TPok

Hallo, wir haben einen PC erworben und dazu laut Bestellung und Rechnung eine Lizenz "MS WIN 7 Pro 64 Bit OEM dt.". Heute kam der PC an. Dabei lag ein Windows 7 Professional Sicherungsdatenträger "Für die Herausgabe mit einem wiederaufbereiteten PC bestimmt." und auf dem Gehäuse klebt ein COA "Windows 7 Pro Refurbished PCs". Der PC ist allerdings neu. Erste und wichtigste Frage: Ist diese Lizenz legal? Können wir den PC so verwenden? Gibt es irgendwo rechtsverbindliche Texte, unter welchen Voraussetzungen ao eine Lizenz vertrieben und eingesetzt werden darf? Ich hätte gerne etwas in der Hand, bevor ich mich mit dem Händler auseinandersetze. Besten Dank Stephan

Schon klar. Wir haben nur so eine heterogene Umgebung, dass sich die Mehrkosten durch die geforderte (Zwangs-)Standardisierung bestimmer Produkte nicht rechnet. Deshalb bleibt alles beim "normalen" Open Value. Natürlich alles mit SA. :D Und da es in den letzen >10 Jahren eigentlich immer nur mehr wurde, tut uns die fehlende Möglichkeit der Reduktion auch nicht so weh. Relativ glückliche Situation. Ich weiß. Gruß Stephan

Hallo, danke für die Rückmeldung. Nach Vergleich verschiedener Angebote hat sich gezeigt, dass die Subscription nicht das richtige Lizenzmodell für uns ist. Wir bleiben dann doch beim klassischen Kaufmodell. Gruß Stephan

Hallo, ich beschäftige mich gerade mit der Open Value Subscription und versuche die Definition des "Qualifizierte Desktops" zu verstehen und für einige unserer Anwendungsfälle zu bewerten. In den offiziellen Dokumenten konnte ich wenig zur Definition finden. Nur Folgendes: Microsoft Seite - Open Values Subscription Factsheet: Line-of-Business-PC wird dann nicht näher erklärt. Ich würde das als PC einschätzen, der nur für spezielle geschäftsspezifische Anwendungen genutzt wird. Aber das kann irgendwie alles und nichts sein. Und was zählt schon eine persönliche Meinung im Vertragsrecht?... Ich würde euch deshalb bitte, die folgenden Anwendungsfälle zu bewerten. Meine Vermutung mit Begründung, ob dies ein qualifizierter Desktop ist, habe ich jeweils in blau dahintergeschrieben: Normaler PC am Büroarbeitsplatz - ja PC, der als Kiosksystem total beschränkt ist und nur die Oberfläche einer Zeiterfassungssoftware bereitstellt - ja (er könnte ja theoretisch alles ausführen) Produktionsmaschine, in der ein PC-System zur Steuerung eingebaut ist. Die Basis des Systems ist nicht erkennbar. - nein (ist ja kein Desktop) Produktionsmaschine, in der ein PC-System zur Steuerung eingebaut ist. Es ist erkennbar, dass das Baisssystem ein Windows XP Pro ist. - nein (ist ja kein Desktop) Windows-PC, der als Test- und Prüfsystem in der Fertigung eingesetzt wird und dazu hauptsächlich ein Testsystem ansteuert. Es kann aber zusätzlich beispielsweise auch ein Excel-Viewer installiert sein, um Anweisungs-Dokumente zu betrachten. - ja (bin mir unsicher, tendiere aber eher zu ja) Windows 7 Professional, dass in einer VM auf dem Hyper-V-Servercluster läuft, weil dort eine Applikation regelmäßige Wartungsaufgaben übernimmt, ohne Nutzerinteraktion - nein (es zählt die Hardware und das ist ein Server. Die Art des OS zählt nicht) Ist dann diese VM trotzdem von der SA abgedeckt, auch wenn es gar nicht als Desktop zählt? Zeiterfassungsterminal, Multifunktionsdrucker, Smartphone - nein (sind ja keine Desktops) Ich hoffe Ihr teilt meine obigen Einschätzungen (oder widerlegt sie). Jeder Input ist jedenfalls willkommen. Danke und Gruß Stephan

