142195
08.12.2019
5428
18
1
Netzwerk Planung Homeoffice
Hallo,
ich plane zurzeit ein kleines Netzwerk.
5-8 User
Home Office Netzwerkanbindung
Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Ich denke ich werde einen Server anschaffen, weiß aber noch nicht genau was da meine Anforderungen sind.
Dafür werde ich eine Windows Server Lizenz benötigen. Denke eine Essentials Lizenz ist ausreichend. Könnte natürliche Geld sparen und eine etwas ältere nehmen (z.B. 2016) - ist das ok?
Allgemein: findet ihr Seiten wie "lizenzexpress.de" seriös? Beispiel für Win Server 2016 Essentials um ca. 150€
Danke erstmal für eure Hilfe!
Gruß
Alex
ich plane zurzeit ein kleines Netzwerk.
5-8 User
- jeder mit eigenem Laptop (Lenovo T590)
- Windows 10 Professional
- Homeoffice (Vor-Ort-Präsenz in der Firma nur ca. 2-4 Mal pro Monat)
- die Userdaten werden lokal auf der 2. SSD gespeichert
Home Office Netzwerkanbindung
- "normaler" DSL-Anschluss
- keine fixe IP
- Standardmodem des ISP
Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Ich denke ich werde einen Server anschaffen, weiß aber noch nicht genau was da meine Anforderungen sind.
Dafür werde ich eine Windows Server Lizenz benötigen. Denke eine Essentials Lizenz ist ausreichend. Könnte natürliche Geld sparen und eine etwas ältere nehmen (z.B. 2016) - ist das ok?
Allgemein: findet ihr Seiten wie "lizenzexpress.de" seriös? Beispiel für Win Server 2016 Essentials um ca. 150€
Danke erstmal für eure Hilfe!
Gruß
Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 523574
Url: https://administrator.de/contentid/523574
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
18 Kommentare
Neuester Kommentar
Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Z.B.Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
1
Danke @141965 für deine Antwort!
Klingt erstmal toll, aber auch nach viiiel Konfigurationsaufwand. Gibt es für so eine geringe Anzahl an Benutzern vielleicht auch eine einfachere Lösung?
Ansonsten, was wären die Änderungen bezügl. des ISP der Firma? Wir haben zwar einen schnellen Anschluss, aber auch in der Zentrale keine fixe IP. So wie ich das herauslese, mit VPN und dergleichen, brauche ich eine fixe IP.
Klingt erstmal toll, aber auch nach viiiel Konfigurationsaufwand. Gibt es für so eine geringe Anzahl an Benutzern vielleicht auch eine einfachere Lösung?
Ansonsten, was wären die Änderungen bezügl. des ISP der Firma? Wir haben zwar einen schnellen Anschluss, aber auch in der Zentrale keine fixe IP. So wie ich das herauslese, mit VPN und dergleichen, brauche ich eine fixe IP.
Es ergibt nur wenig Sinn, externe Home Office-Clients in ein lokales WIndows Server Active Directory einzubinden. Ich würde es mir da einfacher machen.
Office 365 Abo inkl. Intune für jeden Anwneder. Dann ein Autopilot-Profil für alle Clients anlegen und alle erforderlichen Konfigurationen epr Richtlinie definieren. Wenn die Anwender keine Affinität zu IT haben, dann würde ich das Profil als White Glove-Profil anlegen. Auf ein VPN würde ich völlig verzichten, Dateien werden über OneDrive for Business (persönlich) bzw. SharePont Online (Gruppendokumente) genutzt.
Die Mitarbeiter haben eine moderne Collaboration-Plattform, die Dank diverser Apps wie z.B. Power Automation , Forms, Planner etc. erhebliches Potential bietet. Sollte es aus irgendwelchen Gründen eine on premises Client-Server-App geben, die unbedingt erforderlich ist, dann würde ich diese vermutlich aus Azure als Remote App bereitstellen.
Ein KMU, welches nur aus Off Site-Anwnedern besteht, ist das letzte Unternehmen, was eine on premises IT-Infrastruktur benötigt.
