24
Politische Folgen des Juni Patchday, von AD zurück zu Workgroup
Hallo Leute,
erstmal die Vorgeschichte damit ihr den Rahmen versteht in dem ich mich hier bewege.
Ich habe Mitte 2015 die EDV in einem mittelständischen Unternehmen übernommen, von einem Kaufmann. Ich bin selbst FISI.
Habe beim Bund in einer Fernmeldetruppe gelernt und gearbeitet bis Anfang 2015.
Habe hier 4 Linux Server mit mehereren selbstentwickelten Webanwendungen vorgefunden. Das älteste auf einem Debian Lenny.
PHP natürlich obsolet. 12 Windows XP Clients... obsolet, Office 2007.. obsolet. Alte Software für Label, PDF, Adobe InDesign.. obsolet, obsolet, obsolet.
Habe dann in meinem judendlichen leichtsinn entschieden hier ein Active Directory aufzusetzen. Datenschutz ist hier ein Thema. Hatte es deshalb für eine gute Idee gehalten.
Hat auch alles Wunderbar funktioniert, bis zum Juni Patchday.
Ich habe alles über Gruppenrichtlinien konfiguriert von der Firewall auf dem Client bis zu den Netzwerkfreigaben. Insgesamt habe ich 51 GPO´s.
Ich habe mich an Best Practices und den BSI Katalog gehalten. Es gibt WSUS, Folder Redirection und Roaming Profiles. Und ich denke das Netz hier war noch nie so Sicher und gut zu verwalten wie heute.
Ich war im Urlaub als die MS16-072 Bombe hier eingeschlagen ist. Hatte die wichtigen Updates und Antivirus definitionen auf Auto-Genehmigung gestelllt. Böser Fehler.
Der externe Dienstleister der hier schon mal Linux, Mail und Firewall macht, traut sich nicht an Windows besser gesagt Active Directory ran.
Jetzt wurde ich nach dem Urlaub einfach angewiesen wieder alles ohne Active Directory zu machen. Ich habe versucht der Geschäftsführung das wie und warum zu erläutern, aber habe nur in leere Gesichter starren dürfen. Man könne das ja auch alles einzeln konfigurieren.
Das wirft hier alles über den Haufen. Die Backup-Strategie, Authentifizierung, Updates, Shares, Proxy... einfach alles.
Die User sind hier ebenfalls derart planlos was EDV betrifft. Bis jetzt konnte ich per Group Policy hier alles für die User "vorkauen". Proxy-Settings, Shares, IE.
Gibt es überhaupt Konzepte wie man das alles vernünftig dezentral Administrieren kann? So wie ich das sehe müsste ich jetzt jedem User 4-6 Kennwörter geben. Für den Proxy, Mail, Share, Webapplikation, Banking, ERP-Software etc. Toll Informationsinseln... wie vorher.
Ich denke ich bekomme in naher Zukunft einen Nervenzusammenbruch. Hilfe!
Bin gerne bereit für gute Tipps zur dezentralen Administration bzw. Konzepte mehr über unsere Netzstruktur zu erzählen, falls das überhaupt Sinn macht.
erstmal die Vorgeschichte damit ihr den Rahmen versteht in dem ich mich hier bewege.
Ich habe Mitte 2015 die EDV in einem mittelständischen Unternehmen übernommen, von einem Kaufmann. Ich bin selbst FISI.
Habe beim Bund in einer Fernmeldetruppe gelernt und gearbeitet bis Anfang 2015.
Habe hier 4 Linux Server mit mehereren selbstentwickelten Webanwendungen vorgefunden. Das älteste auf einem Debian Lenny.
PHP natürlich obsolet. 12 Windows XP Clients... obsolet, Office 2007.. obsolet. Alte Software für Label, PDF, Adobe InDesign.. obsolet, obsolet, obsolet.
Habe dann in meinem judendlichen leichtsinn entschieden hier ein Active Directory aufzusetzen. Datenschutz ist hier ein Thema. Hatte es deshalb für eine gute Idee gehalten.
Hat auch alles Wunderbar funktioniert, bis zum Juni Patchday.
Ich habe alles über Gruppenrichtlinien konfiguriert von der Firewall auf dem Client bis zu den Netzwerkfreigaben. Insgesamt habe ich 51 GPO´s.
Ich habe mich an Best Practices und den BSI Katalog gehalten. Es gibt WSUS, Folder Redirection und Roaming Profiles. Und ich denke das Netz hier war noch nie so Sicher und gut zu verwalten wie heute.
Ich war im Urlaub als die MS16-072 Bombe hier eingeschlagen ist. Hatte die wichtigen Updates und Antivirus definitionen auf Auto-Genehmigung gestelllt. Böser Fehler.
Der externe Dienstleister der hier schon mal Linux, Mail und Firewall macht, traut sich nicht an Windows besser gesagt Active Directory ran.
