Jump to content

"Internet"-Domäne - brauche mal ein paar Tipps/Vorschläge


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

folgende Situation:

 

Wir wollen hier bei uns eine Domäne erstellen, in welcher zugehörige Benutzer freien Zugriff auf das Internet haben und auch Downloads durchführen können (Prinzip Internet-Cafes). Dabei wird es sich um eine Windows 2003-Domäne mit einem Windows Server 2003-DC SP1 und Clients (ca. 20) unter Windows XP Prof SP2 handeln, die sich in in einem eigenen IP-Subnet befinden. Die Clients werden weiterhin in verschiedenen Abteilungen und somit Gebäuden, also dezentral bereitgestellt. Die Frage, ob es sich bei der Einrichtung einer für diesen Zweck dedizierten Domäne um den richtigen Ansatz handelt, sei zunächst dahingestellt. Letztlich haben uns Sicherheitsbedenken dazu bewogen. Weiterhin sollen die Benutzer an diesen Clients in der Lage sein, Software frei auf den Rechnern installieren und ausführen zu können (Prinzip "Spiel/Probier"-PC). Die OS-Installation und die SW-Grundverteilung wird über EMPIRUM erfolgen. Die Rechner werden dabei so konfiguriert, dass sie, ebenfalls über EMPIRUM jederzeit über ein PXE-Bootimage remote in einen funktionierenden Grundzustand zurückgesetzt werden können. Diese Notwendigkeit ergibt sich daraus, dass die Benutzer ja (relativ) uneingeschränkt auf das System zugreifen können und so ein System wahrscheinlich nicht all zu lange funktionsfähig bleibt :rolleyes:

 

Damit komme ich nun (endlich :) ) auch zum Kern:

Obwohl der Benutzer uneingeschränkt auf den PC zugreifen soll, möchten wir vermeiden, dass er Zugriff auf die Netzwerkkonfiguration hat, sprich die Anmeldung als Admin scheidet erstmal aus. Das rührt daher, dass die sich die PCs in einem anderen Netzwerk befinden und es vermieden werden soll, dass ein Benutzer auf die Idee kommt, den Rechner unter den Arm zu klemmen, an einer anderen Dose anzuschließen, die Netzwerkkonfiguration zu ändern und somit dann die Möglichkeit hat, von uns unerwünschte SW (und wer weiß noch so alles) in unser Netz zu bringen. Dies wird bei uns sehr restriktiv gehandhabt. Natürlich ist die Wahrscheinlichkeit nicht so hoch, aber man weiß ja nie.

 

Ich habe zunächst mal untersucht, ob die Anmeldung als Hauptbenutzer den Anforderungen entspricht, kam aber nicht zu dem von mir gewünschten Ergebnis, weil der Hauptbenutzer zwar bzgl. administrativer Tätigkeiten in Bezug auf die Netzwerkeinstellungen, die er ja nicht vornehmen kann, die erste Wahl wäre, aber leider Probleme bei der Installation diverser SW-Produkte auftraten. Wir haben einen recht bunten Querschnitt verschiedener Produkte zu installieren versucht, sind aber bei einigen an den für die Installation fehlenden Rechten gescheitert.

 

Nun überlege ich, ob es sinnvoll ist, die Rechte des Hauptbenutzers weiter auszubauen (Berechtigungen für das Schreiben in die Registry, All Users-Profile usw.) oder den Ansatz verfolge, einen lokalen Admin hinsichtlich des Zugriffs auf die Netzwerkkonfiguration "abzuspecken" (z.B. über GPOs), wenn dies überhaupt möglich ist.

 

Meine Frage ist nun, ob sich jemand von euch mit dieser Problematik auskennt und dazu schon Erfahrungen gesammelt hat.

 

Vielen Dank im voraus (vor allem schonmal fürs durchlesen diese ellelangen Textes) :)

 

Ciao,

 

Mapulativ

Link zu diesem Kommentar

Wenn Du den Leuten einen Test und mach wass du willst PC anbieten willst, dann prüfe doch mal in wie weit VirtualPC auf dem Rechner genutzt werden könnte. Hier können alle Änderungen wieder rückgängig gemacht werden.

Nach dem Motto - für Tests nimm VirtualPC - alles andere auf dem abgesicherten Basissystem. Problem ist nur du brauchst 2 Betriebssystemlizenzen.

Link zu diesem Kommentar

@BernhardMay:

 

Danke für den Vorschlag, aber das rückgängig machen von Änderungen stellt nicht unser Problem dar, da wir die Rechner über EMPIRUM zurücksetzen. Es geht eher um den Zugriff.

 

Grundsätzlich ist die Idee nicht schlecht, aber davon abgesehen, dass ich, da ich noch nicht mit VPC gearbeitet habe, nicht weiß ob man den Zugriff vom Gast- auf das Hostsystem wirklich dicht machen kann, ist der Hauptgrund der dagegen spricht allerdings, wie auch schon von Dir aufgeführt, der Kostenfaktor: (die zweite Windows XP-Lizenz + eine VPC-Lizenz + Kosten für die SW-Grundausstattung des Gast) * ca. 20.

 

Ciao,

 

Mapulativ

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...