Wolke2k4

Ich denk es ist offensichtlich, was ich damit gemeint habe. Es ist ein Unterschied, ob ich dies oder das einkaufe. Das beide Lösungen letztendlich eine Software für die Erkennungslogik benutzen oder sind, ist wohl kein großes Geheimnis und nicht Gegenstand meines Anliegens gewesen. Entscheidend ist, wie sich die Lösungen in das Gesamtsystem einfügen und da ist bei beiden eine ganz klare Grenze auszumachen.

Ist sicher schwierig bei diesen kleinen Umgebungen. Meist wirkt es sich aber positiv auf das Kaufverhalten aus, wenn die Leute zugespammt werden, die das Geld in der Hand halten. :D In diesem Fall ist eine Desktoplösung sicher sinnvoller.

Auch die EMailSecurity von Sonicwall bietet über ein Webinterface jedem Nutzer die Möglichkeit erlaubte oder unerlaubte Absender zu hinterlegen. Ob Plug In oder Browsergesteuert ist sicher Geschmackssache. Wobei Plugins meist nicht alle Mail Client Versionen unterstützen. Wichtig, finde ich, ist in jedem Fall, dass der Nutzer Einfluss darauf nehmen kann, was gesperrt bzw. erlaubt wird. Die Barracuda werde ich mir wohl auch mal anschauen müssen. Wenn es um das Thema geht hört man diesen Namen immer wieder.

Hallo zusammen, ist vielleicht nicht ganz das richtige Forum aber da viele von euch sich bestimmt schon mit dem Thema beschäftigt haben würde mich eure Meinung dazu interessieren. Ich bin gerade dabei für das nächste Jahr ein "Must Have" für unsere Kunden zu testen. Das Thema ist sicher nicht neu, wurde von uns bisher jedoch etwas Stiefmütterlich bei den Kunden behandelt. Ich bin dabei und teste derzeit zwei Appliances von bekannten Herstellern (Sonicwall EMailSecurity und Fortinets Fortimail). Sonicwalls ansatz gefällt mir recht gut, die Wirksamkeit konnte ich jedoch noch nicht richtig testen, das Gerät hatte anderweitige Probleme. Die Fortimail werde ich in den nächsten Tagen erhalten. Was mich interessieren würde sind die Vor- und Nachteile, die Ihre bei dieser Art der Spam bekämpfung seht. Über Erfahrungsberichte aus der Praxis würden mich auch freuen. Meine bisherigen Ergebnisse zu diesem Thema sind: 1. Mögliche Lösungen: A. Ich kaufe ein Softwareprodukt, welches direkt für/auf den/m Mailserver eingesetzt werden kann. B. Ich kaufe ein Softwareprodukt, welches Cleintseitig eingesetzt wird C. Ich setze eine Appliance in das Netz und schalte diese direkt vor den Mailserver. D. Hosted Security wie bspw. von Kaspersky 2. Vergleich Softwarelösung - Hardwarelösung - Hosted Security: A. Eine Appliance hinterlässt beim Kunden gedanklich ein psychologisches Plus und lässt sich leichter verkaufen. Der Kunde denkt sich: "Wenn die ein Gerät hinstellen muss das ja funktionieren." B. Software ist Software. Installiert auf einem Server muss sie meist mit anderer Software Koexistieren, Probleme sind bei eventuellen Inkompatibilitäten zu anderen Programmen vorprogrammiert C. Preislich nimmt sich eine Softwarelösung meist nichts im Vergleich zu einer Appliance, wenn mand die Nebenkosten einrechnet. D. Hosted Security hinterlässt einen üblen Beigeschmack. Wer weiss schon, was beim Anbieter mit den Mails geschieht? Weiterhin hat man nichts in der Hand, nichts greifbares und dem Kunden ist es schwerer zu verkaufen. E. Eine Appliance ist dediziert für die ihr zugedachte Aufgabe zuständig und integriert sich meist ohne großen Aufwand in das bestehende Netz. F. Problematisch wird der Einsatz von Appliances (die in der Regel nur mit SMTP arbeiten) in kleineren Umgebungen mit 20-40 Nutzern, wo bspw. ein KEN im Einsatz ist (davon haben wir einige Kunden). KEN ist nicht in der Lage Mails per SMTP entgegen zu nehmen. Hier würde sich eine Appliance wie die von Fortinet in das Netz drängen, denn sie kann gleichzeitig Mailserver spielen. G. Wer seinen Mailserver nicht im eigenen Netz betreibt und den MX demzufolge zum Provider zeigen lässt, muss einen POP3 Sauger nutzen, um mit einer Appliance arbeiten zu können. Ein zusätzliches Softwareprodukt ist notwendig. Jede Lösung mag ihre Vor- und Nachteile haben. Eine Appliance würde ich jedoch aus den genannten Gründen vorziehen. Wie seht ihr das, welche Erfahrungen habt ihr gemacht, welche Lösungen setzt ihr ein? Gruß Wolke

