CTH1323 0 Geschrieben 17. November 2014 Melden Teilen Geschrieben 17. November 2014 Hallo zusammen, ich würde das Thema gern nochmal aufgreifen, da ich es ehrlichgesagt noch nicht wirklich durchschaut habe. Vielleicht schildere ich mal meine aktuelle "Herausforderung" Ausgangspunkt ist eine Terminalserver-Farm mit Citrix XenApp (25 Server als Farm). Darauf greifen etwa 300 ThinClients zu. Bei Project und Visio 2010 lese ich überall immer nur "gerätespezifische" Lizenzierung, aber sind wir mal ehrlich. 300 Project und Visio-Lizenzen zu kaufen, nur weil vielleicht 10-20 Leute innerhalb der Farm dies benötigen, ist irgendwie unverhältnismäßig. Ein Volumen-Vertrag liegt bereits vor (Enterprise Agreement). Gibt es irgendeine Möglichkeit Project und Visio (vielleicht mit 2013 oder 365) sauber für die 10-20 Leute zu lizenzieren, ohne die Farm physisch zu teilen (um gerätespezifischen Zugriff zu sichern)? Prinzipiell besteht die Möglichkeit über XenAPP-Freigaben (z. B. an ActiveDirectory-Gruppen gekoppelt) eine Anwendung an veschiedene User in der Farm auszurollen, aber das wäre für Project und Visio 2010 nicht valide ... wie sieht das mit 2013 oder 365 aus? Vielen Dank schon mal vorab. Beste Grüße Christian Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 17. November 2014 Melden Teilen Geschrieben 17. November 2014 Hallo zusammen, Hallo, Schön dass du uns gefunden hast. :) ich würde das Thema gern nochmal aufgreifen, da ich es ehrlichgesagt noch nicht wirklich durchschaut habe. Da es wenig zielführend ist fremde Beiträge mit eigenen fragen zu kapern habe ich deine Frage von dem gekaperten Beitrag abgetrennt. Vielleicht schildere ich mal meine aktuelle "Herausforderung" Ausgangspunkt ist eine Terminalserver-Farm mit Citrix XenApp (25 Server als Farm). Darauf greifen etwa 300 ThinClients zu. Bei Project und Visio 2010 lese ich überall immer nur "gerätespezifische" Lizenzierung, aber sind wir mal ehrlich. 300 Project und Visio-Lizenzen zu kaufen, nur weil vielleicht 10-20 Leute innerhalb der Farm dies benötigen, ist irgendwie unverhältnismäßig. Um ehrlich zu sein... So sind die regeln, wenn sie nicht auf dein Problem passen musst du dir eine andere Lösung überlegen. Ein Volumen-Vertrag liegt bereits vor (Enterprise Agreement). Gibt es irgendeine Möglichkeit Project und Visio (vielleicht mit 2013 oder 365) sauber für die 10-20 Leute zu lizenzieren, ohne die Farm physisch zu teilen (um gerätespezifischen Zugriff zu sichern)? Grundlegende Frage ist ob die 10-20 Leute immer dieselben Geräte benutzen. Dann benötigst du einen Mechanismus der Verhindert dass nicht lizenzierte Geräte auf die Terminalserver zugreifen können auf denen Visio oder Project installiert sind. Schlüsselfrage ist woran du die Geräte erkennen willst. IP Adresse taugt nicht da in der Regel dynamisch vergeben. AFAIK akzeptiert MS bei Prüfung nur die Identifikation über die MAC Adresse. Prinzipiell besteht die Möglichkeit über XenAPP-Freigaben (z. B. an ActiveDirectory-Gruppen gekoppelt) eine Anwendung an veschiedene User in der Farm auszurollen, aber das wäre für Project und Visio 2010 nicht valide ... wie sieht das mit 2013 oder 365 aus? Gruppenrichtlinien scheiden aus da sie personenbasiert arbeiten. Du benötigst einen Mechanismus der gerätebezogen arbeitet. Einziger Weg personenbezogen zu lizenzieren wäre Office 365. Vielen Dank schon mal vorab. Sehr gerne. Zitieren Link zu diesem Kommentar
