Active Directory mit mehreren Menschen an einem User-Account umgehen?

25/10/2008 - 09:44 von Jens BŸürger | Report spam
Hallo Forum, ich habe da ein Designproblem:

in einem Geschàft gibt es ein Netzwerk, das durch einen Windows
2000-Server getrieben wird, alle Rechner sind im Active Directory
eingebunden.
Es gibt im Prinzip zwei Bereiche, die auch mitarbeitermàßig mehr oder
minder getrennt sind: Werkstatt und Verkauf.

Das Netzwerk soll eigentlich möglichst sauber aufgebaut sein; somit hat
jeder Mitarbeiter der Firma am AD ein eigenes Nutzerkonto.
In der Werkstatt funktioniert das auch ganz gut, denn da ist das Verhàltnis
Mitarbeiter:Computer nahezu 1:1 und ein Mitarbeiter, der an einem
Computer einmal angemeldet ist, verrichtet dort seine Arbeit und meldet
sich dann dort auch meist wieder vom System ab.

Soweit, sogut. Problematisch ist jetzt der Verkaufsbereich. Dort sind
die Mitarbeiter nicht an einen Computer gebunden, sondern beraten
Kunden, bewegen sich daher durchs Ladenlokal, etc. Einer der Rechner ist
fest der "Kassen-Rechner", an dem sich das EC-Geràt und die
Bargeldschublade befindet.

Jeder Mitarbeiter hat eine E-Mail-Adresse, die per POP3 auf ein
installiertes Outlook geladen wird. Gearbeitet wird hauptsàchlich mit
einer Warenwirtschaftssoftware und mit vielen Webseiten diverser
Distributoren gearbeitet sowie mit einer Reihe von Office-Dokumenten,
die von Shares abgegriffen werden.

Nun ist die Frage: wie löst man das Ganze möglichst sauber?

Derzeit ist es unglücklich so gelöst, dass für alle Rechner im
Verkaufsraum Logins verkauf1, verkauf2,... gibt, auf die die
Outlook-Konten der einzelnen Mitarbeiter mehr so durch Zufall und
historisch gewachsen verteilt sind.

Technisch am einfachsten wàre, diese Accounts zu löschen und jedem
Mitarbeiter einzuhàmmern, sich immer mit *seinem* Account anzumelden.
Das ist aber insofern àußerst blöd, als dass das arg
auf die Geschwindigkeit der Arbeitsablàufe drückt (von Rechner abmelden,
neu anmelden, Browser aufmachen und wieder alle Webseiten
aufrufen, sich anmelden, etc.).

Die einzige Möglichkeit, die mir eingefallen ist, es zumindest besser
als jetzt zu machen, wàre, es bei diesen Konten zu lassen und die
starren Outlook-Installationen ein Webserver, mit dem die Mitarbeiter
ihre Mails auch per Browser abrufen und verschicken können, z. B. per OWA.
Was ja auch noch gehen müsste, wàre, wenn man am Server
Terminalserverdienste aktiviert. Wàre es da möglich, eine Session zu
beginnen, den Remote Desktop Client zu beenden, allerdings nicht die
Session, und sich dann von einem anderen Host an die laufende Session
wieder anzumelden?

Jens
 

Lesen sie die antworten

#1 Lars P. Wolschner
25/10/2008 - 10:12 | Warnen spam

Hallo Forum, ich habe da ein Designproblem:

in einem Geschàft gibt es ein Netzwerk, das durch einen Windows
2000-Server getrieben wird, alle Rechner sind im Active
Directory eingebunden.
Es gibt im Prinzip zwei Bereiche, die auch mitarbeitermàßig
mehr oder minder getrennt sind: Werkstatt und Verkauf.

Das Netzwerk soll eigentlich möglichst sauber aufgebaut sein;
somit hat jeder Mitarbeiter der Firma am AD ein eigenes
Nutzerkonto. In der Werkstatt funktioniert das auch ganz gut,
denn da ist das Verhàltnis Mitarbeiter:Computer nahezu 1:1 und
ein Mitarbeiter, der an einem Computer einmal angemeldet ist,
verrichtet dort seine Arbeit und meldet sich dann dort auch
meist wieder vom System ab.

