Nieuwe werkplekomgeving

[Acho]

Hallo ALlemaal,

Wellicht kunnen jullie mij misschien helpen met wat ideeën.  Een vriend van mijn heeft een eigen boekhoudkantoor. Hij heeft 4 mensen in dienst. Deze zijn alle 4 voorzien van laptops. Ze gebruiken momenteel Citrix om in te loggen(hosted desktop). Nu betaalt hij alleen bijna €120 per maand aan deze hosted desktops(4). Deze citrix servers lopen welis vast, en is het nu wel een beetje zat. Hij gebruikt 3 shares. en wil deze later uitbreiden tot meer met gebruikersrechten.

Ik heb voorgesteld om een NAS te gebruiken. De shares toe te voegen als netwerkschijf en klaar is kees. Het probleem is nu als ze van buitenaf willen werken? synology cloudstation?

Ook komen er binnenkort 2 vaste computers, waar iedereen op kan werken als iemand zijn laptop is vergeten. Hoe los ik hiermee het probleem op dat ik niet voor elke gebruiker een aparte account moet maken per werkplek? Ik dacht eraan om active directory server te gebruiken. ALleen heb je het probleem weer dat deze niet van buitenaf benadert kan worden..

Alvast bedankt!

Iemand ideeën? suggesties?

[Briolet]

Zeker voor zakelijk gebruik zou ik al het externe verkeer via VPN laten lopen. Na het opzetten van een vpn verbinding, kunnen ze werken alsof ze op de zaak zitten.

[Acho]

Hi Briolet,

Bedankt voor jou bericht. Moeten ze dan iedere keer de shares opnieuw toevoegen in windows verkenner?

[pvkan]

Ik heb een soortgelijk probleem opgelost middels (personal) cloudtechnologie (DScloud).
Elke share benaderbaar in Windows en Verkenner.

Maar dit kan hier misschien wat minder wenselijk zijn gezien het type bedrijf / gegevens (Informatie Beveiliging).

Peter

[Acho]

Middels DScloud? Bedoel je dan sybology cloud? En share benaderbaar via windows verkenner is toch gewoon mogelijk via de verkenner? (Wel binnen het netwerk).

[pvkan]

Zolang je binnen het netwerk blijft zijn die shares natuurlijk gewoon benaderbaar.
DScloud loste voor mij het probleem bij externe toegang op.

VPN is natuurlijk het meest ideale, maar dat is niet altijd gebruikersvriendelijk.
(Ik heb te maken met digibeten ;-)) die VPN zien als een last (apart opstarten/ inloggen).

Peter

[Pippin]

Deze werknemers zullen toch echt moeten inloggen als zij op afstand werken.
Het nivo van beveiliging en daarmee inloggen op VPN of wat dan ook bepaalt het bedrijf lijkt mij.
Een gebruikersnaam en wachtwoord invullen is niet zo moeilijk, ze wennen er maar aan.

De shares zullen ook beschikbaar zijn wanneer werknemers buiten zijn en verbinding hebben via OpenVPN.

[pvkan]

@MMD
Helemaal eens, alleen zal er in sommige gevallen 2x ingelogd moeten worden.
Eenmaal VPN, daarna op de NAS.
Tenzij je SSO gaat toepassen natuurlijk.

Peter

[Acho]

Duidelijk.

De shares zullen dan wel telkens weer opnieuw aangemaakt worden? Of is dit maar een keer maar nodig?

[Pippin]

Dat kan eenmalig.

Deze computer --> Netwerkverbinding maken

Wanneer er dan verbinding bestaat met het bedrijfsnetwerk via lokaal WiFi/bedraad of extern OpenVPN zullen de shares beschikbaar zijn.

Bedenk je ook dat continu verbonden shares een groter risico vormen m.b.t. virussen, ransomware e.d. die zich kunnen verspreiden van een client (werknemer) naar de shares op de NAS.

[aliazzz]

Wellicht de werkmachines toevoegen aan een Active Directory Server die in de NAS draait => Scheelt in beheer.
Kan je meteen de netwerkshares geautomatiseerd toevoegen via de logon in het domain ;-). Daarnaast toegang vanuit WAN mogelijk maken via OpenVPN. Dus de NAS fungeert dan als (Windows) Domain en VPN server.
 

[Acho]

Hi Aliazzz,

bedankt voor jou reactie. Ik heb nu een active directory ingesteld zoals. ***.local Hier heb ik een login batchscript aangemaakt per gebruiker dat hij de shares moet toevoegen. Je moet natuurlijk wel lid zijn van het domein. Als ik in het netwerk zit en de DNS van de computer aanpas, kan ik lid worden van het domein. Hoe zit het nou als iemand op afstand bijvoorbeeld lid wilt worden van het domein? laten we een voorbeeld nemen;

Een nieuwe werknemer werkt met zijn laptop vanuit huis; hij is nog nooit op kantoor geweest. Hij maakt dus eerst een verbinding  met OpenVPN naar de NAS. vanuit daar voegt hij de laptop toe aan de server.. kan hij dan voortaan direct inloggen met zijn AD gebruikersnaam? of moet hij telkens opnieuw verbinding maken met Vpn?

Sorry als ik het fout heb, ben nog een beetje aan het experimenteren. ik ben zelf ook aan het leren Thanks!

[aliazzz]

vanuit daar voegt hij de laptop toe aan de server.. kan hij dan voortaan direct inloggen met zijn AD gebruikersnaam? of moet hij telkens opnieuw verbinding maken met Vpn?

De betreffende VPN verbinding moet geconfigureerd worden onder non-interactive service account en altijd volautomatisch aanloggen op de VPN server alvorens de gebruker inlogt op het Domein. Zoek eens op internet naar "Connect to domain account over VPN".

Als je dus de VPN verbindingsopbouw aan de gang hebt onder een non interactive user, is het antwoord op de vraag;
Kan hij dan voortaan direct inloggen met zijn AD gebruikersnaam? Ja
Moet hij telkens opnieuw verbinding maken met Vpn? Nee, de VPN verbinding draait altijd volautomatisch in achtergrond.

Overigens zou ik zou het scenario van zelf eerste keer aanloggen als werkgever niet toestaan. Wat ik zou doen is als volgt;
De werknemer verplicht op langs laten komen om laten tekenen voor gezien en begrepen hebben van het ICT beleid.
Daarna een van te voren geconfigureerde en geteste laptop overhandigen waarbij hij/zij voor ontvangst tekent.

Voordelen;
De machine is gegarandeerd goed getest en werkend met daarin de VPN verbinding onder een non interactive user.
De gebruiker kan meteen echt productief zijn en wordt niet belast met lastige ICT kwesties,
De gebruiker heeft het  local admin account password niet.
De gebruiker kan niet bij de VPN certificaten komen die nodig zijn voor de volautomatisch inlog.
De laptop voorzien van een goed antivirus pakket met on-access scan.
De laptop kan bijvoorbeeld worden voorzien van Teamview software voor remote assistance.

Succes 

[Acho]

Super!!!!!

hartstikke bedankt