doncool
Goto Top

Read-Only Administrator?

Gibt es die Möglichkeit einem User das Anmelden an den Windows Server zu gestatten, aber Änderungen zu verbieten bzw. massiv einzuschränken?

Hallo,

Ich habe hier einen Kunden der die tägliche und wöchentliche Wartung seines Servers nicht von mir sondern von (fachunkundigem) eigenem Personal machen lassen möchte.
Ich soll dazu das Konzept erstellen (Argh). Diese Idee an sich möchte ich nicht weiter kommentieren...

Meine Frage also nun:
Gibt es bzw. kann ich einen User einrichten der sich am Windows Server anmelden und Basics ansehen kann (z.B. sind die Datenbanksicherungen aktuell, ist Backup Exec ordnungsgemäss gelaufen, ist auf allen Platten noch genug Platz, sind im Raid noch alle Platten online usw. usw.) aber der möglichst nichts ändern kann (d.h. nichts aus Versehen kaputtmachen).

Wo steht welche User bzw. Administratoren welche Rechte haben?

Vielen Dank & viele Grüße,
DC

Content-Key: 149470

Url: https://administrator.de/contentid/149470

Printed on: May 24, 2024 at 11:05 o'clock

Member: 2hard4you
2hard4you Aug 22, 2010 at 13:39:43 (UTC)
Goto Top
Moin,

Du schreibst nicht, was für einen Windowsserver - also kann ich nur die Glaskugel bemühen.

Du kannst die Events (ab W2k8) forwarden lassen auf die Maschine des Mitüberwachers, sowie die DB-Logs einfach zu dem kopieren lassen - somit kann der auf seiner Maschine das alles kontrollieren und bei Unklarheiten Dich informieren. Für Plattenplatz kannste Dir ein dir LW: bauen, welches in eine Datei schreibt, die ein Job wegkopiert. Ein kleines Überwachungstool (Nagios o.ä.) kann sowas sogar automatisiert reporten.

Du mußt halt nur wissen, was Du alles wissen willst.

Gruß

24
Member: NetWolf
NetWolf Aug 22, 2010 at 14:17:48 (UTC)
Goto Top
Hallo,

Ich habe hier einen Kunden der die tägliche und wöchentliche Wartung seines Servers nicht von mir
ok, und welche Position hast du? Externer Dienstleister?
Was hast du dort bisher gemacht? Das Wort "Wartung" ist mir zu schwammig.
Welcher Server wird genutzt? Mit AD?
Welche Datenbank wird genutzt?
Welches Backup-Programm wird genutzt?
usw.

sorry, aber ein paar mehr Informationen wären schon notwendig.

Wie von 2hard4you schon beschrieben, gibt es heute viele Möglichkeiten, bei Problemen eine Mail/SMS etc. an die Administration zu senden, ohne dass da täglich einer nachsehen muss.

sondern von (fachunkundigem) eigenem Personal machen lassen möchte.
btw: klar, man kann nicht alles wissen, aber bei solchen Basis-Server-Fragen.... wie würdest du deine Qualifikation einstufen?

Grüße aus Rostock
Wolfgang
(Netwolf)
Member: DonCool
DonCool Aug 22, 2010 at 15:02:47 (UTC)
Goto Top
Es handelt sich um einen 2003 SBS, Zusätzlich laufen 2 SQL-Server Datenbanken für Sage Anwendungen. Es gibt zusätzlich einen 2003 Std als Terminalserver.
Backup ist Symantec Backup Exec 11d. Ich habe aber nicht gefragt nach was geschaut werden muss oder wo man das nachschaut. Ich habe nur gefragt ob es einen stark eingeschränkten Admin gibt oder ob man einen solchen einrichten kann.

Und an Wolfgang: Ja, ich bin externer Dienstleister. Und bisher hatte ich (in gut 10 Jahren) noch nie die Aufgabe oder das Bedürfnis eingeschränkte Administratoren einzurichten. Ich betreue nun mal kleinere Firmen und da gibt es entweder nur mich als Admin oder noch 1-2 Leute die sich auskennen und die man nicht einschränken muss. Für MICH ist daher die Frage nicht so Basis, deswegen frage ich ja hier wo auch Leute sind die große Domains betreuen wo in einer AD viele unterschiedliche Admins mit unterschiedlichen Aufgaben arbeiten die vermutlich auch passende Berechtigungen haben. Darin sehe ich den Sinn eines sochen Forums wie diesem hier, dass man Informationen zur Verfügung stellt die man selbst hat und Fragen stellt wenn man welche braucht von denen man annehmen kann dass andere sie schon haben...

