xaero1982
Goto Top

Was benutzt ihr für die Userverwaltung unter MS Servern?

Hallo Zusammen,

in naher Zukunft werde ich wohl eine gewisse Grundstruktur ändern müssen und viele Nutzer anlegen müssen und ein mal im Jahr viele entfernen und neu hinzufügen müssen.
Das ganze werde ich per Skript realisieren.

Nun aber die Frage: Ich habe natürlich keine Lust jedes mal wenn ein User das PW vergessen hat das selbst machen zu müssen.

Wie geht man hier am sinnvollsten vor? An meiner Uni z.b. musste man gewisse Daten angeben: Vorname, Nachname, Geb.Datum, Immanummer und eine PIN etc.

Wie kann man das mit einem AD am sinnvollsten umsetzen ohne, dass jeder das PW des anderen ändern kann?


Über Tipps wäre ich dankbar

Gruß

Content-ID: 225882

Url: https://administrator.de/forum/was-benutzt-ihr-fuer-die-userverwaltung-unter-ms-servern-225882.html

Ausgedruckt am: 25.12.2024 um 17:12 Uhr

wiesi200
wiesi200 05.01.2014 um 09:26:33 Uhr
Goto Top
Zitat von @Xaero1982:

Wie geht man hier am sinnvollsten vor? An meiner Uni z.b. musste man gewisse Daten angeben: Vorname, Nachname, Geb.Datum,
Immanummer und eine PIN etc.

Gut Vorname, Nachname und Geb.Datum vergisst man nicht. Aber man braucht irgendeine Identifikation die sonst keiner kennen kann. Und dann sind wir wieder beim gleichen Problem. Vergessen und dann bist du wieder drann. Und Informationen die man nicht ständig braucht vergisst man eher. Somit schreibt man sowas auf. Dadurch veringerst du meiner Meinung nach die Sicherheit extrem.
Xaero1982
Xaero1982 05.01.2014 um 11:28:16 Uhr
Goto Top
Die Pin bekommt man mit der Post zugeschickt. Sollte man also nur selbst haben.
Dennoch müsste jeder Nutzer erst mal persönlich eine Nummer bekommen.

Wie dem auch sei....

Es wird ja sicherlich irgendwelche Programme o.ä. geben, die sowas können und keine 5000+x € kosten.

Wir reden hier von ca. 1450 Nutzern.

Gruß
wiesi200
wiesi200 05.01.2014 aktualisiert um 12:33:16 Uhr
Goto Top
Dann ist man in der Arbeit und hat sein Passwort vergessen und der Pin liegt daheim.
Oder man findet den Pin nicht mehr usw.
Zudem wie kommst du auf die Webseite wenn du das Kennwort von deinem PC nicht kennst um ihn anzuschalten.


Was meiner Meinung nach interessanter ist.
Du verteilst das an die Abteilungsleiter.

Eine Webseite auf nem IIS die du entsprechend über Domain Anmeldung oder ähnlich absicherst und nur gewisse Personen drauf können.
Und da eine PHP oder ASP.net Webseite drauf läuft die Serverseitig ein Script ausführt.

http://www.php.net/manual/de/function.system.php

Da gibt man dann vielleicht nur den Usernamen an welches als Parameter übergeben wird.

Was dann das Script ausführt. Z.B ein Standardkennwort setzt das dann der Benutzer bei der nächsten Anmeldung ändern muss.
An ne E-Mailadresse geschickt wird. ist dann wieder ein anderes Thema.

Theoretisch könnte man so aus das umsetzen was du willst. Mit PHP kann man auch das AD auslesen.
mittels PHP das Windows Active Directory auslesen
Dort deinen PIN hinterlegen. Und wenn die Daten stimmen wird ein Random Kennwort an eine E-Mail gesendet.

