chris123
Goto Top

Lokales OS ausschließlich für Terminalserver nutzen

Hallo,

welche Möglichkeiten gibt es den lokalen PC ausschließlich für den Zugriff auf einen Terminalserver zu konfigurieren? Unsere User benötigen das lokale Betriebssystem nicht, sondern nutzen es nur für die Anmeldung am Terminalserver. Einzig, es wird von dem lokalen OS eine Smartcard (DATEV) in die TS-Session durchgereicht. Treiber für Dual-Monitoring und Sound sollten natürlich auch mit durchgereicht werden.

Mit geht es vor allem darum, die Lizenzkosten für Win10 zu sparen und die Angriffsfläche auf dem lokalen OS zu minimieren.

Es spielt eigentlich keine Rolle ob Linux oder MS, wichtig ist wie gesagt nur, dass die erwähnten Treiber durchgereicht werden.

Wie macht Ihr das, bzw. was wären Eure Vorschläge?

Vielen Dank für Eure Hilfe!
Chris

Content-ID: 630589

Url: https://administrator.de/contentid/630589

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

it-fraggle
it-fraggle 11.12.2020 um 06:21:00 Uhr
Goto Top
Du schaltest mit den GPOs auf dem betroffenen PC alles aus, was den PC nutzbar macht und legst auf den Desktop nur das RDP-Icon ab. Das Startmenü kannst du ebenfalls leeren, dass außer Herunterfahren, Log-out und Neustart nichts bleibt. Die Firewall machst du richtig dicht -> ALLES. Rein und raus. Einzig erlaubst du den Zugriff für den RDP-Server, Windows Updates (WSUS?) und ggf. Virenscanner.

Oder du wartest noch ab was die Kollegen sagen. Vielleicht haben die noch eine glänzende Idee.
wiesi200
wiesi200 11.12.2020 um 06:37:51 Uhr
Goto Top
Hallo, was du brauchst ist ein Thin Client.
Gibt da entsprechende Hardware mit passenden OS, bzw. Auch angepasste Linux Distributionen.
Oder du passt das von Hand an.
Inf1d3l
Inf1d3l 11.12.2020 um 06:45:26 Uhr
Goto Top
Soweit ich weiß, brauchst du für die DATEV-SmartCard das Sicherheitspaket, das es nur für Windows gibt. Ist auf dem Terminalserver Office drauf, muss es auch auf dem Client drauf sein.
Vision2015
Vision2015 11.12.2020 aktualisiert um 07:24:28 Uhr
Goto Top
Zitat von @chris123:
Moin...

Hallo,

welche Möglichkeiten gibt es den lokalen PC ausschließlich für den Zugriff auf einen Terminalserver zu konfigurieren?
viele....
Unsere User benötigen das lokale Betriebssystem nicht, sondern nutzen es nur für die Anmeldung am Terminalserver.
ohne BS wird das aber nix... egal ob Linux, Windows,...
Einzig, es wird von dem lokalen OS eine Smartcard (DATEV) in die TS-Session durchgereicht.
das wird nix, das geht nur unter Windows....
Treiber für Dual-Monitoring und Sound sollten natürlich auch mit durchgereicht werden.
normal...

Mit geht es vor allem darum, die Lizenzkosten für Win10 zu sparen und die Angriffsfläche auf dem lokalen OS zu minimieren.
echt jetzt... das kannst du so nicht sparen!
Es spielt eigentlich keine Rolle ob Linux oder MS, wichtig ist wie gesagt nur, dass die erwähnten Treiber durchgereicht werden.
geht nur unter Windows!

Wie macht Ihr das, bzw. was wären Eure Vorschläge?
steht oben...
wenn ihr das Unternehmen online habt, nutzt die Handy App von Datev... dann kannst du auf linux umstellen!
oder Lima Server nutzen mit dem Key!

Vielen Dank für Eure Hilfe!
Chris
Frank
Vision2015
Vision2015 11.12.2020 aktualisiert um 07:23:41 Uhr
Goto Top
Moin
Zitat von @Inf1d3l:

Soweit ich weiß, brauchst du für die DATEV-SmartCard das Sicherheitspaket, das es nur für Windows gibt.
kannst auch den Lima Server nutzen... da bleibt der Key im Server!
Ist auf dem Terminalserver Office drauf, muss es auch auf dem Client drauf sein.
das ist nicht richtig.....

