Jump to content

Wie Rechner lizenzsicher vom Zugriff auf den TS abhalten?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Um das Gnaze abzukürzen:

 

Die Geräte müssen eineindeutig identifizierbar sein, da die Applikationslizenz einem Gerät zugewiesen werden muss.

 

Benutzerkonten und IP Adressen sind dazu nicht geeignet. Warum haben wir schon weiter oben in diesem Thread ausgeführt.

 

Das einzige bisher von MS in Audits akzeptierte Identifikationsmerkmal war die MAC Adresse des Rechners.

 

Fazit ist dass jede Identifikation die auf etwas anderem als der MAC Adresse (oder einem noch schwerer zu manipulirenden Merkmal) basiert von Microsoft nicht akzeptiert wird.

 

Daher wiederhole ich meine Frage zum letzten Mal:

 

An welchem Merkmal willst du die einzelnen Geräte identifizieren?

Link zu diesem Kommentar

Ich gebe es auf. Solange auch Du - wie wir alle auch - keine verlässliche Quelle angeben kannst wo steht, dass ausschliesslich MAC akzeptiert wird, steht es einfach Aussage gegen Aussage.

 

Gemäss meiner Kommunikation mit dem Support, ist das WIE der technischen Umsetzung theoretisch ziemlich egal. Wichtig ist, dass man mit keinem Gerät welches nicht lizenziert ist, auf den TS zugreifen kann und es für einen normalen User auch keine Möglichkeit gibt, die Einschränkung einfach so zu umgehen.

 

Man kann meines Wissens allerdings erst seit 2008 R2 Firewall-Richtlinien so detailiert erstellen (ähnlich wie im ISA/TMG). Deshalb würde ich sagen, dass es bis 2008 R2 korrekt ist, dass es nicht so einfach geht.

 

Die ganze MS-Sicherheit basiert auf AD. AD soll nun plötzlich nicht gut genug sein um eine Zugriffsbeschränkung für Ihre Produkte zu bewerkstelligen? Bei allem Respekt, das klingt ziemlich an den Haaren herbeigezogen.

 

Helfen tut sicher, wenn man das Computerkonto, zur Sicherheit halt auch noch die MAC in einer Excel-Liste aufführt. Dann ist es - neben der technischen Umsetzung - lizenztechnisch klar zugewiesen.

Link zu diesem Kommentar

Es gibt keine verlässliche Quelle, weil MS es vorzieht für jedes Gerät eine Office Lizenz abzurechnen und de facto keine Anleitung wie dies zum umgehen sei anbietet.

 

Ich kann mich nur wiederholen: Aus eigener Erfahrung bei einem MS Audit wurde eine solche MAC Filterung mit seperater TS Abtrennung in einem eigenen physikalischen Netz mit MAC-basierter Zugriffssteuerung als zulässig akzeptiert.

 

Dies gilt logischerweise nicht als pauschale Empfehlung, weil diese Akzeptanz im Ermessen von MS liegt, weswegen man am Besten mit "für jedes Gerät, welches auf den TS zugreifen kann mit einer Office Lizenz ausrüsten" oder "Office nicht auf einem TS installieren und verwenden" als einzigen zulässigen Methoden fährt, ob es einem gefällt oder nicht.

 

Mehr haben wir hier auch nie behauptet.

 

Die Zuweisung auf ein Computerkonto ist, mit Verlaub, lächerlich, ich kann jedes Computerkonto löschen und mit einem neuen Gerät mit gleichem Namen erstellen. Das ist und bleibt kein Alleinstellungsmerkmal. Da Office aber per Gerät lizenziert wird müsste man hier im AD einem Computerobjekt den Zugriff auf einen TS verweigern und das zuverlässig nur auf das Gerät bezogen. Das ist eben im AD so nicht möglich und daher taugt das AD hier auch nicht als Zugriffsbeschränkung, so einfach ist das.

 

Was machen denn alle Kunden die andere Verzeichnisdienste und kein AD verwenden? Die Lizenzbedingungen sind universell gültig, ob mit oder ohneVerwendung eines AD.

 

Grüsse

 

Gulp

bearbeitet von Gulp
Ergänzung
Link zu diesem Kommentar

Die Zuweisung auf ein Computerkonto ist, mit Verlaub, lächerlich, ich kann jedes Computerkonto löschen und mit einem neuen Gerät mit gleichem Namen erstellen.

Gulp

 

Genauso kann an den PC von MA 1 MA 2 arbeiten und dort einen Lizenzverstoß begehen.

Der Aufwand ist dort auch kein anderer als bei den getrennten Netzen, bei den man einfach die Verbindung wieder überbrückt.

Ein Lizenzverstoß kann nicht absolut Nutzungsbestimmungen "kontrolliert" werden, wieso dies MS so verzweifelt an der Stelle versucht ist mir zumindest schleierhaft.

Sowas dient niemanden, nicht einmal MS selbst.

 

Grüße Admin

Link zu diesem Kommentar
Genauso kann an den PC von MA 1 MA 2 arbeiten und dort einen Lizenzverstoß begehen.

Der Aufwand ist dort auch kein anderer als bei den getrennten Netzen, bei den man einfach die Verbindung wieder überbrückt.

Ein Lizenzverstoß kann nicht absolut Nutzungsbestimmungen "kontrolliert" werden, wieso dies MS so verzweifelt an der Stelle versucht ist mir zumindest schleierhaft.

Sowas dient niemanden, nicht einmal MS selbst.

 

Grüße Admin

 

Ich würde es anders formulieren, Microsoft hätte an dieser Stelle lieber gesehen, dass die Nutzungsbedingungen so nicht erfüllt wurden, sondern nur mit der Komplettlizenzierung aller Geräte.

Beim besagten Audit musste Microsoft letztlich aber diese Kröte schlucken, da man de facto die Einhaltung der Nutzungsbedingungen nachweisen und kein nicht-lizenziertes Gerät auf den TS zugreifen konnte.

 

Es wäre Microsoft deutlich lieber gewesen, man hätte kräftig nachlizenzieren müssen, daher wird man das sicher nicht an die grosse Glocke hängen (wollen) und keine schlafenden Hunde wecken. Inwieweit Microsoft ein solches Konstrukt bei aktuellen Audits bewertet, hängt sicherlich auch vom konkreten Fall ab.

 

Grüsse

 

Gulp

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...