Viele Grüße,
DC
Member: goscho
goscho Aug 22, 2010 at 17:09:21 (UTC)
Goto Top
Hallo DonCool,
dein Ansinnen ist standardmäßig bei DCs nicht vorgesehen. Dort können sich normalerweise nur Domänenadmins anmelden.
Anderen Usern Zugriff zu einem SBS zu gewähren birgt immer ein enormes Sicherheitsrisiko.
Dies einzuschränken wird kaum klappen.

Mach das, was dir von 2hard4you geraten wurde, richte Benachrichtigungen per Mail zu dem User ein.
Wenn du dich ein wenig mehr mit BE und dem SBS auskennen würdest, wüsstest du das selbst. face-wink
Für solche Angelegenheiten muss sich kein DAU an einem SBS anmelden, außer es ist der Chef und der muss das ja selbst verantworten.
Member: 2hard4you
2hard4you Aug 22, 2010 at 18:04:49 (UTC)
Goto Top
Moin,

bitte trenne klar zwischen Probleme erkennen (das will der Auftraggeber) und Probleme beseitigen (das machst Du) - Du kannst alles reporten / abfragen - aber wenn der Typ *fachunkundig* ist, ist es doch okay, der liest die Logs - und greift zum Telefon / Mail - ich verstehe da was nicht, das iss alles rot oder gelb....

anders geht es nicht, auch der sparsamste Chef muß mal einsehen, was man an Wissen einsparen will, löhnt man an Knete - genauso wie die goldene Regel der Mechanik aus Vor-IT-Zeiten....

Gruß

24
Member: speedhub
speedhub Aug 22, 2010 at 19:52:38 (UTC)
Goto Top
Hallo DonCool,
ich fasse mal zusammen:
a) Der Chef will, dass die tägliche und wöchentliche Wartung vom eigenen Personal gemacht wird und Du willst dafür einen "nur lese-Zugriff" einrichten.
b) Das Personal ist "unkundig", aber die Frage: " Wo steht welche User bzw. Administratoren welche Rechte haben" stammt immerhin von Dir.
Das sieht doch ganz danach aus als ob Du da einfach Dein eigenes Ding durchziehen willst. Wer hat denn eigentlich das Sagen - der Firmenchef oder der externe Dienstleister?

Grüße
Speedhub
Member: DonCool
DonCool Aug 22, 2010 at 20:50:16 (UTC)
Goto Top
Das sieht doch ganz danach aus als ob Du da einfach Dein eigenes Ding durchziehen willst. Wer hat denn eigentlich das Sagen - der
Firmenchef oder der externe Dienstleister?

Nein, eigentlich gehts eher darum Schaden von dem Server abzuwenden wenn sich Leute anmelden die eigentlich an so einem Server nichts verloren haben. Das sehe ich in diesem Fall als meine Aufgabe an. die Idee das ganze ausschliesslich über Mail- oder andere Benachrichtigungungen zu lösen ist übrigens tatsächlich der bisher beste Vorschlag und dementsprechend werde ich das auch vorschlagen. Da das aber auch wieder Arbeit und damit Kosten nach sich zieht seh ich das nicht wirklich als sehr chancenreich an. aber wie du schon sagst: Ich bin nur der Dienstleister...

Dann markiere ich das mal als gelöst, ich glaube neue Erkenntnisse gewinne ich hier keine mehr face-wink

Viele Grüße
DonCool
Member: goscho
goscho Aug 23, 2010 at 07:35:51 (UTC)
Goto Top
Morgen Doncool,

ich kann deine "Arbeit verursacht Kosten" Aussage nicht so ganz stützen.
Du wolltest folgende Benachrichtigungen:
(z.B. sind die Datenbanksicherungen aktuell, ist Backup Exec ordnungsgemäss gelaufen, ist auf allen Platten noch genug Platz, sind im Raid noch alle Platten online usw. usw.
Das ist mit einem SBS mit eingerichtetem Exchange und in weniger als 10 min eingerichtet, wenn man es sehr gewissenhaft machen will, dauert es ca. 20 min.
3 Stichworte:
  • Serverleistungsbericht
  • Serverwarnungen
  • BE Benachrichtigung

Die beiden ersten Punkte sind in der SBS-Konsole unter 'Überwachung und Berichterstattung' einzustellen, der letzte in BE unter Extras Empfänger.