Dr.Melzer 191 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 @Weingeist: Ich wiederhole meien Frage: Worann willst du dabei die einzelnen Geräte identifizieren? Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 Ich wiederhole meine Antwort, mit dem dem Computerkonto aus dem AD. Was ist daran nicht klar? Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 Ich wiederhole meine Antwort, mit dem dem Computerkonto aus dem AD. Du erkennst Geräte am Benutzerkonto? Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 Also ich verstehe wirklich nicht, was daran so schwer zu verstehen ist. Wenn ich eine Liste mit Computern/Geräte - nicht ein Benutzer- definiere welche sich per RDP auf meinen TS verbinden dürfen und diese per Windows-Firewall Filtere (es gibt jeden PC nur 1x im AD), wie soll sich dann ein 'falsches' Gerät auf den TS verbinden? Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 Um das Gnaze abzukürzen: Die Geräte müssen eineindeutig identifizierbar sein, da die Applikationslizenz einem Gerät zugewiesen werden muss. Benutzerkonten und IP Adressen sind dazu nicht geeignet. Warum haben wir schon weiter oben in diesem Thread ausgeführt. Das einzige bisher von MS in Audits akzeptierte Identifikationsmerkmal war die MAC Adresse des Rechners. Fazit ist dass jede Identifikation die auf etwas anderem als der MAC Adresse (oder einem noch schwerer zu manipulirenden Merkmal) basiert von Microsoft nicht akzeptiert wird. Daher wiederhole ich meine Frage zum letzten Mal: An welchem Merkmal willst du die einzelnen Geräte identifizieren? Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 Ich gebe es auf. Solange auch Du - wie wir alle auch - keine verlässliche Quelle angeben kannst wo steht, dass ausschliesslich MAC akzeptiert wird, steht es einfach Aussage gegen Aussage. Gemäss meiner Kommunikation mit dem Support, ist das WIE der technischen Umsetzung theoretisch ziemlich egal. Wichtig ist, dass man mit keinem Gerät welches nicht lizenziert ist, auf den TS zugreifen kann und es für einen normalen User auch keine Möglichkeit gibt, die Einschränkung einfach so zu umgehen. Man kann meines Wissens allerdings erst seit 2008 R2 Firewall-Richtlinien so detailiert erstellen (ähnlich wie im ISA/TMG). Deshalb würde ich sagen, dass es bis 2008 R2 korrekt ist, dass es nicht so einfach geht. Die ganze MS-Sicherheit basiert auf AD. AD soll nun plötzlich nicht gut genug sein um eine Zugriffsbeschränkung für Ihre Produkte zu bewerkstelligen? Bei allem Respekt, das klingt ziemlich an den Haaren herbeigezogen. Helfen tut sicher, wenn man das Computerkonto, zur Sicherheit halt auch noch die MAC in einer Excel-Liste aufführt. Dann ist es - neben der technischen Umsetzung - lizenztechnisch klar zugewiesen. Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 (bearbeitet) Es gibt keine verlässliche Quelle, weil MS es vorzieht für jedes Gerät eine Office Lizenz abzurechnen und de facto keine Anleitung wie dies zum umgehen sei anbietet. Ich kann mich nur wiederholen: Aus eigener Erfahrung bei einem MS Audit wurde eine solche MAC Filterung mit seperater TS Abtrennung in einem eigenen physikalischen Netz mit MAC-basierter Zugriffssteuerung als zulässig akzeptiert. Dies gilt logischerweise nicht als pauschale Empfehlung, weil diese Akzeptanz im Ermessen von MS liegt, weswegen man am Besten mit "für jedes Gerät, welches auf den TS zugreifen kann mit einer Office Lizenz ausrüsten" oder "Office nicht auf einem TS installieren und verwenden" als einzigen zulässigen Methoden fährt, ob es einem gefällt oder nicht. Mehr haben wir hier auch nie behauptet. Die Zuweisung auf ein Computerkonto