8
Laptops für Außenmitarbeiter in die Domäne: ja-nein?
Hallo zusammen,
Unser Infrastruktur wird mit Windows Server 2012 R2 betrieben. Die Mitarbeiter arbeiten alle über Terminal Sessions. Die, die gerade externe unterwegs sind wählen sich dazu über ein Webinterface auf den Terminalserver ein und bekommen dann ihre Arbeitsumgebung. Soweit so gut.
Jetzt stellt sich die Frage, wie man die Laptops besser kontrollieren kann, da sie bisher nicht in der Domäne sind. Es wurde einfach jeweils eine Standalone-Anti-Virensoftware installiert, die völlig für sich arbeitet. Dadurch wissen wir auch nicht, ob der Anti-Viren-Killer auch wirklich immer brav seine Updates zieht, etc. Uns fehlt einfach die Kontrolle.
Intern -in der Domäne- haben wir die Kontrolle der Clients über die McAfee-Agents. Jetzt dachte ich, dass ich die externen Laptops ebenso in die Domäne integriere. Leider stieß ich da auf ein paar Schwierigkeiten. Z.B. haben Mitarbeiter keine Adminrechte in der Domäne und somit auch nicht mehr auf den Laptops. Vorher hatten Sie Admin-Rechte auf den Geräten. Das hat sich aus praktischen Gründen so bestens bewährt und sollte so bleiben.
Gibt es vielleicht die Möglichkeit, alle Laptops auch ohne Domänenbeitritt zu kontrollieren? irgendeine Software?
Danke und Grüße
Unser Infrastruktur wird mit Windows Server 2012 R2 betrieben. Die Mitarbeiter arbeiten alle über Terminal Sessions. Die, die gerade externe unterwegs sind wählen sich dazu über ein Webinterface auf den Terminalserver ein und bekommen dann ihre Arbeitsumgebung. Soweit so gut.
Jetzt stellt sich die Frage, wie man die Laptops besser kontrollieren kann, da sie bisher nicht in der Domäne sind. Es wurde einfach jeweils eine Standalone-Anti-Virensoftware installiert, die völlig für sich arbeitet. Dadurch wissen wir auch nicht, ob der Anti-Viren-Killer auch wirklich immer brav seine Updates zieht, etc. Uns fehlt einfach die Kontrolle.
Intern -in der Domäne- haben wir die Kontrolle der Clients über die McAfee-Agents. Jetzt dachte ich, dass ich die externen Laptops ebenso in die Domäne integriere. Leider stieß ich da auf ein paar Schwierigkeiten. Z.B. haben Mitarbeiter keine Adminrechte in der Domäne und somit auch nicht mehr auf den Laptops. Vorher hatten Sie Admin-Rechte auf den Geräten. Das hat sich aus praktischen Gründen so bestens bewährt und sollte so bleiben.
Gibt es vielleicht die Möglichkeit, alle Laptops auch ohne Domänenbeitritt zu kontrollieren? irgendeine Software?
Danke und Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 325321
Url: https://administrator.de/contentid/325321
Printed on: April 27, 2024 at 20:04 o'clock
8 Comments
Latest comment
Hi,
wenns unbedingt sein muss, dann kann man den Usern auch nach dem Domänenbeitritt lokale Adminrechte auf den Laptops geben.
Gruß
wenns unbedingt sein muss, dann kann man den Usern auch nach dem Domänenbeitritt lokale Adminrechte auf den Laptops geben.
Gruß
Hallo,
sind die Laptops verschlüsselt?
Werden auf den Kisten lokal kritische Daten vorgehalten?
Man kann einem Domänenbenutzer ohne Probleme lokale Adminrechte auf einem Rechner geben, mann muss nur auf passen das man es richtig macht.
Stichwort GPO + Eingeschränkte Gruppen + Admin-Problematik
Alternativ bekommen die Mitarbeiter ein separates lokales Adminkonto das die dan zum, Treiberinstallieren verwenden und der rest über das Domainkonto ohne adminrechte.
Gruß
Chonta
sind die Laptops verschlüsselt?
Werden auf den Kisten lokal kritische Daten vorgehalten?
Man kann einem Domänenbenutzer ohne Probleme lokale Adminrechte auf einem Rechner geben, mann muss nur auf passen das man es richtig macht.
Stichwort GPO + Eingeschränkte Gruppen + Admin-Problematik
Alternativ bekommen die Mitarbeiter ein separates lokales Adminkonto das die dan zum, Treiberinstallieren verwenden und der rest über das Domainkonto ohne adminrechte.
Gruß
Chonta
Hi
Habe auch einen Schwung ADer zu betreuen, benutzen seit geraumer Zeit Panda Cloud Office Protection (PCOP), die Updaten und reporten ins Internet und man kann sich per Browser auf eine Managementoberfläche bei Panda einloggen und alles einsehen.