Soweit, sogut. Problematisch ist jetzt der Verkaufsbereich. Dort
sind die Mitarbeiter nicht an einen Computer gebunden, sondern
beraten Kunden, bewegen sich daher durchs Ladenlokal, etc. Einer
der Rechner ist fest der "Kassen-Rechner", an dem sich das EC-
Geràt und die Bargeldschublade befindet.

Jeder Mitarbeiter hat eine E-Mail-Adresse, die per POP3 auf ein
installiertes Outlook geladen wird. Gearbeitet wird
hauptsà€chlich mit einer Warenwirtschaftssoftware und mit vielen
Webseiten diverser Distributoren gearbeitet sowie mit einer
Reihe von Office-Dokumenten, die von Shares abgegriffen werden.

Nun ist die Frage: wie löst man das Ganze möglichst sauber?



Indem man das Ummelden z.B. mit RFID-Tokens für jeden Verkàufer
beschleunigt und von der übrigen Software (etwa der Waren-
wirtschaft) fordert, daß sie per AD authentifiziert.

Derzeit ist es unglücklich so gelöst, dass für alle Rechner
im Verkaufsraum Logins verkauf1, verkauf2,... gibt, auf die die
Outlook-Konten der einzelnen Mitarbeiter mehr so durch Zufall
und historisch gewachsen verteilt sind.



Eigentlich gibt es im AD keine Nutzeraccounts "für" Rechner,
sondern nur Nutzeraccounts. Sie lassen sich zumindestens an allen
Rechnern nutzen, die ebenfalls im AD sind. Und das hat man in
Deinem Falle bei den Verkàufern ja wohl auch ausgenutzt. Stellt
sich die Frage, wie man sich bei diesem Setup per Email an einen
bestimmten Verkàufer wendet.

Die einzige Möglichkeit, die mir eingefallen ist, es zumindest
besser als jetzt zu machen, wàre, es bei diesen Konten zu
lassen und die starren Outlook-Installationen ein Webserver, mit
dem die Mitarbeiter ihre Mails auch per Browser abrufen und
verschicken können, z. B. per OWA.



Dann müßtest Du einen schwach berechtigten Account für alle
Verkàufer verwenden und zusehen, daß alles andere per Webbrowser
geht. Es bleibt aber das Problem, daß beispielsweise in der
Warenwirtschaft nach wie vor personengenau authentifiziert werden
muß.

Außerdem ist OWA gut, wenn ein nacktes Outlook genügt. Sobald aber
Erweiterungen erforderlich sind, können die per OWA nicht erreicht
werden. Manchmal wird Outlook mit Hilfe von AddIns zur Abrechnung
von Arbeitszeiten für Projekte genutzt. Vor allem dürfte aber die
Einbindung von Archivierungstools aufgrund gesetzlicher Vorschrif-
ten explosionsartig zunehmen. Denn alle geschàftlich relevanten
Schreiben müssen archiviert werden, auch Emails. Bereits digitale
Dokumente müssen beim Archivieren digital bleiben, Ausdrucken und
Scannen ist dann nicht zulàssig.

Was ja auch noch gehen müsste, wàre, wenn man am Server
Terminalserverdienste aktiviert.



Auf einem Server, der bereits als Domànencontroller und Exchange-
Server arbeitet, sollte man schon aus Sicherheitsgründen nicht auch
noch Terminaldienste fahren. Das kann dann allein schon wegen
Exchange auch recht zàh werden. In der Praxis arbeitet man in
solchen Fàllen mit leistungsfàhiger Hardware und Virtualisierung.

Bei einem kleinen Geschàft tun es vielleicht zwei reale Server
nebst Storage-Einstiegsgeràt, auf denen man den oder die Termi-
nalserver, einen sekundàren Domànencontroller mit Exchange und
einen Fileserver virtuell realisiert und dann noch einen primàren
Domànencontroller real vorhàlt. Fàllt einer der Server aus, können
die virtuellen Server binnen Minuten umziehen und wieder in Betrieb
genommen werden. Der virtuelle Backup-Domànencontroller kann den
u.U. nicht mehr verfügbaren realen primàren ja eine Zeit lang
vollstàndig ersetzen, umgekehrt natürlich sowieso.

Mit freundlichen Grüßen
Lars P. Wolschner

Ähnliche fragen