7
Kiosk PC innerhalb einer Domain
Schul-PCs absichern und aktuell durch Updates halten ... Beispiele werden gebraucht 
Also die Ausgangssituation ist so ...
wir haben 6 Schulungsräume. Es gab hier einen andere Person, welche das alles aufgebaut hat und scheinbar kein Freund von Arbeitserleichterung auf seiten des IT-Teams selbst war. ... mal am Rande
Derzeitig ist alles noch auf Turnschuh-Netzwerk á la Arbeitsgruppenrechner eingestellt. Wir möchten nun gern auf AD samt ----- verbindlichen --- servergepeicherten --- Profilen umstellen.
Bisher war es auch so, dass viele Kurse wie ECDL ( Europ. Computerführerschein, Netzwerken .. etc) abgehalten wurde. Das bedeutet die Teilnehmer bzw. Schüler sollen auch mal Systemzeit ändern können, Programme installieren/deinstallieren, Ordner anlegen/löschen oder auch mal in die Systemsteuerung schauen können um sich Ereignisse anzuschauen ...
Seitens administrativer Schutzfunktionen, befindet sich in jedem PC eine sogenannte Kaiser-Karte, die ein Abbild zum Sicherungszeitpunkt erstellt und bei Aktivität alle Änderungen (Installationen, Einstell. ... selbst Formatierungsvorgänge) verwirft bei einem Reboot.
Problem an diesem Konstrukt --> Updates von den XP-Maschienen, Virenscanner, andere SW-Updates ...
bisher wurde das von unseren Praktikanten erledigt .. ^^ ... die durften innerhalb der kurzen Leerzeiten alle Rechner im Überfallkommando entsperren und updaten
... das ist wirklich nicht gerade produktiv und effizient
davon wollen wir aber ganz weg ...
--> Domain
--> Mandatory Profiles
--> Systemschutz
--> Updates on-the-run
Hat jemand einen Ansatz hierzu, wie man beide Vorteile ... also von ACTIVE DIRECTORY und GPO's sowie der KAISER-KARTE verbinden kann ...
ich habe mir schon mal was zu Microsofts Steady State angeschaut, was aber nach ersten Tests nicht ganz so recht mit den AD bzw. servergespeicherten Profilen zurecht kommt ...
Über jeden Vorschlag bin ich erstmal dankbar ... Gruß
Also die Ausgangssituation ist so ...
wir haben 6 Schulungsräume. Es gab hier einen andere Person, welche das alles aufgebaut hat und scheinbar kein Freund von Arbeitserleichterung auf seiten des IT-Teams selbst war. ... mal am Rande
Derzeitig ist alles noch auf Turnschuh-Netzwerk á la Arbeitsgruppenrechner eingestellt. Wir möchten nun gern auf AD samt ----- verbindlichen --- servergepeicherten --- Profilen umstellen.
Bisher war es auch so, dass viele Kurse wie ECDL ( Europ. Computerführerschein, Netzwerken .. etc) abgehalten wurde. Das bedeutet die Teilnehmer bzw. Schüler sollen auch mal Systemzeit ändern können, Programme installieren/deinstallieren, Ordner anlegen/löschen oder auch mal in die Systemsteuerung schauen können um sich Ereignisse anzuschauen ...
Seitens administrativer Schutzfunktionen, befindet sich in jedem PC eine sogenannte Kaiser-Karte, die ein Abbild zum Sicherungszeitpunkt erstellt und bei Aktivität alle Änderungen (Installationen, Einstell. ... selbst Formatierungsvorgänge) verwirft bei einem Reboot.
Problem an diesem Konstrukt --> Updates von den XP-Maschienen, Virenscanner, andere SW-Updates ...
bisher wurde das von unseren Praktikanten erledigt .. ^^ ... die durften innerhalb der kurzen Leerzeiten alle Rechner im Überfallkommando entsperren und updaten
... das ist wirklich nicht gerade produktiv und effizient
davon wollen wir aber ganz weg ...
