Noebooks mit Gastzugang: Welche Benutzerkonten, Domäne ja oder nein?
Hallo,
wir haben in unseren Konferenzräumen Notebooks, die sowohl von Mitarbeitern als auch von Gästen benutzt werden dürfen. Die Notebooks sind hauptsächlich für Präsentationen über Beamer oder zum Schreiben von Protokollen gedacht.
Die Notebooks sollen netzwerkseitig nur Zugang ins Internet bekommen. Ausnahmen sind wenige interne Diensten wie WSUS, zentrale Endpoint Protection und VMware Horizon. Mitarbeiter und Gäste sollen sich mit gleichen Konten an den Notebooks anmelden können. Mitarbeiter können sich dann auch über VMware Horizon mit ihrem virtuellen Desktop verbinden. Nach dem Abmelden soll das Profil zurückgesetzt werden.
Nun meine Fragen:
1. Für die bessere zentrale Verwaltung mittels GPO für lokale Firewall, WSUS und Endpoint Protection würde ich die Notebooks gern in die Domäne aufnehmen. Dann aber hätten die Notebooks Zugriff zu den Domain Controllern. Ist das vertretbar?
2. Wie würde ich die Benutzerkonten einrichten, lokal oder in der Domäne? Ein Benutzer für alle oder einen pro Notebook?
3. Wie setze ich das Profil nach dem Abmelden zurück?
Danke für Eure Hilfe,
toabnehmer
wir haben in unseren Konferenzräumen Notebooks, die sowohl von Mitarbeitern als auch von Gästen benutzt werden dürfen. Die Notebooks sind hauptsächlich für Präsentationen über Beamer oder zum Schreiben von Protokollen gedacht.
Die Notebooks sollen netzwerkseitig nur Zugang ins Internet bekommen. Ausnahmen sind wenige interne Diensten wie WSUS, zentrale Endpoint Protection und VMware Horizon. Mitarbeiter und Gäste sollen sich mit gleichen Konten an den Notebooks anmelden können. Mitarbeiter können sich dann auch über VMware Horizon mit ihrem virtuellen Desktop verbinden. Nach dem Abmelden soll das Profil zurückgesetzt werden.
Nun meine Fragen:
1. Für die bessere zentrale Verwaltung mittels GPO für lokale Firewall, WSUS und Endpoint Protection würde ich die Notebooks gern in die Domäne aufnehmen. Dann aber hätten die Notebooks Zugriff zu den Domain Controllern. Ist das vertretbar?
2. Wie würde ich die Benutzerkonten einrichten, lokal oder in der Domäne? Ein Benutzer für alle oder einen pro Notebook?
3. Wie setze ich das Profil nach dem Abmelden zurück?
Danke für Eure Hilfe,
toabnehmer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 366598
Url: https://administrator.de/forum/noebooks-mit-gastzugang-welche-benutzerkonten-domaene-ja-oder-nein-366598.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
14 Kommentare
Neuester Kommentar
Moin,
die Mitarbeiter müssen bei uns das eigene Arbeits-Notebook zu Besprechungen mitnehmen und verwenden.
Gäste mit eigenem Notebook können es an den Beamer anschließen, aber nicht ans Netzwerk.
Es gab mal ein Live Linux Notebook, das am Netz hing, und jeder benutzen konnte, wir es aber nicht mehr.
Frage: Wozu sollen Gäste eure Notebooks in Konferenzräumen nutzen sollen?
Gruss
die Mitarbeiter müssen bei uns das eigene Arbeits-Notebook zu Besprechungen mitnehmen und verwenden.
Gäste mit eigenem Notebook können es an den Beamer anschließen, aber nicht ans Netzwerk.
Es gab mal ein Live Linux Notebook, das am Netz hing, und jeder benutzen konnte, wir es aber nicht mehr.
Frage: Wozu sollen Gäste eure Notebooks in Konferenzräumen nutzen sollen?
