Dr.Melzer

Bei Bitlocker ist es doch so, dass wenn ich die Festplatte von einem PC zu einem anderem nehme, dann merkt das Bitlocker und sperrt sich.

Bitlocker merkt nicht das eine Platte von einem Rechner in einen anderen gebaut wird. Bitlocker ist kein Monitoringtool sondern eines um Datenträger zu verschlüsseln...

 

Wenn ich physischen Zugriff auf deinen Sever bekommen hilft dir Bitlocker nichts, selbst dann nicht wenn du ihn mit einem Passwort gesichert hast. ich kenne mehrere Angriffe mit denen es möglich ist dein Windows Kennwort ins wenigen Sekunden zu umgehen und wenn ich es schaffe mich an der Maschine anzumelden entschlüsselt mir BitLocker auch die Platten.

 

Jemand der in der Lage ist an deinen Server ran zu kommen kennt diese Methoden sicher auch.

 

Wie meine Vorredner bereits anmerkten ist es unmöglich dir gezielt zu helfen, wenn du uns nicht erzählst gegen welche Angriffe du dich konkret schützen willst.

Ich bin inzwischen auch wieder in Berlin gelandet, nachdem wir die After CIM Party etwas länger ausgedehnt hatten... ;)

 

Ein großes Lob an das Orga Team! Es war eine tolle Veranstaltung! Die Runderneuerung, mit neuem Namen, neuem Webauftritt und bereinigtem Orgateam hat der Veranstaltung sehr gut getan. Es war deutlich zu spüren, wie ihr wieder einmal mit Leib und Seele dabei wart.

 

Vielen Dank für ein außergewöhnliches Event das ihr da neu auf die Beine gestellt habt! Es war schön euch alle wiederzusehen und ich freue mich schon auf die nächste CIM.

Ein Unternehmen hat 70 Mitarbeiter, jeder ein Konto. Durch ein Schichtsystem ist gewährleistet, dass sich maximal 50 Leute gleichzeitig anmelden. Brauche ich nun 50 Lizenzen oder 70 ?

Dafür brauchst du 70 Zugriffslizenzen.

Evaluierungsversionen darfst Du dafür gerade nicht verwenden. Schau mal in deren Lizenzbedingungen rein. Die dürfen nicht mit produktiven Daten genutzt werden.

Die Entwicklerlizenzen dürfen laut PURs auch nicht für Produktive Umgebungen genutzt werden.

 

Die Frage ist inwieweit eine Kopie meiner Produktivumgebung noch eine "Produktionsumgebung" im Sinne der PURs ist...

Die produktnutzungsrechte sind da nicht eindeutig. IMHO können mit "um Ihre Programme zu entwerfen, zu entwickeln, zu testen und vorzuführen" auch meine Programme die ich gekauft und nutze gemeint sein.

 

Hier die relevanten Passagen aus den produktnutzungsrechten:

 

 

Für jede Lizenz, die Sie erwerben, haben Sie die folgenden Rechte.

1. Sie müssen jede Lizenz einem einzelnen Nutzer zuweisen.
2. Jeder Lizenzierte Nutzer ist berechtigt, eine unbegrenzte Anzahl von Kopien der Entwicklertools-Software und früherer Versionen auf jedem Gerät auszuführen.
3. Der Lizenzierte Nutzer ist berechtigt, die Software zur Bewertung zu verwenden, und um Ihre Programme zu entwerfen, zu entwickeln, zu testen und vorzuführen. Diese Rechte umfassen die Verwendung der Software für das Simulieren einer Endbenutzer-Umgebung zur Diagnose von Problemen, die in Verbindung mit Ihren Programmen auftreten.
4. Die Software ist nicht zur Verwendung in einer Produktionsumgebung lizenziert.
5. Zusätzliche Rechte in Lizenzbestimmungen, die in der Software enthalten sind, ergänzen diese Produktbenutzungsrechte, sofern kein Widerspruch zu diesen Produktbenutzungsrechten besteht, außer für unten dargelegte Nutzungsbestimmungen, die Vorrang haben.

Einmal genügt!

 

Hier geht es weiter: http://www.mcseboard.de/topic/199713-windows-update-code-800f0900/

Wenn ich einen Server 2012 R2 dort aufstelle, und das Domänenlevel und sämtliche Memberserver auf 2008R2 laufen, benötigt der Kunde für alle Benutzer in seinem Netzwerk entsprechende CALs für 2012, oder nur für die, die auf den Server zugreifen (sind dann etwa 20 .. ) ?

