axis schreef op vrijdag 19 maart 2010 @ 22:40:
De aanpak die iedere professional je zou aanraden is dat je met je management om tafel gaat zitten om de exacte requirements vast te stellen, je maakt een risicoanalyse, je maakt kostenplaatjes, je schrijft een security policy, etc.. Aan de hand van wat daaruit komt, maak je dan met het management een keuze voor een bepaalde oplossing.
Je denkt dat dat nog niet gebeurd is ? Je snapt zelf als "professional" dan ook wel dat management een aantal zaken niet zal begrijpen en je dus andere kanalen voor je verificatie kunt gebruiken. Dit topic kan ik daar voor gebruiken of niet, of deels. Ieder advies kan een plus zijn, maar uiteraard ook een min aangezien de gedachte van iemand vaak uit eigen ervaring wordt gegeven en niet uit lokaal oogpunt.
De ervaring kan goed zijn, zegt niet alles voor de situatie.
Niets persoonlijks, maar ik denk dat je last hebt van tunnelvisie, en je vast zit in je eigen hobby bob mentaliteit. Je kiest zelf een oplossing, en je vraagt anderen voor advies over hoe je die specifieke oplossing kunt bewerkstelligen, maar zo te zien zijn een boel mensen (waaronder ik) het fundamenteel niet met je eens over je gekozen oplossing(en).
Ik snap niet al je posts, maar my 2 cents:
Dit is wat je vaak ziet hier, je reactie snap ik deels maar je probeert op deze manier je eigen idee al recht te praten zodat het niet onderuit geschoffeld kan worden. Ik heb je reply gelezen en vindt bijvoorbeeld een RDP op een werkstation dat op de zaak moet draaien om remote te kunnen werken meer hobbiebob dan een goede VPN welke het profiel geheel overneemt en alleen bestanden mapt welke niet lokaal mogen staan. Gebruik dan Citrix of TS ofzo.
[...]
Je hebt dus een samba machine draaien als PDC, en daarop staan de profielen van je gebruikers.. Je hebt dus ook login scriptjes gemaakt, zodat als een user inlogt, hij shares gemapt krijgt.
Er wordt geen enkele netlogon gebruikt, alles via Policies wat prima werkt. Extra netshares kunnen eventueel zo gemapt worden natuurlijk.
[...]
Je bedoelt hiermee denk ik roaming profiles? Dus elke keer als je inlogt wordt je profiel gedownload, en elke keer als je uitlogt wordt je profiel geupload..
Tja roaming, opzich wel maar je mapt het hele profiel, alleen settings worden opgehaald en geupload. Opzich is het profiel roaming maar ik kan een normaal wekstation volledig als een client laten fungeren zonder uberhuabt maar in het domein te hangen maar wel gebruik te maken van de VPN.
Dat is de magic van je profiel mappen over VPN. Tuurlijk is een roaming profiel makkelijker omdat deze in het domein hangt en alles vanuit de PDC te regelen valt, maar je hebt in principe de PDC login niet nodig in het uiterste geval.
[...]
Je hebt dus nu een openvpn connectie met client- en servercertificaten, en deze wordt als service opgebouwd. De laptop van de gebruiker is dus domain member, en je kunt er dus voor kiezen om op de laptop in te loggen, of met je domain credentials. Da's een mogelijke oplossing, zonder vpn zou het ook goed moeten werken, met cached credentials. Moeten ze wel de eerste keer de laptop op de zaak inloggen.
Klopt.
[...]
Dit snap ik even niet. Als je de OpenVPN service hebt draaien kan windows gewoon tegen de PDC praten, en als je geen openvpn open hebt kan windows gebruik maken van cached credentials.
Voor max security wil je alleen het remote netwerk op als je login goed is, dit gaat alleen niet aangezien je tegen de PDC aan wil praten voor authenticatie.
Zou hetzelfde zijn als jij mij gewoon een VPN geeft naar je netwerk zonder dat ik iets op je netwerk kan... je weet nooit wat iemand er zomaar in prikt, dus daarom zou ik liever eerst een check doen of de user klopt en dan de VPN pas opbouwen. Ik zal eens kijken of cached credentials dit kan verzorgen aangezien ik even niet weet of je nu live je dekstop kon remappen bijvoorbeeld. My Documents is niet zo'n probleem.
