34
AD Standorte anlegen oder lieber nicht?
Eine Frage zum Standort im AD
Ich richte 3 Standorte neu ein würde natürlich gerne weniger Pflegeaufwand haben.
Standorte im AD sind da an sich eine super Sache.
Ist es unsicherer Standorte im AD zu haben?
Die Standorte sind durch die Firewalls per VPN verbunden, damit ist eigentlich eh immer alles untereinander möglich.
Aber wenn jeder Standort sein Inseldasein hat, wäre es im Fall einer Kompromitierung nur einer der Ausfällt.
Ich möchte mal ehrliche Meinungen. Hier gibt es sicher Leute die beides haben ;)
Ich richte 3 Standorte neu ein würde natürlich gerne weniger Pflegeaufwand haben.
Standorte im AD sind da an sich eine super Sache.
Ist es unsicherer Standorte im AD zu haben?
Die Standorte sind durch die Firewalls per VPN verbunden, damit ist eigentlich eh immer alles untereinander möglich.
Aber wenn jeder Standort sein Inseldasein hat, wäre es im Fall einer Kompromitierung nur einer der Ausfällt.
Ich möchte mal ehrliche Meinungen. Hier gibt es sicher Leute die beides haben ;)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 664957
Url: https://administrator.de/contentid/664957
Printed on: April 19, 2024 at 10:04 o'clock
34 Comments
Latest comment
Moin,
das eine hat mit dem anderen nichts zu tun, du brauchst sowohl VPN als auch AD Standorte. Vielleicht solltest du dich mit dem Thema AD nochmal beschäftigen oder deine Frage präzisieren.
/Thomas
das eine hat mit dem anderen nichts zu tun, du brauchst sowohl VPN als auch AD Standorte. Vielleicht solltest du dich mit dem Thema AD nochmal beschäftigen oder deine Frage präzisieren.
/Thomas
Es geht nicht um vpn.
Ich meine nur das vpn eh da ist.
Ad Standort ist an sich halt ne schöne Sache.
Nur wenn eins kaputt dann alles kaputt...
Ich meine nur das vpn eh da ist.
Ad Standort ist an sich halt ne schöne Sache.
Nur wenn eins kaputt dann alles kaputt...
Hallo,
schön.
Vielleicht kannst Du Dein Anliegen präzisieren. Mehrere Standorte können für Redundanz sorgen oder man nutzt RODCs.
Grüße
lcer
schön.
Ad Standort ist an sich halt ne schöne Sache.
Warum? Was meinst Du eigentlich?Nur wenn eins kaputt dann alles kaputt...
Nö.Vielleicht kannst Du Dein Anliegen präzisieren. Mehrere Standorte können für Redundanz sorgen oder man nutzt RODCs.
Grüße
lcer
AD Standorte - wie sicher?
Bitte nicht alles auseinandernehmen und Dummmachen, wie beschäftige dich mal damit etc.
Es geht mir um die Grundsätzliche Meinung dazu.
Alles drum herum ist erst mal nicht das Thema. Replikation oder Read only DC - alles nur die Technik dahinter.
Ich habe zum Beispiel DFS auch abgewählt, weil es ein Problem eben ohne zutun verteilt.
So denke ich gerade auch über Standorte. Ein Server ist befallen oder manipuliert = alle anderen Server auch...
ODER?
Bitte nicht alles auseinandernehmen und Dummmachen, wie beschäftige dich mal damit etc.
Es geht mir um die Grundsätzliche Meinung dazu.
Alles drum herum ist erst mal nicht das Thema. Replikation oder Read only DC - alles nur die Technik dahinter.
Ich habe zum Beispiel DFS auch abgewählt, weil es ein Problem eben ohne zutun verteilt.
So denke ich gerade auch über Standorte. Ein Server ist befallen oder manipuliert = alle anderen Server auch...
ODER?
Hallo,
Grüße
lcer
Zitat von @LutzerHase:
So denke ich gerade auch über Standorte. Ein Server ist befallen oder manipuliert = alle anderen Server auch...
ODER?
Und - Du meinst es sicherer, die Systeme ohne zentrale Verwaltung zu betreiben? Das ist langfristig definitiv unsicherer.So denke ich gerade auch über Standorte. Ein Server ist befallen oder manipuliert = alle anderen Server auch...
ODER?
Replikation oder Read only DC - alles nur die Technik dahinter.
Die Du offenbar nicht beherrschst. In diesem Fall solltest Du vielleicht nicht gleich über das Große Ganze philosophieren, sondern über konkrete Probleme nachdenken. Was befürchtest Du konkret - wie kann man da vorbeugen.Grüße
lcer
Ein Server ist befallen oder manipuliert = alle anderen Server auch...
Wie seht ihr das?
Wie einfach soll ich denn die Frage stellen?
Ich habe kein Problem...
Wie seht ihr das?
Wie einfach soll ich denn die Frage stellen?
Ich habe kein Problem...
Doch, hast du, du hast AD Standorte nicht verstanden.
