19
NTFS best practice
Hallo ihr Admins,
ich bin der IT in einer kleinen Firma mit ca. 20 Mitarbeitern.
Computer sind mein Hobby welches ich mir über die Jahre selber beigebracht habe.
Habe mal was repariert und zack schon ist man IT;)..das war vor 20 Jahren.
Seit damals bin ich immer gut über die Runden gekommen und ich habe immer alle Probleme gelöst bekommen.
Wir haben einen Windows 10 Rechner welcher als Server fungiert, auf welchem auch alle Daten inkl. Benutzerdaten bis hin zu den Desktops der Clients gespeichert sind. Jedoch gibt es natürlich mit dieser Lösung keinen Domänencontroller und keine Acitve Directory.
Nun möchte ich das ganze via spezifischer Vergabe von NTFS Rechten mehr einschränken und steuern.
Bis jetzt konnte eigentlich jeder auf alles zugreifen....Das möchte ich nun ändern.
Ich habe lange und viel über diese Thematik gelesen; doch gewisse Fragen konnte ich nicht beantworten.
Vergibt der erfahrene Administrator NTFS Rechte über ein ganzes Datenlaufwerk?
Also von oben herab immer mehr einschränken?
Wenn ich das mache, geht das zwar, doch es kommt zwangsläufig zu Fehlermeldungen in Verbindung mit den Systemdateien und versteckten Dateien.
Dann habe ich mich noch etwas gefragt... gibt es so eine Art Standart NTFS Konfiguration die bei der ersten Formatierung vergeben wird und zu der man immer wieder zurückkehren könnte?
Ich habe Gruppen gemacht welche die Aufgaben der Mitarbeiter abdecken; Administration, Finanzen, etc.
In diese habe ich dann die einzelen Clients hinzugefügt.... so sollte das doch funktionieren?
Ich bin mir im Klaren, dass dies niemals eine gleichwertige Lösung sein wird wie ein richtiger Server, doch wird sie deutlich mehr spezifische Zugriffskontrolle und Sicherheit ermöglichen im Vergleich zur jetztigen Lösung.
Für ein paar Inputs zur Vergabe und Verwaltung von NTFS Rechten wäre ich sehr dankbar und würde mich für Eure Herangehensweise in so einem Fall sehr interessieren...
Besten Dank schon mal an jeden der sich die Zeit nimmt;)
Gruss xendrix
ich bin der IT in einer kleinen Firma mit ca. 20 Mitarbeitern.
Computer sind mein Hobby welches ich mir über die Jahre selber beigebracht habe.
Habe mal was repariert und zack schon ist man IT;)..das war vor 20 Jahren.
Seit damals bin ich immer gut über die Runden gekommen und ich habe immer alle Probleme gelöst bekommen.
Wir haben einen Windows 10 Rechner welcher als Server fungiert, auf welchem auch alle Daten inkl. Benutzerdaten bis hin zu den Desktops der Clients gespeichert sind. Jedoch gibt es natürlich mit dieser Lösung keinen Domänencontroller und keine Acitve Directory.
Nun möchte ich das ganze via spezifischer Vergabe von NTFS Rechten mehr einschränken und steuern.
Bis jetzt konnte eigentlich jeder auf alles zugreifen....Das möchte ich nun ändern.
Ich habe lange und viel über diese Thematik gelesen; doch gewisse Fragen konnte ich nicht beantworten.
Vergibt der erfahrene Administrator NTFS Rechte über ein ganzes Datenlaufwerk?
Also von oben herab immer mehr einschränken?
Wenn ich das mache, geht das zwar, doch es kommt zwangsläufig zu Fehlermeldungen in Verbindung mit den Systemdateien und versteckten Dateien.
Dann habe ich mich noch etwas gefragt... gibt es so eine Art Standart NTFS Konfiguration die bei der ersten Formatierung vergeben wird und zu der man immer wieder zurückkehren könnte?
Ich habe Gruppen gemacht welche die Aufgaben der Mitarbeiter abdecken; Administration, Finanzen, etc.
In diese habe ich dann die einzelen Clients hinzugefügt.... so sollte das doch funktionieren?
Ich bin mir im Klaren, dass dies niemals eine gleichwertige Lösung sein wird wie ein richtiger Server, doch wird sie deutlich mehr spezifische Zugriffskontrolle und Sicherheit ermöglichen im Vergleich zur jetztigen Lösung.
Für ein paar Inputs zur Vergabe und Verwaltung von NTFS Rechten wäre ich sehr dankbar und würde mich für Eure Herangehensweise in so einem Fall sehr interessieren...
Besten Dank schon mal an jeden der sich die Zeit nimmt;)
Gruss xendrix
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 13821026194
Url: https://administrator.de/contentid/13821026194
Printed on: September 1, 2024 at 01:09 o'clock
19 Comments
Latest comment
Hi,
Das Stichwort wäre eigentlich AGDLP, wie du schon richtig erkannt hast, wäre ein Verzeichnisdienst dafür hilfreich.
Tu dir selbst einen Gefallen und Bau das einmal vernünftig, entweder mit einer AD oder einem Samba. Sollte für einen Server mitsamt AD usw kein Geld sein, läuft hier schon von vorne herein etwas falsch. Ein AD will zwar sauber konfiguriert sein und nicht bloß zusammengeklickt auch bei überschaubarer Mitarbeitetanzahl, liefert jedoch erheblichen Mehrwert, Anleitungen im Netz gibt es genug.
Sollte Geld das Problem sein gibt es das gleiche auch unter Linux als Samba, erfordert aber natürlich mehr Erfahrung im Bereich Linux.
