testosteron 10 Geschrieben 11. März 2014 Melden Teilen Geschrieben 11. März 2014 Hallo in die Runde, ich muss ein wenig weiter ausholen damit Ihr mein Anliegen / Frage versteht. Villeicht gab es diese Frage auch schon und ich habe sie vor lauter DFS Beiträgen nicht gefunden. Es geht um zwei Standorte. Am Standort A sind alle Server vorhanden. Am Standort B befinden sich nur 7 Workstations. Standort B ist via VPN an Standort A angebunden. Beide Standorte hängen in einer Domain. Was ich vor habe:Ich möchte die Benutzer am Standort B sehr stark in Ihren Benutzerrechten einschränken (irgendwann auch am Standort A). Was mir dazu zu meinem "Glück" noch fehlt ist dass ich den Benutzern den Zugriff auf Laufwerk C komplett abschalten kann. Dazu müsste ich mit Ordnerumleitungen arbeiten, da die Benutzer sonst ja nicht mal mehr auf ihren persönlichen Ordner zugreifen können. Meine Idee:Am Standort B gibt es einen Rechner der eine Freigabe (UserShare) hat in der alle Ordnerumleitungen *(nicht die Profile) drin liegen. Am Standort A gibt es auf dem Fileserver die gleiche Freigabe und alles wird über DFS-N in einen Namespace gelegt. (Bis hierhin dürfte meine Überlegung noch OK sein) Nun wird es kritisch: Nun kann es aber in den seltensten Fällen auch mal vorkommen das ein Benutzer der eigentlich am Standort A arbeitet am Standort B auch mal an einen PC muss, und umgekehrt. Also müssten die Ordnerumleitungen *(nicht die Profile) per DFS-R repliziert werden. Zwischen abmeldung Standort A und Anmeldung Standort B liegen mal mindestens 30 Minuten, eher ein ganzer Tag. (ist das auch noch OK?) Plan zusammengefasst: Ordnerumleitungen auf Namespace (\\domain.local\UserShare) Replizierung der darin enthaltenen Freigaben zwischen beiden Standorten. *(Profile wären weiterhin lokal auf den jeweiligen Rechnern). * => Klar wäre es schön auch die Profile Severgespeichert zu haben, aber: 1) ist wohl keine unterstützte Variante 2) wenn die VPN Verbindung mal zusammenbrechen würde könnten sich die User mit den lokal gespeicherten Profilen ja noch anmelden (wenn schon mal geschehen) Habe ich einen riesen Denkfehler, oder kann man das so machen? Viele Grüße Christian Zitieren Link zu diesem Kommentar
testosteron 10 Geschrieben 11. März 2014 Autor Melden Teilen Geschrieben 11. März 2014 Zu kompliziert, oder bin ich einfach zu doof? Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 11. März 2014 Melden Teilen Geschrieben 11. März 2014 DFS-R liest sich toll, macht aber in der Praxis viel Probleme. Für Benutzerprofile ist es unsupported. Wieso willst du den Nutzern den Zugriff auf C nehmen. Das kann nicht klappen, mit was sollen die denn dann arbeiten - immerhin liegen da ja die Programme. Zitieren Link zu diesem Kommentar
testosteron 10 Geschrieben 11. März 2014 Autor Melden Teilen Geschrieben 11. März 2014 Wieso willst du den Nutzern den Zugriff auf C nehmen. Das kann nicht klappen, mit was sollen die denn dann arbeiten - immerhin liegen da ja die Programme. Arbeiten geht ohne Probleme. Habe ich schon in einem anderem Netzwerk erfolgreich umgesetzt: Die Benutzer an sich haben keinen Zugriff auf die lokale Platten, und können nur Programme ausführen die schon installiert sind. Administrativer Aufwand gleich 0 da sie nix kaputt machen können :) Herrlich :) Nur dieses mal sind es halt zwei Standorte und der Fileserver steht leider am falschen Standort. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 11. März 2014 Melden Teilen Geschrieben 11. März 2014 Moin, Du kannst den Zugriff auf C sperren. Die User können weiterhin auf Applikationen und ihre Profile zugreifren. Allerdings hält sich nicht jedes Programm an die Spielregeln, daher sollte es vorher ausgiebig getestet werden. Ordnerumleitung und DFS können funktionieren. http://social.technet.microsoft.com/Forums/windowsserver/en-US/48dcdfed-0198-4b82-984a-e84232490df4/folder-redirection-to-a-dfs-share-located-on-our-cloud Wenn es jedoch nur um einzelne User geht, die ab und an mal am anderen Standort arbeiten, würde ich eher einen Single-Target Namespace ohne Replikation verwenden. Dann werden die Zugriffe zwar etwas langsamer, aber Du vermeistet potentielle Störungen. Wieso willst du den Nutzern den Zugriff auf C nehmen. Das kann nicht klappen, mit was sollen die denn dann arbeiten - immerhin liegen da ja die Programme. Wenn alles richtig konfiguriert wird und die Software sich an die Spielregeln hält, gibt es mit den Sperren von Laufwerk C keine Probleme. Zitieren Link zu diesem Kommentar
