boweeko
Goto Top

Unterschiedliche Firmen bzw. Nutzergruppen nutzen gemeinsam einen Laptop

Hallo an alle Admins,

unsere Bildungseinrichtung wird demnächst einen Schulungsraum längerfristig an eine externe Firma inkl. Hardware und Internetanbindung vermieten. Das Netzwerk in diesem Raum ist Teil unseres gesamten Netzwerkes das sich über mehrere Gebäude erstreckt. Bis jetzt sind 3 VLANs konfiguriert die Verwaltung, Schüler-Netzwerk und Gäste-WLAN voneinander trennen. Die externe Firma benötigt ebenfalls ein abgetrenntes Verwaltungsnetzwerk (LAN) sowie ein Schüler-Netzwerk (WLAN).
Das stellt an sich kein Problem dar. Ich werde einfach weitere VLANs anlegen.

Hier nun mein Problem: Im Schulungsraum ist ein (1) Laptop vorhanden der je nach Wochentag bzw. Uhrzeit von unterschiedlichen Gruppen (unsere Lehrer, unsere Schüler, unsere Gäste, Lehrer der externen Firma, Schüler der externen Firma, Gäste der externen Firma) genutzt werden soll. Dabei gilt folgendes:

1. Unsere Lehrer sollen sich an das Verwaltungsnetzwerk (Domäne) sowie Schülernetzwerk (Schüler-Domäne) anmelden können
2. Unsere Schüler sollen sich an unser Schülernetzwerk (Schüler-Domäne) anmelden können.
3. Lehrer externe Firma sollen sich an Verwaltungs- und Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
4. Schüler externe Firma sollen sich am Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
5. Gäste sollen sich am Laptop anmelden können aber nur eine Internetverbindung erhalten.
6. Alle sollen die Möglichkeit bekommen auf dem per USB am Laptop angeschlossenen Drucker zu drucken. (Hinweis: Hat auch eine LAN-Schnittstelle)

Ich soll nun das Netzwerk und den Laptop so konfigurieren, dass weder für uns noch für die externe Firma sicherheitsrelevante Probleme auftauchen. Wie realisiere ich das am besten? Gibt es für dieses Szenario ein Best-Practice? Ich meine nicht die VLAN-Konfiguration des Netzwerkes sondern die Trennung der Firmen / Schüler an dem einen Laptop. Meine ersten Problemlösungen gingen in Richtung Multi-OS System auf dem Laptop aufzusetzen. Jede Gruppe wählt sich dann beim Start des Rechners die entsprechende Instanz aus. Aber das wären 5 Betriebssysteminstanzen. Das kann es doch nicht sein? Der Laptop ist mit LAN / WLAN ausgestattet und kann auch nicht ausgetauscht werden, da er mit mehreren Kabeln an einer interaktiven Tafel angeschlossen ist. Im Raum ist eine doppelte LAN-Dose vorhanden.

Welche Lösungsansätze habt ihr für die Situation?
Welche rechtlichen Aspekte und physischen Absicherungen (LAN-Dose) kommen noch in Frage?

Content-ID: 255950

Url: https://administrator.de/contentid/255950

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

Chonta
Chonta 26.11.2014 um 14:54:09 Uhr
Goto Top
Hallo,

ein PC kann Zeitgleich immer nur Mitglied einer AD-Domäne sein.
Die Anmeldung eines Benutzers einer AD-Domäne an einem Rechner einer anderen AD-Domäne ist durchaus möglich, wenn eine Vertrauensstellung zuwischen diesen Domänen existiert, die sowas auch ermöglicht (gibt da meines Wissens unterschidede bei den Vertrauensstellungen nach dem Motto Du traust zwar mir ich Dir aber nicht)
Und das Anmelden aus der Vertrauensstellung muss auch erlaubt sein.

Ein PC kann auch nur immer mitglied einer Domäne oder einer Arbeitsgruppe sein und auch nur immer Mitglied einer Arbeitsgruppe.

Das einfachste wäre ein Multibootsystem das für jeden deiner Fälle das richtige system bootet.
Die Partitionen auch am besten verschlüsseln, damit keine Daten untereinander getauscht werden.

Viel Spaß

Chonta
chiefteddy
chiefteddy 26.11.2014 um 15:17:14 Uhr
Goto Top
Hallo,

hier noch ein Tipp für die Multi-Boot-Umgebung:

"Multi-Boot mit VHD-Dateien"

http://www.com-magazin.de/praxis/virtualisierung/multi-boot-vhd-dateien ...

oder

http://www.tecchannel.de/server/windows/2039826/windows_8_in_einer_vhd_ ...

Durch die virtuellen Festplatten wäre auch der gegenseitige Zugriff auf die Daten erschwert. Wenn die VHDs dann noch mit BitLocker verschlüsselt werden, ist die Sache "Rund".

Jürgen
Boweeko
Boweeko 28.11.2014 um 13:33:43 Uhr
Goto Top
Hallo Chonta, hallo chiefteddy,

vielen Dank für eure Hinweise.

Multi-Boot mit VHD hört sich gut an.

Welches Hyper-V System ist hier als Unterbau bzw. 1. OS auf der physischen Platte am besten geeignet?
Windows 8.1 oder Hyper-V Server 2012R2?

