6
Unterschiedliche Firmen bzw. Nutzergruppen nutzen gemeinsam einen Laptop
Hallo an alle Admins,
unsere Bildungseinrichtung wird demnächst einen Schulungsraum längerfristig an eine externe Firma inkl. Hardware und Internetanbindung vermieten. Das Netzwerk in diesem Raum ist Teil unseres gesamten Netzwerkes das sich über mehrere Gebäude erstreckt. Bis jetzt sind 3 VLANs konfiguriert die Verwaltung, Schüler-Netzwerk und Gäste-WLAN voneinander trennen. Die externe Firma benötigt ebenfalls ein abgetrenntes Verwaltungsnetzwerk (LAN) sowie ein Schüler-Netzwerk (WLAN).
Das stellt an sich kein Problem dar. Ich werde einfach weitere VLANs anlegen.
Hier nun mein Problem: Im Schulungsraum ist ein (1) Laptop vorhanden der je nach Wochentag bzw. Uhrzeit von unterschiedlichen Gruppen (unsere Lehrer, unsere Schüler, unsere Gäste, Lehrer der externen Firma, Schüler der externen Firma, Gäste der externen Firma) genutzt werden soll. Dabei gilt folgendes:
1. Unsere Lehrer sollen sich an das Verwaltungsnetzwerk (Domäne) sowie Schülernetzwerk (Schüler-Domäne) anmelden können
2. Unsere Schüler sollen sich an unser Schülernetzwerk (Schüler-Domäne) anmelden können.
3. Lehrer externe Firma sollen sich an Verwaltungs- und Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
4. Schüler externe Firma sollen sich am Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
5. Gäste sollen sich am Laptop anmelden können aber nur eine Internetverbindung erhalten.
6. Alle sollen die Möglichkeit bekommen auf dem per USB am Laptop angeschlossenen Drucker zu drucken. (Hinweis: Hat auch eine LAN-Schnittstelle)
Ich soll nun das Netzwerk und den Laptop so konfigurieren, dass weder für uns noch für die externe Firma sicherheitsrelevante Probleme auftauchen. Wie realisiere ich das am besten? Gibt es für dieses Szenario ein Best-Practice? Ich meine nicht die VLAN-Konfiguration des Netzwerkes sondern die Trennung der Firmen / Schüler an dem einen Laptop. Meine ersten Problemlösungen gingen in Richtung Multi-OS System auf dem Laptop aufzusetzen. Jede Gruppe wählt sich dann beim Start des Rechners die entsprechende Instanz aus. Aber das wären 5 Betriebssysteminstanzen. Das kann es doch nicht sein? Der Laptop ist mit LAN / WLAN ausgestattet und kann auch nicht ausgetauscht werden, da er mit mehreren Kabeln an einer interaktiven Tafel angeschlossen ist. Im Raum ist eine doppelte LAN-Dose vorhanden.
Welche Lösungsansätze habt ihr für die Situation?
Welche rechtlichen Aspekte und physischen Absicherungen (LAN-Dose) kommen noch in Frage?
unsere Bildungseinrichtung wird demnächst einen Schulungsraum längerfristig an eine externe Firma inkl. Hardware und Internetanbindung vermieten. Das Netzwerk in diesem Raum ist Teil unseres gesamten Netzwerkes das sich über mehrere Gebäude erstreckt. Bis jetzt sind 3 VLANs konfiguriert die Verwaltung, Schüler-Netzwerk und Gäste-WLAN voneinander trennen. Die externe Firma benötigt ebenfalls ein abgetrenntes Verwaltungsnetzwerk (LAN) sowie ein Schüler-Netzwerk (WLAN).
Das stellt an sich kein Problem dar. Ich werde einfach weitere VLANs anlegen.
