Reality 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Hallo zusammen, ich hänge gerade ein wenig in der Luft, was die Einrichtung eines AD betrifft. Ich habe für alle möglichen Sachen Gruppenrichtlinien erstellt, alles funktioniert wie ich mir das vorstelle... bis zu dem Punkt Notebooks. Per GPO werden die Eigenen Dateien in das User-Verzeichnis auf dem Server verschoben, für jeden Benutzer im Netzwerk optimal, weil alle Daten immer auf dem Server liegen. Was aber bei den Notebookbesitzer, die ja auch unterwegs arbeiten wollen? Diese wollen Ihre Eigenen Dateien auch unterwegs nutzen und wenn diese nicht auf dem Server gespeichert sind, ist die Datensicherheit gefährdet... Desweiteren habe ich die Windows-Firewall per GPO deaktiviert. In der Firma benötige ich diese nicht und sie behindert mich nur... aber wie kann ich dafür sorgen, dass wenn ein Notebookbesitzer das lokale Netz verlässt und sich z.B. zuhause ins Internet einloggt die Firewall wieder aktiv ist? Kann man das deaktivieren der Firewall auf bestimmte IP-Subnetze beschränken? Wie löst Ihr diese Probleme in der Praxis? Über Vorschläge diesbzgl. würde ich mich sehr freuen, weil ich im Moment nicht so genau weiß, wie ich das regeln soll... Vielen Dank Gruß Reality Zitieren Link zu diesem Kommentar
Microdemis 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Tach! Zum Punkt "Eigene Dateien" kann ich nur sagen, dass wir sie ebenfalls auf ein serverbasiertes Home-Laufwerk schieben. Benötigen Anwender ihre eigenen Dateien, oder Projektdaten - dann gibt's den Hinweis mit "Offline verfügbar machen". Das läuft hier reibungslos - kommt aber auch immer auf die Grösse der Daten an. Mehrere GB sind da eher hinderlich, da man den Ort dieser Offline-verfügbar gemachten Dateien auf dem Client nicht bestimmten kann (also irgendwo unter C:). Bei jeder An- oder Abmeldung werden die Daten dann synchronisiert, so dass auch immer ein fast aktueller Stand auf dem Server liegt. Zitieren Link zu diesem Kommentar
vitamin 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Hallo, wir haben hier auch die Profile auf dem Server gespeichert und diese werden für die offline-Verwendung synchronisiert. Das Funktioniert ganz gut, man sollte aber tatsächlich auf die Datenmenge achten (wesentlich mehr als wenige Hundert MB eigene Dateien und Desktop machen das ganze schon etwas nervig). Die Windows Firewall ist immer aktiv - damit gibt es eigentlich keine Probleme. Nur für den Virenscanner mussten Ports freigeschaltet werden damit die zentrale Verwaltung funktioniert. Gruß, Vitamin Zitieren Link zu diesem Kommentar
mailkilla 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Hi Mehrere GB sind da eher hinderlich, da man den Ort dieser Offline-verfügbar gemachten Dateien auf dem Client nicht bestimmten kann Warum das, ich hab unseren Aussendienstlern unser Fotolaufwerk offline mitgegeben (ca. 8GB in Summe) und das macht keine Probleme (Höchstens es werden unterwegs 400 Fotos draukopiert-dann dauert die Sync halt länger - aber sonbst gut). Ich persönlich hab fast alle Netzlaufwerke offline mit und das sind ca. 30GB Offlinedaten, auch nicht wirklich ein problem - außer halt das erste mal... lg Zitieren Link zu diesem Kommentar
Reality 10 Geschrieben 17. März 2006 Autor Melden Teilen Geschrieben 17. März 2006 Nur für den Virenscanner mussten Ports freigeschaltet werden damit die zentrale Verwaltung funktioniert. Hallo vitamin, genau da habe ich auch das Problem. Ich setzte eTrust-Antivirus ein und habe noch nicht herausgefunden welche Ports ich öffnen muss um die Remoteinstallation durchführen zu können. In google habe ich nur den Hinweis gefunden, die Firewall komplett zu deaktivieren. Desweiteren setzte ich VNC zur Fernwartung ein, dann müsste ich auch diesen Port öffnen. Und ein Zugriff auf die Laufwerke des Rechners innerhalb des Netzwerkes (um z.B. mal eine Datei darauf zu kopieren) ist mit der eingeschalteten Firewall auch nicht drin... Vielen Dank an alle für die Antworten. Mal sehen, ob noch weitere hilfreiche Hinweise eintrudeln... :-) Gruß Reality Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Das Firewallproblem könntest Du mit einer Richtlinie lösen. Unter Computerkonfiguration - Administrative Vorlagen - Netzwerk - Netzwerkverbindungen - Windows-Firewall gibt es ein Domänenprofil und ein Standardprofil (standortabhängige Konfiguration der Firewall, gemeint ist damit die IP-Adressierung) Zum Thema Verschlüsselung von Offline-Files schau mal hier http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/c06621675.mspx Zitieren Link zu diesem Kommentar