Jetzt wurde ich nach dem Urlaub einfach angewiesen wieder alles ohne Active Directory zu machen. Ich habe versucht der Geschäftsführung das wie und warum zu erläutern, aber habe nur in leere Gesichter starren dürfen. Man könne das ja auch alles einzeln konfigurieren.
Das wirft hier alles über den Haufen. Die Backup-Strategie, Authentifizierung, Updates, Shares, Proxy... einfach alles.
Die User sind hier ebenfalls derart planlos was EDV betrifft. Bis jetzt konnte ich per Group Policy hier alles für die User "vorkauen". Proxy-Settings, Shares, IE.
Gibt es überhaupt Konzepte wie man das alles vernünftig dezentral Administrieren kann? So wie ich das sehe müsste ich jetzt jedem User 4-6 Kennwörter geben. Für den Proxy, Mail, Share, Webapplikation, Banking, ERP-Software etc. Toll Informationsinseln... wie vorher.
Ich denke ich bekomme in naher Zukunft einen Nervenzusammenbruch. Hilfe!
Bin gerne bereit für gute Tipps zur dezentralen Administration bzw. Konzepte mehr über unsere Netzstruktur zu erzählen, falls das überhaupt Sinn macht.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 308886
Url: https://administrator.de/contentid/308886
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
24 Kommentare
Neuester Kommentar
Guten Morgen DDos,
meine politische Entscheidung wäre: Wirf den externen Dienstleister raus. Was soll die Sch...?
Klar, ich hatte auch ein Netzwerk, die erstmal ohne GPOs da standen, weil Clients dort fremdadministriert sind. Aber am Ende war das dann nur eine Fleissarbeit diese GPO Rechte umzustellen. Jetzt rechne das mal gegen den Aufwand und die Sicherheitsprobleme bei dezentralem Mgmt?
Nebenbei: Updates nie auf Auto.
Viele Grüße und viel Erfolg.
Christian
PS: Wenn du auf der Suche nach einer externen Vertretung bist, komm gerne auf mich zu. (Windows, Linux, AD, Exchange, Firewall, Netze...)
meine politische Entscheidung wäre: Wirf den externen Dienstleister raus. Was soll die Sch...?
Klar, ich hatte auch ein Netzwerk, die erstmal ohne GPOs da standen, weil Clients dort fremdadministriert sind. Aber am Ende war das dann nur eine Fleissarbeit diese GPO Rechte umzustellen. Jetzt rechne das mal gegen den Aufwand und die Sicherheitsprobleme bei dezentralem Mgmt?
Nebenbei: Updates nie auf Auto.
Viele Grüße und viel Erfolg.
Christian
PS: Wenn du auf der Suche nach einer externen Vertretung bist, komm gerne auf mich zu. (Windows, Linux, AD, Exchange, Firewall, Netze...)
1
Moin,
ich betreue seit über 20 Jahren Netzwerke - auch bei Kunden. Ich glaube nicht, das es noch vieles gibt, was ich noch nicht gesehen habe.
Ich persönlich halte es für nicht praktikabel ein Netzwerk ohne AD zu administrieren. Die Menge an Checklisten, die man dazu führen müsste, ist schlicht Wahnsinn.
Wenn ein Windows-Server vor Ort ist, setzte ich immer ein AD auf - egal wie viele / wenige Clients vorhanden sind. AD mit 2 Clients - klar warum nicht!
Gruß Krämer
PS: Falls es die GL interessiert: Ihr werdet kein IT-Systemhaus finden, was die Idee das AD zu entfernen unterstützen wird!
ich betreue seit über 20 Jahren Netzwerke - auch bei Kunden. Ich glaube nicht, das es noch vieles gibt, was ich noch nicht gesehen habe.
Ich persönlich halte es für nicht praktikabel ein Netzwerk ohne AD zu administrieren. Die Menge an Checklisten, die man dazu führen müsste, ist schlicht Wahnsinn.
Wenn ein Windows-Server vor Ort ist, setzte ich immer ein AD auf - egal wie viele / wenige Clients vorhanden sind. AD mit 2 Clients - klar warum nicht!
Gruß Krämer
PS: Falls es die GL interessiert: Ihr werdet kein IT-Systemhaus finden, was die Idee das AD zu entfernen unterstützen wird!
1
Hi,
ich würde jetzt erstmal eine Aufwandschätzung für die Abrüstung des AD erstellen. Dann eine für den laufenden Betrieb danach (Betriebskonzept). Dann würde ich dieses der GF auftischen. Diese wird beides garantiert von einer externen Stelle - ich tippe auf den selben Dienstleister - bewerten lassen. Und dann musst Du abwarten, ob die GF es dann immer noch so umsetzen will. Es hört sich für mich voll nach einer Kurzschlussreaktion eines GF an, der sauer war, dass etwas nicht funktionierte. Ursache und Wirkung sei mal dahingestellt.