lizenzdoc 198 Geschrieben 18. November 2014 Melden Teilen Geschrieben 18. November 2014 Hi Christian, Abhilfe schafft > ein Script schreiben (lassen) welches beim Anmelden am TS via MAC-Adressen-Liste die lizenzierten Devices von den unlizenzierten herausfiltert und somit den Zugriff steuern kann. Da ich technisch nicht der begabteste bin... ev. musst Du für Project / Visio einen eigenen TS aufstellen, um diese Applikationen zu trennen. (Da ein Project-Nutzer ev. nicht auf ein Visio zugreifen darf, oder andersherum. Wenn Du dies so sinngemäß einrichtest, ist es eigentlich Audit sicher, da Microsoft die Faktenlage lizenziert haben will = "es wird zugegriffen, es wird genutzt" und nicht den Konjunktiv "es könnte ja zugegriffen/genutzt werden" ... Und sich ca. 280 x Project+SA und ca. 280x Visio+SA im EnterpriseAgreement einzusparen entspricht ca. 500.000 € in den ersten 3-Jahren ... Dafür kann man schon ein nettes Script schreiben (lassen) ... VG, Franz Zitieren Link zu diesem Kommentar
CTH1323 0 Geschrieben 18. November 2014 Autor Melden Teilen Geschrieben 18. November 2014 (bearbeitet) Hallo zusammen, zunächst vielen Dank für Eure Antworten und die Separierung des Beitrags (War vielleicht wirklich nicht optimal ;-) ) Die Zuordnung auf der TS-Farm wäre dann wohl wirklich etwas problematischer. Ein Splitten der Farm wird tendentiell eher nicht in Frage kommen. Demnach müsste eine Möglichkeit her, die lizensierten Geräte zu identifizieren. Allerdings kann ich den Zugriff auf die Farm dann nicht einfach unterbinden, oder den Rest rausschmeißen. Alle Standard-Programme sind ja auf der Farm bereitgestellt. (Darunter auch Office Professional Plus - über "qualified Desktop" ist das sowieso für alle (Thin)Clients gesetzt.) Was ich bei meinen Recherchen bisher gefunden hab, ist ein Tool namens AppSense, was die Berechtigung zur Ausführung der visio.exe oder msproject.exe anhand der MAC-Adresse validiert. Soll wohl sogar von Microsoft als valide angesehen werden. Wie das technisch abgebildet wird, wäre dann eher ein Thema für einen der Admin´s. Auf das Office 365 Konzept würde ich jedoch gern nochmal zurückkommen: 1. Sind Visio und Project bzw. Office 365 generell über das Enterprise Agreement beziehbar? 2. Visio und Project für Office 365 habe ich bis dato nur als Professional Version gefunden? Ist es korrekt, dass es ausschließlich PRO gibt? 3. Was bedeutet "für Office 365" im Detail? Benötige ich dann pro Benutzer auch eine reine Office365-Lizenz (Word, Excel, etc.) als Basis, oder lassen sich Visio und Project separat erwerben/einsetzen? (In der Umgebung ist bereits Office Professional Plus für alle Clients lizenziert) 4. Berechtigt die Lizenz zur Installation von Project Pro und Visio Pro auf Terminalserver/Citrix-Umgebungen? 5. Wie genau wird hier sichergestellt, dass hier nur die lizensierten User das Produkt nutzen können? Bzw. was ist mit den anderen Usern? Sehen diese die Installation auf dem TS? Oder dürfte man die Software mit erworbenem Office 365 dann über Citrix XenApp oder Gruppenrichtlinien auf Nutzerbasis steuern? Vielen Dank und Viele Grüße Christian Edit: Script schreiben (lassen) welches beim Anmelden am TS via MAC-Adressen-Liste die lizenzierten Devices von den unlizenzierten herausfiltert und somit den Zugriff steuern kann. Das funktioniert mit Citrix XenApp leider nicht ohne Weiteres. Hintergrund war vermutlich die Devices auf exakt *die* Server umzuleiten, auf denen Project und/oder Visio bereitgestellt wird. Hier grätscht das XenApp-Prinzip aber leider dazwischen ... ist eine Anwendung nur auf einem einzigen Server der Citrix-Farm installiert, ist sie (theoretisch - falls keine Einschränkung übe GPO oder AD-Gruppe) für alle User in der gesamten Farm sichtbar und kann von diesem einen Server gestreamt werden. bearbeitet 18. November 2014 von CTH1323 Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 18. November 2014 Melden Teilen Geschrieben 18. November 2014 Was ich bei meinen Recherchen bisher gefunden hab, ist ein Tool namens AppSense, was die Berechtigung