Azure AD : Neue Hardware : Neue Domäne
Hallo.
Ich habe noch einen ganz alten SBS2003, der nun endgültig abgestellt werden muss.
Ein Problem ist, dass dort im Endeffekt alle User und Computer in der Domäne eingebunden sind. Das entscheidendere ist aber, dass diese Maschine auch zickt und im Endeffekt nicht mehr benutzt werden kann. Es gibt noch einen Windows Server 2012, der ebenfalls Mitglied der Domäne ist und dort User und Computer gespiegelt sind.
Es gibt nun aber unabhängig davon auch Pläne (fast) allen Mitarbeitern neue Geräte (idR Notebooks) zu beschaffen. Auch ist es mein bestreben die Domänen-Anmeldung auf eine dezentrale Version umzustellen. Wobei dezentral wohl nicht das richtige Wort ist, denn letztendlich ist es ja immer noch irgendwo gebündelt. Im Endeffekt sind die Mitarbeiter dezentral zu sehen. Denn viele arbeiten seit dem ersten Lockdown im Homeoffice.
Meine Idee ist das Azure AD als "Zentrale" in der Cloud zu nutzen. Das AD wird hierbei komplett neu aufgebaut. Die Gelegenheit wäre durch die Neubeschaffung von Client-Hardware problemlos gegeben. im Azure AD sind dann alle User und Computer (neu) hinterlegt. Eine Anmeldung am Client setzt eine Internet Verbindung voraus, wenn der User nicht schon einmal am Gerät selbst angemeldet war.
Ein lokales NAS wird Mitglied der Azure AD Domäne und ich kann die User/Gruppen den aktuellen Berechtigungen hinzufügen. Gfls. gibt es auch eine Möglichkeit das vorhandene NAS in die Cloud zu überführen.
Im gleichen Zug wird über die Beschaffung einer Office 365 bzw jetzt Microsoft 365 Umgebung nachgedacht.
Daher meine Frage, wie ich mit der Situation sinnvoll umgehen kann. Ziel ist es lokale Hardware so weit wie möglich zu verbannen, und im Endeffekt alles irgendwie Cloud-basiert zu haben, aber dennoch zentral verwalten zu können.
Gruß, mf
Ich habe noch einen ganz alten SBS2003, der nun endgültig abgestellt werden muss.
Ein Problem ist, dass dort im Endeffekt alle User und Computer in der Domäne eingebunden sind. Das entscheidendere ist aber, dass diese Maschine auch zickt und im Endeffekt nicht mehr benutzt werden kann. Es gibt noch einen Windows Server 2012, der ebenfalls Mitglied der Domäne ist und dort User und Computer gespiegelt sind.
Es gibt nun aber unabhängig davon auch Pläne (fast) allen Mitarbeitern neue Geräte (idR Notebooks) zu beschaffen. Auch ist es mein bestreben die Domänen-Anmeldung auf eine dezentrale Version umzustellen. Wobei dezentral wohl nicht das richtige Wort ist, denn letztendlich ist es ja immer noch irgendwo gebündelt. Im Endeffekt sind die Mitarbeiter dezentral zu sehen. Denn viele arbeiten seit dem ersten Lockdown im Homeoffice.
Meine Idee ist das Azure AD als "Zentrale" in der Cloud zu nutzen. Das AD wird hierbei komplett neu aufgebaut. Die Gelegenheit wäre durch die Neubeschaffung von Client-Hardware problemlos gegeben. im Azure AD sind dann alle User und Computer (neu) hinterlegt. Eine Anmeldung am Client setzt eine Internet Verbindung voraus, wenn der User nicht schon einmal am Gerät selbst angemeldet war.
Ein lokales NAS wird Mitglied der Azure AD Domäne und ich kann die User/Gruppen den aktuellen Berechtigungen hinzufügen. Gfls. gibt es auch eine Möglichkeit das vorhandene NAS in die Cloud zu überführen.
Im gleichen Zug wird über die Beschaffung einer Office 365 bzw jetzt Microsoft 365 Umgebung nachgedacht.
Daher meine Frage, wie ich mit der Situation sinnvoll umgehen kann. Ziel ist es lokale Hardware so weit wie möglich zu verbannen, und im Endeffekt alles irgendwie Cloud-basiert zu haben, aber dennoch zentral verwalten zu können.