--> Domain
--> Mandatory Profiles
--> Systemschutz
--> Updates on-the-run
Hat jemand einen Ansatz hierzu, wie man beide Vorteile ... also von ACTIVE DIRECTORY und GPO's sowie der KAISER-KARTE verbinden kann ...
ich habe mir schon mal was zu Microsofts Steady State angeschaut, was aber nach ersten Tests nicht ganz so recht mit den AD bzw. servergespeicherten Profilen zurecht kommt ...
Über jeden Vorschlag bin ich erstmal dankbar ... Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 102803
Url: https://administrator.de/contentid/102803
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
7 Kommentare
Neuester Kommentar
Also ich würde einen DC erstellen, mir einen anderen Server nehmen und dort VMWare installieren. VMWare Server kannst du dir z.B. kostenlos runterladen und virtuelle Maschinen erstellen. VMWare kann sog. Snapshots, d.h. du installierst die PC's und machst einen Snapshot, danach können die "Schüler" dran und das system komplett verändern (falls sie das wirklich sollen) und anstatt den PC neu aufzusetzen spielst du einfach den Snapshot wieder ein. Das sind 2 Mausklicks und es dauert auch nicht so lange. Die Schüler können sich dann per RDP auf die VM's verbinden und brauchen dann auf dem lokalen PC keinerlei Rechte. Ist schnell, einfach zu verwalten, und kostenlos.
Gruß
Gruß
Hallo Tobbel,
erstma danke für die Idee. Hört sich auch ganz gut an, aber das Hindernis was ich hier sehe ist die Rechenleistung des Servers, auf dem dann die VM's laufen ... (mit VM kenn ich mich schon gut aus, nutzen auch 2 Maschienen mit a 4 VM's [Snapshooting inc.]) .. nur können wir dafür leider aus Kostengründen keine Maschiene hinstellen, welche dann 6 Räume á 20 PCs virtualisiert und per RDP bereit stellt ... wir sind eine gemeinnützige Gesellschaft --> da ist nicht so viel Kapital da ...
Gruß
_____________
würde am liebsten die vorhandenen Maschienen recyclen und das möglichst effizient ... --> "Aus Sch..., Gold machen" ;)
erstma danke für die Idee. Hört sich auch ganz gut an, aber das Hindernis was ich hier sehe ist die Rechenleistung des Servers, auf dem dann die VM's laufen ... (mit VM kenn ich mich schon gut aus, nutzen auch 2 Maschienen mit a 4 VM's [Snapshooting inc.]) .. nur können wir dafür leider aus Kostengründen keine Maschiene hinstellen, welche dann 6 Räume á 20 PCs virtualisiert und per RDP bereit stellt ... wir sind eine gemeinnützige Gesellschaft --> da ist nicht so viel Kapital da ...
Gruß
_____________
würde am liebsten die vorhandenen Maschienen recyclen und das möglichst effizient ... --> "Aus Sch..., Gold machen" ;)
Servus,
[OT]
immer alles vom Vorgänger schlechtschreiben, das finde ich ..
genauso schlimm, wie jemanden - der Maschinen mit ie schreibt
[/OT]
sorry hart aber meine Meinung.
gruß
[OT]
immer alles vom Vorgänger schlechtschreiben, das finde ich ..
genauso schlimm, wie jemanden - der Maschinen mit ie schreibt
[/OT]
Wir möchten nun gern auf AD
Kann ja gut sein, aber..samt ----- verbindlichen --- servergepeicherten --- Profilen
*schüttelkopf* ... Wegwerfanmeldungen mit Servergespeicherten Profilen?- Einmalig ein System mit WSUS einrichten
- Einmalig alle Rechner "vor" einem Schulungstermin sichern/Backuppen
- Einmalig eine Bart CD erstellen/wenn RIS auch wieder wegen issnicht ausfällt. (dann Turnschuhcdeinwerfen oder vielleicht doch einen TFTP Server aufbauen?)
- nach jedem Kurs das backup zurückspielen
- Wsus installiert die Patche wieder usw. usf.
sorry hart aber meine Meinung.
gruß
Tachchen,
warum ist denn der Ansatz mit den mand. und servergespeicherten Profilen so schlecht?