Hab mir den Cast noch mal zu Gemüte geführt. Interessant dabei ist, dass Du: 1. Immer nur von Geräten sprichst, die zu lizenzieren sind, wenn Nutzer auf Ihnen das Office nutzen können. Demzufolge: 2. Kein Szenario eine Erwähnung findet, in dem die Nutzer nicht rotieren sondern tatsächlich nur feste Arbeitsplätze haben. 3. Pauschal ein Lizenzzwang in den Raum gestellt wird, der jedes RDP fähige Gerät lizenzpflichtig macht, was Zugriff auf einem TS hat, auf dem Office installiert ist. 4. Die angeblich geeigneten technischen Möglichkeiten, die man ergreifen muss um die Office Nutzung auf dem TS zu verhindern werden zwar erwähnt aber die zuvor so zahlreich zitierten PURs finden keine Erwähnung in diesem Zusammenhang. Wahrscheinlich auch deswegen, weil sie einen solchen Punkt nicht beinhalten. 5. Würde man 4. bspw. auf die Exchange Lizenzierung der Clients anwenden, würde sich die ein oder andere Firma in Lizenznöten sehen, da sie alle Geräte nachlizenzieren müssten, denen theoretisch die Nutzung des Exchange möglich wäre aber in der Praxis garnicht erfolgt... Interessant wird es auch, wenn man die Frage in den Raum stellt: TS Client nutzt Outlook, hat aber kein Exchange Konto eingerichtet sondern nutzt eine normale PST. Wird auch hier die "prophylaktische Exchange CAL" notwendig? Sorry aber der Webcast lässt ganz einfach zu viele Fragen offen. Er ist im Groben und Ganzen eine Auslegung der PURs mit einigen Zitaten aus den selbigen und beantwortet zu keinem Zeitpunkt die eigentlich relevanten Fragen. Eine davon ist die immer und immer wieder durchgekaute Frage, warum der Endkunde beim Office technische Maßnahmen ergreifen muss, die offensichtlich nicht mit Boardmitteln zu bewältigen sind, um sicherzustellen, dass eine "Nicht-Nutzung" des Office sichergestellt ist. Dieses Szenario löst sich schon allein deswegen auf, weil sie für alle anderen Device CAL Lizenzen analog angewendet werden kann bzw. angewendet werden müsste, denn: In meinen Netzwerk kann ich 100 PCs mit zwei W2K3 Fileservern und zwei W2K3 Domain Controllern haben und trotzdem nutzen nur 50 PCs die Dienste auf den Servern. Die anderen 50 sind "Standalone PCs", die jedoch physikalisch und logisch zum selben Netzwerk gehören, da sie bspw. den Linux Proxyserver nutzen müssen um Internetzugang zu bekommen. Wer bitteschön will mir denn jetzt die Punkte in den PURs aufzeigen die besagen: 1. Das ich die 50 "Linux Proxy PCs" "prophylaktisch" lizenzieren muss, weil es ja theoretisch möglich ist, dass diese auch auf die Fileserver zugreifen können. 2. Ich auch technisch sicherstellen muss, dass eben genau 1. technisch verhindert wird. Sorry aber das ganze Thema wird mir hier zu bunt. Ich werde es bei Gelegenheit mal eskalieren lassen und ein paar andere Meinungen und Aussagen dazu einholen. Alles andere hat hier keinen Sinn und endet in endlosen Postings...