Ich tippe auch: Dieser besagte Dienstleister hat das betreut, bis Du ins Haus kamst. Und danach sank sein Umsatz in der Firma, weil Du jetzt alles gemacht hast. Es ist eine 2-Mann-Bude. Busenfreund des GF. Wie nah bin ich dran?
E.
ich würde jetzt erstmal eine Aufwandschätzung für die Abrüstung des AD erstellen. Dann eine für den laufenden Betrieb danach (Betriebskonzept). Dann würde ich dieses der GF auftischen. Diese wird beides garantiert von einer externen Stelle - ich tippe auf den selben Dienstleister - bewerten lassen. Und dann musst Du abwarten, ob die GF es dann immer noch so umsetzen will. Es hört sich für mich voll nach einer Kurzschlussreaktion eines GF an, der sauer war, dass etwas nicht funktionierte. Ursache und Wirkung sei mal dahingestellt.
Ich tippe auch: Dieser besagte Dienstleister hat das betreut, bis Du ins Haus kamst. Und danach sank sein Umsatz in der Firma, weil Du jetzt alles gemacht hast. Es ist eine 2-Mann-Bude. Busenfreund des GF. Wie nah bin ich dran?
E.
1
Moin,
darauf würde ich mich ja nicht einlassen. Wofür hat man dich denn eingestellt? Weil der Rest offensichtlich keinen Plan von der Materie hat, du aber schon. Also sollte man dir auch entsprechendes Vertrauen entgegenbringen. Mit den Juni-Update hatten vermutlich viele ihren Spaß.
Zukpnftig keine Auto.-Updates auf den Server und fertig.
Den vermehrten Aufwand ist es einfach nicht Wert und schon gar nicht angemessen für ein Unternehmen.
darauf würde ich mich ja nicht einlassen. Wofür hat man dich denn eingestellt? Weil der Rest offensichtlich keinen Plan von der Materie hat, du aber schon. Also sollte man dir auch entsprechendes Vertrauen entgegenbringen. Mit den Juni-Update hatten vermutlich viele ihren Spaß.
Zukpnftig keine Auto.-Updates auf den Server und fertig.
Den vermehrten Aufwand ist es einfach nicht Wert und schon gar nicht angemessen für ein Unternehmen.
1
Hi,
was ist daran jetzt so schlimm und böse, dass die GF so überreagiert?
Das Problem mit dem Update konntest Du doch schnell per Berechtigung der GPOs lösen, danach sollte doch alles wieder laufen?
Laß' Dir ein Zwischenzeugnis geben und schau' Dich nach was anderem um
Im Ernst, es ist extrem schwer mit/für Leute zu arbeiten, denen es schon am Grundwissen und Vertrauen mangelt.
Kopf hoch.
was ist daran jetzt so schlimm und böse, dass die GF so überreagiert?
Das Problem mit dem Update konntest Du doch schnell per Berechtigung der GPOs lösen, danach sollte doch alles wieder laufen?
Laß' Dir ein Zwischenzeugnis geben und schau' Dich nach was anderem um
Im Ernst, es ist extrem schwer mit/für Leute zu arbeiten, denen es schon am Grundwissen und Vertrauen mangelt.
Kopf hoch.
1Zitat von @ArnoNymous:
Moin,
darauf würde ich mich ja nicht einlassen. Wofür hat man dich denn eingestellt? Weil der Rest offensichtlich keinen Plan von der Materie hat, du aber schon. Also sollte man dir auch entsprechendes Vertrauen entgegenbringen. Mit den Juni-Update hatten vermutlich viele ihren Spaß.
Zukpnftig keine Auto.-Updates auf den Server und fertig.
Den vermehrten Aufwand ist es einfach nicht Wert und schon gar nicht angemessen für ein Unternehmen.
Moin,
darauf würde ich mich ja nicht einlassen. Wofür hat man dich denn eingestellt? Weil der Rest offensichtlich keinen Plan von der Materie hat, du aber schon. Also sollte man dir auch entsprechendes Vertrauen entgegenbringen. Mit den Juni-Update hatten vermutlich viele ihren Spaß.
Zukpnftig keine Auto.-Updates auf den Server und fertig.
Den vermehrten Aufwand ist es einfach nicht Wert und schon gar nicht angemessen für ein Unternehmen.
Achtung: Das war ein Client Update. Die Serverupdates haben kein Problem gemacht, ggf. auf TS. Aber es gilt eigentlich generell keine Auto Updates.
1
Hi emeriks,
joa ich würde sagen JACKPOT. Ist der Sohn, studierter Informatiker.
joa ich würde sagen JACKPOT. Ist der Sohn, studierter Informatiker.
joa ich würde sagen JACKPOT. Ist der Sohn, studierter Informatiker.
Dann wollen wir mal hoffen, dass er hier nicht mitliest ... 1Zitat von @emeriks:
Der soll ruhig wissen, das er ein Idiot ist joa ich würde sagen JACKPOT. Ist der Sohn, studierter Informatiker.