- bestimmte Sachen lassen sich ja gut per GPO managen, jedoch kann es doch sein, dass ein TN mit dem Account X1 nicht am PC1 sitz wo der lokale Account X1 eingerichtet ist, sondern nur X2 ... da macht es doch Sinn servergespeicherte Profile zu nutzen oder
habe ich da einen Denkfehler?
zu deiner Idee Timo:
Ist es denn möglich einen Automatismus hinein zu bekommen, der dann das Rollout beim Herunterfahren des Schulungsrechners auslöst?
Per Hand wäre vielleicht ein wenig mühselig (bei ~ 120 PCs)... da wir jeden Tag alle Räume mit verschiedenen Schulungsklassen voll haben, die dann auch mal wechseln könnten während eines Tages. Schön wäre, wenn für jeden User der den PC nutzt, immer die (abh. von Schulungsraum) gleiche Umgebung bereit steht ...
Vielleicht ist eine kurze Randbeschreibung von mir zu der Anforderung nochmal gut:
- Domain aufgrund von GPO-Funktionalität
- eine Art Steady State für die Festplatten, Updates sollten, wenn umsetzbar ,schon on-the-run möglich sein (WSUS,AV-Server,etc.)
- relativ geringer Administrationsaufwand (da sehr kleines IT-Team für die EDV-Größe im Unternehmen)
- die TN-Gruppen untersch. sich:
. Umfang der Zugriffsbeschränkungen auf System und Netzwerk
. Nutzung bestimmter SW
. Die PCs sollen untersch. SW installiert haben - nicht alle gleich (einfach aus Gründen der Lizenzenzkosten)
Wir wollen wenn möglich keine personenbezogenen Accounts anlegen, sondern nach dem Muster
Raum1 mit Schueler1, Schueler2, Schueler3 ...
E-Lounge Elounge1, Elounge2, ....
Die Überwachung (Internetzugriff, etc.) kommt dann zustande, durch die Zuteilung (durch Dozent) des Accounts (anhand seiner Nummer - SchuelerX) zum TN anhand seiner Nummer auf der Teilnehmerliste (mit Unterschr.)
Der TN ist dann auch mal in einer Maßnahme oder Schulung für 3 Wochen ... daher wäre es schön wenn er dann von Raum zu Raum mit seinem Account wandern kann, dennoch dieser für ihn gleich ist aufgrund der Verbindlichkeit .. wir ihm aber dann immer seinen spez. Account zu ordnen können
Ich habe mich aber in der Zwischenzeit schon ein wenig belesen. MS Steady State 2.5 soll nun auch die Funktionalitäten für den Einsatz in einer Domain mitbringen. War zwar konzipiert für Workgroup und lokale Profile (siehe Programmhistory) - aber laut Handbuch auf
http://www.microsoft.com/downloads/details.aspx?FamilyID=f829bb8b-c7a9- ...
.. ladbar, soll es möglich und anwendbar sein.
Ich teste das mal in meiner Lab-Umgebung und berichte danach über die Umsetzbarkeit ...
Dennoch wären andere Ansätze, die meine grauen Zellen ankurbeln könnten, nebenher nicht schlecht ...
Grüße
PS: Wer Rechtschreibfehler findet, kann diese behalten :P
warum ist denn der Ansatz mit den mand. und servergespeicherten Profilen so schlecht?
- bestimmte Sachen lassen sich ja gut per GPO managen, jedoch kann es doch sein, dass ein TN mit dem Account X1 nicht am PC1 sitz wo der lokale Account X1 eingerichtet ist, sondern nur X2 ... da macht es doch Sinn servergespeicherte Profile zu nutzen oder
habe ich da einen Denkfehler?
zu deiner Idee Timo:
Ist es denn möglich einen Automatismus hinein zu bekommen, der dann das Rollout beim Herunterfahren des Schulungsrechners auslöst?
Per Hand wäre vielleicht ein wenig mühselig (bei ~ 120 PCs)... da wir jeden Tag alle Räume mit verschiedenen Schulungsklassen voll haben, die dann auch mal wechseln könnten während eines Tages. Schön wäre, wenn für jeden User der den PC nutzt, immer die (abh. von Schulungsraum) gleiche Umgebung bereit steht ...
Vielleicht ist eine kurze Randbeschreibung von mir zu der Anforderung nochmal gut:
- Domain aufgrund von GPO-Funktionalität
- eine Art Steady State für die Festplatten, Updates sollten, wenn umsetzbar ,schon on-the-run möglich sein (WSUS,AV-Server,etc.)