Unglaublich... da zitiere ich Dich schon und Du liest es noch nicht mal. Schau bitte in den zweiten Absatz meines Zitats von Dir. Davon ab hast Du selber in Deinem Webcast zu diesem Thema davon gesprochen, dass der TS eine Lizenz benötigt... Wenn Du nicht mehr weisst, was Du dort erzählt hast, lad ihn Dir runter und gehe zur Minute 17 und höre Dir eine Minute lang zu... Ansonsten siehe auch hier

Na wie denn jetzt? Entweder so oder dann doch so wie hier geschrieben? Vielleicht habe ich etwas an den Augen, kann ja sein, meine Augenärztin wird es sicher freuen, dass ich sie mal wieder besuchen komme aber irgendwie waren wir uns doch einig, dass auch die Installation auf dem TS lizenziert werden muss. Vielleicht lese ich auch einfach nur falsch... ich lasse mich da gern korrigieren...

Laut den PURs müsste jedes Geräte, von dem aus der Office Zugriff vorgenommen wurde eine Office Lizenz haben. Wenn der Chef also regelmäßig "nur" 100 TCs "befummelt" müsstet Ihr 100 Office Lizenzen kaufen. In den PURs steht weiterhin geschrieben, dass ein Lizenztausch von Gerät zu Gerät nicht zu oft durchgeführt werden darf. Ich hatte da eine Größe von 90 Tagen gelesen. Mal ganz theoretisch gesprochen würdet ihr also bei Nutzung von 100TCs von denen aus der Offce Zugriff möglich ist diese auch mit 100 Office Lizenzen ausstatten, wenn Chefchen innerhalb der 90 Tage alle TCs nutzt. Ich bin auf die Meinung vom Doc gespannt... Laut seinen Aussagen müsstest Du ja noch zusätzlich sicherstellen, dass von den anderen 400 TCs (wohlgemerkt von den Geräten) kein Zugriff auf das Office möglich ist. In dem Zusammenhang wirft sich mir mal gleich die Frage auf, wie man das realisieren will, wenn ich verschiedene Mitarbeiter in der Welt verteilt habe, die über das Citrix Webinterface/Secure Gateway von mehreren Internetcafe PCs auf das Office zugreifen. Man muss diesem Szenario jedoch zugute halten, dass es sehr speziell ist. So weit hat bei MS offensichtlich niemand gedacht als die PURs erstellt wurden...

So, Problem gelöst! Es war ein Mix aus fehlendem ODBC Eintrag, Programmverzeichnis lokal (auf den TS) kopieren und eine Anpassung in dem zugehörigen Inifile... Schön, wenn Programme so richtig "logisch" gestrickt sind...

Ich sehe da kein Problem das Mailing über D abzufakeln. Es gilt lediglich zu überlegen, ob es über Client-Server oder über den TS geht... Letzteres ist aus Perfomancegründen zu empfehlen.

Hab diese Kombi noch nie am Laufen gehabt aber was passiert, wenn Du explizit das Script als zugelassene Anwendung hinterlegst?

Das ist schon klar, was ich meinte ist, dass sich die Nutzer statt an der Domain an dem TS anmelden... ist aber eher unwahrscheinlich. Hast Du die GPMC auf dem DC installiert? Dort kannst Du die Settings relativ einfach einsehen.

