Windows Domäne noch zeitgemäß?
Hallo zusammen,
ich bin gerade dabei eine Entscheidungsvorlage für meine Vorgesetzten zu erstellen, in der die neue Konfiguration unseres Außendienstes beschlossen werden soll.
Ich bin beim erstellen an ein Punkt gekommen, wo ich selber nicht weiß was ich empfehlen will..
Es geht darum, ob die Notebooks, die der Außendienst bekommen soll, in die Domäne sollen oder nicht?
Dazu muss ich sagen, der Augenmerk liegt darauf, möglichst einfach viele Geräte zu administrieren. Da ist es naheliegend, sich einer Domäne zu bedienen, in der man mit GPOs die Geräte konfigurieren kann. Der Innendienst ist auch in der Domäne und man könnte die gleichen GPOs auch für den Außendienst verwenden. Der Gedanke, möglichst viele Clients einheitlich lassen.
In der jetzigen Konfiguration des Außendienst sind die Notebooks nicht in der Domäne integriert und die Administration gestaltet sich oft schwierig, bzw. man muss selber Hand anlegen. Dass würden wir gerne ändern und denken über eine Domänenintegration nach. Das Problem, welches ich dabei sehe, der Außendienst muss dann immer ein VPN aufbauen, welcher empfindlich für schwankende Internetleitungen oder gar Abrisse der Internetverbindung ist.
Was ich auch nicht einschätzen kann, wie verhalten sich Domänenmitglieder, die sich eine lange Zeit (z.B. halbes Jahr) nicht mehr bei der Domäne melden. Keine Erfahrungswerte, sondern nur Befürchtungen, wie Vertrauensstellung geht verloren, Kerberos Tickets laufen aus? oder der User kann sich nicht mehr anmelden.
Ist als alternative für die Domäne evtl. Intune möglich? Dann bräuchte ich die Notebooks nicht in die Domäne schieben und würde sie über Intune verwalten.
Kann mir jemand dazu einen Rat geben? Ich hoffe mein Problem ist klar geworden.. :/
Beste Grüße
Markus
ich bin gerade dabei eine Entscheidungsvorlage für meine Vorgesetzten zu erstellen, in der die neue Konfiguration unseres Außendienstes beschlossen werden soll.
Ich bin beim erstellen an ein Punkt gekommen, wo ich selber nicht weiß was ich empfehlen will..
Es geht darum, ob die Notebooks, die der Außendienst bekommen soll, in die Domäne sollen oder nicht?
Dazu muss ich sagen, der Augenmerk liegt darauf, möglichst einfach viele Geräte zu administrieren. Da ist es naheliegend, sich einer Domäne zu bedienen, in der man mit GPOs die Geräte konfigurieren kann. Der Innendienst ist auch in der Domäne und man könnte die gleichen GPOs auch für den Außendienst verwenden. Der Gedanke, möglichst viele Clients einheitlich lassen.
In der jetzigen Konfiguration des Außendienst sind die Notebooks nicht in der Domäne integriert und die Administration gestaltet sich oft schwierig, bzw. man muss selber Hand anlegen. Dass würden wir gerne ändern und denken über eine Domänenintegration nach. Das Problem, welches ich dabei sehe, der Außendienst muss dann immer ein VPN aufbauen, welcher empfindlich für schwankende Internetleitungen oder gar Abrisse der Internetverbindung ist.
Was ich auch nicht einschätzen kann, wie verhalten sich Domänenmitglieder, die sich eine lange Zeit (z.B. halbes Jahr) nicht mehr bei der Domäne melden. Keine Erfahrungswerte, sondern nur Befürchtungen, wie Vertrauensstellung geht verloren, Kerberos Tickets laufen aus? oder der User kann sich nicht mehr anmelden.
Ist als alternative für die Domäne evtl. Intune möglich? Dann bräuchte ich die Notebooks nicht in die Domäne schieben und würde sie über Intune verwalten.