Sollte das alles nicht schmecken, empfehle ich euch zumindest ein vernünftiges NAS von QNAP und Konsorten. Kostet such ein paar Kröten, jedoch kannst du hier Nutzer, Gruppen usw bauen und gleich auch die Rechte vergeben.
Das ist alles besser und nachhaltiger als die jetzige Bastellösung.
Um deine Frage zu beantworten bezüglich der Rechte auf NTFS: ja, in der Regel delegiert man die Rechte nach unten hin granular, im.besten Fall mit einem Modell wie AGDLP.
Tut euch den Gefallen und nehmt zumindest das Geld für das NAS in die Hand, ansonsten bist du derjenige, der Lösungen sucht für eine falsch aufgebaute Struktur oder eben falschem Geiz. Das ist weder für dich noch für die Firma zielführend.
Das Stichwort wäre eigentlich AGDLP, wie du schon richtig erkannt hast, wäre ein Verzeichnisdienst dafür hilfreich.
Tu dir selbst einen Gefallen und Bau das einmal vernünftig, entweder mit einer AD oder einem Samba. Sollte für einen Server mitsamt AD usw kein Geld sein, läuft hier schon von vorne herein etwas falsch. Ein AD will zwar sauber konfiguriert sein und nicht bloß zusammengeklickt auch bei überschaubarer Mitarbeitetanzahl, liefert jedoch erheblichen Mehrwert, Anleitungen im Netz gibt es genug.
Sollte Geld das Problem sein gibt es das gleiche auch unter Linux als Samba, erfordert aber natürlich mehr Erfahrung im Bereich Linux.
Sollte das alles nicht schmecken, empfehle ich euch zumindest ein vernünftiges NAS von QNAP und Konsorten. Kostet such ein paar Kröten, jedoch kannst du hier Nutzer, Gruppen usw bauen und gleich auch die Rechte vergeben.
Das ist alles besser und nachhaltiger als die jetzige Bastellösung.
Um deine Frage zu beantworten bezüglich der Rechte auf NTFS: ja, in der Regel delegiert man die Rechte nach unten hin granular, im.besten Fall mit einem Modell wie AGDLP.
Tut euch den Gefallen und nehmt zumindest das Geld für das NAS in die Hand, ansonsten bist du derjenige, der Lösungen sucht für eine falsch aufgebaute Struktur oder eben falschem Geiz. Das ist weder für dich noch für die Firma zielführend.
Hi,
und vergiss bitte nicht das Backup!!!
Egal wie, Hauptsache es gibt eines.
Auch da gibt es bei den NAS heute Lösungen ob Board.
Viele Grüße
Deepsys
und vergiss bitte nicht das Backup!!!
Egal wie, Hauptsache es gibt eines.
Auch da gibt es bei den NAS heute Lösungen ob Board.
Viele Grüße
Deepsys
Ich würde da auch eher nen nas wie synology hinstellen und nicht win10 als server betreiben... allein die nutzerverwaltung und das backup würden mich da abhalten...
Moin,
da Du spätestens nächstes Jahr an den Windows 10-PC müsstest, macht die Umstellung schon heute Sinn. Und zwar genau so, wie o.g.; also für Euren "Heimgebrauch" ein Intel-basiertes Synology-NAS, darauf den Directory Server, alle Clients in die Domäne, und einzelne Freigaben dafür, was Du benötigst, darauf dann die entsprechenden Rechte.
Nix fummeln auf Windows 10.
Gruß
DivideByZero
da Du spätestens nächstes Jahr an den Windows 10-PC müsstest, macht die Umstellung schon heute Sinn. Und zwar genau so, wie o.g.; also für Euren "Heimgebrauch" ein Intel-basiertes Synology-NAS, darauf den Directory Server, alle Clients in die Domäne, und einzelne Freigaben dafür, was Du benötigst, darauf dann die entsprechenden Rechte.
Nix fummeln auf Windows 10.
Gruß
DivideByZero
Was nutzt das granularste verrechten am Dateisystem ohne zentrale authentisierung? nichts..
Ich empfehle dir ein AD aufzusetzen und 3-4 Sicherheitsgruppen anzulegen und diese den entsprechenden usern zuzuweisen. Alles andere ist unüberschaubarer Wahnsinn und den hast du ja schon..
Ich empfehle dir ein AD aufzusetzen und 3-4 Sicherheitsgruppen anzulegen und diese den entsprechenden usern zuzuweisen. Alles andere ist unüberschaubarer Wahnsinn und den hast du ja schon..
Moin @xendrix,
so gut wie jeder von uns hat mal klein angefangen. 😉
😬
Das wage ich mal zu bezweifeln, vor allem das mit alle Benutzerdaten von Desktops und Clients.
Wie stellst du das den genau an, dass die User nur auf eurem "Server" speichern und nicht auch lokal?
Und warum nicht?
Ein AD ist eigentlich ratz fatz aufgesetzt.
👍
Dir ist aber hoffentlich schon bewusst, dass beim Lesen solcher Aussagen, viele DSBler einen Herzkasper bekommen können. 🙃
Eher nicht.
Mach das bitte ja nicht auf "C:", das könnte sehr übel ausgehen!
Bitte nicht die Rechte auf der Laufwerksebene ändern, sondern auf der Ordnerebene.
Du meinst User/Benutzer und nicht Clients, den als das letztere werden normalerweise die Rechner der User bezeichnet und da du nur einen Client als Server benutzt und auch keinen Verzeichnissdienst alla AD hast, kannst du meines Wissens nach nicht wirklich auf Client-, sprich, Computerobjektebene beschränken.
