9
Wöchentlicher Wipe der Client-Festplatte vom Server triggern
Liebe Admins,
ich habe jetzt schon eine Weile in einschlägigen Foren gesucht und nichts dazu gefunden, daher probiere ich es mal hier bei den Profis ;)
Teil meiner Arbeit ist das Managen eines Schulungsraumes.
Dieser Raum wird sowohl von Studenten als auch von uns zu Inhouse-Seminaren für Unternehmen genutzt. (ungefähr 50 PC's)
Da ziemlich findige Studenten dort Ihr Unwesen treiben, Daten zweifelhaften Ursprungs ablegen, und diese es auch schon ohne Admin-Rechte geschafft haben mehrere Wochen Krypto Coins auf den Rechnern zu Minen, wollen wir jetzt in regelmäßigen Abständen die Festplattendaten löschen.
Jetzt stehen zwei Optionen zur Auswahl:
- Den Usern das Schreiben auf der Windows-Partition verbieten und die Arbeitspartition 1x pro Woche formatieren.
- Nur eine Partition aufsetzen und dann die Formatieren und Windows gleich neu installieren (1x Pro Woche).
Welche haltet Ihr für Sinnvoller? Einfacher Umzusetzen wäre sicherlich die erste Option. Aber ist das ausreichend sicher?
Wir haben schon versucht, die erste Option umzusetzen:
Dazu haben wir haben eine Zero-Touch-Konfiguration des Windows Deployments (siehe: http://nefarius.at/2015/06/mdt-zerotouch-konfiguration/) bereits getestet, können diese aber ohne Bezahlsoftware nicht umsetzen: Es muss immer vor Ort die Bootreihenfolge geändert, oder ESC bzw. F12 zum Start des Netzwerkboots gedrückt werden. (Das ist bei 50 Rechnern dann nicht mehr angemessen)
- Uns wäre auch schon bedeutend geholfen, wenn wir eine Option hätten, den Festplatteninhalt so zu löschen, dass dort kein Betriebssystem mehr gefunden wird: Dann würden die Rechner nämlich automatisch Windows über das Netzwerk installieren. ("Format C:" reicht nicht, der Rechner versucht danach beim hochfahren Windows zu reparieren)
Wir haben einen Win Server 2016 Datacenter vor Ort eingesetzt mit aufgesetztem WDS + MDT.
Vielen Dank im Voraus für eure Antworten und schon mal vielen Dank für die Aufnahme im Forum!
Dennis
__
Edit: vorletzten Absatz hinzugefügt.
ich habe jetzt schon eine Weile in einschlägigen Foren gesucht und nichts dazu gefunden, daher probiere ich es mal hier bei den Profis ;)
Teil meiner Arbeit ist das Managen eines Schulungsraumes.
Dieser Raum wird sowohl von Studenten als auch von uns zu Inhouse-Seminaren für Unternehmen genutzt. (ungefähr 50 PC's)
Da ziemlich findige Studenten dort Ihr Unwesen treiben, Daten zweifelhaften Ursprungs ablegen, und diese es auch schon ohne Admin-Rechte geschafft haben mehrere Wochen Krypto Coins auf den Rechnern zu Minen, wollen wir jetzt in regelmäßigen Abständen die Festplattendaten löschen.
Jetzt stehen zwei Optionen zur Auswahl:
- Den Usern das Schreiben auf der Windows-Partition verbieten und die Arbeitspartition 1x pro Woche formatieren.
- Nur eine Partition aufsetzen und dann die Formatieren und Windows gleich neu installieren (1x Pro Woche).
Welche haltet Ihr für Sinnvoller? Einfacher Umzusetzen wäre sicherlich die erste Option. Aber ist das ausreichend sicher?
