T15G Gen2. Zwei getrennte BS installieren

[kos187]

Hallo zusammen.

Ich möchte auf meinem T15G Gen2 zwei Betriebssysteme laufen lassen.

- Windows 11 für Domänenumgebung im Office
- Windows 11 lokal als Sandbox (Privat und Diagnoseprogramme, Emulationen usw.)

Dafür habe ich auch zwei NVME montiert und den Bootmanager (F12) mit Passwortschutz versehen, (ebenso das BIOS)

So startet der Laptop im Dailybetrieb immer in das "Office OS". Nur wenn ich F12 drücke und das Passwort eingebe dann in das "freie OS"

Wie kann ich jetzt dafür Sorgen das die Betriebssysteme die Platte nicht sehen vom anderen BS.
(Laufwerksbuchstaben in Datenträgerverwaltung löschen reicht mir nicht)

Was habe ich versucht bis jetzt:
- NVME Passwort setzen (Problem: man kann es nicht skippen, das es dann einfach fehlt)

Frage: Wie würdet ihr das lösen?

Kann ich das über die Aktivierung von Bit locker erreichen? (Habe gelesen das der Performanceverlust sehr gering ist heutzutage) Oder würden die BS immer Zugriff auf beide Platten haben weils die gleiche Hardware ist (TPM etc.)

Sorry für die doofe Frage, aber ich habe noch nie mit Verschlüsselung gearbeitet.

EDIT: Notfallplan wäre halt eine USB-C Platte am Dock. Bootlock und diese auf Platz 1. So könnte ich es aber nur am Schreibtisch nutzen....

 

[mcb]

Damit sich die Systeme gar nicht sehen brauchst du einen Bootmanager der die Partitionen des inaktiven Systems 'versteckt' (fehleranfällig).

Bitlocker verhindert das Daten vom 2ten Systen gelesen werden können, und ja den Geschwindigkeitsverlust kann man vergessen.

Löschen kann Win die jeweils andere Platte immer.

 

[Rodcruiser]

Boot-US
für privat free (deutscher Programmierer)

 

[thickpad]

Die Frage die sich stellt ist ob du auf dem WIn11 der Domänenumgebung einen lokalen-Admin Account hast oder ob dein Nutzer in der lokalen Administratoren Gruppe ist dann lässt sich das mit diskpart und bcdedit inhouse aus der Administrativen CMD hinwuseln. Du kannst auch beide Installationen mit Bitlocker Nutzen, wird bei der Domänenumgebung vermutlich eh der Fall sein weil heutzutage eigentlich Goldstandard, du kannst aber nur eine Bitlocker verschlüsselte Installation mit TPM nutzen wenn du das bei der zweiten auch willst musst du ein Passwort verwenden. Das wird verutlich am Anfang massiv spinnen weshalb es sicher sinnvoll ist den Bitlocker Recovery-Key zu haben für die erste Installation.

 

[Mornsgrans]

Es kann eh nur ein Gewurschtel werden, egal, ob auf einem oder auf mehrere Laufwerke installiert. Mit Bitlocker wäre ich sehr vorsichtig, im schlimmsten Fall kommt Windows durcheinander und die Entschlüsselung klappt nicht mehr. Ohne Sicherung des Bitlocker-Wiederherstellungsschlüssels wäre dann hängen im Schacht.

Probleme kann es zudem noch geben mit UEFI- und Wiederherstellungspartition, die im schlimmsten Fall von der zweiten Installation überschrieben werden und die erste startet nicht mehr, oder die zweite Installation schreibt die Boot-Daten in den Bootsktor der ersten Installation, was bei einer Bitlocker-Verschlüsselung der ersten Partition fehlschlagen kann.

Wenn die erste SSD mit "HDD-"Passwort versehen wird, könnte die "Office"-SSD für das zweite OS von der zweiten SSD gestartet unsichtbar sein. - Erfahrungswerte sind bisher nicht bekannt. Ohne "HDD-"Passwort der ersten SSD treten die von mir o.a. Risiken in Kraft, weil dann das zweite OS die Partitionen der ersten einbinden wird oder es zumindest versucht.