Und ja, theoretisch kann das schon funktionieren, du musst auf dem "Server" und auf den "Clients" die Benutzer jedoch jeweils immer per Hand anlegen und auch darauf achten, dass diese sowohl auf der "Server" als auch auf der Client Seite 1:1 angelegt werden, sprich, selber Benutzername und Kennwort.
Das wäre mir bei 20 Benutzern, ehrlich gesagt schon viel zu stressig.
Ich versuche heute Abend mal ein paar Zeilen dazu zusammenzuschreiben, jetzt reicht es mir leider nicht mehr, da ich gleich weiterflitzen muss, sorry.
Gruss Alex
ich bin der IT in einer kleinen Firma mit ca. 20 Mitarbeitern.
Computer sind mein Hobby welches ich mir über die Jahre selber beigebracht habe.
Habe mal was repariert und zack schon ist man IT;)..das war vor 20 Jahren.
Computer sind mein Hobby welches ich mir über die Jahre selber beigebracht habe.
Habe mal was repariert und zack schon ist man IT;)..das war vor 20 Jahren.
so gut wie jeder von uns hat mal klein angefangen. 😉
Wir haben einen Windows 10 Rechner welcher als Server fungiert
😬
auf welchem auch alle Daten inkl. Benutzerdaten bis hin zu den Desktops der Clients gespeichert sind.
Das wage ich mal zu bezweifeln, vor allem das mit alle Benutzerdaten von Desktops und Clients.
Wie stellst du das den genau an, dass die User nur auf eurem "Server" speichern und nicht auch lokal?
Jedoch gibt es natürlich mit dieser Lösung keinen Domänencontroller und keine Acitve Directory.
Und warum nicht?
Ein AD ist eigentlich ratz fatz aufgesetzt.
Nun möchte ich das ganze via spezifischer Vergabe von NTFS Rechten mehr einschränken und steuern.
👍
Bis jetzt konnte eigentlich jeder auf alles zugreifen....Das möchte ich nun ändern.
Dir ist aber hoffentlich schon bewusst, dass beim Lesen solcher Aussagen, viele DSBler einen Herzkasper bekommen können. 🙃
Vergibt der erfahrene Administrator NTFS Rechte über ein ganzes Datenlaufwerk?
Eher nicht.
Wenn ich das mache, geht das zwar, doch es kommt zwangsläufig zu Fehlermeldungen in Verbindung mit den Systemdateien und versteckten Dateien.
Mach das bitte ja nicht auf "C:", das könnte sehr übel ausgehen!
Dann habe ich mich noch etwas gefragt... gibt es so eine Art Standart NTFS Konfiguration die bei der ersten Formatierung vergeben wird und zu der man immer wieder zurückkehren könnte?
Bitte nicht die Rechte auf der Laufwerksebene ändern, sondern auf der Ordnerebene.
Ich habe Gruppen gemacht welche die Aufgaben der Mitarbeiter abdecken; Administration, Finanzen, etc.
In diese habe ich dann die einzelen Clients hinzugefügt.... so sollte das doch funktionieren?
In diese habe ich dann die einzelen Clients hinzugefügt.... so sollte das doch funktionieren?
Du meinst User/Benutzer und nicht Clients, den als das letztere werden normalerweise die Rechner der User bezeichnet und da du nur einen Client als Server benutzt und auch keinen Verzeichnissdienst alla AD hast, kannst du meines Wissens nach nicht wirklich auf Client-, sprich, Computerobjektebene beschränken.
Und ja, theoretisch kann das schon funktionieren, du musst auf dem "Server" und auf den "Clients" die Benutzer jedoch jeweils immer per Hand anlegen und auch darauf achten, dass diese sowohl auf der "Server" als auch auf der Client Seite 1:1 angelegt werden, sprich, selber Benutzername und Kennwort.
Das wäre mir bei 20 Benutzern, ehrlich gesagt schon viel zu stressig.
Für ein paar Inputs zur Vergabe und Verwaltung von NTFS Rechten wäre ich sehr dankbar und würde mich für Eure Herangehensweise in so einem Fall sehr interessieren...
Ich versuche heute Abend mal ein paar Zeilen dazu zusammenzuschreiben, jetzt reicht es mir leider nicht mehr, da ich gleich weiterflitzen muss, sorry.
Gruss Alex
Ich bin da bei Alex.
Du kannst alles machen, wie du es dir vorstellst.
Dazu bastelst du eine Freigabe (idealerweise dann eine eigene Platte und Partition in eurem "Server").
Da erstellst du dann einen Ordner, den du freigibst und darunter die ganzen Unterordner.
Rechte kannst du da auf die einzelnen Ordner legen. Je nach User halt. User müssen, wie gesagt, immer mehrfach angelegt werden. Auf allen Clients, die die User benutzen und auf dem "Server".
Zu Freigeben in der Workgroup findet man ja einiges im Netz. Schnell gesucht, erster Klick:
https://www.tilp-wn.de/w81/w10-netzwerk.htm
Ich habs nicht durchgelesen. Der erste Blick sagt, es sieht brauchbar aus.
Ich würde da aber auch eher auf ein AD setzen. So eine Synologie soll ja recht einfach zu managen sein. Hab das noch nie ausprobiert als AD.
Du kannst alles machen, wie du es dir vorstellst.
Dazu bastelst du eine Freigabe (idealerweise dann eine eigene Platte und Partition in eurem "Server").
Da erstellst du dann einen Ordner, den du freigibst und darunter die ganzen Unterordner.
Rechte kannst du da auf die einzelnen Ordner legen. Je nach User halt. User müssen, wie gesagt, immer mehrfach angelegt werden. Auf allen Clients, die die User benutzen und auf dem "Server".