ist, mit Verlaub, lächerlich, ich kann jedes Computerkonto löschen und mit einem neuen Gerät mit gleichem Namen erstellen. Das ist und bleibt kein Alleinstellungsmerkmal. Da Office aber per Gerät lizenziert wird müsste man hier im AD einem Computerobjekt den Zugriff auf einen TS verweigern und das zuverlässig nur auf das Gerät bezogen. Das ist eben im AD so nicht möglich und daher taugt das AD hier auch nicht als Zugriffsbeschränkung, so einfach ist das. Was machen denn alle Kunden die andere Verzeichnisdienste und kein AD verwenden? Die Lizenzbedingungen sind universell gültig, ob mit oder ohneVerwendung eines AD. Grüsse Gulp bearbeitet 6. November 2012 von Gulp Ergänzung Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. November 2012 Melden Teilen Geschrieben 7. November 2012 Die Zuweisung auf ein Computerkonto ist, mit Verlaub, lächerlich, ich kann jedes Computerkonto löschen und mit einem neuen Gerät mit gleichem Namen erstellen. Gulp Genauso kann an den PC von MA 1 MA 2 arbeiten und dort einen Lizenzverstoß begehen. Der Aufwand ist dort auch kein anderer als bei den getrennten Netzen, bei den man einfach die Verbindung wieder überbrückt. Ein Lizenzverstoß kann nicht absolut Nutzungsbestimmungen "kontrolliert" werden, wieso dies MS so verzweifelt an der Stelle versucht ist mir zumindest schleierhaft. Sowas dient niemanden, nicht einmal MS selbst. Grüße Admin Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 7. November 2012 Melden Teilen Geschrieben 7. November 2012 Genauso kann an den PC von MA 1 MA 2 arbeiten und dort einen Lizenzverstoß begehen. Eben nicht, da die Office Lizenz zu dem Gerät gehöt, egal wer daran arbeitet. Ein Gerät, eine Office Lizenz, beliebig viele Mitarbeiter die auf dem Gerät arbeiten. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. November 2012 Melden Teilen Geschrieben 7. November 2012 Das ist bekannt - War auch auf andere Produkte bezogen bei denen das nicht der Fall ist. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 7. November 2012 Melden Teilen Geschrieben 7. November 2012 Das ist bekannt - War auch auf andere Produkte bezogen bei denen das nicht der Fall ist. Dann bleibe bitte in Zukunft on topic! In deisem Thread geht es Um den Zugriff auf Terminalserver und den Zugriff auf die darauf nutzbaren Applikationen. Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 7. November 2012 Melden Teilen Geschrieben 7. November 2012 Genauso kann an den PC von MA 1 MA 2 arbeiten und dort einen Lizenzverstoß begehen.Der Aufwand ist dort auch kein anderer als bei den getrennten Netzen, bei den man einfach die Verbindung wieder überbrückt. Ein Lizenzverstoß kann nicht absolut Nutzungsbestimmungen "kontrolliert" werden, wieso dies MS so verzweifelt an der Stelle versucht ist mir zumindest schleierhaft. Sowas dient niemanden, nicht einmal MS selbst. Grüße Admin Ich würde es anders formulieren, Microsoft hätte an dieser Stelle lieber gesehen, dass die Nutzungsbedingungen so nicht erfüllt wurden, sondern nur mit der Komplettlizenzierung aller Geräte. Beim besagten Audit musste Microsoft letztlich aber diese Kröte schlucken, da man de facto die Einhaltung der Nutzungsbedingungen nachweisen und kein nicht-lizenziertes Gerät auf den TS zugreifen konnte. Es wäre Microsoft deutlich lieber gewesen, man hätte kräftig nachlizenzieren müssen, daher wird man das sicher nicht an die grosse Glocke hängen (wollen) und keine schlafenden Hunde wecken. Inwieweit Microsoft ein solches Konstrukt bei aktuellen Audits bewertet, hängt sicherlich auch vom konkreten Fall ab. Grüsse Gulp Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.