10
Win Server 2008 R2 - Remotezugriff verschiedener Kunden - Auftrennung der Sicht des Kunden
Hallo zusammen,
ich hoffe Ihr könnt mir ein paar Denkanstöße oder ein paar Tricks zu folgendem Szenario geben.
Szenario
Installiert ist ein Windows Server 2008 R2 mit den Rollen Active Directory, DNS-Server und Remotedesktopdienste (inkl. Remotedesktoplizenzierung als Rollendienst) installiert.
Der Grundgedanke ist, dass sich Kunden unterschiedlicher Firmen remote auf diesen Server aufschalten um dort z.B. Programme und Festplatteplatz nutzen können.
Die Kunden einer Firma können auf den gleichen Inhalt, also Programme und Festplattenplatz zugreifen. Jedoch muss eine Trennung, zu den anderen Firmen, eingerichtet werden, welche ebenfalls auf dem System Plattenplatz und Programme benutzen.
D.h. die eine Firma darf auf keine Dateistruktur der anderen Firma Zugriff haben, noch nichtmal sehen dürfen sie sich. Also so als wären sie "allein" auf dem Server.
Auch die versteckten Freigaben wie ADMIN$ oder C$ sollten, falls der Kunde doch etwas mehr Ahnung hat und mal gucken möchte was sich so auf dem Server abspielt, vom Kunden nicht abrufbar sein.
Ich weiß, das ist gleich ein hartes Stück, aber ich grübel schon eine ganze Weile an diesem Problem und komm leider nicht so richtig weiter da mein Wissen von der AD - Server - Konfiguration noch nicht so ausgereift ist.
Aber man lernt ja aus Problemen, nur nicht wenn man nicht weiter kommt. ;)
Netten Gruß
Sascha
ich hoffe Ihr könnt mir ein paar Denkanstöße oder ein paar Tricks zu folgendem Szenario geben.
Szenario
Installiert ist ein Windows Server 2008 R2 mit den Rollen Active Directory, DNS-Server und Remotedesktopdienste (inkl. Remotedesktoplizenzierung als Rollendienst) installiert.
Der Grundgedanke ist, dass sich Kunden unterschiedlicher Firmen remote auf diesen Server aufschalten um dort z.B. Programme und Festplatteplatz nutzen können.
Die Kunden einer Firma können auf den gleichen Inhalt, also Programme und Festplattenplatz zugreifen. Jedoch muss eine Trennung, zu den anderen Firmen, eingerichtet werden, welche ebenfalls auf dem System Plattenplatz und Programme benutzen.
D.h. die eine Firma darf auf keine Dateistruktur der anderen Firma Zugriff haben, noch nichtmal sehen dürfen sie sich. Also so als wären sie "allein" auf dem Server.
Auch die versteckten Freigaben wie ADMIN$ oder C$ sollten, falls der Kunde doch etwas mehr Ahnung hat und mal gucken möchte was sich so auf dem Server abspielt, vom Kunden nicht abrufbar sein.
Ich weiß, das ist gleich ein hartes Stück, aber ich grübel schon eine ganze Weile an diesem Problem und komm leider nicht so richtig weiter da mein Wissen von der AD - Server - Konfiguration noch nicht so ausgereift ist.
Aber man lernt ja aus Problemen, nur nicht wenn man nicht weiter kommt. ;)
Netten Gruß
Sascha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187269
Url: https://administrator.de/contentid/187269
Printed on: April 25, 2024 at 06:04 o'clock
10 Comments
Latest comment
Moin. Denk mal über folgendes nach: mit Eurer Serverlizenz darfst Du innerhalb von Hyper V auf dem selben Server einen weiteren Server installieren und könntest diesen zur Trennung verwenden.
Willst Du partout nur einen, wird dies schwiewrig. Zu den Möglichkeiten:
->Verzeichnisse für A zugreifbar machen und für B sperren kann schon NTFS.
-Verzeichnisse für A zugreifbar und für B unsichtbar geht nur bei Freigaben, nennt sich dort ABE (access based enumeration). Wirst Du somit nicht vollständig leisten können, aber wozu auch? Wenn ich mir vorstelle, Du hast da Ordner Firma1 und Firma2, dann wird zwar der Ordnername "Firma2" für F.1 sichtbar sein, aber ist das tatsächlich zwingend zu verhindern? Ebenso könnten die Nutzer natürlich die Namen der anderen Nutzerprofile sehen - ist nicht zu verhindern.
-Admin$, c$: kein Problem. Da können eh nur Admins ran.
Willst Du partout nur einen, wird dies schwiewrig. Zu den Möglichkeiten:
->Verzeichnisse für A zugreifbar machen und für B sperren kann schon NTFS.