Zu Freigeben in der Workgroup findet man ja einiges im Netz. Schnell gesucht, erster Klick:
https://www.tilp-wn.de/w81/w10-netzwerk.htm
Ich habs nicht durchgelesen. Der erste Blick sagt, es sieht brauchbar aus.
Ich würde da aber auch eher auf ein AD setzen. So eine Synologie soll ja recht einfach zu managen sein. Hab das noch nie ausprobiert als AD.
Moin @xendrix
+1 für en NAS.
Es geht hier wohl eher nicht um große Datenmengen und kompliziert GPO-Konfigurationen. Ich vermute damit wärest du eh im jetzigen statium überfordert. Einen Win10-Rechner als Server zu „missbrauchen“ ist hier wirklich nicht gut. Das ist eben nunmal kein Server, sondern ein Multi-User-Desktop-System.
Die einfachste alternative dazu wird wohl ein NAS sein. Ob man da ein Fertiges NAS von Qnap, Synology (mit +) etc. kauft, oder die Hardware dieses Win10 Rechners benutzt und darauf ein Xigmanas, OpenNAS etc. installiert ist eher die Frage, wer dir da hilft und die ersten Schritte mit dir gemeinsam macht, eine USER-Struktur und Rechtestruktur anzulegen.
Was dann eh ansteht:
Wirklich wichtig ist dabei nicht zu vergessen, ein sinnvolles Backup-Konzept gleich mit zu planen und umzusetzen.
Windows 11 Umstellung.
Kreuzberger
+1 für en NAS.
Es geht hier wohl eher nicht um große Datenmengen und kompliziert GPO-Konfigurationen. Ich vermute damit wärest du eh im jetzigen statium überfordert. Einen Win10-Rechner als Server zu „missbrauchen“ ist hier wirklich nicht gut. Das ist eben nunmal kein Server, sondern ein Multi-User-Desktop-System.
Die einfachste alternative dazu wird wohl ein NAS sein. Ob man da ein Fertiges NAS von Qnap, Synology (mit +) etc. kauft, oder die Hardware dieses Win10 Rechners benutzt und darauf ein Xigmanas, OpenNAS etc. installiert ist eher die Frage, wer dir da hilft und die ersten Schritte mit dir gemeinsam macht, eine USER-Struktur und Rechtestruktur anzulegen.
Was dann eh ansteht:
Wirklich wichtig ist dabei nicht zu vergessen, ein sinnvolles Backup-Konzept gleich mit zu planen und umzusetzen.
Windows 11 Umstellung.
Kreuzberger
Moin.
AD
Wenn nicht unbedingt notwendig, wenn es dir keinen Vorteil bietet, würde ich es weglassen.
In so mancher Kundenumgebung baue ich das AD zurück, sonst Windows Server 2022 Essentials in der Umgebung.
Datenserver Windows 11 Pro
Es müssten 25 Zugriffe gleichzeitig möglich sein wenn ich es richtig im Kopf habe.
Oftmals wird das Betriebssystem mit dem Server verwechselt, dabei kann W11 ebenso ein Server sein.
In der Informatik ist ein Server ... ein Computerprogramm oder ein Gerät, welches Funktionalitäten, Dienstprogramme, Daten oder andere Ressourcen bereitstellt, damit andere Geräte oder Programme („Clients“) darauf zugreifen können, meist über ein Netzwerk.
https://de.wikipedia.org/wiki/Server
Funktioniert einwandfrei, habe solche Intel 12th N97 512GB W11 Pro Systeme im Keller, laufen 24/7/365, ca. 180€, Backup mit Veeam Free (3 2 1 Regel, Generationenprinzip), Restore wäre schnell gemacht, ein cold standby Gerät immer parat.
https://www.google.com/search?q=12th+N97+512GB+W11+Pro
Also, dein Konzept ist nicht falsch, evtl. über ACL oder Segmentierung auf SMB beschränken.
Vorgehensweise
Benutzergruppen erstellen (Computerverwaltung), 2 pro Ordner
1x Gruppe_read
1x Gruppe_write
Ordner anlegen und Gruppe zuweisen.
Benutzer in Gruppe packen.
Unterordner extra zu berechtigen empfehle ich zu meiden.
Die Laufwerke werden am Client per Script im Autostart eingebunden.
Die Zugangsdaten von deiner Passwortverwaltung, z.B. KeePass, erstellen lassen.
NAS
Ich habe auch Synology im Einsatz, die Abhängigkeit zur Hardware ist ein Manko. Kommt darauf an wie lange der Datenserver offline im Restore sein darf. Ein W11 PC hat man i.d.R. schneller im Zugriff, Veeam Restore und fertig.
Client Verwaltung
ManageEngine ist bis 25 Clients kostenlos, vielleicht auch interessant für dich.
https://www.manageengine.com/products/desktop-central
AD
Wenn nicht unbedingt notwendig, wenn es dir keinen Vorteil bietet, würde ich es weglassen.
In so mancher Kundenumgebung baue ich das AD zurück, sonst Windows Server 2022 Essentials in der Umgebung.
Datenserver Windows 11 Pro
Es müssten 25 Zugriffe gleichzeitig möglich sein wenn ich es richtig im Kopf habe.
Oftmals wird das Betriebssystem mit dem Server verwechselt, dabei kann W11 ebenso ein Server sein.
