Je ziet dat de meeste bedrijven kiezen voor een RDP/Citrix Xenapp oplossing. De implementatie en vooral de acceptatie zijn nogal eens problematisch omdat je een stuk vrijheid weghaalt bij de gebruikers. Daarintegen bouw je wel een stuk beveiliging, controle en eventueel auditing in. Je support wordt een stuk makkelijker en de gegevens zijn op een veilige manier beschikbaar voor je medewerkers op elke locatie met een internetverbinding en niet alleen op je kantoor.

Hoe kunnen ze trouwens een fileserver gebruiken terwijl ze niet op een netwerk zitten?

de vpn connectie is onder windows op basis van een bridge, je zit dus rechtstreeks op het netwerk.
je zwakke punt is dus de client.
nu bestaat zekerheid niet en alles is een risico.
houdt deze connecties beperkt.
voor de rest is een remote desktop veiliger, helaas wel met enige restricties en extra kosten.

Sorry, maar acceptatie is niet echt een keuze voor de eindgebruiker binnen bedrijven. Bedrijven zijn geen democratie, maar een dictatuur en werkweigering cq opvolgen van opdrachten kan elke HR-afdeling voor je oplossen hoor. Het enige wat bedrijven interesseert zijn kosten, winst, aansprakelijkheid en efficientie.

Zeker nu sommige werkgevers met het nieuwe werken beginnen zie je weer een spanningsveld komen. En vaak kiezen werknemers gewoon eieren voor hun geld, want de kachel moet ook branden. Kortom gewoon een RDP-sessie of een device die oa remote wipe ondersteunt of een soort Google Docs oplossing waarbij downloaden van bv documenten niet wordt ondersteunt. De oplossingen zijn er, maar vaak vergeet men de jurist en personeelzaken te betrekken of te laat. Het wordt dan snel duidelijk dat met rechten ook plichten komen.

Ik denk dat meest aanvaardbare optie hiervoor een Terminal Server is.
Zo heb je exacte controle over wat en wie er op de file server kan etc..
Dit met behulp van nodige policies en alles zou goed moeten werken

Moet het ook writable zijn? alleen leesbaar is dan zelfs met prive laptops wel af te sluiten

writable betekend ga maar naar een bedrijfsbeheerde laptop en ja gebruik MINSTENS VPN (met lezen volstaan alleen ssl)) en bij prive laptops UITERAARD DIE TUNNELS AFSCANNEN. daarin moet je haarfijn het patroon definieren wat gangbaar is in gebruik en al het andere moet niet toegelaten worden, tijdelijk afgesloten, beheerder genotificeerd. wil je meer info vraag maar.

oh ja en het is ook best gebruikelijk om in welk geval dan ook aparte loginssystemen te hanteren. dus niet dezelfde accounts als op de rest van het netwerk; account niet per gebruiker maar bijvoorbeeld per gebruikersgroep (gerelateerd uiteraard aan het doel). ik zou het persoonlijk zo doen bij prive laptops het writable schijven

- access separaat per gebruikersgroep en per ip (anti phishing)
- server apart in eigen dmz'je met evt een middle man tussen je bedrijfsnetwerk binnenste (graag ook apart ip, op ander block)
- dikke ids voor of beter zelfs OOK op de server (zie boven, PERFECT omlijnen en de rest uitscannen, zelfs op inlogtijden waarschuwingen laten afgeven)
- evt aparte inlog server
- een aparte cachebuffer voor je storage server bij de backupsystemen
- besturingssystemen vanaf cdrom? er zijn hier verschillende opties om 100% safe code te garanderen. denk aan het herladen van de kernel.
- eventueel met virtual machine? (overdreven vind ik zelfs voor sandboxing)
- dikke vpn tunnel

citrix is goed, maar duur. ga voor bsd ofzo en dat remote desktop ben ik niet zo'n fan van, weer een applicatie op een applicatie. maak dan gewoon een ssl lijntje via http. en ja, er zijn ettelijk zoveel opties dat is allemaal afhankelijk van de rest van je bedrijf en zie boven moet het writable zijn en ja er zijn genoeg opties.

Als het alleen om bestandstoegang gaat, waarom geen webdav ? Dat is hiervoor bedacht. En het routeert ook nog eens prettig over (inter)net, poort 443 (aka https).