Gruß
Jasper
1
Hi,
AD Standorte sind dazu da, Replikationsverkehr und Anmeldeverkehr zu managen. Mehr nicht.
https://www.it-fanatic.de/active-directory-standorte-und-dienste/
Es hat null mit Sicherheit zu tun.
MfG
AD Standorte sind dazu da, Replikationsverkehr und Anmeldeverkehr zu managen. Mehr nicht.
https://www.it-fanatic.de/active-directory-standorte-und-dienste/
Es hat null mit Sicherheit zu tun.
MfG
Hi,
Wie beim Autokauf auch, sind die Anforderungen ausschlaggeben für eine bestmöglichste Beratung seitens des Verkäufers. Mit den genannten Anforderungen, würde dir jeder Verkäufer nur seine Top-Modell mit der höchsten Provision vorstellen. Es ist für beide Seiten nicht Zielführend, wenn du Weißt "ich brauche einen Kleinbus" und Er dir sein Luxus Sport Coupé vorstellt. Aber wen trifft die Schuld bei der Anforderung "Ich will ein tolles Auto"?
Wie beim Autokauf auch, sind die Anforderungen ausschlaggeben für eine bestmöglichste Beratung seitens des Verkäufers. Mit den genannten Anforderungen, würde dir jeder Verkäufer nur seine Top-Modell mit der höchsten Provision vorstellen. Es ist für beide Seiten nicht Zielführend, wenn du Weißt "ich brauche einen Kleinbus" und Er dir sein Luxus Sport Coupé vorstellt. Aber wen trifft die Schuld bei der Anforderung "Ich will ein tolles Auto"?
Also ich nutze Standorte beim Scripting.
Ich verteile Software via VBScript und möchte sicherstellen, dass die Verteilung an einem bestimmten Standort auf eine bestimmte Art und Weise geschieht. Dabei habe ich nur an einem Standort DCs stehen.
Ich verteile Software via VBScript und möchte sicherstellen, dass die Verteilung an einem bestimmten Standort auf eine bestimmte Art und Weise geschieht. Dabei habe ich nur an einem Standort DCs stehen.
Null mit Sicherheit zu tun, finde ich nun gar nicht.
Ist doch der DC die sensibilste Stelle, sollte man doch jede Einstellung bedenken.
Das mit dem Auto verstehe ich nicht.
Wenn ich es aus Backup Sicht sehe, macht es auch einen riesen Unterschied zwischen push und pull.
Nicht die Technik, sondern die Tatsache das ich ein Backup ziehen kann ohne das der Server etwas davon weiß. So kann man diesen Weg eben nicht manipulieren.
Genau so sehe ich das erst einmal bei den Standorten. Wenn jeder Server für sich arbeitet und die anderen nicht kennt, ist doch das Risiko geringer. Nicht weg, aber schwerer. So hätte ich 3 Admin Kontos für 3 DC, mit Standorte einen theoretisch...
Ist doch der DC die sensibilste Stelle, sollte man doch jede Einstellung bedenken.
Das mit dem Auto verstehe ich nicht.
Wenn ich es aus Backup Sicht sehe, macht es auch einen riesen Unterschied zwischen push und pull.
Nicht die Technik, sondern die Tatsache das ich ein Backup ziehen kann ohne das der Server etwas davon weiß. So kann man diesen Weg eben nicht manipulieren.
Genau so sehe ich das erst einmal bei den Standorten. Wenn jeder Server für sich arbeitet und die anderen nicht kennt, ist doch das Risiko geringer. Nicht weg, aber schwerer. So hätte ich 3 Admin Kontos für 3 DC, mit Standorte einen theoretisch...
Wenn ich es aus Backup Sicht sehe, macht es auch einen riesen Unterschied zwischen push und pull.
Nicht die Technik, sondern die Tatsache das ich ein Backup ziehen kann ohne das der Server etwas davon weiß. So kann man diesen Weg eben nicht manipulieren.
Nicht die Technik, sondern die Tatsache das ich ein Backup ziehen kann ohne das der Server etwas davon weiß. So kann man diesen Weg eben nicht manipulieren.
das versteht kein Mensch, was willst du sagen
Genau so sehe ich das erst einmal bei den Standorten. Wenn jeder Server für sich arbeitet und die anderen nicht kennt, ist doch das Risiko geringer. Nicht weg, aber schwerer. So hätte ich 3 Admin Kontos für 3 DC, mit Standorte einen theoretisch...
Wie sollen sich denn DC in einer AD Gesamtstruktur nicht kennen. Wenn du drei AD Gesamtstrukturen hast , dann sehen sich die DC nur auf Netzwerk-Ebene.
Hier fehlen grundlegende Active Directory Grundlagen.
MfG
... und damit 3 DCs, die Du fehlerhaft konfigurieren könntest. Anstatt aber zu versuchen, 3 mal alles korrekt zu machen wäre es sicherer, einmal alles genau richtig zu machen und dann das Ganze per GPO auf alle zu verteilen. Natürlich sind alle 3 DCs dann gleich angreifbar, aber sicherer, weil Du mehr Zeit in eine fehlerfreie Konfiguration stecken konntest.
Bei der IT-Sicherheit ist es wichtig, die Übersicht zu behalten und Anforderungen konsequent durchzusetzen. Das geht besser mit einem zentralen Management.