In der Informatik ist ein Server ... ein Computerprogramm oder ein Gerät, welches Funktionalitäten, Dienstprogramme, Daten oder andere Ressourcen bereitstellt, damit andere Geräte oder Programme („Clients“) darauf zugreifen können, meist über ein Netzwerk.
https://de.wikipedia.org/wiki/Server
Funktioniert einwandfrei, habe solche Intel 12th N97 512GB W11 Pro Systeme im Keller, laufen 24/7/365, ca. 180€, Backup mit Veeam Free (3 2 1 Regel, Generationenprinzip), Restore wäre schnell gemacht, ein cold standby Gerät immer parat.
https://www.google.com/search?q=12th+N97+512GB+W11+Pro
Also, dein Konzept ist nicht falsch, evtl. über ACL oder Segmentierung auf SMB beschränken.
Vorgehensweise
Benutzergruppen erstellen (Computerverwaltung), 2 pro Ordner
1x Gruppe_read
1x Gruppe_write
Ordner anlegen und Gruppe zuweisen.
Benutzer in Gruppe packen.
Unterordner extra zu berechtigen empfehle ich zu meiden.
Die Laufwerke werden am Client per Script im Autostart eingebunden.
Die Zugangsdaten von deiner Passwortverwaltung, z.B. KeePass, erstellen lassen.
NAS
Ich habe auch Synology im Einsatz, die Abhängigkeit zur Hardware ist ein Manko. Kommt darauf an wie lange der Datenserver offline im Restore sein darf. Ein W11 PC hat man i.d.R. schneller im Zugriff, Veeam Restore und fertig.
Client Verwaltung
ManageEngine ist bis 25 Clients kostenlos, vielleicht auch interessant für dich.
https://www.manageengine.com/products/desktop-central
Hallo alle zusammen,
vielen, vielen Dank für euer Feedback!
Dann versuche ich mal auf alles zu antworten...
Ich muss das etwas zusammenfassen, sonst endet das in der "unendlichen Geschichte";)
AGDLP in Verbindung mit einem richtigen Server wäre wohl in der Tat die Königslösung.
Allerdings stünde das in keinem Verhältnis zu dem was wir am Ende wirklich brauchen.
Um das zu verstehen muss ich mich vielleicht etwas anders formulieren.
Wir haben zwar bis zu 20 Mitarbeiter, doch viellieicht höchstens 8 davon brauchen einen Client. (Handwerksbetrieb)
Auf dem "Windows 10 Server" läuft zu dem noch eine ERP und eine Buchhaltungssoftware auf die von den Clients zugegriffen wird.
Warum hat man das so gemacht? Nun weil es mein Vorgänger schon so gemacht hat. Damals noch mit Win XP.
Ein paar Dinge habe ich dann aber doch geändert... der Server ist nicht mehr zeitgleich eine Produktivmaschine. Will heissen, nur noch ich logge mich dort für Wartungszwecke ein.
Zudem habe ich alle Daten inkl. Desktop der Clients auf die Datenfestplatte vom Server verschoben. (@MysticFoxDE in der Tat wird nichts lokal gespeichert... auch der Desktop der Clients ist umgeleitet was seit Jahr und Tag hervorragend funktioniert.)
@Deepsys Auf diese Weise kann ich das Backup aller Daten sehr einfach machen.
Backupmässig sind wir recht gut aufgestellt (zumindest glaube ich das;))
Die Daten werden folgendermassen gesichert:
Auf dem Server gibt es 3 zeitversetzte Kopien der Datenfestplatte.
Jede Woche gibt es 2 Sicherungen der Daten, welche ausser Haus aufbewahrt werden.
Die DB der ERP wird auch noch täglich in ein Archiv auf einem Client kopiert.
Der Server und die Clients bzw. das OS werden folgendermassen gesichert:
Veeam und "sichern und wiederherstellen" jeden Tag eines am Morgen eines am Abend.
Diese Sicherungen werden mit einer analogen Zeitschaltuhr vom System getrennt für den Ransomwareschutz.
Einmal im Monat gibt es ein Systemabbild aller Rechner; Platte vom System getrennt.
Um bei einem Problem nichts überschreiben zu müssen, habe ich von den beiden benötigten Festplatten OS und Daten, jeweils eine auf Lager um sie ohne Gefahr mit den Backups bespielen zu können.
Die Originalplatten bleiben so erhalten und können gegebenfalls zu einem späteren Zeitpunkt noch für die Datenentnahme hinzugezogen werden.
Diejenigen die mir zu einem NAS geraten haben, kann ich verstehen,...mit diesem Gedanken habe ich auch gespielt.
Aber der Bauer nimmt halt was er kennt und ich bin mir nicht sicher, ob man die ERP so betreiben könnte.
@user217/
@MysticFoxDE/
Eine AD kann man doch nur auf einem richtigen Serverbetriebssystem aufsetzen?
Oder lässt sich das wirklich auf auf einem Win 10 oder 11 Rechner im ganz kleinen Rahmen realisieren?
Betreffend User/Client Bezeichung habe ich mich wohl nicht korrekt ausgedrückt. Natürlich habe ich die entsprechenden Benutzer einer Gruppe zugewiesen und nicht die Clients....;)
@ kpunkt/
@ nachgefragt/
Das was ihr da geschrieben habt, habe ich mal im kleinen nachgebaut....
Gleiche Konten auf dem Server und dem Client mit gleichem PW...
Gruppen erstellt und die entsprechenden Benutzer dort reingepackt.
Funktioniert sehr gut.....
Es wäre auch nicht nötig, alle Benutzer auf jedem Client zu haben. Die Leute arbeiten eigentlich immer am selben Client...
Euer Feedback ist enorm.... muss das alles mal nicht nur einfach durchlesen, sondern mich damit noch intensiver befassen; VIELEN DANK DAFÜR!