zur Ausführung der visio.exe oder msproject.exe anhand der MAC-Adresse validiert. Soll wohl sogar von Microsoft als valide angesehen werden. Lass dir das von AppSense schriftlich geben dass deren Vorgehensweise mit den Lizenzbedingungen von MS konform ist. IMHO genügt es nicht das Starten der Software auf dem TS zu verhindern, es muss der Zugriff auf den TS verhindert werden, was für dich aber nicht infrage kommt. Auf das Office 365 Konzept würde ich jedoch gern nochmal zurückkommen: 1. Sind Visio und Project bzw. Office 365 generell über das Enterprise Agreement beziehbar? 2. Visio und Project für Office 365 habe ich bis dato nur als Professional Version gefunden? Ist es korrekt, dass es ausschließlich PRO gibt? 3. Was bedeutet "für Office 365" im Detail? Benötige ich dann pro Benutzer auch eine reine Office365-Lizenz (Word, Excel, etc.) als Basis, oder lassen sich Visio und Project separat erwerben/einsetzen? (In der Umgebung ist bereits Office Professional Plus für alle Clients lizenziert) 4. Berechtigt die Lizenz zur Installation von Project Pro und Visio Pro auf Terminalserver/Citrix-Umgebungen? 5. Wie genau wird hier sichergestellt, dass hier nur die lizensierten User das Produkt nutzen können? Bzw. was ist mit den anderen Usern? Sehen diese die Installation auf dem TS? Oder dürfte man die Software mit erworbenem Office 365 dann über Citrix XenApp oder Gruppenrichtlinien auf Nutzerbasis steuern? Vielen Dank und Viele Grüße Christian Edit: Das funktioniert mit Citrix XenApp leider nicht ohne Weiteres. Hintergrund war vermutlich die Devices auf exakt *die* Server umzuleiten, auf denen Project und/oder Visio bereitgestellt wird. Hier grätscht das XenApp-Prinzip aber leider dazwischen ... ist eine Anwendung nur auf einem einzigen Server der Citrix-Farm installiert, ist sie (theoretisch - falls keine Einschränkung übe GPO oder AD-Gruppe) für alle User in der gesamten Farm sichtbar und kann von diesem einen Server gestreamt werden. Was funktioniert mit XenApp nicht? Zitieren Link zu diesem Kommentar
CTH1323 0 Geschrieben 18. November 2014 Autor Melden Teilen Geschrieben 18. November 2014 Was funktioniert mit XenApp nicht? Die Verwaltung der Applikationen in der Farm läuft über XenApp. Angenommen ich installiere Project und Visio 'physisch' nur auf den Server 1-3 einer Farm von 10 Servern ... leite auch die lizenzierten ThinClients auf 1-3 ... und den Rest der ThinClients auf 4-10. Selbst wenn die Anwendung auf 4-10 nicht direkt installiert ist, kann sich ein Client die Anwendung über eine Programm-Session z. B. nach Server 5 oder 6 streamen und damit arbeiten. Die "Authorisierung" von XenAPP geht leider prinzipiel nur über Benutzergruppen ... bei der Anmeldung an der Farm ist der ThinClient mit Hostname oder MAC soweit mir bekannt ist, leider nicht mehr relevant. Viele Grüße Christian Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 19. November 2014 Melden Teilen Geschrieben 19. November 2014 Wie gesagt: Wenn die von AppSense sagen dass ihre Lösung mit der MS Lizenzierung konform ist sollen sie dir das schriftlich bestätigen. IMHO wird das aber nicht der Fall sein. Zitieren Link zu diesem Kommentar
Thanquol 10 Geschrieben 19. November 2014 Melden Teilen Geschrieben 19. November 2014 Wenn die von AppSense sagen dass ihre Lösung mit der MS Lizenzierung konform ist sollen sie dir das schriftlich bestätigen. Das tun sie. Geh da mal auf euren Vertriebler zu. Hab damit ebenfalls schon gearbeitet - finde das ein ziemlich geniales Produkt. Was du brauchst ist der AppSense Application Manager. Zitieren Link zu diesem Kommentar
