Lokales OS ausschließlich für Terminalserver nutzen
Hallo,
welche Möglichkeiten gibt es den lokalen PC ausschließlich für den Zugriff auf einen Terminalserver zu konfigurieren? Unsere User benötigen das lokale Betriebssystem nicht, sondern nutzen es nur für die Anmeldung am Terminalserver. Einzig, es wird von dem lokalen OS eine Smartcard (DATEV) in die TS-Session durchgereicht. Treiber für Dual-Monitoring und Sound sollten natürlich auch mit durchgereicht werden.
Mit geht es vor allem darum, die Lizenzkosten für Win10 zu sparen und die Angriffsfläche auf dem lokalen OS zu minimieren.
Es spielt eigentlich keine Rolle ob Linux oder MS, wichtig ist wie gesagt nur, dass die erwähnten Treiber durchgereicht werden.
Wie macht Ihr das, bzw. was wären Eure Vorschläge?
Vielen Dank für Eure Hilfe!
Chris
welche Möglichkeiten gibt es den lokalen PC ausschließlich für den Zugriff auf einen Terminalserver zu konfigurieren? Unsere User benötigen das lokale Betriebssystem nicht, sondern nutzen es nur für die Anmeldung am Terminalserver. Einzig, es wird von dem lokalen OS eine Smartcard (DATEV) in die TS-Session durchgereicht. Treiber für Dual-Monitoring und Sound sollten natürlich auch mit durchgereicht werden.
Mit geht es vor allem darum, die Lizenzkosten für Win10 zu sparen und die Angriffsfläche auf dem lokalen OS zu minimieren.
Es spielt eigentlich keine Rolle ob Linux oder MS, wichtig ist wie gesagt nur, dass die erwähnten Treiber durchgereicht werden.
Wie macht Ihr das, bzw. was wären Eure Vorschläge?
Vielen Dank für Eure Hilfe!
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 630589
Url: https://administrator.de/forum/lokales-os-ausschliesslich-fuer-terminalserver-nutzen-630589.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
29 Kommentare
Neuester Kommentar
Du schaltest mit den GPOs auf dem betroffenen PC alles aus, was den PC nutzbar macht und legst auf den Desktop nur das RDP-Icon ab. Das Startmenü kannst du ebenfalls leeren, dass außer Herunterfahren, Log-out und Neustart nichts bleibt. Die Firewall machst du richtig dicht -> ALLES. Rein und raus. Einzig erlaubst du den Zugriff für den RDP-Server, Windows Updates (WSUS?) und ggf. Virenscanner.
Oder du wartest noch ab was die Kollegen sagen. Vielleicht haben die noch eine glänzende Idee.
Oder du wartest noch ab was die Kollegen sagen. Vielleicht haben die noch eine glänzende Idee.
Moin...
Hallo,
welche Möglichkeiten gibt es den lokalen PC ausschließlich für den Zugriff auf einen Terminalserver zu konfigurieren?
viele....
Einzig, es wird von dem lokalen OS eine Smartcard (DATEV) in die TS-Session durchgereicht.
das wird nix, das geht nur unter Windows....
Mit geht es vor allem darum, die Lizenzkosten für Win10 zu sparen und die Angriffsfläche auf dem lokalen OS zu minimieren.
echt jetzt... das kannst du so nicht sparen!
Wie macht Ihr das, bzw. was wären Eure Vorschläge?
steht oben...
wenn ihr das Unternehmen online habt, nutzt die Handy App von Datev... dann kannst du auf linux umstellen!
oder Lima Server nutzen mit dem Key!
Vielen Dank für Eure Hilfe!
Chris
Frank
Hallo,
welche Möglichkeiten gibt es den lokalen PC ausschließlich für den Zugriff auf einen Terminalserver zu konfigurieren?
Unsere User benötigen das lokale Betriebssystem nicht, sondern nutzen es nur für die Anmeldung am Terminalserver.
ohne BS wird das aber nix... egal ob Linux, Windows,...Einzig, es wird von dem lokalen OS eine Smartcard (DATEV) in die TS-Session durchgereicht.
das wird nix, das geht nur unter Windows....
