mapulativ 10 Geschrieben 7. Oktober 2005 Melden Teilen Geschrieben 7. Oktober 2005 Hi, folgende Situation: Wir wollen hier bei uns eine Domäne erstellen, in welcher zugehörige Benutzer freien Zugriff auf das Internet haben und auch Downloads durchführen können (Prinzip Internet-Cafes). Dabei wird es sich um eine Windows 2003-Domäne mit einem Windows Server 2003-DC SP1 und Clients (ca. 20) unter Windows XP Prof SP2 handeln, die sich in in einem eigenen IP-Subnet befinden. Die Clients werden weiterhin in verschiedenen Abteilungen und somit Gebäuden, also dezentral bereitgestellt. Die Frage, ob es sich bei der Einrichtung einer für diesen Zweck dedizierten Domäne um den richtigen Ansatz handelt, sei zunächst dahingestellt. Letztlich haben uns Sicherheitsbedenken dazu bewogen. Weiterhin sollen die Benutzer an diesen Clients in der Lage sein, Software frei auf den Rechnern installieren und ausführen zu können (Prinzip "Spiel/Probier"-PC). Die OS-Installation und die SW-Grundverteilung wird über EMPIRUM erfolgen. Die Rechner werden dabei so konfiguriert, dass sie, ebenfalls über EMPIRUM jederzeit über ein PXE-Bootimage remote in einen funktionierenden Grundzustand zurückgesetzt werden können. Diese Notwendigkeit ergibt sich daraus, dass die Benutzer ja (relativ) uneingeschränkt auf das System zugreifen können und so ein System wahrscheinlich nicht all zu lange funktionsfähig bleibt :rolleyes: Damit komme ich nun (endlich :) ) auch zum Kern: Obwohl der Benutzer uneingeschränkt auf den PC zugreifen soll, möchten wir vermeiden, dass er Zugriff auf die Netzwerkkonfiguration hat, sprich die Anmeldung als Admin scheidet erstmal aus. Das rührt daher, dass die sich die PCs in einem anderen Netzwerk befinden und es vermieden werden soll, dass ein Benutzer auf die Idee kommt, den Rechner unter den Arm zu klemmen, an einer anderen Dose anzuschließen, die Netzwerkkonfiguration zu ändern und somit dann die Möglichkeit hat, von uns unerwünschte SW (und wer weiß noch so alles) in unser Netz zu bringen. Dies wird bei uns sehr restriktiv gehandhabt. Natürlich ist die Wahrscheinlichkeit nicht so hoch, aber man weiß ja nie. Ich habe zunächst mal untersucht, ob die Anmeldung als Hauptbenutzer den Anforderungen entspricht, kam aber nicht zu dem von mir gewünschten Ergebnis, weil der Hauptbenutzer zwar bzgl. administrativer Tätigkeiten in Bezug auf die Netzwerkeinstellungen, die er ja nicht vornehmen kann, die erste Wahl wäre, aber leider Probleme bei der Installation diverser SW-Produkte auftraten. Wir haben einen recht bunten Querschnitt verschiedener Produkte zu installieren versucht, sind aber bei einigen an den für die Installation fehlenden Rechten gescheitert. Nun überlege ich, ob es sinnvoll ist, die Rechte des Hauptbenutzers weiter auszubauen (Berechtigungen für das Schreiben in die Registry, All Users-Profile usw.) oder den Ansatz verfolge, einen lokalen Admin hinsichtlich des Zugriffs auf die Netzwerkkonfiguration "abzuspecken" (z.B. über GPOs), wenn dies überhaupt möglich ist. Meine Frage ist nun, ob sich jemand von euch mit dieser Problematik auskennt und dazu schon Erfahrungen gesammelt hat. Vielen Dank im voraus (vor allem schonmal fürs durchlesen diese ellelangen Textes) :) Ciao, Mapulativ Zitieren Link zu diesem Kommentar
BernhardMy 10 Geschrieben 7. Oktober 2005 Melden Teilen Geschrieben 7. Oktober 2005 Wenn Du den Leuten einen Test und mach wass du willst PC anbieten willst, dann prüfe doch mal in wie weit VirtualPC auf dem Rechner genutzt werden könnte. Hier können alle Änderungen wieder rückgängig gemacht werden. Nach dem Motto - für Tests nimm VirtualPC - alles andere auf dem abgesicherten Basissystem. Problem ist nur du brauchst 2 Betriebssystemlizenzen. Zitieren Link zu diesem Kommentar
mapulativ 10 Geschrieben 7. Oktober 2005 Autor Melden Teilen Geschrieben 7. Oktober 2005 @BernhardMay: Danke für den Vorschlag, aber das rückgängig machen von Änderungen stellt nicht unser Problem dar, da wir die Rechner über EMPIRUM zurücksetzen. Es geht eher um den Zugriff. Grundsätzlich ist die Idee nicht schlecht, aber davon abgesehen, dass ich, da ich noch nicht mit VPC gearbeitet habe, nicht weiß ob man den Zugriff vom Gast- auf das Hostsystem wirklich dicht machen kann, ist der Hauptgrund der dagegen spricht allerdings, wie auch schon von Dir aufgeführt, der Kostenfaktor: (die zweite Windows XP-Lizenz + eine VPC-Lizenz + Kosten für die SW-Grundausstattung des Gast) * ca. 20. Ciao, Mapulativ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.