Zum Inhalt wechseln


Foto

Zugriff auf TS sperren


  • Bitte melde dich an um zu Antworten
40 Antworten in diesem Thema

#1 Die.Minka

Die.Minka

    Member

  • 165 Beiträge

 

Geschrieben 05. März 2012 - 07:06

HI, auch auf die Gefahr hin den Thread zu kapern möchte ich eine weiter führende Frage zu dem Thema stellen.

Jedes Gerät, welches auf den TS zugreift kann auch Excel benutzen (ob dies tatsächlich benötigt wird ist egal) und muß damit lizenziert werden.

Welche Bedingungen müssten erfüllt sein um Auditsicher nicht jeden der 6 PCs eine Excellizenz zuweisen zu müssen?
Der TO sagte es muss 1 PC auf Excel auf dem TS zugreifen. Also wäre es nicht notwendig für alle PCs ein neues Office zu kaufen. Zum einen könnte man natürlich die restlichen 5 PCs für den TS sperren. Würde es auch anders gehen?
Meine Idee dazu: Per AD Berechtigung den Zugriff auf Excel verhindern. Würde diese Maßnahme reichen?

#2 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 05. März 2012 - 07:20

Meine Idee dazu: Per AD Berechtigung den Zugriff auf Excel verhindern. Würde diese Maßnahme reichen?


Wie sperrst du denn per AD Berechtigung den Zugriff auf Excel? Maximal doch per NTFS Zugriff (im Übrigen gülte der dann nur pro User und nicht für die per rdp zugreifenden PCs). Und NTFS Rechte kann man so schnell ändern, dass ich die Wirksamkeit (ohne selbst ein Auditor zu sein) erstmal bezweifeln würde. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#3 Die.Minka

Die.Minka

    Member

  • 165 Beiträge

 

Geschrieben 05. März 2012 - 07:36

Danke für die Info.. Ich habe einen eigenen Thread aufgemacht.

Bearbeitet von Die.Minka, 05. März 2012 - 08:00.


#4 Die.Minka

Die.Minka

    Member

  • 165 Beiträge

 

Geschrieben 05. März 2012 - 07:57

Hi...

da es jetzt doch den Anschein hatte das ich den anderen Thread kapere mache ich hiermit einen Eigenen auf :-)

Folgende Situation:

1x Windows 2008 TS
5x Windows Windows 7 Clients
5 Mitarbeiter im Unternehmen vom dem jeder nur an einem Rechner arbeitet.
5x 2008 UserCals sind vorhanden
1x Office 2010 als Volumenlizenz vorhanden und auf dem TS + auf einem Client installiert

Das Office wird für einen User über Citrix auf dem TS bereit gestellt. Die Zuweisung erfolgt per AD Gruppe. Die Anderen 4 User+deren Clients greifen auch per Citirx auf den TS zu, nutzen aber das Office nicht sondern andere Anwendungen.
Jeder Mitarbeiter KÖNNTE sich an jeden der 5 PCs anmelden, was aber keine macht da jeder seinen eingenen Rechner nutzt.

Nun die Frage:
Wieviele Office 2010 Lizenzen benötige ich?

#5 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.223 Beiträge

 

Geschrieben 05. März 2012 - 08:14

da es jetzt doch den Anschein hatte das ich den anderen Thread kapere mache ich hiermit einen Eigenen auf :-)


Hatte nicht nur den Anschein, war auch so. deswegen habe ich die beiträge au sdem gekaperten Thread in den hier mit verschoben.


1x Windows 2008 TS
5x Windows Windows 7 Clients
5 Mitarbeiter im Unternehmen vom dem jeder nur an einem Rechner arbeitet.
5x 2008 UserCals sind vorhanden
1x Office 2010 als Volumenlizenz vorhanden und auf dem TS + auf einem Client installiert

Das Office wird für einen User über Citrix auf dem TS bereit gestellt. Die Zuweisung erfolgt per AD Gruppe. Die Anderen 4 User+deren Clients greifen auch per Citirx auf den TS zu, nutzen aber das Office nicht sondern andere Anwendungen.
Jeder Mitarbeiter KÖNNTE sich an jeden der 5 PCs anmelden, was aber keine macht da jeder seinen eingenen Rechner nutzt.