- relativ geringer Administrationsaufwand (da sehr kleines IT-Team für die EDV-Größe im Unternehmen)
- die TN-Gruppen untersch. sich:
. Umfang der Zugriffsbeschränkungen auf System und Netzwerk
. Nutzung bestimmter SW
. Die PCs sollen untersch. SW installiert haben - nicht alle gleich (einfach aus Gründen der Lizenzenzkosten)
Wir wollen wenn möglich keine personenbezogenen Accounts anlegen, sondern nach dem Muster
Raum1 mit Schueler1, Schueler2, Schueler3 ...
E-Lounge Elounge1, Elounge2, ....
Die Überwachung (Internetzugriff, etc.) kommt dann zustande, durch die Zuteilung (durch Dozent) des Accounts (anhand seiner Nummer - SchuelerX) zum TN anhand seiner Nummer auf der Teilnehmerliste (mit Unterschr.)
Der TN ist dann auch mal in einer Maßnahme oder Schulung für 3 Wochen ... daher wäre es schön wenn er dann von Raum zu Raum mit seinem Account wandern kann, dennoch dieser für ihn gleich ist aufgrund der Verbindlichkeit .. wir ihm aber dann immer seinen spez. Account zu ordnen können
Ich habe mich aber in der Zwischenzeit schon ein wenig belesen. MS Steady State 2.5 soll nun auch die Funktionalitäten für den Einsatz in einer Domain mitbringen. War zwar konzipiert für Workgroup und lokale Profile (siehe Programmhistory) - aber laut Handbuch auf
http://www.microsoft.com/downloads/details.aspx?FamilyID=f829bb8b-c7a9- ...
.. ladbar, soll es möglich und anwendbar sein.
Ich teste das mal in meiner Lab-Umgebung und berichte danach über die Umsetzbarkeit ...
Dennoch wären andere Ansätze, die meine grauen Zellen ankurbeln könnten, nebenher nicht schlecht ...
Grüße
PS: Wer Rechtschreibfehler findet, kann diese behalten :P
Servus,
"man" Userprofiles haben die Eigenschaft nicht geändert werden zu können.
Servergespeicherte Profile sind u.a dazu da - wenn sich denn jemand "woanders" angemeldet hat - dessen Änderungen zu übernehmen.
Von daher wäre es auch egal, ob ich persönlich nicht wirklich von Schulungsteilnehmer xyz noch das Profil aufeheben würde, dass vor xxx Monaten mal gebraucht wurde.
An deiner Stelle würde ich mir mal das "Default User" Profil ansehen - dort kannst du wunderbar die Einstellungen treffen, die jeder, der sich anmeldet bekommt.
Yupp - z.B indem du:
Gruß
warum ist denn der Ansatz mit den mand. und servergespeicherten Profilen so schlecht?
Naja "schlecht" ist der falsche Ausdruck "suboptimal" wäre besser."man" Userprofiles haben die Eigenschaft nicht geändert werden zu können.
Servergespeicherte Profile sind u.a dazu da - wenn sich denn jemand "woanders" angemeldet hat - dessen Änderungen zu übernehmen.
Von daher wäre es auch egal, ob ich persönlich nicht wirklich von Schulungsteilnehmer xyz noch das Profil aufeheben würde, dass vor xxx Monaten mal gebraucht wurde.
habe ich da einen Denkfehler?
Hoffe die letzten Klarheiten hiermit beseitigt zu haben An deiner Stelle würde ich mir mal das "Default User" Profil ansehen - dort kannst du wunderbar die Einstellungen treffen, die jeder, der sich anmeldet bekommt.
Ist es denn möglich einen Automatismus hinein zu bekommen,
der dann das Rollout beim Herunterfahren des Schulungsrechners auslöst?
der dann das Rollout beim Herunterfahren des Schulungsrechners auslöst?
Yupp - z.B indem du:
- Das System "so" installierst, wie es sein soll
- zusätzlich Bart als HD installation auf die Platte installierst und in Bart eine Autostart.cmd anlegst - die das zurücksichern durchführt und ein paar andere Änderungen durchführt (s.u.)