Wir haben schon versucht, die erste Option umzusetzen:
Dazu haben wir haben eine Zero-Touch-Konfiguration des Windows Deployments (siehe: http://nefarius.at/2015/06/mdt-zerotouch-konfiguration/) bereits getestet, können diese aber ohne Bezahlsoftware nicht umsetzen: Es muss immer vor Ort die Bootreihenfolge geändert, oder ESC bzw. F12 zum Start des Netzwerkboots gedrückt werden. (Das ist bei 50 Rechnern dann nicht mehr angemessen)
- Uns wäre auch schon bedeutend geholfen, wenn wir eine Option hätten, den Festplatteninhalt so zu löschen, dass dort kein Betriebssystem mehr gefunden wird: Dann würden die Rechner nämlich automatisch Windows über das Netzwerk installieren. ("Format C:" reicht nicht, der Rechner versucht danach beim hochfahren Windows zu reparieren)
Wir haben einen Win Server 2016 Datacenter vor Ort eingesetzt mit aufgesetztem WDS + MDT.
Vielen Dank im Voraus für eure Antworten und schon mal vielen Dank für die Aufnahme im Forum!
Dennis
__
Edit: vorletzten Absatz hinzugefügt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 382689
Url: https://administrator.de/contentid/382689
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
9 Kommentare
Neuester Kommentar
Hi.
Bevor du diese große Keule schwenkst, würde ich eher mit Application Whitelisting (software restriction policies oder applocker) beschränken, was auf den Geräten läuft. Setze ebenso eine Festplattenverschlüsselung ein, denn ohne sind Adminrechte in 2 minuten besorgt.
Bevor du diese große Keule schwenkst, würde ich eher mit Application Whitelisting (software restriction policies oder applocker) beschränken, was auf den Geräten läuft. Setze ebenso eine Festplattenverschlüsselung ein, denn ohne sind Adminrechte in 2 minuten besorgt.
Hallo DerWoWusste,
vielen Dank für deine Antwort! Die Verschlüsselung werden wir (falls das mein Vorgänger noch nicht implementiert hat) auf jeden Fall mit einbauen! Danke schon mal dafür.
Dass die Festplatte in regelmäßigen Abständen gelöscht werden soll, wurde vom Chef-Administrator bei uns beschlossen in so fern kommen andere Lösungen vorerst nicht in Frage.
vielen Dank für deine Antwort! Die Verschlüsselung werden wir (falls das mein Vorgänger noch nicht implementiert hat) auf jeden Fall mit einbauen! Danke schon mal dafür.
Dass die Festplatte in regelmäßigen Abständen gelöscht werden soll, wurde vom Chef-Administrator bei uns beschlossen in so fern kommen andere Lösungen vorerst nicht in Frage.
Mahlzeit,
habt ihr schon mal über den Einsatz von Wächterkarten/Software nach gedacht?
Damit kannst du den Rechner bei jedem Neustart automatisch auf einen vorher definierten Zeitpunkt zurück setzen lassen.
Gruß
habt ihr schon mal über den Einsatz von Wächterkarten/Software nach gedacht?
Damit kannst du den Rechner bei jedem Neustart automatisch auf einen vorher definierten Zeitpunkt zurück setzen lassen.
Gruß
Wieso nutzt Ihr nicht eine Software wie Deep Freeze oder ähnliches. Das kannst von jedem reboot wieder 0 setzten bis viele andere Dinge konfigurieren.
Moin
Wir nutzen dazu "FOG".
Damit zeichnen wir die Images der Schulungsrechner auf und können sie per cronjob am Wochenende mittels WOL und PXE ausrollen.
LG
edit: FOG kann auch die PLatten whipen
Wir nutzen dazu "FOG".
Damit zeichnen wir die Images der Schulungsrechner auf und können sie per cronjob am Wochenende mittels WOL und PXE ausrollen.
LG
edit: FOG kann auch die PLatten whipen
Ich habe sehr gute Erfahrungen mit Dr. Kaiser gemacht:
https://www.dr-kaiser.de/produkte/admindidakt0/pc-waechter-drive/
Hatte in meiner alten Firma mehrere Schulungsräume mit Wächterkarten, die ich mit betreut habe.
https://www.dr-kaiser.de/produkte/admindidakt0/pc-waechter-drive/
Hatte in meiner alten Firma mehrere Schulungsräume mit Wächterkarten, die ich mit betreut habe.