Erstmal danke für die wertvollen Antworten. Ich denke, ich hab das Prinzip inzwischen verstanden und der Testcluster läuft auch schon mit einigen VMs. Die "Optimierung" der Storage in einer Echtumgebung ist sowieso ein eigenes Thema. Nicht jeder manuelle Eingriff trägt zur Leistungssteigerung bei und auch nicht jede Annahme bei der Planung bewahrheitet sich in der Realität. Soviel ist mir klar. Glücklicherweise bekommt man durch die verschiedenen Abstraktionsebenen eine Menge Spielraum auch im Produktivsystem nachzuoptimieren, wenn sich Ressourcenengpässe zeigen. Gruß Stephan

Danke für den Technet-Artikel. Den habe ich auch vorhin gefunden. Der ist wirklich gut. Dukel hat recht. Mit Nutzdaten meine ich die Datenpartition des Fileservers, Daten- und Log-Partition des SQL-Servers, usw. Diese werde ich ja wohl nicht mit in die selbe VHD packen, in der auch das Betriebssystem der VM installiert ist. Außerdem haben diese ja auch teils sehr unterschiedliche Zugriffscharakteristika. Bei einem physischen SQL-Server nehme ich ja z.B. auch unterschiedliche Platten (und. ggf. RAID-Level) für DB-Daten und Logs. Im Technet-Artikel steht dazu folgendes: Wenn ich das also richtig verstehe, lege ich also mehrere CSVs an, die ggf. unterschiedliche Platten, RAID-Level, etc. des SAN nutzen und damit auf unterschiedliche Zugriffscharakteristika optimiert sind und packe da die Datenpartitionen der VMs als VHD-Files drauf. Damit liegt alles, was die VMs benötigen in CSVs und trotzdem habe ich eine Optimierung des Storage Systems hinsichtlich der verschiedenen Anforderungen. Richtig?

Hallo, ich möchte mich ein wenig mit den Themen Windows Server 2012, Hyper-V und Cluster beschäftigen und habe dazu eine Demoumgebung mit folgender Konfiguration aufgesetzt: 2 Virtualisierungshosts mit Windows Server 2012 und 1 Windows Server 2012 mit iSCSI-Target als SAN-Ersatz. Auf den Hosts ist bereits Hyper-V und Failover-Clustering installiert und konfiguriert. Außerdem habe ich ein Cluster Shared Volume erstellt und eingebunden. Ich möchte nun mehrere virtuelle Maschinen mit verschiedenen Funktionen (Fileserver, SQL-Server, ...) erstellen und mit diesen Funktionen wie Live-Migration und anderes testen. Allerdings bin ich mir nicht sicher, wie ich die Datenablage gestalten soll. Ich finde dazu immer nur so allgemeine Formulierungen wie "die VM gehört ins Cluster Shared Volume", mit denen ich nicht wirklich etwas anfangen kann. Bei einem physischen Server habe ich es bis jetzt so gehalten, dass die Betriebssystem-Partition auf den internen Platten lagen und die Nutzdaten auf einer oder mehrerer LUNs auf dem SAN. Bei der Virtualisierung habe ich ja nun im Prinzip 3 Komponenten, die ich sinnvoll platzieren muss: 1. Die Definition der VM, also die Hyper-V Files - Diese sollten wohl auf das Cluster Shared Volume. 2. Die OS-Partition - Diese wird wohl in einer VHD liegen. Auch aufs CSV? 3. Die Nutzdaten - Hier sehe ich mehrere Alternativen: - In eine VHD, die in dem CSV liegt - In eine VHD, die auf eine separaten LUN des SAN liegt - auf einer separaten LUN des SAN, die direkt über den iSCSI-Initiator innerhalb der VM eingebunden wird. Gefühlt würde ich hier die 3. Variante bevorzugen, da dies von der Leistung her wohl optimal sein sollte und man so auch die Features des SAN (Snapshots usw.) nutzen kann. Aber wie mach man das ganze "richtig"? Wenn es dazu ein Whitepaper, Howto, etc. gibt, nehme ich auch gerne einen Link. Gruß Stephan

