Symbadisch

vor 6 Stunden schrieb daabm:

Passende ACLs setzen...

wo muss ich das setzen bei dem DFSRoot Verzeichnis auf meinem C-Laufwerk?

Haben seit kurzem bei uns einen DFS-Server implementiert und festgestellt, dass User auf der Rootebene (bei der Ansicht wo alle einzelnen freigegeben Ordner ersichtlich sind) Verzeichnisse und Dateien ablegen kann. Die liegen dann im DFS-Root-Verzeichnis, was wir nicht wollen.

 

Wie kann das verhindert werden?

 

Grüsse

 

Lars

Erstmal vielen Dank für all euren Input und die Aufschlauung - das ganze Thema ist echt nicht ohne.

 

Bin auch froh hier nachgefragt zu haben, auch wenn es unser Konzept etwas durcheinander wirft. Muss auch zum Hintergrund sagen, sind bei dem Thema gelandet da es mir schon lange ein Dorn im Auge ist das wir Admins aktuell alle mit einem persönlichen DomainAdmin-User unterwegs sind, der auch für die Clientadministration genutzt wird. Das zu ändern ist für uns die höchste Prio.

 

Ich denke wir können unsere Umgebung aktuell nicht komplett ESAE-konform machen, da fehlen uns die Ressourcen aktuell. 

 

Zurück zum Thema: Werden für jeden Admin einen Jump-Host einrichten, welcher nicht in der Domain ist und entsprechend gehärtet wird, von diesem springen wir dann auf die T-Adminmaschinen. Werden das allerdings mit Win2019 machen. Theoretisch könnten wir die JumpHosts auch auf eigener VM-Hardware installieren, aber das ganze soll auch noch praktikabel sein und im Vergleich zum aktuellen Ist-Stand haben wir dadurch schon einen enormen Sicherheitsgewinn und einen Schritt in die richtige Richtung.

 

Für nächstes Jahr haben wir einige Investitionen im Bereich IT-Security geplant, haben die letzten Jahre hier definitiv viel zu wenig gemacht. Hier werden wir uns auch einen bzw. mehrere Dienstleister ins Haus holen, welche uns auf dem weiteren Weg begleiten werden. 

 

Bis dahin leben wir mit dem Kompromiss und machen das was mit überschaubarem Aufwand umsetzbar ist.

 

 

vor 5 Stunden schrieb v-rtc:

Bei der PAW (ist ja abgesichert) meldet Ihr Euch am besten mit ner SmartCard z.B. an, nach der Anmeldung solltet Ihr in die Dom Admin Gruppe rutschen und beim abmelden wieder raus.

Ist das nicht genau das was verhindert werden soll, nämlich das ich als T1-Admin die DomAdmin-Gruppe Rutsche? Oder verwechselst du PAW mit PAM?

vor 53 Minuten schrieb falkebo:

Das Konzept von Microsoft sieht vor dedizierte PAWs nur für administrative Aufgaben bereitzustellen.
Alternativ "darf" man eine VM in die PAW installieren um normale Office Tätigkeiten durchzuführen, nicht jedoch andersrum.

 

Aber zu deiner Frage direkt, ja ist es.
Ist sogar eine Prüfungsfrage für die 70-744.

Sorry, b***d ausgedrückt. Die PAW läuft nicht auf einer VM auf dem Client, sondern auf unser VMware-Umgebung.

Wenn die Anmeldedaten auf unserem Client gespeichert sind, ist das doch aber wenig zielführend, da ein Angreifer ja sofort Admin-Berechtigung auf alle T1-Server hätte, mal von OTPabgesehen. Wie wäre hier also der korrekte Zugriff?

Hallo,

wir sind aktuell in der Umsetzung diverser Punkte zu ESAE.

 

Angefangen haben wir mit der Umsetzung der Aufteilung der Systeme in die drei Tiergruppen. Wir haben eine recht überschaubare Umgebung mit ca. 350 Usern und ca. 90 Servern in einer VMware-Umgebung.

 

Für den Zugriff auf die drei Gruppen haben wir jeweils einen Windows Server 2019, welchen wir bei Tier 1 und 2 mit der Rolle des RDS installieren, da wir hier mit mehr als zwei gleichzeitigen Usern rechnen, bei T0 hingegen nicht.

Der Zugriff auf die beiden PAWs erfolgt ausschließlich von unseren Clients und mit zusätzlich benötigtem OTP. 
 

