NorbertFe
-
Gesamte Inhalte
43.392 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von NorbertFe
-
-
Für GPO Tests braucht man erstens keinen lokalen Admin und zweitens auch nicht für jeden PC einen Account. Ich weiß ja nicht, was du vorhast, aber das sind "vorgeschobene" Argumente. Und von einem nicht vertrauenswürdem PC dann auf vertrauenswürdige Ressourcen zuzugreifen, ist ja auch naja.... ;) Hat jeder PC nur ZUgriff auf einen ganz bestimmten Bereich in deiner Struktur? Ich zweifel das mal an. Aber mach mal. Manches muß man wohl selbst ausprobieren, bis man es entweder glaubt und zumindest glaubhaft widerlegen kann.
Viel Erfolg
Norbert
-
Ich weiß schon was du meinst. Das ändert aber trotzdem wenig. Du erzeugst jede Menge administrativen Aufwand für keinen technischen Nutzen. Nenn mir doch mal den Grund, warum ein AD User der lokaler Admin (auf einem PC) ist, jetzt verwaltungstechnisch mehr Nutzen bringt (vor allem wenn man ihn ja nur für gelegentliche Verwaltung benötigt) als ein per LAPS verwalteter lokaler Admin Account. Der "einzig" mir einfallen wollende Grund im Moment ist, dass ein Account im AD von anderen Lokalen Admins nicht verändert werden kann. Da aber der Domänenaccount nur auf diesem PC nutzbar ist, und der PC nicht vertrauenswürdig ist, ... die Kette kannst du dir selbst vervollständigen. :)
Ich bleib erstmal bei meiner Meinung.
Bye
Norbert
-
Natürlich soll man sich da nicht als DOmänenadmin anmelden. Das ist ja sicherheitstechnisch wohl selbstverständlich, dass man das nicht nur nicht macht, sondern idealerweise aktiv unterbindet. Was soll der Aufwand, wenn sowieso jeder auf irgendwelchen PCs lokaler Admin ist, dann sind die Kisten quasi per Definition nicht mehr in deiner Gewalt. Ich denke dein Konstrukt wird daran nicht viel ändern. Das ist nur scheinbare Sicherheit.
Bye
Norbert
-
vor 6 Minuten schrieb wznutzer:
Ich will einen Wartungsaccount für alle Domänenmitglieder.
vor 6 Minuten schrieb wznutzer:Ich will mich als Domänenuser an allen Mitglieder (PC) anmelden können und lokale Adminrechte haben. Dazu will ich aber weder den Domänenadmin nehmen noch einen einzigen User.
Irgendwie widerspricht sich deine Anforderung. Oder sie ist missverständlich geschrieben. Wozu benötigt man denn für jeden PC einen eigenen (zusätzlich zum lokalen Admin) Admin-Account? Was gibts auf den PCs zu managen, dass so eine Anforderung sinnvoll wird? Ich bin nicht pauschal gegen mehr Sicherheit, aber ich bezweifle, dass das in dem Fall wirklich sinnvoll ist, was du vor hast. Evtl. kannst du noch genauer erklären, wo dein Problem liegt. Alternativ kann man natürlich mit zig Benutzern im AD (oder Gruppen) pro PC hantieren und das dann rollenbasiert zuweisen. Ob das aber sinnvoll zu handhaben ist, müßte man testen. Einen "Automatismus" zum Kennwort setzen für Nutzer im AD, wäre jedenfalls kontraproduktiv in meinen Augen.
Bye
Norbert
-
Von MS gibts das LAPS-E jedenfalls nicht mehr. Und bei unter 25 Clients würde ich im Allgemeinen auch nicht von den Vorteilen einer deutlich komplexeren Lösung als LAPS überzeugt sein.
-
Wie wärs mit einem Blick hier:
https://www.psw-group.de/code-signing/
Bye
Norbert
PS: Nein ich bekomme keine Prozente. :)
-
vor einer Stunde schrieb wznutzer:
- Ist LAPS noch immer die Standardlösung, auch mit Windows 10 1709? Es hört sich jedenfalls gut an.
Ja, zumindest wenn es kostenlos sein soll/muss.
Zu 2. Natürlich kann man das. Aber dazu solltest du erstmal klären, was genau du damit erreichen willst.
-
vor 6 Minuten schrieb Tron_1304:
OK. So wäre das leider nicht gewollt.
Report/Inventar ist vielleicht noch eins,
aber der tatsächliche Traffic für Updates
sollte sich auf 2-3 Rechner beschränken.