Kannst du "sicherstellen" noch etwas näher definieren? Sind hier technische Lösungen gefordert (z.B. Verweigerung der Anmeldung) oder reichen organisatorische Maßnahmen wie ein ausgesprochenes Verbot? Muss man das irgendwie dokumentieren? Die Maschine produziert normalerweise autonom, aber wird von Mitarbeitern überwacht. So richtig autonom ist wohl im Endeffekt keine Maschine. Also habe ich hier auch die Wahl: Device CAL für die Maschine oder User CALs für alle "Bediener"... Ok, dass der External Connector nur für wirklich Externe gilt, habe ich jetzt auch gelesen. Bleiben also wirklich nur User CALs, sowohl für den Server selbst, als auch für Exchange. Da muss ich das CAL-Konzept wohl nochmal durchdenken. Gibt es. Ich habe es eben gefunden. Aktuelle Product List - Abschnitt 9: Wechsel zwischen Nutzer- und Geräte-CALs Kunden mit aktueller Software Assurance für CALs können bei Verlängerung von Software Assurance zwischen Nutzer und Gerät wechseln. Durch diesen Wechsel ändert sich die CAL-Edition (also Standard zu Enterprise) nicht. Weitere Informationen finden Sie in den Produkthinweisen für die jeweiligen Produkte. Vielen Dank. Das hat mir sehr geholfen.

Hallo, auch wenn ich mir einbilde, die Lizenzierungsgrundlagen von CALs zu verstehen, habe ich doch zu einem speziellen Szenario einige Fragen. Ich hoffe Ihr könnt mich hier aufschlauen. Es geht dabei speziell um die korrekte CAL-Lizenzierung von Windows Server Standard und Exchange Standard. Alle Lizenzen wurden/werden im Open Value Programm mit Software Assurance erworben. Ausgangsszenario ist ein Produktionsunternehmen, dass man grob in 2 Bereiche aufteilen kann, Bürobereich und Produktionsbereich. Im Bürobereich hat jeder Mitarbeiter einen persönlichen PC, an dem er in der Regel arbeitet. Es ist jedoch auch möglich, dass er sich an einem anderen PC (z.B. im Vertretungsfall) anmeldet. Außerdem hat jeder Mitarbeiter hier eine persönliche E-Mail-Adresse mit Postfach auf dem Exchange. Im Produktionsbereich gibt einige PCs und Produktionsmaschinen, die Zugriff auf den Windows Server haben. Diese werden durch zahlreiche (sehr viele) Personen gleichzeitig benutzt/bedient. Jeder PC hat hier eine E-Mail-Adresse und ein Postfach auf dem Exchange (sozusagen eine Abteilungsmail), außerdem können einige Produktionsmaschinen selbständig Statusmails an die Mitarbeiter über den Exchange verschicken. Die derzeitige Lizenzierung ist wie folgt: - für alle PCs (beide Bereiche) und Produktionsmaschinen existiert eine Windows Server Device CAL - für alle Mitarbeiter im Bürobereich existiert eine Exchange Standard User CAL - für alle PCs im Produktionsbereich existiert eine Exchange Standard Device CAL Zu den Fragen: 1. Ist die Mischung der beiden Exchange CAL-Arten so ok? Ich denke ja, solange sich kein Produktionsmitarbeiter im Bürobereich anmeldet und auf sein Postfach zugreifen möchte. Das wäre dann ja nicht lizenziert. 2. Benötigen die Produktionsmaschinen auch Exchange CALs? Auch wenn diese nur intern Mails an Bürouser versenden? Diese sind ja durch User-CALs lizenziert. Oder ist hier die Sendeseite ausschlaggebend und ich muss die Maschine oder das gesamte Bedienpersonal per CAL lizenzieren? 3. Ich möchte nun dem Büropersonal den externen Zugriff per Outlook Web App ermöglichen und zwar nicht nur von Ihrem Firmenlaptop (mit Server Device CAL), sondern ggf. von überall (Internetcafe, Hotel, etc.). Beim Exchange sollte ja alles ok sein, da sie eine User CAL haben, aber wie verhält es sich mit dem Windows Server, auf dem der Exchange läuft? Die Device-CAL gilt ja für externe Systeme nicht. Umstellen auf User CALs? External Connector? Und noch eine generelle Frage: 4. Ich habe mal gehört, dass ich beim Verlängern der SA von CALs beim Abschluss eines neuen Open Value Vertrags den Typ der CAL wechseln kann. Also von User auf Device und umgekehrt. Gibt es dazu eine rechtsverbindliche Klausel? Danke und vorweihnachtliche Grüße Stephan