- vor dem "herunterfahren" - das logischerweise besser - neustarten sein sollte - die Boot.ini von "original" auf Bart verstellst und so den Rechner wieder in den Ursprungszustand bringst.
Gruß
Tachchen,
mit der Bart könnte ich dann immer einen Zustand, quasi nach der Erstinst., zurückholen. Wie sieht das nun mit Win- und AV-Updates aus? lässt sich ja dann nicht on-the-run abholen (zwar kurzzeitig schon, aber nicht dauerhaft), oder?
hier müsste man ja dann eine sequenz einbringen, bei der z.b. die schulungsrechner am WE gemeinsam per WOL hochfahren ins SOLL-System von Bart .. updaten und danach wieder herunterfahren.
Zu dem Default Profile:
das kenn ich und nutze auch ein voreingerichtetes für neue User ... aber lässt sich denn auf einem DC, für versch. Gruppen von Usern, versch. Default Profile einrichten?
<-- das wäre dann hier meine nächste Fragestellung, wenn ich z.b. über default profile gehe ...
(mir wäre so, dass ich das nur einmal pro DC im NETLOGON ablegen könnte ...)
kann zwar best. GPO für die einzelnen Gruppen definieren, aber ein ganz paar Sächelchen wären damit nicht abgedeckt, die ich bisher auch per default prof erledige ...
Gruß
mit der Bart könnte ich dann immer einen Zustand, quasi nach der Erstinst., zurückholen. Wie sieht das nun mit Win- und AV-Updates aus? lässt sich ja dann nicht on-the-run abholen (zwar kurzzeitig schon, aber nicht dauerhaft), oder?
hier müsste man ja dann eine sequenz einbringen, bei der z.b. die schulungsrechner am WE gemeinsam per WOL hochfahren ins SOLL-System von Bart .. updaten und danach wieder herunterfahren.
Zu dem Default Profile:
das kenn ich und nutze auch ein voreingerichtetes für neue User ... aber lässt sich denn auf einem DC, für versch. Gruppen von Usern, versch. Default Profile einrichten?
<-- das wäre dann hier meine nächste Fragestellung, wenn ich z.b. über default profile gehe ...
(mir wäre so, dass ich das nur einmal pro DC im NETLOGON ablegen könnte ...)
kann zwar best. GPO für die einzelnen Gruppen definieren, aber ein ganz paar Sächelchen wären damit nicht abgedeckt, die ich bisher auch per default prof erledige ...
Gruß
Mahlzeit....
also ich wollte den Beitrag einmal hiermit als gelöst markieren als auch zum anderen für diejenigen zu Ende bringen, welche über die Forensuche ähnlichen Aufgabe versuchen wollen zu lösen.
Also wir haben zum einen die schon erwähnten Dr. Kaiser-Karte in den Schulungsrechner drin gelassen. Dank einiger FW-Updates und Tools seitens des Herstellers können wir nun automatisiert alle Schulungsräume zentrallisiert verwalten und updaten lassen.
Die Kaiser-Karte erstellt eine versteckte Partition, welche selbst über versch. Festplattentools nicht erkannt u./o. gelöscht werden kann. Mit Hilfe dieser können wir sicherstellen, dass bei einem Reboot der Maschiene alle Einstellungen zum letzten Konfigurationszeitpunkt, wo der Schutz über die Karte deaktiviert wurde, immer wieder hergestellt wird. Die temp. Änderungen werden während der Session auf die verst. Partition geschrieben und danach als wieder gelöscht.
Damit die Teilnehmer auch administrative Rechte haben auf den Maschienen, somit auch entsprechende Änderungen an SW, HW etc. temp. durchführen können, sind diese in einer Gruppe zusammengefasst worden. Diese Gruppe wurde dann zu den lokalen (also an den PCs selbst) zu der Gruppe ADMINISTRATOREN hinzugefügt (per GPO).
Die Profile sind verbindlich und servergespeichert. Somit haben wir die Möglichkeit einerseits auf dem Server best. Verknüpfungen, Anleitungen oder andere Dokumente auf den Desktop beispielsweise per Batch in jedes Profil kopieren zu lassen. Durch die Verbindlichkeit können die User zwar Dinge ändern, ist aber natürlich nach dem Abmelden und erneutem Anmelden verschwunden bzw. nicht gespeichert worden.