Dann wollen wir mal hoffen, dass er hier nicht mitliest ... 1
Ohne Flachs Leute.... ich liebe euch alle! 
Ich hab schon angefangen an mir selbst zu zweifeln.
Ich denke es ist bei der GF auch viel Frust weil ich 2 Tage gebraucht habe, die Lösung zu finden und die entsprechenden Settings umzusetzen.
Oh, dann haben die Clients sich das Update wieder gezogen weil ich nur dir 32-Bit KB´s entfernt habe. Das war super ätzend bin um Jahre gealtert.
Ich hab schon angefangen an mir selbst zu zweifeln.
Ich denke es ist bei der GF auch viel Frust weil ich 2 Tage gebraucht habe, die Lösung zu finden und die entsprechenden Settings umzusetzen.
Oh, dann haben die Clients sich das Update wieder gezogen weil ich nur dir 32-Bit KB´s entfernt habe. Das war super ätzend bin um Jahre gealtert.
...und wahrscheinlich einer von der Sorte die alles nur in der Theorie kennen aber sofort überfordert sind, wenn es mal in die Praxis geht. Da kenne ich auch welche. Finde ich immer dann besonders aufschlussreich, wenn solche Typen dann mich fragen wo für irgendwas die Ursache liegen könnte 
1
Das beste war als ich den Dienstleister gebeten habe die Astaro UTM 9 an meinen Domain Controller anzubinden.
Ich bekomme hier ständig Ärger mit den Usern wegen der ganzen Kennwörter die eingeben werden müssen.
Da habe ich gedacht: Gut machen wir das mit SSO über GSSAPI einfach für alle.
Die Antwort vom Dienstleister war, das Sie dies nicht Unterstützen, weil Sie niemanden haben der das Supporten könne.
Ganz ehrlich, ich muss für jede Firewall freigabe erst ne Mail schreiben. Lexware hier zum laufen zu bekommen war eine Farce!
Das Client Netz wurde hier ohne NAT konfiguriert aus Sicherheitsgründen mit untransparentem Proxy + Authentifizierung.
Ich bekomme hier ständig Ärger mit den Usern wegen der ganzen Kennwörter die eingeben werden müssen.
Da habe ich gedacht: Gut machen wir das mit SSO über GSSAPI einfach für alle.
Die Antwort vom Dienstleister war, das Sie dies nicht Unterstützen, weil Sie niemanden haben der das Supporten könne.
Ganz ehrlich, ich muss für jede Firewall freigabe erst ne Mail schreiben. Lexware hier zum laufen zu bekommen war eine Farce!
Das Client Netz wurde hier ohne NAT konfiguriert aus Sicherheitsgründen mit untransparentem Proxy + Authentifizierung.
Lassen die sich übrigens auch gut bezahlen.
Hi,
wieso müssen sich die User am Proxy und an der UTM authentifizieren?
Gruß c
wieso müssen sich die User am Proxy und an der UTM authentifizieren?
Gruß c
1Zitat von @127103:
Hi,
wieso müssen sich die User am Proxy und an der UTM authentifizieren?
Gruß c
Hi,
wieso müssen sich die User am Proxy und an der UTM authentifizieren?
Gruß c
Macht schon Sinn, wenn Userbased Auth.
Chef darf sich den Genuss geben, der dem einfachen MA verwehrt wird. ;)
Aber 'ne Sophos durch sowas zu kastrieren? Well...
Hi Leute,
ich habe mir jetzt ernsthaft angeschaut wie man sowas machen könnte.
Gehe ich recht in der Annahme das ich für viele sinnvolle Settings dann nur noch Registry-Hacks nutzen kann?
Oder gehen Softwareeinschränkungen auch per secpol.msc?
Ich denke eine granulare steuerung von Zugriffsrechten auf Ordner u. Dateien kann ich ohne AD gar nicht mehr erreichen.
IE Settings kann man manuell setzen, Windows-Firewall geht auch nocht.
Gehe ich auch recht in der Annahme das es keinen "non-AD" Weg für Folder Redirection und Roaming Profiles. Was meine Backup-Strategie dann ein wenig zerlegt. Zumindes hatte ich so immer die Nutzerprofile sicher.
Der Aufwand ist ja geradezu astronomisch >.<
Noch ein kleines Update:
Mir ist zu Ohren gekommen, dass sich mein GF hinter meinem Rücken über lange An und Abmeldezeiten beschwert. o.O
Bei gehts dauert nicht mal 2 Minuten. Wie schnell muss das sein? Wie langsam ist noch gesund?
Ich hab gedacht mit Folder Redirection und Roaming Profiles fahre ich gut. Habe %AppData%/Roaming natürlich excluded.
ich habe mir jetzt ernsthaft angeschaut wie man sowas machen könnte.
Gehe ich recht in der Annahme das ich für viele sinnvolle Settings dann nur noch Registry-Hacks nutzen kann?
Oder gehen Softwareeinschränkungen auch per secpol.msc?