Nun die Frage:
Wieviele Office 2010 Lizenzen benötige ich?


Du benötigst fünf Office 2010 Lizenzen. Für jedes gerät das sauf den TS zugreift eine.

Lies dir das hier mal dazu durch: Windows Server How-To Guides: Lizenzierung von Microsoft Applikationen in Terminalserver Umgebungen - ServerHowTo.de

Ist zwar schon was älter aber vom grundsatz immer noch aktuell.
Never argue with an idíot, they drag you down to their level and beat you with experience!

#6 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.223 Beiträge

 

Geschrieben 05. März 2012 - 08:32

Alle Microsoft Applikationen werden je gerät lizenziert.

hier der dafür relevante Auszug aus den Produktnutzungsrechten:

Rechte zur Installation und Nutzung

ZUWEISEN DER LIZENZ ZU EINEM GERÄT

Bevor Sie die Software unter einer Lizenz verwenden, müssen Sie diese Lizenz einem Gerät zuweisen. Dieses Gerät ist das „lizenzierte Gerät“ (siehe Universelle Lizenzbestimmungen, Definitionen).


Damit ist schon mal klar dass eine Zugriffsbeschränkung auf den TS, wenn überhaupt realistisch, nur auf Geräteebene funktionieren kann.

Der Vollständigkeit halber noch die Regelung in den Produktnutzungsrechten welche die Nutzung auf dem TS regeln:

NETZWERKGERÄT

Sie sind außerdem berechtigt, zusätzliche Kopien auf einem Netzwerkgerät zu installieren. Sie dürfen diese Kopien nur wie im Abschnitt „Remotezugriff“ weiter unten beschrieben verwenden.

Zusätzliche Lizenzanforderungen und/oder Nutzungsrechte

REMOTEZUGRIFF

Sie sind wie nachfolgend beschrieben berechtigt, auf die Software von einem anderen Gerät aus zuzugreifen und sie von einem anderen Gerät aus zu nutzen.
Hauptnutzerin oder Hauptnutzer:

Die einzige Hauptnutzerin oder der einzige Hauptnutzer des Geräts, das die Remotedesktop-Sitzung hostet, ist berechtigt, von einem beliebigen anderen Gerät aus auf die Software zuzugreifen und sie von diesem Gerät aus zu verwenden. Außer zur Bereitstellung von Supportservices ist keine andere Person berechtigt, die Software zur gleichen Zeit unter derselben Lizenz zu verwenden.

Nicht-Hauptnutzer: Jeder Nutzer ist berechtigt, auf die Software von einem separat lizenzierten Gerät aus zuzugreifen und sie von diesem Gerät aus zu nutzen.


Da es auf einem Terminalserver keinen "Hauptbenutzer" geben kann greift der Passus dass jedes zugreifende Gerät über eine eigene Applikationslizenz verfügen muss.

Folglich musst du, wenn du in deinem Szenario nur eine Office Lizenz kaufen willst musst du mit geeigneten technischen Mitteln sicherstellen dass nur das eine lizenzierte Gerät das Office auf dem TS nutzen kann.

Die Frage ist daher wie willst du das Gerät sicher eineindeutig identifizieren?

IP-Adresse? Wird in der Regel dynamisch vergeben und kann sich ändern oder leicht geändert werden.

SSID der Windows Installation? damit erkennst du nicht das Gerät sondern das installieret Windows.

Was fällt dir noch dazu ein?
Never argue with an idíot, they drag you down to their level and beat you with experience!

#7 Die.Minka

Die.Minka

    Member

  • 165 Beiträge

 

Geschrieben 05. März 2012 - 08:34

Hi Doc Melzer,

danke für den Link. Dieser war mir bereits bekannt laut diesen Infos benötige ich nur 1 Lizenz. (meiner Meinung nach ;-) )

Aber erstmal die Frage, warum sollte ich 7 Lizenzen benötigen? Ich habe doch nur 5 Clients?