PS: Tatsächlich würde ich sogar Microsoft 365 lizenzieren (wegen Windows 10 Enterprise), dann gibt es auch weniger Diskussionen wegen DSGVO etc.
Office 365 Abo inkl. Intune für jeden Anwneder. Dann ein Autopilot-Profil für alle Clients anlegen und alle erforderlichen Konfigurationen epr Richtlinie definieren. Wenn die Anwender keine Affinität zu IT haben, dann würde ich das Profil als White Glove-Profil anlegen. Auf ein VPN würde ich völlig verzichten, Dateien werden über OneDrive for Business (persönlich) bzw. SharePont Online (Gruppendokumente) genutzt.
Die Mitarbeiter haben eine moderne Collaboration-Plattform, die Dank diverser Apps wie z.B. Power Automation , Forms, Planner etc. erhebliches Potential bietet. Sollte es aus irgendwelchen Gründen eine on premises Client-Server-App geben, die unbedingt erforderlich ist, dann würde ich diese vermutlich aus Azure als Remote App bereitstellen.
Ein KMU, welches nur aus Off Site-Anwnedern besteht, ist das letzte Unternehmen, was eine on premises IT-Infrastruktur benötigt.
PS: Tatsächlich würde ich sogar Microsoft 365 lizenzieren (wegen Windows 10 Enterprise), dann gibt es auch weniger Diskussionen wegen DSGVO etc.
1
Dein Ansatz @Matsushita ist auch sehr interessant! Werde ich mir noch genau anschauen...
Ganz andere theoretische Frage (korrigiert mich bitte, wenn ich falsch liege):
Grundsätzlich ist es doch so, dass ein User nicht zwingend mit dem DC/internen Netzwerk verbunden sein muss, um sich anmelden zu können.
-> Wäre es also theoretisch möglich, die Einstellungen etc. bei "Besuchen" vor Ort zu übernehmen? Dort sind die Laptops per LAN/WLAN mit dem internen Netzwerk verbunden und melden sich auch ganz normal an.
Zitat von @141965:
Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Ich habe gerade bei MS Azure nachgeschaut, weiß aber nicht, welchen Dienst ich genau benötigen würde.Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Ganz andere theoretische Frage (korrigiert mich bitte, wenn ich falsch liege):
Grundsätzlich ist es doch so, dass ein User nicht zwingend mit dem DC/internen Netzwerk verbunden sein muss, um sich anmelden zu können.
-> Wäre es also theoretisch möglich, die Einstellungen etc. bei "Besuchen" vor Ort zu übernehmen? Dort sind die Laptops per LAN/WLAN mit dem internen Netzwerk verbunden und melden sich auch ganz normal an.
Anmeldung ist ohne Verbindung zum Domänen Controller eine gewisse Zeit möglcih (cached credentials). Dennoch untauglich für Home Office User mit sporadischer VPN Verbindung:
Du wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
Richtlinienanwendung nur bei bestehender Verbindung zum Domänen Controller
Du wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
Richtlinienanwendung nur bei bestehender Verbindung zum Domänen Controller
Zitat von @Matsushita:
...snip... Wenn die Anwender keine Affinität zu IT haben, dann würde ich das Profil als White Glove-Profil anlegen. ...snip
...snip... Wenn die Anwender keine Affinität zu IT haben, dann würde ich das Profil als White Glove-Profil anlegen. ...snip
Danke, das kannte ich noch nicht und wurde für mich zum Lacher des Tages.
"Windows Autopilot für weiße Handschuh-Bereitstellung"
Quelle: https://docs.microsoft.com/de-de/windows/deployment/windows-autopilot/wh ...
Zitat von @Matsushita:
Du wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
ok, also nicht so gutDu wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
Richtlinienanwendung nur bei bestehender Verbindung zum Domänen Controller
Verständnisfrage: heißt das GPOs funktionieren nur bei Verbindung zum DC oder Änderungen von GPOs werden nur bei Verbindung zum DC übernommen?
