karlho
Goto Top

Verwaltung von 10-20 Windows PCs

Hallo,

als Admin klein angefangen mit der manuellen Administration von ein paar wenigen PCs.
Mittlerweile ist das Unternehmen gewachsen und ich stelle fest, dass der bisherige manuelle Weg beim Einrichten und Verwalten der Mitarbeiter-Rechner aufwändig und ineffektiv wird.
Status heute:

  • mehr als 10 Windows-PCs von unterschiedlichen Herstellern - Tendenz weiter steigend
  • alle mit Windows 10 Pro, Microsoft 365-Standard und diversen Apps (für alle, tlw. individuell)
  • lokales Netzwerk LAN und WLAN
  • Synology-NAS als zentraler interner Speicher + OneDrive
  • mehrere Drucker und weitere Netzwerkgeräte; zum Teil für alle MA, einige spezifisch
  • von außen - z.B. vom Home Office - Zugang per VPN
  • kein zentraler Server, kein active directory o.Ä.

Aufgaben:
  • neue PCs einrichten
  • vorhandene auf aktuellem Stand halten
  • Tausch vorhandener PCs gegen neuere Modelle - möglichst ohne Änderungen für den Nutzer
  • Problembehebung, tlw. per Fernwartung
  • Verwaltung der Zugänge zu unseren verschiedenen Systemen

Fragen:
  • welche Methoden oder Werkzeuge soll / kann ich für diese Aufgaben einsetzen ?
  • und dabei den Aufwand reduzieren und die Übersicht verbessern ?

Vielen Dank für Tipps und Hinweise,
Karl

Content-ID: 4862391838

Url: https://administrator.de/contentid/4862391838

Printed on: October 5, 2024 at 10:10 o'clock

lcer00
lcer00 Dec 05, 2022 at 10:02:33 (UTC)
Goto Top
Hallo,

ich würde hier ein Active Directory aufbauen. Damit hat man eine zentrale "Durchsetztungsinstanz" für Sicherheitseinstellungen die Zugriffsverwaltung. Wenn man mag, kann man das aber auch über Azure Active Directory und inTune machen.

Zweite Baustelle: Die Daten liegen zentral auf dem NAS? Wo liegt deren Backup?

Fernwartung: Teamviewer?

Ansonsten über eine Clientverwaltungslösung (wir nutzen ACMP), Fernwartung auf Client-PCs ist seitdem nur noch ausnahmsweise erforderlich. Über RDP kann man das innerhalb von VPN/Active Directory auch sicher gestalten. Die Windowsupdates sind darüber auch gut steuerbar - oder eben Windows-Boardmittel: WSUS.

Grüße

lcer
manuel-r
manuel-r Dec 05, 2022 at 10:03:24 (UTC)
Goto Top
kein zentraler Server, kein active directory

AD einführen. Das macht die Sache deutlich leichter.

Synology-NAS als zentraler interner Speicher

Wenn AD vorhanden durch Fileserver ablösen erleichtert die Berechtigungsverwaltung ebenfalls

mehr als 10 Windows-PCs von unterschiedlichen Herstellern - Tendenz weiter steigend

Am besten einen Hersteller und ein Modell. Das erleichtert u.a. das Thema Treiber usw um einiges.

von außen - z.B. vom Home Office - Zugang per VPN

Hoffentlich nicht auf privater Hardware
Celiko
Celiko Dec 05, 2022 at 10:22:54 (UTC)
Goto Top
Moin,

ist halt die frage was für ein Budget ihr habt und, ob ihr in die cloud gehen wollt oder on prem bleibt.

Da ihr bereits m365 Lizenzen habt könnte ein Upgrade auf business Premium sinnvoll sein, um alle Geräte im intune aufzunehmen für Software Verteilung, configs, compliance usw. und mit der AAD den Zugriff auf Ressourcen zu managen.

Ggfs. könnte der NAS durch ein fileshare im Azure ersetzt werden. Oder schwenkt komplett auf SharePoint rüber. Hier kommt es halt wieder auf die Datenmenge an und Anzahl der Lizenzen.

Drucker könnten durch eine 3rd party solution im Azure verteilt werden (uniflow cloud (ggfs. neue Drucker benötigt) könnte so eine Lösung sein).

PCs könnten von einem vorbereiteten OS Stick aufgesetzt werden (OSdeploy) die bei der Installation gewisse Parameter mitbekommt. Der Rest dann per intune (Gerät muss zumindest AAD joined sein).