Mit Hilfe eines Tools für die Dr.Kaiser-Karte werden die einzelnen Schulungsräume am WE zeitversetzt per WoL (Wake on Lan) gestartet und der Schutz danach ausgeschaltet. Die WSUS-Updates werden danach (Zeitpunkt per GPO festgelegt) gezogen und installiert. Die Virenupdates ebenfalls. Die PCs haben dann eine vorbestimmten Zeitraum um sich alles zu ziehen, zu installieren und ggf. Reboots durch zu führen. Am Abend wird dann der Schutz wieder eingeschaltet und der PC selbst herunter gefahren. Alles über das Tool als auch per Batchscripte gesteuert.
Damit keine unbefugten während der Sessions am WE den PC manipulieren können, sollte zwar keiner da sein, aber man weiß ja nie, haben wir hierfür den PC gesperrt mittels eines weiteren Tools, was auch zum Updaten genutzt werden kann für die Kaiser-Karten -> nennt sich DKS-Dynak.
Die ersten 2 Wochen liefen hierfür sauber durch.
Wer gerne Details wissen möchte -> PM
Gruß
also ich wollte den Beitrag einmal hiermit als gelöst markieren als auch zum anderen für diejenigen zu Ende bringen, welche über die Forensuche ähnlichen Aufgabe versuchen wollen zu lösen.
Also wir haben zum einen die schon erwähnten Dr. Kaiser-Karte in den Schulungsrechner drin gelassen. Dank einiger FW-Updates und Tools seitens des Herstellers können wir nun automatisiert alle Schulungsräume zentrallisiert verwalten und updaten lassen.
Die Kaiser-Karte erstellt eine versteckte Partition, welche selbst über versch. Festplattentools nicht erkannt u./o. gelöscht werden kann. Mit Hilfe dieser können wir sicherstellen, dass bei einem Reboot der Maschiene alle Einstellungen zum letzten Konfigurationszeitpunkt, wo der Schutz über die Karte deaktiviert wurde, immer wieder hergestellt wird. Die temp. Änderungen werden während der Session auf die verst. Partition geschrieben und danach als wieder gelöscht.
Damit die Teilnehmer auch administrative Rechte haben auf den Maschienen, somit auch entsprechende Änderungen an SW, HW etc. temp. durchführen können, sind diese in einer Gruppe zusammengefasst worden. Diese Gruppe wurde dann zu den lokalen (also an den PCs selbst) zu der Gruppe ADMINISTRATOREN hinzugefügt (per GPO).
Die Profile sind verbindlich und servergespeichert. Somit haben wir die Möglichkeit einerseits auf dem Server best. Verknüpfungen, Anleitungen oder andere Dokumente auf den Desktop beispielsweise per Batch in jedes Profil kopieren zu lassen. Durch die Verbindlichkeit können die User zwar Dinge ändern, ist aber natürlich nach dem Abmelden und erneutem Anmelden verschwunden bzw. nicht gespeichert worden.
Mit Hilfe eines Tools für die Dr.Kaiser-Karte werden die einzelnen Schulungsräume am WE zeitversetzt per WoL (Wake on Lan) gestartet und der Schutz danach ausgeschaltet. Die WSUS-Updates werden danach (Zeitpunkt per GPO festgelegt) gezogen und installiert. Die Virenupdates ebenfalls. Die PCs haben dann eine vorbestimmten Zeitraum um sich alles zu ziehen, zu installieren und ggf. Reboots durch zu führen. Am Abend wird dann der Schutz wieder eingeschaltet und der PC selbst herunter gefahren. Alles über das Tool als auch per Batchscripte gesteuert.
Damit keine unbefugten während der Sessions am WE den PC manipulieren können, sollte zwar keiner da sein, aber man weiß ja nie, haben wir hierfür den PC gesperrt mittels eines weiteren Tools, was auch zum Updaten genutzt werden kann für die Kaiser-Karten -> nennt sich DKS-Dynak.
Die ersten 2 Wochen liefen hierfür sauber durch.
Wer gerne Details wissen möchte -> PM
Gruß
