19
Fernwartung verwalten
Wir möchten bei unseren Kunden Software (auf Windows) per Fernwartung administrieren können ohne das eine gesonderte Freigabe durch den Kunden nötig ist. Jetzt gibt es natürlich Wege einen Remote Zugriff zu ermöglichen, einige davon haben wir auch schon genutzt. Es besteht aber der Wunsch nach mehr Kontrolle über die Remotezugänge. Benutzer (auf unserer Seite) sollen sich nicht einfach bei jedem Kunden aufschalten können und dementsprechend auch die Passwörter gar nicht kennen. Ich suche eine Art Verbindungsverwaltung für ein Fernwartungstool über das ich meinen Benutzern das Recht erteilen kann, sich bei Kunde X aufzuschalten und der Benutzer einfach nur die Verbindung aufruft.
Ideal wäre soetwas für Teamviewer oder vergleichbar wo ich nicht so stark von einer individuellen VPN Lösung beim Kunden abhängig bin. Ich erhalte ja auch keinen vollen Netzzugriff beim Kunden. Der Fokus liegt aber erstmal darauf die Zugangsdaten vor den eigenen Mitarbeitern zu verbergen und nicht jedem Zugriff auf alle Verbindungen zu gewähren.
Kennt jemand einen solchen Ansatz?
Ideal wäre soetwas für Teamviewer oder vergleichbar wo ich nicht so stark von einer individuellen VPN Lösung beim Kunden abhängig bin. Ich erhalte ja auch keinen vollen Netzzugriff beim Kunden. Der Fokus liegt aber erstmal darauf die Zugangsdaten vor den eigenen Mitarbeitern zu verbergen und nicht jedem Zugriff auf alle Verbindungen zu gewähren.
Kennt jemand einen solchen Ansatz?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 348853
Url: https://administrator.de/contentid/348853
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
19 Kommentare
Neuester Kommentar
MSRA.exe
Ihr geht via VPN/RDP auf einen Server des Kunden und springt von dort aus via MS-hauseigenem MSRA auf den jeweiligen PC weiter. Dabei müssen keinerlei Zugangsdaten etc übergeben werden.
Ihr geht via VPN/RDP auf einen Server des Kunden und springt von dort aus via MS-hauseigenem MSRA auf den jeweiligen PC weiter. Dabei müssen keinerlei Zugangsdaten etc übergeben werden.
Die Remoteunterstützung arbeitet meines Wissens nach nur mit einer Freigabe durch den Kunden und übernimmt dann die laufende Sitzung. Der Kunde soll in dem ganzen außen vor bleiben und nicht ständig Freigaben erteilen müssen, er stellt uns einen, wie auch immer gearteten Zugang, zur Verfügung.
Wenn mir der Kunde jetzt VPN/RDP gewährt muss ich diese Verbindung natürlich erst aufbauen und mich dort authentifizieren.
Mir geht es darum das meine Mitarbeiter sich auf die Kundensysteme nach eigenem Ermessen aufschalten können sollen, dies aber nur bei Kunden für die sie A) zuständig sind und B) ohne die Zugangsdaten zu kennen.
Wenn mir der Kunde jetzt VPN/RDP gewährt muss ich diese Verbindung natürlich erst aufbauen und mich dort authentifizieren.
Mir geht es darum das meine Mitarbeiter sich auf die Kundensysteme nach eigenem Ermessen aufschalten können sollen, dies aber nur bei Kunden für die sie A) zuständig sind und B) ohne die Zugangsdaten zu kennen.
Ich komm nicht ganz mit.
Auf der einen Seite willst du unattended/unbeaufsichtigt die Fernwartung gestalten, damit der Kunde nicht immer Zugang gewähren muss, auf der anderen Seite aber ohne dabei Zugangsdaten kennen zu müssen?
Dann sind wir sicherheitstechnisch in den Anfängen von Windows NT/2000, wo der Gedanke der Fernwartung und der Umgang damit seine Anfänge hatte.
Irgendein Kompromiss musst du/dein Kunde eingehen. MSRA ist datenschutzrechtlich eigentlich der beste Weg, weil du erst auf die Rechner kennst, wenn der Kunde es gestattet und er es dann auch nachverfolgen kann. Unattended fliegt hier weg.