Für jeden Benutzer, oder jedes Gerät dass auf den Server 2012 R2 zugreift (warum auch immer, mit oder ohne Authentifizierung, unabhängig davon ob und welche MS Serverdienste genutzt werden) wird eine eigene Server 2012 CAL benötigt.

 

Hier der dafür relevante Auszug aus den Produktnutzungsrechten:

 

1. Sie müssen jede CAL entsprechend einem Nutzer oder einem Gerät zuweisen und jede Externe Connector-Lizenz einem Lizenzierten Server.
2. CALs oder Externe Connector-Lizenzen sind für den Zugriff auf Serversoftware erforderlich.

Um dazu etwas sagen zu können müssen wir wissen was genau für Funktionen der Server bereitstellen soll. Was genau sind seien aufgaben innerhalb des Verbundes TK-Anlage, Netzwerk, Benutzer?

Auf diesem RDS ist Office installiert. Nun ist es ja aber so, das Office auf den RDS nach Anzahl der zugreifenden Clients lizensiert wird.

Da ist dein Denkfehler! Office wird nicht auf dem RDS Server lizenzieret.Office wird auf dem Client lizenziert. Wenn der Client ein Office lizenziert hat darf er exakt dieses Office (Identische Produktversion, identische Produktsprache und identische Produktbestandteile) auch auf einem TS nutzen. Das geht aber nur mit Volumenlizenzen, da auf dem RDS Server nur Volumenlizenzen installiert werden können.

 

 

Außerdem darf ich doch, wenn ich 1 Lizenz Office habe, diese auf dem PC installieren. Mit dieser lizensierten Version ist es mir erlaubt, auf den RDS das Office zu nutzen. Ja aber wer muss nun Office kaufen? Tochter A, welchen der PC gehört, oder Holding B die den RDS bereitstellt?

Office muss derjenige kaufen dem der PC gehört, denn zu dem PC gehört die Office Lizenz (nicht zu dem RDS Server).

Ich verstehe deinen Einwand. Welche Daten für den Test abgefragt werden liegt nicht in unserer Hand. Das sind Microsoft Webseiten und Microsoft legt fest was sie dafür wissen wollen.

 

Ich bespreche das Mal mit unseren Ansprechpartnern.

Aber, was soll man machen, wenn hier (bei der GF) die Idee aufkommt einzelnen Mitarbeitern während einer längeren Abwesenheit den Zugang zu bestimmten System zu ermöglichen.

Erkläre ihnen wie es ist. Jetzt weißt du es ja.

 

 

Wenn ich dann mit dem Argument komme, dass das aber möglicherweise ein Lizenzvergehen ist, fragt die GF natürlich nach dem Warum! Und ehrlich gesagt ist das ja auch sehr unübersichtlich.

a. Ein Mitarbeiter der fast ausschließlich an einem Windows 7 AP arbeitet (Hauptbenutzer) darf problemlos mit einem iPad per RDP darauf zugreifen

b. Ein Mitarbeiter, der sich einen Rechner teilt (Schichtdienst) darf sich nicht mit dem iPad per RDP mit diesem Rechner verbinden

c. Der Mitarbeiter, der sich einen Rechner teilt (Schichtdienst) darf sich per Notebook per RDP mit diesem Rechner verbinden (sofern auf beiden Rechnern das gleiche BS ausgeführt wird)

Das muss ich unserer GF erst mal erklären.

 

Kannst du ja jetzt, oder ist dir noch etwas unklar?

 

 

Aber ich habe das richtig verstanden: Wir können einfach eine zusätzliche Windows-Lizenz kaufen und die Lizenz dem iPad zuweisen (auf dem Papier). Dann dürfte dieses iPad auch per RDP auf beliebige Windows PC's zugreifen. Das wäre dann ja der einfachste Weg.

Das ist grundsätzlich richtig. Es darf aber nur auf Windows PCs zugreifen die die gleiche Windows Version ausführen wie die Lizenz die dafür bereitgestellt wurde. Alternativ kannst du für IPads auch Windows VDA Lizenzen bereitstellen.

Fremde Threads mit eigenen Fragen zu kapern macht wenig Sinn, weshalb ich deine Frage von dem gekaperten Thread abgetrennt habe.