lizenzdoc 198 Geschrieben 19. November 2014 Melden Teilen Geschrieben 19. November 2014 Hi, wenn das so schwierig/unmöglich ist ... nagut. dann solltet Ihr mal O-365 für Vision/Projekt anschauen. O-365 ist User-lizenziert, d.h. der einzelne User muss einen MS-Acount habenund dann das O-365 ABO um Project/Vision erweitern. dabei wird/kann man den EA für die 20 User anpassen/umschreiben/reduzieren, dazu sollte der LAR/ESA-Partner Eures EA-Vertrages ja schließlich fit seinund euch erklären können, wie Ihr das dann mit Eurem TS-Diensten legal nutzt :) VG, Franz Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 19. November 2014 Melden Teilen Geschrieben 19. November 2014 Wenn Ihr so ein ein grosses Netzwerk habt, habt ihr bestimmt auch tolle grosse managbare Switches. Eventuell können die Switch-Jungs einen Filter mit einer White-List erstellen und jegliche Kommunikation auf den TS von MAC's ausserhalb der WhiteList verhindern. Sollen die mal Kreativ werden wie man das am besten umsetzt bei euch :) Zitieren Link zu diesem Kommentar
CTH1323 0 Geschrieben 19. November 2014 Autor Melden Teilen Geschrieben 19. November 2014 dazu sollte der LAR/ESA-Partner Eures EA-Vertrages ja schließlich fit sein Das Stichwort ist vermutlich "sollte" :D Wenn Ihr so ein ein grosses Netzwerk habt, habt ihr bestimmt auch tolle grosse managbare Switches. Eventuell können die Switch-Jungs einen Filter mit einer White-List erstellen und jegliche Kommunikation auf den TS von MAC's ausserhalb der WhiteList verhindern. Sollen die mal Kreativ werden wie man das am besten umsetzt bei euch :) Nun ja ... es ist nicht das Ziel einen Client auszuschließen. Arbeiten sollen ALLE Leute auf dem TS. Die Unterscheidung ist lediglich die Anwendung mit der die Leute arbeiten. Eine 2. Farm ist vom Management-Aufwand zu hoch ... daher wird es vermutlich auf O-365 oder AppSense hinauslaufen. Dass die Benutzer einen MS Account benötigen, dachte ich mir schon ... wenn die Lösung jedoch auf dem Terminalserver installiert ist, muss sich der Mitarbeiter dann jedesmal mit seinem MS-Account in der Anwendung anmelden, dass er sie benutzen kann? Oder wie würde das laufen? (Irgendwie muss es für die anderen TS-User ja ausgeschlossen werden, die Anwendung zu nutzen.) Viele Grüße Christian Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 19. November 2014 Melden Teilen Geschrieben 19. November 2014 (bearbeitet) Na einen eigenen TS müssten die Jungs mit Visio dafür schon haben, sonst geht das natürlich nicht. --> Ich weiss natürlich nicht, wie Xen nun streamt, also ob der 'Tunnel' fürs Streamen direkt aufgemacht wird oder via einem Xen-Server. Wenn der Anwender nach der Authentifizierung direkt auf den TS zugreift welcher Visio hat, dann wird der Stream abgeblockt. Wenn der Traffic via einem Xen-Brooker läuft, wäre es wohl schwierig. Dann müsste man Xen beibringen den Zielhost für gewisse Anwendungen nach MAC zu filtern. Da Du mit Sicherheit nicht der einzige mit diesem Problem bist, dürfte es dafür auch von Microsoft akzeptierte Lösungsansätze geben ohne irgendwelche unmöglichen Handstände zu machen. bearbeitet 19. November 2014 von Weingeist Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 20. November 2014 Melden Teilen Geschrieben 20. November 2014 Mit Shared Computer Activation kannst Du Visio, Project und Office ProPlus aus Office 365 auf allen Terminal Servern installieren. Benutzer mit gültiger Lizenz können Office voll nutzen von beliebigen Geräten. Benutzer ohne Lizenz nur im reduced functionality Mode. Passt perfekt auf Dein Szenario. Mit AD Sync und Same Signon oder SSO brauchen die Benutzer auch keine separate Loginkennung. AppSense, Scripte, Filter auf Switches etc. brauchst Du dann alles nicht, weil Du einen pro User lizenzierten Terminal Server realisieren kannst. Have fun! Daniel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.