testosteron 10 Geschrieben 11. März 2014 Autor Melden Teilen Geschrieben 11. März 2014 Wenn es jedoch nur um einzelne User geht, die ab und an mal am anderen Standort arbeiten, würde ich eher einen Single-Target Namespace ohne Replikation verwenden. Dann werden die Zugriffe zwar etwas langsamer, aber Du vermeistet potentielle Störungen. Habe ich schon versucht: Direkter Zugriff über VPN auf den Fileserver in der Zentrale. Fazit: Wenn ich das so einrichte werde ich gesteinigt! Das dauert zu lange :( Mist, mein Plan ist eh erst mal dahin: Wollte die Filiale so schlank wie nur irgend möglich gestallten (Firewall, einige Drucker sowie 7 Clients). Dachte eigentlich das ein Client (Win 7 Pro) als Freigabe für die Dateien herhalten kann. Aber das geht bei DFS ja gar nicht :( Und mit einem NAS (habe hier noch ein QNAP TS-459 rumfliegen) scheint es auch nicht ohne weiteres zu gehen :( Also doch noch en Server in die Filiale. Oder hat irgendwer eine bessere Idee? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 11. März 2014 Melden Teilen Geschrieben 11. März 2014 Wie wär's mit Remote Desktop? Ein oder zwei RDS Hosts in die Zentrale und die Filiale arbeitet überhaupt nicht mit lokalen Ressourcen. Zitieren Link zu diesem Kommentar
testosteron 10 Geschrieben 11. März 2014 Autor Melden Teilen Geschrieben 11. März 2014 Dann wäre aber alles tot wenn die VPN Verbindung mal down ist. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 11. März 2014 Melden Teilen Geschrieben 11. März 2014 So ist es, es sei denn es gibt eine Backup Leitung. Letztlich musst Du entscheiden, welche Lösung Eure Anforderungen am besten erfüllt. Je konkreter die Anforderungen inklusive Budgetrahmen ausformuliert sind, umso eher läst sich eine passende Lösung finden. Zitieren Link zu diesem Kommentar
testosteron 10 Geschrieben 11. März 2014 Autor Melden Teilen Geschrieben 11. März 2014 Ne, gibt leider (momentan) noch keine richtige Backup Leitung. Und schneller als 1MBit bekomme ich sie leider auch nicht... Die Anforderungen sind klar: User sollen so wenig Rechte wie möglich an den Clients haben (Am besten nur die von mir vorgeschriebenen Programme verwenden können und mehr nicht) Benutzerdaten sollen per Ordnerumleitung von den lokalen Rechnern ferngehalten werden Benutzerdaten sollen zur Datensicherung in Zentrale auf dem NAS vorhanden/repliziert sein Benutzer aus beiden Standorten können die Standorte wechseln und trotzdem ihre Dateien schnell im Zugriff haben In der Filiale soll so wenig Hardware wie möglich stehen Bin kurz davor QNAP Sync einzusetzen um die Dateien zwischen dem NAS der Zentrale und einem WIN 7 Rechner in der Filiale (der dann als Fileserver herhalten müsste) zu synchronisieren... Zitieren Link zu diesem Kommentar
westie 0 Geschrieben 11. März 2014 Melden Teilen Geschrieben 11. März 2014 zu1 Script Idee erstelle auf dem Zielrechner ein Verzeichnis c:\UserAnwendungen in dieses Verzeichnis packst du die Verknüpfungen zu den Programmen, die der User zur Verfügung haben soll erstelle auf c:\ eine Datei Userstart.cmd mit folgendem Inhalt "C:\Programme\Internet Explorer\IEXPLORE.EXE" "C:\UserAnwendungen" Exit in der User-Karte im AD trägst du nun im Karteireiter "Umgebung" bei "Programm beim Anmelden starten" c:\Userstart.cmd ein Erfolg : Der User hat keine Systemoberfläche mehr sondern nur noch ein Ansicht der von dir vorgegebenen Verknüpfungen. Bricht der User dieses Fenster ab, sieht er nur einen blanken Bildschirmhintergrund Beendet der User das Fenster fährt der Rechner runter Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 12. März 2014 Melden Teilen Geschrieben 12. März 2014 Ich zerlege die Anforderungen mal etwas: User sollen so wenig Rechte wie möglich an den Clients haben (Am besten nur die von mir vorgeschriebenen Programme verwenden können und mehr nicht) Thin Client und RDS in der Zentrale Benutzerdaten sollen per Ordnerumleitung von den lokalen Rechnern ferngehalten werden Thin Client und RDS - gar keine lokalen Daten Ordnerumleitung und Roaming Profiles Benutzerdaten sollen zur Datensicherung in Zentrale auf dem NAS vorhanden/repliziert sein Thin Client und RDS DFS-R (ggf. mit schreibgeschütztem Ziel in der Zentrale) Benutzer aus beiden Standorten können die Standorte wechseln und trotzdem ihre Dateien schnell im Zugriff haben Thin Client und RDS Zugriff per WAN DFS-R Notebooks und Offline Files In der Filiale soll so wenig Hardware wie möglich stehen Thin Clients und RDS in der Zentrale Bin kurz davor QNAP Sync einzusetzen um die Dateien zwischen dem NAS der Zentrale und einem WIN 7 Rechner in der Filiale (der dann als Fileserver herhalten müsste) zu synchronisieren... Also keinen Server in der Filiale? Wie sollen sich die Benutzer an der Domäne anmelden, wenn kein DC zur Verfügung steht weil die Leitung down ist? Zitieren Link zu diesem Kommentar
testosteron 10 Geschrieben 23. März 2014 Autor Melden Teilen Geschrieben 23. März 2014 (bearbeitet) Gruß bearbeitet 23. März 2014 von testosteron Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.