Nun zu meiner Frage:

- Wir melden uns auf den beiden PAWs ja direkt mit dem jeweiligen T-Admin per RDP an, wir haben also direkt Adminzugriff auf dem System. Ist das bereits falsch und kritisch bzw werden die rdp-Anmeldedaten auf unserem normalen Client gespeichert und sind somit abgfreifbar?

 

 

Getestet wird doch beim Kunden.

 

Und ich muss nun wieder an den ESXI-Kisten rumbasteln.

Wer lieber mit der PowerCLI arbeitet, hier gibt es ein recht gutes Script für das ganze: https://www.virtuallyghetto.com/2018/01/automating-intel-sighting-remediation-using-powercli-ssh-not-required.html

Nein, ganz andere Branche und ganz andere Ecke von Deutschland.

Danke Heinz, damit kann ich erstmal was anfangen.

 

Werde morgen mal unsere Partner Anfragen, da wir aktuell nen neuen Bandroboter und ne SAN-Erweiterung anschaffen müssen, könnte das mit den Kosten passen, vielleicht gibt es da was passendes.

Also Dedup haben wir schon an, nicht nur auf Datei-, sondern auf Blockebene und das brachte in der Tat ca. 20%. Komprimierung hingegen brachte nicht viel.

 

Natürlich nehmen wir hier nachher Dienstleister ins Boot. Mich interessierte einfach eure Meinung und Erfahrung und ich lese mich gerne in Themen ein um nicht völlig ahnungslos dazustehen.

 

Bin bei Quantum über LTFS gestolpert und was ich hier las klingt sehr interessant und ich denke günstiger als mit Bändern bekomme ich das TB nicht.

 

Ich stelle mir das so vor und so habe ich es im ersten Step verstanden, dass Daten die zB seit vier Jahren nicht genutzt werden automatisch auf Band verschoben werden und wenn dann wieder genutzt wieder ins Primärsystem verschoben.

 

Was ist HSM? Google sagt mir hier Hardware-Sicherheitsmodul aber denke das ist nicht gemeint.

Hallo zusammen,

 

weiss nicht ob ich hier richtig bin, aber wir haben das Problem welches sicherlich nicht unbekannt sein dürfte und viele hier kennen.

 

Unser Fileserver platzt immer und immer wieder aus allen Nähten. Zum Grossteil handelt es sich um Grafik/CAD-Daten, welche auf keinen Fall gelöscht werden können, auch wenn sie schon Jahrelang nicht mehr benutzt wurden.

 

Da wir aktuell auf der Suche nach einer neuen Backuplösung sind, bin ich über die Möglichkeit gestolpert ältere Daten oder gewisse Daten statt auf dem teuren Storage auch auf Bandlaufwerke auszulagern.

 

Hat damit jemand Erfahrung?

 

Lohnt sich das überhaupt schon bei uns? Aktuell haben wir nen Storage (EQL) mit ca. 140 TB Daten und jährliches Wachstum von ca. 20-30TB.

 

Hiervon ist ganz sicher ein Viertel davon Grafiksachen die wie gesagt vielleicht mal wieder benötigt werden.

 

So wie ich das wird anhand des Kriteriums die Datei auf Band verschoben und durch einen Link ersetzt.

 

Erfahrungen wären super!

 

Gruss Lars

Für Gäste: Gäste VLAN

Für normale Gäste klar, es gibt aber Gäste bzw. IT-Dienstleister die Zugriff in unser Netz benötigen. Wie wird sowas realisiert? Fürs WLAN haben wir hier ein Ticketsystem wo die Gäste einen Tagespass bekommen.

 

Für Drucker: unsere können 802.1x wir haben aber einfach feste Druckerports auf den Switchen. Wenn sich da einer einstöpselt kann er die anderen Drucker erreichen, sonst nix.

Ok, das ist einfach, unsere hängen auch in einem eigenen VLAN, somit wäre das auch unkritisch.

 

Für Linux: kann 802.1x. Hier sehe ich das Problem nicht.

Linux und auch Mac können 802.1x, das ist klar. Aber wie realisieren wir das am besten? User und Passwort allein ist nicht wirklich ein Schutz, sonst könnte ein Mitarbeiter seinen privaten Rechner einstecken und authentifiziert sich auch da mit User und Passwort.

Hallo zusammen,

 

um nicht jedem Device das sich an einem unserer Netzwerkports ansteckt Zugriff zu unserem Netzwerk zu geben, haben wir den NAP-Server und unsere Switche entsprechend konfiguriert.

 

Es funktioniert auch soweit, dass unsere Windowsclients nach der Authentifizierung ins passende VLAN kommen und somit Zugriff erhalten.