Frank
chris123
chris123 11.12.2020 um 07:59:25 Uhr
Goto Top
Erstmal vielen Dank für Eure Beiträge!

Der Lima von DATEV hat erstmal nicht mit dem SC-Einsatz zu tun. Ihr meint den Kommunikationsserver der DATEV. Der ist vorhanden. Wenn ich aber z.B. in ReWE Belege aus DUO abrufen möchte, geht das nur mit einer personalisierten SC. Das Sicherheitspaket muss nicht mehr lokal vorhanden sein. Wenn es mal lokal installiert war, dann geht es nicht. auf einem frischen System muss es nicht lokal vorhanden sein. Es reicht, wenn das Sicherheitspaket auf dem TS vorhanden ist.

So nun aber genug geklug###ert. Ich war ja in der Hilfesituation face-wink

Die Lizenzkosten möchte ich mir sparen, weil wir noch 8.1 einsetzen und jetzt umsteigen. Bei der Gelegenheit überlege ich eben, ob ich tatsächlich noch ein vollwertiges W10 einsetzen muss? Wichtiger ist mir aber, dass der Wartungsauswand für das lokale System so gering wie nötig ist. Wie gesagt, loal passiert nichts mehr.

Gibt es denn eine Anleitung wie ich per GPO usw. nur den TS freigebe? Ich weiß ich sollte suchen, aber vielleicht kennt Ihr ja eine gute Anleitung?
WSUS ist noch nicht im Einsatz, was aber zukünftig Sinn macht, da dann lokal ein Onlinezugang auch nicht mehr benötigt wird.
Vision2015
Vision2015 11.12.2020 um 08:18:31 Uhr
Goto Top
moin..

Zitat von @chris123:

Erstmal vielen Dank für Eure Beiträge!

Der Lima von DATEV hat erstmal nicht mit dem SC-Einsatz zu tun. Ihr meint den Kommunikationsserver der DATEV. Der ist vorhanden.
hast recht, klar meinte ich den Kommunikationsserver.... face-smile
Wenn ich aber z.B. in ReWE Belege aus DUO abrufen möchte, geht das nur mit einer personalisierten SC.
dann stopf die SC in den Server.... meine Mädels arbeiten teilweise mit dem iPad (RDP)
Das Sicherheitspaket muss nicht mehr lokal vorhanden sein.
richtig..
Wenn es mal lokal installiert war, dann geht es nicht.
doch... klar, ändere das Setup!
auf einem frischen System muss es nicht lokal vorhanden sein. Es reicht, wenn das Sicherheitspaket auf dem TS vorhanden ist.
auf alten Setups geht das auch!
und natürlich kannst du das mit einer personalisierten SC machen... mache ich doch auch! wenn es eine VM ist, nutzt du eben einen USB Server (SILEX DS-510)

So nun aber genug geklug###ert. Ich war ja in der Hilfesituation face-wink
eben...

Die Lizenzkosten möchte ich mir sparen, weil wir noch 8.1 einsetzen und jetzt umsteigen. Bei der Gelegenheit überlege ich eben, ob ich tatsächlich noch ein vollwertiges W10 einsetzen muss? Wichtiger ist mir aber, dass der Wartungsauswand für das lokale System so gering wie nötig ist. Wie gesagt, loal passiert nichts mehr.

Gibt es denn eine Anleitung wie ich per GPO usw. nur den TS freigebe? Ich weiß ich sollte suchen, aber vielleicht kennt Ihr ja eine gute Anleitung?
ich verstehe dich nicht so richtig, auch wenn du nur per per GPO RDP freimachst, brauchst du eine Windows 10 Lizenz!
WSUS ist noch nicht im Einsatz, was aber zukünftig Sinn macht, da dann lokal ein Onlinezugang auch nicht mehr benötigt wird.
häh... du meinst für updates?
Frank
chris123
chris123 11.12.2020 um 08:51:39 Uhr
Goto Top
und natürlich kannst du das mit einer personalisierten SC machen... mache ich doch auch! wenn es eine VM ist, nutzt du eben einen USB Server (SILEX DS-510)