Für Teamviewer Host und damit unattended musst du mindestens die Windows-Anmeldedaten kennen, was je nach Kundentyp/Branche nicht praktikabel ist.
Du siehst, das Eine ist mit dem Anderen spätestens heutzutage nicht mehr miteinander vereinbar.
Auf der einen Seite willst du unattended/unbeaufsichtigt die Fernwartung gestalten, damit der Kunde nicht immer Zugang gewähren muss, auf der anderen Seite aber ohne dabei Zugangsdaten kennen zu müssen?
Dann sind wir sicherheitstechnisch in den Anfängen von Windows NT/2000, wo der Gedanke der Fernwartung und der Umgang damit seine Anfänge hatte.
Irgendein Kompromiss musst du/dein Kunde eingehen. MSRA ist datenschutzrechtlich eigentlich der beste Weg, weil du erst auf die Rechner kennst, wenn der Kunde es gestattet und er es dann auch nachverfolgen kann. Unattended fliegt hier weg.
Für Teamviewer Host und damit unattended musst du mindestens die Windows-Anmeldedaten kennen, was je nach Kundentyp/Branche nicht praktikabel ist.
Du siehst, das Eine ist mit dem Anderen spätestens heutzutage nicht mehr miteinander vereinbar.
Hi,
schon über einen Passwortserver mit Rechtemanagement nachgedacht? Dort hinterlegt ihr die Zugangsdaten eurer Kunden und legt fest, welche MA darauf können. Welche Möglichkeiten ihr dann für den Zugriff nutzt, ist unabhängig davon.
Gruß,
Thomas
schon über einen Passwortserver mit Rechtemanagement nachgedacht? Dort hinterlegt ihr die Zugangsdaten eurer Kunden und legt fest, welche MA darauf können. Welche Möglichkeiten ihr dann für den Zugriff nutzt, ist unabhängig davon.
Gruß,
Thomas
1
Natürlich muss ich (Admin) die Zugangsdaten kennen, meine Mitarbeiter aber nicht.
Ja ein Passwortmanager mit Rechtemangement für Fernwartungslösungen. Leider kenne ich keinen der das leistet. Habt ihr einen im Einsatz?
Zitat von @Thomas2:
schon über einen Passwortserver mit Rechtemanagement nachgedacht? Dort hinterlegt ihr die Zugangsdaten eurer Kunden und legt fest, welche MA darauf können. Welche Möglichkeiten ihr dann für den Zugriff nutzt, ist unabhängig davon.
schon über einen Passwortserver mit Rechtemanagement nachgedacht? Dort hinterlegt ihr die Zugangsdaten eurer Kunden und legt fest, welche MA darauf können. Welche Möglichkeiten ihr dann für den Zugriff nutzt, ist unabhängig davon.
Ja ein Passwortmanager mit Rechtemangement für Fernwartungslösungen. Leider kenne ich keinen der das leistet. Habt ihr einen im Einsatz?
Password Safe Enterprise haben wir im Einsatz. Ich meine, dass man damit die Rechte weit genug runterbrechen kann.
Zitat von @chgorges:
Password Safe Enterprise haben wir im Einsatz. Ich meine, dass man damit die Rechte weit genug runterbrechen kann.
Das werde ich mir ansehen und vielleicht testen, danke. Die Professional Variante wäre okay, der Sprung auf Enterprise nur wegen ein paar mehr Nutzer ist etwas happig.Password Safe Enterprise haben wir im Einsatz. Ich meine, dass man damit die Rechte weit genug runterbrechen kann.
PS: Sehe ich das richtig das Passworteingabe entweder in RDP erfolgt (aus einem Fenster von Passwort Safe heraus) oder in Webformulare? Muss das von der Anwendung unterstützt werden?
Ich werfe mal Devolutions Remote Desktop Manager in den Raum. Dort kann man Gruppen einrichten, welche nur bestimmte Remote Verbindungen nutzen können.
Hallo,
Mit Teamviewer kannst du, wenn du dir ein Konto erstellst, die Kunden-PC`s in eine Liste aufnehmen. Damit weiß keiner deiner Mitarbeiter die LogIn Daten der Kunden, kann aber, ohne irgendein Passwort kennen zu müssen, sich Aufschalten. Da kannst du auch noch einstellen dass der Kunde entweder sieht, was dein Mitarbeiter macht, oder das deaktiviert lassen, dann sieht der Kunde nur einen Bildschirmschoner.
