Laptop für jeden

[TruckerTom 10]

Hallo Kollegen,

vielleicht hat ja jemand von Euch einen Denkanstoss für mich.

 

Folgende Anforderung:

es existiert bei einem Kunden ein Laptop das als "jederdarfmaldran" dient, d.h. fast jeder Mitarbeiter der Firma (ca. 70) nimmt dieses Laptop ab und zu mit auf Aussendiensttermine um dann per Vodafone UMTS und Watchguard VPN-Client sich in der Firma einzuwählen und auf den Terminalserver zuzugreifen.

Jetzt benötigt aber der VPN-Client Adminrechte (um Standard-Routen neu zu stezen).

Die VPN-Verbindung baut sich zwar auch auf, ohne dass der Benutzer lokale Adminrechte hat, aber er kann dann keine RDP-Sitzung auf den Terminalserver aufbauen, weil einfach die Route fehlt.

Ich habe bis jetzt einfach immer jeden Benutzer zur Gruppe der lokalen Admins hinzugefügt, das wird mir aber einfach zu mühsam.

Was habe ich denn noch für eine Möglichkeit?

 

Danke für Eure Hilfe

Thomas

[Sunny61 773]

Folgende Anforderung:

es existiert bei einem Kunden ein Laptop das als "jederdarfmaldran" dient, d.h. fast jeder Mitarbeiter der Firma (ca. 70) nimmt dieses Laptop ab und zu mit auf Aussendiensttermine um dann per Vodafone UMTS und Watchguard VPN-Client sich in der Firma einzuwählen und auf den Terminalserver zuzugreifen.

Jetzt benötigt aber der VPN-Client Adminrechte (um Standard-Routen neu zu stezen).

 

Hmm, kannst Du keinen anderen VPN-Client einsetzen? Hast Du mal mit dem ProcessMonitor geschaut, wo welche Rechte fehlen? Ich kann mir nicht vorstellen, daß man dafür Adminrechte braucht. Zumindest ist das bei unserem CISCO-VPN-Client nicht der Fall.

 

Die VPN-Verbindung baut sich zwar auch auf, ohne dass der Benutzer lokale Adminrechte hat, aber er kann dann keine RDP-Sitzung auf den Terminalserver aufbauen, weil einfach die Route fehlt.

Ich habe bis jetzt einfach immer jeden Benutzer zur Gruppe der lokalen Admins hinzugefügt, das wird mir aber einfach zu mühsam.

Was habe ich denn noch für eine Möglichkeit?

 

Du könntest das auch per GPO steuern. Achte aber drauf, daß Du nur dieses eine Gerät erwischt: Eingeschränkte Gruppen

 

ist aber IMHO eine unschöne Sache, daß User draußen bei Kunden lokale Adminrechte haben.

[TruckerTom 10]

Zumindest ist das bei unserem CISCO-VPN-Client nicht der Fall.

 

wie macht denn der das, die Einstellungen der Routen zu ändern?

AFAIK geht das nur mit Admin-Rechten.

[Sunny61 773]

wie macht denn der das, die Einstellungen der Routen zu ändern?

AFAIK geht das nur mit Admin-Rechten.

 

Keine Ahnung, ist mir auch ehrlich gesagt egal, Hauptsache es funktioniert. ;)

[RanCyyD 10]

Den Client mit einem runas-Admin-Tool aufrufen?

[LukasB 10]

Oder einfach die Gruppe "Domain Users" in die lokale Administrator-Gruppe packen.

 

Nicht elegant, aber wird auch funktionieren.

[RanCyyD 10]

Wobei eigentlich die Vorgehensweise doch so ist, daß der Lappi als "Thinclient" funktioniert, oder?

 

Also von mir aus Anmelden als Admin, Einwahl mit UMTS, Verbindung mit VPN-Client, dann mit RDP auf TS und mit Domänenbenutzer anmelden.

 

Sehe da Dein Problem nicht so ganz?

[TruckerTom 10]

das war zuerst auch so.

Hintergrund ist, dass ab und zu unterwegs ohne VPN-Verbindung im Outlook gearbeitet werden soll und da muss natürlich dann jeder sein eigenes Outlook haben, was vorher über Netzwerkkabel gesynct wird.

[RanCyyD 10]

UMTS und OWA, dann melden die sich doch wieder mit ihrem Domänenpasswort am Exchange an und der lokale User ist Wurst?

[Robi-Wan 10]

Die VPN-Verbindung baut sich zwar auch auf, ohne dass der Benutzer lokale Adminrechte hat, aber er kann dann keine RDP-Sitzung auf den Terminalserver aufbauen, weil einfach die Route fehlt.

 

Hallo,

 

welche Route fehlt denn? Kann man die nicht bei diesem Laptop hinzufügen (All Users - Startmenü - Autostart - "route add")?

 

Grüße, Robert

[TruckerTom 10]

UMTS und OWA, dann melden die sich doch wieder mit ihrem Domänenpasswort am Exchange an und der lokale User ist Wurst?

 

geht aber z.B. nicht im Flugzeug...

Und im Zug auch nicht zuverlässig.

So arbeiten sie halt offline im Outlook und kommen dann irgendwann wieder mal in die Nähe eines Internetanschlusses (egal auf welche Art und Weise) und können dann abgleichen.

–

Hallo,

 

welche Route fehlt denn? Kann man die nicht bei diesem Laptop hinzufügen (All Users - Startmenü - Autostart - "route add")?

 

Grüße, Robert

 

ich muss es mal komplett durchtesten...

 

 

ich verstehe nicht, dass die Programmierer einfach sowas nicht bedenken.

Naja, vielleicht wird das ja bei Vista-Software besser!

[Wurstsalat 10]

wie macht denn der das, die Einstellungen der Routen zu ändern?

AFAIK geht das nur mit Admin-Rechten.

wofür müsste er irgendwelche routen ändern?

die verbindung (welche der cisco vpn adapter nutzt) wird mit höchster priorität eingerichtet (netzwerkeinstellungen - erweitert - erweiterte...)

findet eine einwahl per client statt wird die verbindung aktiv geschalten und eine ip dafür vergeben inkl passendes standardgateway für diese verbindung und fertig...

 

was der cisco vpn client macht ist lediglich die verschlüsselte verbindung aufbauen (braucht er keine adminrechte) und eben eine adresse für seinen adapter zu beziehen (braucht er auch keine adminrechte)

 

leider hilft dir das ja nicht weiter ;)

 

 

das war zuerst auch so.

Hintergrund ist, dass ab und zu unterwegs ohne VPN-Verbindung im Outlook gearbeitet werden soll und da muss natürlich dann jeder sein eigenes Outlook haben, was vorher über Netzwerkkabel gesynct wird.

ein reverse proxy + outlook per http verbindung wäre keine alternative?

[TruckerTom 10]

ein reverse proxy + outlook per http verbindung wäre keine alternative?

 

und dann soll jemand offline arbeiten können? im Flieger? rsy, sitze ich gerade auf dem Schlauch?