Jump to content
Sign in to follow this  
Reality

Wie handhabt Ihr das in der Praxis: Eigene Dateien, Firewall auf Niotebook

Recommended Posts

Hallo zusammen,

 

ich hänge gerade ein wenig in der Luft, was die Einrichtung eines AD betrifft. Ich habe für alle möglichen Sachen Gruppenrichtlinien erstellt, alles funktioniert wie ich mir das vorstelle... bis zu dem Punkt Notebooks.

 

Per GPO werden die Eigenen Dateien in das User-Verzeichnis auf dem Server verschoben, für jeden Benutzer im Netzwerk optimal, weil alle Daten immer auf dem Server liegen. Was aber bei den Notebookbesitzer, die ja auch unterwegs arbeiten wollen? Diese wollen Ihre Eigenen Dateien auch unterwegs nutzen und wenn diese nicht auf dem Server gespeichert sind, ist die Datensicherheit gefährdet...

 

Desweiteren habe ich die Windows-Firewall per GPO deaktiviert. In der Firma benötige ich diese nicht und sie behindert mich nur... aber wie kann ich dafür sorgen, dass wenn ein Notebookbesitzer das lokale Netz verlässt und sich z.B. zuhause ins Internet einloggt die Firewall wieder aktiv ist? Kann man das deaktivieren der Firewall auf bestimmte IP-Subnetze beschränken?

 

Wie löst Ihr diese Probleme in der Praxis?

 

Über Vorschläge diesbzgl. würde ich mich sehr freuen, weil ich im Moment nicht so genau weiß, wie ich das regeln soll...

 

Vielen Dank

 

Gruß

 

Reality

Share this post


Link to post
Share on other sites

Tach!

 

Zum Punkt "Eigene Dateien" kann ich nur sagen, dass wir sie ebenfalls auf ein serverbasiertes Home-Laufwerk schieben. Benötigen Anwender ihre eigenen Dateien, oder Projektdaten - dann gibt's den Hinweis mit "Offline verfügbar machen". Das läuft hier reibungslos - kommt aber auch immer auf die Grösse der Daten an. Mehrere GB sind da eher hinderlich, da man den Ort dieser Offline-verfügbar gemachten Dateien auf dem Client nicht bestimmten kann (also irgendwo unter C:).

 

Bei jeder An- oder Abmeldung werden die Daten dann synchronisiert, so dass auch immer ein fast aktueller Stand auf dem Server liegt.

Share this post


Link to post
Share on other sites

Hallo,

 

wir haben hier auch die Profile auf dem Server gespeichert und diese werden für die offline-Verwendung synchronisiert. Das Funktioniert ganz gut, man sollte aber tatsächlich auf die Datenmenge achten (wesentlich mehr als wenige Hundert MB eigene Dateien und Desktop machen das ganze schon etwas nervig).

Die Windows Firewall ist immer aktiv - damit gibt es eigentlich keine Probleme. Nur für den Virenscanner mussten Ports freigeschaltet werden damit die zentrale Verwaltung funktioniert.

 

Gruß,

Vitamin

Share this post


Link to post
Share on other sites

Hi

 

Mehrere GB sind da eher hinderlich, da man den Ort dieser Offline-verfügbar gemachten Dateien auf dem Client nicht bestimmten kann

Warum das,

ich hab unseren Aussendienstlern unser Fotolaufwerk offline mitgegeben (ca. 8GB in Summe) und das macht keine Probleme (Höchstens es werden unterwegs 400 Fotos draukopiert-dann dauert die Sync halt länger - aber sonbst gut).

 

Ich persönlich hab fast alle Netzlaufwerke offline mit und das sind ca. 30GB Offlinedaten,

auch nicht wirklich ein problem - außer halt das erste mal...

 

lg

Share this post


Link to post
Share on other sites
Nur für den Virenscanner mussten Ports freigeschaltet werden damit die zentrale Verwaltung funktioniert.

 

Hallo vitamin,

 

genau da habe ich auch das Problem. Ich setzte eTrust-Antivirus ein und habe noch nicht herausgefunden welche Ports ich öffnen muss um die Remoteinstallation durchführen zu können. In google habe ich nur den Hinweis gefunden, die Firewall komplett zu deaktivieren. Desweiteren setzte ich VNC zur Fernwartung ein, dann müsste ich auch diesen Port öffnen. Und ein Zugriff auf die Laufwerke des Rechners innerhalb des Netzwerkes (um z.B. mal eine Datei darauf zu kopieren) ist mit der eingeschalteten Firewall auch nicht drin...

