Symbadisch

wo muss ich das setzen bei dem DFSRoot Verzeichnis auf meinem C-Laufwerk?

Haben seit kurzem bei uns einen DFS-Server implementiert und festgestellt, dass User auf der Rootebene (bei der Ansicht wo alle einzelnen freigegeben Ordner ersichtlich sind) Verzeichnisse und Dateien ablegen kann. Die liegen dann im DFS-Root-Verzeichnis, was wir nicht wollen. Wie kann das verhindert werden? Grüsse Lars

Erstmal vielen Dank für all euren Input und die Aufschlauung - das ganze Thema ist echt nicht ohne. Bin auch froh hier nachgefragt zu haben, auch wenn es unser Konzept etwas durcheinander wirft. Muss auch zum Hintergrund sagen, sind bei dem Thema gelandet da es mir schon lange ein Dorn im Auge ist das wir Admins aktuell alle mit einem persönlichen DomainAdmin-User unterwegs sind, der auch für die Clientadministration genutzt wird. Das zu ändern ist für uns die höchste Prio. Ich denke wir können unsere Umgebung aktuell nicht komplett ESAE-konform machen, da fehlen uns die Ressourcen aktuell. Zurück zum Thema: Werden für jeden Admin einen Jump-Host einrichten, welcher nicht in der Domain ist und entsprechend gehärtet wird, von diesem springen wir dann auf die T-Adminmaschinen. Werden das allerdings mit Win2019 machen. Theoretisch könnten wir die JumpHosts auch auf eigener VM-Hardware installieren, aber das ganze soll auch noch praktikabel sein und im Vergleich zum aktuellen Ist-Stand haben wir dadurch schon einen enormen Sicherheitsgewinn und einen Schritt in die richtige Richtung. Für nächstes Jahr haben wir einige Investitionen im Bereich IT-Security geplant, haben die letzten Jahre hier definitiv viel zu wenig gemacht. Hier werden wir uns auch einen bzw. mehrere Dienstleister ins Haus holen, welche uns auf dem weiteren Weg begleiten werden. Bis dahin leben wir mit dem Kompromiss und machen das was mit überschaubarem Aufwand umsetzbar ist.

Ist das nicht genau das was verhindert werden soll, nämlich das ich als T1-Admin die DomAdmin-Gruppe Rutsche? Oder verwechselst du PAW mit PAM? Sorry, b***d ausgedrückt. Die PAW läuft nicht auf einer VM auf dem Client, sondern auf unser VMware-Umgebung. Wenn die Anmeldedaten auf unserem Client gespeichert sind, ist das doch aber wenig zielführend, da ein Angreifer ja sofort Admin-Berechtigung auf alle T1-Server hätte, mal von OTPabgesehen. Wie wäre hier also der korrekte Zugriff?

Hallo, wir sind aktuell in der Umsetzung diverser Punkte zu ESAE. Angefangen haben wir mit der Umsetzung der Aufteilung der Systeme in die drei Tiergruppen. Wir haben eine recht überschaubare Umgebung mit ca. 350 Usern und ca. 90 Servern in einer VMware-Umgebung. Für den Zugriff auf die drei Gruppen haben wir jeweils einen Windows Server 2019, welchen wir bei Tier 1 und 2 mit der Rolle des RDS installieren, da wir hier mit mehr als zwei gleichzeitigen Usern rechnen, bei T0 hingegen nicht. Der Zugriff auf die beiden PAWs erfolgt ausschließlich von unseren Clients und mit zusätzlich benötigtem OTP. Nun zu meiner Frage: - Wir melden uns auf den beiden PAWs ja direkt mit dem jeweiligen T-Admin per RDP an, wir haben also direkt Adminzugriff auf dem System. Ist das bereits falsch und kritisch bzw werden die rdp-Anmeldedaten auf unserem normalen Client gespeichert und sind somit abgfreifbar?

Wer lieber mit der PowerCLI arbeitet, hier gibt es ein recht gutes Script für das ganze: https://www.virtuallyghetto.com/2018/01/automating-intel-sighting-remediation-using-powercli-ssh-not-required.html

Nein, ganz andere Branche und ganz andere Ecke von Deutschland.

Danke Heinz, damit kann ich erstmal was anfangen. Werde morgen mal unsere Partner Anfragen, da wir aktuell nen neuen Bandroboter und ne SAN-Erweiterung anschaffen müssen, könnte das mit den Kosten passen, vielleicht gibt es da was passendes.

Also Dedup haben wir schon an, nicht nur auf Datei-, sondern auf Blockebene und das brachte in der Tat ca. 20%. Komprimierung hingegen brachte nicht viel. Natürlich nehmen wir hier nachher Dienstleister ins Boot. Mich interessierte einfach eure Meinung und Erfahrung und ich lese mich gerne in Themen ein um nicht völlig ahnungslos dazustehen. Bin bei Quantum über LTFS gestolpert und was ich hier las klingt sehr interessant und ich denke günstiger als mit Bändern bekomme ich das TB nicht. Ich stelle mir das so vor und so habe ich es im ersten Step verstanden, dass Daten die zB seit vier Jahren nicht genutzt werden automatisch auf Band verschoben werden und wenn dann wieder genutzt wieder ins Primärsystem verschoben. Was ist HSM? Google sagt mir hier Hardware-Sicherheitsmodul aber denke das ist nicht gemeint.