Gruss
Hi,
ich würde dafür sorgen dass die vorhanden Notebooks ordnungsgemäß funktionieren,
Fremdgeräte hängen wir niemals in produktive Netze dafür gibt es das Gäste WLAN und mehr nicht, falls die GF auf sowas besteht solltest Du sie mal für mehr Sicherheit sensibilisieren und erklären was bei euch im Netzwerk passiert falls mal so ein Grät infiziert ist.
Selbst die mobilen Geräte der eigenen Mitarbeiter bekommen nur Gäste-WLAN
ich würde dafür sorgen dass die vorhanden Notebooks ordnungsgemäß funktionieren,
Fremdgeräte hängen wir niemals in produktive Netze dafür gibt es das Gäste WLAN und mehr nicht, falls die GF auf sowas besteht solltest Du sie mal für mehr Sicherheit sensibilisieren und erklären was bei euch im Netzwerk passiert falls mal so ein Grät infiziert ist.
Selbst die mobilen Geräte der eigenen Mitarbeiter bekommen nur Gäste-WLAN
Guten Abend,
Mal im ernst, was läuft an Anwendungen auf solch einem Notebook? Ein bisschen Office, VLC und evtl ein Browser. Warum nicht nur alle 3-4 Monate die Updates einspielen? Von wie vielen Notebooks reden wir denn? 1,5 oder 40 Stück.
Gruß,
Dani
1. Für die bessere zentrale Verwaltung mittels GPO für lokale Firewall, WSUS und Endpoint Protection würde ich die Notebooks gern in die Domäne aufnehmen. Dann aber hätten die Notebooks Zugriff zu den Domain Controllern. Ist das vertretbar?
eigentlich nicht... es ist ein potenzieller Angriffspunkt. Fehlt nur noch, dass die Gäste von ihren USB-Sticks Daten auf das Gerät kopieren. Es soll Malware geben, die im Hintergrund wartet, bis ein DomAdmin sich anmeldet und dann los leght. Das wäre für dich der Supergau.Mal im ernst, was läuft an Anwendungen auf solch einem Notebook? Ein bisschen Office, VLC und evtl ein Browser. Warum nicht nur alle 3-4 Monate die Updates einspielen? Von wie vielen Notebooks reden wir denn? 1,5 oder 40 Stück.
Gruß,
Dani
Hey,
ich würde die Notebooks in ein gekapseltes vlan stecken.
Die Firewallkonfiguration sollte nun nicht weiter kompliziert sein, wenn die Geräte eh nicht ins Unternehmensnetzwerk dürfen.
Die Updates würde ich die Geräte online holen lassen.
20-30€ pro Client für den Virenschutz legen die Entscheider bestimmt raus, wenn Du ihn offenbarst, wie viel sicherer diese Lösung ist. Denn wer keine Verbindung hat, kann auch nicht angreifen. ;)
Und zu guter letzt:
VMware Horizon:
Connection und Security Server aufsetzten, alles online verfügbar machen, Zertifikat rein und die Anwender einfach online auf ihre VMs zugreifen lassen.
Wenn die VMs unbedingt per Netzwerk erreichbar sein müssen, ein ungekapseltes vlan wählen und in der Firewall nur die Kommunikation zu Horizon zulassen. Auch hier wieder schön gucken, dass die VMWARE Security eingehalten wird.
Die Sicherheit würde nur auf Zugriffsrechten basieren, das kann schnell kritisch werden.
Ich würde einen lokalen Benutzer pro NB anlegen(Gastaccount geht auch ist beim aktuellen Client OS aber ein kleines bißchen Fummelkram.
Dafür gibt es einen Kiosk Mode soweit ich weiß, habe den aber selber noch nie eingesetzt.
Google oder dieses Board hilft da weiter.
Gruß,
Christoph
ich würde die Notebooks in ein gekapseltes vlan stecken.
Die Firewallkonfiguration sollte nun nicht weiter kompliziert sein, wenn die Geräte eh nicht ins Unternehmensnetzwerk dürfen.
