Dukel

Oder unwissenheit.

Wie wäre es mit einem Beispiel (das kannst du am einfachsten auch mal nachstellen). Du hast eine GPO mit den Default Sicherheitseinstellungen (Auth. User darf lesen/übernehmen). Wenn du diese GPO irgendwohin verlinkst dann greift das für alle User bzw. Computer in der OU und untergeordneten OUs. Wenn du in dieser GPO drei Laufwerks Mappings erstellst und das Mapping 1 mittels Zielgruppenadressierung der Gruppe1 (niemals User berechtigen! Immer nur Gruppen!) Rechte vergibst und Mapping 2 der Gruppe2 und Mapping 3 ohne Zielgruppenadressierung, dann bekommt ein User, der in Gruppe1 ist, das erste Mapping zu gewiesen, ein User in Gruppe2 das zweite Mapping und alle Benutzer (egal ob in Gruppe 1 oder 2 oder in keiner) das dritte Mapping.

Ja sollte so sein. EDIT: Ausführlich. Siehe Norbert

Wenn man die Zielgruppenadressierung nutzt sollte man die Sicherheitsfilterung auf Default lassen, dass die GPO von allem gelesen werden kann.

Du kannst in einer GPO mehrere Elemente verwalten (z.B. mehrere Shares oder mehrere Drucker) und mit der Zielgruppenaddressierung kannst du jedes einzelne Element berechtigen und mit der Sicherheitsfilterung nur das komplett ganze. D.h. bei 20 Shares, die für unterschiedliche Gruppen gelten bräuchtest du 20 GPOs mit der Sicherheitsfilterung oder eine GPO mit 20 Einträgen und jede ist anders berechtigt.

Jedes potentielle Ziel ist Wertvoll. Nicht unbedingt wegen der Daten aber z.B. als Ablage für Illegale Daten, als Bot für ein Botnetz,... Solange man einen Dienst (RDP) anbietet muss man ein Loch in die Firewall machen (sonst funktioniert der Dienst ja nicht) und es ist dann nicht mehr nur ein Thema für die Firewall. Es kommt auf die Anwendung an. Testweise kannst du die vorhandene DB einschränken, dass nur eine CPU und 1 GB Ram genutzt werden und prüfen ob es dann langsamer wird bzw. wie viel langsamer. Gerade die Cores nutzen nur etwas, wenn die Queries paralellisierbar sind und bei einem Benutzer gehe ich nicht davon aus, dass die DB langsam wird. EDIT: Es sind vier Cores die genutzt werden können (außer der Server hat 4 CPUs mit je zwei Kernen):

Evtl. das ganze auch auf dem eigenen Laptop laufen lassen, dann benötigt man kein Remote Desktop.

Bei allen Bandlaufwerken, die ich kenne, braucht man etwas phyischen Druck damit das Band eingezogen wird. Wie soll das mit Software gehen? Bei den Umngebungen, die Bänder nutzen, sind meist so groß, dass sich eine Library lohnt. Dort hat man viele Probleme nicht, die mit Single Tape Laufwerken bestehen. Dort gibt es auch diesen Pysischen Schubs.

Wie soll Software physikalischen Druck von außen geben? Wie wäre es mit einer kleinen Library?

Nein! Die CALs sind für dich und nicht für den Server. Eine Windows CAL (Client Access Lizenz) damit du auf den Windows Server zugreifen darfst, eine RDS CAL damit du auf die RDS Funktion zugreifen darfst und eine SQL CAL, damit du auf den SQL Server zugreifen darfst.

Wenn du ein User hast aber mehrere Geräte (oder ist das der selbe Laptop, dann wäre es egal, bei weiteren Geräten kämen dann aber weitere CALs hinzu) lohnen sich User Cals. D.h. neben der Windows Server und SQL Server Lizenz brauchst du eine Windows User CAL, einen RDS User CAL und einen SQL Server User CAL.

Wieviel Benutzer greifen denn über wieviele Geräte auf das CRM zu? Hast du auch Windows CALs schon? Technische Frage: Wieso SQL2014 und Windows Server 2012? Wieso nichts aktuelleres?

Wenn deine Applikation so funktioniert, dann ist alles richtig.

Ich würde eine Umleitung erstellen. Damit alles von / nach /Anwendung umgeleitet wird.

Wieso gehst du dann nicht gleich noch einen Schritt weiter und schiebst die Komplette Umgebung in der Cloud? Dann sparst du noch mehr Geld für eigene Hardware.

Jeder hat andere Erfahrungen und zum Schluss gibt es keinen Hersteller, der keine Probleme hat. Das hilft dem TO auch nicht weiter. Ich würde schauen, bei welchem Hersteller ich Erfahrung habe und ich evtl. irgendwelche Tools schon im Einsatz sind.

Wieso einen 2012 hineinholen?

Dafür gibt es (Zwei-)Mehr-faktor Authentifizierung. D.h. neben dem Fingerabdruck kommt noch ein zweiter (evtl. nicht so komplexer) Faktor wie z.B. eine vier-stellige Pin dazu. Hier reicht dann der Fingerabdruck auf dem Glass nicht und ein Pin ist evtl. einfacher zu merken als ein 16 Stelliges Passwort.

Du meinst RDS Cals? Solange alle Nutzer (oder Geräte) Lizenziert sind werden keine weiteren Cals nutwendig sein.

Wenn man es richtig machen möchte braucht man dann aber für drei Applikationen je zwei RDS Hosts (oder eine Applikation Lokal und zwei mal zwei RDS Hosts) und die Infrastruktur (Broker, Lizenzserverm ggf. DB). Wenn noch kein RDS Im Einsatz ist ist das unter Umständen auch nicht schnell erledigt. Lizenzen werden auch noch benötigt.

Wieso nutzt du nicht die Fritz Box als VPN Gerät?

In der IIS Konfiguration kannst du den "HTTP Redirect" (HTTP Umleitung) konfigurieren. Das ist die einfachste Möglichkeit. Es gibt noch andere.

Anderes Thema: Wenn Ihr Docker nutzt, wieso setzt Ihr dann VMs auf und nicht gleich Container? Wegen dem Problem. Einfach bei Azure anfragen. Der Betreiber sollte das besser als jeder andere Wissen.

Wieso nicht alles (auch intern) über den Proxy? Ist alles eine Frage der DNS Auflösung.

Sowohl Apache als auch IIS gehen als Reverse Proxy. Ich habe z.B. einen mit Nginx laufen.