Deine Frage hat offenbar mit Standorten nichts zu tun...
Grüße
lcer
Bei der IT-Sicherheit ist es wichtig, die Übersicht zu behalten und Anforderungen konsequent durchzusetzen. Das geht besser mit einem zentralen Management.
Deine Frage hat offenbar mit Standorten nichts zu tun...
Grüße
lcer
1Null mit Sicherheit zu tun, finde ich nun gar nicht.
In deinem Fall hat das Erstellen von Standorten im AD mehr negative Auswirkungen auf das Thema Sicherheit.Du wirst als Mitglied der Domain-Admin's überall unterwegs sein.
Ist doch der DC die sensibilste Stelle, sollte man doch jede Einstellung bedenken.
Da gebe ich dir Brief und Siegel drauf 
Daher die Frage. Ist es sinnvoller, mit einer chronisch unterbesetzten Mannschaft nur einen Tresor zu bewachen oder 3 in verschiedenen Lokationen?
Das mit dem Auto verstehe ich nicht.
Mit der Antwort habe ich Gerechnet Also mal Direkt. Ich kann dir nur Helfen, wenn ich weiß wovon du Sprichst
- AD-Standorte im Meisterbetrieb: Fraglich
- AD-Standorte im KMU: kommt drauf an, vllt tut es ja auch nur ein RODC
- AD-Standorte im KMU mit Auslandsbüros: auf Jeden
- AD-Standorte im Konzern: Da hast du kein Mitspracherecht mehr. Das entscheiden Personen, fernab der eigentlich notwendigen Fachkompetenz
Es geht in die richtige Richtung...😁
Jetzt sind die drei Standorte einzeln und müssen sich auch nicht kennen. Selbst eine vertauensstellung ist nicht von Nöten.
Also User pflegen ist ja auch nicht die Arbeit...
Aber der Rest nervt schon alles drei mal zu bauen, pflegen und Fehler zu suchen. Im Moment leider alle drei Server noch von drei verschiedenen kreativen Menschen gebastelt.
Wenn man nur "einmal" pflegen möchte, was auch wirklich Sinn macht, gibt es ja nicht so viele Möglichkeiten. Da sind Standorte eigentlich genau das richtige.
Die Struktur der ou's ist minimal. Das würde theoretisch reichen über Replikation. Aber dann fehlt mir ein wenig der Zugriff den ich beschränken kann. Eigentlich nicht, es gibt ja Möglichkeiten aber alles mit viel pflegeaufwand.
Kmu ja aber dann der rodc aber wie gesagt. Mögliche sicherheit möchte ich nicht gegen Aufwand eintauschen. Wenn dann was ist, kannst du mit deiner gewonnenen Zeit nichts wieder gut machen.
Jetzt sind die drei Standorte einzeln und müssen sich auch nicht kennen. Selbst eine vertauensstellung ist nicht von Nöten.
Also User pflegen ist ja auch nicht die Arbeit...
Aber der Rest nervt schon alles drei mal zu bauen, pflegen und Fehler zu suchen. Im Moment leider alle drei Server noch von drei verschiedenen kreativen Menschen gebastelt.
Wenn man nur "einmal" pflegen möchte, was auch wirklich Sinn macht, gibt es ja nicht so viele Möglichkeiten. Da sind Standorte eigentlich genau das richtige.
Die Struktur der ou's ist minimal. Das würde theoretisch reichen über Replikation. Aber dann fehlt mir ein wenig der Zugriff den ich beschränken kann. Eigentlich nicht, es gibt ja Möglichkeiten aber alles mit viel pflegeaufwand.
Kmu ja aber dann der rodc aber wie gesagt. Mögliche sicherheit möchte ich nicht gegen Aufwand eintauschen. Wenn dann was ist, kannst du mit deiner gewonnenen Zeit nichts wieder gut machen.
Hallo,
vielleicht denkst Du zu kompliziert.
Wenn es 3 getrennte Firmen sind, muss das rechtemäßig sauber getrennt werden -> 3 separate ADs
Grüße
lcer
vielleicht denkst Du zu kompliziert.
Wenn es 3 getrennte Firmen sind, muss das rechtemäßig sauber getrennt werden -> 3 separate ADs
Grüße
lcer
Wie du meinst, ich sehe dich trotzdem ins leere Rennen
Sicherheit erreicht man nicht, in dem man ein 99€ Sicherheitsschloss an eine portable Holztruhe klebt
Sie sollte zusätzlich von Personen bewacht werden, die den Inhalt auch als Schützenswert erachten und sich dementsprechend Verhalten
Du siehst, es läuft auf eine Kombination hinaus. In Fachkreisen auch Sicherheitskonzept genannt.
Das Sicherheitskonzept hört sich Kompliziert und Teuer an… ist es auch. Dementsprechend sollte man (der Chef|in) im Vorfeld überlegen wofür man es ausgibt und auf welche Kostenstellen man es Buchen will.
