StefanWe

Hi Nils, danke für das Feedback. Letzteres ist genau unser Ding. ich vermute, dass dort etwas entsteht, was nicht unbedingt viele durchblicken. Leider ist es sehr schwierig oauth know how zu finden. Wenn es um mehr geht, als seine eigene WebApp an Facebook oder Twitter anzubinden... Unser Szenario soll wie folgt aussehen: Wir haben ein vorhandenes Extranet, welches über ein Forms basierte Anmeldemaske die "Kunden" authentifiziert. Dabei stehen die Benutzer und Kennwörter in einer Oracle DB. Die Forms Anmeldemaske ist auch irgendetwas von Oracle. Nun soll in das Extranet ein Webplanner integriert werden. Dieser erfordert die Authorisierung über oauth. Was vom Ansatz auch gut ist. Nun fragen wir uns aber, wie wir das so integriert bekommen. Da wir ja derzeit keinen oauth Authorization Server haben. Ich kann ja schlecht mich am Extranet über die Forms Anmeldung anmelden und irgendein oauth Authorization Server stellt dann das Ticket für den Benutzer zur Nutzung des WebPlanners aus. Aktuell ist meine Idee, die Extranet Anmeldung auf einen Citrix Netscaler umzubauen, dieser würde ins Backend gegen einen LDAP Server prüfen (nicht Active Directory). Könnte dann aber auch für den Webplanner das oauth Ticket ausstellen, da der User ja generell über eine Sitzung Verfügt. Oder hab ich einen Denkfehler ?

Hallo, ich versuche seit Tagen mich mit dem Thema OAUTH zu beschäftigen. (Nicht im Zusammenhang mit Azure) Wir bekommen eine Web App und die Entwickler möchten gerne OAUTH nutzen. Allerdings fehlen mir viele Grundlagen, die ich mir durch Recherche im Internet nicht zusammenreimen kann. SAML hingegen kenn ich und nutze ich schon seit Jahren. Wenn ich es richtig verstehe, ist oauth ein authorization Protokoll, aber nicht für Authentifizierung gedacht. Aber wie authentifiziert sich ein Anwender vorher? Der oauth Server kann ja nicht jedem x beliebigen ein Access Token ausstellen. Woran erkenne ich, ob ich oauth, oder openid connect nutze?

Hallo, bei der 9200er Serie gibt es ja ein schönes neues Webinterface. Ich weiß, ein echter Netzwerker will nur die CLI und alles andere ist böse. Im Tagesgeschäft, um einen Port in ein VLAN zu konfigurieren hilft aber vielleicht doch die GUI dem ein oder anderen Mitarbeiter der nicht so CLI affin ist. Jetzt wurde uns vom Dienstleister aber abgeraten das Webinterface zu nehmen. Begründung - cli ist das einzig wahre. Ja danke. Wie ist hier die Meinung dazu ?

Hi Dukel, ich finde nur die GPO zum Erlauben von Benutzern sich anzumelden. Hier steht bei Clients generell Domänen Benutzer drin. Gleiches gilt für RDP. Ich finde aber keine GPO, die bestimmte Gruppen verweigert.

Ich bin über folgenden Artikel von Franky gestolpert. https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/ Das Tier Modell finde ich super. Demnach würde ich hingehen, und die normalen Benutzer der Admins auf Tier 2 berechtigen, für alle Tätigkeiten rund um die Clients. Für das Tier 1 würde ich entsprechende Admin Konten anlegen. Jetzt stellt sich aber folgende Frage: Wie verhindere ich, dass sich mit den Admin Konten welche für Tier 1 oder 0 berechtigt sind, eine Anmeldung an Tier 2 erfolgt ? Prinzipiell kann sich an Tier 2 Systemen ja jeder anmelden, da es sich um Clients handelt. Wie geht man mit RSAT Tools um. Würde man die Benutzer für Tier 2, berechtigen, RSAT Tools zu benutzen um damit Aufgaben zu erledigen, welche das Tier 2 betreffen? Also Beispielsweise DHCP, Gruppenrichtlinien oder AD Benutzer und Computer verwalten ?

Ganz klar, nur die Rechte die er für seine täglichen Aufgaben benötigt.

