Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win Server 2008 R2 - Remotezugriff verschiedener Kunden - Auftrennung der Sicht des Kunden

Frage Microsoft Windows Server

Mitglied: MCSasch

MCSasch (Level 1) - Jetzt verbinden

29.06.2012 um 16:32 Uhr, 3425 Aufrufe, 10 Kommentare

Hallo zusammen,

ich hoffe Ihr könnt mir ein paar Denkanstöße oder ein paar Tricks zu folgendem Szenario geben.


Szenario
Installiert ist ein Windows Server 2008 R2 mit den Rollen Active Directory, DNS-Server und Remotedesktopdienste (inkl. Remotedesktoplizenzierung als Rollendienst) installiert.

Der Grundgedanke ist, dass sich Kunden unterschiedlicher Firmen remote auf diesen Server aufschalten um dort z.B. Programme und Festplatteplatz nutzen können.

Die Kunden einer Firma können auf den gleichen Inhalt, also Programme und Festplattenplatz zugreifen. Jedoch muss eine Trennung, zu den anderen Firmen, eingerichtet werden, welche ebenfalls auf dem System Plattenplatz und Programme benutzen.

D.h. die eine Firma darf auf keine Dateistruktur der anderen Firma Zugriff haben, noch nichtmal sehen dürfen sie sich. Also so als wären sie "allein" auf dem Server.

Auch die versteckten Freigaben wie ADMIN$ oder C$ sollten, falls der Kunde doch etwas mehr Ahnung hat und mal gucken möchte was sich so auf dem Server abspielt, vom Kunden nicht abrufbar sein.



Ich weiß, das ist gleich ein hartes Stück, aber ich grübel schon eine ganze Weile an diesem Problem und komm leider nicht so richtig weiter da mein Wissen von der AD - Server - Konfiguration noch nicht so ausgereift ist.

Aber man lernt ja aus Problemen, nur nicht wenn man nicht weiter kommt. ;)


Netten Gruß
Sascha
Mitglied: DerWoWusste
29.06.2012 um 16:39 Uhr
Moin. Denk mal über folgendes nach: mit Eurer Serverlizenz darfst Du innerhalb von Hyper V auf dem selben Server einen weiteren Server installieren und könntest diesen zur Trennung verwenden.
Willst Du partout nur einen, wird dies schwiewrig. Zu den Möglichkeiten:
->Verzeichnisse für A zugreifbar machen und für B sperren kann schon NTFS.
-Verzeichnisse für A zugreifbar und für B unsichtbar geht nur bei Freigaben, nennt sich dort ABE (access based enumeration). Wirst Du somit nicht vollständig leisten können, aber wozu auch? Wenn ich mir vorstelle, Du hast da Ordner Firma1 und Firma2, dann wird zwar der Ordnername "Firma2" für F.1 sichtbar sein, aber ist das tatsächlich zwingend zu verhindern? Ebenso könnten die Nutzer natürlich die Namen der anderen Nutzerprofile sehen - ist nicht zu verhindern.
-Admin$, c$: kein Problem. Da können eh nur Admins ran.
Bitte warten ..
Mitglied: Dani
29.06.2012 um 16:52 Uhr
Moin,
die grunsätzliche Frage ist: Für wie viel Kunden soll diese Infrastuktur sein? Reden wir von 10 oder 100.
Des Weiteren muss dir klar sein, dass du unbedingt regeln solltest wäre für die Datensicherung zuständig ist. Du oder der Kunde selber?!

Wir haben sowas ähnliches für ca. 2.000 Kunden über Citrix und WebDav abgebildet. D.h. eine seperate Plattform mit ADS und entsprechende Anzahl von Citrixserver. Der Kunde kann somit über Citirx Reciver seine Anwendungen aufrufen und sieht auch dort sein Datenverzeichnis via. Netzlaufwerk.
Er hat aber auch die Möglichkeit direkt auf einem eigenen Server bei sich, das Datenlaufwerk via WebDav zu verbinden. Um die administrativen Freigaben würde ich mir keine Sorgen machen.


Grüße,
Dani
Bitte warten ..
Mitglied: HubertN
29.06.2012 um 17:24 Uhr
Moin

Zitat von DerWoWusste:
Moin. Denk mal über folgendes nach: mit Eurer Serverlizenz darfst Du innerhalb von Hyper V auf dem selben Server einen
weiteren Server installieren und könntest diesen zur Trennung verwenden.

grundsätzlich ja - aber wozu soll das gut sein, denn auf dem Hyper-V-Server dürfen bekanntlich keine weiteren Dienste laufen

Ansonsten gilt auch, dass man eine TS und DC niemals auf der gleichen Maschine laufen haben soll...