Der Grund für die ganze Umstellung ist natürlich das Supportende von Win 10 und , dass sich die Sicherheitslage grundlegend geändert hat. Auch die Anforderungen betreffend Datenschutz sind andere als damals....
Ich habe noch etwas Zeit und bis der Server getauscht wird, werden schon mal alle Clients auf Win 11 umgestellt.
@MysticFoxDE/
über den Input betreffend NTFS würde ich mich freuen...
...mal schauen wo die Reise hingeht...
besten Dank und Gruss
vielen, vielen Dank für euer Feedback!
Dann versuche ich mal auf alles zu antworten...
Ich muss das etwas zusammenfassen, sonst endet das in der "unendlichen Geschichte";)
AGDLP in Verbindung mit einem richtigen Server wäre wohl in der Tat die Königslösung.
Allerdings stünde das in keinem Verhältnis zu dem was wir am Ende wirklich brauchen.
Um das zu verstehen muss ich mich vielleicht etwas anders formulieren.
Wir haben zwar bis zu 20 Mitarbeiter, doch viellieicht höchstens 8 davon brauchen einen Client. (Handwerksbetrieb)
Auf dem "Windows 10 Server" läuft zu dem noch eine ERP und eine Buchhaltungssoftware auf die von den Clients zugegriffen wird.
Warum hat man das so gemacht? Nun weil es mein Vorgänger schon so gemacht hat. Damals noch mit Win XP.
Ein paar Dinge habe ich dann aber doch geändert... der Server ist nicht mehr zeitgleich eine Produktivmaschine. Will heissen, nur noch ich logge mich dort für Wartungszwecke ein.
Zudem habe ich alle Daten inkl. Desktop der Clients auf die Datenfestplatte vom Server verschoben. (@MysticFoxDE in der Tat wird nichts lokal gespeichert... auch der Desktop der Clients ist umgeleitet was seit Jahr und Tag hervorragend funktioniert.)
@Deepsys Auf diese Weise kann ich das Backup aller Daten sehr einfach machen.
Backupmässig sind wir recht gut aufgestellt (zumindest glaube ich das;))
Die Daten werden folgendermassen gesichert:
Auf dem Server gibt es 3 zeitversetzte Kopien der Datenfestplatte.
Jede Woche gibt es 2 Sicherungen der Daten, welche ausser Haus aufbewahrt werden.
Die DB der ERP wird auch noch täglich in ein Archiv auf einem Client kopiert.
Der Server und die Clients bzw. das OS werden folgendermassen gesichert:
Veeam und "sichern und wiederherstellen" jeden Tag eines am Morgen eines am Abend.
Diese Sicherungen werden mit einer analogen Zeitschaltuhr vom System getrennt für den Ransomwareschutz.
Einmal im Monat gibt es ein Systemabbild aller Rechner; Platte vom System getrennt.
Um bei einem Problem nichts überschreiben zu müssen, habe ich von den beiden benötigten Festplatten OS und Daten, jeweils eine auf Lager um sie ohne Gefahr mit den Backups bespielen zu können.
Die Originalplatten bleiben so erhalten und können gegebenfalls zu einem späteren Zeitpunkt noch für die Datenentnahme hinzugezogen werden.
Diejenigen die mir zu einem NAS geraten haben, kann ich verstehen,...mit diesem Gedanken habe ich auch gespielt.
Aber der Bauer nimmt halt was er kennt und ich bin mir nicht sicher, ob man die ERP so betreiben könnte.
@user217/
@MysticFoxDE/
Eine AD kann man doch nur auf einem richtigen Serverbetriebssystem aufsetzen?
Oder lässt sich das wirklich auf auf einem Win 10 oder 11 Rechner im ganz kleinen Rahmen realisieren?
Betreffend User/Client Bezeichung habe ich mich wohl nicht korrekt ausgedrückt. Natürlich habe ich die entsprechenden Benutzer einer Gruppe zugewiesen und nicht die Clients....;)
@ kpunkt/
@ nachgefragt/
Das was ihr da geschrieben habt, habe ich mal im kleinen nachgebaut....
Gleiche Konten auf dem Server und dem Client mit gleichem PW...
Gruppen erstellt und die entsprechenden Benutzer dort reingepackt.
Funktioniert sehr gut.....
Es wäre auch nicht nötig, alle Benutzer auf jedem Client zu haben. Die Leute arbeiten eigentlich immer am selben Client...
Euer Feedback ist enorm.... muss das alles mal nicht nur einfach durchlesen, sondern mich damit noch intensiver befassen; VIELEN DANK DAFÜR!
Der Grund für die ganze Umstellung ist natürlich das Supportende von Win 10 und , dass sich die Sicherheitslage grundlegend geändert hat. Auch die Anforderungen betreffend Datenschutz sind andere als damals....
Ich habe noch etwas Zeit und bis der Server getauscht wird, werden schon mal alle Clients auf Win 11 umgestellt.
@MysticFoxDE/
über den Input betreffend NTFS würde ich mich freuen...
...mal schauen wo die Reise hingeht...
besten Dank und Gruss
Die Leute arbeiten eigentlich immer am selben Client...
Da hast du u.U. ein Datenschutzproblem, wenn sich nicht jeder Benutzer mit seinem eigenen Account anmeldet.Um sicher zu gehen sollte der Cheffe eine Arbeitsanweisung rausgeben, der die private Nutzung der PCs (inkl. E-Mail und Internetnutzung) verbietet.
Ich würde da wirklich auf jeder Arbeiter ein User gehen. Zumindest für die 8, die auch am PC arbeiten. Jeder soll da nur mit seinem eigenen User an den PCs arbeiten.