[...]
Onze medewerkers hebben bijna allemaal een vaste pc. Als die thuiswerken (vanaf hun prive-pc) laten we ze een openvpn connectie openen (met domain username/password), en dan remote desktoppen naar hun vaste werkplek. Hebben ze alles dat ze nodig hebben.
Nadelen zijn dat de PC remote aan moet staan en je remote resources gebruikt welke over de VPN ook nog eens zichbaar gemaakt moeten worden. Stel iemand doet iets grafisch dan laat ik liever over de VPN het bestand ophalen en de rest lokaal doen dan alles remote.
Voordeel is wel als iemand niet uitlogt, outlook open laat staan, etc, je geen lockbestanden hebt voor "lokale" (ja deze zijn gemapt) PST files welke gebruikt worden. Ook IMAP maakt een PST aan namelijk in outlook.
We hebben ook nog een paar medewerkers (3 van de 50) met alleen een (zakelijke) laptop. Die zijn domain member, en ze loggen thuis in met domain credentials (cached credentials), en openen vervolgens dezelfde openvpn om te kunnen connecten met het bedrijfsnetwerk.
Dat zou wel de oplossing zijn dus het bekijken waard. Dank!
Ze mogen met die bedrijfslaptops wel eens wat privedingetjes doen, maar software installeren, porno downloaden en de vriendin/kinderen laten werken doen ze maar lekker op hun prive-pc.. (Ik heb het geluk met mijn gebruikers ervaren it-professionals zijn.)
Gelukkig doen deze gebruikers dat ook aangezien de PC van de zaak ook door de zaak wordt neergezet momenteel. Dus prive is er al een PC aanwezig, dit is gewoon lekker zonder zorgen werken.
[...]
Dat zul je dan toch op moeten lossen. Als je tegen dit soort dingen aan loopt, moet je ervoor zorgen dat er een eenduidig policy wordt geformuleerd door jou of het management. Mogen mensen dingen lokaal opslaan of niet?
Nee dit is geregeld, alles is via policy gemapt en lokaal opslaan gaat niet lukken ivm rechten. Dat is uiteraard de standaard die je per defenitie wil hanteren, alles op de server "laten".
Houdt ook rekening met de gevolgen van die beslissing. Als iemand's thuispc gestolen wordt, is het dan acceptabel dat de complete boekhouding unencrypted op straat ligt? Als iemand's zoon teveel mapjes deelt met een filesharing programma, is het dan acceptabel dat personeelsdossiers op emule te vinden zijn? Als iemands dochter een rootkit binnenkrijgt over MSN, is het dan acceptabel dat ieder pc in je bedrijfsnetwerk een kopietje krijgt van dat virus? Je snapt waarschijnlijk wel waar ik heen wil.
Daarom opende ik dus ook mede dit topic. Ik wil alles zoveel mappen dus remote houden, zo werkt het nu ook.
Probleem met een dergelijke setup is dat de snelheid van de verbinding bepalend is voor de snelheid van het overhalen van bestanden.
Documenten worden goed snel geopend als de Documents en dergelijke gemapt zijn, niets wordt lokaal opgeslagen. Ik map dus alles wat je niet op straat wil gooien. Connectie weg is niets lokaal op de PC, dat zit wel goed.
Opzich ben ik wel redelijk compleet, alles is centraal vanuit de Server bepaald, het gaat mij er alleen om wat voor varianten mensen toepassen om het geheel werkbaar te maken tevens met de achterliggende gedachte dat er een verbinding tussen zit waar je van afhankelijk bent.
:fill(white):strip_exif()/i/2003549196.jpeg?f=thumbmini)
sneller.:strip_icc():strip_exif()/u/25852/bowmore_18k.jpg?f=community)
Ik kan raden natuurlijk, maar ik denk dat er thuisgewerkt moet kunnen worden. Zo ja: Ga dan eens kijken wat de mogelijkheden zijn (zonder meteen oplossingen opzij te leggen) en kijk naar de beheerbaarheid, kosten van het beheer (beheerlast), kosten van implementatie etc. :strip_icc():strip_exif()/u/25033/Bjorn_icon.jpg?f=community){kind=icon}
:strip_exif()/u/8402/Untitled-2.gif?f=community)