jonas42
Goto Top

Kleines Büro - wie PCs einrichten? Domaincontroller sinnvoll?

Hallo zusammen,

ich überlege derzeit mal wieder, ob ich unsere IT ändern sollte. Es handelt sich um ein Ingenieurbüro mit 5 Arbeitsplätzen, den DC (SBS) haben wir vor einigen Jahren stillgelegt und durch ein NAS ersetzt. Seitdem können wir deutlich schneller arbeiten, wobei der DC sowieso aus meiner Sicht nie richtig verwendet wurde (keine GPO, zahlreiche Standardfunktionen nicht genutzt) und eben auch aus irgendeinem Grund nicht allzu schnell war. Das NAS kann ich administrieren, für einen DC - insbesondere im produktiven Einsatz - fehlt mir jedwedes Wissen. Ich kann mir jetzt folgendes vorstellen:

1) neuen Windows Server als DC
--> hieße wohl externer IT-Dienstleister, Mehraufwand, für mich ohne direkt ersichtlichen Nutzen

2) Synology Active Directory nutzen
--> damit sind GPOs anscheinend eingeschränkt möglich, ich kann mir vorstellen, dass wir den auch selbst konfigurieren können. Aber was ist der Vorteil? Außerdem ist ein Backup DC wohl nicht möglich.

3) keine Domäne
--> also wie bisher


Jetzt habe ich 4 neue baugleiche Rechner. Bei diesen würde mich zum einen interessieren, ob man ein Image von einem auf alle anderen kopieren kann und sich somit nur einmal um die Einrichtung kümmern muss. Zuerst dachte ich, dass das problemlos möglich wäre, jetzt lese ich aber auch von einigen Problemen, da man unterschiedliche Windows Lizenzschlüssel hat, etc. Geht das?

Außerdem bieten 1) und 2) - wenn ich richtig informiert bin - den Vorteil, dass sich jeder Benutzer von jedem Rechner aus anmelden kann. Ist das so richtig? Ist für uns kein großer Mehrwert, da jeder seinen Arbeitsplatz hat, aber es wäre zum Beispiel interessant, wenn mal ein Rechner ausfällt.


Zuguterletzt: Benutzer unter Windows 10 Pro als Admins oder normale Benutzer anlegen? Damit habe ich ehrlich gesagt noch kaum Erfahrungen. Ich weiß, dass es immer heißt man solle nicht als Admin arbeiten. Am Mac ist es aber zumindest gang und gäbe (wobei man ja trotzdem das Admin-Kennwort ggf. eingeben muss) und unser bisheriger IT-Dienstleister hat überall nur Admins eingerichtet. Der Vor- (und gleichzeitig Nach-) teil ist der, dass die Benutzer ggf. Programme direkt selbst installieren können.


tl;dr: Wie konfiguriert man Benutzerrechte in einem Büro mit 5 Personen?

Content-ID: 371479

Url: https://administrator.de/contentid/371479

Ausgedruckt am: 14.11.2024 um 23:11 Uhr

sabines
sabines 19.04.2018 aktualisiert um 06:38:53 Uhr
Goto Top
Moin,

lass es so wie es ist, ohne Admin Wissen steht der Aufwand für eine Domäne bei nur 5 Nutzer in keinem Verhältnis zum Nutzen.
Auch ein image nur für die Konfiguration der User würde ich nicht machen und statt dessen mit Skripten arbeiten.
Die Benutzer richtest Du als Standard Nutzer ein, damit sind schon viele "Lücken" geschlossen.

Welche Benutzerrechte meinst Du?
Und wie macht Ihr das mit Emails?
Ist eine Backup Strategie vorhanden?

Gruss
maretz
maretz 19.04.2018 um 07:04:47 Uhr
Goto Top
Moin,

ich würde einfach mal nix ändern wenn es gut läuft und du eh nicht die Erfahrung/das Wissen hast um das vernünftig zu bauen. Welchen Nutzen soll das haben ausser das der Spieltrieb kommt? Und wenn deine Leute vernünftig damit umgehen - dann is als Admin arbeiten sicher nicht schön, aber in so kleinen Netzen nicht ungewöhnlich...

Wie kommst du darauf das du beim Mac immer als Admin arbeitest?!? Grade da ist ja das Passwort für - unter Linux nennt sich das "sudo", dh. der normale Benutzer führt ein Kommando als Admin aus. Das heisst aber nicht automatisch das du gleich Admin bist... (Bei Windows is das Ähnlich: Arbeitest du als Benutzer und sagst "rechtsklick, als Admin ausführen" bedeutet das nicht das du immer Admin bist...)
departure69
departure69 19.04.2018 um 08:43:20 Uhr
Goto Top
@Jonas42:

Hallo.

Du würdest Dir unnötig Arbeit ans Bein binden, die Du, wie Du selbst sagst, nicht vollauf beherrschst.

Ein gemeinsames, angepaßtes Image kannst Du mit Hilfsmitteln wie Sysprep und (G)ImageX bauen, ohne daß dafür eine Domäne nötig wäre. Beachte aber, daß Du OEM- und Retail-Versionen eigentlich nicht imagen darfst, die Lizenz gibt das nicht her, für das sog. "Reimaging"-Recht braucht es Volumenlizenzversionen (VL) von Windows, die Du (vermutlich) nicht hast.

Zum Thema GPO:

Auch völlig ohne Domäne kannst Du viele Einstellungen, die man typischerweise mit einer GPO erledigt, mit lokalen GPOs erledigen, gib mal "gpedit.msc" ein, dann siehst Du, was damit gemeint ist. Allerdings gibt es auch GPO-Einstellungen, die mit lokalen GPOs nicht abgefackelt werden können, es kommt darauf an, was Du da brauchst und möchtest. Wenn Du mit einer lokalen GPO weitestgehend alles erreichen kannst, was Du möchtest, kann eine solche auch exportiert und auf anderen Rechnern importiert werden, es gibt dazu ein Tool von Microsoft, das hier sehr gut beschrieben ist.

Ansonsten:

Laß' alles so, wie es ist, wenn es derzeit gut läuft. Überschüssige IT-Admin-Energie würde ich eher in Backup & Co. und in Sicherheit stecken.