Super. Frage beantwortet. Vielen Dank.

Ist mir bekannt und wird auch beachtet. Naja. Für mich eben nicht. Sonst hätte ich ja nicht gefragt. :D Der Knackpunkt für mich ist: Darf ich nur die Microsoft Software selbst testen, die im Technet Abo enthalten ist, um mir z.B. vor dem Kauf ein Bild der Funktionen zu machen oder darf ich die Microsoft Software auch als Basis nutzen, um die Kompatibilität oder Funktion von Fremdsoftware zu testen (z.B. funktioniert die Fremdsoftware korrekt mit Office 2010, macht sie Probleme auf einem Server 2008 R2, ...)?

Entschuldigung, aber die Frage verstehe ich nicht. Ich dachte, ich hätte alle Fälle beschrieben, die mich interessieren.

Hallo, im Rahmen der SA unseres Volumenlizenzvertrags haben wir auch ein Technet Abo "geschenkt" bekommen. Dieses würde ich gerne für Testzwecke einsetzen. Ich habe jetzt seitenweise Lizenztexte und Produktnutzungsrechte gewälzt, doch einige Fragen bleiben offen. Ich darf die Software evalurieren aber nicht produktiv nutzen. Das ist klar. Aber wo sind die Grenzen der Evaluierung. Folgendes Szenario: Ich habe einen eigenen Server. Dieser wird nur für Testzwecke genutzt und hält keine Produktivdaten. Die Tests möchte ich der Einfacheit halber in virtuellen Maschinen (Hyper-V) durchführen. Es sollen (wenn möglich) die o.g. Technet-Lizenzen eingesetzt werden. a) Darf auch der Virtualisierungshost einen Win 2008 R2 aus dem Technet-Abo erhalten, wenn dieser nur Hyper-V-Maschinen zur Evalurierung enthält, also nur die Testumgebung hostet? b) Darf ich den Host trotzdem zur leichteren Verwaltung in unsere Produktivdomäne aufnehmen? Er hält selbst keine Produktivdaten. Ich möchte Ihn bspw. nur vom zentralen WSUS mit Updates versorgen und per Remotedesktop erreichen können. Was darf ich dann in den virtuellen Testmaschinen genau? und was nicht? c) Ich möchte eine Microsoft Software testen, die wir noch nicht haben (z.B. Sharepoint) oder eine neu Version (z.B. SQL Server 2012). Das sollte erlaubt sein, oder? d) Ich teste die Kompatiblität einer vorhandenen Anwendungssoftware (nicht selbst entwickelt) mit einer neuen Betriebssystemversion. Beispielsweise nach dem Erscheinen von Windows 8 möchte ich prüfen, ob Grafiksoftware xy noch richtig funktioniert und ein Update auf Windows 8 in unserer Umgebung mögchlich ist. Erlaubt? e) Ich teste die Kompatibilität / Funktion einer neuen Anwendungssoftware, bevor diese in die produktive Umgebung eingeführt wird. z.B. möchte ich testen, ob Spezialsoftware abc (nicht selbst entwickelt) auf Server 2008 R2 sauber installiert wird und funktioniert. Erlaubt? Ich danke euch für euere Rückmeldung. Gruß Stephan

Hallo, vielen Dank. Es ist immer wieder ein Mischgefühl zwischen Befriedigung und Angst, wenn man als Anwender mehr weiß, als diejenigen die Ihr Geld damit verdienen. :rolleyes: Das mit der sauberen Doku der Lizenzpfade und Verwendung der richtigen Medien ist mir klar und wird befolgt. :D Danke, Stephan

