Multidomänen - taktische Frage
Guten Morgen zusammen,
wie lösst ihr das Problem mit Multi-Domänen, bei den Kunden?
Ich bin bei Kunde A Domäne Holzwurm.
Kunde B Domäne Heiligenschein
Domäne C Blitzschlag
Jedes Mal den Laptop rein und raus ist blöd. Eine Idee ist das Ganze über VMs zu machen. Aber dann habe ich nachher uU ein Dutzend VMs auf dem Laptop. Und das gaze über die boardeigene VM?
mfG
tsunami
wie lösst ihr das Problem mit Multi-Domänen, bei den Kunden?
Ich bin bei Kunde A Domäne Holzwurm.
Kunde B Domäne Heiligenschein
Domäne C Blitzschlag
Jedes Mal den Laptop rein und raus ist blöd. Eine Idee ist das Ganze über VMs zu machen. Aber dann habe ich nachher uU ein Dutzend VMs auf dem Laptop. Und das gaze über die boardeigene VM?
mfG
tsunami
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3310282646
Url: https://administrator.de/forum/multidomaenen-taktische-frage-3310282646.html
Ausgedruckt am: 26.12.2024 um 00:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
verstehe das Problem nicht ganz. Dein Notebook muss nicht in der Domäne des Kunden sein und anständige Domänen haben einen Managementserver. Laptop ins Netzwerk des Kunden, Laptop authentifizieren, RDP auf den Managementserver, fertig. Kein Domänenwechsel nötig, keine lokalen VMS nötig.
Dein Laptop gehört (wenn überhaupt) in deine Domäne und nicht in die des Kunden.
Gruß
Doskias
verstehe das Problem nicht ganz. Dein Notebook muss nicht in der Domäne des Kunden sein und anständige Domänen haben einen Managementserver. Laptop ins Netzwerk des Kunden, Laptop authentifizieren, RDP auf den Managementserver, fertig. Kein Domänenwechsel nötig, keine lokalen VMS nötig.
Dein Laptop gehört (wenn überhaupt) in deine Domäne und nicht in die des Kunden.
Gruß
Doskias
Hallo,
Du kannst ja eine Vertrauensstellung zwischen Deiner Domäne und der der Kunden einrichten. Falls der Kunde das zulässt.
Bedenke bitte auch, dass bei Domänenbeitritt deines Laptops auf Deinem Laptop die GPOs der Domäne erzwungen werden. Da können unerwünschte Effekte auf Deinem Laptop erzwungen werden.
Und - Du benötigst zum sauberen Entfernen Deines Laptops aus der Domäne Domänenadmin-Rechte.
Grüße
lcer
Du kannst ja eine Vertrauensstellung zwischen Deiner Domäne und der der Kunden einrichten. Falls der Kunde das zulässt.
Bedenke bitte auch, dass bei Domänenbeitritt deines Laptops auf Deinem Laptop die GPOs der Domäne erzwungen werden. Da können unerwünschte Effekte auf Deinem Laptop erzwungen werden.
Und - Du benötigst zum sauberen Entfernen Deines Laptops aus der Domäne Domänenadmin-Rechte.
Grüße
lcer
Es reicht, wenn das Gerät in "einer" Domain vorhanden ist. Üblicher Weise in der, auf dessen Recourcen es zugreifen muss.
Ziel einer Domäne ist ja, die Berechtigungsstruktur auf den Recourcen, und z.B.
die Gruppenrichtlinien, von wo er seine Einstellungen beziehen soll. Diese werden dann natürlich nur in seiner Domäne gepflegt.
Ziel einer Domäne ist ja, die Berechtigungsstruktur auf den Recourcen, und z.B.
die Gruppenrichtlinien, von wo er seine Einstellungen beziehen soll. Diese werden dann natürlich nur in seiner Domäne gepflegt.
Moin,
+1 für @Doskias und @maretz
Überall einen Adminrechner (Blech oder VM) platzieren und von dort die Kunden administrieren.
Es gibt IMHO keinen Grund, weshalb du hier mit deinem Firmen-Gerät in die jeweiligen Domains müsstest. Im Gegenteil: es bestünde ja u.U. Die Gefahr, dass du Daten von Kunden A nach Kunden B mitschleppest…
Gruß
em-pie
+1 für @Doskias und @maretz
Überall einen Adminrechner (Blech oder VM) platzieren und von dort die Kunden administrieren.