Viele Grüße

von

departure69
Dilbert-MD
Dilbert-MD 19.04.2018 um 09:26:22 Uhr
Goto Top
Moin!

wir haben vor einigen Jahren auch von Windows-Server auf NAS umgestellt.

mein Tipp:
Mach es so, dass Du es administrieren kannst und dass Du im Notfall selber wieder schnell eine arbeitsfähige Umgebung wiederherstellen kannst. Dokumentation nicht vergessen.

Auch auf einem NAS kann man Nutzer und Zugriffsrechte anlegen.
An den PC's je ein Admin-Konto und ein Nutzer-Konto anlegen.
Auf dem NAS würde ich keine "persönlichen" Ordner anlegen, sonder eher mit Projekt-Ordnern arbeiten, auf die alle Mitarbeiter Zugriff haben. So kann bei Nichtanwesenheit eines Mitarbeiters auch mal ein anderer auf Daten zugreifen und diese bearbeiten, drucken oder versenden.
Einzig für die Buchhaltung - sofern diese Daten auch dort abgelegt werden - kann man ein separates Konto anlegen. Wenn der Chef Angebote und Aufträge selber verwaltet, kann er das auch auf seinem Laptop separat laufen lassen. Dann liegen auch weniger personenbezogene Daten auf dem NAS.

Für den Fall "PC kaputt" kannst Du Windows Easy Transfer nutzen oder auf einem zusätzlichen PC eine Kopie aller Installierter Software speichern - sofern keine CD/DVD vorhanden. Hierfür habe ich eine Verzeichnis "zu installierende Software".Dazu eine Dokumentation, welche Einstellungen vorzunehmen sind bzw in welcher Reihenfolge installiert werden muss. Das hat ich für mich als gebrauchstauglich herausgestellt. So wird ein frisches Betriebssystem genutzt (ohne Reste, ohne Müll, ohne Temp- und Cache Dateien) und es gibt keine Probleme mit alten oder falschen Treibern. Liste nehmen, Software übers Netz auf den neuen PC kopieren und nacheinander installieren. Einstellungen anpassen, fertig.
Ein PC-Backup ist sinnvoll, wenn es auf gleicher oder ähnlicher Hardware wiederhergestellt wird bzw wenn der Admin weiß, wie Treiber für abweichende Hardware einzubinden sind. Gleiche Hardware bekommt man bei großen Markenherstellern ggf. nachgekauft, aber mit Lieferzeit! In einem kleinen Ing.-Büro geht notfalls auch mal ein Tag am Laptop oder je nach Anforderungen an die Hardware und an die gewünschte Zeit bis zur Wiederaufnahme der Arbeit ein Sofortkauf im Laden um die Ecke.

Schwierig wird es auch, wenn der alte PC eine Magnetfestplatte hatte und der neue eine SSD oder ein Wechsel von z.B. SATA auf ein anderes System stattfindet.

Wie viel GB/TB Daten sind denn bei Euch im Umlauf?
Welche Art Branchensoftware nutzt Ihr?
Ist auch SQL-basierte Software im Einsatz?


Gruß
keine-ahnung
keine-ahnung 19.04.2018 um 10:32:57 Uhr
Goto Top
Moin,
steht der Aufwand für eine Domäne bei nur 5 Nutzer in keinem Verhältnis zum Nutzen
kann ich so nicht bestätigen. Ohne Domäne könnte ich heute nicht mehr arbeiten ... wenn ich allein an das Geraffel zuhause denke (Arbeitsgruppe) würde ich das Fürchten bekommen.
Die Essential-Server sind IMHO auch für den weniger in der Sache Stehenden administrierbar.
Ich muss allerdings zugeben, dass ich seit Jahren keinen Blick mehr für QNAP & Co. mehr hatte, aber wenn man DC wählt, wählt man das Original face-wink !
Den eventuellen Mehraufwand beim Einrichten eines Windows-DC spart man im laufenden Betrieb locker wieder ein, sowohl finanziell als auch zeitlich.

LG, Thomas
Ausserwoeger
Ausserwoeger 19.04.2018 aktualisiert um 10:54:34 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin,
steht der Aufwand für eine Domäne bei nur 5 Nutzer in keinem Verhältnis zum Nutzen
kann ich so nicht bestätigen. Ohne Domäne könnte ich heute nicht mehr arbeiten ... wenn ich allein an das Geraffel zuhause denke (Arbeitsgruppe) würde ich das Fürchten bekommen.
Die Essential-Server sind IMHO auch für den weniger in der Sache Stehenden administrierbar.
Ich muss allerdings zugeben, dass ich seit Jahren keinen Blick mehr für QNAP & Co. mehr hatte, aber wenn man DC wählt, wählt man das Original face-wink !
Den eventuellen Mehraufwand beim Einrichten eines Windows-DC spart man im laufenden Betrieb locker wieder ein, sowohl finanziell als auch zeitlich.

LG, Thomas

Hi

Ja klar wenn man ein Admin/Arzt is wie du geht das aber gib die Aufgabe mal an deine Frau weiter die arbeitet lieber mit Qnap und hat auch grössere chancen ein halbwegs Funktionstüchtiges Netzwerk hinzuschustern wenn sie Qnap & Co nimmt.

Und wenn das reicht würde ich auch nicht umsteigen.

PS: Aber wenn man eine NAS nimmt dann mit RDX Sicherung und mehreren Bändern (Platten) damit bei einem Crypto-Virus nicht gleich alles weg ist. Ich würde auch die Mails auf die NAS legen

LG
Pedant
Pedant 19.04.2018 um 13:02:36 Uhr
Goto Top
Hallo Jonas42,

Zitat von @Jonas42:
1) neuen Windows Server als DC
--> hieße wohl externer IT-Dienstleister, Mehraufwand, für mich ohne direkt ersichtlichen Nutzen
wenn das so ist, dann lass es.
In so einem kleinen Betrieb ist es besser Du kannst selbst auf akute Fragen und Probleme sofort reagieren.
Wenn Du aber mangels Fachwissen auch bei kleinen Problemen auf externe Hilfe angewiesen wärst, dann ist der Aspekt schon wieder nicht so relevant.