Ich denke eine granulare steuerung von Zugriffsrechten auf Ordner u. Dateien kann ich ohne AD gar nicht mehr erreichen.
IE Settings kann man manuell setzen, Windows-Firewall geht auch nocht.
Gehe ich auch recht in der Annahme das es keinen "non-AD" Weg für Folder Redirection und Roaming Profiles. Was meine Backup-Strategie dann ein wenig zerlegt. Zumindes hatte ich so immer die Nutzerprofile sicher.
Der Aufwand ist ja geradezu astronomisch >.<
Noch ein kleines Update:
Mir ist zu Ohren gekommen, dass sich mein GF hinter meinem Rücken über lange An und Abmeldezeiten beschwert. o.O
Bei gehts dauert nicht mal 2 Minuten. Wie schnell muss das sein? Wie langsam ist noch gesund?
Ich hab gedacht mit Folder Redirection und Roaming Profiles fahre ich gut. Habe %AppData%/Roaming natürlich excluded.
Wie meine Vorredner schon gesagt haben, es gibt überhaupt keinen Grund und es macht noch weniger Sinn, wieder zurück zu wandern, oder auf eine Linuxalternative zurück zu gehen. (auch wenn es mit Zentyal schon 'brauchbare' alternativen gibt.
Du hast dich richtig entschieden!
Mach da weiter wo du bis jetzt stehst und schließe schon mal eine Rechtsschutz Arbeitsrecht ab, ich denke, das wird dir spätestens beim Arbeitszeugnis viel bringen.
Dokumentiere auch das vorher / nachher! Unglaublich wichtig für die Leistungsnachweise.
Da du dich an den BSI-Katalog gehalten hast, kannst du dir mal VERINICE anschauen und auch mal alles grafisch zusammen fassen. damit könntest du Fallbeispiel "deine Umgebung" und den Rückschritt durchspielen. Zusätzlich kannst du die Auswertung des Sicherheitskaloges deiner GF vorlegen, am besten Unterschreiben die dir das.
(damit haben die Kenntnis genommen, was noch gemacht werden muss usw.)
Wenn ich schon lese 'XP' Clients.... ich würde zurecht behaupten, dass :
wenn du merkst, dass es dich in naher Zukunft auffressen wird: such dir eine neue Stelle, es wird nicht besser!
Fassen wir mal Zusammen was voreschlagen wurde:
Fallbeispiele:
Aufwandsabmessung: Administration mit und ohne zentrale Umgebung/administration
Sicherheitsauswertung (grafisch): mit und ohne zentrale Umgebung/administration
Ich persönlich bin auch größter Fan von AD/DC und Virtualisierung
meiner Meinung nach, macht es schon Sinn bei 3 (Hardware)Servern auf 2 Virtualisierungsserver zu setzen, am besten mit kleinem Storage...
aber die investitionen wird deine GF womöglich ablehenen (riechsalz wäre ratsam), da ja auch noch XP geupdatet werden sollte.....
Ohne AD würde ich in jeden PC eine autostart.bat in Autostart legen, welche eine zentrale .bat vom Server aufruft, mit der du alles managed. bei Roamingprofiles scheiden sich die Geister.
Ich persönlich mag es nicht. Redirection ist noch so 'ok'
lieber Backup der Dateien über Script oder "Windows Sichern und Wiederherstellen"
Bei uns müssen die Kollegen explizit auf ein freigebenes Netzlaufwerk speichern
Du hast dich richtig entschieden!
Mach da weiter wo du bis jetzt stehst und schließe schon mal eine Rechtsschutz Arbeitsrecht ab, ich denke, das wird dir spätestens beim Arbeitszeugnis viel bringen.
Dokumentiere auch das vorher / nachher! Unglaublich wichtig für die Leistungsnachweise.
Da du dich an den BSI-Katalog gehalten hast, kannst du dir mal VERINICE anschauen und auch mal alles grafisch zusammen fassen. damit könntest du Fallbeispiel "deine Umgebung" und den Rückschritt durchspielen. Zusätzlich kannst du die Auswertung des Sicherheitskaloges deiner GF vorlegen, am besten Unterschreiben die dir das.
(damit haben die Kenntnis genommen, was noch gemacht werden muss usw.)
Wenn ich schon lese 'XP' Clients.... ich würde zurecht behaupten, dass :
Der soll ruhig wissen, das er ein Idiot ist
wenn du merkst, dass es dich in naher Zukunft auffressen wird: such dir eine neue Stelle, es wird nicht besser!
Fassen wir mal Zusammen was voreschlagen wurde:
Fallbeispiele:
Aufwandsabmessung: Administration mit und ohne zentrale Umgebung/administration
Sicherheitsauswertung (grafisch): mit und ohne zentrale Umgebung/administration
Ich persönlich bin auch größter Fan von AD/DC und Virtualisierung
meiner Meinung nach, macht es schon Sinn bei 3 (Hardware)Servern auf 2 Virtualisierungsserver zu setzen, am besten mit kleinem Storage...
aber die investitionen wird deine GF womöglich ablehenen (riechsalz wäre ratsam), da ja auch noch XP geupdatet werden sollte.....