Treiber für Dual-Monitoring und Sound sollten natürlich auch mit durchgereicht werden.
normal...Mit geht es vor allem darum, die Lizenzkosten für Win10 zu sparen und die Angriffsfläche auf dem lokalen OS zu minimieren.
Es spielt eigentlich keine Rolle ob Linux oder MS, wichtig ist wie gesagt nur, dass die erwähnten Treiber durchgereicht werden.
geht nur unter Windows!Wie macht Ihr das, bzw. was wären Eure Vorschläge?
wenn ihr das Unternehmen online habt, nutzt die Handy App von Datev... dann kannst du auf linux umstellen!
oder Lima Server nutzen mit dem Key!
Vielen Dank für Eure Hilfe!
Chris
Moin
Frank
Zitat von @Inf1d3l:
Soweit ich weiß, brauchst du für die DATEV-SmartCard das Sicherheitspaket, das es nur für Windows gibt.
kannst auch den Lima Server nutzen... da bleibt der Key im Server!Soweit ich weiß, brauchst du für die DATEV-SmartCard das Sicherheitspaket, das es nur für Windows gibt.
Ist auf dem Terminalserver Office drauf, muss es auch auf dem Client drauf sein.
das ist nicht richtig.....Frank
moin..
und natürlich kannst du das mit einer personalisierten SC machen... mache ich doch auch! wenn es eine VM ist, nutzt du eben einen USB Server (SILEX DS-510)
So nun aber genug geklug###ert. Ich war ja in der Hilfesituation
eben...
Die Lizenzkosten möchte ich mir sparen, weil wir noch 8.1 einsetzen und jetzt umsteigen. Bei der Gelegenheit überlege ich eben, ob ich tatsächlich noch ein vollwertiges W10 einsetzen muss? Wichtiger ist mir aber, dass der Wartungsauswand für das lokale System so gering wie nötig ist. Wie gesagt, loal passiert nichts mehr.
Gibt es denn eine Anleitung wie ich per GPO usw. nur den TS freigebe? Ich weiß ich sollte suchen, aber vielleicht kennt Ihr ja eine gute Anleitung?
ich verstehe dich nicht so richtig, auch wenn du nur per per GPO RDP freimachst, brauchst du eine Windows 10 Lizenz!
Frank
Zitat von @chris123:
Erstmal vielen Dank für Eure Beiträge!
Der Lima von DATEV hat erstmal nicht mit dem SC-Einsatz zu tun. Ihr meint den Kommunikationsserver der DATEV. Der ist vorhanden.
hast recht, klar meinte ich den Kommunikationsserver.... Erstmal vielen Dank für Eure Beiträge!
Der Lima von DATEV hat erstmal nicht mit dem SC-Einsatz zu tun. Ihr meint den Kommunikationsserver der DATEV. Der ist vorhanden.
Wenn ich aber z.B. in ReWE Belege aus DUO abrufen möchte, geht das nur mit einer personalisierten SC.
dann stopf die SC in den Server.... meine Mädels arbeiten teilweise mit dem iPad (RDP) Das Sicherheitspaket muss nicht mehr lokal vorhanden sein.
richtig..Wenn es mal lokal installiert war, dann geht es nicht.
doch... klar, ändere das Setup!auf einem frischen System muss es nicht lokal vorhanden sein. Es reicht, wenn das Sicherheitspaket auf dem TS vorhanden ist.
auf alten Setups geht das auch!und natürlich kannst du das mit einer personalisierten SC machen... mache ich doch auch! wenn es eine VM ist, nutzt du eben einen USB Server (SILEX DS-510)
So nun aber genug geklug###ert. Ich war ja in der Hilfesituation
Die Lizenzkosten möchte ich mir sparen, weil wir noch 8.1 einsetzen und jetzt umsteigen. Bei der Gelegenheit überlege ich eben, ob ich tatsächlich noch ein vollwertiges W10 einsetzen muss? Wichtiger ist mir aber, dass der Wartungsauswand für das lokale System so gering wie nötig ist. Wie gesagt, loal passiert nichts mehr.
Gibt es denn eine Anleitung wie ich per GPO usw. nur den TS freigebe? Ich weiß ich sollte suchen, aber vielleicht kennt Ihr ja eine gute Anleitung?