Hallo, ich wollte mich nur nochmal kurz rückversichern, ob meine Einschätzung richtig ist. Wir haben derzeit Office Small Business 2007 unter SA. Laut aktueller Product List haben wir damit das recht Office Professional Plus 2010 zu nutzen. Später kann (muss) ich dann SA für Office Pro Plus 2010 erwerben. Ein Händler sagte mir nun, ich habe bei der nächsten Verlängerung die Wahl, ob ich die SA für Office Pro Plus oder Office Standard kaufe. So kann ich Geld sparen, wenn ich die zusätzlichen Funktionen der großen Edition nicht benutze. Bei Microsoft steht zu diesem Pfad (Small Business 2007 --> Standard 2010) jedoch rein gar nicht. Gehe ich richtig in der Annahme, dass der Händler Unrecht hat und es nur den einen Weg "nach oben" gibt? Gruß, Stephan

Ohne den Thread kapern zu wollen, eine Nachfrage zur Präzisierung. Ab wann läuft diese 90 Tage-Frist genau los und bis wann wird sie gerechnet? Bestelldatum, Rechnungsdatum, Lieferdatum der Basis (OEM)-Version? Und muss in dieser Frist die Bestellung der SA getätigt werden oder die Auftragsbestätigung da sein oder die Rechnungsstellung erfolgt sein? Gruß Stephan

Ja. Eindeutig und logisch. Danke. Und ich geh jetzt einen "Kollegen" enttäuschen, der kein "Mitarbeiter" ist. :D Gruß, Stephan

Wenn ich hier eines gelernt habe, dann dass es nicht auf meine Definition ankommt, sondern auf die Lizenztexte und Definitionen von Microsoft. ;) Natürlich würde ich einen Mitarbeiter mit einem Angestellten eines Unternehmens gleichsetzen und nicht mit der Putzfrau. In unserem Fall gibt es jedoch einen "Mitarbeiter", der nicht bei uns direkt angestellt ist, sondern bei unserer Holding (Muttergesellschaft), jedoch bei uns im Unternehmen dauerhaft arbeitet und auch nach außen als "Mitarbeiter" des Unternehmens auftritt. Und genau dieser möchte natürlich vom HUP gebrauch machen.

Hallo, ich habe eine Frage zum Home Use Program, dass es für bestimmte Desktop Produkte gibt, wenn diese unter aktiver SA stehen. In unserem Fall handelt es sich um Office 2010 Professional Plus in einem Open Value Vertrag. Die Produktliste schreibt hier: "Im Rahmen des Home Use Program können Mitarbeiter des Kunden, die Nutzer der lizenzierten qualifizierenden Anwendungen sind, eine einzelne Lizenz für die entsprechende Home Use Program-Software zur Installation auf einem Heimcomputer erwerben." Eine genaue Definition von "Mitarbeiter" wird jedoch nicht gegeben. Muss die betreffende Person in einem direkten Anstellungsverhältnis zum Lizenzinhaber stehen oder sind auch andere Personen qualifiziert, die dauerhaft im Unternehmen arbeiten, jedoch nicht bei diesem angestellt sind? Ich denke hier speziell an 2 Fälle: 1. Zeitarbeiter. Diese sind bei einer Fremdfirma angestellt und arbeiten im Rahmen einer Arbeitnehmerüberlassung im eigenen Unternehmen. 2. Berater (Consultants, externe Controller, etc.). Diese sind nicht im eigenen Unternehmen angestellt, arbeiten jedoch auf Basis eines gesonderten Vertragsverhältnisses zeitweise oder dauerhaft im Unternehmen und haben hier auch einen eigenen Arbeitsplatz. Vielen Dank im Vorraus für erhellende Antworten. Grüße, Stephan

Dann bedanke ich mich für die erhellenden Antworten.

