Test: Netcom Desktop Manager v4
Kurs und Kiosk ferngesteuert
Mit dem Netcom Desktop Manager kann der Administrator live per Mausklick globale Bedienmöglichkeiten an Client-Rechnern einschränken. Obwohl speziell für Rechnernetze in Schulungsräumen entwickelt, scheint auch ein Einsatz im Unternehmen sinnvoll, etwa für Kiosksysteme.
Der Netcom Desktop Manager 4 ist eine Klassenraum-Managementsoftware. Diese zielt darauf ab,
Nicht-Systemadministratoren ein einfaches Werkzeug für das individuelle Einschränken von
Bedienmöglichkeiten an Windows-Maschinen in die Hand zu geben. Ihr Haupteinsatzbereich liegt darin,
den Anwender je nach Kursvorgabe (vordefinierten Config-Settings) in seinen Möglichkeiten
einzuschränken: Sie bietet White-/Blacklists für Programme und den Internetzugang, das Verbot von
Downloads, eine Laufwerks- und eine unabhängige USB-Sperre, die Einschränkung der Desktop-Icons,
das Unterbinden von Windows-Tastenkombinationen, Maus- und Tastatursperre, zentrale Dateifreigaben
sowie das Starten (via Wake on LAN) und Herunterfahren der Clients. Ein zentrales Merkmal ist, dass
Änderungen innerhalb von Sekunden durchgeführt werden und nicht etwa bis zur nächsten
Benutzeranmeldung oder zum nächsten Neustart des Rechners aufgeschoben werden, wie es bei
Gruppenrichtlinien der Fall sein kann.
Die Software basiert lediglich auf IP-Adressen und verzichtet auf ein separates
Anwendermanagement. So lassen sich Roaming-Profiles, ein regulärer Serverbetrieb mit User-Profilen
und gegebenenfalls Drittsoftware einsetzen. Als Betriebssystem setzt die Lösung Win-dows 95 oder
höher voraus. Zudem ist der Einsatz auf einem Terminalserver möglich.
Testumgebung
Als Testumgebung dienten drei Clients mit Windows XP SP2 und Office 2003. Alle Geräte befanden
sich im gleichen Subnetz, hatten ein zentrales Gateway mit DNS, eine gemeinsame Arbeitsgruppe,
jedoch keine Domäne. Auf einem Windows 2003 Standard Server wurde eine lokale Freigabe definiert
und auf allen Geräten (auch dem Server) als Laufwerk Z eingebunden. Die Administratorenkonsole
testeten wir bewusst auch unter Win-dows Server 2003, da dies wohl in vielen Unternehmen eine
mögliche Anwendungskonstellation darstellen dürfte. Der Hersteller geht davon aus, dass ein
weiterer Client als Admin-Konsole dient, was in Schulungsräumen sinnvoll, im Unternehmenseinsatz
hingegen fraglich ist, da dieser Client zusätzlich zum vorhandenen Server durchgängig laufen
müsste. Allerdings gibt es die Möglichkeit, die Admin-Konsole nicht andauernd in Betrieb halten zu
müssen: Wird der Admin-Client nicht erreicht, gilt auf Wunsch eine vordefinierte
Off-line-Konfiguration.
Der Download der Software umfasst knapp 13 MByte und ist somit flott durchgeführt. Die
Installation soll laut Hersteller direkt auf ein Netzwerklaufwerk (bei Clients sowie Admin-Client)
erfolgen. Nach der Installation auf Laufwerk Z und dem Start der Applikation erscheint unter Server
2003 die Fehlermeldung, dass ein Datenträger nicht verfügbar ist – nach einem Klick auf "Abbrechen"
startet die Applikation ohne Funktionseinschränkung.
Nun sind die Clients vorzubereiten: Als lokaler Administrator eingeloggt wird über das
bestehende Netzlaufwerk Z per Kommandozeile schueler.exe mit der Server-IP-Adresse als Parameter
gestartet. Dies kann durchaus auch über Gruppenrichtlinien oder Startskript für alle neuen
Maschinen automatisch geschehen. Nach Freigabe der Firewall-Warnung "Nicht mehr blocken" öffnet
sich der Desktop Manager (Bild 1) und weist darauf hin, dass ein Neustart für alle Funktionen
notwendig wäre. Nach diesem Neustart erfolgt der Wechsel zur Administrationskonsole und dem Button "
Client-Konfiguration ausführen". Danach sind die Client-Maschinen betriebsbereit.
Testverlauf
Nun lassen sich die Clients bereits über die Admin-Konsole steuern. Das erste Interface zeigt
die Basisfunktionen (Bild 2): Ein Klick auf "Monitor leer" bewirkt innerhalb von zirka ein bis zwei
Sekunden, dass alle Client-Monitore grau werden. In ähnlicher Manier kann der Administrator das
Internet "an-" und "ausschalten", Client-Software starten, schnell alle Programme beenden sowie
Clients an- und ausschalten. Praktisch ist der Klassenspiegel, der Screenshots aller Clients zum
Administrator überträgt. Das Intervall beträgt zirka vier bis fünf Sekunden. Beim Einsatz in
Unternehmen wäre diese Funktion aus gesetzlichen Gründen allerdings zu hinterfragen.