 

Vielen Dank an alle für die Antworten. Mal sehen, ob noch weitere hilfreiche Hinweise eintrudeln... :-)

 

Gruß

 

Reality

Share this post


Link to post
Share on other sites

Das Firewallproblem könntest Du mit einer Richtlinie lösen. Unter

Computerkonfiguration - Administrative Vorlagen - Netzwerk - Netzwerkverbindungen - Windows-Firewall

gibt es ein Domänenprofil und ein Standardprofil (standortabhängige Konfiguration der Firewall, gemeint ist damit die IP-Adressierung)

Zum Thema Verschlüsselung von Offline-Files schau mal hier

http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/c06621675.mspx

Share this post


Link to post
Share on other sites

firewall-virenscannersuite, verschlüsselung wichtiger dateien (in kombination mit scripten, die via synctoy bei anmeldung am firmennetz die dateien synchronisieren), passwörter, etc

 

bin gerade mit meiner umfangreichen sicherheitsrichtlinie fertig geworden

Share this post


Link to post
Share on other sites
Hallo vitamin,

 

genau da habe ich auch das Problem. Ich setzte eTrust-Antivirus ein und habe noch nicht herausgefunden welche Ports ich öffnen muss um die Remoteinstallation durchführen zu können.

 

Welche Version/Build von eTrust verwendest Du denn?

Schau mal unter http://supportconnectw.ca.com

Für die Version 7.1 gab/gibt es einen Patch, welcher Dir die Ports freischaltet. Da ich persönlich die Win-Firewall auch mehr hinderlich als förderlich halte, ist sie stets deaktiviert.

Ansonsten kannst Du das ganze wie bereits beschrieben standortabhängig steuern...

 

Gruss Urs

Share this post


Link to post
Share on other sites

genau da habe ich auch das Problem. Ich setzte eTrust-Antivirus ein und habe noch nicht herausgefunden welche Ports ich öffnen muss um die Remoteinstallation durchführen zu können.

 

eTrust benutzen wir auch. Die Ports lassen sich mit AVEnablePorts.exe NACH der Installation freischalten.

Für die Remote-Installation muss die Firewall deaktiviert werden und in der Registry die RPC-Beschränkung aufgehoben werden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC]

"RestrictRemoteClients"=dword:00000000

 

Gruß,

Vitamin

Share this post


Link to post
Share on other sites
eTrust benutzen wir auch. Die Ports lassen sich mit AVEnablePorts.exe NACH der Installation freischalten.

Für die Remote-Installation muss die Firewall deaktiviert werden und in der Registry die RPC-Beschränkung aufgehoben werden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC]

"RestrictRemoteClients"=dword:00000000

 

Gruß,

Vitamin

 

Ja, den Registrykey verteile ich schon per GPO, aber wie schon geschrieben muss die Firewall zur Installation deaktiviert werden... Daher ja auch mein Gedanke im Firmennetz die Firewall abzuschalten und in allen anderen Netzen zu aktivieren. Ich weiß z.B. dass die Firewall von Kerio eine solche Funktion besitzt und hoffte auf ähnliche Konfigurationsmöglichkeiten bei der Windows Firewall...

 

Gruß

 

Reality

Share this post


Link to post
Share on other sites

Hallo IThome,

 

wenn ich Deinen Beitrag richtig interpretiere, dann muss ich im Standardprofil die Firewall aktivieren und im Domänenprofil nicht. Aber wann schaltet Windows die Firewall dann an?

 

Wenn ich mich lokal an dem Rechner in einem anderen Netzwerk (z.B. Zuhause) mit meinem Domänenbenutzernamen und Kennwort anmelde, bleibt bei den obigen Einstellungen die Firewall deaktiviert...

 

Vielen Dank

 

Reality

Share this post


Link to post
Share on other sites

Das ist IP-Adressen abhängig. Angenommen Du deaktivierst die Firewall im Domänenprofil und aktivierst sie im Standardprofil. Du hast Kontakt zu Deinem DC, der eine Adresse aus dem Bereich 192.168.100.0/24 hat und die Workstation ebenfalls. Die Firewall wird dann immer aktiviert, wenn Du KEINE Adresse aus dem 192.168.100.0/24 hast, aber auch, wenn die Karte nicht verbunden ist (z.B. wenn Du zuhause eine andere Adresse von Deinem Router bekommst oder im Hotel, wo Du mit der Netzwerkkarte gar nicht verbunden bist und via ISDN ins Internet gehst). Klartext:

Domänenprofil: Du bist physikalisch mit dem DC verbunden (dieser Adressbereich wird als Referenz genutzt)

Standardprofil: Alles was von der Referenz abweicht

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...