Zitat von @Jonas42:
Jetzt habe ich 4 neue baugleiche Rechner. Bei diesen würde mich zum einen interessieren, ob man ein Image von einem auf alle anderen kopieren kann und sich somit nur einmal um die Einrichtung kümmern muss. Zuerst dachte ich, dass das problemlos möglich wäre, jetzt lese ich aber auch von einigen Problemen, da man unterschiedliche Windows Lizenzschlüssel hat, etc. Geht das?
Das geht, Du musst nur dafür sorgen, dass am Ende jeder Rechner seinen eigenen Lizenzschlüssel (Key) bekommt und mit diesem aktiviert wird.
Ich nutze zum Imagen meist True-Image als USB-Bootstick.
Installiert ist es nur auf einem Rechner und auch nur, um damit den Bootstick einmalig zu erzeugen.
Es ist nicht kostenlos, kostet aber echt wenig.
Ganz allgemein zum Imagen:
Bevor ich ein Image erstelle, richte ich das System ein wie ich's gerne habe und installiere die Software, die auf allen Rechnern gleich sein soll.
Nach dem Einspielen eines Images führe ich in einer Administratoreingabeaufforderung diese Befehle aus:

Den "alten" Key entfernen:
slmgr.vbs -cpky
slmgr.vbs -upk
Den neuen Key eintragen:
slmgr.vbs -ipk VK7JG-NPHTM-C97JM-9MPGT-3V66T (hier den neuen Key angeben und nicht den hier aufgezeigten)

Den Rechnernamen und gegebenenfalls die IP-Einstellungen ändern, dann einen Neustart vornehmen, erst jetzt das Netzwerkkabel einstecken und danach die Aktivierung ausführen.
Alternativ kannst Du das Image aber auch schon erstellen, bevor Du beim Quell-PC einen Key eingegeben und aktiviert hast.
Beachte aber, dass man am Quell-PC die Einstellungen bei "Personalisierung" nur ändern kann, solang dieser Rechner nach seiner Installation noch nicht online war, andernfalls wird der Zugriff auf diesen Teil der Einstellungen verweigert.
In den Fall also zuerst diese Einstellungen vornehmen, dann online gehen und Updates und sonstwas installieren.

Wenn sich bei Windows 10 die Hardware nicht völlig unterscheidet, dann kannst Du ein Image auch auf einen ziemlich anderen Rechner aufspielen und die fehlenden Treiber nachinstallieren.

Zitat von @departure69:
Beachte aber, daß Du OEM- und Retail-Versionen eigentlich nicht imagen darfst, die Lizenz gibt das nicht her, für das sog. "Reimaging"-Recht braucht es Volumenlizenzversionen (VL) von Windows, die Du (vermutlich) nicht hast.
@departure69
Bezieht sich das "Reimaging"-Recht nicht darauf, beispielsweise OEM-Lizenzen zu nutzen und dabei aber das Setup und den Key aus der Volumenlizenz zu nutzen?
Einfacher gefragt: Meinst Du, dass eine Kopie per Image unter Verwendung eines neuen Keys gegen die Lizenz verstößt?

Zitat von @Jonas42:
...den Vorteil, dass sich jeder Benutzer von jedem Rechner aus anmelden kann.
Anmelden ja und wenn es richtig konfiguriert ist, hat er auch seine persönlichen Einstellungen inklusive Desktop, Eigene Dateien, Browereinstellungen, E-Mail-Konto usw.
Was er nicht hat, sind die Programme, die auf seinem eigenen Rechner installiert sind. Er hat nur die Programme, die auf dem Rechner installiert sind, an dem er sich anmeldet.
Sollten alle die gleichen Programme installiert haben, wäre das aber kein Problem.

Zitat von @Jonas42:
Zuguterletzt: Benutzer unter Windows 10 Pro als Admins oder normale Benutzer anlegen?
Sicherer vor Fehlbedienung und Malware bist Du als möglichst rechteloser Benutzer.
Freier in Deiner Arbeit bist Du als Administrator oder gar als der "Administrator".
Wenn Deine Systeme, einmal eingerichtet, nicht ständig geändert werden müssen, reicht ein einfacher Benutzer aus, um damit produktiv zu arbeiten.

Gruß Frank
Jonas42
Jonas42 19.04.2018 aktualisiert um 20:12:27 Uhr
Goto Top
Danke dir!

mit Skripten arbeiten

Wie meinst du das?

Benutzerrechte

Ich meinte zum einen, ob man eher mit Standardnutzern oder Adminrechten arbeitet, zum anderen aber auch, welche Einschränkungen (dann wohl über GPOs) in einem kleinen Büro üblich und sinnvoll sind.
Bei Windows 10 kommen wohl noch die ganzen überflüssigen Extras (Xbox-Kacheln...) hinzu, zu denen ich mich schon etwas informiert habe und zumindest teilweise weiß, wie man sie entfernt. Schön wäre natürlich ein Image, das von vornherein auf einen produktiven Einsatz ausgerichtet ist und nicht mit solchen Spielereien kommt.

Emails

auf dem NAS

Backup-Strategie

Ja, zum einen Sicherung auf ein zweites NAS, somit aus meiner Sicht nur bedingt Backup, da das ständig am Strom hängt. Zum anderen auf drei externe Festplatten, die durchrotiert und an einem sicheren Ort aufbewahrt werden.

Edit: Sorry, ich dachte der Kommentar erscheint direkt unter der kommentierten Antwort. Das bezog sich auf sabines.
Jonas42
Jonas42 19.04.2018 um 20:28:31 Uhr
Goto Top
Danke euch allen für die Antworten!

Wie kommst du darauf das du beim Mac immer als Admin arbeitest?

Stimmt, ist nicht der Fall.


Allerdings gibt es auch GPO-Einstellungen, die mit lokalen GPOs nicht abgefackelt werden können, es kommt darauf an, was Du da brauchst und möchtest.

Was kann man denn nicht mit lokalen GPOs regeln, was bei mir Relevanz haben könnte? Wenn jeder Adminrechte hätte, könnte aber auch jeder die GPOs ändern, richtig? Oder gibt es 'eingeschränkte Adminrechte'?


