retofischer 10 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Hm... Ja würd ich auch mit Dual-Boot lösen, mach dir in jeden Rechner 2 Netzwerkkarten rein und zieh halt pro Station 2 Kabel zum Switch. Auf den Switches richtest du jeweilige VLANs ein, dann hast du die vollkommene trennung. Die Server packst du ebenfalls in die jeweiligen VLANs. So ganz günstig ist die Lösung auch nicht, zumal die PCs von Haus aus nicht wirklich 2 Netzkarten haben. Ebenfalls solltest du beachten, dass du jeweils eine der Netzwerkkarten (die fürs andere VLAN) komplett deaktivierst, nicht dass der User B mit Rechten auf die Idee kommt diese zu aktivieren. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Den (Nicht)Zugriff auf Daten kann man über die Berechtigungen der Benutzer an der Domäne, am Server regeln. Für die Clients würde ich wohl entweder Festplatten mit Wechselrahmen nehmen oder auf der vorhandenen Platte eine zweite primäre Partition einrichten und mit BootMagic o.ä. zwischen den Partitionen umschalten. der Benutzer sieht dann nur seine eigene Partition. Sollte es sich aber um die Schulung von Systemspezialisten handeln, da habe ich mit separaten Platten bessere Erfahrungen gemacht. Zitieren Link zu diesem Kommentar
Fosco 10 Geschrieben 30. Mai 2007 Autor Melden Teilen Geschrieben 30. Mai 2007 Ich denke, das eine zweite Netzwerkkarte nicht mal nötig sein dürfte. Schließlich kann ich in jeder OS-Installation ja mit anderen IP-Adressbereichen arbeiten. Und da immer nur eine Installation aktiv ist, gibt es auch keinen Streit um die Karte... Und mit den unterschiedlichen IP-Bereichen sollte das physikalische Netz ja eigenlich auch ohne zusätze funzen, denke ich. Oder mache ich da einen Denkfehler? Zitieren Link zu diesem Kommentar
Deejablo 10 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Ja, aber wie schon von den Vorredner gesagt, dass ist mehr als unkomfortabel. Du kannst keinerlei DHCP Dienste nutzen und je nach Switch kann es auch passieren, dass die dich mit Fehlermeldungen zuschütten, da der MAC-Adresscache vom Switch jedesmal durcheinander kommt wenn du nur 1 Netzwerkkarte benutzt. Die sauberste Lösung wäre sicherlich 2 getrennte Netzwerkkarte im Rechner an 2 unterschiedlichen VLAN's auf dem Switch. Dann gibts auch keinen Streß mit DHCP oder überschneidungen im Netzwerk. Bei 100 Clients wie du schreibst ist der Raum für Konfigurationsfehler verdammt groß. Zitieren Link zu diesem Kommentar
Fosco 10 Geschrieben 30. Mai 2007 Autor Melden Teilen Geschrieben 30. Mai 2007 Den (Nicht)Zugriff auf Daten kann man über die Berechtigungen der Benutzer an der Domäne, am Server regeln. Für die Clients würde ich wohl entweder Festplatten mit Wechselrahmen nehmen oder auf der vorhandenen Platte eine zweite primäre Partition einrichten und mit BootMagic o.ä. zwischen den Partitionen umschalten. der Benutzer sieht dann nur seine eigene Partition. Sollte es sich aber um die Schulung von Systemspezialisten handeln, da habe ich mit separaten Platten bessere Erfahrungen gemacht. Tja.. ich werde wohl über die aktivierung der Partitionen arbeiten müssen (mal sehen wie das zu lösen ist, da hab ich noch keinen Idee), da wir hier Geräte vom Modell " Dell Optiplex GX240" stehen haben. Da ist bei dem Gehäuse mit Wechselrahmen leider nichts zu wollen. Sonst wäre das meine allererste Wahl gewesen... Zitieren Link zu diesem Kommentar
retofischer 10 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Ich denke, das eine zweite Netzwerkkarte nicht mal nötig sein dürfte. Schließlich kann ich in jeder OS-Installation ja mit anderen IP-Adressbereichen arbeiten. Und da immer nur eine Installation aktiv ist, gibt es auch keinen Streit um die Karte... Und mit den unterschiedlichen IP-Bereichen sollte das physikalische Netz ja eigenlich auch ohne zusätze funzen, denke ich. Oder mache ich da einen Denkfehler? Das schon, aber soweit ich weiss kann ein Port eines Switches (zum. Cisco) immer nur entweder ein VLAN haben... darum ja die 2 Kabel. Das mit den Wechselrahmen hatte ich ganz vergessen. Jetzt wos gesagt wurde... joah wurd bei uns am Institut auch so gemacht ;) Die Zugriffe weiss ich nicht, ob die über reines NTFS liefen... War jedenfalls immer die gleiche Domain, daher schon. Ist ja auch schon n weilchen her... Edit: Aber mal n Querschlag. Was spricht