Sicherheit erreicht man nicht, in dem man ein 99€ Sicherheitsschloss an eine portable Holztruhe klebt
Sie sollte zusätzlich von Personen bewacht werden, die den Inhalt auch als Schützenswert erachten und sich dementsprechend Verhalten
Du siehst, es läuft auf eine Kombination hinaus. In Fachkreisen auch Sicherheitskonzept genannt.
Das Sicherheitskonzept hört sich Kompliziert und Teuer an… ist es auch. Dementsprechend sollte man (der Chef|in) im Vorfeld überlegen wofür man es ausgibt und auf welche Kostenstellen man es Buchen will.
Es ist eine Firma, nur Standorte...
Ihr seit echt gut.
Macht euch lustig und ermahnt das man an das große Ganze denken soll.
Mir geht es nur darum dieses kleine puzzelteil zu bewerten. Damit es ins ganze passt.
Internet und mittlerweile auch Fachbücher sind voll von halbwahrheiten, Vermutungen, ungeklärten Dingen.
Sorry das ich dazu beigetragen habe, dass es wieder einen Betrag mehr gibt, von dem keiner etwas hat. 😉
Bitte schließen und verstecken 😁
Ihr seit echt gut.
Macht euch lustig und ermahnt das man an das große Ganze denken soll.
Mir geht es nur darum dieses kleine puzzelteil zu bewerten. Damit es ins ganze passt.
Internet und mittlerweile auch Fachbücher sind voll von halbwahrheiten, Vermutungen, ungeklärten Dingen.
Sorry das ich dazu beigetragen habe, dass es wieder einen Betrag mehr gibt, von dem keiner etwas hat. 😉
Bitte schließen und verstecken 😁
Moin,
Deinen Kerngedanken kann ich nachvollziehen.
Wenn man viele einzelne Inseln betreibt, ist das Risiko einer gesamtheitlichen Infektion geringer. Zumindest im ersten Moment.
Aber:
Der Chef will ja womöglich in allen drei Standorten arbeiten können. Dann bräuchte er ja drei verschieden Laptops und die Mailkonten aller drei Standorte auf seinem Smartdevice. Das führt dann zum selben Kennwort und Benutzernamen an allen drei Standorten.
Ob das ein Sicherheitsgründe ist: kann man drüber streiten.
Was aber nicht unwesentlich sein dürfte:
Man verballert Zeit für die selben Tätigkeiten:
Dreifaches Anlegen von GPOs für die Altualisierung von Software.
Drei mal den WSUS pflegen
Drei mal das Monitoring im Auge behalten
...
Zwei Drittel der Zeit könnte man dann eher nutzen, um alles abzusichern und MAs zu schulen.
Also ja: im ersten Moment sind separate ADs ganz gut, aber da man alles doppelt und dreifach machen muss, fehlt es an Zeit, für die grundlegenden Sicherheitsvorkehrungen...
Gruß
em-pie
Deinen Kerngedanken kann ich nachvollziehen.
Wenn man viele einzelne Inseln betreibt, ist das Risiko einer gesamtheitlichen Infektion geringer. Zumindest im ersten Moment.
Aber:
Der Chef will ja womöglich in allen drei Standorten arbeiten können. Dann bräuchte er ja drei verschieden Laptops und die Mailkonten aller drei Standorte auf seinem Smartdevice. Das führt dann zum selben Kennwort und Benutzernamen an allen drei Standorten.
Ob das ein Sicherheitsgründe ist: kann man drüber streiten.
Was aber nicht unwesentlich sein dürfte:
Man verballert Zeit für die selben Tätigkeiten:
Dreifaches Anlegen von GPOs für die Altualisierung von Software.
Drei mal den WSUS pflegen
Drei mal das Monitoring im Auge behalten
...
Zwei Drittel der Zeit könnte man dann eher nutzen, um alles abzusichern und MAs zu schulen.
- Einsatz von validierten Zertifikaten
- keine fremden USB-Stucks nutzen
- E-Mails kritisch hinterfragen
- nicht jeden Link anklicken
Also ja: im ersten Moment sind separate ADs ganz gut, aber da man alles doppelt und dreifach machen muss, fehlt es an Zeit, für die grundlegenden Sicherheitsvorkehrungen...
Gruß
em-pie
Bist du in der Lage, mir kurz Erklären wo ich als User, in der Rolle als "IT-Sicherheitsberater für jeden Bullshit" DIR nicht weiterhelfen konnte?
Ich habe nachdem 3 "Admins" gesagt haben "das wird nix" an einem einfachen Beispiel dem "Autokauf" erklärt was DU falsch machst.
Ich habe Dich auf die wirtschaftlichen Interessenskonflikte beider Parteien hingewiesen.
Ich habe Dir fachlich und sachlich erklärt, dass das Thema Zuviel für dich ist. Und DU mit deinem Chef und deinem Sicherheitskonzept wiederkommen könnt.
Naja… ich habe auch geschrieben. Du Rennst ins Leere.
Ich habe nachdem 3 "Admins" gesagt haben "das wird nix" an einem einfachen Beispiel dem "Autokauf" erklärt was DU falsch machst.
Ich habe Dich auf die wirtschaftlichen Interessenskonflikte beider Parteien hingewiesen.