Die Updates würde ich die Geräte online holen lassen.
20-30€ pro Client für den Virenschutz legen die Entscheider bestimmt raus, wenn Du ihn offenbarst, wie viel sicherer diese Lösung ist. Denn wer keine Verbindung hat, kann auch nicht angreifen. ;)
Und zu guter letzt:
VMware Horizon:
Connection und Security Server aufsetzten, alles online verfügbar machen, Zertifikat rein und die Anwender einfach online auf ihre VMs zugreifen lassen.
Wenn die VMs unbedingt per Netzwerk erreichbar sein müssen, ein ungekapseltes vlan wählen und in der Firewall nur die Kommunikation zu Horizon zulassen. Auch hier wieder schön gucken, dass die VMWARE Security eingehalten wird.
Zitat von @tonabnehmer:
Nun meine Fragen:
1. Für die bessere zentrale Verwaltung mittels GPO für lokale Firewall, WSUS und Endpoint Protection würde ich die Notebooks gern in die Domäne aufnehmen. Dann aber hätten die Notebooks Zugriff zu den Domain Controllern. Ist das vertretbar?
Nun meine Fragen:
1. Für die bessere zentrale Verwaltung mittels GPO für lokale Firewall, WSUS und Endpoint Protection würde ich die Notebooks gern in die Domäne aufnehmen. Dann aber hätten die Notebooks Zugriff zu den Domain Controllern. Ist das vertretbar?
Die Sicherheit würde nur auf Zugriffsrechten basieren, das kann schnell kritisch werden.
2. Wie würde ich die Benutzerkonten einrichten, lokal oder in der Domäne? Ein Benutzer für alle oder einen pro Notebook?
Ich würde einen lokalen Benutzer pro NB anlegen(Gastaccount geht auch ist beim aktuellen Client OS aber ein kleines bißchen Fummelkram.
3. Wie setze ich das Profil nach dem Abmelden zurück?
Dafür gibt es einen Kiosk Mode soweit ich weiß, habe den aber selber noch nie eingesetzt.
Google oder dieses Board hilft da weiter.
Gruß,
Christoph
@ChrisIO
Gruß,
Dani
VMware Horizon:
Connection und Security Server aufsetzten, alles online verfügbar machen, Zertifikat rein und die Anwender einfach online auf ihre VMs zugreifen lassen.
Wenn die VMs unbedingt per Netzwerk erreichbar sein müssen, ein ungekapseltes vlan wählen und in der Firewall nur die Kommunikation zu Horizon zulassen. Auch hier wieder schön gucken, dass die VMWARE Security eingehalten wird.
Die Idee an sich ist gut. Aber nenn doch einmal die einmalige / wiederkehrende Kosten (Hardware, Lizenzen, Dienstleistung, etc..) und der Aufwand solcher einer Umgebung zu betreiben.Connection und Security Server aufsetzten, alles online verfügbar machen, Zertifikat rein und die Anwender einfach online auf ihre VMs zugreifen lassen.
Wenn die VMs unbedingt per Netzwerk erreichbar sein müssen, ein ungekapseltes vlan wählen und in der Firewall nur die Kommunikation zu Horizon zulassen. Auch hier wieder schön gucken, dass die VMWARE Security eingehalten wird.
Gruß,
Dani
Moin,
Gruß,
Dani
Ich würde hier noch einen weiteren Security Server (andere Authentifizierung) bereitstellen und über die Firewall für das VLAN der Notebooks freigeben.
Und so das Sicherheitskonzept schwächen... Ok.Einfach die Notebooks durch Thin Clients zu ersetzen bzw. als Thin Clients zu benutzen und die Desktops als separater Horizon Pool nur mit Zugang zum Internet.
Thinclients sind sperrig und gehen in B-Räumen eigentlich nur im Weg um. Ich würde über ein kl. Linux (z.B. Open Thin Client) nachdenken, welches ausschließlich den VMWare Horizon Client bereitstellt. Nicht mehr als notwendig!Gruß,
Dani