Auch auf einem NAS kann man Nutzer und Zugriffsrechte anlegen.

Ja, genau so habe ich das gemacht und dann Ordner mit mehreren geteilt, da an den Projekten zusammen gearbeitet wird. Das läuft bisher ohne irgendwelche Probleme, ich frage also mehr aus Interesse nach den Vorteilen einer Domäne, einen bestimmten Grund das jetzige System zu ändern, habe ich nicht.


Dann liegen auch weniger personenbezogene Daten auf dem NAS.

Die habe ich teilweise auf dem NAS, aber dann nur selbst Zugriff auf die Ordner. Ich schätze da die Synologys auch als sicher genug ein, sprich andere Nutzer werden wohl nicht so leicht drauf zugreifen können?


Wie viel GB/TB Daten sind denn bei Euch im Umlauf?

Etwa 200 GB, es wird auch nur langsam mehr als das. Das NAS hätte Reserven für deutlich mehr.

Welche Art Branchensoftware nutzt Ihr?

CAD + AVA (Auschreibungssoftware)

Ist auch SQL-basierte Software im Einsatz?

AVA (Softtech Spirit) basiert auf einer Datenbank - ich meine aber, dass das kein SQL ist.


Den eventuellen Mehraufwand beim Einrichten eines Windows-DC spart man im laufenden Betrieb locker wieder ein, sowohl finanziell als auch zeitlich.

Kannst du kurz die Vorteile eines DC umreißen?


Aber wenn man eine NAS nimmt dann mit RDX Sicherung und mehreren Bändern (Platten) damit bei einem Crypto-Virus nicht gleich alles weg ist. Ich würde auch die Mails auf die NAS legen

Mails liegen drauf, gesichert wird auf USB-Festplatten. Ich habe damals lange über RDX nachgedacht, aber letztendlich haben einige gemeint, dass die Festplattenlösung ausreichend wäre.


Sollten alle die gleichen Programme installiert haben, wäre das aber kein Problem.

Ja, das ist weitestgehend so.
Danke dir für die Erklärungen zum Erstellen des Images!


Bezieht sich das "Reimaging"-Recht nicht darauf, beispielsweise OEM-Lizenzen zu nutzen und dabei aber das Setup und den Key aus der > Volumenlizenz zu nutzen?
Einfacher gefragt: Meinst Du, dass eine Kopie per Image unter Verwendung eines neuen Keys gegen die Lizenz verstößt?

Das würde mich auch interessieren. Bei meiner Recherche gab es da widersprüchliche Infos.

Danke noch einmal und euch einen schönen Abend!
departure69
departure69 20.04.2018 aktualisiert um 08:26:38 Uhr
Goto Top
Zum Thema Reimaging und Lizenz:

Betonung liegt hier auf Re-Imaging.

Die fertige unveränderte ISO von Microsoft bzw. deren Inhalt darfst Du natürlich verteilen, auf welchem Weg auch immer. Die ist oder enthält ja auch schon eine Image, nämlich die "install.wim" (bei neueren Systemen: "install.esd"). Und genau um die geht es aber. Mit OEM- oder Retail-Lizenzen ist es aus Microsoft-Lizenz-Sicht nicht gestattet, eine Installation zu verändern und diese neu zu imagen, um sie danach weiterzuverteilen bzw. weiter zu installieren. Das Tool "ImageX", das ich Dir weiter oben empfohlen habe, es stammt sogar von Microsoft (ist Bestandteil des jew. WAIK oder ADK), könnte eine nach Deinen Wünschen und Bedürfnissen (z. B. Programme, Treiber, angepaßter Desktop usw.) veränderte, angepaßte Windows-Installation neu in eine install.wim imagen. Und dafür ist zwingend eine Volumenlizenz erforderlich. Das gilt allerdings auch für andere Tools, wobei ich da manchmal die Abgrenzung zu einem System-Backup (wenn man stattdessen bspw. Acronis dafür nimmt, das kann ja auch ein Image einer Installation erzeugen, das man mittels Acronis anderswo wieder aufspielen könnte) schwierig finde.

Nimm es mal so mit, offiziell darfst Du OEM oder Retail nicht reimagen.


Viele Grüße

von

departure69
Pedant
Pedant 20.04.2018 um 14:32:19 Uhr
Goto Top
Hallo departure69,

danke für die Info.

Ohne Volumenlizenzvertrag bedeutet also, was Du beschrieben hast.

Mit Volumenlizenzvertrag ist diese Einschränkung nicht gegeben.
Zitat von Microsoft
Ihr Volumenlizenzvertrag berechtigt Sie dank des sogenannten Re-Imaging-Rechts, anstelle der OEM-Software sowie des OEM-Produktschlüssels, Volumenlizenzmedien sowie den Volumenlizenzschlüssel (Volume License Key, VLK) zu nutzen.
Dieser Prozess führt jedoch nicht zu einer Erweiterung der Nutzungsrechte Ihres OEM-Lizenzvertrags, zum Beispiel im Hinblick auf das Downgraderecht.
Quelle: https://www.microsoft.com/de-de/Licensing/produktlizenzierung/faq.aspx
...also OEM-Versionen haben, aber Volumenlizenz-Kram (auch mit eigenen Images) nutzen.

Gruß Frank
IT-Pro
IT-Pro 20.04.2018 um 18:00:56 Uhr
Goto Top
Guten Tag,
als bekennender Fan von Windows Server möchte ich auch gern nochmal meine Meinung dazu geben.
Du sagst :
Seitdem können wir deutlich schneller arbeiten, wobei der DC sowieso aus meiner Sicht nie richtig verwendet wurde (keine GPO, zahlreiche Standardfunktionen nicht genutzt) [...]für einen DC - insbesondere im produktiven Einsatz - fehlt mir jedwedes Wissen.

Dann erspare dir den Aufwand, vorallem, wenn nicht abzusehen ist, dass ihr in den nächsten Wochen um 100% wachsen werdet.

Wenn es doch plötzlich nötig werden sollte (bei aktuellem Stand der Nutzerzahl), einen Domain-Controller zu verwenden, dann kannst du vorrübergehend auch...