Nun haben wir aber drei Fälle, bei welchen das leider nicht so einfach geht und wollte mal nachfragen wie hier eure Erfahrungen sind bzw wie wir das am besten realisieren.

 

1.) Geräte wie Drucker, Wie werden die am sinnvollsten hier eingebunden?

2.) Linux und auch Macrechner bei den Clients, wie werden diese eingebunden?

3.) Gästerechner, wir haben diverse Dienstleister oder freie Mitarbeiter die Zugriff auf unser LAN benötigen, aber die Clients natürlich auch nicht in unserer Domäne hängen.

 

Wäre prima wenn ihr mir hier weiterhelfen könntet wie das am besten zu realisieren wäre und was hier Best/Practise ist.

 

Zu 2 und 3 haben wir uns schon überlegt wir könnten die Clients per User/Passwort authentifizieren, aber das wäre teilbar und erscheint uns somit nicht wirklich sicher.

 

Gruß Lars

ist halt auch immer eine Frage wie genau die Anzeigen formuliert sind und nicht zuletzt...wie viel bezahlt wird. Mich persönlich schrecken zB Anzeigen die nur auf den Mindestlohn oder irgendwelche wirren Gehaltstabellen verweisen sofort ab. Von mir verlangt man ja auch das ich konkrete Antworten liefere, sei es beim Bewerbungsprozess oder im Job. Besser finde ich da schon Anzeigen die das Gehalt mit einem Spektrum angeben

 

Es steht in der Anzeige, dass der Gehaltswunsch angegeben werden soll. Und ich wage zu behaupten das es daran bisher nie scheiterte, im Gegenteil, die die da waren sind plötzlich mit ihrem Gehaltswunsch nach unten. Aber wenn sich einer als VMWare-Experte verkauft und beim nachfragen wie seine bisherige Umgebung aussah kommt als Antwort er habe technisch gar nichts damit zu tun gehabt, nur mal vor x Jahren verkauft... naja. 

 

 

Moin,

 

ich schreibe es mal so: es war kalt, es herrschte Sturm, die Fähren lagen fest, es war kein Hotelzimmer in der Region frei; nicht mal mehr ne Badewanne, so ein Hotelportier. Ich verbrachte die Nacht im Rauchfang.

 

Im Südwesten qualifizierte Spezialisten rekrutieren? Ihr werdet wohl schon fast alles versucht haben, ausser den Jobportalen wohl auch Arbeitsagentur, Personalagenuren, meineStadt.de, Anzeigen in regionalen und überregionalen Zeitungen.

 

Abwerben mit höheren Lohnangebot, ob das eine Möglichkeit ist? Ob es unter den Flüchtlingen solche Leute gibt? Oder in Spanien und Portugal?

 

Ob sich die Personalabteilung Gedanken machen muss über die Ausbildung von Fachinformatikern/Softwareentwicklung?

 

Ausbildung war auch von mir schon vorgebracht, da es zu Anfang sicherlich aufhält, aber man weiss was man hat und worauf man sich einlässt. Nichts schlimmeres als gefährliches halbwissen und plötzlich schreien 200 Leute es geht nichts mehr. 

Momentan haben wir von nem Dienstleister regelmässig Unterstützung im Haus, klar könnten wir den abwerben, aber a) haben wir dem Dienstleister versprochen das nicht zu tun und b) wollen wir mit dem Dienstleister auch weiterhin noch arbeiten.

 

Es wurden die Stellen auch an Hochschulen schon gesetzt und aktuell meinte die Personalabteilung wir aus der IT sollen doch mal dort zur Hausmesse und unser Unternehmen bzw. die Stellen verkaufen/präsentieren.

 

Aber ok, dachte ihr sagt vielleicht das kannste alles vergessen da und da bekommst am besten Personal. Werde mal unsere Stellen in regionalen Xing-Gruppen Posten, das wurde von dem Personalvermittler zwar schon gemacht aber natürlich mit dem Link auf die Seite von denen - da würde ich persönlich mich ehrlich gesagt auch nicht bewerben.

Hi Ihr.

 

Ja, im Südwesten, oder allgemein eher im Süden, ist's durchaus schwierig kompetente MA zu finden. Allerdings wird ja auch ein "Junior" gesucht, die Gehaltsvorstellungen des künftigen AGs dürften sich also auch für einen Einäugigen im überschaubaren Bereich befinden.

