Unterschiedliche Firmen bzw. Nutzergruppen nutzen gemeinsam einen Laptop
Hallo an alle Admins,
unsere Bildungseinrichtung wird demnächst einen Schulungsraum längerfristig an eine externe Firma inkl. Hardware und Internetanbindung vermieten. Das Netzwerk in diesem Raum ist Teil unseres gesamten Netzwerkes das sich über mehrere Gebäude erstreckt. Bis jetzt sind 3 VLANs konfiguriert die Verwaltung, Schüler-Netzwerk und Gäste-WLAN voneinander trennen. Die externe Firma benötigt ebenfalls ein abgetrenntes Verwaltungsnetzwerk (LAN) sowie ein Schüler-Netzwerk (WLAN).
Das stellt an sich kein Problem dar. Ich werde einfach weitere VLANs anlegen.
Hier nun mein Problem: Im Schulungsraum ist ein (1) Laptop vorhanden der je nach Wochentag bzw. Uhrzeit von unterschiedlichen Gruppen (unsere Lehrer, unsere Schüler, unsere Gäste, Lehrer der externen Firma, Schüler der externen Firma, Gäste der externen Firma) genutzt werden soll. Dabei gilt folgendes:
1. Unsere Lehrer sollen sich an das Verwaltungsnetzwerk (Domäne) sowie Schülernetzwerk (Schüler-Domäne) anmelden können
2. Unsere Schüler sollen sich an unser Schülernetzwerk (Schüler-Domäne) anmelden können.
3. Lehrer externe Firma sollen sich an Verwaltungs- und Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
4. Schüler externe Firma sollen sich am Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
5. Gäste sollen sich am Laptop anmelden können aber nur eine Internetverbindung erhalten.
6. Alle sollen die Möglichkeit bekommen auf dem per USB am Laptop angeschlossenen Drucker zu drucken. (Hinweis: Hat auch eine LAN-Schnittstelle)
Ich soll nun das Netzwerk und den Laptop so konfigurieren, dass weder für uns noch für die externe Firma sicherheitsrelevante Probleme auftauchen. Wie realisiere ich das am besten? Gibt es für dieses Szenario ein Best-Practice? Ich meine nicht die VLAN-Konfiguration des Netzwerkes sondern die Trennung der Firmen / Schüler an dem einen Laptop. Meine ersten Problemlösungen gingen in Richtung Multi-OS System auf dem Laptop aufzusetzen. Jede Gruppe wählt sich dann beim Start des Rechners die entsprechende Instanz aus. Aber das wären 5 Betriebssysteminstanzen. Das kann es doch nicht sein? Der Laptop ist mit LAN / WLAN ausgestattet und kann auch nicht ausgetauscht werden, da er mit mehreren Kabeln an einer interaktiven Tafel angeschlossen ist. Im Raum ist eine doppelte LAN-Dose vorhanden.
Welche Lösungsansätze habt ihr für die Situation?
Welche rechtlichen Aspekte und physischen Absicherungen (LAN-Dose) kommen noch in Frage?
unsere Bildungseinrichtung wird demnächst einen Schulungsraum längerfristig an eine externe Firma inkl. Hardware und Internetanbindung vermieten. Das Netzwerk in diesem Raum ist Teil unseres gesamten Netzwerkes das sich über mehrere Gebäude erstreckt. Bis jetzt sind 3 VLANs konfiguriert die Verwaltung, Schüler-Netzwerk und Gäste-WLAN voneinander trennen. Die externe Firma benötigt ebenfalls ein abgetrenntes Verwaltungsnetzwerk (LAN) sowie ein Schüler-Netzwerk (WLAN).
Das stellt an sich kein Problem dar. Ich werde einfach weitere VLANs anlegen.
