markusvh
Goto Top

Windows Domäne noch zeitgemäß?

Hallo zusammen,

ich bin gerade dabei eine Entscheidungsvorlage für meine Vorgesetzten zu erstellen, in der die neue Konfiguration unseres Außendienstes beschlossen werden soll.

Ich bin beim erstellen an ein Punkt gekommen, wo ich selber nicht weiß was ich empfehlen will..
Es geht darum, ob die Notebooks, die der Außendienst bekommen soll, in die Domäne sollen oder nicht?

Dazu muss ich sagen, der Augenmerk liegt darauf, möglichst einfach viele Geräte zu administrieren. Da ist es naheliegend, sich einer Domäne zu bedienen, in der man mit GPOs die Geräte konfigurieren kann. Der Innendienst ist auch in der Domäne und man könnte die gleichen GPOs auch für den Außendienst verwenden. Der Gedanke, möglichst viele Clients einheitlich lassen.

In der jetzigen Konfiguration des Außendienst sind die Notebooks nicht in der Domäne integriert und die Administration gestaltet sich oft schwierig, bzw. man muss selber Hand anlegen. Dass würden wir gerne ändern und denken über eine Domänenintegration nach. Das Problem, welches ich dabei sehe, der Außendienst muss dann immer ein VPN aufbauen, welcher empfindlich für schwankende Internetleitungen oder gar Abrisse der Internetverbindung ist.
Was ich auch nicht einschätzen kann, wie verhalten sich Domänenmitglieder, die sich eine lange Zeit (z.B. halbes Jahr) nicht mehr bei der Domäne melden. Keine Erfahrungswerte, sondern nur Befürchtungen, wie Vertrauensstellung geht verloren, Kerberos Tickets laufen aus? oder der User kann sich nicht mehr anmelden.

Ist als alternative für die Domäne evtl. Intune möglich? Dann bräuchte ich die Notebooks nicht in die Domäne schieben und würde sie über Intune verwalten.

Kann mir jemand dazu einen Rat geben? Ich hoffe mein Problem ist klar geworden.. :/

Beste Grüße
Markus

Content-ID: 599686

Url: https://administrator.de/contentid/599686

Ausgedruckt am: 26.11.2024 um 05:11 Uhr

it-frosch
it-frosch 27.08.2020 aktualisiert um 15:28:01 Uhr
Goto Top
Hallo Markus,

Es geht darum, ob die Notebooks, die der Außendienst bekommen soll, in die Domäne sollen oder nicht?
Die Frage lautet eher, lassen wir unseren Außendienstmitarbeitern ihre "Freiheit" oder bauen wir eine Domäne in der so etwas wie zentrale Patch- und Softwareverteilung und zentrale Adminstration von Antivirus Clients bequem zu administrieren ist.

Das musst du selbst entscheiden.

er Außendienst muss dann immer ein VPN aufbauen, welcher empfindlich für schwankende Internetleitungen oder gar Abrisse der
Internetverbindung ist.
Mhm, ihr scheint bisher nicht mit VPN zu arbeiten, stimmts? face-wink
Wir arbeiten extern nur über VPN (teilweise auch über Smartphone Hotspot) und ich kann diese Argumentation so gar nicht bestätigen.

Was ich auch nicht einschätzen kann, wie verhalten sich Domänenmitglieder, die sich eine lange Zeit (z.B. halbes Jahr) nicht mehr bei der Domäne
melden.
Bei uns (im Konzern) gibt es GPOs die die Geräte nach einer längeren "Abwesenheit" von der Domäne erst deaktivieren und dann löschen.
Das muss man so sicherlich nicht konfigurieren ist aber auch praktisch vom Sicherheitsaspekt her.

wie Vertrauensstellung geht verloren, Kerberos Tickets laufen aus? oder der User kann sich nicht mehr anmelden.
Wenn du sicherstellst, dass die Geräte mit einem bestimmten Adminkonto installiert werden, dann kannst du dich mit diesem auch noch auf dem Gerät anmelden, wenn das Computerkonto nicht mehr in der Domäne existiert.