Und die Umsetzung wäre mit einer TS Lockdownpolicy denkbar einfach. Das hat DerWoWusste ja schon angedeutet, dass sich über eine aktivierte ABE die Netzwerkfreigaben ausblenden lassen. Wieso also nicht die lokalen Laufwerke einfach per GPO ausblenden und die benötigten datenstrukturen über ein verbundenes Netzlaufwerk zuweisen ?!

Problematisch dürfte bei dem Vorhaben aber auch die Lizenzierung des Ganzen sein. Hast du eine fixe Zahl, wie viele benutzer oder Clients Zugriff auf den Server nehmen werden ?

Gruß

Hubert
Bitte warten ..
Mitglied: MCSasch
29.06.2012 um 17:32 Uhr
Vielen Dank für die schnellen Antworten.

Ich werde die Situation nun aus einem anderen Gesichtspunkt eruieren können und eventuell nochmal mit dem Vorgesetzen reden.

Die Anzahl momentan liegt bei 2 Kunden mit insgesamt 15 Nutzern. Die Zugriffslizenzierung erfolgt über gekaufte User CALs.
Bitte warten ..
Mitglied: DerWoWusste
29.06.2012 um 17:39 Uhr
Moin HubertN.

Was meinst Du mit "auf dem Hyper-V-Server dürfen bekanntlich keine weiteren Dienste laufen"?
Kommentar noch zu "Wieso also nicht die lokalen Laufwerke einfach per GPO ausblenden" - das geht so nicht zuverlässig. Im Explorer kannst Du einfach als Nutzer manuell c: in die Adresszeile eingeben und schon siehst Du alles.
Bitte warten ..
Mitglied: HubertN
29.06.2012 um 17:45 Uhr
Moin nochmal

o.k. - den kompletten Zugriff kann ich ja nicht speren, weil da ja auch noch irgendwo die Datenverzeichnisse liegen sollen.

Ansonsten: Warum der Hyper-V-Host keine (!) weiteren Dienste ausführen sollte

Gruß und schönes WE
Bitte warten ..
Mitglied: DerWoWusste
29.06.2012, aktualisiert um 18:10 Uhr
Zu Deinen faq-o-matic - verstehe ich. Aber Du kannst nicht bestreiten, dass dies wie eine mustergültige Lösung erscheint, vorausgesetzt, man hat ausreichend virtuelle Lizenzen. Mit einer Enterprise Lizenz kann er ja schon 4 Server anbieten und auf dem brauchen keine weiteren Dienste zu laufen, er virtualisiert den jetzigen DC in eine der 4 (könnte er zumindest, ob's nun das Schlauste ist... er sollte vielleicht lieber eine Enterpriselizenz zusätzlich kaufen), bleiben 3 für getrennten Kundenzugriff. Mit Datacenter (ja, kostet einiges, ist bekannt) hat er sogar beliebig viele VMs. Nur mit der Standardlizenz ist es so, wie Du sagst, da hatte ich nicht dran gedacht.
Bitte warten ..
Mitglied: HubertN
30.06.2012 um 13:19 Uhr
Da gebe ich dir absolut Recht. Ich würde dann die Fileservices, Terminaldienste und DC aufteilen. Mit einer einzigen Standardlizenz würde ich dieses Projekt so garnicht erst umsetzen.
Bitte warten ..
Mitglied: Zigeuner
02.07.2012 um 11:36 Uhr
Hallo Sascha,

die normalen Lizenzen decken dein Vorhaben nicht ab.
Hier musst du dir SPLA Lizenzen besorgen.

Gruß Sven
Bitte warten ..
Mitglied: MCSasch
02.07.2012 um 13:12 Uhr
Hallo zusammen. Ich bin Euch sehr dankbar, das Ihr diese Diskussion so weit getrieben habt, dass ich einige Ansätze für so ein Problem bekommen habe.

Aber wie das nunmal so ist, bin ich einer Fehlinformation auferlegen.

So wie es mir geschildert wurde sollte der Kunde remote auch auf seinen Bereich Vollzugriff erhalten. Dem ist nicht so...

Der Kunde soll zwar einen Zugriff remote erhalten, jedoch soll auf seinem Desktop lediglich eine Verlinkung zu einem bestimmten Verzeichnis, und ein Link zu einem Programm enthalten, welches von uns für jeden Kunden separat zur Verfügung gestellt wird.

Taskleiste, Startmenü usw. sollten für den Kunden nicht zur Verfügung stehen.

Jetzt werde ich mich erstmal mit der Gruppenrichtlinien vertraut machen müssen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...