Es gibt viele Optionen den aktuellen Betrieb zu optimieren. Was wollt ihr, in welche Richtung soll es gehen, wie viel ist die Firma bereit zu investieren, (...)

Vg
Franz-Josef-II
Franz-Josef-II Dec 05, 2022 at 10:25:30 (UTC)
Goto Top
Servas

Ich würde einen Server kaufen und ein AD (egal jetzt ob Samba 4 oder Microsoft) aufbauen.

Für die Installationen etc kann ich opsi empfehlen, für Updates würde ich auf Windows Update 4 Business setzen.
wiesi200
wiesi200 Dec 05, 2022 at 10:36:23 (UTC)
Goto Top
Hallo,

ich würde jetzt erstmal nur das Active Directory umsetzen. Dann WSUS und einen Printserver.
Das wird dich schon mal ne Zeit lang beschäftigen.
Wenn das erledigt ist, erst dann Gedanken über die nächsten Schritte.
ElCativoGER
ElCativoGER Dec 05, 2022 at 11:34:24 (UTC)
Goto Top
.. und vergiss das Backup nicht...
Eine vernünftige Datensicherung ist Gold wert!
Shadowcopy, Plattenarray und auch auch Band oder auch Wechselplatte oder sonstwas.
Visucius
Visucius Dec 05, 2022 updated at 11:53:50 (UTC)
Goto Top
Du hast mehrere Optionen:

a) Den MS365-Cloud-AD: Anmelden geht mit den Standard-Lizenzen schon - die vielen Vorteile (Geräte ansteuern) wirst Du aber erst mit Intune nutzen können

b) Lokale Lösung:
b.a) Synology bietet Dir einen AD und Samba an
b.b) Univention böte das lokal und mW. auch mit Synchronisierung zu MS365 an
b.c) Du bindest Dir nen AD-Server mit all seinen Abhängigkeiten ans Bein den Du dann auch mit MS365 syncen kannst.

Viel Erfolg!
Lochkartenstanzer
Lochkartenstanzer Dec 05, 2022 at 12:08:45 (UTC)
Goto Top
Moin,

AD ist schon da richtige Stichwort. Aber ich würde dringend davon abraten das mit Cloudlösungen druchzuführen, denn Microsoft sperrt druchaus mal unangekündigt Microsoft-Konten für immer (siehe z.B. Automatisierte Scans: Microsoft sperrt Kunden unangekündigt für immer aus).

lks
pasu69
pasu69 Dec 05, 2022 at 13:32:51 (UTC)
Goto Top
Ich würde, je nachdem, was Du für ein Synology NAS hast, dort ein AD aufsetzen.

Zur Verwaltung der PCs bietet sich zum Beispiel eine Remote Management Software wie Atera an, damit hat man Hardware und Software im Blick, kann Updates automatisieren und einiges mehr für einen, wie ich finde, fairen Preis.

Wenn Du die Hardware wechseln musst, kann man das eigentlich immer problemlos mit Macrium Reflect Free machen, dort gibt es auch eine kostenlose Businesslizenz. Damit kann man ein Image des alten PCs ziehen und auf der neuen Hardware wiederherstellen. Treiber aktualisieren und gut ist - funktioniert zu 98% meiner Erfahrung nach.

Das Synology NAS kann auch als VPN Server fungieren, aber wie gesagt, wenn man alles über das NAS laufen lässt, sollte man eine x86 CPU haben und mehr RAM einbauen.
binBash86
binBash86 Dec 06, 2022 at 08:36:09 (UTC)
Goto Top
Moin, ich löse sowas seit Jahren mittels RDS. Der klassische Terminalserver supported sogar Office-365 Apps bis Ende 2026, entgegen der bisherigen Aussage. Normal installierbares Office wie Office 2021 LTSC auch darüberhinaus. Terminalserver haben durchaus ihre Vor- und Nachteile, aber je nach Szenario vereinfach Sie sehr viel.

https://sharepoint360.de/aus-fuer-office-via-terminal-server-microsoft-f ...

Da steht es weiter unten im Text.
KarlHo
KarlHo Dec 07, 2022 at 17:04:08 (UTC)
Goto Top
Vielen Dank an alle für die Tipps und Hinweise.

Wenn ich alle Kommentare zusammenfasse und bewerte:

1. AD aufsetzen (allerdings nicht auf dem Synology-NAS, da recht eingeschränkte Funktionalität)
Wahrscheinlich wird ein Windows-Server die richtige Lösung sein, auf dem ich dann auch andere zentrale Funktionen abbilden kann.
? Wo gibt's denn dazu die beste Doku zum Einlesen/lernen ?