Ansonsten kannst du das so lassen. Server, NAS und AD sind ja kein muss. Bei solchen Betrieben würde ich wohl auch die Workgroup vorziehen. Ich würd zwar das ERP dennoch strikt von den Daten trennen, wobei sich da dann ein NAS anbietet. Ein eigener PC geht ja auch, muss man halt schauen, ob man da genügend Platten reinbekommt.
@xendrix: ja, optimalerweise auf einen Server 2022 Standard. SBS gibts nicht mehr.
Zitat von @user217:
@xendrix: ja, optimalerweise auf einen Server 2022 Standard. SBS gibts nicht mehr.
WENN überhaupt notwendig, warum Standard und nicht Essentials?@xendrix: ja, optimalerweise auf einen Server 2022 Standard. SBS gibts nicht mehr.
Für Standard sehe ich hier keinen Anlass, d.h. für die Lizenzmehrkosten.
https://learn.microsoft.com/de-de/windows-server-essentials/get-started/ ...
Hallo @ kpunkt/
Betreffend Datenschutz hast Du natürlich recht. Obwohl es grundsätzlich auch ohne Account für jeden einzelnen gehen würde, da sich die Leute mit ihrem eigenen Login in die ERP einloggen. In dieser sind auch alle Kundendaten abgelegt.
Trotzem gibt es natürlich auch ausserhalb der ERP sensible Daten.
Hinzu kommt, dass ich auch im Hinblick auf die Zukunft, gerne etwas mehr Kontrolle und Möglichkeiten für Einschränkungen haben möchte.
Die Privatnutzung der Rechner sollte meiner Meinung nach auch eingeschränkt werden.
Im Moment läuft die ERP auf der selben Platte wie die restlichen Daten...
Fürs Backup und die schnelle Verfügbarkeit bei einem Crash oder anderem ist dies einfach zu handhaben...Platte raus, neue Platte rein...zurückspielen und fertig... hatte eigentlich nur einmal ein gröberes Problem in den letzten 20 Jahren. Das klappte 1A.
Jedoch gibt es zu einem späteren Zeitpunkt Bestrebungen die ERP sowie auch die Buchhaltung in die Cloud auszulagern...dann haben wir wirklich nur noch Daten...aber soweit ist die Entwicklung seitens Hersteller noch nicht ganz....
Wenn das so wie bis anhin geht, jedoch mit sep. Konten der Nutzer und NTFS Zugriffskontrolle, dann würde das eigentlich schon reichen....Betreffend Datenschutz und Sicherheit wäre es auf jeden Fall eine deutliche Verbesserung.
Falls dann irgendwann mal die ERP und Buchhaltung in der Cloud sind, wird auch das Thema NAS wieder aktuell.
Betreffend Sicherheit sei auch noch gesagt, dass wir eine Hardwarefirewall nutzen welche extern von einem Dienstleister konfiguriert wurde.
An diesem Punkt wird es dann auch noch ein paar Änderungen geben Richtung Netzwerksegmentierung.
Eigentlich ging es mir hier nur darum betreffend NTFS Vergabe ein paar Inputs zu bekommen; das Feedback hier ist aber enorm und ich kann kaum allen Vorschlägen und Hinweisen gerecht werden...TOP!!!
Vielen Dank...;)
Betreffend Datenschutz hast Du natürlich recht. Obwohl es grundsätzlich auch ohne Account für jeden einzelnen gehen würde, da sich die Leute mit ihrem eigenen Login in die ERP einloggen. In dieser sind auch alle Kundendaten abgelegt.
Trotzem gibt es natürlich auch ausserhalb der ERP sensible Daten.
Hinzu kommt, dass ich auch im Hinblick auf die Zukunft, gerne etwas mehr Kontrolle und Möglichkeiten für Einschränkungen haben möchte.
Die Privatnutzung der Rechner sollte meiner Meinung nach auch eingeschränkt werden.
Im Moment läuft die ERP auf der selben Platte wie die restlichen Daten...
Fürs Backup und die schnelle Verfügbarkeit bei einem Crash oder anderem ist dies einfach zu handhaben...Platte raus, neue Platte rein...zurückspielen und fertig... hatte eigentlich nur einmal ein gröberes Problem in den letzten 20 Jahren. Das klappte 1A.
Jedoch gibt es zu einem späteren Zeitpunkt Bestrebungen die ERP sowie auch die Buchhaltung in die Cloud auszulagern...dann haben wir wirklich nur noch Daten...aber soweit ist die Entwicklung seitens Hersteller noch nicht ganz....
Wenn das so wie bis anhin geht, jedoch mit sep. Konten der Nutzer und NTFS Zugriffskontrolle, dann würde das eigentlich schon reichen....Betreffend Datenschutz und Sicherheit wäre es auf jeden Fall eine deutliche Verbesserung.
Falls dann irgendwann mal die ERP und Buchhaltung in der Cloud sind, wird auch das Thema NAS wieder aktuell.
Betreffend Sicherheit sei auch noch gesagt, dass wir eine Hardwarefirewall nutzen welche extern von einem Dienstleister konfiguriert wurde.
An diesem Punkt wird es dann auch noch ein paar Änderungen geben Richtung Netzwerksegmentierung.
Eigentlich ging es mir hier nur darum betreffend NTFS Vergabe ein paar Inputs zu bekommen; das Feedback hier ist aber enorm und ich kann kaum allen Vorschlägen und Hinweisen gerecht werden...TOP!!!
Vielen Dank...;)
@ user217/
@ nachgefragt/
Ich habe keinerlei Erfahrung mit der Einrichtung und Verwaltung eines Servers...