Hallo,
eventuell geht es doch mit dem WDS+MDT. Du kannst im WDS ja einstellen, ob er auf Clients antwortet oder nicht. Müsste man eigentlich per Powershell scripten können.
Dann ein Script, das den WDS aktiviert und die Clients per WOL einschaltet. Dann per ZeroTouch neu betanken und den WDS per Script wieder deaktivieren. Die Clients stehen immer auf PXE-Boot first.
Bzw. Je nach Modell kann man verschiedene Bootsequenzen festlegen. Wenn eure das können, dann nur dann PXE-Boot wenn über WOL gestartet.
eventuell geht es doch mit dem WDS+MDT. Du kannst im WDS ja einstellen, ob er auf Clients antwortet oder nicht. Müsste man eigentlich per Powershell scripten können.
Dann ein Script, das den WDS aktiviert und die Clients per WOL einschaltet. Dann per ZeroTouch neu betanken und den WDS per Script wieder deaktivieren. Die Clients stehen immer auf PXE-Boot first.
Bzw. Je nach Modell kann man verschiedene Bootsequenzen festlegen. Wenn eure das können, dann nur dann PXE-Boot wenn über WOL gestartet.
1
Hallo,
diese Idee hatten wir gestern auch noch. Wir setzten nachdem die Win-Installation gestartet war die Option auf "Keinen Clients antworten" seitens des WDS. Seltsamerweise rebootete der PC und zog sich wieder das Image über das Netzwerk. Ich werde mal die WDS-Konfiguration Checken und evtl. liegt da der Hund begraben.
Vielen Dank schon mal!
diese Idee hatten wir gestern auch noch. Wir setzten nachdem die Win-Installation gestartet war die Option auf "Keinen Clients antworten" seitens des WDS. Seltsamerweise rebootete der PC und zog sich wieder das Image über das Netzwerk. Ich werde mal die WDS-Konfiguration Checken und evtl. liegt da der Hund begraben.
Vielen Dank schon mal!
Kurz für alle, die es interessiert:
Wir bleiben jetzt bei MDT und WDS, wie ein User vorgeschlagen hat.
Die Logik für ein Zero-Touch Deployment ist wie folgt:
-WDS+MDT aufsetzen
-Bei den Rechnern Bootreihenfolge auf Netzwerk-Festplatte-...
-Der WDS Server steht als Standard auf "PXE-Start nie fortsetzen" (Bitte beachten: Die Option "PXE-Antwortrichtlinie "Keinem Clientcomputer antworten" hat bei uns auf diesen Prozess keinen Einfluss)
-Wenn ein neues Image deployed werden soll, wird der Server auf PXE-Start immer fortsetzen" gestellt.
-Alle Rechner werden neu gestartet
-Wir setzen die Option wieder manuell zurück und alle PC's erhalten ein neues Image und nach dem Booten wird kein Image auf dem Netzwerk gefunden, also booten die Rechner korrekt von der Festplatte
Vielen Dank!
Wir bleiben jetzt bei MDT und WDS, wie ein User vorgeschlagen hat.
Die Logik für ein Zero-Touch Deployment ist wie folgt:
-WDS+MDT aufsetzen
-Bei den Rechnern Bootreihenfolge auf Netzwerk-Festplatte-...
-Der WDS Server steht als Standard auf "PXE-Start nie fortsetzen" (Bitte beachten: Die Option "PXE-Antwortrichtlinie "Keinem Clientcomputer antworten" hat bei uns auf diesen Prozess keinen Einfluss)
-Wenn ein neues Image deployed werden soll, wird der Server auf PXE-Start immer fortsetzen" gestellt.
-Alle Rechner werden neu gestartet
-Wir setzen die Option wieder manuell zurück und alle PC's erhalten ein neues Image und nach dem Booten wird kein Image auf dem Netzwerk gefunden, also booten die Rechner korrekt von der Festplatte
Vielen Dank!