2. bzgl. Werkzeug(e) zur SW-Verteilung und -Installation muss ich noch etwas forschen;
OPSI scheint ganz interessant, aber da ist mir nicht ganz klar, was Freeware ist und was/wann kostet.
Die Microsoft-Funktionen scheinen auch ganz interessant.
Visucius
Visucius Dec 07, 2022 at 17:26:52 (UTC)
Goto Top
Wo gibt's denn dazu die beste Doku zum Einlesen/lernen ?

Grundsätzlich bei Microsoft face-wink

Ich würde aber wohl eher bei Youtube vorbeisehen.
Visucius
Visucius Dec 08, 2022 updated at 07:04:33 (UTC)
Goto Top
Vielleicht noch ne Anmerkung angesichts des aktuellen BSI-Bericht, der hier im Forum für Furore sorgte!
KMUs sind verloren - BSI Bericht zur Lage der IT-Sicherheit in Deutschland

Du hast also 10 PCs mit der lokalen Kombi Windows, Exchange, Outlook, Office. Immerhin Produkte einer Firma mit jährlich rund 1.000 gemeldeten(!) Sicherheitlücken, die berühmt ist als Einfallstor bzgl. Trojaner, Viren, unberechtigter Zugriffe, Datenklau, usw.

Jetzt ergänzt Du diesen Hort der Sicherheit aus Bequemlichkeit noch mit einem goldenen Kalb - womöglich noch im selben Netzwerk - auf der selben berüchtigten Plattform mit dem Du (Admin-)Zugänge und Zertifikate zentral verwaltest und welches gegenüber dem Rest der Herde weisungsbefugt ist.

Vielleicht ließe sich das ja noch toppen, indem Du Cisco fürs Netzwerk einsetzt? Diese Kombination ergänzt Dein Setup nochmal um 400 jährliche Sicherheitslücken und hat sich (inkl. Patriotsact und trotz SnowdenPapers) weltweit in allen Unternehmensgrößen bewährt. Da wissen sowohl privatwirtschaftliche, wie auch staatliche Angreifer gleich woran sie sind 😏

(kann Spuren von Sarkasmus enthalten)
lcer00
lcer00 Dec 08, 2022 at 09:59:28 (UTC)
Goto Top
Hallo,
Zitat von @Visucius:

Vielleicht noch ne Anmerkung angesichts des aktuellen BSI-Bericht, der hier im Forum für Furore sorgte!
KMUs sind verloren - BSI Bericht zur Lage der IT-Sicherheit in Deutschland

Du hast also 10 PCs mit der lokalen Kombi Windows, Exchange, Outlook, Office. Immerhin Produkte einer Firma mit jährlich rund 1.000 gemeldeten(!) Sicherheitlücken, die berühmt ist als Einfallstor bzgl. Trojaner, Viren, unberechtigter Zugriffe, Datenklau, usw.

Jetzt ergänzt Du diesen Hort der Sicherheit aus Bequemlichkeit noch mit einem goldenen Kalb - womöglich noch im selben Netzwerk - auf der selben berüchtigten Plattform mit dem Du (Admin-)Zugänge und Zertifikate zentral verwaltest und welches gegenüber dem Rest der Herde weisungsbefugt ist.

Vielleicht ließe sich das ja noch toppen, indem Du Cisco fürs Netzwerk einsetzt? Diese Kombination ergänzt Dein Setup nochmal um 400 jährliche Sicherheitslücken und hat sich (inkl. Patriotsact und trotz SnowdenPapers) weltweit in allen Unternehmensgrößen bewährt. Da wissen sowohl privatwirtschaftliche, wie auch staatliche Angreifer gleich woran sie sind 😏

(kann Spuren von Sarkasmus enthalten)
Ich hab ja überhaupt nichts gegen Sarkasmus. Aber könntest Du bitte fairerweise die Anzahl der gemeldeten CVE für die Alternativanbieter sowie die Verbreitung der Produkte angeben?

Und ach ja - Ich behaupte mal, dass bei einem Produkt mit hohem Marktanteil aus rein Statistischen Gründen mehr CVEs gemeldet werden, als bei einem Produkt mit geringer Verbreitung. Daraus kann man nicht schließen, dass das Produkt als solches unsicherer ist. Aber Wahrscheinlichkeitsrechnung versteht sowieso keiner - war bei den Epidemiologischen Daten zu Corona ja auch so.