2) Synology Active Directory nutzen.


--> damit sind GPOs anscheinend eingeschränkt möglich, ich kann mir vorstellen, dass wir den auch selbst konfigurieren können. Aber was ist der Vorteil? Außerdem ist ein Backup DC wohl nicht möglich.

Dazu kann ich aufgrund fehlender Erfahrung leider keine Aussage treffen.


Jetzt habe ich 4 neue baugleiche Rechner. Bei diesen würde mich zum einen interessieren, ob man ein Image von einem auf alle anderen kopieren kann und sich somit nur einmal um die Einrichtung kümmern muss.

Wenn du hierfür die Windows Deployment-Services nutzen willst, steht das für einen 5-PC Platz in keinem Verhältnis zum Aufwand. Du musst dich da, durch so viele Einstellungen kämpfen, dass es insbesondere für einen Anfänger nicht zu bewätigen ist. Es gibt aber viele andere Tools, mit denen du deine Festplatte 1:1 kopieren kannst. Beispielsweise mit CloneZilla. Kann dir hierfür auch gern ein YT-Video verlinken, sollte das nicht gegen die Regeln verstoßen.


Außerdem bieten 1) und 2) - wenn ich richtig informiert bin - den Vorteil, dass sich jeder Benutzer von jedem Rechner aus anmelden kann. Ist das so richtig? Ist für uns kein großer Mehrwert, da jeder seinen Arbeitsplatz hat, aber es wäre zum Beispiel interessant, wenn mal ein Rechner ausfällt.

Das ist erstmal richtig, dass es möglich ist, sich von allen Domänen-Rechnern anzumelden. Wenn ein Rechner ausfällt (Festplattendefekt), dann hilft es auch nict von einem anderen PC aus zu arbeiten. Sollte nämlich kein Backup vorhanden sein, dann sind die Daten auch hier (mit Active-Directory) weg.

Zuguterletzt: Benutzer unter Windows 10 Pro als Admins oder normale Benutzer anlegen? Damit habe ich ehrlich gesagt noch kaum Erfahrungen.
Unterstreicht nochmal, dass ein Domain-Controller zuviel für dich ist. So wie du es hier beschreibst, ist dein jetziges Wissen, wie man Fahrrad fährt und ein DC wäre, steuern eines Raumschiffes.

Das sollte als abstrakter Vergleich dienen, solltest du dich hierdurch gekränkt fühlen, wurde dies nicht von mir beabsichtigt. --> Entschuldigung

Die Einstellung ab Admin oder nicht: Einstellungen (Startscreen und dann das Zahnrad anklicken.) --> Konten --> Familie & weitere Kontakte --> Andere Personen --_ Diesem PC eine andere Person hinzufügen --> Dann unten "Ich kenne die Anmelde-Infos nicht --> dann wieder untern "Ohne MS-Konto --> Daten des neuen Benutzers anlegen.

Dann unter "andere Personen" das angelegte Konto auswählen und unter Kontotyp "administrator" auswählen.

Ich weiß, dass es immer heißt man solle nicht als Admin arbeiten.
Das liegt daran, dass der Benutzer volle Zugriffsrechte besitzt und Viren sich somit Systemweit ausdehnen können. Wenn man nur als Normalo angemeldet ist, kann der Virus nor soweit schaden anrichten, wie der Benutzer Rechte hat.


Hoffe es hat dir geholfen.

Gruß
IT-Pro
Jonas42
Jonas42 20.04.2018 um 19:06:08 Uhr
Goto Top
Hallo,

danke auch euch für die Antworten!

Beispielsweise mit CloneZilla. Kann dir hierfür auch gern ein YT-Video verlinken, sollte das nicht gegen die Regeln verstoßen.

Der Link wäre super, falls nicht erlaubt, gerne auch per PN.
Wäre CloneZilla oder Acronis sinnvoller?

Wenn ein Rechner ausfällt (Festplattendefekt), dann hilft es auch nict von einem anderen PC aus zu arbeiten.

Lokal wird sowieso nichts wichtiges gespeichert, das wäre also nicht weiter schlimm.
Ist das eigentlich eine unübliche Praxis? Ich finde es bei uns aber so ganz gut, denn zum einen sind die Daten so immer in der Backup-Strategie berücksichtigt und zum anderen müssen sowieso andere darauf zugreifen können, so dass die zentrale Ablage angenehm ist. (+ ich brauche nur kleine SSDs für die Clients)


Das sollte als abstrakter Vergleich dienen, solltest du dich hierdurch gekränkt fühlen, wurde dies nicht von mir beabsichtigt. --> Entschuldigung

Keine Sorge, du hast ja Recht damit! face-smile


Schönes Wochenende euch! face-smile
IT-Pro
IT-Pro 25.04.2018 um 13:28:49 Uhr
Goto Top
Clonezilla-Video:
https://www.youtube.com/watch?v=wk2yPlFIVOA

(War jetzt das erste Video, dass mir in den Suchergebnissen angezeigt wurde)

Die meisten der Features in Acronis TrueImage benötigt man nicht, sodass auch für euch CloneZilla reicht, zudem ist es kostenlos!

Zentrale Dateiablage ist wichtig, es ist auch keine unübliche Praxis!

Danke dir auch eine schöne Woche!
Jonas42
Jonas42 27.04.2018, aktualisiert am 28.04.2018 um 00:39:32 Uhr
Goto Top
Danke dir!

Mal noch blöd gefragt...wie ist denn dann das richtige Vorgehen? Windows wird installiert. Win 10 begrüßt mich jetzt mit allerlei überflüssigem (Cortana, Spiele, etc). Erst darum kümmern oder jetzt als nächstes einen Standardbenutzer anlegen, dann bei dem Änderungen vornehmen und dann das Image erstellen? Aber vermutlich wenig sinnvoll, denn die Einstellungen kann der Benutzer jederzeit ändern. Also als Admin die GPO festlegen (gibt es da eine Übersicht, welche so die 'Standardsachen' sind?), ggf. noch Programme installieren und dann Image erstellen?