WSUS ist noch nicht im Einsatz, was aber zukünftig Sinn macht, da dann lokal ein Onlinezugang auch nicht mehr benötigt wird.
häh... du meinst für updates?Frank
Also wenn es darum geht, die Lizenzkosten für Win10 zu sparen, brauchen wir also eine Lösung die nicht auf Windows basiert.
Du könntest also z.B: auf Openthinclient setzen: http://openthinclient.org/de/openthinclient/ und die PCs damit betanken.
Alternativ kannst du dir auch selbst ein Linux entsprechend zurechtklöppeln.
Ansonsten kämen auch direkt richtige Thin-Clients in Frage. Ich habe da gute Erfahrungen mit den Geräten von Igel gemacht. Du kannst auch nur die Software von Igel beziehen und auf "normalen Rechnern" installieren: https://www.igel.de/solution-family/igel-os/
Ich finde das Management von Igel da recht nett. Allerdings kostet das dann auch wieder Geld...
Du könntest also z.B: auf Openthinclient setzen: http://openthinclient.org/de/openthinclient/ und die PCs damit betanken.
Alternativ kannst du dir auch selbst ein Linux entsprechend zurechtklöppeln.
Ansonsten kämen auch direkt richtige Thin-Clients in Frage. Ich habe da gute Erfahrungen mit den Geräten von Igel gemacht. Du kannst auch nur die Software von Igel beziehen und auf "normalen Rechnern" installieren: https://www.igel.de/solution-family/igel-os/
Ich finde das Management von Igel da recht nett. Allerdings kostet das dann auch wieder Geld...
??? wieso sollte?
Hallo,
Blödsinn.
Du installierst Windows 10, Du benutzt es (wenn auch nur für den RDP Client) - also bezahlst Du es gefälligst auch.
Sachen gibt 's, tststs...
Gruß,
Jörg
Blödsinn.
Du installierst Windows 10, Du benutzt es (wenn auch nur für den RDP Client) - also bezahlst Du es gefälligst auch.
Sachen gibt 's, tststs...
Gruß,
Jörg
@Vision2015 hat doch schon geschrieben, dass es nicht richtig ist. OK, er hätte es auch erklären können. Es reicht eine vorhandene Lizenz dem Client zuzuweisen, zumindest bei dem üblichen Office. Aber hey, excuse moi
Zitat von @Inf1d3l:
@Vision2015 hat doch schon geschrieben, dass es nicht richtig ist. OK, er hätte es auch erklären können. Es reicht eine vorhandene Lizenz dem Client zuzuweisen, zumindest bei dem üblichen Office. Aber hey, excuse moi
@Vision2015 hat doch schon geschrieben, dass es nicht richtig ist. OK, er hätte es auch erklären können. Es reicht eine vorhandene Lizenz dem Client zuzuweisen, zumindest bei dem üblichen Office. Aber hey, excuse moi
Ehm was hat denn Office nun auf dem Client verloren? Ich verstehs nicht.
welche Möglichkeiten gibt es den lokalen PC ausschließlich für den Zugriff auf einen Terminalserver zu konfigurieren? Unsere User benötigen das lokale Betriebssystem nicht, sondern nutzen es nur für die Anmeldung am Terminalserver. Einzig, es wird von dem lokalen OS eine Smartcard (DATEV) in die TS-Session durchgereicht. Treiber für Dual-Monitoring und Sound sollten natürlich auch mit durchgereicht werden.
Stratodesk und Igel bieten hierfür zum Beispiel fertige Lösungen zur Umwandlung eines "PC" in einen "TC" an.
Zitat von @Xaero1982:
Ehm was hat denn Office nun auf dem Client verloren? Ich verstehs nicht.
Zitat von @Inf1d3l:
@Vision2015 hat doch schon geschrieben, dass es nicht richtig ist. OK, er hätte es auch erklären können. Es reicht eine vorhandene Lizenz dem Client zuzuweisen, zumindest bei dem üblichen Office. Aber hey, excuse moi
@Vision2015 hat doch schon geschrieben, dass es nicht richtig ist. OK, er hätte es auch erklären können. Es reicht eine vorhandene Lizenz dem Client zuzuweisen, zumindest bei dem üblichen Office. Aber hey, excuse moi
Ehm was hat denn Office nun auf dem Client verloren? Ich verstehs nicht.