Das geht nicht, wenn verschiedebe MA verschiedene Rechte haben. Ist aber auch egal, dass Thema SC ist nicht entscheidend. Wenn lokal kein Sicherheitspaket gebraucht wird, dann muss die Karte nur durchgereicht werden.


ich verstehe dich nicht so richtig, auch wenn du nur per per GPO RDP freimachst, brauchst du eine Windows 10 Lizenz!
Richtig, wenn ich ein W10 nehmen muss, dann muss ich mit den GPOs arbeiten. Aber vielleicht gibt es auch eine andere Lösung (Linux)


WSUS ist noch nicht im Einsatz, was aber zukünftig Sinn macht, da dann lokal ein Onlinezugang auch nicht mehr benötigt wird.
häh... du meinst für updates?
Ja
BirdyB
BirdyB 11.12.2020 um 08:52:43 Uhr
Goto Top
Also wenn es darum geht, die Lizenzkosten für Win10 zu sparen, brauchen wir also eine Lösung die nicht auf Windows basiert.
Du könntest also z.B: auf Openthinclient setzen: http://openthinclient.org/de/openthinclient/ und die PCs damit betanken.
Alternativ kannst du dir auch selbst ein Linux entsprechend zurechtklöppeln.
Ansonsten kämen auch direkt richtige Thin-Clients in Frage. Ich habe da gute Erfahrungen mit den Geräten von Igel gemacht. Du kannst auch nur die Software von Igel beziehen und auf "normalen Rechnern" installieren: https://www.igel.de/solution-family/igel-os/
Ich finde das Management von Igel da recht nett. Allerdings kostet das dann auch wieder Geld...
chris123
chris123 11.12.2020 um 09:05:43 Uhr
Goto Top
Danke für die Antwort!

Es geht ja nicht darum, dass es kein Geld kosten soll. Nur, wenn W10 nicht gebraucht wird, dann muss dafür auch kein Geld bezahlt werden. Wenn IGEL u.ä. zum Einsatz kommt, dann will das auch bezahlt werden.

Ich schaue mir das mal an ...
Xaero1982
Xaero1982 11.12.2020 um 10:17:15 Uhr
Goto Top
Zitat von @Inf1d3l:

Ist auf dem Terminalserver Office drauf, muss es auch auf dem Client drauf sein.

??? wieso sollte?
117471
117471 11.12.2020 um 10:36:41 Uhr
Goto Top
Hallo,

Blödsinn.

Du installierst Windows 10, Du benutzt es (wenn auch nur für den RDP Client) - also bezahlst Du es gefälligst auch.

Sachen gibt 's, tststs...

Gruß,
Jörg
Inf1d3l
Inf1d3l 11.12.2020 um 10:40:06 Uhr
Goto Top
Zitat von @Xaero1982:

Zitat von @Inf1d3l:

Ist auf dem Terminalserver Office drauf, muss es auch auf dem Client drauf sein.

??? wieso sollte?

@Vision2015 hat doch schon geschrieben, dass es nicht richtig ist. OK, er hätte es auch erklären können. Es reicht eine vorhandene Lizenz dem Client zuzuweisen, zumindest bei dem üblichen Office. Aber hey, excuse moi face-smile
Xaero1982
Xaero1982 11.12.2020 um 12:35:46 Uhr
Goto Top
Zitat von @Inf1d3l:

Zitat von @Xaero1982:

Zitat von @Inf1d3l:

Ist auf dem Terminalserver Office drauf, muss es auch auf dem Client drauf sein.

??? wieso sollte?

@Vision2015 hat doch schon geschrieben, dass es nicht richtig ist. OK, er hätte es auch erklären können. Es reicht eine vorhandene Lizenz dem Client zuzuweisen, zumindest bei dem üblichen Office. Aber hey, excuse moi face-smile

Ehm was hat denn Office nun auf dem Client verloren? Ich verstehs nicht.
mbehrens
mbehrens 11.12.2020 um 13:47:11 Uhr
Goto Top
Zitat von @chris123:

welche Möglichkeiten gibt es den lokalen PC ausschließlich für den Zugriff auf einen Terminalserver zu konfigurieren? Unsere User benötigen das lokale Betriebssystem nicht, sondern nutzen es nur für die Anmeldung am Terminalserver. Einzig, es wird von dem lokalen OS eine Smartcard (DATEV) in die TS-Session durchgereicht. Treiber für Dual-Monitoring und Sound sollten natürlich auch mit durchgereicht werden.