Hallo zusammen, danke für Eure Meinungen (auch wenn die Diskussion leider wieder mal einen leicht überhitzten Weg eingeschlagen hat). Auch wenn ich natürlich keine Rechtsberatung wünsche (geht ja nicht), noch eine kurze Nachfrage: Das entspricht meinen Erwartungen. Auch die Lizenznachweise lasse ich mir natürlich vorlegen. Würde eine zusätzliche Erklärung, die der Kunde unterzeichnen muss, à la "Ich versichere, dass ich die installierte Software korrekt installiert habe und hafte für etwaige Fehler..." zusätzliche Sicherheit bringen? Das ist keine Idee von mir. Ich bin ja nicht wahnsinnig. Es handelt sich um speziell konfigurierte Prüfsysteme mit kundeneigener Prüfsoftware, die Sie gerne bei sich aufsetzen, testen und uns dann zur Verfügung stellen wollen. Logs, Datensicherung, etc. sollen aber auf unser Netz erfolgen. :cry: Für die Sicherheit bin ich verantwortlich und der Risiken bewußt. Man weiß leider nie, was man sich ins Haus holt. Deshalb möchte ich die Rechner ja vorher prüfen, Virenscanner installieren (Lizenz von uns), aktuell patchen, etc. Ein Restrisiko bleibt sicher immer. Da wir jedoch gezwungen sind, kundenentwickelte Software einzusetzen, kann der Trojaner auch da drinne stecken und nicht im System selbst.... Wie beschrieben, käme vom Kunden nur der Rechner mit OS und seiner eigenentwickelten Software. CALs, Virenscanner, Patchmanagement von uns. Mehr soll nicht drauf. Ich weiß nicht, ob der Passus "Verleihen" hier passt. Ich erhalte ja ein fertiges Gerät, nicht die Lizenz, um sie bei uns zu nutzen. Geld fließt hier auch nicht. Gruß, Stephan

Hallo, ich stehe vor einer neuen Situation und möchte euch um eure Meinung bitten, wie dies lizenzrechtlich zu bewerten ist: Ein Kunde möchte uns PCs zur Verfügung stellen, die dann in unser Netz (Domäne) eingebunden werden sollen. Die Rechner kommen vorkonfiguriert mit installiertem Betriebssystem und verbleiben im Eigentum des Kunden. Die Überlassung erfolgt zeitlich begrenzt. Ich gehe davon aus, dass der Kunde das Betriebssystem lizenziert. Sonstige Lizenzen (CALs, Anwendersoftware) sollen von uns kommen. Auf Microsoft-Seite haben wir dafür einen Open Value-Vetrag, falls dies relevant ist. Ist dies so lizenzrechtlich abbildbar? Darf ich einen "fremden" Rechner in meine Domäne einbinden und meine Lizenzen auf diesem installieren? Muss ich nachprüfen, ob das Betriebssystem durch den Kunden korrekt lizenziert wurde? Wenn ja, wie? Welche Dokumentationen muss ich anfertigen bzw. vom Kunden anfordern, um bei einer Lizenzprüfung in unserem Haus nicht in Probleme zu kommen? Gibt es sonst noch was zu beachten? Vielen Dank für Eure Unterstützung. Gruß, Stephan

Hallo, ich hoffe es gibt hier Anwender von System Center Essentials 2010, die mir weiterhelfen können. Ich habe ein echt kurioses Problem, bei dem ich bis jetzt noch keine Lösung finden konnte: Ich habe festgestellt, dass im SCE 2010 die Sortierung oder Gruppierung der Updates nach den Spalten Klassifizierung und Ersatz nicht funktioniert. Wenn ich nach diesen Spalten sortiere, wird zwar der Pfeil für auf/absteigende Sortierung im Spaltenkopf angezeigt, aber die Updates sind weiterhin durcheinander. Möchte ich nach diesen Spalten Gruppieren, landet jedes Update in einer eigenen Gruppe mit dem Namen "Ersatz: (Keine) (1)" bzw. "Klassifizierung: (Keine) (1)". In der WSUS-Konsole selbst funktioniert das Sortieren/Gruppieren richtig. Anbei seht Ihr auch einen Screenshot. Kann jemand diese Problem nachvollziehen? Auch eine Aussage "bei mir geht das" wäre nett, wenn auch keine Lösung. Vielen Dank, Stephan