Hier nun mein Problem: Im Schulungsraum ist ein (1) Laptop vorhanden der je nach Wochentag bzw. Uhrzeit von unterschiedlichen Gruppen (unsere Lehrer, unsere Schüler, unsere Gäste, Lehrer der externen Firma, Schüler der externen Firma, Gäste der externen Firma) genutzt werden soll. Dabei gilt folgendes:
1. Unsere Lehrer sollen sich an das Verwaltungsnetzwerk (Domäne) sowie Schülernetzwerk (Schüler-Domäne) anmelden können
2. Unsere Schüler sollen sich an unser Schülernetzwerk (Schüler-Domäne) anmelden können.
3. Lehrer externe Firma sollen sich an Verwaltungs- und Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
4. Schüler externe Firma sollen sich am Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
5. Gäste sollen sich am Laptop anmelden können aber nur eine Internetverbindung erhalten.
6. Alle sollen die Möglichkeit bekommen auf dem per USB am Laptop angeschlossenen Drucker zu drucken. (Hinweis: Hat auch eine LAN-Schnittstelle)
Ich soll nun das Netzwerk und den Laptop so konfigurieren, dass weder für uns noch für die externe Firma sicherheitsrelevante Probleme auftauchen. Wie realisiere ich das am besten? Gibt es für dieses Szenario ein Best-Practice? Ich meine nicht die VLAN-Konfiguration des Netzwerkes sondern die Trennung der Firmen / Schüler an dem einen Laptop. Meine ersten Problemlösungen gingen in Richtung Multi-OS System auf dem Laptop aufzusetzen. Jede Gruppe wählt sich dann beim Start des Rechners die entsprechende Instanz aus. Aber das wären 5 Betriebssysteminstanzen. Das kann es doch nicht sein? Der Laptop ist mit LAN / WLAN ausgestattet und kann auch nicht ausgetauscht werden, da er mit mehreren Kabeln an einer interaktiven Tafel angeschlossen ist. Im Raum ist eine doppelte LAN-Dose vorhanden.
Welche Lösungsansätze habt ihr für die Situation?
Welche rechtlichen Aspekte und physischen Absicherungen (LAN-Dose) kommen noch in Frage?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 255950
Url: https://administrator.de/contentid/255950
Printed on: April 25, 2024 at 00:04 o'clock
6 Comments
Latest comment
Hallo,
ein PC kann Zeitgleich immer nur Mitglied einer AD-Domäne sein.
Die Anmeldung eines Benutzers einer AD-Domäne an einem Rechner einer anderen AD-Domäne ist durchaus möglich, wenn eine Vertrauensstellung zuwischen diesen Domänen existiert, die sowas auch ermöglicht (gibt da meines Wissens unterschidede bei den Vertrauensstellungen nach dem Motto Du traust zwar mir ich Dir aber nicht)
Und das Anmelden aus der Vertrauensstellung muss auch erlaubt sein.
Ein PC kann auch nur immer mitglied einer Domäne oder einer Arbeitsgruppe sein und auch nur immer Mitglied einer Arbeitsgruppe.
Das einfachste wäre ein Multibootsystem das für jeden deiner Fälle das richtige system bootet.
Die Partitionen auch am besten verschlüsseln, damit keine Daten untereinander getauscht werden.
Viel Spaß
Chonta
ein PC kann Zeitgleich immer nur Mitglied einer AD-Domäne sein.
Die Anmeldung eines Benutzers einer AD-Domäne an einem Rechner einer anderen AD-Domäne ist durchaus möglich, wenn eine Vertrauensstellung zuwischen diesen Domänen existiert, die sowas auch ermöglicht (gibt da meines Wissens unterschidede bei den Vertrauensstellungen nach dem Motto Du traust zwar mir ich Dir aber nicht)
Und das Anmelden aus der Vertrauensstellung muss auch erlaubt sein.
Ein PC kann auch nur immer mitglied einer Domäne oder einer Arbeitsgruppe sein und auch nur immer Mitglied einer Arbeitsgruppe.
Das einfachste wäre ein Multibootsystem das für jeden deiner Fälle das richtige system bootet.
Die Partitionen auch am besten verschlüsseln, damit keine Daten untereinander getauscht werden.
Viel Spaß
Chonta
Hallo,
hier noch ein Tipp für die Multi-Boot-Umgebung:
"Multi-Boot mit VHD-Dateien"
http://www.com-magazin.de/praxis/virtualisierung/multi-boot-vhd-dateien ...
oder
http://www.tecchannel.de/server/windows/2039826/windows_8_in_einer_vhd_ ...