Gruss
theJoe
Mit Teamviewer kannst du, wenn du dir ein Konto erstellst, die Kunden-PC`s in eine Liste aufnehmen. Damit weiß keiner deiner Mitarbeiter die LogIn Daten der Kunden, kann aber, ohne irgendein Passwort kennen zu müssen, sich Aufschalten. Da kannst du auch noch einstellen dass der Kunde entweder sieht, was dein Mitarbeiter macht, oder das deaktiviert lassen, dann sieht der Kunde nur einen Bildschirmschoner.
Gruss
theJoe
Zitat von @theJoe:
Hallo,
Mit Teamviewer kannst du, wenn du dir ein Konto erstellst, die Kunden-PC`s in eine Liste aufnehmen. Damit weiß keiner deiner Mitarbeiter die LogIn > Daten der Kunden, kann aber, ohne irgendein Passwort kennen zu müssen, sich Aufschalten.
Hallo,
Mit Teamviewer kannst du, wenn du dir ein Konto erstellst, die Kunden-PC`s in eine Liste aufnehmen. Damit weiß keiner deiner Mitarbeiter die LogIn > Daten der Kunden, kann aber, ohne irgendein Passwort kennen zu müssen, sich Aufschalten.
Solange ein Benutzer davor sitzt ja.
Unattended (ohne dass der User vor dem PC sitzt), das was der TE will, nicht, da Teamviewer keine AD-Anmeldung macht und die PCs hintendran datenschutzkonform immer gesperrt oder abgemeldet sind. Deshalb bringt Teamviewer ihn nicht weiter.
Zitat von @chgorges:
Solange ein Benutzer davor sitzt ja.
Unattended (ohne dass der User vor dem PC sitzt), das was der TE will, nicht, da Teamviewer keine AD-Anmeldung macht und die PCs hintendran datenschutzkonform immer gesperrt oder abgemeldet sind. Deshalb bringt Teamviewer ihn nicht weiter.
Zitat von @theJoe:
Hallo,
Mit Teamviewer kannst du, wenn du dir ein Konto erstellst, die Kunden-PC`s in eine Liste aufnehmen. Damit weiß keiner deiner Mitarbeiter die LogIn > Daten der Kunden, kann aber, ohne irgendein Passwort kennen zu müssen, sich Aufschalten.
Hallo,
Mit Teamviewer kannst du, wenn du dir ein Konto erstellst, die Kunden-PC`s in eine Liste aufnehmen. Damit weiß keiner deiner Mitarbeiter die LogIn > Daten der Kunden, kann aber, ohne irgendein Passwort kennen zu müssen, sich Aufschalten.
Solange ein Benutzer davor sitzt ja.
Unattended (ohne dass der User vor dem PC sitzt), das was der TE will, nicht, da Teamviewer keine AD-Anmeldung macht und die PCs hintendran datenschutzkonform immer gesperrt oder abgemeldet sind. Deshalb bringt Teamviewer ihn nicht weiter.
Laut Teamviewer.com nistet sich der TV auch im AD ein.
Zitat von @theJoe:
Laut Teamviewer.com nistet sich der TV auch im AD ein.
Zitat von @chgorges:
Solange ein Benutzer davor sitzt ja.
Unattended (ohne dass der User vor dem PC sitzt), das was der TE will, nicht, da Teamviewer keine AD-Anmeldung macht und die PCs hintendran datenschutzkonform immer gesperrt oder abgemeldet sind. Deshalb bringt Teamviewer ihn nicht weiter.
Solange ein Benutzer davor sitzt ja.
Unattended (ohne dass der User vor dem PC sitzt), das was der TE will, nicht, da Teamviewer keine AD-Anmeldung macht und die PCs hintendran datenschutzkonform immer gesperrt oder abgemeldet sind. Deshalb bringt Teamviewer ihn nicht weiter.
Laut Teamviewer.com nistet sich der TV auch im AD ein.
Was der bewusste Admin auch sicherlich zulassen wird :D Wobei, ein Desaster-Backup der AD bei der NSA ist auch nicht schlecht
Nein, Spaß beiseite, das macht man natürlich nicht
Danke klingt auch interessant.