Die Nutzer müssen entweder lokale Haupt- bzw. Adminbenutzerrechte haben oder domainseitig mit erhöhten Rechten ausgestattet worden sein. Wenn Du die Möglichkeit hast, schnapp/erstelle Dir einen Testuser, der ganz normaler Domainnutzer ist und teste es mit diesem. An der Freischaltung des TM durch den TS Admins wirst Du aber sicher nicht vorbeikommen.

Es kann nur so sein, dass die Nutzer erhöhte Rechte haben. Ich habe es heute noch mal bei einem Kunden getestet. Als normaler User kannst Du weder Remotesitzungen überwachen, noch Nachrichten senden, geschweige denn die Sessions zurückseten/abmelden...

Durch entsprechende GPO Settings und durch eine lokale Anmeldung am TS, mehr fällt mir erstmal nicht ein...

Normalerweise hat ein TS User mit Defaultberechtigungen nicht die möglichkeit sich irgendwelche Sessions zu krallen. Es irritiert zwar viele, dass man im Kontextmenü die entsprechenden Punkte auswählen kann jedoch gibt es beim Linksklick eine entsprechende Access Denied Meldung... Mit welchen Berechtigungen arbeitet ihr denn auf dem TS?

Schade, dass Du nicht verstehen willst... Mir ist klar, dass Du von Deinem Standpunkt nicht abkannst, schon aus Prinzip und Charakterfrage nicht. Aber für das Forum und die Qualität des Selbigen ist es echt schade.

Was für ein Benutzer soll er schon sein? Wenn er nicht in der Lage ist das Office zu starten wird er weder zu dem einen noch zu dem anderen oder nicht? Was er dann für ein Nutzer ist steht nicht in den PURs, wahrscheinlich auch deswegen, weil es nicht relevant ist. An dieser Stelle verlässt er "den Zug der zum Ort Lizenzierungspflicht" fährt. Der kausale Zusammenhang zwischen: "Gerät wird erst lizenzpflichtig, wenn ein Nutzer im Sinne der PUR Haupt- bzw. Nicht-Hauptnutzer ist." ist doch (eigentlich) offensichtlich. Anderes Beispiel: Du hast 10 PCs. Ein TS spielt hier keine Rolle, den gibt es in diesem Beispiel nicht. 5 PCs installierst Du mit dem Office, da Du 5 Office Lizenzen gekauft hast. Soweit wäre dies zu 100% lizenzkonform, richtig? Wir haben insgesamt 10 Nutzer, von denen zunächsteinmal 5 Hauptnutzer wären, richtig? Die anderen 5 Nutzer sind weder Haupt- noch Nicht-Hauptbenutzer im Sinne der Office PUR, richtig? Einer der "5 Nicht Office Nutzer" (sie arbeiten mit Open Office) muss sich über Remotezugriff auf einen der Office PCs schalten, weil er dort mit einer Anwendung arbeiten, die in keiner Weise mit dem Office zu tun hat. Zusätzlich hat der Administrator die lokale Berechtigungsstruktur auf dem PC so angepasst, dass auf alle Unterordner von C:\programme (hier befindet sich auch das Office) kein Zugriff von Nutzern außer dem Nutzer möglich ist, der auch gleichzeitig Hauptnutzer des PCs ist. Warum er dies getan hat sei einfach mal dahingestellt, der Fakt steht einfach. Logischerweise hat nun der zugreifende Nutzer zwar die Möglichkeit die Anwendung (die nichts mit dem Office zu tun hat), die er über Remotezugriff benötigt zu starten. Er kann nur diese Anwendung starten, nichts weiter. Jetzt komme ich und Frage Dich: Wird trotzdem eine Office Lizenz für das Gerät des zugreifenden Nutzers (der das Office garnicht benutzen kann) fällig? Und komm mir jetzt bitte nicht mit der Antwort: "Das spielt keine Rolle, denn das zugreifende Gerät ist lizenzpflichtig..."