Für deine fragen ist dieser Auszug aus den Produktnutzungsrechten relevant:

Die Remoteverwendung ist für den Hauptnutzer des Lizenzierten Geräts sowie für jeden anderen Nutzer von einem anderen Lizenzierten Gerät oder einem Lizenzierten Gerät mit Windows VDA gestattet.

1. Darf ein Windows 8.1 Pro Tablet-PC Benutzer auf einen PC mit Windows 7 Pro per RDP zugreifen?

Ich denke ja, wegen dem Downgraderecht... da ein Windows 8.1 - Nutzer Windows 7 installieren dürfte......

Das zugreifende Gerät muss die gleiche Windows Version lizenziert haben, oder über eine VDA Lizenz verfügen. Das Downgraderecht hat damit nichts zu tun, denn das gilt für den zugreifenden Client. Hier geht es um die Rechte des Clients auf den zugegriffen wird.

2. Jetzt andersrum: Darf ein Windows 7 Pro Benutzer auf einen PC mit Windows 8.1 per RDP zugreifen?
Hier denke ich nein - da ein Windows 7 User kein Windows 8.1 installieren darf.....

Hier gilt das gleiche wie ich zum Zugriff von Windows8 Rechnern auf Windows7 Rechner geschrieben habe.

Muss jede Unterfirme Ihre "eigenen" Lizenzen kaufen, oder muss das alles die Holding machen?

Eigene Lizenzen für was genau? CALs? Applikationslizenzen? Serverlizenzen?

 

 

Beispiel: Ex existiert ein gemeinsamer Exchange. Holdinggesellschaft hat 20 Postfächer, Unterfirma A hat 50 Postfächer, Unterfirma B auch 50. Kauft dann jeder seine Anzahl an CALS oder wie funktioniert so ein gemeinsame Nutzung?

CALs muss immer derjenige bereitstellen der auch den Server auf den zugegriffen wird lizenziert.

 

Dazu findet sich in den Prosuktnutzungsrechten folgendes:

 

7. Ihre CALs und Externen Connector-Lizenzen erlauben nur den Zugriff auf Ihre Lizenzierten Server (nicht die eines Dritten).

Klasse. Somit wären meine Probleme ja dann wirklich vom Tisch. Wenn die Herren dann die Maschinen untereinander austauschen ist dies ja auch gedeckelt weil jeder eine seinem Host zugeordnete Lizenz hat wenn ich das jetzt richtig verstehe. hast du evtl. mal einen Link den ich da vorlegen kann?

 

Die Informationen finden sich in den Produktnutzungsrechten: http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=7645 Diese gelten für alle Volumenlizenzen und sind (da im Lizenzvertrag explizit als solche genannt) rechtsverbindlich, da sie Vertragsbestandteil sind.

 

Meine beiden ersten Zitate findest du in der Sektion für Applikationen, das dritte Zitat bei den Definitionen, ganz am Anfang der PURs.

 

Betrifft das nur die Prof Variante, oder auch die Standard?

 

Die Produktnutzungsrechte gelten für alle Volumenlizenzen.

Die Produktnutzungsrechte sind da eindeutig.

 

Office wird je Gerät lizenziert. Eine Lizenz pro Gerät. Fertig. Wie oft das Office dann auf diesem Gerät genutzt wird ist egal.

 

Hier die dafür relevanten Auszüge aus dem Produktnutzungsrechten:

 

Dass Office pro Gerät lizenziert wird:

 

Sie müssen jede Lizenz einem einzelnen Gerät zuweisen

 

Dass es auf dem lizenzierten Gerät beliebig oft genutzt werden darf:

 

Sie sind berechtigt, eine beliebige Anzahl von Kopien der Software zu nutzen.

 

Und was als lizenziertes Gerät gilt:

 

Lizenziertes Gerät ist das jeweilige physische Hardwaresystem, dem eine Lizenz zugewiesen wird

Was willst du denn durch den zweiten DC erreichen?

Sehr gerne. :)

Kannst du bitte noch erläutern wie der TS und der Server mit der Praxissoftware zusammenarbeiten.

bei Druckaufträgen aus unserer medizinischen Praxissoftware heraus kommt es mit der Zeit zu einer deutlichen Verlangsamerung der Druckausgabe.

Verstehe ich richtig dass diese Praxissoftware auf dem Terminalserver läuft?

 

Wie ist der Name der Praxissoftware?

