Jump to content

Konzept für Verwaltungs- und Produktionsnetzwerk

TPok

Von TPok
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

TPok Community Regular

TPok   11

Geschrieben
Geschrieben

Hallo,

 

ich befinde mich gerade in der Planungsphase für ein neues Firmennetzwerk und bin an einen Punkt angekommen, an dem ich mir unsicher bin. Ich hoffe deshalb auf Eure Unterstützung.

 

Derzeit habe ich ein einfaches Netzwerk, nennen wir es Verwaltungsnetz, bestehend aus ca. 10 Servern und knapp 100 Clients. Es laufen die üblichen Dienste (2x DC, Fileserver, SQL, Exchange, Backup). Alle Geräte befinden sich in einer einzelnen Domäne. Die Nutzer arbeiten mit persönlichen Userkonten und beschränkten Rechten (keine lokalen Administratoren oder sowas). Es existiert eine Virenschutzlösung auf Servern und Clients. Das Netzwerk ist durch eine Firewall (Watchguard Firebox) gegenüber dem Internet abgesichert. Alles in allem eine schöne heile Welt.

 

Jetzt stehe ich vor folgender Herausforderung:

Es sollen Produktions-PCs und Maschinen mit Windows-PC-Steuerung vernetzt werden. Hauptsächliches Ziel ist die zentrale Dateiablage, zentrales Management der Clients und ein zentralisiertes Backup. Diese PCs unterliegen den folgenden (hässlichen) Beschränkungen:

  • Die Nutzer müssen lokale Administratoren sein, da die eingesetzte Prüf- und Steuerungssoftware sonst nicht funktioniert.
  • Ich kann nicht mit strengen Kennwortrichtlinien arbeiten, da die Nutzer ständig wechselnde Produktionsmitarbeiter sind und ein ständiges An- und Abmelden nicht realisierbar ist.
  • Eine Installation eines funktionierenden Virenschutzes auf den Clients kann nicht gewährleistet werden (serverseitig schon).
  • Es kann nicht garantiert werden, dass alle Rechner zeitnah auf dem aktuellen Windows-Patchlevel sind. Einige lassen gar keine Updateinstallation zu.

Generell würde ich jetzt sagen, dass die beiden Netze physisch komplett getrennt sein sollten. Dies ist jedoch nicht möglich, denn es besteht der Bedarf, aus dem Verwaltungsnetz auf die Daten des Produktionsnetzes zuzugreifen. Ein Zugriff in die entgegengesetzte Richtung (aus dem Produktions- in das Verwaltungsnetz) soll nicht möglich sein.

 

Mir sind bisher 2 Möglichkeiten eingefallen, die jeweils Vor- und Nachteile haben:

  1. Die beiden Netze kommen in 2 getrennte Domänen. Der einseitige Zugriff wird über Vertrauensstellungen realisiert.
  2. Es wird nur mit einer Domäne gearbeitet und die Zugriffe werden über Rechte und Gruppenrichtlinien beschränkt.

Wie würdet Ihr dies realisieren?

Und wie kann ich eine möglichst hohe Sicherheit in Bezug auf Viren, etc. erreichen? Wäre es sinnvoll die Netze per Firewall zu trennen?

 

Vielen Dank für eure Unterstützung.

 

Gruss,

Stephan

Link zu diesem Kommentar
  • 3 Wochen später...
AustriaWien Experienced

AustriaWien   10

Geschrieben
Geschrieben

Hi,

 

ob ich hier eine zweite Domäne machen würde hängt davon ab, ob die Verwaltung auch einer strikter Trennung unterzogen werden soll bzw. der Kennwort-Policy wegen. Wenn ich mich richtig entsinne gelten die Kennwort-Richtlinien für die gesamte Domäne.

Ansonsten müßte die Einbindung in die bestehende Domäne genügen.

Den Usern an den Produktionsmaschinen können jegliche Rechte in der Domäne entzogen werden, und trotzdem lokale Adminrechte an den Maschinen eingerichtet werden.

 

Einer der ersten Gedanken war auch die Netze zu trennen und mit einem Router zu verbinden.

 

Hat sich bei dir in diese Richtung schon etwas getan?

 

lg

D.

Link zu diesem Kommentar
housemasta Newbie

housemasta   10

Geschrieben
Geschrieben

ich würde der form halber alles in einer domain belassen und mit GPOs arbeiten

entweder alle produktionsmitarbeiter in eine gruppe und dann die rechte explizit entziehen oder alle anderen mitarbeiter in eine gruppe und explizit rechte gewähren.

sollte die anzahl der produktions-PCs überschaubar sein kannst du die GPOs, die im AD definiert sind auch durch lokale policies overriden (auch wenn das eine eher unästhetische lösung ist)

unter anderem hättest du auch die möglichkeit, die user trotz lokaler adminrechte um gewisse rechte zu kastrieren. das vermindert zumindest die gefahr von versehentlichen aktionen.

den datenzugriff kannst du über einen einzelnen folder in verbindung mit access permissions regeln.

aber hinsichtlich des virenschutzes könnte es sein, dass du um eine physische trennung nicht herumkommen wirst, falls du seitens der firewall nicht die möglichkeit hast, die das risiko zu senken.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...