Durch die virtuellen Festplatten wäre auch der gegenseitige Zugriff auf die Daten erschwert. Wenn die VHDs dann noch mit BitLocker verschlüsselt werden, ist die Sache "Rund".
Jürgen
hier noch ein Tipp für die Multi-Boot-Umgebung:
"Multi-Boot mit VHD-Dateien"
http://www.com-magazin.de/praxis/virtualisierung/multi-boot-vhd-dateien ...
oder
http://www.tecchannel.de/server/windows/2039826/windows_8_in_einer_vhd_ ...
Durch die virtuellen Festplatten wäre auch der gegenseitige Zugriff auf die Daten erschwert. Wenn die VHDs dann noch mit BitLocker verschlüsselt werden, ist die Sache "Rund".
Jürgen
Hallo Chonta, hallo chiefteddy,
vielen Dank für eure Hinweise.
Multi-Boot mit VHD hört sich gut an.
Welches Hyper-V System ist hier als Unterbau bzw. 1. OS auf der physischen Platte am besten geeignet?
Windows 8.1 oder Hyper-V Server 2012R2?
Meine Vorstellung für die Installation des Laptops sieht so aus:
VARIANTE 1
Windows 8.1 (Gäste) auf physischer Festplatte (VLAN5)
-> VHD Windows 8.1 (Firma intern Verwaltung) VLAN1
-> VHD Windows 8.1 (Firma intern Schüler) VLAN2
-> VHD Windows 8.1 (Firma extern Verwaltung) VLAN3
-> VHD Windows 8.1 (Firma extern Schüler) VLAN4
VARIANTE 2
Hyper-V Server 2012R2 auf physischer Festplatte (VLAN1)
-> VHD Windows 8.1 (Firma intern Verwaltung) VLAN1
-> VHD Windows 8.1 (Firma intern Schüler) VLAN2
-> VHD Windows 8.1 (Firma extern Verwaltung) VLAN3
-> VHD Windows 8.1 (Firma extern Schüler) VLAN4
-> VHD Windows 8.1 (Firma extern Schüler) VLAN5
Ich tendiere zur Variante 2. Hier würde ich den Hyper-V Server in das VLAN1 nehmen, damit ich ihn Remote mit meinem Verwaltungsrechner verwalten kann.
Hat schon jemand Erfahrungswerte mit Hyper-V Server für solche Situationen? Geht damit überhaupt ein Multi-Boot auf VHD-Basis?
vielen Dank für eure Hinweise.
Multi-Boot mit VHD hört sich gut an.
Welches Hyper-V System ist hier als Unterbau bzw. 1. OS auf der physischen Platte am besten geeignet?
Windows 8.1 oder Hyper-V Server 2012R2?
Meine Vorstellung für die Installation des Laptops sieht so aus:
VARIANTE 1
Windows 8.1 (Gäste) auf physischer Festplatte (VLAN5)
-> VHD Windows 8.1 (Firma intern Verwaltung) VLAN1
-> VHD Windows 8.1 (Firma intern Schüler) VLAN2
-> VHD Windows 8.1 (Firma extern Verwaltung) VLAN3
-> VHD Windows 8.1 (Firma extern Schüler) VLAN4
VARIANTE 2
Hyper-V Server 2012R2 auf physischer Festplatte (VLAN1)
-> VHD Windows 8.1 (Firma intern Verwaltung) VLAN1
-> VHD Windows 8.1 (Firma intern Schüler) VLAN2
-> VHD Windows 8.1 (Firma extern Verwaltung) VLAN3
-> VHD Windows 8.1 (Firma extern Schüler) VLAN4
-> VHD Windows 8.1 (Firma extern Schüler) VLAN5
Ich tendiere zur Variante 2. Hier würde ich den Hyper-V Server in das VLAN1 nehmen, damit ich ihn Remote mit meinem Verwaltungsrechner verwalten kann.
