wacky80
Goto Top

Laptops für Außenmitarbeiter in die Domäne: ja-nein?

Hallo zusammen,

Unser Infrastruktur wird mit Windows Server 2012 R2 betrieben. Die Mitarbeiter arbeiten alle über Terminal Sessions. Die, die gerade externe unterwegs sind wählen sich dazu über ein Webinterface auf den Terminalserver ein und bekommen dann ihre Arbeitsumgebung. Soweit so gut.

Jetzt stellt sich die Frage, wie man die Laptops besser kontrollieren kann, da sie bisher nicht in der Domäne sind. Es wurde einfach jeweils eine Standalone-Anti-Virensoftware installiert, die völlig für sich arbeitet. Dadurch wissen wir auch nicht, ob der Anti-Viren-Killer auch wirklich immer brav seine Updates zieht, etc. Uns fehlt einfach die Kontrolle.

Intern -in der Domäne- haben wir die Kontrolle der Clients über die McAfee-Agents. Jetzt dachte ich, dass ich die externen Laptops ebenso in die Domäne integriere. Leider stieß ich da auf ein paar Schwierigkeiten. Z.B. haben Mitarbeiter keine Adminrechte in der Domäne und somit auch nicht mehr auf den Laptops. Vorher hatten Sie Admin-Rechte auf den Geräten. Das hat sich aus praktischen Gründen so bestens bewährt und sollte so bleiben.

Gibt es vielleicht die Möglichkeit, alle Laptops auch ohne Domänenbeitritt zu kontrollieren? irgendeine Software?

Danke und Grüße

Content-Key: 325321

Url: https://administrator.de/contentid/325321

Printed on: July 21, 2024 at 08:07 o'clock

Member: beschlagfuchs
beschlagfuchs Jan 03, 2017 at 11:48:12 (UTC)
Goto Top
Hi,

wenns unbedingt sein muss, dann kann man den Usern auch nach dem Domänenbeitritt lokale Adminrechte auf den Laptops geben.


Gruß
Member: Chonta
Chonta Jan 03, 2017 at 11:57:01 (UTC)
Goto Top
Hallo,

sind die Laptops verschlüsselt?
Werden auf den Kisten lokal kritische Daten vorgehalten?
Man kann einem Domänenbenutzer ohne Probleme lokale Adminrechte auf einem Rechner geben, mann muss nur auf passen das man es richtig macht.
Stichwort GPO + Eingeschränkte Gruppen + Admin-Problematik

Alternativ bekommen die Mitarbeiter ein separates lokales Adminkonto das die dan zum, Treiberinstallieren verwenden und der rest über das Domainkonto ohne adminrechte.

Gruß

Chonta
Member: rudeboy
rudeboy Jan 03, 2017 updated at 13:23:53 (UTC)
Goto Top
Hi

Habe auch einen Schwung ADer zu betreuen, benutzen seit geraumer Zeit Panda Cloud Office Protection (PCOP), die Updaten und reporten ins Internet und man kann sich per Browser auf eine Managementoberfläche bei Panda einloggen und alles einsehen.

Gruß, rudeboy

Edit: keine Domänenzugehörigkeit und auch lokale Admins
Member: wacky80
wacky80 Jan 03, 2017 at 14:36:19 (UTC)
Goto Top
Danke für die zügigen Antworten.

das jeweilige Domänen-Konto auf dem Laptop mit Admin-Rechte zu erstellen klingt nach einer guten Lösung. Wie sieht es aber mit der Anmeldung an der Domäne aus. Ich weiß, dass wenn man sich einmalig in internen Netz über das Domänenkonto einloggt, es danach auch funktioniert, wenn keine Netzverbindung mehr besteht, da der Laptop das Passwort vom Domänen-Konto irgendwo im Cache hat.

Wenn der Mitarbeiter allerdings den Laptop nach ca. 1-3 Monate wieder anschaltet und keine Netz hat, kann sich der User dann trotzdem mit dem Domänenkonto noch anmelden?

PS. Panda schau ich mir auch noch an.. danke rudeboy
Member: Chonta
Chonta Jan 03, 2017 at 14:51:45 (UTC)
Goto Top
1-3 Monate wieder anschaltet und keine Netz hat, kann sich der User dann trotzdem mit dem Domänenkonto noch anmelden?
Kommt auf die Passwortpolecys an. Und ggf eingerichtete Richtlinien für die Gültigkeit der zwischengespeicherten Anmeldungen.

Alternativ kannst Du eine VPN Lösung implementieren, die immer versucht eine Verbindung zur Domäne aufzubauen (vor der Anmeldung) dann ist immer alles up to date.

Damit die zwischengespeicherten Anmeldungen genutzt werden können, muss eine Initialanmeldung am Gerät erfolgen face-smile.

Gruß

Chonta
Member: ArnoNymous
ArnoNymous Jan 03, 2017 at 16:37:47 (UTC)
Goto Top
Moin,

Zitat von @Chonta:


Alternativ bekommen die Mitarbeiter ein separates lokales Adminkonto das die dan zum, Treiberinstallieren verwenden und der rest über das Domainkonto ohne adminrechte.



So mache ich es auch immer.
Member: DerWoWusste
DerWoWusste Jan 04, 2017 updated at 12:02:26 (UTC)
Goto Top
Wenn der Mitarbeiter allerdings den Laptop nach ca.1-3 Monate wieder anschaltet und keine Netz hat, kann sich der User dann trotzdem mit dem Domänenkonto noch anmelden?
Kommt auf die Passwortpolecys an. Und ggf eingerichtete Richtlinien für die Gültigkeit der zwischengespeicherten Anmeldungen.
Er kommt immer rein. Mit den Passwortrichtlinien hat das mal gar nichts zu tun. Die zwischengespeicherten Kennwörter sind per default für 10 Nutzer dauerhaft drin.

Adminrechte: ganz schlechte Idee und auch nicht benötigt, es sei denn, man installiert spontan ständig Software oder Drucker.
Auf jeden Fall in die Domäne aufnehmen.
Member: Dani
Dani Jan 06, 2017 updated at 10:18:28 (UTC)
Goto Top
Moin,
Adminrechte: ganz schlechte Idee und auch nicht benötigt, es sei denn, man installiert spontan ständig Software oder Drucker.
sehe ich genauso... wer behält von euch ITlern den Überblick was auf den Notebooks getrieben wird? Wer haftet im Worst Case für evtl. Lizenzverstöße?

Wenn man schon ein Active Directory hat, soll man es auch mit allen seinen Vorteilen nutzen. Ich würde in deinem Fall evtl. noch über DirectAcces nach denken. Somit würde der Client regelmäßig Windows Updates und Virendefinition herunterladen bzw. reporten.


Gruß,
Dani