Edit:
Einen Link hätte ich noch
http://de3.php.net/manual/de/function.ldap-mod-replace.php
DerWoWusste
DerWoWusste 06.01.2014 um 01:16:58 Uhr
Goto Top
Hi Xaero.

Ich würde mir mal http://anixis.com/products/apr/default.htm ansehen. Wir nutzen es nicht (kommt zu selten vor), aber es könnte passen.
Xaero1982
Xaero1982 06.01.2014 um 10:58:58 Uhr
Goto Top
Hi DWW,

sieht gut aus, aber ich habe schon einige gefunden in der Art und kommt leider nicht in Frage.

Über 5000$ in der Standardversion für die Anzahl an Nutzern.

Gruß
DerWoWusste
DerWoWusste 06.01.2014 um 11:04:53 Uhr
Goto Top
Wie kommst Du auf 5000 USD? Die Subscriptionpreise liegen deutlich darunter, selbst bei 2000 Nutzern. Schau da nochmal rein.
Xaero1982
Xaero1982 06.01.2014 um 11:07:49 Uhr
Goto Top
Stimmt, aber was soll ich mit einer Software die 12 Monate läuft?

Subscription: Expiring software license that allows you to use the software and support services for 12 months from the purchase date. You can renew your subscription after 12 months if you would like to continue using the software.

Gruß
DerWoWusste
DerWoWusste 06.01.2014 um 11:12:10 Uhr
Goto Top
Die Frage ist doch, wie viel Du pro Jahr ausgeben willst/kannst. Da passt die Subskription am besten, da eine sicherheitsrelevante Software eh immer mit Subskription gekauft werden sollte.
Musst Du wissen.
Xaero1982
Xaero1982 06.01.2014 um 11:18:51 Uhr
Goto Top
Am besten wie immer: nichts.

Da es sich um eine Schule handelt mit Jährlich wechselnden Schülern von kA 400-500.

Nun kamen die Lehrer auf die Idee, dass jeder Schüler einen Account haben soll. Seit Jahren, so hab ich es auch vom Vorgänger übernommen, werden mit Sammelaccounts pro Computerraum gearbeitet, keine Probleme.
Nun gibt es leider Spezies, die die Ordner von anderen auf den Netzlaufwerken löschen.

Was damit verbunden ist kann sich von denen leider keiner vorstellen - angefangen bei ständig neu zu setzenden Kennwörtern, sowie Speichererweiterungen etc. und wenn man es genau nimmt auch noch redundante Server, falls einer mal die Gretsche macht. Weil aktuell kann sich der "Gruppenaccount" auch ohne AD anmelden, weil dieser auf den Clients gecached ist. Dann gibt es zwar kein Netzwerklaufwerk, aber wenn man Glück hat kann man noch dran schreiben. Das wäre bei Useraccounts dann nicht mehr möglich, weil sonst alle Accounts auf jedem PC gecached sein müssten. No Chance.

Alles muss, aber es darf halt nichts kosten.... zum...

Gruß
DerWoWusste
DerWoWusste 06.01.2014 um 11:23:58 Uhr
Goto Top
4-500. Das macht als Subskriptionspreis 1000€ pro Jahr. Gut, wenn da nur 5 Leute pro Woche kommen, mag das viel sein, aber bei 20 Anfragen pro Woche wäre mir das schon einen Tausender wert. Du wirst das nicht kostenlos bekommen und Anixis ist nicht teuer, meine ich.
Und Gruppenaccounts? Ich bitte Dich, das geht überhaupt nicht.
Xaero1982
Xaero1982 06.01.2014 um 11:33:04 Uhr
Goto Top
400-500 neue Jährlich. Du darfst die anderen ca. 1000 nicht vergessen die ja konstant sind.
400-500 gehen ab - 10. /13. Klasse und 300-400 kommen neu. (Mir fällt gerade auf, dass die dann irgendwann leer wäre... face-smile Naja egal. So in etwa)

Es geht nicht darum was es MIR Wert ist, sondern wird das Amt und auch die Schule das nicht Jährlich aufbringen können.

