matrix85 0 Geschrieben 25. Februar 2014 Melden Teilen Geschrieben 25. Februar 2014 (bearbeitet) Hallo,ich suche derzeit verzweifelt nach einer Antwort auf mein Lizenzproblem. Mein GoldPartner konnte mir die Frage nicht wirklich beantworten.Ich betreibe einen Windows Server 2012 und benötige für ein spezielles Programm Office 2013.Jedoch benötigt nur ein Benutzer Office. Alle anderen Benutzer (14 Stück) an dem Server (greifen über RDP zu), benötigen kein Office - auch zukünftig nicht.Nun meinte mein Goldpartner, dass ich trotzdem 15 Lizenzen kaufen müsse, da diese ja in der theorie auf Word etc zugreifen könnten.Aber wieso kann ich nicht eine GOP erstellen, welche das ausführen und starten jeglicher Office Programme verbietet?!? Das geht nicht in meinen Kopf. Es wird doch immer gesagt, dass man vieles technisch unterbinden muss.Und auch wenn ich einen neuen Server auf HyperV starte, könnten die benutzer ja - da sich alle in der selben domäne befinden - auf office zugreifen.Oder muss ich dann auch noch eine neue Domäne erstellen, wo nur ein Benutzer drauf Zugriff hat? Gruß M. bearbeitet 25. Februar 2014 von matrix85 Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 25. Februar 2014 Melden Teilen Geschrieben 25. Februar 2014 (bearbeitet) Ganz einfach, weil du Office nicht pro User (Ausnahme Office 365) lizenzierst, sondern pro Gerät. Und da alle Geräte auf den Terminalserver zugreifen sollen, benötigst du eben für alle zugreifenden Geräte genau die identische Office Version als Lizenz. Bye Norbert PS: Die Diskussion gibt's hier im Forum schon mehrere Male. PPS: Es heißt Lizenzierung. ;) bearbeitet 25. Februar 2014 von NorbertFe Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 25. Februar 2014 Melden Teilen Geschrieben 25. Februar 2014 Ich betreibe einen Windows Server 2012 und benötige für ein spezielles Programm Office 2013. Jedoch benötigt nur ein Benutzer Office. Alle anderen Benutzer (14 Stück) an dem Server (greifen über RDP zu), benötigen kein Office - auch zukünftig nicht. Nun meinte mein Goldpartner, dass ich trotzdem 15 Lizenzen kaufen müsse, da diese ja in der theorie auf Word etc zugreifen könnten. Da hat er Recht. Aber wieso kann ich nicht eine GOP erstellen, welche das ausführen und starten jeglicher Office Programme verbietet?!? Weil eine GPO auf Benutzerebene funktioniert, Du aber auf Geräteebene Filtern musst. Oder muss ich dann auch noch eine neue Domäne erstellen, wo nur ein Benutzer drauf Zugriff hat? Du musst technisch verhindern dass die nicht lizenzierten Geräte auf den TS mit dem Office zugreifen können. Dabei müssen die Geräte an einem eindeutigen, nicht leicht veränderbaren Merkmal identifizierbar sein. Aktuell ist das einzige von MS dafür akzeptierte Merkmal dass mir bekannt ist die MAC Adresse. Du benötigst also einen Mechanismus der die nicht lizenzierten Geräte an der MAC Adresse identifiziert und ihnen dann Zugriff auf den TS verwehrt. Geht das über GPOs? Zitieren Link zu diesem Kommentar
matrix85 0 Geschrieben 25. Februar 2014 Autor Melden Teilen Geschrieben 25. Februar 2014 @ NorbertFe -> Danke für den Hinweis. Ich hab immer nur etwas von OpenLicense gehört, dachte da gleich an das für mich logischste, eine UserCal.... aber das war genau mein Fehler. Somit kann ich das nun auch besser nachvollziehen und verstehen. @Dr.Melzer das mit der Geräteebene ist der richtige Hinweis für mich. Daraus ergibt sich für mich, dass ich eine weitere Windowsinstallation (Windows 2012) erstelle. Diese ist nicht in der Domäne vom Terminalserver enthalten und hier gibt es nur einen Benutzer - welcher auch nur mit einem Gerät(Notebook) auf den Server per RDP zugreift. Da hier nur ein Benutzer existiert, kann ich ja so sicherstellen, dass nur dieser Office verwendet. Alle anderen arbeiten auf einem anderen Server und haben somit gar keine Möglichkeit auf dem neuen Server mit Office zu arbeiten bzw. sich zu verbinden. Oder hab ich hier gerade einen Gedankenfehler? Gruß Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 25. Februar 2014 Melden Teilen