Ohne AD würde ich in jeden PC eine autostart.bat in Autostart legen, welche eine zentrale .bat vom Server aufruft, mit der du alles managed. bei Roamingprofiles scheiden sich die Geister.
Ich persönlich mag es nicht. Redirection ist noch so 'ok'
lieber Backup der Dateien über Script oder "Windows Sichern und Wiederherstellen"
Bei uns müssen die Kollegen explizit auf ein freigebenes Netzlaufwerk speichern
1Gehe ich recht in der Annahme das ich für viele sinnvolle Settings dann nur noch Registry-Hacks nutzen kann?
Man kann theoretisch alles, was man per GPO steuern kann, auch per Loginscripte, Autorun, Run-Key erledigen.Oder gehen Softwareeinschränkungen auch per secpol.msc?
Nicht mit Secpol. Aber auch hier kann man die Registry-Werte selbst setzen. Das wird nicht ganz einfach, aber suche mal im Web. Vielleicht hat da jemand schon irgendwelche Scripte dafzu veröffentlicht. Reine Pfad-Regeln gehen noch. Schwieriger wird das, wenn es Hashregeln sein sollen. Geht aber auch.Ich denke eine granulare steuerung von Zugriffsrechten auf Ordner u. Dateien kann ich ohne AD gar nicht mehr erreichen.
Doch schon, aber eben nicht mehr Computerübergreifend, weil die Konten und Gruppen nur noch lokal gelten.Gehe ich auch recht in der Annahme das es keinen "non-AD" Weg für Folder Redirection und Roaming Profiles. Was meine Backup-Strategie dann ein wenig zerlegt. Zumindes hatte ich so immer die Nutzerprofile sicher.
Ordnerumleitung kann man scripten. Hier muss man auch nur in der Registry die Pfade ändern und dann ggf. die vorhandenen Dateien verschieben. Allerdings musst Du dann mit gleichlautenden Benutzer + Passwort auf Client und Server arbeiten oder im Script eine Anmeldung vorschalten.Roaming Profiles gehen damit nicht. Schon allein deswegen nicht, weil jeder lokaler Benutzer eine andere SID hat, auch wenn zwei Benutzer auf zwei Computern jeweils gleich heißen.
Der Aufwand ist ja geradezu astronomisch >.<
Ja. So oder so. Es wird elend umständlich.Noch ein kleines Update:
Mir ist zu Ohren gekommen, dass sich mein GF hinter meinem Rücken über lange An und Abmeldezeiten beschwert. o.O
Bei gehts dauert nicht mal 2 Minuten. Wie schnell muss das sein? Wie langsam ist noch gesund?
Man sollte das Profil schon so schlank halten, dass die Anmeldung in ca. 15-30 s durch ist. Alles, was drüber ist, sorgt für Unmut beim Anwender.Mir ist zu Ohren gekommen, dass sich mein GF hinter meinem Rücken über lange An und Abmeldezeiten beschwert. o.O
Bei gehts dauert nicht mal 2 Minuten. Wie schnell muss das sein? Wie langsam ist noch gesund?
1
Zitat von @DDoS85:
Noch ein kleines Update:
Mir ist zu Ohren gekommen, dass sich mein GF hinter meinem Rücken über lange An und Abmeldezeiten beschwert. o.O
Bei gehts dauert nicht mal 2 Minuten. Wie schnell muss das sein? Wie langsam ist noch gesund?
Klingt nach dem typischen "Problem" der GF:Noch ein kleines Update:
Mir ist zu Ohren gekommen, dass sich mein GF hinter meinem Rücken über lange An und Abmeldezeiten beschwert. o.O
Bei gehts dauert nicht mal 2 Minuten. Wie schnell muss das sein? Wie langsam ist noch gesund?
Die GF ist zu wichtig, um sich jemals um Ordnung oder Festplattenspeicher Gedanken zu machen. Es wird alles auf dem Desktop gespeichert, das Profil ist meist mehrere 10 GB groß und natürlich sind noch 13 "spezial" Programme installiert, die sonst niemand hat / benutzen darf.
1
Hi,
Von Ad auf deuzentral!
Ich finde das ist völliger Schwachsinn und außerdem nicht mehr administrierbar alleine!
Nur weil ein Patch- da zwischen gefunkt hat.
ich glaube eher, das das Problem größer wäre, wenn es ohne AD passiert wäre!!!
Gruß
Holli
Jetzt wurde ich nach dem Urlaub einfach angewiesen wieder alles ohne Active Directory zu machen. Ich habe versucht der Geschäftsführung das
wie und warum zu erläutern, aber habe nur in leere Gesichter starren dürfen. Man könne das ja auch alles einzeln konfigurieren
wie und warum zu erläutern, aber habe nur in leere Gesichter starren dürfen. Man könne das ja auch alles einzeln konfigurieren
Von Ad auf deuzentral!