Stratodesk und Igel bieten hierfür zum Beispiel fertige Lösungen zur Umwandlung eines "PC" in einen "TC" an.
Inf1d3l
Inf1d3l 11.12.2020 aktualisiert um 14:19:25 Uhr
Goto Top
Zitat von @Xaero1982:

Zitat von @Inf1d3l:

Zitat von @Xaero1982:

Zitat von @Inf1d3l:

Ist auf dem Terminalserver Office drauf, muss es auch auf dem Client drauf sein.

??? wieso sollte?

@Vision2015 hat doch schon geschrieben, dass es nicht richtig ist. OK, er hätte es auch erklären können. Es reicht eine vorhandene Lizenz dem Client zuzuweisen, zumindest bei dem üblichen Office. Aber hey, excuse moi face-smile

Ehm was hat denn Office nun auf dem Client verloren? Ich verstehs nicht.


Gar nichts. Ich bin fälschlicherweise davon ausgegangen, dass wenn auf dem Terminalserver Office (in diesem Fall Computerlizenzen!) zur Verfügung steht, dieses auch aus Lizenzgründen auf dem Client installiert werden muss. Lizenziert wird hier ja nicht der Terminalserver, sondern die Clients (Computerlizenzen!) Stattdessen reicht aber nur die Zuweisung. Verstehst du es jetzt?
117471
117471 11.12.2020 um 15:59:22 Uhr
Goto Top
Hallo,

völlig falsch.

Lizenziert wird das Office auf dem RDP Host, Du hast jedoch ein Zweitnutzungsrecht für den Client.

Ein Recht ist keine Pflicht.

Gruß,
Jörg
Xaero1982
Xaero1982 11.12.2020 um 16:12:59 Uhr
Goto Top
117471
117471 11.12.2020 um 16:48:43 Uhr
Goto Top
Hallo,

Zitat von @Xaero1982:

Hier kann man das nochmal nachlesen...face-smile

Ich bin ehrlich gesagt ziemlich erschrocken. Ich meine - das ist wirklich allererstes, rudimentäres Hintergrundwissen...

Gruß,
Jörg
mbehrens
mbehrens 11.12.2020 um 18:41:08 Uhr
Goto Top
Zitat von @117471:

völlig falsch.

Lizenziert wird das Office auf dem RDP Host, Du hast jedoch ein Zweitnutzungsrecht für den Client.

Laut Lizenzdokumentation genau umgekehrt. Die Lizenz hängt weiterhin am zugreifenden Client:

"Customers may choose to host Office applications on a dedicated server for remote access by their end users from their own devices. This option does not require a license to be assigned to the server itself but does require an Office license for each device remotely accessing the software on the server"
Xaero1982
Xaero1982 11.12.2020 um 20:04:09 Uhr
Goto Top
Zitat von @117471:

Hallo,

Zitat von @Xaero1982:

Hier kann man das nochmal nachlesen...face-smile

Ich bin ehrlich gesagt ziemlich erschrocken. Ich meine - das ist wirklich allererstes, rudimentäres Hintergrundwissen...

Gruß,
Jörg

Ja und wieso schreibst du es dann falsch? face-smile
117471
117471 11.12.2020 aktualisiert um 20:18:02 Uhr
Goto Top
Hallo,

Zitat von @Xaero1982:

Ja und wieso schreibst du es dann falsch? face-smile

Die Frage wäre eher, ob *Du* es gewusst hast. Aber hinterher nachtreten ist ja immer einfach, wenn man die Lösung schon auf dem Silbertablett serviert bekommt - gell? face-smile

Ich habe das tatsächlich von meinem Distributoren falsch erklärt bekommen. Letztendlich ist es aber irrelevant, da bei meinen Kunden in beiden Szenarien ausreichend Lizenzen vorhanden sind.