Kurzum. Wenn du die Geräte in eine Domäne nimmst, vereinfachst du die Administration und kannst die Geräte besser verwalten und u.U. auch besser sichern. Du musst die Mitarbeiter dabei aber mitnehmen und Ihnen erklären wozu das notwendig und sinnvoll ist.

Die Zeiten von "das ist mein Notebook und da bestimme ich was damit gemacht wird" sind ab einer gewissen Firmengröße vorbei. face-wink

grüße vom it-frosch
MarkusVH
MarkusVH 27.08.2020 um 15:53:48 Uhr
Goto Top
Danke dir für deine Meinung! Du triffst da schon einige Punkte sehr genau.

Mit einer Vermutung bist du leider nicht ganz richtig, wir benutzen schon VPN und ich vermute, dass die Konfiguration des VPN einfach schlecht umgesetzt ist.. Der VPN wird zum Beispiel erst nach der Windows Anmeldung aufgebaut. Das führt dazu, dass die Anmeldung länger dauert, da im Hintergrund die Domäne noch nicht zur Verfügung steht. Genauso, wenn ich Mittagspause habe und der Laptop 30min. nicht im Betrieb ist, verliere ich die VPN-Verbindung und muss mich neu anmelden. Der blöde Nebeneffekt bei dieser Situation ist, dass wenn ich aus der Pause komme und mich wieder anmelde bei Windows, dass dann die Anmeldung wirklich ewig dauert.. bis zu 5min. teils. Das nervt dann ganz schön..

Wie gesagt, ich vermute, dass wir beim VPN einfach noch mal nachbessern müssen. Baut Ihr euren VPN vor der Windows Anmeldung auf?

Kannst du was zu Intune von Microsoft sagen? Der Vorteil einer Cloudbasierten Managementlösung ist natürlich enorm.. und der AD hätte wieder seine Freiheit.
Das Argument, was immer kommt: Ich möchte die Möglichkeit haben, beim Kunden das Notebook schnell hochfahren zu können ohne mich bei X-Sachen anzumelden.
Ad39min
Ad39min 27.08.2020 aktualisiert um 17:48:06 Uhr
Goto Top
Hi,

Zitat von @MarkusVH:
Mit einer Vermutung bist du leider nicht ganz richtig, wir benutzen schon VPN und ich vermute, dass die Konfiguration des VPN einfach schlecht umgesetzt ist..

Wäre vielleicht auch mal ganz interessant zu wissen, welcher VPN-Client und welches Protokoll benutzt werden.

Der VPN wird zum Beispiel erst nach der Windows Anmeldung aufgebaut.

Ist (meiner Erfahrung nach) in den meisten VPN-Clients so umgesetzt. Klar gibt es auch welche, die schon vor der Windows-Anmeldung einen Verbindungsversuch wagen.

Das führt dazu, dass die Anmeldung länger dauert, da im Hintergrund die Domäne noch nicht zur Verfügung steht.

Normalerweise werden Benutzerprofile lokal gecachet. Benutzt ihr Roaming Profile und/oder Ordnerumleitungen?

Genauso, wenn ich Mittagspause habe und der Laptop 30min. nicht im Betrieb ist, verliere ich die VPN-Verbindung und muss mich neu anmelden.

Irgendwie logisch, dass die VPN-Verbindung nicht weiterbestehen kann, während der Laptop außer Betrieb ist...

Wie gesagt, ich vermute, dass wir beim VPN einfach noch mal nachbessern müssen.

Diese Vermutung liegt nahe. Den Spürhund sollte man aber auch, wie bereits erwähnt, ggf. bei Ordnerumleitungen/Roaming Profiles ansetzen.

Baut Ihr euren VPN vor der Windows Anmeldung auf?

Nö. Wir arbeiten (insb. bei Notebooks) mit Domänenprofilen, die ohne Ordnerumleitung lokal auf den Rechnern ihre Profildaten liegen haben.
Der Nutzer meldet sich an, stellt ggf. noch eine Internetverbindung her und verbindet sich mit dem VPN.

Kannst du was zu Intune von Microsoft sagen? Der Vorteil einer Cloudbasierten Managementlösung ist natürlich enorm.. und der AD hätte wieder seine Freiheit.