Ich habe Dir fachlich und sachlich erklärt, dass das Thema Zuviel für dich ist. Und DU mit deinem Chef und deinem Sicherheitskonzept wiederkommen könnt.
Naja… ich habe auch geschrieben. Du Rennst ins Leere.
Moin Em-pie,
Den Gedanken hier weiter zu verfolgen, würde gegen zahlreiche Diskussionsrichtlinien verstoßen.
Mein Kernansatz geht noch etwas drastischer.
Gruß
Archer
Den Gedanken hier weiter zu verfolgen, würde gegen zahlreiche Diskussionsrichtlinien verstoßen.
Mein Kernansatz geht noch etwas drastischer.
Gruß
Archer
Administrator.de in a nutshell. Naja ... sometimes.
Schade, dass hier teilweise gleich wieder solche peinlichen Antworten kommen mussten. Hat man direkt wieder ein Dejavu.
EDIT für alle, die das später lesen: Einige Posts wurden nachträglich teilweise editiert/moderiert
Schade, dass hier teilweise gleich wieder solche peinlichen Antworten kommen mussten. Hat man direkt wieder ein Dejavu.
EDIT für alle, die das später lesen: Einige Posts wurden nachträglich teilweise editiert/moderiert
Zitat von @Trommel:
Administrator.de in a nutshell. Naja ... sometimes.
Schade, dass hier teilweise gleich wieder solche peinlichen Antworten kommen mussten. Hat man direkt wieder ein Dejavu.
Administrator.de in a nutshell. Naja ... sometimes.
Schade, dass hier teilweise gleich wieder solche peinlichen Antworten kommen mussten. Hat man direkt wieder ein Dejavu.
Guten Tag
Solch eine pauschale Aussage finde ich eigentlich nur bedauerlich.
Du hättest in meinen Augen echte Größe bewiesen, wenn Du konstruktiv kritisiert hättest.
Ich denke, jeder will immer noch gerne dazu lernen und wir sind alt genug, dass man uns unsere Fehler ruhig mal vorhalten kann, aber dann zeige auch, wer was wie besser machen kann.
Gruß
bdmvg
@em-pi
Danke für deine Inputs, das stand auch alles auf meinem Zettel.
Die Sache mit dem Laptop usw. Ist kein Thema. Das ist hier alles sehr statisch. Nur ThinClients keine mobilen Geräte usw.
Trotzdem scheue ich eben an meisten den Pflegeaufwand. Das nervt mich schon bei den Firewall, alles mehrfach zu pflegen.
@148021
Sorry ich hab deine Story einfach nicht so recht verstanden 🙂
Es ist nur das kleine Thema von vielen was ich mal beleuchten wollte.
Kennt ihr das nicht, dass man auch mal andere fragen muss damit man diesen Tunnel erkennt?
Zwischendurch kam aber auch viel geflame, da war ich echt bedient und hab es betreut zu fragen.
Wisst ihr eigentlich wie viele so genannte Fachleute da draußen Geld verdienen wollen?
Und teilweise jahrelang dran studiert und Zertifikate etc.
Und da hört man oft richtig viel Müll. Das ist nicht gut für unseren Beruf/Hobby.
Danke für deine Inputs, das stand auch alles auf meinem Zettel.
Die Sache mit dem Laptop usw. Ist kein Thema. Das ist hier alles sehr statisch. Nur ThinClients keine mobilen Geräte usw.
Trotzdem scheue ich eben an meisten den Pflegeaufwand. Das nervt mich schon bei den Firewall, alles mehrfach zu pflegen.
@148021
Sorry ich hab deine Story einfach nicht so recht verstanden 🙂
Es ist nur das kleine Thema von vielen was ich mal beleuchten wollte.
Kennt ihr das nicht, dass man auch mal andere fragen muss damit man diesen Tunnel erkennt?
Zwischendurch kam aber auch viel geflame, da war ich echt bedient und hab es betreut zu fragen.
Wisst ihr eigentlich wie viele so genannte Fachleute da draußen Geld verdienen wollen?
Und teilweise jahrelang dran studiert und Zertifikate etc.
Und da hört man oft richtig viel Müll. Das ist nicht gut für unseren Beruf/Hobby.
Zitat von @LutzerHase:
Wisst ihr eigentlich wie viele so genannte Fachleute da draußen Geld verdienen wollen?
Ich nicht. Ich teile mein Wissen eigentlich sehr gerne.Wisst ihr eigentlich wie viele so genannte Fachleute da draußen Geld verdienen wollen?
Und teilweise jahrelang dran studiert und Zertifikate etc.
Ich hab keine Zertifikate und auch nicht studiert. Ich hab mich da reingearbeitet, weil ich Freude daran habe und bin durch und durch Praktiker.Und da hört man oft richtig viel Müll. Das ist nicht gut für unseren Beruf/Hobby.
Viele Wege führen nach Rom. Manchmal ist es besser über die Nebenstraßen zum Ziel zu kommen, manchmal besser über die Hauptstraßen. Es wird mit Sicherheit viel erzählt, was man auf den ersten Moment für Stuss halten könnte, aber es kommt auch vor, dass es schlichtweg einfach nur haltbar ist und sich dem eigenen Verständnis nur nicht erschließt. Kommt vor...