MFG
Vielleicht kannst du ja kurz erklären, was das Ziel oder der Grund für diese Anforderung ist. Dann kann man evtl. auch einfacher eine Lösung finden.
-
Beide Anforderungen lassen sich auch für domänenkonten umsetzen.
-
-
The Key Management Service (KMS) activation threshold for Office 2013 is five computers. This means that Office 2013 client computers will be activated only after five or more client computers have requested activation.
-
-
Ich meine Office sind auch 5. Client os sind 25.
-
vor 4 Stunden schrieb Nobbyaushb:
aber 25 Server hast du ja nicht.
Er braucht ja auch nur 5 ;) aber die hat er auch nicht.
vor 4 Stunden schrieb Nobbyaushb:Ein DC z.B. braucht eigentlich nur einen Kern und 2GB RAM
Naja so pauschal würde ich das nicht unterschreiben. Vor allem hat der Host bei zwei vms sowieso nix zu tun, so dass die vm auch mal bisschen PS bekommen darf. ;)
-
Was sollte das denn bringen? Damit du weißt, dass es funktioniert muss sowieso jeder Rechner mit dem wsus kommunizieren/Reporten.
-
Wo Hakts denn? Wenn du 2016 nutzt, hast du erstmal mit einer gültigen Lizenz das Recht zwei vms zu betreiben.
-
Wie wäre es, du würdest dir die Lizenzbedingungen einfach durchlesen? Hier im Board gibts zig Threads zu diesem Thema.
-
Tja, genau einmal. Wo ist dein Problem, dafür bekommst du ja zusätzliche Rechte die du im Fall des re-Imagings sogar für alle gleichen PCs (mit gültiger basislizenz) benutzen darfst. Im Endeffekt gibts deine Diskussion und Argumente recht häufig. Es steht dir frei ein od zu wählen, welches deiner Meinung nach sinnvollere Lizenzbedingungen hat.
-
Also die rollouts die ich gesehen habe bei Windows 10 waren auch na h dem Setup in der Domäne. Keine Ahnung wie die Kollegen das geregelt haben, aber es geht.
-
Nein, und das habe ich und andere auch nicht geschrieben.
-
Du liest dir die Bedingungen durch, und die lauten, dass VL immer Upgrade Lizenzen sind, also eine sogenannte qualifizierende Lizenz benötigen. Abgesehen davon wurde dir ja schon mitgeteilt, dass du 1x VL benötigst und die Anzahl an Lizenzen pro Gerät als qualifizierende Lizenzen (üblicherweise kauft man ja PCs zusammen mit einer Windows Lizenz).
-
vor 52 Minuten schrieb Clawhammer:
Oder ist das eine limitierung von Windows Server 2016 Standard?
Nein garantiert nicht.
-
vor 6 Minuten schrieb Dr.Melzer:
In diesem fall ist es die richtige Herangehensweise.
Wenn der Leitungsprovidere Änderungen am Router durcvhführen KÖNNTE ohne dass ich etwas davon mitbekomme ist das eine IMHO inakzeptable Konfiguration. Und das nicht erst wenn er WÜRDE...
Die Lösung ist aber immer die selbe und wie gesagt bezweifle ich, dass derzeit von Kunden abschätzbar ist, ob die wlan Hotspots in Business Verträgen je kommen werden/könnten und falls, dann ist ein providergerät ohne wlan wohl die einfachste und sicherste Lösung, anstatt ein eigenes Consumergerät hinzustellen. Wie gesagt, ich gehe von Businessverträgen aus.
vor 8 Minuten schrieb testperson:Habe grade mal bei einem UM Kunden geschaut, da steht mittlerweile ein Hitron CGNV4 vor unserem Router: http://www.hitrontech.com/product-category/cable/
Ob das aber "vernünftige" Geräte sind, kann ich dir nicht sagen.
Haben die wlan? Ich seh beim link nur ne 404.
-
Der is wahrscheinlich auch sp1 siehe seinen anderen Thread.
-
Bevor dein wsus nicht aktuell ist, würde ich keine Fehler suchen. Teste mal das Update davor.
-
Hi,
versuch mal folgende Updates (theoretisch reicht das letzte)
WSUS 3.0 (SP2) + KB2720211: Build 3.2.7600.251 WSUS 3.0 (SP2) + KB2734608: Build 3.2.7600.256 WSUS 3.0 (SP2) + KB2828185: Build 3.2.7600.262 WSUS 3.0 (SP2) + KB2938066: Build 3.2.7600.274
Unterschied Adressliste und Globale Adressliste
in MS Exchange Forum
Geschrieben
Den filedistribution Service gibts aber schon ne Weile nicht mehr. ;)