Als nächsten Test meldeten wir die Anwender auf den Test-Clients zentral ab, was augenblicklich
funktionierte. Jedoch startete die Applikation nach erneuter Anmeldung nicht automatisch. In den
erweiterten Einstellungen ist ein Autostart zu aktivieren. Hier sollte man darauf achten, dass die
Eingabesperre (Maus/Tastatur) wirklich nur dann aktiviert ist, wenn sichergestellt ist, dass die
Software problemlos startet. Auf die Testmaschinen war nach einem Neustart kein Zugriff mehr
möglich – auch nicht im abgesicherten Modus. Der Grund: Die Firewall gibt die Anwendung nicht frei;
man kann den Dialog aber auch nicht quittieren, da die Eingabesperre von Maus und Tastatur dies
verhindert. Der Hersteller bietet für solche Fälle jedoch ein Unlock-Tool an, die Alternative
scheint nur eine Neuinstallation zu sein. Eine weitere Möglichkeit wäre eine Gruppenrichtlinie, um
die Firewall remote zu konfigurieren. Nach einem Neustart kann die Software somit ordnungsgemäß
starten und die Eingabe wird wieder zugelassen.
Die erweiterten Einstellmöglichkeiten sind klug gewählt: Der Systemverwalter kann die Laufwerke
nach Buchstaben sperren oder ausblenden – jedoch wird weiterhin "Gemeinsame Ordner" angezeigt, auch
wenn kein Zugriff besteht. Ebenso interessant ist die Möglichkeit, nur bestimmte Programme zu
erlauben. Hierzu muss in der Admin-Konsole die entsprechende Startdatei gesucht werden – ein
Nachteil, wenn auf dem Server nicht die identischen Applikationen installiert sind. Eine reine
Eingabe des Prozessnamens ist nicht möglich. Beim Öffnen erscheint zum Teil eine
Windows-Sicherheitswarnung mit der Frage, ob der Vorgang fortgesetzt werden soll. Dies lässt sich
aber durchaus durch interne Windows-Konfiguration umgehen.
Grundsätzlich sind die Schutzmechanismen sauber implementiert: Den Internetzugriff steuert ein
lokales Proxy-Konfigurationsskript, das sich auch nicht durch andere Proxy-Server oder
Ausnahmenregelungen täuschen lässt. Der Zugriff erfolgt auf IP-Basis, auch das Umgehen der auf
Host-Namen basierenden Whitelist durch IP-Adressen-Eingabe scheitert. Beim Aktivieren bestimmter
Programme (oder Prozesse) erscheinen die Icons im Client-Fenster oder/und auf dem Desktop
automatisch. Die "Eigenen Dateien" können umgeleitet und somit zentral für alle Clients definiert
werden. Eine entsprechende Funktion ist für den Download aller Dateien (Prüfungsergebnisse) von den
Clients auf den Server integriert. Beachten muss man jedoch, dass die Funktionen sinnvoll
kombiniert werden. Wünschenswert wären durchaus bereits bestimmte Vorgaben, obwohl die
Einstellmöglichkeiten überschaubar sind. Eine weitere Möglichkeit ist die Stand-alone-Variante, bei
der die Software lediglich auf einem Client-System installiert wird. Hier lassen sich Einstellungen
und Kurse definieren, die per Kommandozeile (zum Beispiel als Autostart-Element) als Parameter
übergeben werden. Somit lassen sich Anwendungen wie Kiosksysteme sehr einfach realisieren.
Die Standardlizenz ist eine Klassenraumlizenz (ein Administrator und N Clients) zum Preis von
670 Euro. Die Stand-alone-Lizenz gilt für beliebig viele Clients und kostet ebenfalls 670 Euro, die
Terminalserver-Variante 1430 Euro. 8×5- Helpdesk-Support und Updates gibt es für 21,50 Euro
monatlich. Für Schulen gelten vergünstigte Preise. Erwähnenswert sind die online abrufbaren
Schulungsvideos, um den Funktionsumfang vorab kennenzulernen, sowie der kostenlose Support für die
Demoversion vor dem Kauf der Software.
Fazit
Netcoms Desktop Manager ist praktisch und einfach konzipiert. In Schulungsräumen bietet er nicht
nur alle benötigten Management- und Sicherheitsfunktionen, sondern auch didaktische Maßnahmen wie
das Vorzeigen einer Übung auf allen Monitoren oder das Durchführen von Prüfungen. Für den Einsatz
in Unternehmen ist das Produkt allerdings nicht unbedingt ausgelegt: Zu sehr vermisst man
vordefinierte Settings oder Assistenten. Die meisten der erwähnten Funktionen lassen sich auch mit
Gruppenrichtlinien umsetzen. Jedoch bedarf dies eines Mehraufwands bei der Konfiguration und ist
deutlich langsamer in der Umsetzung von Änderungen (kein Live-Effekt wie bei Netcom). Von Vorteil
kann im Unternehmen die Standalone-Variante sein, da man hier sehr einfach und schnell stark
eingeschränkte und sichere Kiosksysteme im Foyer oder auf Messen betreiben kann.
Info: Netcom Tel.: 09532/9231-0 Web: www.netcom.de
Lesen Sie mehr zum Thema
