m0insen 1 Geschrieben 19. August 2015 Melden Teilen Geschrieben 19. August 2015 Hallo zusammen, da wir noch einen Haufen Windows Server CALs ohne SA mitschleppen und bei uns ein Wechsel auf Windows Server 2012R2 ansteht, überlegen wir, wie wir im Active Directory nicht zu lizenzierende Accounts (Serviceaccounts, Zweitaccounts, Testaccounts, IT-Accounts,...) kennzeichnen. Wie sehen eure Erfahrungen im Betrieb/beim Kunden aus? Angestellte und Restaccounts durch Organization Units trennen? Oder nutzt ihr das Description Feld pro User Account? Würde mich über ein paar Ideen freuen. Grüße Zitieren Link zu diesem Kommentar
Gulp 260 Geschrieben 19. August 2015 Melden Teilen Geschrieben 19. August 2015 (bearbeitet) Da Accounts ohnehin nicht lizenziert werden müssen, sondern nur echte Personen, zählen wir ganz einfach unsere Mitarbeiter ...... oder Geräte je nachdem ..... Grüsse Gulp bearbeitet 19. August 2015 von Gulp Zitieren Link zu diesem Kommentar
m0insen 1 Geschrieben 20. August 2015 Autor Melden Teilen Geschrieben 20. August 2015 Hmm... klingt sinnig. ...passt bei uns leider nicht, dafür sind die einzelnen Standorte/Firmierungen zu unabhängig voneinander und ein reines MA = #User CALs funktioniert schon deshalb nicht, weil z.B. produktionnahe Mitarbeiter nur zum Teil Zugriff auf das Netzwerk haben. Trotzdem danke für das Feedback :) Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 20. August 2015 Melden Teilen Geschrieben 20. August 2015 Wenn Du mit User-CALs lizenzieren willst, dann musst Du auch jeden zugreifenden User lizenzieren. Da hilft es Dir nicht, wenn mehrere User sich einen Account z.B. teilen. Auch wenn ein produktionsnaher Mitarbeiter nur zum teil Netzwerkzugriff hat, muss er lizenziert werden, wenn er lizenzpflichtige Dienste direkt oder indirekt nutzt. da reicht schon die Zeiterfassung, wenn die z.B. die Daten im SQL-Server speichert. Zitieren Link zu diesem Kommentar
m0insen 1 Geschrieben 20. August 2015 Autor Melden Teilen Geschrieben 20. August 2015 Hallo Daniel, danke für die Ausführungen, das ist mir schon klar. Aus eben diesen Regeln erfolgt ja die Komplexität, die ich möglichst elegant und einfach zu lesen auch im AD abbilden möchte. Ich skizziere mal (modellhaft) eine Umgebung. Es gibt Den typischen Angestellten mit PC Zugriff <-- User CAL Den typischen Produktionsangestellten (Bsp: Logistikmitarbeiter). Dieser hat keinen individuellen Account, sondern teilt sich mit anderen ein Terminal, um Zugriff auf Aufträge zu haben <-- Device CAL Jetzt gibt es schon zwei Typen von User Objekten im AD, wobei ich die "Multi-User-Accounts" ja schon kennzeichnen und direkt sichtbar konkreten lizenzierten Device zuordnen möchte (z.B. in der Description oder über eigene OUs). Wir sind aber lang nicht fertig, sondern es gibt im AD noch jede Menge weitere Objekte vom Typ User... z.B. Service Accounts von Diensten Testaccounts von ITSM Mitarbeitern, um in bestimmte Berechtigungsrollen von Kunden schlüpfen zu können. administrative IT Accounts mit erhöhten Rechten temporär gesperrte Accounts, die aber nicht gelöscht werden dürfen (z.B. Mutterschutz) usw... Diese ganzen lizenzrechtlich wichtigen Unterschiede lassen sich in SAM Tools problemlos abbilden, bleiben dann aber im AD unsichtbar. Daher war/bin ich daran interessiert, wie andere ihr AD strukturieren... Grüße, Malte Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 20. August 2015 Melden Teilen Geschrieben 20. August 2015 Du bist dir hoffentlich im Klaren, daß bei Device-Cal für die Produktionskollegen, du jedes Gerät was aufs Netz zugreift auch mit Device-Cal versorgen musst? Drucker, Zeriterfassungsterminals, NW-Scanner, etc. Da kommt schnell eine grössere Liste zusammen. Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 20. August 2015 Melden Teilen Geschrieben 20. August 2015 Wir haben so "Funktionsaccounts" in einer AD Gruppe (weil etwas niedrigere Berechtigung) und in einer eigenen OU für die Übersichtlichkeit. Das hat bei uns aber nix mit der Lizenzierung zu tun. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.