In den Erklärungen deines Links steht folgendes:

"Wichtig ist zu beachten dass es nicht darauf ankommt wie viele User die Applikation auf dem Terminalserver nutzen, da die Applikationen per Gerät und Installation lizenziert werden und nicht per User. Wenn also ein User mit mehreren Geräten auf den Terminalserver zugreift und von jedem Gerät aus Office, innerhalb der Terminalsession, nutzen kann ist für jedes dieser Geräte eine eigene Office Lizenz notwendig."
Das wäre hier nicht der Fall. 1 User greift von einem Gerät auf das Office auf dem TS zu.
Die anderen User + Geräte greifen auch auf den TS zu, ABER sie haben keine Möglichkeit das Office auf diesen zu nutzen (Grund: Zugriff per Citrix+ Einschränkung per AD_Gruppe)

#8 Die.Minka

Die.Minka

    Member

  • 165 Beiträge

 

Geschrieben 05. März 2012 - 08:40

Da haben wir wohl zur gleichen Zeit getippt :-) ....

Das sind die Infos welche ich gesucht habe.

Folglich musst du, wenn du in deinem Szenario nur eine Office Lizenz kaufen willst musst du mit geeigneten technischen Mitteln sicherstellen dass nur das eine lizenzierte Gerät das Office auf dem TS nutzen kann.

Die Frage ist daher wie willst du das Gerät sicher eineindeutig identifizieren?

IP-Adresse? Wird in der Regel dynamisch vergeben und kann sich ändern oder leicht geändert werden.

SSID der Windows Installation? damit erkennst du nicht das Gerät sondern das installieret Windows.

Was fällt dir noch dazu ein?


Die Frage gebe ich so gerne mal ins Forum weiter: Gibt es ein geeignetes technische Mittel um das zu realisieren? Und ab wann wäre ein solche mittel auch "Auditsicher"?

#9 GuentherH

GuentherH

    Super Moderator

  • 19.428 Beiträge

 

Geschrieben 05. März 2012 - 09:03

Die Frage gebe ich so gerne mal ins Forum weiter:


Wie wäre es, erst einmal die schon vorhandenen Beiträge durchzulesen - Versuche es einmal bei deiner Lieblingssuchmaschine mit "terminalserver zugriff auf programm begrenzen site:mcseboard.de"

Viel Spass beim Lesen :)

LG Günther

#10 Die.Minka

Die.Minka

    Member

  • 165 Beiträge

 

Geschrieben 05. März 2012 - 09:27

Danke für den Tipp. Das Thema wurde schon diskutiert, allerdings ohne wirkliche Lösung.

http://www.mcseboard...n-3-155708.html

Ich meine bei meinen 5 Clients könnte man um "ärger" aus dem Weg zu gehen sicherlich sagen ich kaufe für jeden Client ein Office. Aber was mache ich in einer Firma mit 1000 Clients? In welcher nur 5 User Office nutzen sollen? Das Thema ist ja von Microsoft nicht wirklich eindeutig beschrieben.

#11 lizenzdoc

lizenzdoc

    Expert Member

  • 1.520 Beiträge

 

Geschrieben 05. März 2012 - 10:10

hi.

ja, das Thema ist wirklich nicht lustig.

Applikationen (Office, Visio, Project, etc.) werden ausschließlich nach Gerärtezugriff lizenziert, somit zählen nur MAC-, oder IP-Adressen. Kann die Adresse die Applikation nutzen, ist zu lizenzieren.

GPOs sind reine Zugriffsregelungen nach Usern, nicht nach den o.g. Adressen.

Somit "beißt" sich das und ist immer "gerne gesehen" bei den Prüfern beim Audit.

Eigentlich müsste man in den GPOs eine logische Verknüpfung einbauen.
Wenn User-A am Device-1 sich anmeldet (Device-1 aber keine Appl.-Lizenz lizenziert hat),
dann darf User-A keine Möglichkeit haben, solch eine Applikation am Device-1 zu starten.
Oder so ähnlich :)

VG, Franz

18 Jahre MS-Beratungs-Erfahrung in OPEN,SELECT+EA+BMI (bei 3 LARs/1 Distributor) nun beim SAM-Gutachter.
Expert-Member of MS-BSC, MCP 70-671-3(SAM) zertifizierter Absolvent der MS-SAM-Academy,
u.a. kurzzeitig bei MS direkt als EMEA-Licensing-Specialist "Embedded Server" u. im ISV-Partnerbetreuung tätig,


#12 Die.Minka

Die.Minka

    Member

  • 165 Beiträge

 

Geschrieben 05. März 2012 - 10:16

Hi Lizenzdoc,

das Thema ist echt verflixt.