Kann mir jemand dazu einen Rat geben? Ich hoffe mein Problem ist klar geworden.. :/
Beste Grüße
Markus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 599686
Url: https://administrator.de/contentid/599686
Ausgedruckt am: 14.11.2024 um 01:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo Markus,
Das musst du selbst entscheiden.
Wir arbeiten extern nur über VPN (teilweise auch über Smartphone Hotspot) und ich kann diese Argumentation so gar nicht bestätigen.
Das muss man so sicherlich nicht konfigurieren ist aber auch praktisch vom Sicherheitsaspekt her.
Kurzum. Wenn du die Geräte in eine Domäne nimmst, vereinfachst du die Administration und kannst die Geräte besser verwalten und u.U. auch besser sichern. Du musst die Mitarbeiter dabei aber mitnehmen und Ihnen erklären wozu das notwendig und sinnvoll ist.
Die Zeiten von "das ist mein Notebook und da bestimme ich was damit gemacht wird" sind ab einer gewissen Firmengröße vorbei.
grüße vom it-frosch
Es geht darum, ob die Notebooks, die der Außendienst bekommen soll, in die Domäne sollen oder nicht?
Die Frage lautet eher, lassen wir unseren Außendienstmitarbeitern ihre "Freiheit" oder bauen wir eine Domäne in der so etwas wie zentrale Patch- und Softwareverteilung und zentrale Adminstration von Antivirus Clients bequem zu administrieren ist.Das musst du selbst entscheiden.
er Außendienst muss dann immer ein VPN aufbauen, welcher empfindlich für schwankende Internetleitungen oder gar Abrisse der
Internetverbindung ist.
Mhm, ihr scheint bisher nicht mit VPN zu arbeiten, stimmts? Internetverbindung ist.
Wir arbeiten extern nur über VPN (teilweise auch über Smartphone Hotspot) und ich kann diese Argumentation so gar nicht bestätigen.
Was ich auch nicht einschätzen kann, wie verhalten sich Domänenmitglieder, die sich eine lange Zeit (z.B. halbes Jahr) nicht mehr bei der Domäne
melden.
Bei uns (im Konzern) gibt es GPOs die die Geräte nach einer längeren "Abwesenheit" von der Domäne erst deaktivieren und dann löschen.melden.
Das muss man so sicherlich nicht konfigurieren ist aber auch praktisch vom Sicherheitsaspekt her.
wie Vertrauensstellung geht verloren, Kerberos Tickets laufen aus? oder der User kann sich nicht mehr anmelden.
Wenn du sicherstellst, dass die Geräte mit einem bestimmten Adminkonto installiert werden, dann kannst du dich mit diesem auch noch auf dem Gerät anmelden, wenn das Computerkonto nicht mehr in der Domäne existiert.Kurzum. Wenn du die Geräte in eine Domäne nimmst, vereinfachst du die Administration und kannst die Geräte besser verwalten und u.U. auch besser sichern. Du musst die Mitarbeiter dabei aber mitnehmen und Ihnen erklären wozu das notwendig und sinnvoll ist.
Die Zeiten von "das ist mein Notebook und da bestimme ich was damit gemacht wird" sind ab einer gewissen Firmengröße vorbei.
grüße vom it-frosch
Hi,
Wäre vielleicht auch mal ganz interessant zu wissen, welcher VPN-Client und welches Protokoll benutzt werden.
Ist (meiner Erfahrung nach) in den meisten VPN-Clients so umgesetzt. Klar gibt es auch welche, die schon vor der Windows-Anmeldung einen Verbindungsversuch wagen.
Normalerweise werden Benutzerprofile lokal gecachet. Benutzt ihr Roaming Profile und/oder Ordnerumleitungen?
Irgendwie logisch, dass die VPN-Verbindung nicht weiterbestehen kann, während der Laptop außer Betrieb ist...