Hier nun mein Problem: Im Schulungsraum ist ein (1) Laptop vorhanden der je nach Wochentag bzw. Uhrzeit von unterschiedlichen Gruppen (unsere Lehrer, unsere Schüler, unsere Gäste, Lehrer der externen Firma, Schüler der externen Firma, Gäste der externen Firma) genutzt werden soll. Dabei gilt folgendes:
1. Unsere Lehrer sollen sich an das Verwaltungsnetzwerk (Domäne) sowie Schülernetzwerk (Schüler-Domäne) anmelden können
2. Unsere Schüler sollen sich an unser Schülernetzwerk (Schüler-Domäne) anmelden können.
3. Lehrer externe Firma sollen sich an Verwaltungs- und Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
4. Schüler externe Firma sollen sich am Schülernetzwerk externe Firma anmelden können (Arbeitsgruppe).
5. Gäste sollen sich am Laptop anmelden können aber nur eine Internetverbindung erhalten.
6. Alle sollen die Möglichkeit bekommen auf dem per USB am Laptop angeschlossenen Drucker zu drucken. (Hinweis: Hat auch eine LAN-Schnittstelle)
Ich soll nun das Netzwerk und den Laptop so konfigurieren, dass weder für uns noch für die externe Firma sicherheitsrelevante Probleme auftauchen. Wie realisiere ich das am besten? Gibt es für dieses Szenario ein Best-Practice? Ich meine nicht die VLAN-Konfiguration des Netzwerkes sondern die Trennung der Firmen / Schüler an dem einen Laptop. Meine ersten Problemlösungen gingen in Richtung Multi-OS System auf dem Laptop aufzusetzen. Jede Gruppe wählt sich dann beim Start des Rechners die entsprechende Instanz aus. Aber das wären 5 Betriebssysteminstanzen. Das kann es doch nicht sein? Der Laptop ist mit LAN / WLAN ausgestattet und kann auch nicht ausgetauscht werden, da er mit mehreren Kabeln an einer interaktiven Tafel angeschlossen ist. Im Raum ist eine doppelte LAN-Dose vorhanden.
Welche Lösungsansätze habt ihr für die Situation?
Welche rechtlichen Aspekte und physischen Absicherungen (LAN-Dose) kommen noch in Frage?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 255950
Url: https://administrator.de/contentid/255950
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
ein PC kann Zeitgleich immer nur Mitglied einer AD-Domäne sein.
Die Anmeldung eines Benutzers einer AD-Domäne an einem Rechner einer anderen AD-Domäne ist durchaus möglich, wenn eine Vertrauensstellung zuwischen diesen Domänen existiert, die sowas auch ermöglicht (gibt da meines Wissens unterschidede bei den Vertrauensstellungen nach dem Motto Du traust zwar mir ich Dir aber nicht)
Und das Anmelden aus der Vertrauensstellung muss auch erlaubt sein.
Ein PC kann auch nur immer mitglied einer Domäne oder einer Arbeitsgruppe sein und auch nur immer Mitglied einer Arbeitsgruppe.
Das einfachste wäre ein Multibootsystem das für jeden deiner Fälle das richtige system bootet.
Die Partitionen auch am besten verschlüsseln, damit keine Daten untereinander getauscht werden.
Viel Spaß
Chonta
ein PC kann Zeitgleich immer nur Mitglied einer AD-Domäne sein.
Die Anmeldung eines Benutzers einer AD-Domäne an einem Rechner einer anderen AD-Domäne ist durchaus möglich, wenn eine Vertrauensstellung zuwischen diesen Domänen existiert, die sowas auch ermöglicht (gibt da meines Wissens unterschidede bei den Vertrauensstellungen nach dem Motto Du traust zwar mir ich Dir aber nicht)
Und das Anmelden aus der Vertrauensstellung muss auch erlaubt sein.
Ein PC kann auch nur immer mitglied einer Domäne oder einer Arbeitsgruppe sein und auch nur immer Mitglied einer Arbeitsgruppe.
Das einfachste wäre ein Multibootsystem das für jeden deiner Fälle das richtige system bootet.
Die Partitionen auch am besten verschlüsseln, damit keine Daten untereinander getauscht werden.
Viel Spaß
Chonta
Hallo,
hier noch ein Tipp für die Multi-Boot-Umgebung:
"Multi-Boot mit VHD-Dateien"
http://www.com-magazin.de/praxis/virtualisierung/multi-boot-vhd-dateien ...
oder
http://www.tecchannel.de/server/windows/2039826/windows_8_in_einer_vhd_ ...
Durch die virtuellen Festplatten wäre auch der gegenseitige Zugriff auf die Daten erschwert. Wenn die VHDs dann noch mit BitLocker verschlüsselt werden, ist die Sache "Rund".