Gar nichts. Ich bin fälschlicherweise davon ausgegangen, dass wenn auf dem Terminalserver Office (in diesem Fall Computerlizenzen!) zur Verfügung steht, dieses auch aus Lizenzgründen auf dem Client installiert werden muss. Lizenziert wird hier ja nicht der Terminalserver, sondern die Clients (Computerlizenzen!) Stattdessen reicht aber nur die Zuweisung. Verstehst du es jetzt?
Hallo,
völlig falsch.
Lizenziert wird das Office auf dem RDP Host, Du hast jedoch ein Zweitnutzungsrecht für den Client.
Ein Recht ist keine Pflicht.
Gruß,
Jörg
völlig falsch.
Lizenziert wird das Office auf dem RDP Host, Du hast jedoch ein Zweitnutzungsrecht für den Client.
Ein Recht ist keine Pflicht.
Gruß,
Jörg
https://www.manfredhelber.de/lizenzierung-von-office-fuer-rds-szenarien/
Hier kann man das nochmal nachlesen...
Hier kann man das nochmal nachlesen...
Hallo,
Ich bin ehrlich gesagt ziemlich erschrocken. Ich meine - das ist wirklich allererstes, rudimentäres Hintergrundwissen...
Gruß,
Jörg
Ich bin ehrlich gesagt ziemlich erschrocken. Ich meine - das ist wirklich allererstes, rudimentäres Hintergrundwissen...
Gruß,
Jörg
Zitat von @117471:
völlig falsch.
Lizenziert wird das Office auf dem RDP Host, Du hast jedoch ein Zweitnutzungsrecht für den Client.
Lizenziert wird das Office auf dem RDP Host, Du hast jedoch ein Zweitnutzungsrecht für den Client.
Laut Lizenzdokumentation genau umgekehrt. Die Lizenz hängt weiterhin am zugreifenden Client:
"Customers may choose to host Office applications on a dedicated server for remote access by their end users from their own devices. This option does not require a license to be assigned to the server itself but does require an Office license for each device remotely accessing the software on the server"
Zitat von @117471:
Hallo,
Ich bin ehrlich gesagt ziemlich erschrocken. Ich meine - das ist wirklich allererstes, rudimentäres Hintergrundwissen...
Gruß,
Jörg
Hallo,
Ich bin ehrlich gesagt ziemlich erschrocken. Ich meine - das ist wirklich allererstes, rudimentäres Hintergrundwissen...
Gruß,
Jörg
Ja und wieso schreibst du es dann falsch?
Hallo,
Die Frage wäre eher, ob *Du* es gewusst hast. Aber hinterher nachtreten ist ja immer einfach, wenn man die Lösung schon auf dem Silbertablett serviert bekommt - gell?
Ich habe das tatsächlich von meinem Distributoren falsch erklärt bekommen. Letztendlich ist es aber irrelevant, da bei meinen Kunden in beiden Szenarien ausreichend Lizenzen vorhanden sind.
Gruß,
Jörg
Die Frage wäre eher, ob *Du* es gewusst hast. Aber hinterher nachtreten ist ja immer einfach, wenn man die Lösung schon auf dem Silbertablett serviert bekommt - gell?
Ich habe das tatsächlich von meinem Distributoren falsch erklärt bekommen. Letztendlich ist es aber irrelevant, da bei meinen Kunden in beiden Szenarien ausreichend Lizenzen vorhanden sind.
Gruß,
Jörg
moin...
Gruß,
Jörg
Frank
Zitat von @117471:
Hallo,
Die Frage wäre eher, ob *Du* es gewusst hast. Aber hinterher nachtreten ist ja immer einfach, wenn man die Lösung schon auf dem Silbertablett serviert bekommt - gell?
Ich habe das tatsächlich von meinem Distributoren falsch erklärt bekommen. Letztendlich ist es aber irrelevant, da bei meinen Kunden in beiden Szenarien ausreichend Lizenzen vorhanden sind.
selbst wenn nicht, das geht uns nix an... wir sollten technische probleme versuchen zu lösen, und nicht ewig auf lizenzierung und datenschutz rumreiten und dabei klug###en...Hallo,
Die Frage wäre eher, ob *Du* es gewusst hast. Aber hinterher nachtreten ist ja immer einfach, wenn man die Lösung schon auf dem Silbertablett serviert bekommt - gell?