Hallo, wir sind gerade dabei und schaffen die Domänen-Admins ab und ersetzen diese durch delegierte Administration. Bedeutet: Aktuell arbeiten 17 Leute in der IT als Dom Admin. Schön einfach und praktisch, man kommt überall dran. Das wollen wir nun nicht mehr. Die Admins administrieren vom Client, über Fileserver Berechtigungen bis hin zu Servern eigentlich alles. Allerdings nur in ihrem Scope. Nun stellt sich uns die Frage, zum normalen Benutzer, womit er Office und co nutzt einen weiteren Admin Benutzer erstellen, oder gleich dem "normalen" Benutzer die delegierten Berechtigungen verpassen. Damit dieses "ummelden" nciht notwendig ist. Eine Admin Station wäre auch eine Idee, aber bedeutet auch doppelten Aufwand. Klar, ist der eine normale Benutzer mit allen Berechtigungen ausgestattet, und wird gekapert, so hat der Angreifer gleich volles Recht auf alles. Hat der Admin aber zwei Benutzer und muss sich ständig ummelden, nervt es ihn. Hat eventuell für den admin Benutzer ein schlechtes Kennwort und ist ebenfalls leicht angreifbar. Hatte auch schon überlegt, alle zentralen Server mit einem admin Benutzer zu verwalten, alle Clients mit dem normalen Benutzer. Aber sobald es dann an RSAT Tools geht, nervt es wieder, diese mittels Ausführen als auszuführen. Daher meine Frage, welchem Konzept verfolgt ihr ? Jetzt könnte die klassische Frage sein, Anforderung definieren. Da würde ich antworten, höchstmaß an Sicherheit bei bestmöglichem Komfort für die Admins. Wir haben keine großen Industriegeheimnisse und sind auch kein Chemie oder sonstwas Konzern. Also alles recht simpel gehalten bei uns.

Wir haben eher die Probleme Richtung Netzwerk.

leider nein. Die Anwender meckerten, es läuft langsam. Und wir suchten uns nen Wolf. Und klar, kann man jetzt einzelne Werte abfragen. Aber dann muss man im Vorfeld wissen, welche Werte sollte man abfragen. Und es muss doch jemanden geben, der ein entsprechendes Monitoring für vSphere entwickelt hat. Im besten Fall eben mit SAN und Netzwerk Monitoring.

Hi, wir betreiben eine vSphere Umgebung mit 10 Hosts und ca. 400 VMs. Unser größtes Defizit liegt aber im Monitoring. Da haben wir zentral PRTG. Aber die vorhandenen Sensoren haben uns noch nie geholfen. wir hatten letztens einen Serienfehler der FC Sfps. Jetzt haben wir Ärger mit den Broadcom nics. Paketverluste. Wohl ein bug in der Firmware. ärgerlich daran, wir brauchen Tage um den Fehler zu finden. Und reagieren immer nur, start proaktiv solche Fehler zu erkennen. Selbst die Sensoren zu bauen braucht Zeit und warum das Rad neu erfinden ? Daher die Frage, wie überwacht ihr eure vSphere Umgebung mit Cisco nexus Switches und Brocade SAN ?

Hallo, welche Erfahrung bzw. Welches Produkt habt ihr mit der Absicherung der Admin Konten mittels zweiten Faktor? es soll sowohl interaktive Anmeldung, als auch Rdp Anmeldung oder Remote mittels Ausführen als Benutzer abgesichert werden. habe da an yubikey gedacht. Ist das für Unternehmen geeignet? vernünftiges Management wäre gut, um es ggf.mspäter auch auf normale Benutzer auszuweiten. Sms oder Push muss nicht möglich sein.

Interessanter Ansatz. aber zieht das? Im Endeffekt hängt ja doch das ad da hinter

Hi Franz, die core cal ist via User lizenziert.

Hallo, wir haben einen EA Vertrag mit 850 qualifizierten Desktops, insgesamt aber 1800 Mitarbeiter. Rest sind gewerbliche Mitarbeiter welche nicht am PC arbeiten. Nun möchten wir gerne eine neue Webseite, ein Mitarbeiter Info Portal einführen und jedem Mitarbeiter Zugriff über sein Handy und personalisiertem Zugriff ermöglichen. Um es einfach zu halten, würden wir gerne alle Mitarbeiter im Active Directory aufnehmen. Die Authentifizierung findet über ADFS (SAML2) statt. Die Anwendung basiert auf Typo 3 und läuft auf einem Linux System. Keine sonstigen Zugriffe auf Windows Server. Ausschließlich die Authentifizierung. Müssen nun für die Differenz der Benutzer Lizenzen angeschafft werden, wenn ja, welche ?