Bei Cloudbasierten Lösungen ist insbesondere der Datenschutz genauer unter die Lupe zu nehmen! Sonst handelt man sich möglicherweise schneller als man glaubt eine DSGVO-Klage ein. Und dann wird's teuer.

Das Argument, was immer kommt: Ich möchte die Möglichkeit haben, beim Kunden das Notebook schnell hochfahren zu können ohne mich bei X-Sachen anzumelden.

Dann lass die Kunden zu Dir in die Firma kommen ;)
Spaß beiseite: Es lässt sich in einer komplexen IT-Infrastruktur nicht immer zu 100% alles so realisieren, wie man es gerne möchte.
Mit ein Bisschen Feintuning (o.g. Punkte) lässt sich aber bestimmt eine akzeptable Geschwindigkeit erreichen.

Gruß
Alex
wiesi200
wiesi200 27.08.2020 um 17:53:48 Uhr
Goto Top
142583
142583 27.08.2020 um 21:23:25 Uhr
Goto Top
Schon Mal was von Direct Access oder Allways ON von gehört? Das in Kombination mit Bitlocker ist eine gute Sache für Notebooks im Außendienst.
jsysde
jsysde 27.08.2020 um 21:59:10 Uhr
Goto Top
N'Abend.

Zitat von @MarkusVH:
[...]Dazu muss ich sagen, der Augenmerk liegt darauf, möglichst einfach viele Geräte zu administrieren. Da ist es naheliegend, sich einer Domäne zu bedienen, in der man mit GPOs die Geräte konfigurieren kann. Der Innendienst ist auch in der Domäne und man könnte die gleichen GPOs auch für den Außendienst verwenden. Der Gedanke, möglichst viele Clients einheitlich lassen.[...]
Das kommt sehr stark auf die GPOs an - Startup-GPOs, die z.B. Software auf den Clients installieren/aktualisieren, werden auf den Außendienst-Laptops nicht funktionieren, da dafür bereits beim Booten eine Verbindung zu (mind.) einem DC und natürlich dem Fileshare, in dem sich die Software befindet, vorhanden sein muss. Direct Access soll hier Abhilfe schaffen, funktioniert aber in der Praxis eher wie ein Blinker - geht, geht nicht, geht....

Prinzipiell ist die Idee aber nicht neu und hat natürlich ihren Charme. MS bietet dafür Intune an, für ausgewählte Hersteller/Modelle gibt es auch die Möglichkeit, Geräte bei Erst-Inbetriebnahme per Auto-Pilot vollständig einzurichten. Im Nachgang kann darüber natürlich jedes Gerät online und ohne lokalen Domain-Join administriert werden....

Cheers,
jsysde
it-frosch
it-frosch 27.08.2020 um 23:53:36 Uhr
Goto Top
Hallo Markus,

Baut Ihr euren VPN vor der Windows Anmeldung auf?
Die Kollegen melden sich am Notebook an und der VPN Client (Cisco AnyConnect) verbindet sich mit dem Firmennetzwerk, sobald er eine LAN oder WLAN Verbindung hat.

Kannst du was zu Intune von Microsoft sagen?
Leider nein.

Ich möchte die Möglichkeit haben, beim Kunden das Notebook schnell hochfahren zu können ohne mich
bei X-Sachen anzumelden.
Das ist bei uns gegeben, Outlook hat eine Offlinedatei. Man kann störungsfrei arbeiten auch wenn man nicht mit VPN verbunden ist.

Da ich hier hauptsächlich aus Nutzersicht berichtet habe, halte dich lieber an die anderen Kollegen. Die stehen da fachlich auch drin. face-wink

grüße vom it-frosch
Dani
Dani 29.08.2020 um 15:03:10 Uhr
Goto Top
Moin,
mit den richtigen Ideen, Technologien und deren Kombination ist sehr vieles möglich. Schlussendlich hängt es natürlich auch von den Daten und Anwendungen ab.