Diese Vermutung liegt nahe. Den Spürhund sollte man aber auch, wie bereits erwähnt, ggf. bei Ordnerumleitungen/Roaming Profiles ansetzen.
Nö. Wir arbeiten (insb. bei Notebooks) mit Domänenprofilen, die ohne Ordnerumleitung lokal auf den Rechnern ihre Profildaten liegen haben.
Der Nutzer meldet sich an, stellt ggf. noch eine Internetverbindung her und verbindet sich mit dem VPN.
Bei Cloudbasierten Lösungen ist insbesondere der Datenschutz genauer unter die Lupe zu nehmen! Sonst handelt man sich möglicherweise schneller als man glaubt eine DSGVO-Klage ein. Und dann wird's teuer.
Dann lass die Kunden zu Dir in die Firma kommen ;)
Spaß beiseite: Es lässt sich in einer komplexen IT-Infrastruktur nicht immer zu 100% alles so realisieren, wie man es gerne möchte.
Mit ein Bisschen Feintuning (o.g. Punkte) lässt sich aber bestimmt eine akzeptable Geschwindigkeit erreichen.
Gruß
Alex
Zitat von @MarkusVH:
Mit einer Vermutung bist du leider nicht ganz richtig, wir benutzen schon VPN und ich vermute, dass die Konfiguration des VPN einfach schlecht umgesetzt ist..
Mit einer Vermutung bist du leider nicht ganz richtig, wir benutzen schon VPN und ich vermute, dass die Konfiguration des VPN einfach schlecht umgesetzt ist..
Wäre vielleicht auch mal ganz interessant zu wissen, welcher VPN-Client und welches Protokoll benutzt werden.
Der VPN wird zum Beispiel erst nach der Windows Anmeldung aufgebaut.
Ist (meiner Erfahrung nach) in den meisten VPN-Clients so umgesetzt. Klar gibt es auch welche, die schon vor der Windows-Anmeldung einen Verbindungsversuch wagen.
Das führt dazu, dass die Anmeldung länger dauert, da im Hintergrund die Domäne noch nicht zur Verfügung steht.
Normalerweise werden Benutzerprofile lokal gecachet. Benutzt ihr Roaming Profile und/oder Ordnerumleitungen?
Genauso, wenn ich Mittagspause habe und der Laptop 30min. nicht im Betrieb ist, verliere ich die VPN-Verbindung und muss mich neu anmelden.
Irgendwie logisch, dass die VPN-Verbindung nicht weiterbestehen kann, während der Laptop außer Betrieb ist...
Wie gesagt, ich vermute, dass wir beim VPN einfach noch mal nachbessern müssen.
Diese Vermutung liegt nahe. Den Spürhund sollte man aber auch, wie bereits erwähnt, ggf. bei Ordnerumleitungen/Roaming Profiles ansetzen.
Baut Ihr euren VPN vor der Windows Anmeldung auf?
Nö. Wir arbeiten (insb. bei Notebooks) mit Domänenprofilen, die ohne Ordnerumleitung lokal auf den Rechnern ihre Profildaten liegen haben.
Der Nutzer meldet sich an, stellt ggf. noch eine Internetverbindung her und verbindet sich mit dem VPN.
Kannst du was zu Intune von Microsoft sagen? Der Vorteil einer Cloudbasierten Managementlösung ist natürlich enorm.. und der AD hätte wieder seine Freiheit.
Bei Cloudbasierten Lösungen ist insbesondere der Datenschutz genauer unter die Lupe zu nehmen! Sonst handelt man sich möglicherweise schneller als man glaubt eine DSGVO-Klage ein. Und dann wird's teuer.
Das Argument, was immer kommt: Ich möchte die Möglichkeit haben, beim Kunden das Notebook schnell hochfahren zu können ohne mich bei X-Sachen anzumelden.
Dann lass die Kunden zu Dir in die Firma kommen ;)
Spaß beiseite: Es lässt sich in einer komplexen IT-Infrastruktur nicht immer zu 100% alles so realisieren, wie man es gerne möchte.