marzli2 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 firewall-virenscannersuite, verschlüsselung wichtiger dateien (in kombination mit scripten, die via synctoy bei anmeldung am firmennetz die dateien synchronisieren), passwörter, etc bin gerade mit meiner umfangreichen sicherheitsrichtlinie fertig geworden Zitieren Link zu diesem Kommentar
uheeb 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Hallo vitamin, genau da habe ich auch das Problem. Ich setzte eTrust-Antivirus ein und habe noch nicht herausgefunden welche Ports ich öffnen muss um die Remoteinstallation durchführen zu können. Welche Version/Build von eTrust verwendest Du denn? Schau mal unter http://supportconnectw.ca.com Für die Version 7.1 gab/gibt es einen Patch, welcher Dir die Ports freischaltet. Da ich persönlich die Win-Firewall auch mehr hinderlich als förderlich halte, ist sie stets deaktiviert. Ansonsten kannst Du das ganze wie bereits beschrieben standortabhängig steuern... Gruss Urs Zitieren Link zu diesem Kommentar
vitamin 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 genau da habe ich auch das Problem. Ich setzte eTrust-Antivirus ein und habe noch nicht herausgefunden welche Ports ich öffnen muss um die Remoteinstallation durchführen zu können. eTrust benutzen wir auch. Die Ports lassen sich mit AVEnablePorts.exe NACH der Installation freischalten. Für die Remote-Installation muss die Firewall deaktiviert werden und in der Registry die RPC-Beschränkung aufgehoben werden: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC] "RestrictRemoteClients"=dword:00000000 Gruß, Vitamin Zitieren Link zu diesem Kommentar
Reality 10 Geschrieben 17. März 2006 Autor Melden Teilen Geschrieben 17. März 2006 eTrust benutzen wir auch. Die Ports lassen sich mit AVEnablePorts.exe NACH der Installation freischalten.Für die Remote-Installation muss die Firewall deaktiviert werden und in der Registry die RPC-Beschränkung aufgehoben werden: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC] "RestrictRemoteClients"=dword:00000000 Gruß, Vitamin Ja, den Registrykey verteile ich schon per GPO, aber wie schon geschrieben muss die Firewall zur Installation deaktiviert werden... Daher ja auch mein Gedanke im Firmennetz die Firewall abzuschalten und in allen anderen Netzen zu aktivieren. Ich weiß z.B. dass die Firewall von Kerio eine solche Funktion besitzt und hoffte auf ähnliche Konfigurationsmöglichkeiten bei der Windows Firewall... Gruß Reality Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Ja, die gibt es, schau mal in #6 Zitieren Link zu diesem Kommentar
Reality 10 Geschrieben 20. März 2006 Autor Melden Teilen Geschrieben 20. März 2006 Hallo IThome, wenn ich Deinen Beitrag richtig interpretiere, dann muss ich im Standardprofil die Firewall aktivieren und im Domänenprofil nicht. Aber wann schaltet Windows die Firewall dann an? Wenn ich mich lokal an dem Rechner in einem anderen Netzwerk (z.B. Zuhause) mit meinem Domänenbenutzernamen und Kennwort anmelde, bleibt bei den obigen Einstellungen die Firewall deaktiviert... Vielen Dank Reality Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. März 2006 Melden Teilen Geschrieben 21. März 2006 Das ist IP-Adressen abhängig. Angenommen Du deaktivierst die Firewall im Domänenprofil und aktivierst sie im Standardprofil. Du hast Kontakt zu Deinem DC, der eine Adresse aus dem Bereich 192.168.100.0/24 hat und die Workstation ebenfalls. Die Firewall wird dann immer aktiviert, wenn Du KEINE Adresse aus dem 192.168.100.0/24 hast, aber auch, wenn die Karte nicht verbunden ist (z.B. wenn Du zuhause eine andere Adresse von Deinem Router bekommst oder im Hotel, wo Du mit der Netzwerkkarte gar nicht verbunden bist und via ISDN ins Internet gehst). Klartext: Domänenprofil: Du bist physikalisch mit dem DC verbunden (dieser Adressbereich wird als Referenz genutzt) Standardprofil: Alles was von der Referenz abweicht Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.