Bei uns sind alle Geräte in der Domäne, egal wo sich diese aufhalten. Sobald eine Internetverbindung vorhanden ist - egal über welches Medium - wird eine Always On VPN Verbindung automatisch aufgebaut. Zertifikate bilden hier die Schlüsselfigur.

Für die definierten Geräte werden Gruppenrichtlinien über Standorte zugwiesen. So ist sichergestellt, dass nur die wichtigsten Gruppenrichtlinien unterwegs angewendet werden. Ist das Gerät in einer Außenstelle von uns, ziehen alle definierten Richtlinien.

Grundsätzlich setzen wir weitestens Sinne servergespeicherte Profile ein. Wir setzen hierzu auf eine Art Container Lösung mit dem Namen FSLogix von Microsoft. So stellen wir sicher, dass die Anmeldung immer zügig von statten geht - egal ob im LAN, WLAN, VPN oder Offline. Wichtig ist hier auf Caching zu setzen.

Patches und Aktualisierungen von Programmen/EInstellungen erfolgt über Unified Entpoint Management. Dabei spielt es keine Rolle ob das Gerät im Firmennetzwerk, zu Hause in WLAN oder an einem Hotsport hängt. Wichtig ist eine Internetverbindung.

Läuft nun fast 8 Monate und bisher durchweg positive Rückmeldungen erhalten. Wobei da natürlich viel Zeit für Testen und Abstimmungen daraufgegangen sind. Gerade die Kombination der Technologien ist der Knackpunkt bei den Tests.


Gruß,
Dani
MarkusVH
MarkusVH 31.08.2020 um 08:08:52 Uhr
Goto Top
Morgen und erstmal Danke an alle,

hier ein paar weitere Details, die ich im Vorfeld nicht so genau beschrieben habe.
Wir benutzen den OpenVPN Client, der sich mit einer Sophos Firewall verbindet.
Wir haben keine servergespeicherten Profile, diese liegen lokal.
Ich vermute, das liegt an den Ordnershares.. Wir haben ein Netzlaufwerk, welches die "Eigenen Dateien" zur Verfügung stellt. Zu dem haben wir auch eine GPOs, die angewendet werden, wenn man sich anmeldet. Das ganze Konstrukt ist aber auch aufgebaut für interne Geräte. Es war nicht geplant, dass wir irgendwann Domänenclients außerhalb unserer Gebäude haben.

Meine jetzige Einschätzung ist, das wir entweder die vorhandenen Strukturen anpassen müssen und dann auch ohne größere Probleme Domänenclients außerhalb unserer Gebäude haben, die den VPN auch nach der Windows Anmeldung aufbauen.

Die 2. Alternative ist für mich, dass wir die Clients aus der Domäne draußen lassen und die Verwaltung über externe Software geschieht.

Finde beide Alternativen nicht schlecht, ich habe nämlich die Angst, dass wir die Altlasten aus unserer Domäne/Netzwerk nicht in den Griff bekommen, sonst würde ich die Domäne bevorzugen..

Danke und beste Grüße
Markus
Dani
Dani 11.09.2020 um 19:28:03 Uhr
Goto Top
Guten Abend Markus,
Finde beide Alternativen nicht schlecht, ich habe nämlich die Angst, dass wir die Altlasten aus unserer Domäne/Netzwerk nicht in den Griff bekommen, sonst würde ich die Domäne bevorzugen..
das können wir natürlich erst einmal nicht einschätzen/beurteilen. Unter Altlasten verstehst du sicherlich was anderes wie ich. face-wink Daher erläutere kurz einmal, was Sache ist und wo du Bauchschmärzen hast.


Gruß,
Dani
MarkusVH
MarkusVH 14.09.2020 um 08:08:40 Uhr
Goto Top
Um das Thema abzuschließen, wir werden in Richtung Cloud-Strategie gehen.

Sehr wahrscheinlich werden wir nahezu alles über Intune von Microsoft abdecken wollen. Ggf. werden wir am Anfang noch Matrix42 nutzen, für Softwareverteilung.

Für die Clients der MA sehen wir die größte Flexibilität und Zukunftssicherheit in der Cloud und nicht mehr in der Domäne.

Danke für die Anregungen!

Markus