Doch das ging ca. 10 Jahre gut so...

Und wie gesagt die damit einhergehenden Kosten für Useraccounts bedenkt leider niemand von denen die es wollen.

Gruß
wiesi200
wiesi200 06.01.2014 um 11:38:43 Uhr
Goto Top
Unter Grupenaccount versteht er sicher ein Useracount den ein kpl. Klasse verwendet.

Ich würd es hier unter den umständen wirklich mit einer PHP Webseite machen, sollte nicht so viel aufwand sein.
Und diese nur zugänglich für die Klassenlehrer machen.
wiesi200
wiesi200 06.01.2014 um 11:41:09 Uhr
Goto Top
Nur so nebenbei, willst du denn eigentlich dann die einzelnen Profile auf den Clients lassen?
Die würden dann schnell zugemüllt sein.
DerWoWusste
DerWoWusste 06.01.2014 um 11:44:24 Uhr
Goto Top
Muss mal was loswerden...

Hier im Forum kommt immer wieder das Gejaule "...aber es ist ja kein Geld da" oder "...aber es muss günstig sein oder kostenlos". Mach denen doch einfach klar, dass es sich lohnt. Dass die Supportkosten ganz einfach höher sind als die Lizenzkosten - es ist ja oft so.
Es gehört doch auch zur Adminkunst, an Nicht-Techniker zu vermitteln. Wenn das nicht Dein Job ist, dann vermittle an den Vermittler.
Xaero1982
Xaero1982 06.01.2014 um 12:27:28 Uhr
Goto Top
Wiesi, darauf wird es dann wohl hinauslaufen.

DWW: Es geht nicht um Gejaule. Ich nenne dir mal eine Größenordnung:

ca. 230 Clients(ca. 30 Lehrerpcs + ca. 40 Notebooks + diverse mobile Einheiten und 7 Computerräume) + Server (1 Physikalisch - 4 Virtuell)(inkl. Exchangeserver etc.) und was sonst so an administrativen Aufgaben darunter fällt.

Weißt du was der Schule, respektive mir dafür zur Verfügung gestellt wird für ein Jahr wovon genau genommen auch noch Anschaffungen getätigt werden müssen?
Ich lass dich einfach mal eine Runde schätzen.

Es werden Gelder ausgegegeben für absoluten Nonsense, weil es einfach nicht abgestimmt wird. Siehe meinen anderen Beitrag zur Frage nach dem Logodidact Server.

Die Supportkosten können nicht steigen, weil es nur ein bestimmtes Budget gibt. Interessant ist dann nur der Anschaffungspreis. Ich muss jedes Jahr kämpfen, dass ich die Kosten für den Virenscanner (140€ / Jahr) und für den Schulfilter ran bekomme ganz zu schweigen von den monatlichen Kosten für den VDSL Zugang, weil der Senat der Meinung ist eine 16 MBit Leitung reicht + die Schulwebseite.

Vor mir wurden Firmen eingeladen die die Verwaltung nur dieser einen Schule übernehmen sollten und die nannten Summen von 40.000-50.000/ Jahr.

Klar werde ich mich damit auseinander setzen müssen - vor allem denen zu erklären was damit einhergeht. Dass es eben nicht reicht, dass man sich dann einen Server hinstellt, der 1450 User verwaltet, sondern, dass da viel mehr gemacht werden muss. Die gesamte Netzwerkstruktur ist ca. 10 Jahre alt und besteht aus 10/100 Mbit Switches von HP.

Wie dem auch sei. Schätze mal ein was man dafür bekommt....

Gruß
wiesi200
wiesi200 06.01.2014 um 12:33:47 Uhr
Goto Top
Ja nach Anforderungen sind 10/100 Switche nicht's dramatisches.
Ich hab noch den einen oder anderen 3Com am Laufen der um einiges älter ist.