Mit ein Bisschen Feintuning (o.g. Punkte) lässt sich aber bestimmt eine akzeptable Geschwindigkeit erreichen.
Gruß
Alex
Hallo,
Schau dir doch mal das bitte an
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/vpn ....
Schau dir doch mal das bitte an
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/vpn ....
Schon Mal was von Direct Access oder Allways ON von gehört? Das in Kombination mit Bitlocker ist eine gute Sache für Notebooks im Außendienst.
N'Abend.
Prinzipiell ist die Idee aber nicht neu und hat natürlich ihren Charme. MS bietet dafür Intune an, für ausgewählte Hersteller/Modelle gibt es auch die Möglichkeit, Geräte bei Erst-Inbetriebnahme per Auto-Pilot vollständig einzurichten. Im Nachgang kann darüber natürlich jedes Gerät online und ohne lokalen Domain-Join administriert werden....
Cheers,
jsysde
Zitat von @MarkusVH:
[...]Dazu muss ich sagen, der Augenmerk liegt darauf, möglichst einfach viele Geräte zu administrieren. Da ist es naheliegend, sich einer Domäne zu bedienen, in der man mit GPOs die Geräte konfigurieren kann. Der Innendienst ist auch in der Domäne und man könnte die gleichen GPOs auch für den Außendienst verwenden. Der Gedanke, möglichst viele Clients einheitlich lassen.[...]
Das kommt sehr stark auf die GPOs an - Startup-GPOs, die z.B. Software auf den Clients installieren/aktualisieren, werden auf den Außendienst-Laptops nicht funktionieren, da dafür bereits beim Booten eine Verbindung zu (mind.) einem DC und natürlich dem Fileshare, in dem sich die Software befindet, vorhanden sein muss. Direct Access soll hier Abhilfe schaffen, funktioniert aber in der Praxis eher wie ein Blinker - geht, geht nicht, geht....[...]Dazu muss ich sagen, der Augenmerk liegt darauf, möglichst einfach viele Geräte zu administrieren. Da ist es naheliegend, sich einer Domäne zu bedienen, in der man mit GPOs die Geräte konfigurieren kann. Der Innendienst ist auch in der Domäne und man könnte die gleichen GPOs auch für den Außendienst verwenden. Der Gedanke, möglichst viele Clients einheitlich lassen.[...]
Prinzipiell ist die Idee aber nicht neu und hat natürlich ihren Charme. MS bietet dafür Intune an, für ausgewählte Hersteller/Modelle gibt es auch die Möglichkeit, Geräte bei Erst-Inbetriebnahme per Auto-Pilot vollständig einzurichten. Im Nachgang kann darüber natürlich jedes Gerät online und ohne lokalen Domain-Join administriert werden....
Cheers,
jsysde
Hallo Markus,
Da ich hier hauptsächlich aus Nutzersicht berichtet habe, halte dich lieber an die anderen Kollegen. Die stehen da fachlich auch drin.
grüße vom it-frosch
Baut Ihr euren VPN vor der Windows Anmeldung auf?
Die Kollegen melden sich am Notebook an und der VPN Client (Cisco AnyConnect) verbindet sich mit dem Firmennetzwerk, sobald er eine LAN oder WLAN Verbindung hat.Kannst du was zu Intune von Microsoft sagen?
Leider nein. Ich möchte die Möglichkeit haben, beim Kunden das Notebook schnell hochfahren zu können ohne mich
bei X-Sachen anzumelden.
Das ist bei uns gegeben, Outlook hat eine Offlinedatei. Man kann störungsfrei arbeiten auch wenn man nicht mit VPN verbunden ist.bei X-Sachen anzumelden.
Da ich hier hauptsächlich aus Nutzersicht berichtet habe, halte dich lieber an die anderen Kollegen. Die stehen da fachlich auch drin.
grüße vom it-frosch
Moin,
mit den richtigen Ideen, Technologien und deren Kombination ist sehr vieles möglich. Schlussendlich hängt es natürlich auch von den Daten und Anwendungen ab.