-Verzeichnisse für A zugreifbar und für B unsichtbar geht nur bei Freigaben, nennt sich dort ABE (access based enumeration). Wirst Du somit nicht vollständig leisten können, aber wozu auch? Wenn ich mir vorstelle, Du hast da Ordner Firma1 und Firma2, dann wird zwar der Ordnername "Firma2" für F.1 sichtbar sein, aber ist das tatsächlich zwingend zu verhindern? Ebenso könnten die Nutzer natürlich die Namen der anderen Nutzerprofile sehen - ist nicht zu verhindern.
-Admin$, c$: kein Problem. Da können eh nur Admins ran.
Moin,
die grunsätzliche Frage ist: Für wie viel Kunden soll diese Infrastuktur sein? Reden wir von 10 oder 100.
Des Weiteren muss dir klar sein, dass du unbedingt regeln solltest wäre für die Datensicherung zuständig ist. Du oder der Kunde selber?!
Wir haben sowas ähnliches für ca. 2.000 Kunden über Citrix und WebDav abgebildet. D.h. eine seperate Plattform mit ADS und entsprechende Anzahl von Citrixserver. Der Kunde kann somit über Citirx Reciver seine Anwendungen aufrufen und sieht auch dort sein Datenverzeichnis via. Netzlaufwerk.
Er hat aber auch die Möglichkeit direkt auf einem eigenen Server bei sich, das Datenlaufwerk via WebDav zu verbinden. Um die administrativen Freigaben würde ich mir keine Sorgen machen.
Grüße,
Dani
die grunsätzliche Frage ist: Für wie viel Kunden soll diese Infrastuktur sein? Reden wir von 10 oder 100.
Des Weiteren muss dir klar sein, dass du unbedingt regeln solltest wäre für die Datensicherung zuständig ist. Du oder der Kunde selber?!
Wir haben sowas ähnliches für ca. 2.000 Kunden über Citrix und WebDav abgebildet. D.h. eine seperate Plattform mit ADS und entsprechende Anzahl von Citrixserver. Der Kunde kann somit über Citirx Reciver seine Anwendungen aufrufen und sieht auch dort sein Datenverzeichnis via. Netzlaufwerk.
Er hat aber auch die Möglichkeit direkt auf einem eigenen Server bei sich, das Datenlaufwerk via WebDav zu verbinden. Um die administrativen Freigaben würde ich mir keine Sorgen machen.
Grüße,
Dani
Moin
grundsätzlich ja - aber wozu soll das gut sein, denn auf dem Hyper-V-Server dürfen bekanntlich keine weiteren Dienste laufen
Ansonsten gilt auch, dass man eine TS und DC niemals auf der gleichen Maschine laufen haben soll...
Und die Umsetzung wäre mit einer TS Lockdownpolicy denkbar einfach. Das hat DerWoWusste ja schon angedeutet, dass sich über eine aktivierte ABE die Netzwerkfreigaben ausblenden lassen. Wieso also nicht die lokalen Laufwerke einfach per GPO ausblenden und die benötigten datenstrukturen über ein verbundenes Netzlaufwerk zuweisen ?!
Problematisch dürfte bei dem Vorhaben aber auch die Lizenzierung des Ganzen sein. Hast du eine fixe Zahl, wie viele benutzer oder Clients Zugriff auf den Server nehmen werden ?
Gruß
Hubert
Zitat von @DerWoWusste:
Moin. Denk mal über folgendes nach: mit Eurer Serverlizenz darfst Du innerhalb von Hyper V auf dem selben Server einen
weiteren Server installieren und könntest diesen zur Trennung verwenden.
Moin. Denk mal über folgendes nach: mit Eurer Serverlizenz darfst Du innerhalb von Hyper V auf dem selben Server einen
weiteren Server installieren und könntest diesen zur Trennung verwenden.
grundsätzlich ja - aber wozu soll das gut sein, denn auf dem Hyper-V-Server dürfen bekanntlich keine weiteren Dienste laufen
Ansonsten gilt auch, dass man eine TS und DC niemals auf der gleichen Maschine laufen haben soll...
Und die Umsetzung wäre mit einer TS Lockdownpolicy denkbar einfach. Das hat DerWoWusste ja schon angedeutet, dass sich über eine aktivierte ABE die Netzwerkfreigaben ausblenden lassen. Wieso also nicht die lokalen Laufwerke einfach per GPO ausblenden und die benötigten datenstrukturen über ein verbundenes Netzlaufwerk zuweisen ?!
Problematisch dürfte bei dem Vorhaben aber auch die Lizenzierung des Ganzen sein. Hast du eine fixe Zahl, wie viele benutzer oder Clients Zugriff auf den Server nehmen werden ?
Gruß
Hubert
Vielen Dank für die schnellen Antworten.
Ich werde die Situation nun aus einem anderen Gesichtspunkt eruieren können und eventuell nochmal mit dem Vorgesetzen reden.