Rechenbeispiel: Betriebssystem A ist auf 1000 PCs installiert. Betriebssystem B auf 10000 PCs. Wir nehmen an, beide Systeme sind gleich sicher. Die Erkennungsrate für Schwachstellen beträgt (fiktiv) 2 Schachstellen pro Jahr pro 1000 PCs. Wo werden mehr Schwachstellen erkannt?

Grüße

lcer
Visucius
Visucius Dec 08, 2022 updated at 10:44:57 (UTC)
Goto Top
Aber könntest Du bitte fairerweise die Anzahl der gemeldeten CVE für die Alternativanbieter sowie die Verbreitung der Produkte angeben?
Nö aber die kann sich ja jeder bei Bedarf raussuchen.

Zudem gehe ich mit Deiner Wahrscheinlichkeitsrechnung nicht mit. Die validiert in meinen Augen nur bei den potenziellen Auswirkungen, d.h. bei den "Einbrüchen". Und auch nur dann, wenn man eine über alle BS hinweg prozentual entsprechende Penetration annimmt. Bzgl. der Meldung von Schwachstellen lässt sich Dein Postulat so nicht aufstellen, weil ja das aufdecken von Schwachstellen üblicher Weise nicht durch die "gemeinen" User erfolgt.

Aber wie Du schon feststelltest:
Wahrscheinlichkeitsrechnung versteht sowieso keiner - war bei den Epidemiologischen Daten zu Corona ja auch so.
(Weshalb Ungeimpfte ja auch - entgegen offizieller Erwartungen - die Pandemie überlebten) face-wink

PS: In meinem Beitrag geht es nicht(!) vorrangig um die Sicherheit einzelner Komponenten. Im Prinzip genügt ja schon eine(!) Lücke. Es geht vielmehr darum, sich mal zu überlegen, wie homogen eine Struktur sein muss/soll/darf und welche Penetrations-Resistenz man einzelnen Komponenten in einem Verbund zumuten sollte – in Abhängigkeit ihrer "Wichtigkeit".
Aber diese Interpretation liest man vielleicht nur raus, wenn man sich nicht schon selber bei den genannten Komponenten ertappt fühlt face-wink

Ich bin ja auch bei Leibe kein "Sicherheitsberater". Aber wenn ich dann z.b. auch noch die Backups auf Win-Maschinen lagere, muss ich mich nicht wundern, wenn der BSI darauf hinweist, dass Verschlüsselungstrojaner eben auch genau danach suchen.
lcer00
lcer00 Dec 08, 2022 at 11:08:38 (UTC)
Goto Top
Hallo,
Zitat von @Visucius:

Aber könntest Du bitte fairerweise die Anzahl der gemeldeten CVE für die Alternativanbieter sowie die Verbreitung der Produkte angeben?
Nö aber die kann sich ja jeder bei Bedarf raussuchen.

Zudem gehe ich mit Deiner Wahrscheinlichkeitsrechnung nicht mit. Die validiert in meinen Augen nur bei den potenziellen Auswirkungen, d.h. bei den "Einbrüchen". Und auch nur dann, wenn man eine über alle BS hinweg prozentual entsprechende Penetration annimmt. Bzgl. der Meldung von Schwachstellen lässt sich Dein Postulat so nicht aufstellen, weil ja das aufdecken von Schwachstellen üblicher Weise nicht durch die "gemeinen" User erfolgt.
Das ist schon klar. Aber man kann eben aus der Schwachstellenanzahl auch nicht schließen, wie sicher das System ist. Interessanter wäre vielleicht der Anteil alter, noch nicht behobener Schwachstellen.

PS: log4j war Microsoft oder? face-smile

Grüße

lcer
Visucius
Visucius Dec 08, 2022 updated at 11:43:31 (UTC)
Goto Top
Das ist schon klar.
Dann frage ich mich, warum Du das Postulat aufgestellt hast?!

Aber man kann eben aus der Schwachstellenanzahl auch nicht schließen, wie sicher das System ist.
Das ist aber doch im Prinzip auch irrelevant. Unstrittig ist doch aber, dass sich Eindringlinge überwiegend auf ne Windows-Büro-Umgebung eingeschossen haben, weil sie auf diese in 80% der KMUs treffen. Und das die Kombination Windows/Outlook/Office durchaus besondere Schwachstellen bietet, bzw. bot, ist jetzt keine VT, sondern nachhaltig gelebte Erfahrung.