Bei uns sind alle Geräte in der Domäne, egal wo sich diese aufhalten. Sobald eine Internetverbindung vorhanden ist - egal über welches Medium - wird eine Always On VPN Verbindung automatisch aufgebaut. Zertifikate bilden hier die Schlüsselfigur.
Für die definierten Geräte werden Gruppenrichtlinien über Standorte zugwiesen. So ist sichergestellt, dass nur die wichtigsten Gruppenrichtlinien unterwegs angewendet werden. Ist das Gerät in einer Außenstelle von uns, ziehen alle definierten Richtlinien.
Grundsätzlich setzen wir weitestens Sinne servergespeicherte Profile ein. Wir setzen hierzu auf eine Art Container Lösung mit dem Namen FSLogix von Microsoft. So stellen wir sicher, dass die Anmeldung immer zügig von statten geht - egal ob im LAN, WLAN, VPN oder Offline. Wichtig ist hier auf Caching zu setzen.
Patches und Aktualisierungen von Programmen/EInstellungen erfolgt über Unified Entpoint Management. Dabei spielt es keine Rolle ob das Gerät im Firmennetzwerk, zu Hause in WLAN oder an einem Hotsport hängt. Wichtig ist eine Internetverbindung.
Läuft nun fast 8 Monate und bisher durchweg positive Rückmeldungen erhalten. Wobei da natürlich viel Zeit für Testen und Abstimmungen daraufgegangen sind. Gerade die Kombination der Technologien ist der Knackpunkt bei den Tests.
Gruß,
Dani
mit den richtigen Ideen, Technologien und deren Kombination ist sehr vieles möglich. Schlussendlich hängt es natürlich auch von den Daten und Anwendungen ab.
Bei uns sind alle Geräte in der Domäne, egal wo sich diese aufhalten. Sobald eine Internetverbindung vorhanden ist - egal über welches Medium - wird eine Always On VPN Verbindung automatisch aufgebaut. Zertifikate bilden hier die Schlüsselfigur.
Für die definierten Geräte werden Gruppenrichtlinien über Standorte zugwiesen. So ist sichergestellt, dass nur die wichtigsten Gruppenrichtlinien unterwegs angewendet werden. Ist das Gerät in einer Außenstelle von uns, ziehen alle definierten Richtlinien.
Grundsätzlich setzen wir weitestens Sinne servergespeicherte Profile ein. Wir setzen hierzu auf eine Art Container Lösung mit dem Namen FSLogix von Microsoft. So stellen wir sicher, dass die Anmeldung immer zügig von statten geht - egal ob im LAN, WLAN, VPN oder Offline. Wichtig ist hier auf Caching zu setzen.
Patches und Aktualisierungen von Programmen/EInstellungen erfolgt über Unified Entpoint Management. Dabei spielt es keine Rolle ob das Gerät im Firmennetzwerk, zu Hause in WLAN oder an einem Hotsport hängt. Wichtig ist eine Internetverbindung.
Läuft nun fast 8 Monate und bisher durchweg positive Rückmeldungen erhalten. Wobei da natürlich viel Zeit für Testen und Abstimmungen daraufgegangen sind. Gerade die Kombination der Technologien ist der Knackpunkt bei den Tests.
Gruß,
Dani
Guten Abend Markus,
Gruß,
Dani
Finde beide Alternativen nicht schlecht, ich habe nämlich die Angst, dass wir die Altlasten aus unserer Domäne/Netzwerk nicht in den Griff bekommen, sonst würde ich die Domäne bevorzugen..
das können wir natürlich erst einmal nicht einschätzen/beurteilen. Unter Altlasten verstehst du sicherlich was anderes wie ich. Daher erläutere kurz einmal, was Sache ist und wo du Bauchschmärzen hast.Gruß,
Dani