Geschrieben 25. Februar 2014 Daraus ergibt sich für mich, dass ich eine weitere Windowsinstallation (Windows 2012) erstelle. Diese ist nicht in der Domäne vom Terminalserver enthalten und hier gibt es nur einen Benutzer - welcher auch nur mit einem Gerät(Notebook) auf den Server per RDP zugreift. Da hier nur ein Benutzer existiert, kann ich ja so sicherstellen, dass nur dieser Office verwendet. Alle anderen arbeiten auf einem anderen Server und haben somit gar keine Möglichkeit auf dem neuen Server mit Office zu arbeiten bzw. sich zu verbinden. Wieviele Nutzer mit dem Office auf dem TS arbeiten ist vollkommen egal, solange sie es von lizenzierten Geräten tun. Oder hab ich hier gerade einen Gedankenfehler? Offensichtlich. Wie stellst du sicher, dass ich mich von einem anderen PC nicht als dieser "eine" Nutzer auf dem anderen TS anmelde? Was ist so mißverständlich an "Office wird pro Gerät lizenziert", dass du jetzt auf nur ein Benutzer in einer eigenen Installation kommst? Bye Norbert Zitieren Link zu diesem Kommentar
matrix85 0 Geschrieben 25. Februar 2014 Autor Melden Teilen Geschrieben 25. Februar 2014 Na aber das kann man doch nie sicherstellen. in der praxis kann ich doch nie unterbinden, dass sich nicht zufällig jemand mit einem anderen pc über rdp einlogt. wenn der server mit dem internet verbunden ist, können ja tausende pcs (theoretisch) drauf zugreifen... das mit der lizenzierung "Office wird pro Gerät lizenziert" verstehe ich ja nun oder möchte microsoft wirklich, dass ich noch eine entsprechende (hardware)firewall einrichte, welche nur eine rdp verbindung von einem pc mit einer bestimmten mac adresse auf den server zulässt? Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 25. Februar 2014 Melden Teilen Geschrieben 25. Februar 2014 Na aber das kann man doch nie sicherstellen. Doch kann man. in der praxis kann ich doch nie unterbinden, dass sich nicht zufällig jemand mit einem anderen pc über rdp einlogt. Warum sollte man das nicht können? wenn der server mit dem internet verbunden ist, können ja tausende pcs (theoretisch) drauf zugreifen... Tja, das ist dein Problem, das du lösen müßtest. Und ja, in dem Moment wo private Geräte dazukommen wird es schnell teuer oder aufwändig oder beides. ;) das mit der lizenzierung "Office wird pro Gerät lizenziert" verstehe ich ja nun Gut. oder möchte microsoft wirklich, dass ich noch eine entsprechende (hardware)firewall einrichte, welche nur eine rdp verbindung von einem pc mit einer bestimmten mac adresse auf den server zulässt? Ja, oder VLANs oder beliebige andere Technologien, die genau das sicherstellen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
lizenzdoc 207 Geschrieben 26. Februar 2014 Melden Teilen Geschrieben 26. Februar 2014 Moin, man kann das auch etwas einfach gestalten, was die Microsoft und die KPMG auch akzeptieren. Liste auf, welche Devices und somit welche MAC-Adressen mit einer Applikation (z.B. Office-Std) lizenziert sind. dann bau ein Script, welches beim Log-on diese Liste abfragt. Steht die Mac-Adresse nicht drin, verweigere somit den Log-on zum TS mit dem Hinweis "Zugriff/Device ist nicht dafür lizenziert" . Zusätzlich ein Schreiben der GL an alle MA, dass dies zu beachten/befolgen ist, wegen dem Lizenzrecht. Und schon bist du sauber beim Audit. Alle Versuche via GPO erzeugen nur ein Lächeln beim Audit. VG, Franz Zitieren Link zu diesem Kommentar
Schwarzwald 0 Geschrieben 20. April 2015 Melden Teilen Geschrieben 20. April 2015 Hallo Franz, ich habe gerade das gleiche Problem mit Terminalserver (Citrix) und Office. Klar ist inzwischen, dass ich eine Einschränkung der Geräte brauche. Dazu fehlt mir das (gewisse) Wissen wenn ich beim Login eine MAC Adresse erkannt habe die nicht auf den einen (der drei) Terminalserver zugreifen darf, wie schränke ich per Batch den Zugriff auf diesen einen Server ein? Ich hoffe du kannst mir einen Tipp in die richtige Richtung geben, oder vielleicht hat schon jemand so ein Script erstellt und kann es zur Verfügung stellen. Ich bin für jeden TIpp dankbar. lg Thomas Zitieren Link zu diesem Kommentar