Hallo, wir haben derzeit einen Exchange 2007 unter Server 2008 laufen und möchten demnächst auf Exchange 2010 umsteigen. Dabei soll jedoch die selbe Hardware wieder verwendet werden. Alle Leitfaden/Checklisten, die ich finden konnten zielen jedoch auf eine parallele Installation mit anschließendem verschieben der Mailboxen ab. Das geht so einfach natürlich nicht, wenn man nur ein Blech zur Verfügung hat. Die einzige Idee, die mir bis jetzt gekommen ist wäre folgende: - Installation eines 2. Exchange 2007 auf einem anderen Gerät (oder VM) als temporärer Speicher für die Mailboxen - Verschieben aller Mailboxen vom Produktivsystem auf den Pufferserver - Neuinstallation des Exchange 2010 auf dem Produktivsystem - Verschieben der Mailboxen auf den 2010er und Deinstallation des Pufferservers Kann das so funktionieren oder gibt es ein besseres / einfacheres empfohlenes Vorgehen? Vielen Dank, Stephan

Hallo, ich befinde mich gerade in der Planungsphase für ein neues Firmennetzwerk und bin an einen Punkt angekommen, an dem ich mir unsicher bin. Ich hoffe deshalb auf Eure Unterstützung. Derzeit habe ich ein einfaches Netzwerk, nennen wir es Verwaltungsnetz, bestehend aus ca. 10 Servern und knapp 100 Clients. Es laufen die üblichen Dienste (2x DC, Fileserver, SQL, Exchange, Backup). Alle Geräte befinden sich in einer einzelnen Domäne. Die Nutzer arbeiten mit persönlichen Userkonten und beschränkten Rechten (keine lokalen Administratoren oder sowas). Es existiert eine Virenschutzlösung auf Servern und Clients. Das Netzwerk ist durch eine Firewall (Watchguard Firebox) gegenüber dem Internet abgesichert. Alles in allem eine schöne heile Welt. Jetzt stehe ich vor folgender Herausforderung: Es sollen Produktions-PCs und Maschinen mit Windows-PC-Steuerung vernetzt werden. Hauptsächliches Ziel ist die zentrale Dateiablage, zentrales Management der Clients und ein zentralisiertes Backup. Diese PCs unterliegen den folgenden (hässlichen) Beschränkungen: Die Nutzer müssen lokale Administratoren sein, da die eingesetzte Prüf- und Steuerungssoftware sonst nicht funktioniert. Ich kann nicht mit strengen Kennwortrichtlinien arbeiten, da die Nutzer ständig wechselnde Produktionsmitarbeiter sind und ein ständiges An- und Abmelden nicht realisierbar ist. Eine Installation eines funktionierenden Virenschutzes auf den Clients kann nicht gewährleistet werden (serverseitig schon). Es kann nicht garantiert werden, dass alle Rechner zeitnah auf dem aktuellen Windows-Patchlevel sind. Einige lassen gar keine Updateinstallation zu. Generell würde ich jetzt sagen, dass die beiden Netze physisch komplett getrennt sein sollten. Dies ist jedoch nicht möglich, denn es besteht der Bedarf, aus dem Verwaltungsnetz auf die Daten des Produktionsnetzes zuzugreifen. Ein Zugriff in die entgegengesetzte Richtung (aus dem Produktions- in das Verwaltungsnetz) soll nicht möglich sein. Mir sind bisher 2 Möglichkeiten eingefallen, die jeweils Vor- und Nachteile haben: Die beiden Netze kommen in 2 getrennte Domänen. Der einseitige Zugriff wird über Vertrauensstellungen realisiert. Es wird nur mit einer Domäne gearbeitet und die Zugriffe werden über Rechte und Gruppenrichtlinien beschränkt. Wie würdet Ihr dies realisieren? Und wie kann ich eine möglichst hohe Sicherheit in Bezug auf Viren, etc. erreichen? Wäre es sinnvoll die Netze per Firewall zu trennen? Vielen Dank für eure Unterstützung. Gruss, Stephan