Wie die Umgebung beim Kunden aussieht kann ich leider nicht pauschal sagen. Wenn der Kunde eh mit Terminal Servern arbeitet bietet sich vielleicht ein eigener Login an. Ansonsten sind aber auch (v)Server oder (v)Clients mit einem Teamviewer denkbar, das wird von Kunde zu Kunde variieren.
Wenn ich theJoe richtig verstehe, kann ich die Passwörter hinterlegen so das meine Mitarbeiter die Passwörter nicht sehen und auch entsprechend nicht "mitnehmen" können (sich also nur aus dem Büro aufschalten können). Ließe sich mit mehreren Konten auch ein rudimentäres Rechtemangement umsetzen? Änderungen wird es nicht sonderlich viele geben und könnten dann durch mich oder andere Admins durchgeführt werden.
Wie die Umgebung beim Kunden aussieht kann ich leider nicht pauschal sagen. Wenn der Kunde eh mit Terminal Servern arbeitet bietet sich vielleicht ein eigener Login an. Ansonsten sind aber auch (v)Server oder (v)Clients mit einem Teamviewer denkbar, das wird von Kunde zu Kunde variieren.
Wenn ich theJoe richtig verstehe, kann ich die Passwörter hinterlegen so das meine Mitarbeiter die Passwörter nicht sehen und auch entsprechend nicht "mitnehmen" können (sich also nur aus dem Büro aufschalten können). Ließe sich mit mehreren Konten auch ein rudimentäres Rechtemangement umsetzen? Änderungen wird es nicht sonderlich viele geben und könnten dann durch mich oder andere Admins durchgeführt werden.
Moin!
Gruß,
Dani
Zitat von @Penny.Cilin:
Ich werfe mal Devolutions Remote Desktop Manager in den Raum. Dort kann man Gruppen einrichten, welche nur bestimmte Remote Verbindungen nutzen können.
Kann ich ebenfalls empfehlen. Wir verwalten darin inzwischen alles, wo es Zugangsdaten gibt. Macht auch bei tausenden von Objekten einen performanten Job.Ich werfe mal Devolutions Remote Desktop Manager in den Raum. Dort kann man Gruppen einrichten, welche nur bestimmte Remote Verbindungen nutzen können.
Gruß,
Dani
Sieht auch gut aus, sind die Lizenzen concurrent use oder named user?
Hallo Dani,
darf ich mich da mal kurz einklinken?
Wie viele Mitarbeiter und Zugänge verwaltet ihr damit?
Gruß
Jörg
darf ich mich da mal kurz einklinken?
Wie viele Mitarbeiter und Zugänge verwaltet ihr damit?
Gruß
Jörg
Noch 0 Zugänge, nach der Geschäftsleitung am liebsten bald ~50, relistisch vermutlich 3 innerhalb des ersten Jahres.
Mitarbeiter dann vermutlich auch erstmal 2-3, relaistisch sicherlich irgendwann mal 10-15.
Mitarbeiter dann vermutlich auch erstmal 2-3, relaistisch sicherlich irgendwann mal 10-15.
Moin,
Ich zitiere mal:
Quelle: https://remotedesktopmanager.com/Support/FAQ
Sieht auch gut aus, sind die Lizenzen concurrent use oder named user?
steht alles auf der Webseite. Ich zitiere mal:What is the difference between the User, Site, Country and the Global license?
The User license is an individual license. There must be a valid license for each individual who will have access to the software (just like a “Named User License”).
The Site license grants you the right to use Remote Desktop Manager for all your employees (unlimited users) for a single site (location). Remote workers that are based in another office are NOT included in the license. A location is a place of work – if you are at another address, you will need another license.
The Country license grants you the right to use Remote Desktop Manager for all your employees (unlimited users), across multiple sites (offices) located in a single country.
The Global license grants you the right to use Remote Desktop Manager for all your employees (unlimited users), across multiple sites (offices) worldwide. You will receive 1 license key and that key will allow unlimited users at unlimited locations.
Please note that Global licenses may be purchased by governmental entities only after the scope of the license (department, agency, ministry, etc.) has been defined and approved by Devolutions Inc. prior to purchase.
Danke habe ich nicht gesehen. Ich denke es macht Sinn bei den ersten Kunden mit bekannten Passwörtern zu starten und dann auf ein Produkt zu wechseln. Mag aber sein das mein Chef sofort etwas haben will, dann soll er über die Lizenz entscheiden