Win 10 überfordert mich grad etwas...allein schon die zwei unterschiedlichen Systemsteuerungs GUIs, Spiele, Cortana, Edge lässt sich nicht deinstallieren (ich hätte Firefox eingesetzt, spricht wohl nichts dagegen?)

Schöne Grüße

Edit: Und noch was anderes: Bei der Einrichtung vergibt man doch einen Namen für den Benutzer. Zwar kann man den nachträglich ändern, der Benutzerordner behält aber den ursprünglichen Namen. Ist das nicht ein Problem, wenn man jetzt ein Image für andere Rechner erstellt?

Ich habe eine Anleitung zur Umbenennung dieses Ordners gefunden, aber irgendwann ist dann doch der Punkt erreicht, wo es schneller wäre jeden Rechner getrennt einzurichten und auf Images zu verzichten?

Wie löst man in einem kleinen Büro eigentlich die Updates? Die kann man ohne Adminrechte doch vermutlich nicht installieren - ohne IT Department extrem nervig, da dann der „Hobby-Admin“ ständig von PC zu PC flitzen muss. Oder habe ich auch da was übersehen?
Pedant
Pedant 28.04.2018 um 10:51:56 Uhr
Goto Top
Hallo Jonas42,

richte Windows 10 soweit wie möglich ein, bevor Du ein Image machst.
Installiere und konfiguriere Alles was auf den Zielrechnern gleich sein soll.
Alles was auf den Zielrechnern unterschiedlich sein soll, lässt Du für's Image weg.

Windows 10 installierst Du für's Image ohne die Eingabe eines Keys.
Den jeweiligen Key gibst Du später auf den Zielrechner ein und aktivierst sie dann einzeln.
Manuell installierst Du Treiber nur, wenn die Zielrechner die gleiche Hardware haben, wie der Imagerechner.
Software installierst Du nur die, die auf allen Rechnern laufen soll.

Eines solltest Du unbedingt beachten, nämlich, ob Du den Imagerechner mit dem Internet verbindest oder nicht und wenn Du ihn damit verbindest, achte darauf wann Du es tust.
Bei Internetzugang passiert zumindest Folgendes:

  • Windows 10 merkt, dass es (noch) nicht aktiviert ist und unterbindet dann alle Personalisierungen in den Einstellungen. Die solltest Du daher zuvor erledigt haben.
  • Windows 10 lädt und installiert Treiber für die aktuelle Hardware. Sollten die Zielrechner recht unterschiedliche sein, wäre das nicht von Vorteil, aber auch kein Beinbruch. Sollten die Zielrechner gleich sein, dann wäre es gut, dass die Treiber schon installiert sind.
  • Windows 10 kann aktuelle Windows-Updates einspielen, was vorteilhaft ist, denn dann musst Du es nicht bei jedem Zielrechner nochmal machen.

Wenn Du, wie Du schreibst, auf den Zielrechnern unterschiedliche lokale Benutzer anlegen möchtest, dann hast Du wenigstens zwei Möglichkeiten:


a) Keinen Benutzer im Image

Du legst bei der Installation, wenn sie dazu auffordert, einen Benutzer an, aber sobald Windows benutzbar ist, aktivierst Du in der Verwaltung das interne Administrator-Accout, also den vordefinierten Benutzer Namens "Administrator", der per Default deaktiviert ist. Gib ihm dann auch gleich ein gutes Kennwort.
Dann meldest Du den aktuellen Benutzer ab, meldest Dich als Administrator an und löschst den Benutzer, den Du bei der Installation angellegt hattest, inklusive seines C:\Users\Name-Ordner.
Jetzt hast Du ein System zum Imagen, dass quasi keinen Benutzer hat und Du kannst dann später auf den Zielrechnern einen neuen Benutzer anlegen und wenn Du möchtest, das Administrator-Accout wieder deaktivieren.
Aktivieren/Deaktivieren geht auch in der Eingabeaufforderung:
net user administrator /active:yes und net user administrator /active:yes
Windows 10 benötigt allerdings zumindest einen Benutzer, der von seinen Rechten her Administrator ist.
Falls Du die letzendlichen Benutzer als minderpriveligiert anlegen möchtest, kannst Du entweder den internen Administrator aktiviert lassen, oder legst Dich "Jonas42" als Administrator an, der dann im Image schon vorhanden ist.


b) Alle Benutzer im Image

Du kannst auf dem Imagerechner auch schon alle Benutzer anlegen, also Meier, Müller, Schulze usw.
Dann kannst Du Dich der Reihe nach am Imagerechner mit jedem Benutzer einmal anmelden und jeweils alle individuellen Einrichtungen vornehmen. Software solltest Du zuvor schon installieren.
So kann sich später auf den Zielrechnern jeder Mitarbeiter sofort an jedem Rechner anmelden.
Ich nutze keine lokalen Benutzerkonten und kann Dir daher leider auch nicht sagen, was die beste und einfachste Methode ist, mehrere Benutzer vorzubereiten.
Um das Anlegen mehrerer, ähnlicher Benutzer zu vereinfachen kannst Du ja mal Googeln, ob und wie sich Benutzer duplizieren lassen und/oder wie der Default-User konfiguriert werden kann.

Zum Thema Windows-Updates ohne Adminrechte kann ich nur mutmaßen.
Für Windows 7 habe ich diese Anleitung gefunden:
https://www.xobit.de/win-werstatt/59-richtlinien/60-windows-updates-ohne ...
Entweder funktioniert das unter 10 ebenfalls mit Gruppenrichtlinien oder normale Benutzer können ohnehin Windows-Updates installieren oder...
Wie gesagt, ich weiß es nicht, aber ich bin mir sicher, dass es dafür eine einfache Lösung gibt.

Wenn Du Firefox benutzen möchtest, so spricht seitens Windows 10 nichts dageben.

Gruß Frank
Jonas42
Jonas42 28.04.2018 um 13:25:08 Uhr
Goto Top
Hallo Frank,

danke für die Antwort!

Windows 10 installierst Du für's Image ohne die Eingabe eines Keys.