Vermutung:
Ist die erste SSD nur Bitlockerverschlüsselt, wirst Du bei oder nach jedem Startvorgang zur Eingabe des Bitlockerschlüssels aufgefordert, wenn Windows nicht sogar selbständig die Daten aus dem TPM ausliest. - Aber da stecke ich nicht wirklich in dere Materie drin.

Abgesehen davon:

zwei Betriebssysteme laufen lassen.

- Windows 11 für Domänenumgebung im Office
- Windows 11 lokal als Sandbox (Privat und Diagnoseprogramme, Emulationen usw.)

Wenn es nicht Deine eigene Domäne ist und es sich um einen Firmenrechner handelt, wäre ich äußerst vorsichtig und wäre genehmigungspflichtig durch den Arbeitgeber.

 

[kos187]

Wenn es nicht Deine eigene Domäne ist und es sich um einen Firmenrechner handelt, wäre ich äußerst vorsichtig und wäre genehmigungspflichtig durch den Arbeitgeber.

Es geht darum, dass es draußen auf der Baustelle spezielle und teilweise alte Software (Windows 7,8,10) gibt. Mann Adminrechte benötigt für verschiedene Software Szenarien und dieses Gewusel nicht in der Domäne sein soll. Quasi ein "Wegwerf Rechner" (Softwareseitig) wo auch nicht gesichert wird und auch keinen Kontakt zur Firma hat (weder E-Mail, Files oder sonst was) solche "Diagnose Laptops" betreiben wir viel. Aber dieser Mitarbeiter soll zusätzlich damit an dem Dock arbeiten. Deswegen wäre mir eine mechanische Trennung am liebsten. Im Moment nutzt er in seinem Gerät z.b. ein CD Schacht Adapter (bzw. zwei) je nachdem welchen er einschiebt, ist es halt ein "anderer" Laptop.

Sowas hier z.B.: https://ebay.us/m/HR6V0g

Dazu suche ich quasi ein Äquivalent zu heutigen modernen Laptops mit NVME Slots. Die Hardwaretrennung mit dem SATA Schacht hatte schon seinen Charme.

PS: bin auch von Bastel / Lötarbeiten / Adaptern nicht abgeneigt. Jede Idee ist willkommen. Ich betrachte es auch als Hardwareproblem. Leider werde ich immer wieder ins Windowsforum verschoben und kann das nicht verhindern....

PPS: Dualboot BIOS mit Schalter wäre geil (wie bei manchen Grakas) . Wo Mann wie bei Consumer Mainbaords im BIOS die Anschlüsse einzeln deaktivieren kann.

 

[Mornsgrans]

Löten und basteln musst Du gottlob nicht, da in Deinen Rechner drei SSD reinpassen. - Wenn Du Opal2 - SSD hast, werden sie nach setzen des HDD-Passworts Hardware-verschlüsselt, Bitlocker wäre also nicht zwingend notwendig, UEFI- und Wiederherstellungspartitionen wären vor überschreiben durch die zweite Installation auch geschützt.

Beide SSD mit unterschiedlichen HDD-Passwörtern versehen sorgt allenfalls für eine Meckermeldung in der Datenträgerverwaltung, wenn zu einer kein Passwort beim Bootvorgang eingegeben wurde, bleibt aber unsichtbar.

Du musst nur sehen, ob beim booten vom USB-Stick beide HDD-Passwörter abgefragt und nur das der zweiten SSD eingegeben wird (bei der ersten mit <Esc> abbrechen) , um darauf die zweite Installation durchzuführen. Spannend wird es kurz vor bzw. beim Neustart, ob die Bootinformationen auch wirklich auf die zweite SSD geschrieben wurden und Windows nach Auswahl im Bootmenü via <F12> auch wirklich bootet.

Zumindest theoretisch halt ich es für denkbar.