Moin,
was meinst du mit AD-Standorten? Getrennte ADs oder tatsächlich Standorte innerhalb des ADs? Das geht nicht hervor. Du musst konkreter werden.
AD-Standorte, so wie das AD es auch versteht, ist sinnvoll für Performance.
AD-Standorte in Form von getrennten ADs ist ziemlich sinnfrei, denn Standorte kommunizieren irgendwann miteinander und dabei ist der Verwaltungsaufwand viel zu hoch und sinnfrei und erhöht auch nicht unbedingt die Sicherheit, denn: Je mehr Verwaltungsaufwand, desto schlampiger werden die Leute. Mach es gleich richtig und sauber und schraub innerhalb des einen ADs die Sicherheit hoch. Also ich hätte bei deinem Konstrukt gar keine lust zu administrieren.
Grüße
Daemmerung
was meinst du mit AD-Standorten? Getrennte ADs oder tatsächlich Standorte innerhalb des ADs? Das geht nicht hervor. Du musst konkreter werden.
AD-Standorte, so wie das AD es auch versteht, ist sinnvoll für Performance.
AD-Standorte in Form von getrennten ADs ist ziemlich sinnfrei, denn Standorte kommunizieren irgendwann miteinander und dabei ist der Verwaltungsaufwand viel zu hoch und sinnfrei und erhöht auch nicht unbedingt die Sicherheit, denn: Je mehr Verwaltungsaufwand, desto schlampiger werden die Leute. Mach es gleich richtig und sauber und schraub innerhalb des einen ADs die Sicherheit hoch. Also ich hätte bei deinem Konstrukt gar keine lust zu administrieren.
Grüße
Daemmerung
Moin LutzerHase,
Kein Problem, du hast nach meiner zielführenden klaren Meinung gefragt, die hast du definitiv bekommen.
Und zum Denken angeregt hat Sie auch. War doch deine Erwartungshaltung, an ein Forum?
Bevor du das Ding hier zu machst und mit em-pie zusammen in einem neuen Thread weiter dem, meiner Meinung nach eigentlichem Problem arbeits. Würde ich gern zum Einklang einmal auf der Trommel spielen So als kleines Ständchen. Zu Ehren der gefallen Kollegen.
Aber nur wenn du Erlaubst
Gruß
Archer
Kein Problem, du hast nach meiner zielführenden klaren Meinung gefragt, die hast du definitiv bekommen.
Und zum Denken angeregt hat Sie auch. War doch deine Erwartungshaltung, an ein Forum?
Bevor du das Ding hier zu machst und mit em-pie zusammen in einem neuen Thread weiter dem, meiner Meinung nach eigentlichem Problem arbeits. Würde ich gern zum Einklang einmal auf der Trommel spielen
So als kleines Ständchen. Zu Ehren der gefallen Kollegen.Aber nur wenn du Erlaubst
Gruß
Archer
Moin,
das ist eine Grundsatzfrage
Eine zentrale Verwaltung bietet viele Vorteile:
- Weniger Aufwand
- Höhere Sicherheit (weil man nicht vergessen kann an Standort B auch eine Kontrolle oder ein Update zu machen)
- Mehr Komfort (weil der Admin sich nicht dauernd in 50 verschiedene Interface einloggen muss)
- Mehr Komfort (weil jeder MA sich an jedem Standort an jedes Gerät anmelden kann)
Nachteilig bei einer dezentralen Verwaltung sind genau die gleichen Punkte umgekehrt
- Mehr Verwaltungsaufwand
- Geringere Sicherheit (durch den größeren Aufwand vergisst man eher mal was irgendwo)
- Höhere Sicherheit (durch die Trennung der Netzwerke kann sich ein Wurm nicht unbegrenzt ausbreiten)
- Wenn es z.B. nur einen AD am Hauptstandort gibt und die Verbingung weg ist, steht in den anderen Standorten alles.
Auch gibt es praktische Erwägungen.
Wenn Personal zwischen den Standorten wechselt brauchst Du das eh.
Wenn ein Standort verkauft/ausgegliedert werden soll ist eine Integration hinderlich.
Unsere Webserver laufen z.B. alle autakt.
Mit allen Nach- und Vorteilen. Aber die Webseiten von Kunden werden deutlich häufiger gehackt als normale IT-Installationen...
Stefan
das ist eine Grundsatzfrage
Eine zentrale Verwaltung bietet viele Vorteile:
- Weniger Aufwand
- Höhere Sicherheit (weil man nicht vergessen kann an Standort B auch eine Kontrolle oder ein Update zu machen)
- Mehr Komfort (weil der Admin sich nicht dauernd in 50 verschiedene Interface einloggen muss)
- Mehr Komfort (weil jeder MA sich an jedem Standort an jedes Gerät anmelden kann)
Nachteilig bei einer dezentralen Verwaltung sind genau die gleichen Punkte umgekehrt
- Mehr Verwaltungsaufwand
- Geringere Sicherheit (durch den größeren Aufwand vergisst man eher mal was irgendwo)
- Höhere Sicherheit (durch die Trennung der Netzwerke kann sich ein Wurm nicht unbegrenzt ausbreiten)
- Wenn es z.B. nur einen AD am Hauptstandort gibt und die Verbingung weg ist, steht in den anderen Standorten alles.