Hier wird davon abgeraten den Key erst später einzugeben: https://www.giga.de/downloads/windows-10/tipps/windows-10-mit-altem-key- ...
Alternativ könnte man den wohl entfernen und neu vergeben, so wie du das weiter oben erklärt hast.
Hast du mit beiden Methoden Erfahrung und würdest einer davon den Vorzug geben oder kann ich das nach Belieben machen?


Ich könnte doch vermutlich einen Admin anlegen, dann das Image erstellen und dann halt auf jedem PC einen Standardbenutzer (PC A: Lisa Müller, PC B: Max Meier, ...) erstellen? Das ist dann das einfachste? Der Standardbenutzer wird sowieso kein Passwort haben - selbst wenn das sicherheitstechnisch nicht ganz optimal ist, werde ich etwas anderes hier nicht durchsetzen können. Ich hätte dann die Konfiguration so vorgenommen, dass der auch automatisch beim Start eingeloggt wird. Wenn es wirklich mal erforderlich sein sollte, dass ein PC von einem anderen Mitarbeiter genutzt wird, dann nutzt der eben dessen Account.

Windows-Updates

Entschuldigung, ich hatte mich unklar ausgedrückt. Die Programmupdates machen mir viel mehr Sorge, also zum Beispiel wenn es ein Update für ein Ausschreibungsprogramm gibt und ich dann womöglich immer von PC zu PC rennen müsste anstatt dass das die anderen Mitarbeiter selbst erledigen können. Ich habe da bisher auch keine Lösung gefunden, das ist in kleinen Büros also vielleicht generell schwierig? Andererseits habe ich Aussagen gefunden, dass Firefox auch ohne Adminrechte die neuesten Updates zieht, zumindest bei manchen Programmen geht das also wohl.

Dir, und allen anderen, ein schönes sonniges Wochenende!
Pedant
Pedant 28.04.2018 um 19:46:58 Uhr
Goto Top
Hallo Jonas42,

Zitat von @Jonas42:
Hier wird davon abgeraten den Key erst später einzugeben
Ich bezog mich auch passende, neue Windows 10 Keys.

Der Artikel bezieht sich auf Windows 7 und 8 Keys für Windows 10.
Hast Du das denn vor?

Aber egal, wenn Du Imagen willst, dann kannst Du die Keys ja ohnehin nicht für alle Zielrechner schon zuvor bei der Installation der Imagequelle eingeben. Da könntest Du nur einen eingeben und den würdest Du dann beim Imageverteilen auf Rechner übertragen, auf denen Du aber einen anderen, eigenen Key verwenden musst.
Key im Image ist daher nicht sinnvoll, auch wenn es mit dem später Eingeben tatsächlich Schwierigkeiten geben sollte.
Mit frischen Windows 10 Keys gibt es aber definitiv kein Problem beim später Eingeben.

Zitat von @Jonas42:
Ich könnte doch vermutlich einen Admin anlegen, dann das Image erstellen und dann halt auf jedem PC einen Standardbenutzer (PC A: Lisa Müller, PC B: Max Meier, ...) erstellen?
Ja, das wäre dann eine Variante, wie ich sie unter a) beschrieben hatte.

Zitat von @Jonas42:
Der Standardbenutzer wird sowieso kein Passwort haben - selbst wenn das sicherheitstechnisch nicht ganz optimal ist, werde ich etwas anderes hier nicht durchsetzen können. Ich hätte dann die Konfiguration so vorgenommen, dass der auch automatisch beim Start eingeloggt wird.
Autologon und Passwort ist kein Widerspruch.

Eingabeaufferderung: control userpasswords2
Im erscheinenden Fenster den Haken Haken wegnehmen für
[] Benutzer müssen...
[Übernehmen]
Dann Benutzer und Kennwort für's Autologon einmal eingeben und fertig.

Auf dem Fileserver legst Du dieselben Benutzer mit ihrem Kennwort an, dann muss beim Zugriff auf dessen Freigaben auch kein Benutzername und Kennwort eingegeben werden, da Windows zuerst den Zugriff mit den aktuellen Anmeldedaten versucht und nur bei Misserfolg nach Benutzername und Kennwort gefragt wird.

Zitat von @Jonas42:
Wenn es wirklich mal erforderlich sein sollte, dass ein PC von einem anderen Mitarbeiter genutzt wird, dann nutzt der eben dessen Account.
Das geht natürlich, aber Zugriff auf seine E-Mails hat er dann nicht, sondern nur auf die seines Kollegen.
Insbesondere wenn auch die private Nutzung von E-Mail im Büro gestattet ist, musst Du darauf aufmerksam machen und die Anweisung erteilen, dass das Mailprogramm auf "fremden" Rechnern nicht geöffnet werden darf.

Zitat von @Jonas42:
Die Programmupdates machen mir viel mehr Sorge, also zum Beispiel wenn es ein Update für ein Ausschreibungsprogramm gibt und ich dann womöglich immer von PC zu PC rennen müsste anstatt dass das die anderen Mitarbeiter selbst erledigen können.
Das wird nicht täglich vorkommen und 5 Arbeitsplatzrechner sind recht überschaubar im Aufwand.
Es würde ja auch reichen, wenn Du Dich auf den betroffenen Rechnern anmeldest und der Mitarbeiter unter Deinem Account oder einem anderen Admin-Account, dann die fraglichen Updates ausführt und sich anschließend wieder unter seinen Namen anmeldet.

Zitat von @Jonas42:
Andererseits habe ich Aussagen gefunden, dass Firefox auch ohne Adminrechte die neuesten Updates zieht, zumindest bei manchen Programmen geht das also wohl.
Gelesen hatte ich das auch, aber ich habe keinerlei Erfahrung mit rechtelosen Usern.
Bei uns im Büro nutzern wir auch keinen DC und es ist jeder lokaler Administrator.

Gruß Frank
Jonas42
Jonas42 30.04.2018 um 09:55:00 Uhr
Goto Top
Hallo Frank,

danke für die Antwort!

Sind frische Win 10 Keys, sollte also kein Problem sein. face-smile

und es ist jeder lokaler Administrator.

Interessant, so unüblich ist das also wirklich nicht?