dagegen, nur einen IP-Adressbereich mit einer Domäne zu verwenden? Du kannst ja die verschiedenen Benutzer (bzw Stationsnamen, wenn du mit Wechselplatten arbeitest) in unterschiedliche OUs packen. Dadurch hast du freie handhabung im Umgang mit den GPO's und kannst eigentlich alles sauber trennen. Edit2: Achte darauf, dass bei der Platte "ohne Rechte" der Lokale Administrator umbennt wird, dann gibts auch keine Querschläger ;) Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 mit NTFS Rechten und Gruppenrichtlinien ließe sich doch einrichten, wer was darf... und alles mit einer Domäne?! Das DHCP Problem könntest du auch mit Benutzerklassen lösen. Es gäbe dann eine Default Klasse. Dort kommen die User rein, die keine spezifischen Einstellungen haben (Besucher z.b.). Für jede der Firmen legst du eine Benutzerklasse an und gibst den jeweiligen Client dort hinein. Je nachdem mit welcher Multi Boot Option man dann hochfährt bekommt man dann eine spezifische IP. Was haltet ihr davon? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Tja.. ich werde wohl über die aktivierung der Partitionen arbeiten müssen (mal sehen wie das zu lösen ist, da hab ich noch keinen Idee), da wir hier Geräte vom Modell " Dell Optiplex GX240" stehen haben....Ich mache das Umschalten zwischen Partitionen (aktiv-verbogren) mit BootMagic von Powerquest seit vielen Jahren. In diesem Thread wird von einigen Kameraden viel von VLAN und DHCP geredet. Falls man keinen entsprechenden Switch hat, dann gibt es kein VLAN, bei einer kleinen Menge Rechner ist DHCP überflüssig. Für Schulungen wird die Menge pro Pool <= 25 sein, wahrscheinlich eher <=16. Eine zweite Netzwerkkarte für jeden Rechner kostet Geld für die Anschaffung und Einbau. Für Schulungen ist der Finanzrahmen einfach eng. Zitieren Link zu diesem Kommentar
Fosco 10 Geschrieben 30. Mai 2007 Autor Melden Teilen Geschrieben 30. Mai 2007 Das schon, aber soweit ich weiss kann ein Port eines Switches (zum. Cisco) immer nur entweder ein VLAN haben... darum ja die 2 Kabel. Hmm.. wenn ich das mit dem VLan richtig verstehe, sind dafür configurierbare Switche nötig, oder? Dann hätte ich da schon ein problem, da hier aus Kostengründen 8er-Switche von Netgaer verbaut wurden, die nicht administrierbar sind. Als ich hier angefangen habe, mußte ich (in meinen Augen sinnlose) vorgaben umsetzen, die mir jetzt Nachhängen... Das mit den Wechselrahmen hatte ich ganz vergessen. Jetzt wos gesagt wurde... joah wurd bei uns am Institut auch so gemacht ;) Die Zugriffe weiss ich nicht, ob die über reines NTFS liefen... War jedenfalls immer die gleiche Domain, daher schon. Ist ja auch schon n weilchen her... Wie schon gesagt, mit den gehäusen ist das leider nicht möglich, sonst wäre das mein erster Weg gewesen. Edit: Aber mal n Querschlag. Was spricht dagegen, nur einen IP-Adressbereich mit einer Domäne zu verwenden? Du kannst ja die verschiedenen Benutzer (bzw Stationsnamen, wenn du mit Wechselplatten arbeitest) in unterschiedliche OUs packen. Dadurch hast du freie handhabung im Umgang mit den GPO's und kannst eigentlich alles sauber trennen. Mit Wechselrahmen wäre es machbar, aber ohne muß ich die selbe HD nutzen. Und wie gesagt.. Einerseits darf Sie nicht veränderbar sein.. andereseits muß sie es sein. Rechtetechnisch seh ich kein problem, sondern nur bei der Hardwarenutzung. Zudem nutzen wir ein tool, das die Systempartition beim neustart zurücksetzt, so das eine Installation ohne bleibenden Effekt bleibt. Edit2: Achte darauf, dass bei der Platte "ohne Rechte" der Lokale Administrator umbennt wird, dann gibts auch keine Querschläger ;) Aber logisch doch... ;) Zitieren Link zu diesem Kommentar