Jürgen
hier noch ein Tipp für die Multi-Boot-Umgebung:
"Multi-Boot mit VHD-Dateien"
http://www.com-magazin.de/praxis/virtualisierung/multi-boot-vhd-dateien ...
oder
http://www.tecchannel.de/server/windows/2039826/windows_8_in_einer_vhd_ ...
Durch die virtuellen Festplatten wäre auch der gegenseitige Zugriff auf die Daten erschwert. Wenn die VHDs dann noch mit BitLocker verschlüsselt werden, ist die Sache "Rund".
Jürgen
Hallo,
Win 8.1 und Server 2012R2 haben den gleichen Kernel, also auch den gleichen Hypervisor. In sofern müßte es egal sein, welchen Hypervisor Du installierst. Ich würde zu Variante 2 tendieren. Allerdings würde ich auch hier Win 8.1 als Hypervisor einsetzen.
Bei Variante 1 stört mich, dass die 1. Maschine als phys. Maschine und nicht als VHD installiert wird.
Ich habe eine solche Installation vor 1-2 Jahren mal mit Win7Ult. getestet. In sofern bin ich sicher nicht der erfahrenste Anwender dieser Technik.
Jürgen
Win 8.1 und Server 2012R2 haben den gleichen Kernel, also auch den gleichen Hypervisor. In sofern müßte es egal sein, welchen Hypervisor Du installierst. Ich würde zu Variante 2 tendieren. Allerdings würde ich auch hier Win 8.1 als Hypervisor einsetzen.
Bei Variante 1 stört mich, dass die 1. Maschine als phys. Maschine und nicht als VHD installiert wird.
Ich habe eine solche Installation vor 1-2 Jahren mal mit Win7Ult. getestet. In sofern bin ich sicher nicht der erfahrenste Anwender dieser Technik.
Jürgen
Hi.
Ich halte die Anforderungen für deutlich einfacher zu lösen.
Du hast eine Domänenvertrauensstellung, nehme ich an? Dann können sich die Mitglieder verschiedener Domänen an dem Gerät bereits anmelden, richtig? Somit sind 1 und 2 erfüllt.
3/4: man kann sich an Arbeitsgruppen nicht anmelden - was meinst du damit? Es gibt Domänenlogon oder Logon an der "Domäne" des eigenen PCs mit einem lokalen user - nie aber Anmeldung an einer Arbeitsgruppe.
5 Gäste (lokale Konten) haben keinen Zugriff auf Domänenressourcen - ohne weiteres Zutun.
6 auch das geht ohne Weiteres.
Bitlocker und Konsorten sind schön, aber nicht nötig - NTFS-ACLs reichen zur Trennung schon aus. - es sei denn, (wie gesagt) Paranoia gepaart mit extremer Vorsicht liegt vor.
Mein Rat: definiere zunächst Angriffsszenarien. Ohne diese kann man keine Gegenmaßnahmen erstellen.
Ich halte die Anforderungen für deutlich einfacher zu lösen.
Du hast eine Domänenvertrauensstellung, nehme ich an? Dann können sich die Mitglieder verschiedener Domänen an dem Gerät bereits anmelden, richtig? Somit sind 1 und 2 erfüllt.
3/4: man kann sich an Arbeitsgruppen nicht anmelden - was meinst du damit? Es gibt Domänenlogon oder Logon an der "Domäne" des eigenen PCs mit einem lokalen user - nie aber Anmeldung an einer Arbeitsgruppe.
5 Gäste (lokale Konten) haben keinen Zugriff auf Domänenressourcen - ohne weiteres Zutun.
6 auch das geht ohne Weiteres.
Ich soll nun das Netzwerk und den Laptop so konfigurieren, dass weder für uns noch für die externe Firma sicherheitsrelevante Probleme auftauchen
Dann frage ich: was soll denn passieren, Deiner Meinung nach? Ohne Aufgabe kein Plan und keine Umsetzung. Zunächst ist dies erstmal sicher, es sei denn, man schaltet in den paranoia-Modus.Bitlocker und Konsorten sind schön, aber nicht nötig - NTFS-ACLs reichen zur Trennung schon aus. - es sei denn, (wie gesagt) Paranoia gepaart mit extremer Vorsicht liegt vor.
Mein Rat: definiere zunächst Angriffsszenarien. Ohne diese kann man keine Gegenmaßnahmen erstellen.