Ich finde das ist völliger Schwachsinn und außerdem nicht mehr administrierbar alleine!
Nur weil ein Patch- da zwischen gefunkt hat.
ich glaube eher, das das Problem größer wäre, wenn es ohne AD passiert wäre!!!
Gruß
Holli
1
Hi Holli,
in dem Fall gäbe es kein Problem, da keine ausgebrachten GPO existent wären.
VG,
Christian
in dem Fall gäbe es kein Problem, da keine ausgebrachten GPO existent wären.
VG,
Christian
1Es wird alles auf dem Desktop gespeichert, das Profil ist meist mehrere 10 GB groß und natürlich sind noch 13 "spezial" Programme installiert, die sonst niemand hat / benutzen darf.
Da genügt schon ein iPhone mit irgendeiner NaviApp oder sonstigen großen Datensammlungen. Das wandert dann alles ins Profil. Das Ergebnis ist bekannt.
1
Hi mrmomba,
vielen Dank für den Tipp mit VERINICE ist wirklich very nice! XD
Ich würde sagen die Umsetzungs und Risikoanalyse ist jetzt schon vernichtend. Alles was ich hier alleine in der Zeit umsetzen konnte
ist so weit OK und ich denke es spricht für meine Leistung, dass ich 889 Maßnahmen umsetzen konnte. Trotzdem es sind noch 578 Maßnahmen offen und bei 848 bin ich noch gar nicht zur Prüfung gekommen.
Ich denke ich bin für einen IT-Verbund mittlerer größe alleine auch ziemlich aufgeschmissen. Ich bin ganz ehrlich, ich arbeite schon seit graumer Zeit an der Grenze von dem was ich Leisten kann. Ich werde die BSI Analyse jetzt meiner GF übergeben und schauen was passiert.
Eventuell versuche ich auch schon einmal eine Überlastungsanzeige einzureichen. Keine Ahnung ob das was bringt.
Wie würde ich denn einen Voher- ,Nachhervergleich damit anstellen. Möchte jetzt nicht alle meine Bausteine nochmal ummodeln nachdem ich
in mühsamer feinarbeit meine Doku eingehackt habe. Also vor AD und nach AD. Ich denke da fallen gut Maßnahmen weg, und Gefährdungen kommen hinzu.
Ich habe Arbeitsrechtsschutz und mich schon informiert. Ich bin guter Dinge!
vielen Dank für den Tipp mit VERINICE ist wirklich very nice! XD
Ich würde sagen die Umsetzungs und Risikoanalyse ist jetzt schon vernichtend. Alles was ich hier alleine in der Zeit umsetzen konnte
ist so weit OK und ich denke es spricht für meine Leistung, dass ich 889 Maßnahmen umsetzen konnte. Trotzdem es sind noch 578 Maßnahmen offen und bei 848 bin ich noch gar nicht zur Prüfung gekommen.
Ich denke ich bin für einen IT-Verbund mittlerer größe alleine auch ziemlich aufgeschmissen. Ich bin ganz ehrlich, ich arbeite schon seit graumer Zeit an der Grenze von dem was ich Leisten kann. Ich werde die BSI Analyse jetzt meiner GF übergeben und schauen was passiert.
Eventuell versuche ich auch schon einmal eine Überlastungsanzeige einzureichen. Keine Ahnung ob das was bringt.
Wie würde ich denn einen Voher- ,Nachhervergleich damit anstellen. Möchte jetzt nicht alle meine Bausteine nochmal ummodeln nachdem ich
in mühsamer feinarbeit meine Doku eingehackt habe. Also vor AD und nach AD. Ich denke da fallen gut Maßnahmen weg, und Gefährdungen kommen hinzu.
Ich habe Arbeitsrechtsschutz und mich schon informiert. Ich bin guter Dinge!
Hallo DDoS85,
Risikoanalyse ist DAS Stichwort. Dazu gestatte mir vielleicht einen, nicht ganz kurzen, eher organisatorischen Hinweis.
Nur kurz zu meiner Person, ich selbst bin seit über 30 Jahren im IT-Geschäft und habe alles möglich im IT-Umfeld gemacht, viel doing auf Layer 0-4, später IT-Leitung, -Beratung, -Audits in verschiedenen Umfeldern.
Aus dieser Erfahrung heraus empfehle ich hier eine ausführliche Risikoanalyse schriftlich zu formulieren, um die GF auf die Risiken der Entscheidung aufmerksam zu machen. Eine Kopie davon solltest Du gut aufbewahren.