Ich habe das tatsächlich von meinem Distributoren falsch erklärt bekommen. Letztendlich ist es aber irrelevant, da bei meinen Kunden in beiden Szenarien ausreichend Lizenzen vorhanden sind.
Gruß,
Jörg
Hallo,
kurzes Update zu Datev.
Mit dem Update 14.1 muss die USB-Smart-Card bei einer RDP-Sitzung am Client angeschlossen sein.
Sie darf weder am Server noch an einem USB-Server angeschlossen sein.
Sobald Datev erkennt, dass die Sitzung über RDP läuft wird die SmartCard vom Client angefordert.
Das wiederum bedeutet, dass der Client ein aktuelles untersütztes Windows-Betriebssystem haben muss.
Es soll eine andere Authenfizierungsform geben die angeblich mehr als 400 Euro/Monat kostet.
(Hat zumindest der Kunde gesagt der mit Datev telefoniert hat).
Stefan
kurzes Update zu Datev.
Mit dem Update 14.1 muss die USB-Smart-Card bei einer RDP-Sitzung am Client angeschlossen sein.
Sie darf weder am Server noch an einem USB-Server angeschlossen sein.
Sobald Datev erkennt, dass die Sitzung über RDP läuft wird die SmartCard vom Client angefordert.
Das wiederum bedeutet, dass der Client ein aktuelles untersütztes Windows-Betriebssystem haben muss.
Es soll eine andere Authenfizierungsform geben die angeblich mehr als 400 Euro/Monat kostet.
(Hat zumindest der Kunde gesagt der mit Datev telefoniert hat).
Stefan
kurzes Update zu Datev.
Mit dem Update 14.1 muss die USB-Smart-Card bei einer RDP-Sitzung am Client angeschlossen sein.
Mit dem Update 14.1 muss die USB-Smart-Card bei einer RDP-Sitzung am Client angeschlossen sein.
Als Besitzkomponente sollte sie dort schon immer betreiben.
Sie darf weder am Server noch an einem USB-Server angeschlossen sein.
Natürlich darf sie weiterhin an einen USB Server angeschlossen sein.
Sobald Datev erkennt, dass die Sitzung über RDP läuft wird die SmartCard vom Client angefordert.
Das wiederum bedeutet, dass der Client ein aktuelles untersütztes Windows-Betriebssystem haben muss.
Das wiederum bedeutet, dass der Client ein aktuelles untersütztes Windows-Betriebssystem haben muss.
Nein, es müssen nur die SC Dienste richtig in die Sitzung durchgereicht werden. Offiziellen Support gibt es natürlich nur für ein unterstütztes Microsoft Betriebssystem
Zitat von @mbehrens:
Ich korrigiere mich einmal.Sie darf weder am Server noch an einem USB-Server angeschlossen sein.
Natürlich darf sie weiterhin an einen USB Server angeschlossen sein.Sie kann technisch an einen USB-Server angeschlossen, aber sie darf nicht.
In den Vorgaben von Datev steht angeblich, ich habe es nicht nachgelesen - nur die Aussage vom Support, dass die Smart-Card sich in "Reichweite des Anwenders" befinden muss.
Zitat von @StefanKittel:
Sie kann technisch an einen USB-Server angeschlossen, aber sie darf nicht.
In den Vorgaben von Datev steht angeblich, ich habe es nicht nachgelesen - nur die Aussage vom Support, dass die Smart-Card sich in "Reichweite des Anwenders" befinden muss.
Zitat von @mbehrens:
Ich korrigiere mich einmal.Sie darf weder am Server noch an einem USB-Server angeschlossen sein.
Natürlich darf sie weiterhin an einen USB Server angeschlossen sein.Sie kann technisch an einen USB-Server angeschlossen, aber sie darf nicht.
In den Vorgaben von Datev steht angeblich, ich habe es nicht nachgelesen - nur die Aussage vom Support, dass die Smart-Card sich in "Reichweite des Anwenders" befinden muss.
Besitzkomponente eben
Je nachdem welche Dienste hierüber genutzt werden können (S/MIME, Vollmachtsdatenbank, Kanzleiautorisierung, ...), würde ich sie auch nicht aus der Hand geben