Wie geht ihr damit um wenn es innerhalb der Abteilung Teams gibt und diese nicht untereinander Daten sehen sollen ?

Das agdlp beherzigen wir. Hilft uns aber leider nicht, den Weg zum Zielordner frei zu machen. Wir würden für intern 1 und 2 jeweils eine DOM Lokal Gruppe anlegen. Aber die Frage, wie gibt man den Weg für den Anwender am einfachsten frei. Der Einstiegspunkt soll Abteilung X sein und natürlich soll der Anwender nur das sehen, worauf er auch berechtigt ist. Daher ist die ABE aktiviert.

Danke, das liest sich super. Ich schaues mir einmal an. Vielen Dank

Hallo, jeder kennt es. Fileserver Berechtigungen sind ein Graus. Wir versuchen aktuell höchstens zwei Ebenen in die Tiefe zu berechtigen. Beispiel Abteilung X - Alle - intern 1 - intern 2 Wie würdet ihr nun die Berechtigung vergeben um so wenig wie möglich AD Gruppen zu benötigen? Jeweils für intern 1 und 2 eine eigene AD Gruppe machen, diese auf den oberen Ordnern nur mit Leserecht This Folder, oder normal Read setzen und bei intern 1 und 2 die Vererbung aufheben, und die Gruppe des anderen Ordnern entferne und die eigene Gruppe auf Modify setzen? gibt es mittlerweile schönere Möglichkeiten, wen weg zu, eigenen Ordner dem Anwender zu berechtigen?

Wir schicken monatlich mehrere 10.000 Mails an unsere Kunden. Täglich allerdings auch schon unzählige Bestellungen an Lieferanten. Da fallen wohl die paar Newsletter Mails nicht mehr auf. Danke für die Antworten.

Hallo, wir möchten gern Newsletter direkt versenden und nicht über Anbieter wie Cleverreach. Könnt Ihr Software hierfür empfehlen?

oh wei. Jetzt hab ich einige Rollen über die GUI hinzugefügt und erhalte nun die Meldung: "Diese Rollengruppe kann nicht hierher kopiert werden, da sie Rollen enthält, die mit mehreren Schreibbereichen oder exklusiven Schreibbereichen zugewiesen wurden" Kennt dies jemand? Ich kann in der Gui ja gar nicht den Schreib Bereich mitgeben...

Allerbesten Dank

wie gesagt - grundsätzlich funktioniert wieder alles. Ich bin mir nur nicht sicher, ob alle Rollen (RBAC) dieser Gruppe wieder hinzugefügt wurden. Denn zu Beginn fehlte zum Beispiel die Rolle Databases. Ich konnte also keine Datenbanken mehr bearbeiten. Daher die Frage, ob jemand per Powershell einmal seine Rollen, die der oben genannten Gruppe zugewiesen wurden, hier posten kann. Das wäre super. Vielen Dank.

Hallo, mein Kollege hat ausversehen die Gruppe Organization Management gelöscht und damit alle Admins vom Exchange ausgesperrt. Wir haben die Gruppe über ein AD Single Item Restore wiederhergestellt. Allerdings innerhalb von Exchange sind nicht alle Rollen dieser Gruppe hinzugefügt worden. Einige habe ich manuell hinzugefügt - glaube aber noch nicht alle erwischt zu haben. Kann mir bitte jemand die zugewiesenen Rollen der Gruppe "Organization Management" hier posten. Vielen vielen Dank.

Aus meiner Zeit als Citrix Consultant hatte ich auch immer wieder das Problem, wie mache ich den PVS Store Hochverfügbar. DFS-R = mist hierfür Scale Out Fileserver = nicht supported von MS Wir haben es entweder per Robocopy gemacht, oder Citrix hat mitlerweile das vDisk Replicator tool. Ist ne GUI für robocopy. https://www.citrix.com/blogs/2018/06/08/vdisk-replicator-utility/ Ansonsten kann ich irgendeinen Hochverfügbaren Filer empfehlen, der SMB v3 und neuer bereitstellt. NetApp zum Beispiel. Dann hast du überhaupt keine Sorgen was mit deinen vDisks passiert. PVS Server kann ruhig virtuell laufen, der muss nicht in Physik sein. Ich muss aber sagen, seit 1903 ist MCS die deutlich bessere Alternative. Du hast auch RAM Cache wie beim PVS. Einzige, du hast keine Versionierung und damit kein richtiges Testing. Ansonsten viel viel einfacher im Handling und weniger Overhead.