Bin mir aber schon am überlegen ob ich mir das nicht aneignen sollte...bis nächstes Jahr sollte das zu schaffen sein...
Im Moment muss ich aber noch mein Projekt "Custom Loop" abschliessen;)))))
Dann hat die Kiste wieder genug Resourcen um eine virtuelle Umgebung zu schaffen um so etwas zu testen ....
Gibt es eigentlich eine Möglichkeit an eine Serverversion zu kommen für solche Testzwecke?
Gruss xendrix
@ nachgefragt/
Ich habe keinerlei Erfahrung mit der Einrichtung und Verwaltung eines Servers...
Bin mir aber schon am überlegen ob ich mir das nicht aneignen sollte...bis nächstes Jahr sollte das zu schaffen sein...
Im Moment muss ich aber noch mein Projekt "Custom Loop" abschliessen;)))))
Dann hat die Kiste wieder genug Resourcen um eine virtuelle Umgebung zu schaffen um so etwas zu testen ....
Gibt es eigentlich eine Möglichkeit an eine Serverversion zu kommen für solche Testzwecke?
Gruss xendrix
Gibt es eigentlich eine Möglichkeit an eine Serverversion zu kommen für solche Testzwecke?
www.microsoft.com/de-de/windows-server/trial
Moin @xendrix,
na ja, einen Server zu installieren ist auch nicht viel anders als einen Client.
Und ein AD darauf in Betrieb zu nehmen, ist auch nicht wirklich kompliziert.
Folgend ein paar Anleitungen betreffend AD Installation.
https://infrasos.com/how-to-setup-active-directory-on-windows-server-202 ...
https://www.ibm.com/docs/en/storage-scale-bda?topic=support-install-conf ...
https://www.youtube.com/watch?v=h3sxduUt5a8
😉
Das mit der "Anleitung" bez. der NTFS Berechtigung habe ich nicht vergessen, hatte bisher jedoch nicht wirklich Zeit gefunden, da aktuell etwas Land unter.
Gruss Alex
Ich habe keinerlei Erfahrung mit der Einrichtung und Verwaltung eines Servers...
Bin mir aber schon am überlegen ob ich mir das nicht aneignen sollte...bis nächstes Jahr sollte das zu schaffen sein...
Bin mir aber schon am überlegen ob ich mir das nicht aneignen sollte...bis nächstes Jahr sollte das zu schaffen sein...
na ja, einen Server zu installieren ist auch nicht viel anders als einen Client.
Und ein AD darauf in Betrieb zu nehmen, ist auch nicht wirklich kompliziert.
Folgend ein paar Anleitungen betreffend AD Installation.
https://infrasos.com/how-to-setup-active-directory-on-windows-server-202 ...
https://www.ibm.com/docs/en/storage-scale-bda?topic=support-install-conf ...
https://www.youtube.com/watch?v=h3sxduUt5a8
😉
Das mit der "Anleitung" bez. der NTFS Berechtigung habe ich nicht vergessen, hatte bisher jedoch nicht wirklich Zeit gefunden, da aktuell etwas Land unter.
Gruss Alex
@DivideByZero
Thanks für den Link, werde ich testen;)
@ mysticfoxde/
Das motiviert mich doch sehr... und der Zeithorizont bis nächstes Jahr sollte auch noch reichen...
Betreffend NTFS Anleitung mach Dir mal keinen Stress;) Ich bin Dir sehr dankbar für einen Einblick betreffend Rechtevergabe... wann ist egal.... (ich bin sowieso in den Ferien und sollte mir eigentlich den Kopf erst nachher wieder darüber zerbrechen... aber das Thema hält mich auf Trab;)
Gruss Xendrix
Thanks für den Link, werde ich testen;)
@ mysticfoxde/
Das motiviert mich doch sehr... und der Zeithorizont bis nächstes Jahr sollte auch noch reichen...
Betreffend NTFS Anleitung mach Dir mal keinen Stress;) Ich bin Dir sehr dankbar für einen Einblick betreffend Rechtevergabe... wann ist egal.... (ich bin sowieso in den Ferien und sollte mir eigentlich den Kopf erst nachher wieder darüber zerbrechen... aber das Thema hält mich auf Trab;)
Gruss Xendrix
Hallo,
ich habe diese Seite ganz gerne als Hilfestellung genommen, hier werden auch die einzelnen Berechtigungen und was Sie bewirken ganz gut erklärt.
Auch der Hinweis, die Hierarchien schön flach zu halten, sollte anfangs unbedingt beherzt werden, also lieber oben breit, und nach unten flach halten.
https://help.migraven.com/best-practice-fuer-die-berechtigungsvergabe-au ...
Kann man als Grundlage für einen Aufbau gut nehmen.
Ohne AD ist es aber gerne mal viel Gefrickel, eine Lösung über ein NAS ist sicher auch realisierbar, aber im günstigsten Segment eher nicht so pralle.
Viele Grüße
ich habe diese Seite ganz gerne als Hilfestellung genommen, hier werden auch die einzelnen Berechtigungen und was Sie bewirken ganz gut erklärt.
Auch der Hinweis, die Hierarchien schön flach zu halten, sollte anfangs unbedingt beherzt werden, also lieber oben breit, und nach unten flach halten.
https://help.migraven.com/best-practice-fuer-die-berechtigungsvergabe-au ...
Kann man als Grundlage für einen Aufbau gut nehmen.
Ohne AD ist es aber gerne mal viel Gefrickel, eine Lösung über ein NAS ist sicher auch realisierbar, aber im günstigsten Segment eher nicht so pralle.
Viele Grüße