Fosco 10 Geschrieben 30. Mai 2007 Autor Melden Teilen Geschrieben 30. Mai 2007 mit NTFS Rechten und Gruppenrichtlinien ließe sich doch einrichten, wer was darf... und alles mit einer Domäne?! Die Rechtevergabe innerhalb einer Domäne wäre relativ simple zu stricken und würde keine probs machen. Das prob ist, das die selben Geräte genutzt werden. Und diese werden (siehe oben) bei jedem Bootvorgang zurück gesetzt. Zudem sollen ja die User der Firma A nicht auf die Daten/Programme von Firma B zugreifen können. Es stehen sich also zwei vollkommen unterschiedlich Clientanforderugen gegen über. Das DHCP Problem könntest du auch mit Benutzerklassen lösen. Es gäbe dann eine Default Klasse. Dort kommen die User rein, die keine spezifischen Einstellungen haben (Besucher z.b.). Für jede der Firmen legst du eine Benutzerklasse an und gibst den jeweiligen Client dort hinein. Je nachdem mit welcher Multi Boot Option man dann hochfährt bekommt man dann eine spezifische IP. Was haltet ihr davon? Klappt leider nicht, da ich das Netzwerk mit statischen (ich verfluch den Konzept***en noch heute) IP-Adressen anlegen mußte. D.h. DHCP ist nicht, und dass hier einzuführen ist schon ein "gewisser" aufwand.. In einem neuen Netzwerk (unter meiner Konzeption) würde ich aus prinzip DHCP nutzen... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 In einem neuen Netzwerk (unter meiner Konzeption) würde ich aus prinzip DHCP nutzen...Zweckmässigkeit ist angesagt, keine Prinzipienreiterei. Das ist doch alles kein echtes Problem dort, eher etwas fürs erste Lehrjahr. Zitieren Link zu diesem Kommentar
!aN 10 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Das prob ist, das die selben Geräte genutzt werden. Und diese werden (siehe oben) bei jedem Bootvorgang zurück gesetzt. Welches Programm nutzt ihr denn? Shared Computer Toolkit von MS oder sowas wie HDGuard (rdt-global)? Es lassen sich doch sicherlich die zu schützenden Partitionen auswählen? Zitieren Link zu diesem Kommentar
Fosco 10 Geschrieben 1. Juni 2007 Autor Melden Teilen Geschrieben 1. Juni 2007 Welches Programm nutzt ihr denn? Shared Computer Toolkit von MS oder sowas wie HDGuard (rdt-global)? Es lassen sich doch sicherlich die zu schützenden Partitionen auswählen? Sry, komme erst heute zu einer Antwort.. Wir nutzen hier HD-Guard. Es ist halt problematisch, wenn eine nutzergruppe "nichts" verändern können soll, und eine andere quasi ne halbe Stunden später als quasi mit adminrechten arbeiten soll... Zitieren Link zu diesem Kommentar
!aN 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Beim HD-Guard brauchst du die nicht zu schützende Partiton nur als "unbenutzt" auswählen, schon ist Ruhe. Oder versteh ich da Problem falsch? Wobei,... wenn der HDGuard gar nicht erst im 2. Windows installiert wird, kann da auch nichts wiederhergestellt werden. PS: wie kommt ihr mit dem HD-Guard klar? Bei uns in der Schule hab ich ihn heute kurzzeitig deaktiviert und ein paar Neustarts gemacht. Die PCs hatten aufgrund von geänderten GPs 2 Minuten zusätzlich beim Start gebraucht. :( Mfg Zitieren Link zu diesem Kommentar
Fosco 10 Geschrieben 5. Juni 2007 Autor Melden Teilen Geschrieben 5. Juni 2007 Beim HD-Guard brauchst du die nicht zu schützende Partiton nur als "unbenutzt" auswählen, schon ist Ruhe. Oder versteh ich da Problem falsch? Wobei,... wenn der HDGuard gar nicht erst im 2. Windows installiert wird, kann da auch nichts wiederhergestellt werden. Das problem dabei ist, das die Nutzer Typ A keinerlei änderungen am System vornehmen darf. D.h. keine installationen, anpassungen etc. Sie sollen eine handvoll Programme nutzen, und das war es. Benutzer Typ B jedoch muß in der lage sein, neben Programminstallationen auch Systemänderungen durch zuführen. Zudem dürfen die jeweiligen Gruppen nicht auf das System der anderen Gruppe zugriff haben oder es beeinflussen können. Ich habe noch nicht getestet, wie zwei Windowsversionen auf einem Rechner agieren (wer worauf zugriff hat, muß die partition mit dem zu bootendem System zwingend die aktive sein etc. Aber ich seh das im moment als einzigen brauchbaren weg, die anforderungen zu erfüllen. PS: wie kommt ihr mit dem HD-Guard klar? Bei uns in der Schule hab ich ihn heute kurzzeitig deaktiviert und ein paar Neustarts gemacht. Die PCs hatten aufgrund von geänderten GPs 2 Minuten zusätzlich beim Start gebraucht. :( Mfg Naja.. ich finde es halt ziemlich umständlich (z.b. neustart der Kosole wenn die Anzeige von Raum auf Lizenz geändert wird). Es ist auch lästig, wenn man für jede Kleinigkeit ein Gerät aus dem System nehmen muß. Aber eine verzögerung beim neustart eines Gerätes ist mir nicht aufgefallen. Gut wäre auch, wenn man einen Benutzer festlegen könnte, der auch mit aktivierten HDGuard nachhaltige änderungen vornehmen kann. Lediglich, beim aktivieren/deaktivieren von HDGuard braucht das System ewig lange bis es neu gestartet wurde. Gruß Fosco Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.