Es gibt IMHO keinen Grund, weshalb du hier mit deinem Firmen-Gerät in die jeweiligen Domains müsstest. Im Gegenteil: es bestünde ja u.U. Die Gefahr, dass du Daten von Kunden A nach Kunden B mitschleppest…
Gruß
em-pie
Ja so sind wir halt
Die zielführenste Lösung ist:
1. Logs anlaysiren
2 . Problem zeigen lassen
3. Änerungen vornehmen
4. gemeinsam mit dem User testen ob die Änderung Erfolg hatte
5. Zurück zu 1 oder Belohnungskaffee holen
Gruß
Doskias
In der Regel brauche ich das doch für Fehleranalysen. ZB wenn ein Nutzer sagt, bei ist das und das Problem.
Dann kann ich natürlich den Benutzer Kaffeetrinken schicken und mich an seinen Rechner setzen.
Nein, dann löst du das Problem mit dem Kunden zusammen. Wenn das Problem nur auf dem einen Rechner auftritt, dann musst du es auch auf dem einen Rechner lösenDann kann ich natürlich den Benutzer Kaffeetrinken schicken und mich an seinen Rechner setzen.
Oder aber ich logge mich an meinem Laptop mit meinen oder seinen Daten ein und versuche das Problem nach zu vollziehen.
Was schon daran scheitert, dass er dir sein Anmeldekennwort hoffentlich nicht gibt.Oder zur Kontrolle ob Firewall und GPO korrekt arbeiten. Oder um den Fehler einzugrenzen (User, Gerät, Netzwerk, ...)
Dafür gibt es Protokolle, RSOP.msc, GPRESULT und die Gruppenrichtlinienmodellierung auf dem AD.Nur wie gesagt, habe ich dann das Problem komischer Effekte, Deswegen dei Frage. Eine Idee ist halt das Ganze über virtuelle Clients zu lösen. VMBLitzschlag ist dann in der Domäne Blitzschlag, wenn da was schiefgeht, ists relativ egal.
Wenn du Kunden-VMs brauchst um etwas bei dem Kunden zu testen, dann gehören diese in die Kundenumgebung.Aber um einen Fehler nachvollziehen zu können, müsste ich mich schon ähnlich wie der User verhalten.
Nein. Du musst dich genau wie der User verhalten. Ein anderer Klick und das Problem ist nicht mehr nachvollziehbar und tritt ggf. gar nicht mehr auf. Du kannst dich aber nicht wie der User verhalten. Also musst du es mit dem User zusammen lösen. Auch wenn es vielleicht ungewöhnlich klingen mag, aber als Administrator, der den User helfen will, hat man anders als allgemein angenommen sehr viel Kontakt zu Menschen Und wenn der erstmal arbeiten kann, aber was weiß ich zB den Drucker nicht bekommt, nützt mir der Server doch erstmal wenig.
Doch. Weil der erste Schritt immer die Analyse der Protokolle ist und dazu musst du nicht mal am Rechner sein. Du kannst die Protokolle jedes Rechners von jedem Rechner aus öffnen, sofern der Zielrechnern an ist und die dich mit entsprechenden Rechten ausweisen kannst.Die zielführenste Lösung ist:
1. Logs anlaysiren
2 . Problem zeigen lassen
3. Änerungen vornehmen
4. gemeinsam mit dem User testen ob die Änderung Erfolg hatte
5. Zurück zu 1 oder Belohnungskaffee holen
Gruß
Doskias
Die Fehleranalyze bei Multidomains ist die Selbe, wie bei einer Domain. Jeder Client ist in seiner Domain. In jeder Domain existiert eine VM, auf die du dich drauf schalten kannst.
Ich nenne sie mal "Management-VM", darauf sind dann auch die ganzen Netzwerk-Tools, SQL Management Studio usw. Wenn du die Clientseite simulieren willst, installiere eine weitere kleine VM, auf der du dich als Client anmelden kannst. Ich habe mir so eine VM gebaut, weil ich sehen will, ob sich die ganzen Netzlaufwerke richtig mappen.
Wenn es ein Problem mit seinem eigenen Client ist, musst du natürlich auf diesen einen besagten Client drauf, per Teamviewer, per RDP oder sonstwie - dafür ist es egal in welcher Domain er sich befindet, oder du dich befindest.