Zu Adminrechten unter Windows, was ist von der Aussage zu halten:

Also bei Windows ist diese Aussage mittlerweile aufgrund der UAC überholt und tendenziell eher schädlich (denn dann muss man immer das Admin-Kennwort eingeben, wenn nun ein Schädling den UAC-Dialog fälscht, hat er gleich das Kennwort).

Schöne Grüße,
Jonas
departure69
departure69 30.04.2018 um 10:12:48 Uhr
Goto Top
@Jonas42:

Das mit den lokalen Admins bei ansonsten normalen Usern (also keine IT-/EDV-Mitarbeiter) hört man leider recht oft. Verstehen tue ich es nur selten.

Es gibt Szenarien, da ist das manchmal unumgänglich, mir fallen ein paar Stück ein:

- irgendein mistiges Programm verlangt zwingend lokale Adminrechte und ist mit keinem Trick der Welt anders zu überlisten, nur mit einfachen Rechten zu funktionieren

- bei Entwicklern, deren Rechner sich dann aber auch zumeist in einem eigenen abgeschotteten Netz befinden

- leider will der Chef manchmal unbedingt (lokaler) Admin sein, da muß dann dem Befehl gehorcht werden


Ansonsten:

Wenn sowas überhaupt in Frage kommt, dann nur nach dem Minimalprinzip, und dann darf das trotzdem nicht den Sicherheitsleitlinien der Firma widersprechen. Mit UAC oder nicht hat das überhaupt nichts zu tun, mir wäre in jedem Fall unwohl, wenn sich auch nur ein Mitarbeiter hier bei uns irgendwelches Zeug aus unbekannter Quelle (da bestehen dann gern auch mal Lizenz- oder Datenschutzfragen) installieren könnte, ohne daß ich davon weiß. Und genau das kann aber ein lokaler Admin. Leider.

Somit:

Normale User sind niemals Admin, weder lokal noch Domäne, falls aber doch erforderlich, Ausnahmen sh. oben, dann nach dem Minmalprinzip. Und diese Rechner genauestens im Auge behalten, z. B. mit einem regelmäßigen Software-Audit.


Viele Grüße

von

departure69
Pedant
Pedant 30.04.2018 um 12:10:44 Uhr
Goto Top
Hallo Jonas,

Zitat von @Jonas42:
Interessant, so unüblich ist das also wirklich nicht?
nicht unüblich nur im Sinne von "es kommt öfter vor".
Im Sinne von "best practice" und "empfehlenswert" ist es nicht nur unüblich, sondern nicht existent.
Ansonsten hat departure69 ja schon Alles dazu gesagt.

Zitat von @Jonas42:
>Also bei Windows ist diese Aussage mittlerweile aufgrund der UAC überholt und tendenziell eher schädlich...
Auf welche Aussage beziehst Du Dich?
Zwischen ">" und den Text gehört ein Leerzeichen, damit es als Zitatformatierung erkannt wird.

Gruß Frank
Jonas42
Jonas42 30.04.2018 aktualisiert um 12:35:06 Uhr
Goto Top
Hallo,


danke für die Kommentare!

Auf welche Aussage beziehst Du Dich?

Die Aussage habe ich im Zusammenhang mit Adminrechten gehört, sprich die Aussage war, dass man unter Windows mittlerweile gut auch mit einem Adminkonto arbeiten kann. Ich verstehe die aber allein schon deswegen nicht, da ich doch selbst bei einem Adminkonto noch das Kennwort eingeben muss, wenn ich dann ein Programm installiere? Somit kann man auch bei einem Adminkonto über einen gefälschten UAC-Dialog das Kennwort abgreifen?

Edit: Aussage war auch, dass man als Standardbenutzer trotzdem noch exe Dateien ausführen kann, da man sie dazu nicht zwingend erst installieren muss. Ist das so richtig?
departure69
departure69 30.04.2018 um 12:38:09 Uhr
Goto Top
Somit kann man auch bei einem Adminkonto über einen gefälschten UAC-Dialog das Kennwort abgreifen?

Das ist aber schon sehr konstruiert. Nur wegen dieser hypothetischen Gefahr eines gefälschten UAC-Dialogs gleich die ganz große Keule rausholen und deshalb lokale Admin-Rechte geben? Stell' Dir mal vor, was ein lokaler Admin von Dir unbemerkt auf der Kiste treiben kann, dies sehe ich als hundertmal gefährlicher an!


Viele Grüße

von

departure69
Pedant
Pedant 30.04.2018 um 12:45:45 Uhr
Goto Top
Hallo Jonas,

Zitat von @Jonas42:

Du könntest für Aministratoren und/oder den integrierten Administrator den Administratorgenehmigungsmodus per Gruppenrichtlinien ausschalten, dann käme die Aufforderung nicht.
Wir sprechen jetzt aber davon, dass ein schon vorhandener Trojaner ein Kennwort abgreifen könnte und um das zu verhindern, dann lieber die Wahrscheinlichkeit zu erhöhen sich einen solchen einzufangen.
Klingt nicht logisch.

Zitat von @Jonas42:
Edit: Aussage war auch, dass man als Standardbenutzer trotzdem noch exe Dateien ausführen kann, da man sie dazu nicht zwingend erst installieren muss. Ist das so richtig?
Das ist soweit richtig, wenn Du dem Benutzer nicht das Recht dafür entziehst.
Beim Versuch eine beliebig Exe zu starten, muss man aber zumindest auch den Haken setzten, dass diese tatsächlich gestartet werden soll.

Gruß Frank
Jonas42
Jonas42 30.04.2018 um 12:50:19 Uhr
Goto Top
Nochmal danke euch!

Das ist soweit richtig, wenn Du dem Benutzer nicht das Recht dafür entziehst.

Wäre das dann auch über eine GPO?

Schöne Grüße,
Jonas
Pedant
Pedant 30.04.2018 um 13:02:12 Uhr
Goto Top
Hallo Jonas,

über GPO (C:\Windows\System32\gpedit.msc) kannst Du recht detailiert so ziemlich alles unterbinden, bis zur Unbenutzbarkeit des Rechners.
Welche Richtlinie für genau diese Aufgabe zuständig wäre, weiß ich jetzt nicht.

Gruß Frank