mf
Goto Top

Azure AD : Neue Hardware : Neue Domäne

Hallo.

Ich habe noch einen ganz alten SBS2003, der nun endgültig abgestellt werden muss.

Ein Problem ist, dass dort im Endeffekt alle User und Computer in der Domäne eingebunden sind. Das entscheidendere ist aber, dass diese Maschine auch zickt und im Endeffekt nicht mehr benutzt werden kann. Es gibt noch einen Windows Server 2012, der ebenfalls Mitglied der Domäne ist und dort User und Computer gespiegelt sind.

Es gibt nun aber unabhängig davon auch Pläne (fast) allen Mitarbeitern neue Geräte (idR Notebooks) zu beschaffen. Auch ist es mein bestreben die Domänen-Anmeldung auf eine dezentrale Version umzustellen. Wobei dezentral wohl nicht das richtige Wort ist, denn letztendlich ist es ja immer noch irgendwo gebündelt. Im Endeffekt sind die Mitarbeiter dezentral zu sehen. Denn viele arbeiten seit dem ersten Lockdown im Homeoffice.

Meine Idee ist das Azure AD als "Zentrale" in der Cloud zu nutzen. Das AD wird hierbei komplett neu aufgebaut. Die Gelegenheit wäre durch die Neubeschaffung von Client-Hardware problemlos gegeben. im Azure AD sind dann alle User und Computer (neu) hinterlegt. Eine Anmeldung am Client setzt eine Internet Verbindung voraus, wenn der User nicht schon einmal am Gerät selbst angemeldet war.

Ein lokales NAS wird Mitglied der Azure AD Domäne und ich kann die User/Gruppen den aktuellen Berechtigungen hinzufügen. Gfls. gibt es auch eine Möglichkeit das vorhandene NAS in die Cloud zu überführen.

Im gleichen Zug wird über die Beschaffung einer Office 365 bzw jetzt Microsoft 365 Umgebung nachgedacht.

Daher meine Frage, wie ich mit der Situation sinnvoll umgehen kann. Ziel ist es lokale Hardware so weit wie möglich zu verbannen, und im Endeffekt alles irgendwie Cloud-basiert zu haben, aber dennoch zentral verwalten zu können.

Gruß, mf

Content-ID: 1688876295

Url: https://administrator.de/contentid/1688876295

Ausgedruckt am: 20.11.2024 um 06:11 Uhr

Visucius
Visucius 04.01.2022 aktualisiert um 15:55:03 Uhr
Goto Top
OMG. So viele Trigger in einer Threaderöffnung face-wink

Es gibt verschiedene Optionen wie Du Azure AD und den lokalen AD kombinieren kannst. Am besten hier mal die Optionen (8 an der Zahl auf Seite 242 ff.) vergleichen:
https://www.amazon.de/Microsoft-Office-365-Administratoren-Enterprise-Ed ...

Das bezieht sich zwar speziell auf MS365 aber da läuft die Authentifizierung ja auch über Azure. Wenn das NAS eine Synology ist, kann man die zwar in Azure integrieren ... aber nicht als lokalen AD nutzen, bzw. syncen. Der Abgleich zwischen den beiden ist mW. nicht möglich, dafür brauchts nen "echten Windows-Server"
mf
mf 04.01.2022 um 16:24:40 Uhr
Goto Top
Ich will ja im Endeffekt kein lokalen AD mehr haben. Die Frage ist mehr, ob die Idee, das alles mit Azure AD zu machen, eine gute Entscheidung ist. Und wenn ja, wie man hier am besten startet.
Visucius
Visucius 04.01.2022 aktualisiert um 16:52:48 Uhr
Goto Top
Ich sehe das jetzt mal aus der "MS365-Sicht" mit dem AzureAD.

Das ist halt "Internet". Ich machs mal am Online-Exchange fest. Das ist überall das gleiche Passwort und das muss der MA dann am Morgen am Rechner eingeben (ggfs. sogar mit 2-Faktor). Es muss so lang sein, dass das niemand in nem Webinterface ausprobieren kann und gleichzeitig so knapp, dass er das täglich(?) eingibt.

Ich habe einen Kundenrechner mal - wie von MS empfohlen - von der Installation an ohne lokalen User an den AzureAD gehängt. Das ist ein ziemliches Gefriemel, wenn der Kunde auf ne lokale Freigabe zugreifen möchte, die nicht an den AD gekoppelt ist. Das klappt nicht zuverlässig und bockt immer wieder mal bei Schlafmodus und Neustart und das Thema ".\Username" um sich an der lokalen Ressource anzumelden ist ja auch nicht direkt Enduser-freundlich face-wink

Spiel das halt einfach mal mit nem Testaccount von Anfang bis Ende durch. Es gab neulich (August?) auch ne Heise-Ausgabe, die sich speziell mit der Sicherheit von MS365 und damit auch Azure beschäftigt hat und die üblichen Fallstricke erläuterte.