Ich nenne sie mal "Management-VM", darauf sind dann auch die ganzen Netzwerk-Tools, SQL Management Studio usw. Wenn du die Clientseite simulieren willst, installiere eine weitere kleine VM, auf der du dich als Client anmelden kannst. Ich habe mir so eine VM gebaut, weil ich sehen will, ob sich die ganzen Netzlaufwerke richtig mappen.
Wenn es ein Problem mit seinem eigenen Client ist, musst du natürlich auf diesen einen besagten Client drauf, per Teamviewer, per RDP oder sonstwie - dafür ist es egal in welcher Domain er sich befindet, oder du dich befindest.
Je nach Größe des Kunden würde ich auch einen eigenen VM oder mini PC hinstellen, damit kannst du das genauso testen. Natürlich könntest du wie du dir selber überlegt hast die VMs auch auf deinem Notebook laufen lassen.
Wo die VM läuft ist ja egal.
Aber lass das mit den Multi Domains das bringt nichts außer Probleme.
Wo die VM läuft ist ja egal.
Aber lass das mit den Multi Domains das bringt nichts außer Probleme.
Hallo,
wir haben Swyx DECT bei der Telekom eingekauft.
Wenn der nette magenta Typ auftaucht holt er auch VMware Workstation raus! Auch wenn das DECT Netz gar keine Domäne etc hat.
Die dürfen nicht einfach ins Kundennetz oder simpel die Geräte pingen/ drauf gehen.
Du kannst die VMs- sofern sowas wie VMware Workstation - ja als Linked Clone einrichten. Dann kommen die schnell hoch.
Das geht soar recht zügig. Klar ist es eine VM Schlacht, wenn es so viele sind. Wenn die Kunden eine Domäne haben, darf man aber unterstellen das es nicht nur 2-3 Clients sind.
In der Klinik wo ich früher war hatten wir einen Extra-PC. Wo sich Externe dann enstprechend anmelden konnten.
Naja man kann auch via PowerShell und Enter-RemotSession auf einiges zugrifen und analysieren. Hab ich aber nur in unserer Domäne oder auf "Domän"Freien Kassensystemen gemacht. Weiß nciht ob die GPO das immer zu lässt.
Vlt. liegt die Lösugn dazwischen! Bei den Großkunden - wo am meisten zu tun ist - Rechner bereitstellen lassen. Bei den anderen mit VM?
Ein Mix aus allen.
wir haben Swyx DECT bei der Telekom eingekauft.
Wenn der nette magenta Typ auftaucht holt er auch VMware Workstation raus! Auch wenn das DECT Netz gar keine Domäne etc hat.
Die dürfen nicht einfach ins Kundennetz oder simpel die Geräte pingen/ drauf gehen.
Du kannst die VMs- sofern sowas wie VMware Workstation - ja als Linked Clone einrichten. Dann kommen die schnell hoch.
Das geht soar recht zügig. Klar ist es eine VM Schlacht, wenn es so viele sind. Wenn die Kunden eine Domäne haben, darf man aber unterstellen das es nicht nur 2-3 Clients sind.
In der Klinik wo ich früher war hatten wir einen Extra-PC. Wo sich Externe dann enstprechend anmelden konnten.
Naja man kann auch via PowerShell und Enter-RemotSession auf einiges zugrifen und analysieren. Hab ich aber nur in unserer Domäne oder auf "Domän"Freien Kassensystemen gemacht. Weiß nciht ob die GPO das immer zu lässt.
Vlt. liegt die Lösugn dazwischen! Bei den Großkunden - wo am meisten zu tun ist - Rechner bereitstellen lassen. Bei den anderen mit VM?
Ein Mix aus allen.
Also - ich würde das ähnlich sehen. Es bringt dich nicht weiter dein Laptop in die Domäne zu hängen um damit ne Fehler-Analyse zu machen. Denn: Du hast auf deinem Laptop ja vermutlich ganz andere Berechtigungen. Andere Software (allein Lizenzmässig wäre es ja unsinn z.B. ne Office-Installation da zu machen). Und mindestens ne andere IP im Netz... Um den üblichen Auto-Vergleich ranzuziehen: Es hilft dir nix wenn ich ein Problem mit MEINEM Auto habe wenn du ein anderes Auto nutzt und sagst "aber ich habs nicht". Dann also eher TeamViewer o.ä. und das Problem auf dem betroffenem Rechner beheben. Zumal du da auch gleich die Fehlermeldung bekommst - und nicht nur die übliche Anwendermeldung wie "Da war ne komische Meldung, die hab ich weggeklickt und dann gings nicht mehr"...