Du kannst keine EInstellungen per GPO ändern, wenn der Client nicht auf Sysvol zugreifen kann. Ich habe mich da unglücklich ausgedrückt: Bereits abgerufene GPOs und GPPs werden weiterhin angewendet, aber Du kannst nichts ändern oder neu konfigurieren ohne Kontakt zum Domain Controller.
Windows Server Active Directory sollt enur bei primär on site genutzen Clients zur Anwneudng kommen. Für dauerhafte of site Clients verwendest Du besser ein Mobile Device Management wie Intune.
Windows Server Active Directory sollt enur bei primär on site genutzen Clients zur Anwneudng kommen. Für dauerhafte of site Clients verwendest Du besser ein Mobile Device Management wie Intune.
1
Danke, das habe ich wohl missverstanden 
Zitat von @141965:
Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Z.B.Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Das ist doch schon abgekündigt und wird bald nicht mehr angeboten.
Zitat von @Matsushita:
Anmeldung ist ohne Verbindung zum Domänen Controller eine gewisse Zeit möglcih (cached credentials). Dennoch untauglich für Home Office User mit sporadischer VPN Verbindung:
Du wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
Richtlinienanwendung nur bei bestehender Verbindung zum Domänen Controller
Anmeldung ist ohne Verbindung zum Domänen Controller eine gewisse Zeit möglcih (cached credentials). Dennoch untauglich für Home Office User mit sporadischer VPN Verbindung:
Du wirst garantiert Probleme bei Passwortänderungen bekommen
Du wirst garantiert Probleme bei vergessenen Kennwörtern bzw. gesperrten Konten bekommen
Die Clients sind immer eine gewisse Zeit "unamanaged"
Ablaufende Passwörter von Computerkonten (!) werden Dir Probleme bereiten
Richtlinienanwendung nur bei bestehender Verbindung zum Domänen Controller
Sorry, das ist seit langem der größte Mist, den ich gelesen habe. Was heißt hier "HomeOffice mit sporadischer VPN-Verbindung"? Das gibt es einfach nicht.
Entweder stellt man den Leuten im HomeOffice einen IGEL mit S2S oder C2S-VPN und darin terminierender VDI hin, oder eben einen Laptop mit S2S oder C2S VPN, ohne VPN geht kein HomeOffice, in 2019 schon 10 Mal nicht.
Heißt im Umkehrschluss, die VPN-Verbindung ist immer aktiv, dementsprechend wird das Gerät auch immer vom WSUS, Patchmanagement, AV-Server, AD-Controller, etc. erfasst und bekommt auch Passwort-/Machineaccountänderungen, sowie GPO-Änderungen problemlos mit.
Es ergibt nur wenig Sinn, externe Home Office-Clients in ein lokales WIndows Server Active Directory einzubinden.
Das ist IT-Security von 2005 und hat in 2019 absolut nichts verloren. Allein ohne AD- und die dahinterliegende Radius-Authentifizierung kommt keiner per VPN rein.
Danke @chgorges !!
Unter Anbetracht der HomeOffice ISP Anbindung:
Unter Anbetracht der HomeOffice ISP Anbindung:
Home Office Netzwerkanbindung
mache ich also eine windows-interne VPN Verbindung zur Firma (C2S?).- "normaler" DSL-Anschluss
- keine fixe IP
- Standardmodem des ISP
Wir haben zwar einen schnellen Anschluss, aber auch in der Zentrale keine fixe IP.
Wie realisiere ich dann die VPN-Verbindung?Zitat von @Spirit-of-Eli:
Das ist doch schon abgekündigt und wird bald nicht mehr angeboten.
Zitat von @141965:
Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Z.B.Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Das ist doch schon abgekündigt und wird bald nicht mehr angeboten.
@Spirit-of-Eli, was genau ist schon abgekündigt? Allgemein Always on VPN-Bereitstellung oder nur die Bereitstellung mittels Azure?
Zitat von @142195:
Danke @chgorges !!
Unter Anbetracht der HomeOffice ISP Anbindung:
Danke @chgorges !!