Hat schon jemand Erfahrungswerte mit Hyper-V Server für solche Situationen? Geht damit überhaupt ein Multi-Boot auf VHD-Basis?
Hallo,
Win 8.1 und Server 2012R2 haben den gleichen Kernel, also auch den gleichen Hypervisor. In sofern müßte es egal sein, welchen Hypervisor Du installierst. Ich würde zu Variante 2 tendieren. Allerdings würde ich auch hier Win 8.1 als Hypervisor einsetzen.
Bei Variante 1 stört mich, dass die 1. Maschine als phys. Maschine und nicht als VHD installiert wird.
Ich habe eine solche Installation vor 1-2 Jahren mal mit Win7Ult. getestet. In sofern bin ich sicher nicht der erfahrenste Anwender dieser Technik.
Jürgen
Win 8.1 und Server 2012R2 haben den gleichen Kernel, also auch den gleichen Hypervisor. In sofern müßte es egal sein, welchen Hypervisor Du installierst. Ich würde zu Variante 2 tendieren. Allerdings würde ich auch hier Win 8.1 als Hypervisor einsetzen.
Bei Variante 1 stört mich, dass die 1. Maschine als phys. Maschine und nicht als VHD installiert wird.
Ich habe eine solche Installation vor 1-2 Jahren mal mit Win7Ult. getestet. In sofern bin ich sicher nicht der erfahrenste Anwender dieser Technik.
Jürgen
Hi.
Ich halte die Anforderungen für deutlich einfacher zu lösen.
Du hast eine Domänenvertrauensstellung, nehme ich an? Dann können sich die Mitglieder verschiedener Domänen an dem Gerät bereits anmelden, richtig? Somit sind 1 und 2 erfüllt.
3/4: man kann sich an Arbeitsgruppen nicht anmelden - was meinst du damit? Es gibt Domänenlogon oder Logon an der "Domäne" des eigenen PCs mit einem lokalen user - nie aber Anmeldung an einer Arbeitsgruppe.
5 Gäste (lokale Konten) haben keinen Zugriff auf Domänenressourcen - ohne weiteres Zutun.
6 auch das geht ohne Weiteres.
Bitlocker und Konsorten sind schön, aber nicht nötig - NTFS-ACLs reichen zur Trennung schon aus. - es sei denn, (wie gesagt) Paranoia gepaart mit extremer Vorsicht liegt vor.
Mein Rat: definiere zunächst Angriffsszenarien. Ohne diese kann man keine Gegenmaßnahmen erstellen.
Ich halte die Anforderungen für deutlich einfacher zu lösen.
Du hast eine Domänenvertrauensstellung, nehme ich an? Dann können sich die Mitglieder verschiedener Domänen an dem Gerät bereits anmelden, richtig? Somit sind 1 und 2 erfüllt.
3/4: man kann sich an Arbeitsgruppen nicht anmelden - was meinst du damit? Es gibt Domänenlogon oder Logon an der "Domäne" des eigenen PCs mit einem lokalen user - nie aber Anmeldung an einer Arbeitsgruppe.
5 Gäste (lokale Konten) haben keinen Zugriff auf Domänenressourcen - ohne weiteres Zutun.
6 auch das geht ohne Weiteres.
Ich soll nun das Netzwerk und den Laptop so konfigurieren, dass weder für uns noch für die externe Firma sicherheitsrelevante Probleme auftauchen
Dann frage ich: was soll denn passieren, Deiner Meinung nach? Ohne Aufgabe kein Plan und keine Umsetzung. Zunächst ist dies erstmal sicher, es sei denn, man schaltet in den paranoia-Modus.Bitlocker und Konsorten sind schön, aber nicht nötig - NTFS-ACLs reichen zur Trennung schon aus. - es sei denn, (wie gesagt) Paranoia gepaart mit extremer Vorsicht liegt vor.
Mein Rat: definiere zunächst Angriffsszenarien. Ohne diese kann man keine Gegenmaßnahmen erstellen.