Gruß, rudeboy
Edit: keine Domänenzugehörigkeit und auch lokale Admins
Habe auch einen Schwung ADer zu betreuen, benutzen seit geraumer Zeit Panda Cloud Office Protection (PCOP), die Updaten und reporten ins Internet und man kann sich per Browser auf eine Managementoberfläche bei Panda einloggen und alles einsehen.
Gruß, rudeboy
Edit: keine Domänenzugehörigkeit und auch lokale Admins
Danke für die zügigen Antworten.
das jeweilige Domänen-Konto auf dem Laptop mit Admin-Rechte zu erstellen klingt nach einer guten Lösung. Wie sieht es aber mit der Anmeldung an der Domäne aus. Ich weiß, dass wenn man sich einmalig in internen Netz über das Domänenkonto einloggt, es danach auch funktioniert, wenn keine Netzverbindung mehr besteht, da der Laptop das Passwort vom Domänen-Konto irgendwo im Cache hat.
Wenn der Mitarbeiter allerdings den Laptop nach ca. 1-3 Monate wieder anschaltet und keine Netz hat, kann sich der User dann trotzdem mit dem Domänenkonto noch anmelden?
PS. Panda schau ich mir auch noch an.. danke rudeboy
das jeweilige Domänen-Konto auf dem Laptop mit Admin-Rechte zu erstellen klingt nach einer guten Lösung. Wie sieht es aber mit der Anmeldung an der Domäne aus. Ich weiß, dass wenn man sich einmalig in internen Netz über das Domänenkonto einloggt, es danach auch funktioniert, wenn keine Netzverbindung mehr besteht, da der Laptop das Passwort vom Domänen-Konto irgendwo im Cache hat.
Wenn der Mitarbeiter allerdings den Laptop nach ca. 1-3 Monate wieder anschaltet und keine Netz hat, kann sich der User dann trotzdem mit dem Domänenkonto noch anmelden?
PS. Panda schau ich mir auch noch an.. danke rudeboy
1-3 Monate wieder anschaltet und keine Netz hat, kann sich der User dann trotzdem mit dem Domänenkonto noch anmelden?
Kommt auf die Passwortpolecys an. Und ggf eingerichtete Richtlinien für die Gültigkeit der zwischengespeicherten Anmeldungen.Alternativ kannst Du eine VPN Lösung implementieren, die immer versucht eine Verbindung zur Domäne aufzubauen (vor der Anmeldung) dann ist immer alles up to date.
Damit die zwischengespeicherten Anmeldungen genutzt werden können, muss eine Initialanmeldung am Gerät erfolgen
.Gruß
Chonta
Moin,
So mache ich es auch immer.
Zitat von @Chonta:
Alternativ bekommen die Mitarbeiter ein separates lokales Adminkonto das die dan zum, Treiberinstallieren verwenden und der rest über das Domainkonto ohne adminrechte.
Alternativ bekommen die Mitarbeiter ein separates lokales Adminkonto das die dan zum, Treiberinstallieren verwenden und der rest über das Domainkonto ohne adminrechte.
So mache ich es auch immer.
Wenn der Mitarbeiter allerdings den Laptop nach ca.1-3 Monate wieder anschaltet und keine Netz hat, kann sich der User dann trotzdem mit dem Domänenkonto noch anmelden?
Kommt auf die Passwortpolecys an. Und ggf eingerichtete Richtlinien für die Gültigkeit der zwischengespeicherten Anmeldungen.Adminrechte: ganz schlechte Idee und auch nicht benötigt, es sei denn, man installiert spontan ständig Software oder Drucker.
Auf jeden Fall in die Domäne aufnehmen.
Moin,
Wenn man schon ein Active Directory hat, soll man es auch mit allen seinen Vorteilen nutzen. Ich würde in deinem Fall evtl. noch über DirectAcces nach denken. Somit würde der Client regelmäßig Windows Updates und Virendefinition herunterladen bzw. reporten.
Gruß,
Dani
Adminrechte: ganz schlechte Idee und auch nicht benötigt, es sei denn, man installiert spontan ständig Software oder Drucker.
sehe ich genauso... wer behält von euch ITlern den Überblick was auf den Notebooks getrieben wird? Wer haftet im Worst Case für evtl. Lizenzverstöße?Wenn man schon ein Active Directory hat, soll man es auch mit allen seinen Vorteilen nutzen. Ich würde in deinem Fall evtl. noch über DirectAcces nach denken. Somit würde der Client regelmäßig Windows Updates und Virendefinition herunterladen bzw. reporten.
Gruß,
Dani