Die Anzahl momentan liegt bei 2 Kunden mit insgesamt 15 Nutzern. Die Zugriffslizenzierung erfolgt über gekaufte User CALs.
Ich werde die Situation nun aus einem anderen Gesichtspunkt eruieren können und eventuell nochmal mit dem Vorgesetzen reden.
Die Anzahl momentan liegt bei 2 Kunden mit insgesamt 15 Nutzern. Die Zugriffslizenzierung erfolgt über gekaufte User CALs.
Moin HubertN.
Was meinst Du mit "auf dem Hyper-V-Server dürfen bekanntlich keine weiteren Dienste laufen"?
Kommentar noch zu "Wieso also nicht die lokalen Laufwerke einfach per GPO ausblenden" - das geht so nicht zuverlässig. Im Explorer kannst Du einfach als Nutzer manuell c: in die Adresszeile eingeben und schon siehst Du alles.
Was meinst Du mit "auf dem Hyper-V-Server dürfen bekanntlich keine weiteren Dienste laufen"?
Kommentar noch zu "Wieso also nicht die lokalen Laufwerke einfach per GPO ausblenden" - das geht so nicht zuverlässig. Im Explorer kannst Du einfach als Nutzer manuell c: in die Adresszeile eingeben und schon siehst Du alles.
Moin nochmal 
o.k. - den kompletten Zugriff kann ich ja nicht speren, weil da ja auch noch irgendwo die Datenverzeichnisse liegen sollen.
Ansonsten: Warum der Hyper-V-Host keine (!) weiteren Dienste ausführen sollte
Gruß und schönes WE
o.k. - den kompletten Zugriff kann ich ja nicht speren, weil da ja auch noch irgendwo die Datenverzeichnisse liegen sollen.
Ansonsten: Warum der Hyper-V-Host keine (!) weiteren Dienste ausführen sollte
Gruß und schönes WE
Zu Deinen faq-o-matic - verstehe ich. Aber Du kannst nicht bestreiten, dass dies wie eine mustergültige Lösung erscheint, vorausgesetzt, man hat ausreichend virtuelle Lizenzen. Mit einer Enterprise Lizenz kann er ja schon 4 Server anbieten und auf dem brauchen keine weiteren Dienste zu laufen, er virtualisiert den jetzigen DC in eine der 4 (könnte er zumindest, ob's nun das Schlauste ist... er sollte vielleicht lieber eine Enterpriselizenz zusätzlich kaufen), bleiben 3 für getrennten Kundenzugriff. Mit Datacenter (ja, kostet einiges, ist bekannt) hat er sogar beliebig viele VMs. Nur mit der Standardlizenz ist es so, wie Du sagst, da hatte ich nicht dran gedacht.
Da gebe ich dir absolut Recht. Ich würde dann die Fileservices, Terminaldienste und DC aufteilen. Mit einer einzigen Standardlizenz würde ich dieses Projekt so garnicht erst umsetzen.
Hallo Sascha,
die normalen Lizenzen decken dein Vorhaben nicht ab.
Hier musst du dir SPLA Lizenzen besorgen.
Gruß Sven
die normalen Lizenzen decken dein Vorhaben nicht ab.
Hier musst du dir SPLA Lizenzen besorgen.
Gruß Sven
Hallo zusammen. Ich bin Euch sehr dankbar, das Ihr diese Diskussion so weit getrieben habt, dass ich einige Ansätze für so ein Problem bekommen habe.
Aber wie das nunmal so ist, bin ich einer Fehlinformation auferlegen.
So wie es mir geschildert wurde sollte der Kunde remote auch auf seinen Bereich Vollzugriff erhalten. Dem ist nicht so...
Der Kunde soll zwar einen Zugriff remote erhalten, jedoch soll auf seinem Desktop lediglich eine Verlinkung zu einem bestimmten Verzeichnis, und ein Link zu einem Programm enthalten, welches von uns für jeden Kunden separat zur Verfügung gestellt wird.
Taskleiste, Startmenü usw. sollten für den Kunden nicht zur Verfügung stehen.
Jetzt werde ich mich erstmal mit der Gruppenrichtlinien vertraut machen müssen.
Aber wie das nunmal so ist, bin ich einer Fehlinformation auferlegen.
So wie es mir geschildert wurde sollte der Kunde remote auch auf seinen Bereich Vollzugriff erhalten. Dem ist nicht so...
Der Kunde soll zwar einen Zugriff remote erhalten, jedoch soll auf seinem Desktop lediglich eine Verlinkung zu einem bestimmten Verzeichnis, und ein Link zu einem Programm enthalten, welches von uns für jeden Kunden separat zur Verfügung gestellt wird.
Taskleiste, Startmenü usw. sollten für den Kunden nicht zur Verfügung stehen.
Jetzt werde ich mich erstmal mit der Gruppenrichtlinien vertraut machen müssen.