Auch gibt es praktische Erwägungen.
Wenn Personal zwischen den Standorten wechselt brauchst Du das eh.
Wenn ein Standort verkauft/ausgegliedert werden soll ist eine Integration hinderlich.
Unsere Webserver laufen z.B. alle autakt.
Mit allen Nach- und Vorteilen. Aber die Webseiten von Kunden werden deutlich häufiger gehackt als normale IT-Installationen...
Stefan
Moin Stefan,
Genau, dass ist der "casus belli".
Hier muss sich der Chef fragen. Ist die Arbeitsweise im Unternehmen noch Zeitgemäß, wenn mittlerweile jeder Knallkopf beim Spagetti kochen seine gesamte Existenz ruinieren kann?
Gruß
Archer
Genau, dass ist der "casus belli".
Hier muss sich der Chef fragen. Ist die Arbeitsweise im Unternehmen noch Zeitgemäß, wenn mittlerweile jeder Knallkopf beim Spagetti kochen seine gesamte Existenz ruinieren kann?
Gruß
Archer
Auch sind größere Installationen lohnenswertere Ziele für Hacker.
Wer von denen möchte nicht gerne O365, Irgendwelche RMMs oder den Windows-Update-Server hacken.
Der Schaden und die Kontrolle wären grenzenlos.
Siehe z.B. auch NotPetya
https://www.youtube.com/watch?v=KODpP29AHD4
Durch den Hack eines Update-Servers der Firma medoc wurde unvergleichlicher Schaden angerichtet.
Wenn ich zum Kunden fahre nehme ich bestimmte Zugangsdaten als Ausdruck auf Papier mit.
Stefan
Wer von denen möchte nicht gerne O365, Irgendwelche RMMs oder den Windows-Update-Server hacken.
Der Schaden und die Kontrolle wären grenzenlos.
Siehe z.B. auch NotPetya
https://www.youtube.com/watch?v=KODpP29AHD4
Durch den Hack eines Update-Servers der Firma medoc wurde unvergleichlicher Schaden angerichtet.
Wenn ich zum Kunden fahre nehme ich bestimmte Zugangsdaten als Ausdruck auf Papier mit.
- neg Nervig
- neg Können leichter verloren gehen als gesicherte USB-Sticks und Notebooks
- pro Einfachere Kontrolle (Zettel da?)
- pro Geringerer Schaden (Es können nur die Zugangsdaten für einen Kunden verloren gehen, nicht alle auf einmal)
Stefan
Hallo,
Womit wieder klar wird - es kommt drauf an, wer vor dem Bildschirm sitzt. Man sollte beispielweise nicht per se davon ausgehen, dass Passwörter jeweils nur für ein System verwendet werden - manche Admins machen das halt anders.
Es ist nicht hilfreich, das Sicherheitskonzept an einzelnen Punkten (wie der Standortdiskussion oder der DFS-Diskussion des TO) festzumachen. Die Herangehensweise "Details interessieren nicht - wir klären erst mal das Prinzipielle" ist daher nicht zielführend.
Grüße
lcer
Zitat von @StefanKittel:
Wenn ich zum Kunden fahre nehme ich bestimmte Zugangsdaten als Ausdruck auf Papier mit.
Wenn ich zum Kunden fahre nehme ich bestimmte Zugangsdaten als Ausdruck auf Papier mit.
- neg Nervig
- neg Können leichter verloren gehen als gesicherte USB-Sticks und Notebooks
- pro Einfachere Kontrolle (Zettel da?)
- pro Geringerer Schaden (Es können nur die Zugangsdaten für einen Kunden verloren gehen, nicht alle auf einmal)
Womit wieder klar wird - es kommt drauf an, wer vor dem Bildschirm sitzt. Man sollte beispielweise nicht per se davon ausgehen, dass Passwörter jeweils nur für ein System verwendet werden - manche Admins machen das halt anders.
Es ist nicht hilfreich, das Sicherheitskonzept an einzelnen Punkten (wie der Standortdiskussion oder der DFS-Diskussion des TO) festzumachen. Die Herangehensweise "Details interessieren nicht - wir klären erst mal das Prinzipielle" ist daher nicht zielführend.
Grüße
lcer
OK, super ich lese genau meine Fragen/ Bedenken immer wieder.
Ein richtig richtig gibt es nicht und wenn dann nur für einen Moment.
Der Pflegeaufwand steht auch bei mir ganz oben auf der pro Liste. Auch wenn sich die Standorte überhaupt nicht tangieren, ist es doch viel einfacher richtig gut strukturierte und effektive GPO´s nur einmal zu erstellen und ggf. zu pflegen.
Ich hab aber auch schon zu viel Mist erlebt, als das ich den Sicherheitsgedanken weg schieben könnte.
Da ist der Aufwand alle DC´s einzeln zu pflegen nichts gegen den Aufwand wenn die Kacke richtig qualmt.