Unter Anbetracht der HomeOffice ISP Anbindung:
Home Office Netzwerkanbindung
mache ich also eine windows-interne VPN Verbindung zur Firma (C2S?).- "normaler" DSL-Anschluss
- keine fixe IP
- Standardmodem des ISP
Wir haben zwar einen schnellen Anschluss, aber auch in der Zentrale keine fixe IP.
Wie realisiere ich dann die VPN-Verbindung?Anhand so einer Frage sage ich dir dir, lass das einen machen der da Ahnung von Hat.... Ansonsten hetzt ich euch ne DSGVO-Klage an den Hals 😁 Zu irgendwas muss die ja gut sein...
Ich würde auch eine Anbindung aus dem Rechenzentrum denken, da auch vielleicht der Hauptstandort keine guten Upload-Raten hat. Vlt in der Zentrale bei mehr Mitarbeitern einen zentralen dc und Filer hin und gut ist...
Zitat von @142195:
@Spirit-of-Eli, was genau ist schon abgekündigt? Allgemein Always on VPN-Bereitstellung oder nur die Bereitstellung mittels Azure?
Zitat von @Spirit-of-Eli:
Das ist doch schon abgekündigt und wird bald nicht mehr angeboten.
Zitat von @141965:
Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Wie kann ich dennoch die Geräte zentral verwalten? D.h. vor allem Gruppenrichtlinien, aber vielleicht auch Benutzerverwaltung (Passwort rücksetzen oder Ablauf), mal ne Aufgabe konfigurieren...
Z.B.Always on der VPN-Bereitstellung für Windows Server und Windows 10
Ob das nun über nen OnPremise Server oder mit Azure&Co. abgefackelt wird bleibt dann jedem selbst überlassen.
Das ist doch schon abgekündigt und wird bald nicht mehr angeboten.
@Spirit-of-Eli, was genau ist schon abgekündigt? Allgemein Always on VPN-Bereitstellung oder nur die Bereitstellung mittels Azure?
Ne, ich habe mich vertan und nur mit einem Auge gelesen. DA (Direct Access) ist abgekündigt. Sorry!
Nebenbei: Sorg dafür, das die Clients kontrolliert angebunden sind und macht dir keinen großen stress. Im einfachsten Fall stellte du einfach eine kleine Firewall bei den Leuten hin. Oder auch so eine Sophos RED Box.
Geht es nur um Notebooks ist AlwaysOn VPN eine gute Lösund und basiert auf IPsec. Zugriff und Konfig liegt bei dir.
Außerdem wird hier teils außer acht gelassen, das ja gar nicht der Komplette Traffic durch den Tunnel muss. Bei DA ist es quasi Service basiert, setzt aber IPv6 voraus und routet den Traffic anhand der Destination. AlwaysONVPN habe ich noch nicht im live Betrieb gesehen. Soll DA aber komplett ablösen. Das ganze muss aber den Anforderungen entsprechen. Die Client Sicherheit muss schließlich gegeben sein.
Du machst am besten überhaupt nichts, denn Du bist schlicht nicht qualifiziert. Ich meien das nicht böse, aber das wird ein gebasteltes Gefrickel und nie richtig funktionieren. Allein schon die Tatsache, dass Du Technologie in den Raum wirfst, ohne konkrete Anforderung nennen zu können .... Ich habe Dir so gut es geht geholfen, jetzt sei auch so Clever und sieh ein, dass Du der falsche Mann für das Projekt bist.
Die Überschrift ist ja auch technisch unsinnig, denn liest man es richtig ist das ja keinesfalls eine "Netzwerk" Planung sondern lediglich, wenn überhaupt, eine Winblows Planung....
Der Verlauf des Threads spricht ja auch für sich ! Kollege @Matsushita hat es ja schon richtig auf den Punkt gebracht.
Der Verlauf des Threads spricht ja auch für sich ! Kollege @Matsushita hat es ja schon richtig auf den Punkt gebracht.
Klar geht Home-Office ohne VPN Verbindung. O365 + Intune - fertig. AD, GPOs und VPN bracht man da nicht mehr. Das ist nur alter Ballast weil das früher mal so gemacht hat. Google mal BIYOD