Kann die Adresse die Applikation nutzen, ist zu lizenzieren.

Das ist so eine Sache, laut PURs muss ich nur Lizenzieren wenn ich die Software nutze (alles andere wäre ja auch verrückt)

ZUWEISEN DER LIZENZ ZU EINEM GERÄT

Bevor Sie die Software unter einer Lizenz verwenden, müssen Sie diese Lizenz einem Gerät zuweisen. Dieses Gerät ist das „lizenzierte Gerät“


Ich verwende doch nur auf einem Gerät die Software. Eine Software zu lizenzieren nur weil ein theoretischer Zugriff möglich macht doch keinen Sinn.

#13 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.223 Beiträge

 

Geschrieben 05. März 2012 - 10:26

Ich meine bei meinen 5 Clients könnte man um "ärger" aus dem Weg zu gehen sicherlich sagen ich kaufe für jeden Client ein Office. Aber was mache ich in einer Firma mit 1000 Clients? In welcher nur 5 User Office nutzen sollen? Das Thema ist ja von Microsoft nicht wirklich eindeutig beschrieben.


Das Thema ist von Microsoft eindeutig beschrieben.

JEDER Client auf dem Office 2010 genutzt werden kann (zum Beispiel weil es lokal installiert ist) benötigt eine eigene Office 2010 Lizenz.

Wenn das Office nicht lokal sondern von einem TS kommt ändert das nichts daran dass JEDER Client auf dem Office genutzt werden kann eine eigene Office Lizenz benötigt.

Was du machen kannst wenn du bei 5 Geräten nur auf einem Office auf dem TS nutzen und damit auch nur eine Office lizenzieren willst?

Haben wir dir auch schon mehrfach gesagt:

Sorge dafür dass die nicht lizenzierten Geräte (nicht Benutzer!) nicht auf den TS zugreifen können.

Ist ganz einfach.
Never argue with an idíot, they drag you down to their level and beat you with experience!

#14 Die.Minka

Die.Minka

    Member

  • 165 Beiträge

 

Geschrieben 05. März 2012 - 10:34

Sorge dafür dass die nicht lizenzierten Geräte (nicht Benutzer!) nicht auf den TS zugreifen können.


Das ist auf jeden Fall falsch formuliert.

Ich müsste dafür sorgen das die Geräte nicht auf das Office auf dem TS zugreifen können. Welchen Grund sollte es geben das die Geräte gar nicht auf den TS zugreifen dürfen?

#15 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.223 Beiträge

 

Geschrieben 05. März 2012 - 10:35

Das ist so eine Sache, laut PURs muss ich nur Lizenzieren wenn ich die Software nutze


Nein du musts sie schon lizenzeiren wenn du sie installierst! Sei möglichkeit auf den TS zuzugreifen und die Software darauf zu starten ist genauso wie die Software lokal zu installieren.

Du kannst sie jederzeit nutzen.

Dafür benötigst du schon die Lizenz. Ob du sie dann nutzt oder nicht ist MS egal.

Hier der relavante Pasuss aus den Nutzungsrechten:

• Sie sind berechtigt, eine beliebige Anzahl von Kopien der Software und früherer Versionen der Software auf dem lizenzierten Gerät zu installieren und zu verwenden

Ich verwende doch nur auf einem Gerät die Softwarae. Eine Software zu lizenzieren nur weil ein theoretischer Zugriff möglich macht doch keinen Sinn.


Mit deinem Argument könntest du Office auf 100 geräten installieren aber nur eine Lizenz kaufen weil du behauptest dass du es nur auf einem Gerät nutzt.
Never argue with an idíot, they drag you down to their level and beat you with experience!