Terminalserver auf DC. Bitte um konkrete Gründe die dagegen sprechen

[RobDust 11]

... die Aktion hat ein Kunde vor.... was genau spricht dagegen?

Hab immer wieder was von wegen der Sicherheit gelesen. Aus Sicherheitsgründen und so. Okay aber was genau`? Kann ich die User nicht mittels GOPs einschränken? Wird doch eh gemacht?

[NilsK 2.968]

Moin,

 

auf einem Terminalserver laufen Usersessions. User haben auf einem DC aber nichts zu suchen, weil dieser ein zentrales Sicherheitssystem ist.

 

Das fängt an bei simplen Dingen wie Dateien, die User nicht manipulieren und auch nicht lesen dürfen/sollen, geht über Anwendungsprogramme, die nicht sicher genug sind, um sie auf einem DC zu betreiben, bis hin zu Prozessen, die auf einem Sicherheitssystem nicht erwünscht sind. Dazu kommen Aspekte wie der Netzwerkverkehr eines DCs, den man nicht von den Unwägbarkeiten eines Systems beeinträchtigt sehen will, das Clientaufgaben ausführt. Usw. usf.

Und nein, in der Praxis wirst du das nicht so einschränken können, dass es Sinn ergibt. Den Aufwand sollte man dann lieber in separierte Systeme stecken.

 

Du wirst im Web genug dazu finden. Einen DC von einem Terminalserver zu trennen, verursacht Kosten im vernachlässigbaren Bereich (vielleicht dreistellig, vielleicht moderat vierstellig), für die man kein Risiko eingehen will.

 

Würdest du einen Anwender mit all seinen Programmen direkt auf einer Firewall arbeiten lassen? Siehste - auf einem DC eben auch nicht.

 

Gruß, Nils

[RobDust 11]

Danke

[monstermania 53]

Die Diskussionen gibt es schon ewig! 

Allein schon aus rein praktischen Überlegungen würde ich das sein lassen. Überleg mal wie häufig ein RDP-Server mal eben neu gestartet wird, gerade wenn dort diverse Anwendungen drauf laufen die dann regelmäßig aktualisiert werden müssen. Wenn dann der DC weg ist, können die User nicht mehr viel im Netz machen.

Ein DC ist ein DC und sonst nix (außer DNS und ggf. DHCP).