Hmmm... das wird ein langer Thread... Also 2 Situationen: 1. Ein Nutzer kann das Office starten, folglich ist er entweder Hauptnutzer oder Nicht-Hauptnutzer 2. Ein Nutzer kann das Office nicht starten, folglich ist er weder Haupt noch Nicht-Hauptnutzer. Nur ein Hauptnutzer oder ein Nicht-Hauptnutzer kann/darf von einem Gerät aus zugreifen, dass lizenzpflichtig ist? Stimmen wir da beide überein?

Niemand maximal der Admin, der aber, logischerweise, nicht am TS arbeitet. Daher wären Nicht-Hauptbenutzer alle Nutzer, denen ein Zugriff auf das Office möglich ist. Alle Nutzer, die keinen Office Zugriff haben, weil er technisch verhindert wird sind keine Nicht-Hauptbenutzer im Sinne der PURs. Daher unterliegt deren Gerät nicht den PURs für das Office... Das ist die logische Schlussfolgerung auch aus Deinen Ausführungen. Das ist aber auch das, was ich schon seit mehreren Posts herunterbete.... Aber ich bin auf Deine weiteren Ausführungen gespannt, denn bisher habe ich nichts Neues gelesen...

Vollkommen...

An der Verknüpfung kann es auch nicht liegen, denn die ist immer gleich, egal ob mit oder ohne Domain Admin Rechten. Das es über RDP/ICA nicht gehen soll ist mit nahezu 100% auszuschließen da: 1. Die Anwendung auch als Domain Admin über ICA/RDP läuft 2. Die Anwendung für die Nutzer schon mal im TS Betrieb lief. Leider weiss vor Ort niemand mehr, warum und wie es damals ging und warum es heute nicht mehr geht. Ich lasse es aber trotzdem noch mal im Client-Server Betrieb testen, man weiss ja nie. Ansonsten wäre einzig die Datenbank noch ein Ansatzpunkt. Wenn diese in einem anderen als den Programmverzeichnis Pfad liegt wäre das zur prüfen. Update: Mit der Andwendungsexe werden auf dem Server, auf dem das Programmverzeichnis liegt zwei Exen gestartet. Eine Exe ist für die Phoenix Datenbank, die andere für... was weiss ich... Ich denke, dass hier der Hund begraben liegt, denn normalerweise hat man als normaler User auf einem Server/Domain Controller nicht das recht einfach so Exe Dateien auszuführen, würde ich mal vermuten. Eine Option wäre vielleicht auch das Programmverzeichnis einfach mal auf den TS zu kopieren und von dort auszuführen. Mal schauen, was man da kaputtspielen kann... :D

OK, dann erkläre mir das: :confused: Hmmm, sei so nett und und schreibe kurz die Seite der PURs auf, auf der dieses geschrieben steht, denn ich muss es irgendwie übersehen haben... Wie gesagt, beim Exchange habe ich auch die Möglichkeit von jedem Gerät aus auf den Exchange Server zuzugreifen... Gerade so und mit viel Anstrengung :o