Gruß,
Jörg
Vision2015
Vision2015 11.12.2020 um 21:01:16 Uhr
Goto Top
moin...
Zitat von @117471:

Hallo,

Zitat von @Xaero1982:

Ja und wieso schreibst du es dann falsch? face-smile

Die Frage wäre eher, ob *Du* es gewusst hast. Aber hinterher nachtreten ist ja immer einfach, wenn man die Lösung schon auf dem Silbertablett serviert bekommt - gell? face-smile

Ich habe das tatsächlich von meinem Distributoren falsch erklärt bekommen. Letztendlich ist es aber irrelevant, da bei meinen Kunden in beiden Szenarien ausreichend Lizenzen vorhanden sind.
selbst wenn nicht, das geht uns nix an... wir sollten technische probleme versuchen zu lösen, und nicht ewig auf lizenzierung und datenschutz rumreiten und dabei klug###en...

Gruß,
Jörg
Frank
LNEXUS
LNEXUS 14.12.2020 um 22:46:00 Uhr
Goto Top
Setze dir OpenThinclinet auf einem Virtuellen Server auf und stelle alle PC´s auf PXE Boot.
Ich würde kein Geld für Igel ausgeben das brauchts Du nicht. OpenThiclient ist super und auch kostenlos.
Und verwalten kannst Du dort auch alles.
StefanKittel
StefanKittel 07.01.2021 aktualisiert um 00:16:25 Uhr
Goto Top
Hallo,

kurzes Update zu Datev.

Mit dem Update 14.1 muss die USB-Smart-Card bei einer RDP-Sitzung am Client angeschlossen sein.
Sie darf weder am Server noch an einem USB-Server angeschlossen sein.

Sobald Datev erkennt, dass die Sitzung über RDP läuft wird die SmartCard vom Client angefordert.

Das wiederum bedeutet, dass der Client ein aktuelles untersütztes Windows-Betriebssystem haben muss.

Es soll eine andere Authenfizierungsform geben die angeblich mehr als 400 Euro/Monat kostet.
(Hat zumindest der Kunde gesagt der mit Datev telefoniert hat).

Stefan
LNEXUS
LNEXUS 07.01.2021 um 00:29:20 Uhr
Goto Top
Danke für die Info
mbehrens
mbehrens 07.01.2021 um 00:48:56 Uhr
Goto Top
Zitat von @StefanKittel:

kurzes Update zu Datev.

Mit dem Update 14.1 muss die USB-Smart-Card bei einer RDP-Sitzung am Client angeschlossen sein.

Als Besitzkomponente sollte sie dort schon immer betreiben.

Sie darf weder am Server noch an einem USB-Server angeschlossen sein.

Natürlich darf sie weiterhin an einen USB Server angeschlossen sein.

Sobald Datev erkennt, dass die Sitzung über RDP läuft wird die SmartCard vom Client angefordert.

Das wiederum bedeutet, dass der Client ein aktuelles untersütztes Windows-Betriebssystem haben muss.

Nein, es müssen nur die SC Dienste richtig in die Sitzung durchgereicht werden. Offiziellen Support gibt es natürlich nur für ein unterstütztes Microsoft Betriebssystem face-smile
StefanKittel
StefanKittel 07.01.2021 um 00:53:11 Uhr
Goto Top
Zitat von @mbehrens:
Sie darf weder am Server noch an einem USB-Server angeschlossen sein.
Natürlich darf sie weiterhin an einen USB Server angeschlossen sein.
Ich korrigiere mich einmal.
Sie kann technisch an einen USB-Server angeschlossen, aber sie darf nicht.
In den Vorgaben von Datev steht angeblich, ich habe es nicht nachgelesen - nur die Aussage vom Support, dass die Smart-Card sich in "Reichweite des Anwenders" befinden muss.
mbehrens
mbehrens 07.01.2021 um 01:10:17 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @mbehrens:
Sie darf weder am Server noch an einem USB-Server angeschlossen sein.
Natürlich darf sie weiterhin an einen USB Server angeschlossen sein.
Ich korrigiere mich einmal.
Sie kann technisch an einen USB-Server angeschlossen, aber sie darf nicht.
In den Vorgaben von Datev steht angeblich, ich habe es nicht nachgelesen - nur die Aussage vom Support, dass die Smart-Card sich in "Reichweite des Anwenders" befinden muss.

Besitzkomponente eben face-wink

Je nachdem welche Dienste hierüber genutzt werden können (S/MIME, Vollmachtsdatenbank, Kanzleiautorisierung, ...), würde ich sie auch nicht aus der Hand geben face-smile