referat zu machen.
@tim,
achso. Da hast Du Dir ja was anspruchsvolles gesucht. Da solltest Du mal eine Bibliothek in der Nähe suchen, eventuell haben die das ja da, kostet ja 59€.
Für die 2008R2 gibts das auch....
Ansonsten ist I-Recherche angesagt. schau mal bei sbspraxis.de, mcse-forum.de oder gruppenrichtlinien.de vorbei, wegen des ersten Eindrucks, fürn 20min Referat sollte das reichen. Ansonsten sind Bücher über den Aufbau von Netzwerken (sowohl Windows als auch Unix/Linux) auch ne Alternative.
Viel Spass beim schreiben.
achso. Da hast Du Dir ja was anspruchsvolles gesucht. Da solltest Du mal eine Bibliothek in der Nähe suchen, eventuell haben die das ja da, kostet ja 59€.
Für die 2008R2 gibts das auch....
Ansonsten ist I-Recherche angesagt. schau mal bei sbspraxis.de, mcse-forum.de oder gruppenrichtlinien.de vorbei, wegen des ersten Eindrucks, fürn 20min Referat sollte das reichen. Ansonsten sind Bücher über den Aufbau von Netzwerken (sowohl Windows als auch Unix/Linux) auch ne Alternative.
Viel Spass beim schreiben.
@Loeffelstiel
Vielen Dank für die Info! ;) Die Homepage gruppenrichtlinien.de ist mit einem Benutzernamen und Passwort geschützt. Mal sehen wie teuer das Buch von Win2008SBS bei eBay ist.
Tim
Vielen Dank für die Info! ;) Die Homepage gruppenrichtlinien.de ist mit einem Benutzernamen und Passwort geschützt. Mal sehen wie teuer das Buch von Win2008SBS bei eBay ist.
Tim
@tim,
nö, ich war grad auf http://www.gruppenrichtlinien.de das ist nix geschützt
Du hast recht wenn man nur grupenrichtlinien.de eingibt kommt ein Anmeldefenster. Da klappt entweder die Weiterleitung nicht, oder Mensch benutzt das als seinenn Zugang zur Seite, um dort Daten zu ändern...
nö, ich war grad auf http://www.gruppenrichtlinien.de das ist nix geschützt
Du hast recht wenn man nur grupenrichtlinien.de eingibt kommt ein Anmeldefenster. Da klappt entweder die Weiterleitung nicht, oder Mensch benutzt das als seinenn Zugang zur Seite, um dort Daten zu ändern...
Oh, ja Sorry. Meine Schuld... ;) Ich schau mal die Homepages an.
