Lokale Adminrechte nur wenn nicht mit der Domäne verbunden

[NorbertFe 1.799]

Und der Name ist jetzt psst geheim, dass man da so ein Gewese macht? 

[winmadness 78]

vor 43 Minuten schrieb da4id:

Vielleicht hat ja noch jemand einen Ansatz, ob oder wie dieses Problem gelöst werden könnte. 

Hier mal einige Ideen, ohne diese geprüft zu haben:

• Beim Hersteller Support nachfragen - diese wissen am besten wie Sie Ihre Lizenzen verwalten
• sofern möglich, Lizenzserver auf der Workstation installieren und eine Einzellizenz  laden
• den (oder einen zusätzlichen) Lizenzserver in der DMZ installieren und Lizenzierung übers Internet zulassen. Mit der Firewall kann man die zugriffsberechtigen Workstation / User entsprechend einschränken
• Workstation über VPN in der DMZ (wenn notwendig in der Domain) anmelden und in der Firewall für die VPN Verbindung nur den Zugriff auf den Lizenzserver (Port) zulassen. 

bearbeitet 8. Mai 2021 von winmadness

[da4id 2]

Besten Dank für die konstruktiven Ansätze. 

 

Habe zwischen herausgefunden, dass die Lizenzen über FLEXnet Publisher vermittelt werden, und dass es zwei Arten von Floating-Lizenzen gibt:

• Zitat

  • Einzelserver-Lizenz - Konfiguriert für einen einzelnen Computer als Server.
  • Triad-Lizenz - Konfiguriert für einen Satz von drei Computern im selben Netzwerk. Die Computer arbeiten zusammen, um einen Pool von Floating-Lizenzen zu verwalten. Diese Konfiguration bietet eine redundante Sicherung für den Fall eines Serverausfalls. Für jeden Triad-Partner wird eine identische Lizenzdatei verwendet.

Dankbar wäre ich für Erfahrungswerte, ob das hier diskutierte Problem anhand der von FLEXnet zur Verfügung gestellten Möglichkeiten voraussichtlich gelöst werden kann?

(beim fraglichen Softwareanbieter "ORX" habe ich parallel auch schon eine Anfrage gestellt)

[Weingeist 157]

Flexnet ist ja doch ein grösserer Anbieter. Habe zwar bis jetzt mit dem Dongle-Kram immer in einer Domäne gehabt, aber ob tatsächlich eine Domäne gebraucht wird um ein Lizenz-Handle zu erhalten weiss ich nicht. Normal ist der Dongle-Kram auf permanente IP-Adressen-Erreichbarkeit gemünzt. Neuere Implementierung wollen noch funktionierende Namensauflösung sehen.

 

Wird tatsächlich ein DNS-Name der Domäne gebraucht, könntest Du den Clients evtl. fixe IP's sowie einen DNS-Eintrag verpassen. Vielleicht klappts auch mit Einträgen in der hosts-Datei. Ob man das will, steht wieder auf einem anderen Blatt. Ich würde die Kisten gar nicht erst im Netz wollen. Und hantieren an der IT-Abteilung vorbei hat etwas den Touch von - Ich will die Software zu Hause verwenden und dafür den Firmenlizenzserver nutzen -

 

Dongle/Lizenz-Server-Integrierung ist ein Baukastensystem. Manches wird bewusst von den Software-Herstellern implementiert um gewisse Szenarien zu verhindern. Der Software-Hersteller kann Dir da weiterhelfen. Die Dongle-Hersteller verweisen Dich auch jeweils an die Hersteller. Du musst dafür sorgen, dass Du da jemanden an die Strippe/E-Mail bekommst, der sich damit auskennt oder ein Ticket beim Dongle-Hersteller eröffnet, wenn er es für nötig hält, Dir das Szenario zu ermöglichen. So zumindest meine Erfahrung. Auf alle Fälle gehört die IT-Abteilung deiner Firma mit ins Boot ;)

[da4id 2]

Ne ich hab gestern wieder länger mit der IT telefoniert.

 

Der Vorschlag von winmadness:

Am 8.5.2021 um 17:12 schrieb winmadness:

• Workstation über VPN in der DMZ (wenn notwendig in der Domain) anmelden und in der Firewall für die VPN Verbindung nur den Zugriff auf den Lizenzserver (Port) zulassen. 

...würde technisch ohne weiteres gehen.

 

Jedoch widerspricht dies der Firmenrichtlinie, dass BYOD-Geräte *grundsätzlich* nicht ins Netz dürfen, sprich in die Domain.

[NorbertFe 1.799]

vor 13 Minuten schrieb da4id:

nicht ins Netz dürfen, sprich in die Domain.

Netz =|= Domain. ;) Ich würde das sogar noch deutlich strenger auslegen, aber das weiß deine IT sicher besser. Was ist jetzt das Ergebnis des gestrigen Telefonats? ;)

[da4id 2]

Vom Hersteller werden zumeist auch Home-Lizenzen beigelegt, die direkt mit dem PC verdongelt werden. Wir konnten noch nicht ermitteln, ob die in unserem Lizenzpaket schon enthalten sind.

[BOfH_666 568]

vor 27 Minuten schrieb da4id:

Normal -- oder hat meine Firma etwa ein massives Sicherheitsproblem?

 

Das schließt sich ja leider gegenseitig nicht aus ....  

[testperson 1.527]

vor 38 Minuten schrieb da4id:

Normal -- oder hat meine Firma etwa ein massives Sicherheitsproblem?

In diesem Fall eher "normal" - auch wenn man sicherlich etwas gegen einen stumpfen Transfer der Konfig unternehmen kann - bzw. bist du in dem Fall das Sicherheitsproblem. Unterm Strich ist das ja ein ähnliches Szenario, als würdest du jemandem deinen Firmenschlüssel geben. ;)

 

Generell solltet ihr euch wohl "alle" mal an einen Tisch setzen und _sachlich_ miteinander reden. Das was hier scheinbar grade passiert ist jedenfalls nicht zielführend und _könnte_ theoretisch unschöne Konsequenzen für dich haben.

[cj_berlin 1.133]

Aber: Dieses Experiment zeigt schon mal, dass der Rechner nicht Mitglied im AD sein muss, um auf den besagten Lizenzserver zuzugreifen.

[NorbertFe 1.799]

Und ein schöner Beweis meiner Aussage:

 

[NorbertFe 1.799]

vor 2 Minuten schrieb da4id:

Sollte ich mir darüber mehr Sorgen machen oder die Firma...?

…

 

ich denke, die firma (it) wird es wissen, aber nichts konzeptionelles ändern wollen/können. Im Zweifel, wie schon angedeutet, verletzt du grad eine Richtlinie, die für dich Konsequenzen haben könnte.

[da4id 2]

-

bearbeitet 14. Mai 2021 von da4id

[NorbertFe 1.799]

Willst du Gewissheit? Dann wirst du wohl wissen, wen du fragen musst. Tipp: deine und unsere Meinung sind dazu unerheblich.

[NilsK 2.778]

Moin,

 

ich rate dringend, diesen Thread jetzt zu beenden (und sinnvollerweise auch zu schließen) und vorher die heikelsten Äußerungen unkenntlich zu machen. Hier steht gerade ein Arbeitsplatz auf dem Spiel. Inhaltlich-fachlich geht es hier sowieso schon länger nicht weiter.

 

Gruß, Nils

 

bearbeitet 14. Mai 2021 von NilsK