Gruß, mf
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1688876295
Url: https://administrator.de/contentid/1688876295
Ausgedruckt am: 20.11.2024 um 06:11 Uhr
3 Kommentare
Neuester Kommentar
OMG. So viele Trigger in einer Threaderöffnung
Es gibt verschiedene Optionen wie Du Azure AD und den lokalen AD kombinieren kannst. Am besten hier mal die Optionen (8 an der Zahl auf Seite 242 ff.) vergleichen:
https://www.amazon.de/Microsoft-Office-365-Administratoren-Enterprise-Ed ...
Das bezieht sich zwar speziell auf MS365 aber da läuft die Authentifizierung ja auch über Azure. Wenn das NAS eine Synology ist, kann man die zwar in Azure integrieren ... aber nicht als lokalen AD nutzen, bzw. syncen. Der Abgleich zwischen den beiden ist mW. nicht möglich, dafür brauchts nen "echten Windows-Server"
Es gibt verschiedene Optionen wie Du Azure AD und den lokalen AD kombinieren kannst. Am besten hier mal die Optionen (8 an der Zahl auf Seite 242 ff.) vergleichen:
https://www.amazon.de/Microsoft-Office-365-Administratoren-Enterprise-Ed ...
Das bezieht sich zwar speziell auf MS365 aber da läuft die Authentifizierung ja auch über Azure. Wenn das NAS eine Synology ist, kann man die zwar in Azure integrieren ... aber nicht als lokalen AD nutzen, bzw. syncen. Der Abgleich zwischen den beiden ist mW. nicht möglich, dafür brauchts nen "echten Windows-Server"
Ich sehe das jetzt mal aus der "MS365-Sicht" mit dem AzureAD.
Das ist halt "Internet". Ich machs mal am Online-Exchange fest. Das ist überall das gleiche Passwort und das muss der MA dann am Morgen am Rechner eingeben (ggfs. sogar mit 2-Faktor). Es muss so lang sein, dass das niemand in nem Webinterface ausprobieren kann und gleichzeitig so knapp, dass er das täglich(?) eingibt.
Ich habe einen Kundenrechner mal - wie von MS empfohlen - von der Installation an ohne lokalen User an den AzureAD gehängt. Das ist ein ziemliches Gefriemel, wenn der Kunde auf ne lokale Freigabe zugreifen möchte, die nicht an den AD gekoppelt ist. Das klappt nicht zuverlässig und bockt immer wieder mal bei Schlafmodus und Neustart und das Thema ".\Username" um sich an der lokalen Ressource anzumelden ist ja auch nicht direkt Enduser-freundlich
Spiel das halt einfach mal mit nem Testaccount von Anfang bis Ende durch. Es gab neulich (August?) auch ne Heise-Ausgabe, die sich speziell mit der Sicherheit von MS365 und damit auch Azure beschäftigt hat und die üblichen Fallstricke erläuterte.
Das ist halt "Internet". Ich machs mal am Online-Exchange fest. Das ist überall das gleiche Passwort und das muss der MA dann am Morgen am Rechner eingeben (ggfs. sogar mit 2-Faktor). Es muss so lang sein, dass das niemand in nem Webinterface ausprobieren kann und gleichzeitig so knapp, dass er das täglich(?) eingibt.
Ich habe einen Kundenrechner mal - wie von MS empfohlen - von der Installation an ohne lokalen User an den AzureAD gehängt. Das ist ein ziemliches Gefriemel, wenn der Kunde auf ne lokale Freigabe zugreifen möchte, die nicht an den AD gekoppelt ist. Das klappt nicht zuverlässig und bockt immer wieder mal bei Schlafmodus und Neustart und das Thema ".\Username" um sich an der lokalen Ressource anzumelden ist ja auch nicht direkt Enduser-freundlich
Spiel das halt einfach mal mit nem Testaccount von Anfang bis Ende durch. Es gab neulich (August?) auch ne Heise-Ausgabe, die sich speziell mit der Sicherheit von MS365 und damit auch Azure beschäftigt hat und die üblichen Fallstricke erläuterte.