Hallo chiefteddy und DerWoWusste,
vielen Dank für eure Beiträge. Ich bin bereits dabei einen Laptop testweise mit der Multiboot-Umgebung in Variante 2 und Windows 8.1 aufzusetzen.
@DerWoWusste:
zu 1 und 2) Nein, es besteht keine Domänenvertrauensstellung zwischen Verwaltungs- und Schülernetzwerk und das soll auch so bleiben.
zu 3 und 4) Da hast du recht. Die Einrichtung übernimmt der IT-Betreuer der externen Firma. Kann also auch noch eine Domäne werden.
zu 5) möchte ich auch über ein extra VLAN abdecken.
zu 6) stimmt
Gerade weil ein externer IT-Betreuer dann die Einrichtung vornimmt, möchte ich nur die entsprechenden IP/VLAN-Bereiche zugänglich machen.
Dort kann er alles nach seinem Geschmack einrichten. Wir liefern nur die Infrastruktur. Das lässt sich dann für mich auch besser gegenüber anderen Stellen kommunizieren. Zudem schließe ich mit der Multiboot-Lösung dann mögliches menschliches Versagen auch auf NTFS-ACL-Ebene aus.
Ich glaub ich bin dann wohl Paranoid...aber ich fühl mich wohl dabei.
Angriffsszenarien / Überlegungen: Wir haben nun externe Schüler auf unserem Gelände, die teilweise unbeobachtet an der EDV arbeiten. Hier möchte ich möglichst wenig Angriffsfläche bieten. Darüber hinaus möchte ich die Trennung von externer und interner Firma so klar wir möglich ziehen. Das verträgt sich meiner Meinung nach nicht mit NTFS-ACLs oder Domänen-Vertrauensstellungen. Ich überlege sogar die LAN-Dosen an den Wänden / LAN-Buchsen an den Laptops abzuschließen bzw. spezielle abschließbare LAN-Kabel zu nutzen.
Vielen Dank, dass du deinen Standpunkt zu diesem Thema eingebracht hast. Da waren viele Sachen dabei, die ich nicht auf dem Schirm hatte.
Boweeko
vielen Dank für eure Beiträge. Ich bin bereits dabei einen Laptop testweise mit der Multiboot-Umgebung in Variante 2 und Windows 8.1 aufzusetzen.
@DerWoWusste:
zu 1 und 2) Nein, es besteht keine Domänenvertrauensstellung zwischen Verwaltungs- und Schülernetzwerk und das soll auch so bleiben.
zu 3 und 4) Da hast du recht. Die Einrichtung übernimmt der IT-Betreuer der externen Firma. Kann also auch noch eine Domäne werden.
zu 5) möchte ich auch über ein extra VLAN abdecken.
zu 6) stimmt
Gerade weil ein externer IT-Betreuer dann die Einrichtung vornimmt, möchte ich nur die entsprechenden IP/VLAN-Bereiche zugänglich machen.
Dort kann er alles nach seinem Geschmack einrichten. Wir liefern nur die Infrastruktur. Das lässt sich dann für mich auch besser gegenüber anderen Stellen kommunizieren. Zudem schließe ich mit der Multiboot-Lösung dann mögliches menschliches Versagen auch auf NTFS-ACL-Ebene aus.
Ich glaub ich bin dann wohl Paranoid...aber ich fühl mich wohl dabei.
Angriffsszenarien / Überlegungen: Wir haben nun externe Schüler auf unserem Gelände, die teilweise unbeobachtet an der EDV arbeiten. Hier möchte ich möglichst wenig Angriffsfläche bieten. Darüber hinaus möchte ich die Trennung von externer und interner Firma so klar wir möglich ziehen. Das verträgt sich meiner Meinung nach nicht mit NTFS-ACLs oder Domänen-Vertrauensstellungen. Ich überlege sogar die LAN-Dosen an den Wänden / LAN-Buchsen an den Laptops abzuschließen bzw. spezielle abschließbare LAN-Kabel zu nutzen.
Vielen Dank, dass du deinen Standpunkt zu diesem Thema eingebracht hast. Da waren viele Sachen dabei, die ich nicht auf dem Schirm hatte.
Boweeko
