Hi,
folgende Situation:
Wir wollen hier bei uns eine Domäne erstellen, in welcher zugehörige Benutzer freien Zugriff auf das Internet haben und auch Downloads durchführen können (Prinzip Internet-Cafes). Dabei wird es sich um eine Windows 2003-Domäne mit einem Windows Server 2003-DC SP1 und Clients (ca. 20) unter Windows XP Prof SP2 handeln, die sich in in einem eigenen IP-Subnet befinden. Die Clients werden weiterhin in verschiedenen Abteilungen und somit Gebäuden, also dezentral bereitgestellt. Die Frage, ob es sich bei der Einrichtung einer für diesen Zweck dedizierten Domäne um den richtigen Ansatz handelt, sei zunächst dahingestellt. Letztlich haben uns Sicherheitsbedenken dazu bewogen. Weiterhin sollen die Benutzer an diesen Clients in der Lage sein, Software frei auf den Rechnern installieren und ausführen zu können (Prinzip "Spiel/Probier"-PC). Die OS-Installation und die SW-Grundverteilung wird über EMPIRUM erfolgen. Die Rechner werden dabei so konfiguriert, dass sie, ebenfalls über EMPIRUM jederzeit über ein PXE-Bootimage remote in einen funktionierenden Grundzustand zurückgesetzt werden können. Diese Notwendigkeit ergibt sich daraus, dass die Benutzer ja (relativ) uneingeschränkt auf das System zugreifen können und so ein System wahrscheinlich nicht all zu lange funktionsfähig bleibt
Damit komme ich nun (endlich
) auch zum Kern:
Obwohl der Benutzer uneingeschränkt auf den PC zugreifen soll, möchten wir vermeiden, dass er Zugriff auf die Netzwerkkonfiguration hat, sprich die Anmeldung als Admin scheidet erstmal aus. Das rührt daher, dass die sich die PCs in einem anderen Netzwerk befinden und es vermieden werden soll, dass ein Benutzer auf die Idee kommt, den Rechner unter den Arm zu klemmen, an einer anderen Dose anzuschließen, die Netzwerkkonfiguration zu ändern und somit dann die Möglichkeit hat, von uns unerwünschte SW (und wer weiß noch so alles) in unser Netz zu bringen. Dies wird bei uns sehr restriktiv gehandhabt. Natürlich ist die Wahrscheinlichkeit nicht so hoch, aber man weiß ja nie.
Ich habe zunächst mal untersucht, ob die Anmeldung als Hauptbenutzer den Anforderungen entspricht, kam aber nicht zu dem von mir gewünschten Ergebnis, weil der Hauptbenutzer zwar bzgl. administrativer Tätigkeiten in Bezug auf die Netzwerkeinstellungen, die er ja nicht vornehmen kann, die erste Wahl wäre, aber leider Probleme bei der Installation diverser SW-Produkte auftraten. Wir haben einen recht bunten Querschnitt verschiedener Produkte zu installieren versucht, sind aber bei einigen an den für die Installation fehlenden Rechten gescheitert.
Nun überlege ich, ob es sinnvoll ist, die Rechte des Hauptbenutzers weiter auszubauen (Berechtigungen für das Schreiben in die Registry, All Users-Profile usw.) oder den Ansatz verfolge, einen lokalen Admin hinsichtlich des Zugriffs auf die Netzwerkkonfiguration "abzuspecken" (z.B. über GPOs), wenn dies überhaupt möglich ist.
Meine Frage ist nun, ob sich jemand von euch mit dieser Problematik auskennt und dazu schon Erfahrungen gesammelt hat.
Vielen Dank im voraus (vor allem schonmal fürs durchlesen diese ellelangen Textes)
Ciao,
Mapulativ