Lass Dich dabei nicht von Emotionen leiten, sondern versuche SACHLICH korrekt auf die Folgen aufmerksam zu machen. (Ist immer leichter gesagt als gemacht. I know that. )
Belehre den/die GF dabei nicht! Das ist echt schwer, da sie vermutlich davon ausgehen werden, dass Du ihnen DEINE Macht beweisen willst und es Dir nur darum geht ihnen zu beweisen, dass Sie keine Ahnung haben. Bei (vermuteten/tatsächlichen) Machtdemonstrationen sind Alpha-Tierchen echt empfindlich. Mach klar, dass Du auch Ihre Entscheidung umsetzen wirst, sie aber aus Deiner fachlichen Perspektive auf mögliche Chancen und Risiken (betriebswirtschaftlich/sicherheitstechnisch)hinweisen möchtest.
Wenn die Ursache für diese Entscheidung von der GF angesprochen worden ist (Probleme beim letzten Update), dann kannst Du auch darauf SACHLICH eingehen. Lass Verständnis für die erste und schnelle Entscheidung erkennen, aber kläre Sie über die Vorteile der von Dir vorgeschlagenen Lösung auf.
Bitte denke daran, dass Entscheider und NICHT-Techniker Deine Adressaten sind. So schwer es ist, aber die Zauberformel ist "kinderleicht und vorstandsverständlich"!!! Versteht es die Sekretärin, dann versteht es der Boss auch. Das soll nicht Andeuten, dass die Herren oder Damen in der GF Dummbeutel sind, sie verstehen nur nicht viel von DEINEM Fachgebiet. Du bist - genau an der Stelle - der Coach der ihnen helfen möchte und nicht der Be-Lehrer, der Besser-Wisser, der in seiner Eitelkeit verletzte Nerd.
Sollte es Sicherheitsvorfälle geben die in juristische Konsequenzen münden, dann musst Du den Nachweis führen können, dass Du auf Grund Deiner fachlichen Expertise den/die GF auf die Risiken der Entscheidung, in verständlicher Form, hingewiesen hast.
Dies nur als Hinweis aus meinen persönlich gesammelten Berufs-/Kommunikations-Katastrophen/Erfahrungen.
Viel Erfolg!
P.S.: Sorry für die Beitragslänge.
Risikoanalyse ist DAS Stichwort. Dazu gestatte mir vielleicht einen, nicht ganz kurzen, eher organisatorischen Hinweis.
Nur kurz zu meiner Person, ich selbst bin seit über 30 Jahren im IT-Geschäft und habe alles möglich im IT-Umfeld gemacht, viel doing auf Layer 0-4, später IT-Leitung, -Beratung, -Audits in verschiedenen Umfeldern.
Aus dieser Erfahrung heraus empfehle ich hier eine ausführliche Risikoanalyse schriftlich zu formulieren, um die GF auf die Risiken der Entscheidung aufmerksam zu machen. Eine Kopie davon solltest Du gut aufbewahren.
Lass Dich dabei nicht von Emotionen leiten, sondern versuche SACHLICH korrekt auf die Folgen aufmerksam zu machen. (Ist immer leichter gesagt als gemacht. I know that.
)Belehre den/die GF dabei nicht! Das ist echt schwer, da sie vermutlich davon ausgehen werden, dass Du ihnen DEINE Macht beweisen willst und es Dir nur darum geht ihnen zu beweisen, dass Sie keine Ahnung haben. Bei (vermuteten/tatsächlichen) Machtdemonstrationen sind Alpha-Tierchen echt empfindlich. Mach klar, dass Du auch Ihre Entscheidung umsetzen wirst, sie aber aus Deiner fachlichen Perspektive auf mögliche Chancen und Risiken (betriebswirtschaftlich/sicherheitstechnisch)hinweisen möchtest.
Wenn die Ursache für diese Entscheidung von der GF angesprochen worden ist (Probleme beim letzten Update), dann kannst Du auch darauf SACHLICH eingehen. Lass Verständnis für die erste und schnelle Entscheidung erkennen, aber kläre Sie über die Vorteile der von Dir vorgeschlagenen Lösung auf.
Bitte denke daran, dass Entscheider und NICHT-Techniker Deine Adressaten sind. So schwer es ist, aber die Zauberformel ist "kinderleicht und vorstandsverständlich"!!! Versteht es die Sekretärin, dann versteht es der Boss auch.
Das soll nicht Andeuten, dass die Herren oder Damen in der GF Dummbeutel sind, sie verstehen nur nicht viel von DEINEM Fachgebiet. Du bist - genau an der Stelle - der Coach der ihnen helfen möchte und nicht der Be-Lehrer, der Besser-Wisser, der in seiner Eitelkeit verletzte Nerd.Sollte es Sicherheitsvorfälle geben die in juristische Konsequenzen münden, dann musst Du den Nachweis führen können, dass Du auf Grund Deiner fachlichen Expertise den/die GF auf die Risiken der Entscheidung, in verständlicher Form, hingewiesen hast.
Dies nur als Hinweis aus meinen persönlich gesammelten Berufs-/Kommunikations-Katastrophen/Erfahrungen.
Viel Erfolg!
P.S.: Sorry für die Beitragslänge.
3