lizenzdoc 207 Geschrieben 21. April 2015 Melden Teilen Geschrieben 21. April 2015 Hi Thomas, schau mal hier : http://www.mcseboard.de/topic/202787-office-auf-terminalserver/ das Script solltest Du dann anpassen(lassen). Am Ende hast Du eine Liste von MAC-Adr, die sauber/legal lizenziert sind.Das Script fährt also einen Abgleich dagegen. Wenn eine MAC-Adr nicht lizenziert ist, darf man auch nicht zugreifen. So kann man (laut MS + KPMG auditsicher) auch auf 2 TS-Servern Office-Std und Office-Pro trennen. Und Dein "GOLD-Partner" liegt falsch! Microsoft will zwar viel, aber nicht alles ... :) Wenn dein GOLD-Partner in einem rechtsverbindlichen Vertragsbestandteil ( Vertrag, PURs oder Productlist) irgendwo einen Konjunktiv wie "könnte" oder "würde" findet, berate ich gerne einen seiner Kunden kostenfrei :) Egal ob bei den Lizenzen oder im Securitybereich ... MS lizenziert nur die Faktenlage! Und vergiss nicht, die ganzen Lizenzierungen, die Du so machst und gemacht hast,schriftlich zu dokumentieren in einem einfachen Word od. Excel. (Vertragspflicht!) Vg, Franz Zitieren Link zu diesem Kommentar
Schwarzwald 0 Geschrieben 21. April 2015 Melden Teilen Geschrieben 21. April 2015 Hi Franz, vielen Dank erst mal für die Info. Vielleicht kannst du mir noch bei einem Gedankenknoten helfen. Sagen wir mal drei Terminalserver (Citrix). Auf einem ist Office installiert und nur Office. Darauf sollen von 30 Terninalservernutzer 5 zugreifen. (Auf das Office) Alle sollen aber auf die anderen zwei Terminalserver kommen. Beim Zugang eines Gerätes (PC) wird das Logonscript auf dem DC liegend ausgeführt. Wenn ich, wie in dem Script geschehen, den nicht autorisiterten PC herunterfahre (shutdown /l) kann der ja nicht auf die anderen Citrix Server zugreifen. (was er aber soll) Hab ich da was falsch verstanden? Ist bestimmt der Knoten in meinem Kopf? verschlafene Grüße Thomas Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 21. April 2015 Melden Teilen Geschrieben 21. April 2015 Hi Franz, vielen Dank erst mal für die Info. Vielleicht kannst du mir noch bei einem Gedankenknoten helfen. Sagen wir mal drei Terminalserver (Citrix). Auf einem ist Office installiert und nur Office. Darauf sollen von 30 Terninalservernutzer 5 zugreifen. (Auf das Office) Alle sollen aber auf die anderen zwei Terminalserver kommen. Beim Zugang eines Gerätes (PC) wird das Logonscript auf dem DC liegend ausgeführt. Wenn ich, wie in dem Script geschehen, den nicht autorisiterten PC herunterfahre (shutdown /l) kann der ja nicht auf die anderen Citrix Server zugreifen. (was er aber soll) Hab ich da was falsch verstanden? Ist bestimmt der Knoten in meinem Kopf? Shutdown /l auf einem Terminalserver ausgeführt macht einen Logout der TS Session und macht nichts am lokalen PC :) Zitieren Link zu diesem Kommentar
Schwarzwald 0 Geschrieben 21. April 2015 Melden Teilen Geschrieben 21. April 2015 Hi Franz, wie kann ich das anstellen, daß das "shutdown" nur auf dem bestimmten Terminalserver ausgeführt wird? Denn das Anmeldescript läuft ja auf dem AD Server und nicht auf dem Terminalserver. Hab mich da wohl etwas umständlich ausgedrückt. :( Thomas Zitieren Link zu diesem Kommentar
lizenzdoc 207 Geschrieben 21. April 2015 Melden Teilen Geschrieben 21. April 2015 Hi, ich bin da (program-)technisch der falsche, da keine Ahnung. Das Script sollte ja nur auf dem office-TS laufen und den Zugriff der (nicht-) lizenzierten PCs steuern. Auf den zwei weiteren ist ja kein office drauf, also braucht man da nix und hat freien Zugriff. Wie Du das Script jetzt anpasst, muss Du bitte jemanden fragen der da Ahnung hat. VG, Franz Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 21. April 2015 Melden Teilen Geschrieben 21. April 2015 Einfach als Loginscript für den jeweiligen Terminalserver anlegen. Wo das Script liegt ist total egal, solange die Rechte stimmen und die User das Skript ausführen können. Du verwechselt da glaube ich einige Sachen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.