Meine Vorstellung für die Installation des Laptops sieht so aus:

VARIANTE 1
Windows 8.1 (Gäste) auf physischer Festplatte (VLAN5)
-> VHD Windows 8.1 (Firma intern Verwaltung) VLAN1
-> VHD Windows 8.1 (Firma intern Schüler) VLAN2
-> VHD Windows 8.1 (Firma extern Verwaltung) VLAN3
-> VHD Windows 8.1 (Firma extern Schüler) VLAN4


VARIANTE 2
Hyper-V Server 2012R2 auf physischer Festplatte (VLAN1)
-> VHD Windows 8.1 (Firma intern Verwaltung) VLAN1
-> VHD Windows 8.1 (Firma intern Schüler) VLAN2
-> VHD Windows 8.1 (Firma extern Verwaltung) VLAN3
-> VHD Windows 8.1 (Firma extern Schüler) VLAN4
-> VHD Windows 8.1 (Firma extern Schüler) VLAN5


Ich tendiere zur Variante 2. Hier würde ich den Hyper-V Server in das VLAN1 nehmen, damit ich ihn Remote mit meinem Verwaltungsrechner verwalten kann.
Hat schon jemand Erfahrungswerte mit Hyper-V Server für solche Situationen? Geht damit überhaupt ein Multi-Boot auf VHD-Basis?
chiefteddy
chiefteddy 28.11.2014 aktualisiert um 18:55:51 Uhr
Goto Top
Hallo,

Win 8.1 und Server 2012R2 haben den gleichen Kernel, also auch den gleichen Hypervisor. In sofern müßte es egal sein, welchen Hypervisor Du installierst. Ich würde zu Variante 2 tendieren. Allerdings würde ich auch hier Win 8.1 als Hypervisor einsetzen.

Bei Variante 1 stört mich, dass die 1. Maschine als phys. Maschine und nicht als VHD installiert wird.

Ich habe eine solche Installation vor 1-2 Jahren mal mit Win7Ult. getestet. In sofern bin ich sicher nicht der erfahrenste Anwender dieser Technik.

Jürgen
DerWoWusste
DerWoWusste 28.11.2014 um 18:03:22 Uhr
Goto Top
Hi.

Ich halte die Anforderungen für deutlich einfacher zu lösen.
Du hast eine Domänenvertrauensstellung, nehme ich an? Dann können sich die Mitglieder verschiedener Domänen an dem Gerät bereits anmelden, richtig? Somit sind 1 und 2 erfüllt.
3/4: man kann sich an Arbeitsgruppen nicht anmelden - was meinst du damit? Es gibt Domänenlogon oder Logon an der "Domäne" des eigenen PCs mit einem lokalen user - nie aber Anmeldung an einer Arbeitsgruppe.
5 Gäste (lokale Konten) haben keinen Zugriff auf Domänenressourcen - ohne weiteres Zutun.
6 auch das geht ohne Weiteres.

Ich soll nun das Netzwerk und den Laptop so konfigurieren, dass weder für uns noch für die externe Firma sicherheitsrelevante Probleme auftauchen
Dann frage ich: was soll denn passieren, Deiner Meinung nach? Ohne Aufgabe kein Plan und keine Umsetzung. Zunächst ist dies erstmal sicher, es sei denn, man schaltet in den paranoia-Modus.

Bitlocker und Konsorten sind schön, aber nicht nötig - NTFS-ACLs reichen zur Trennung schon aus. - es sei denn, (wie gesagt) Paranoia gepaart mit extremer Vorsicht liegt vor.

Mein Rat: definiere zunächst Angriffsszenarien. Ohne diese kann man keine Gegenmaßnahmen erstellen.
Boweeko
Boweeko 01.12.2014 um 09:44:25 Uhr
Goto Top
Hallo chiefteddy und DerWoWusste,

vielen Dank für eure Beiträge. Ich bin bereits dabei einen Laptop testweise mit der Multiboot-Umgebung in Variante 2 und Windows 8.1 aufzusetzen.

@DerWoWusste:
zu 1 und 2) Nein, es besteht keine Domänenvertrauensstellung zwischen Verwaltungs- und Schülernetzwerk und das soll auch so bleiben.
zu 3 und 4) Da hast du recht. Die Einrichtung übernimmt der IT-Betreuer der externen Firma. Kann also auch noch eine Domäne werden.
zu 5) möchte ich auch über ein extra VLAN abdecken.
zu 6) stimmt

Gerade weil ein externer IT-Betreuer dann die Einrichtung vornimmt, möchte ich nur die entsprechenden IP/VLAN-Bereiche zugänglich machen.
Dort kann er alles nach seinem Geschmack einrichten. Wir liefern nur die Infrastruktur. Das lässt sich dann für mich auch besser gegenüber anderen Stellen kommunizieren. Zudem schließe ich mit der Multiboot-Lösung dann mögliches menschliches Versagen auch auf NTFS-ACL-Ebene aus.

Ich glaub ich bin dann wohl Paranoid...aber ich fühl mich wohl dabei.

Angriffsszenarien / Überlegungen: Wir haben nun externe Schüler auf unserem Gelände, die teilweise unbeobachtet an der EDV arbeiten. Hier möchte ich möglichst wenig Angriffsfläche bieten. Darüber hinaus möchte ich die Trennung von externer und interner Firma so klar wir möglich ziehen. Das verträgt sich meiner Meinung nach nicht mit NTFS-ACLs oder Domänen-Vertrauensstellungen. Ich überlege sogar die LAN-Dosen an den Wänden / LAN-Buchsen an den Laptops abzuschließen bzw. spezielle abschließbare LAN-Kabel zu nutzen.

Vielen Dank, dass du deinen Standpunkt zu diesem Thema eingebracht hast. Da waren viele Sachen dabei, die ich nicht auf dem Schirm hatte.

Boweeko