Wie schon gesagt: Darum gehts im Konkreten aber nicht, sondern um die angemessene Reaktion auf diesen Zustand. Und ob der TE sich dann zusätzlich einen Windows-AD ins Netz hängt oder evtl. eine (günstigere) Linux-Alternative oder wenn Windows-AD, wie er diesen strukturell besser absichert. Da ist es ja mit nem Installations-YT für Windows-Server alleine nicht getan.

log4j war Microsoft oder?
Was hat log4j mit der Problematik zu tun?! Du willst doch hoffentlich nicht das Thema wechseln, weil Dir die Argumente ausgehen? face-wink
lcer00
lcer00 Dec 08, 2022 updated at 11:48:42 (UTC)
Goto Top
Hallo,
Zitat von @Visucius:

Das ist schon klar.
Dann frage ich mich, warum Du das Postulat aufgestellt hast?!
Das war kein Postulat, sondern ein Rechenbeispiel, das Deine ideologisch-tendenziöse Microsoft-feindliche Aussage relativieren sollte. Mit Schwarz-Weiß-Denken kommt man meist nicht weiter.

Aber man kann eben aus der Schwachstellenanzahl auch nicht schließen, wie sicher das System ist.
Das ist aber doch im Prinzip auch irrelevant. Unstrittig ist doch aber, dass sich Eindringlinge überwiegend auf ne Windows-Büro-Umgebung eingeschossen haben, weil sie auf diese in 80% der KMUs treffen. Und das die Kombination Windows/Outlook/Office durchaus besondere Schwachstellen bietet, bzw. bot, ist jetzt keine VT, sondern nachhaltig gelebte Erfahrung.
Erstens: Es würde dann auch nicht helfen, wenn die 80% der KMUs auf Linux & OpenOffice umschwenken, weil dann ja Windows der Geheimtipp werden würde.

Zweitens: Eine standardisierte Kombination aus aktuellem Windows/Outlook/Office dürfte sicherer sein, als ein mit Open-Source-Lizenzen zusammengebasteltes Linux-Umfeld, insbesondere dann, wenn der Admin eher "Admin" ist, sich mit Linux nicht auskennt und die Firma - erfreut über die Lizenzkosteneinspaarung - keine Software-Supportverträge abschließt.

Wie schon gesagt: Darum gehts im Konkreten aber nicht, sondern um die angemessene Reaktion auf diesen Zustand. Und ob der TE sich dann einen Windows-AD ins Netz hängt oder evtl. eine Linux-Alternative oder wenn Windows-AD, wie er diesen strukturell besser absichert. Da ist es ja mit nem Installations-YT alleine nicht getan.
Da stimme ich zu.

log4j war Microsoft oder?
Was hat log4j mit der Problematik zu tun?!
Entspann Dich. Das war mit Smiley versehen. Das sollte das entspannende nonverbale Element in dieser hitzigen Diskussion sein.

Grüße

lcer

Edit: Du Du hast ja auch noch ein Smiley verwendet. belassen wir es dabei.
Visucius
Visucius Dec 08, 2022 updated at 11:57:58 (UTC)
Goto Top
Da ist nix hitzig! Kruzinesen face-wink

ideologisch-tendenziöse Microsoft-feindliche Aussage
... unterhalb von Rassismus mach ichs eigentlich nicht mehr! face-wink

Erstens: Es würde dann auch nicht helfen, wenn die 80% der KMUs auf Linux & OpenOffice umschwenken, weil dann ja Windows der Geheimtipp werden würde.
Auch dann würde ich hinterfragen ob so eine Homogenität notwendig/sinnvoll ist

ein mit Open-Source-Lizenzen zusammengebasteltes Linux-Umfeld
Was auch nicht zur Debatte steht!

PS: Den Nachsatz zu spät gelesen. Gerne, ich wollte das gar nicht so weit ausführen. Der TE soll das für sich entscheiden.
george44
george44 Dec 12, 2022 at 09:02:22 (UTC)
Goto Top
Noch ein Hinweis zum Thema Hardware (Clients, Drucker):

Möglichst einheitliche Hardware anschaffen, nicht zuviel Durcheinander! - Wir haben (rund 15 Arbeitsplätze) in unseren Wachstumszeiten immer bei "Bedarf" an neuer Hardware die Anschaffungen versucht zu bündeln und ein/zwei Rechner mehr als gerade nötig auf Vorrat angeschafft, aber alle identisch!