Hallo zusammen, weiss nicht ob ich hier richtig bin, aber wir haben das Problem welches sicherlich nicht unbekannt sein dürfte und viele hier kennen. Unser Fileserver platzt immer und immer wieder aus allen Nähten. Zum Grossteil handelt es sich um Grafik/CAD-Daten, welche auf keinen Fall gelöscht werden können, auch wenn sie schon Jahrelang nicht mehr benutzt wurden. Da wir aktuell auf der Suche nach einer neuen Backuplösung sind, bin ich über die Möglichkeit gestolpert ältere Daten oder gewisse Daten statt auf dem teuren Storage auch auf Bandlaufwerke auszulagern. Hat damit jemand Erfahrung? Lohnt sich das überhaupt schon bei uns? Aktuell haben wir nen Storage (EQL) mit ca. 140 TB Daten und jährliches Wachstum von ca. 20-30TB. Hiervon ist ganz sicher ein Viertel davon Grafiksachen die wie gesagt vielleicht mal wieder benötigt werden. So wie ich das wird anhand des Kriteriums die Datei auf Band verschoben und durch einen Link ersetzt. Erfahrungen wären super! Gruss Lars

Für normale Gäste klar, es gibt aber Gäste bzw. IT-Dienstleister die Zugriff in unser Netz benötigen. Wie wird sowas realisiert? Fürs WLAN haben wir hier ein Ticketsystem wo die Gäste einen Tagespass bekommen. Ok, das ist einfach, unsere hängen auch in einem eigenen VLAN, somit wäre das auch unkritisch. Linux und auch Mac können 802.1x, das ist klar. Aber wie realisieren wir das am besten? User und Passwort allein ist nicht wirklich ein Schutz, sonst könnte ein Mitarbeiter seinen privaten Rechner einstecken und authentifiziert sich auch da mit User und Passwort.

Hallo zusammen, um nicht jedem Device das sich an einem unserer Netzwerkports ansteckt Zugriff zu unserem Netzwerk zu geben, haben wir den NAP-Server und unsere Switche entsprechend konfiguriert. Es funktioniert auch soweit, dass unsere Windowsclients nach der Authentifizierung ins passende VLAN kommen und somit Zugriff erhalten. Nun haben wir aber drei Fälle, bei welchen das leider nicht so einfach geht und wollte mal nachfragen wie hier eure Erfahrungen sind bzw wie wir das am besten realisieren. 1.) Geräte wie Drucker, Wie werden die am sinnvollsten hier eingebunden? 2.) Linux und auch Macrechner bei den Clients, wie werden diese eingebunden? 3.) Gästerechner, wir haben diverse Dienstleister oder freie Mitarbeiter die Zugriff auf unser LAN benötigen, aber die Clients natürlich auch nicht in unserer Domäne hängen. Wäre prima wenn ihr mir hier weiterhelfen könntet wie das am besten zu realisieren wäre und was hier Best/Practise ist. Zu 2 und 3 haben wir uns schon überlegt wir könnten die Clients per User/Passwort authentifizieren, aber das wäre teilbar und erscheint uns somit nicht wirklich sicher. Gruß Lars

Es steht in der Anzeige, dass der Gehaltswunsch angegeben werden soll. Und ich wage zu behaupten das es daran bisher nie scheiterte, im Gegenteil, die die da waren sind plötzlich mit ihrem Gehaltswunsch nach unten. Aber wenn sich einer als VMWare-Experte verkauft und beim nachfragen wie seine bisherige Umgebung aussah kommt als Antwort er habe technisch gar nichts damit zu tun gehabt, nur mal vor x Jahren verkauft... naja. Ausbildung war auch von mir schon vorgebracht, da es zu Anfang sicherlich aufhält, aber man weiss was man hat und worauf man sich einlässt. Nichts schlimmeres als gefährliches halbwissen und plötzlich schreien 200 Leute es geht nichts mehr. Momentan haben wir von nem Dienstleister regelmässig Unterstützung im Haus, klar könnten wir den abwerben, aber a) haben wir dem Dienstleister versprochen das nicht zu tun und b) wollen wir mit dem Dienstleister auch weiterhin noch arbeiten. Es wurden die Stellen auch an Hochschulen schon gesetzt und aktuell meinte die Personalabteilung wir aus der IT sollen doch mal dort zur Hausmesse und unser Unternehmen bzw. die Stellen verkaufen/präsentieren. Aber ok, dachte ihr sagt vielleicht das kannste alles vergessen da und da bekommst am besten Personal. Werde mal unsere Stellen in regionalen Xing-Gruppen Posten, das wurde von dem Personalvermittler zwar schon gemacht aber natürlich mit dem Link auf die Seite von denen - da würde ich persönlich mich ehrlich gesagt auch nicht bewerben. Ich muss sagen es ist bei uns im Hause nicht unüblich, dass über den Weg Praktikant und/oder Werkstudent passendes Personal gefunden wurde, in der IT wollten wir das bisher nicht, sind aber aktuell hier offener. Aber auch hier die Frage: Wie komme ich am besten an die Leute ran? Hätte nie gedacht das ich als ITler mich mal mit Personalbeschaffung aktiv beschäftigen muss.

Hallo ihr zwei, erstmal danke für die Antworten. Wir suchen im Süden Deutschlands. Ca. 30 km südlich von Stuttgart. Wir suchen aktuell nen Junior IT-Administrator und einen BI-Entwickler. Andere Abteilungen von uns suchen händeringend im Bereich Java-Entwickler was. Wenn Interesse und es ok ist, würde ich auch gerne per PN die Links zu den Stellen zusenden. Gruss Lars

Hallo zusammen, wir suchen schon seit einiger Zeit einen (Junior)Administrator. Die Stelle haben wir in verschiedenen Jobportalen geschaltet, aber da kommt im Grunde nichts rein. Es wird auch schon über eine Personalvermittlungsfirma gesucht, aber auch da ist es eher mau. Wie sind hier eure Erfahrungen? Ist der Markt einfach leer was Administratoren angeht oder ist der Weg über Jobportale der falsche? Danke im voraus. Lars