 

 

Aus anderen Windowsanwendungen tritt dieses Problem nicht aus, ebenfalls nicht auf denen an die Domäne angeschlossenen Windows 7 Pro Workstations mit einem lokal installiertem Drucker.

Was ist mit anderen Anwendungen die auf demselben Terminalserver laufen wie die Praxissoftware?

 

Zum Aufbau: Wir verwenden einen Windows 2012 Server, auf dem der Domänencontroller und der der Terminalserver virtualisiert vorhanden sind. Die Praxissoftware läuft auf einem Windows 2008 Server. Als Drucker kommen einen Kyocera FS4200 und ein p2135dn zum Einsatz. Die Drucker werden über eine Gruppenrichtlinie verteilt.

Ist der 2008er Server auf dem die Praxissoftware läuft identisch mit dem Terminalserver, oder ist es ein eigener Server?

 

 

Die Drucker wurden mehrfach neu installiert, bzw. es wurden die neusten Treiber von Kyocera verwendet.

 

Ist es der richtige Treiber für die entsprechende Server Version (Wenn er auf dem TS installiert ist dann ein Treiber der für terminalserverbetrieb entwickelt ist)?

Meine Empfehlung:

 

schreibe demjenigen der dir diese Anweisung gegeben hat ein Mail dazu. Frage ihn wie das von ihm geforderte Vorgehen mit den Lizenzregeln von Microsoft vereinbar ist. Wenn er dir das nicht schlüssig erklären kann dass euer Vorgehen sauber ist lege ihm deine Bedenken schriftlich dar.

 

Im Zweifel ziehe einen Juristen deines Vertrauens hinzu.

Ich habe bei einem Kunden eine neue Mitarbeiterin, die auf einige Programme zwingend Domänen-Admin rechte braucht. Nun will ich natürlich nicht das die gute Frau mit Admin rechten durch die Gegend rennt. Gibt es eine Möglichkeit das sie auf einige Programme mit Domänen-Admin Rechten zugreifen darf, aber sie selbst noch in der Gruppe der Domänen-Benutzer verbleibt um keinen Unheil zu stiften?

Entweder hat sie DomänenAdmin Rechte, oder sie ist normaler Benutzer. Beides geht nicht.

 

Wie heißen denn diese Programm die unbedingt so hohe Rechte benötigen?

 

Lade dir den ProcessMonitor runter (http://technet.microsoft.com/de-de/sysinternals/bb896645) und prüfe damit wohin diese Programme lesend und schreibend zugreifen wollen. In der Regel funktioniert es solchen Programmen auf die entsprechenden Bereiche (und nur auf diese) die nötigen Lese- und Schreibrechte zu geben.

Ausnahme von der Regel, es besteht eine 100% User CAL versorgte Umgebung. ;) Dann braucht er auch für die Linux Maschinen keine Geräte CAls.

Da hast Du Recht. ;)

Dann brauche ich also für die Windows Server keine CAL´s, aber für die Linux Server.

Genauso ist es.

 

hier die dafür relevanten Auszüge aus den Produktnutzungsrechten:

 

Das grundsätzlich für jeden Zugriff (prinzipiell auch für den Zugriff eines Windows Servers) eine CAL benötigt wird:

 

Zugriffslizenzen

 

1. Sie müssen jede CAL entsprechend einem Nutzer oder einem Gerät zuweisen und jede Externe Connector-Lizenz einem Lizenzierten Server.

 

Und dann die Ausnahme für (lizenzierte) Windows Server:

 

4. Für den Zugriff durch einen anderen Lizenzierten Server oder für bis zu zwei Nutzer oder Geräte zur Administration der Software sind keine CALs erforderlich.

Hallo Tomiman, schön dass du uns gefunden hast und willkommen on Board. :)

 

Bitte achte darauf in deinen Beiträgen auch Großbuchstaben zu benutzen. Für uns sind Beiträge die konsequent oder zu großen teilen in Kleinschreibung verfasst sind schwer lesbar und dadurch wird deine Fragestellung für uns auch schwerer verständlich. Wir können dir aber nur dann wirklich gut helfen, wenn wir dein Problem gut verstanden haben.

 

Je besser deine Beiträge für uns lesbar und verstehbar sind, umso besser können wir dir helfen.

Wie siehst Du das?

Ah Mann. Mein Fehler. ich hatte übersehen dass die Backup Clients alles Server sind. Server untereinander benötigen keine CALs.