Selbst eine gehostete Webseite ist schon geschädigt worden.
Es findet sich immer eine Lücke…
Ein richtig richtig gibt es nicht und wenn dann nur für einen Moment.
Der Pflegeaufwand steht auch bei mir ganz oben auf der pro Liste. Auch wenn sich die Standorte überhaupt nicht tangieren, ist es doch viel einfacher richtig gut strukturierte und effektive GPO´s nur einmal zu erstellen und ggf. zu pflegen.
Ich hab aber auch schon zu viel Mist erlebt, als das ich den Sicherheitsgedanken weg schieben könnte.
Da ist der Aufwand alle DC´s einzeln zu pflegen nichts gegen den Aufwand wenn die Kacke richtig qualmt.
Selbst eine gehostete Webseite ist schon geschädigt worden.
Es findet sich immer eine Lücke…
Hi, Lutzer,
Um die Sicherheitsbedenken massiv in deine Denkweise einzubrennen
Ich bin mir sicher, dass du zukünftig deine Arbeiten nur noch in einer Test-umgebung durchführen wirst, Also bau sie ALLE ein und schau ob sie dir schadet und schreib es auf!
Im Zuge des neuen Sicheheitskonzeptes. Wird spätestens bei der Beurteilung der "Wichtigkeit" für den Unternehmensbetrieb" klar dass es ratsam ist, irgendwo ein Fallback-Server im Schrank zuhaben.
Warum sollte der nicht einfach laufen und eine tier1-testumgebung laufen haben… man muss eh in kurzen Abständen den "NotfallRestore" mit jedem IT-Mitarbeiter üben…der muss Sitzen!
VG
Archer
Um die Sicherheitsbedenken massiv in deine Denkweise einzubrennen
Ich bin mir sicher, dass du zukünftig deine Arbeiten nur noch in einer Test-umgebung durchführen wirst, Also bau sie ALLE ein und schau ob sie dir schadet und schreib es auf!
Im Zuge des neuen Sicheheitskonzeptes. Wird spätestens bei der Beurteilung der "Wichtigkeit" für den Unternehmensbetrieb" klar dass es ratsam ist, irgendwo ein Fallback-Server im Schrank zuhaben.
Warum sollte der nicht einfach laufen und eine tier1-testumgebung laufen haben… man muss eh in kurzen Abständen den "NotfallRestore" mit jedem IT-Mitarbeiter üben…der muss Sitzen!
VG
Archer
moin...
Ich bin mir sicher, dass du zukünftig deine Arbeiten nur noch in einer Test-umgebung durchführen wirst, Also bau sie ALLE ein und schau ob sie dir schadet und schreib es auf!
von 1000 Firmen, haben etwa 10 eine Testumgebung! und das auch nur im gehobenen Mittelstand... bei KMU brauchst du nicht zu fragen....
Im Zuge des neuen Sicheheitskonzeptes. Wird spätestens bei der Beurteilung der "Wichtigkeit" für den Unternehmensbetrieb" klar dass es ratsam ist, irgendwo ein Fallback-Server im Schrank zuhaben.
ja ja... da bin ich bei dir, das erkläre erstmal dem Kunden!
Warum sollte der nicht einfach laufen und eine tier1-testumgebung laufen haben… man muss eh in kurzen Abständen den "NotfallRestore" mit jedem IT-Mitarbeiter üben…der muss Sitzen!
ja ja.. da bin ich bei dir... aber, von gefühlten 500 Firmen (KMU) sind die IT-Mitarbeiter, die es nicht schnell genug aus dem Raum (Chef Büro) geschaft haben!
und wenn du die Damen bzw. Herrn und alles dazwischen nen Tag zur Schulung entführst, kreist der Blocker in der Chef Etage!
deine vorschläge sind ja gut und richtig, aber zu 95% nicht anwendbar...
VG
Archer
Frank
Zitat von @148021:
Hi, Lutzer,
Um die Sicherheitsbedenken massiv in deine Denkweise einzubrennen
dazu sollte der User erstmal mal wissen, was sicher ist, und was unsicher! (ich dachte, das wäre sicher)Hi, Lutzer,
Um die Sicherheitsbedenken massiv in deine Denkweise einzubrennen
Ich bin mir sicher, dass du zukünftig deine Arbeiten nur noch in einer Test-umgebung durchführen wirst, Also bau sie ALLE ein und schau ob sie dir schadet und schreib es auf!
Im Zuge des neuen Sicheheitskonzeptes. Wird spätestens bei der Beurteilung der "Wichtigkeit" für den Unternehmensbetrieb" klar dass es ratsam ist, irgendwo ein Fallback-Server im Schrank zuhaben.
Warum sollte der nicht einfach laufen und eine tier1-testumgebung laufen haben… man muss eh in kurzen Abständen den "NotfallRestore" mit jedem IT-Mitarbeiter üben…der muss Sitzen!
und wenn du die Damen bzw. Herrn und alles dazwischen nen Tag zur Schulung entführst, kreist der Blocker in der Chef Etage!
deine vorschläge sind ja gut und richtig, aber zu 95% nicht anwendbar...
VG
Archer