Kommentiere es oder lasse es sein. Fakt ist folgendes im Terminal Server Betrieb des Office: 1. Jeder TS benötigt eine Office Lizenz, da das Office auf diesem Gerät installiert ist. 2. Ein über Remtote zugreifendes Gerät kann erst dann lizenzpflichtig werden, wenn über dieses der Zugriff auf das Office möglich ist. Dabei ist es unerheblich, wie der Zugriff möglich bzw. nicht möglich ist. Sobald das Office von diesem Gerät genutzt wird, wird das zugreifende Gerät lizenzpflichtig! Damit die Verwirrung perfekt ist, sagt Microsoft (wohlgemerkt nicht ich), dass das Gerät erst dann lizenzpflichtig ist, wenn ein Nicht-Hauptbenutzer das Office benutzt. Es handelt sich hierbei um einen kausalen Zusammenhang, denn kein Gerät kann im TS Office Betrieb lizenzpflichtig werden, wenn es nicht von einem Nutzer benutzt wird, der auch tatsächlich Office nutzt. Wäre dies nicht so, müsste pauschal jede XP Maschine, jedes Gerät, das einen Citrix/einen RDP Client installiert hat Office, lizenzpflichtig werden, da ja (theoretisch gesprochen) von jedem dieser Geräte eine Office Nutzung auf dem Terminal Server möglich ist. In den Produktnutzungsrechten steht jedoch explizit, dass ein Gerät nur dann eine gesonderte Lizenz benötigt, wenn ein Nicht-Hauptbenutzer das Office über einen Remotezugriff benutzt. Kann ein Nutzer dieses nicht, weil ihm die Berechtigungen dazu fehlen wird sein zugreifendes Gerät folglich nicht lizenzpflichtig. Das wäre es erst dann, wenn sich ein Nutzer mit Office Zugriff darauf anmelden würde. Verhindere ich dies nun durch eine Dienstanweisung scheint dem PUR damit genüge getan, denn die Vorraussetzung, dass das Gerät nicht lizenzpflichtig ist ist damit gegeben. Unabhängig davon ist es natürlich mein Problem, wenn meine Nutzer die Dienstanweisung nicht einhalten. Selbstverständlich wird dann das Gerät wieder lizenzpflichtig. Ich verdeutliche es gern noch mal anhand anderer MS Lizenzen: Beispiel Exchange, ebenfalls pro Gerät lizenziert: Jedes Gerät von dem aus auf den Exchange zugegriffen wird, ist lizenzpflichtig. Nun gibt es aber noch PCs, von denen aus nicht auf einen Exchange Server zugegriffen wird. Outlook ist zwar installiert, aber kein Exchange Konto hinterlegt, die E-Mails werden vom Provider direkt abgeholt. Hier sagt auch niemand, dass ich auch technisch sicherstellen muss, dass die Geräte, die keine Lizenz haben, sich nicht auf den Exchange verbinden dürfen... Praktisch möglich wäre der Zugriff auf den Exchange jedoch von allen PCs. Trotzdem muss ich eben nicht alle PCs mit Exchange Lizenzen ausstatten... Beispiel Terminalserverzugriff, per User, per Device Lizenzierung: Auch in diesem Fall ist von jedem PC, mit jedem Nutzer der Zugriff auf den Terminalserver möglich, theoretisch. Trotzdem wird nur das Gerät, der User lizenziert, dass auch tatsächlich einen Zugriff auf den TS hat. Hier hat Microsoft sogar einen technischen Mechanismus eingebaut, der das Lizenzrecht klar reglementiert, ohne Wenn und Aber. Und Microsoft hat sogar ein "kleines Bonbon" eingebaut und sagt nicht gleich: "Sobald Du (Gerät oder User) dich zum TS verbindest bist du lizenzpflichtig. Nein du bekommst erst bei der zweiten Anmeldung am TS eine TS CAL (temporär oder permanent, je nach Umgebung und TS CAL Token Verfügbarkeit). Nun erkläre mir noch jemand, was ich da falsch verstehe oder falsch sehe. Kann ja sein, dass ich etwas übersehen oder falsch verstanden habe. Nobody is perfect. Wenn ich einen Fehler gemacht habe stehe ich dazu...

Reicht vollkommen aus, wenn Du keine Killerapps über RDP nutzt, die Deinen Bildschirm in Sachen Grafik explodieren lassen. Wenn Du einen DHCP Server im Netz hast kannst Du Dir diesen Punkt schon mal sparen. Neben den Einstellungen des Connection Administrators musst Du noch einige Feinheiten anpassen, ist aber alles nicht der Hit. Das macht man zwei, drei Mal und kann es dann im Schlaf.