Habt Ihr denn schon mal versucht einen, oder mehrere, IT-Studenten im job sharing für Euch zu interessieren? Das kann zwar durchaus aufwendig für einen selbst werden aber manchmal lohnt sich das schon. Bei uns ist von fünfen die sich den Job geteilt haben zumindest einer übrig geblieben der darin eine Aufgabe für die nächste Zeit gefunden hat und jetzt, nach seinem Studium, auch eine feste Arbeitsstelle bekommen hat.

Vorteil für beide Seiten: man kennt sich und jede Seite hat eine Vorstellung der Erwartungen.

Nachteile gibt's so eigentlich nicht, außer der Zeit die die Ausbildung der hoffentlich zukünftigen MA erfordert.

 

ciao und 'nen angenehmen Restdienstag

M.

 

Ach ja, insgesamt sind drei von fünf jetzt Mitarbeiter, zweien hat's in anderen Abteilungen durchaus auch gefallen ... .

 

Ich muss sagen es ist bei uns im Hause nicht unüblich, dass über den Weg Praktikant und/oder Werkstudent passendes Personal gefunden wurde, in der IT wollten wir das bisher nicht, sind aber aktuell hier offener. Aber auch hier die Frage: Wie komme ich am besten an die Leute ran? 

 

Hätte nie gedacht das ich als ITler mich mal mit Personalbeschaffung aktiv beschäftigen muss.

Hallo ihr zwei,

 

erstmal danke für die Antworten.

 

Wir suchen im Süden Deutschlands. Ca. 30 km südlich von Stuttgart. Wir suchen aktuell nen Junior IT-Administrator und einen BI-Entwickler. Andere Abteilungen von uns suchen händeringend im Bereich Java-Entwickler was.

 

Wenn Interesse und es ok ist, würde ich auch gerne per PN die Links zu den Stellen zusenden.

 

Gruss Lars

Hallo zusammen,

 

wir suchen schon seit einiger Zeit einen (Junior)Administrator. Die Stelle haben wir in verschiedenen Jobportalen geschaltet, aber da kommt im Grunde nichts rein.

 

Es wird auch schon über eine Personalvermittlungsfirma gesucht, aber auch da ist es eher mau.

 

Wie sind hier eure Erfahrungen? Ist der Markt einfach leer was Administratoren angeht oder ist der Weg über Jobportale der falsche?

 

Danke im voraus.

 

Lars

 

 

Moin Norbert,

hab einige Postfächer verschoben unter anderem die betroffenen mit dem Ergebnis das es heute morgen noch weniger Warnmeldungen waren und auch nur an User in der alten DB.

 

Ebenso habe ich jetzt das Problem, dass wenn ich mir die MailboxStatistics rauslasse die Postfächer die umgezogen wurde zweimal auftauchen. Ist das normal?

 

Gruss Lars

EDIT: OK, warum die Einträge doppelt sind habe ich inzwischen verstanden, liegt am verschieben und das alte Postfach ist als getrenntes vorhanden.

Moin,

 

ok, ich dachte immer mehr DBs benötige ich nur bei grösseren Umgebungen. Aber kein Problem, wenn das empfohlen ist bringt es vielleicht auch Performance.

 

Laufwerk und DB ist erstellt und die ersten User haben bereits ihr neues zuhause.

 

Habe gestern zum testen übrigens bei meinem eigenen Postfach eine individuelle niedrigere Grenze eingestellt. In der Statistik steht mein Postfach auf Warnung, aber eine Meldung vom Exchange habe ich nicht erhalten.

 

Wenn die betroffenen Postfächer umgezogen sind warten wir mal kommende Nacht ab, ob es da zu Warnungsmails kommt.

 

Oder kann ich es irgendwie händisch anstossen das die Postfächer geprüft werden?

 

Gebe bescheid wenn ich was neues habe.

 

Gruss Lars

Ich glaube er meint das bei allen Usern rauslöschen ohne händisch hinzugreifen an jedem Client.

 

So ala GPO.

Haben einen Exchange 2010 im Einsatz und haben bei allen Usern die Speichergrenzwerte (per Postfach-DB-Grenzwert)auf 4500 MB Warnung und 6000 MB Senden verbieten eingestellt.

 

Nun hatte ich heute einen User, welcher nicht mehr senden konnte da das Postfach über 6000 MB hatte. Der User sagte aber er habe noch nie eine Warnmeldung (Ihr Postfach ist voll) bekommen.

 

Per Nachrichtenverfolgung und auswerten der Mailboxstatistik konnte ich ermitteln, dass tatsächlich einige User die auf "IssueWarning" stehen keine solche Mail erhalten.

 

Bei den betroffenen Benutzerpostfächern und auch bei denen die eine solche Warnmeldung jede Nacht erhalten sind keine individuellen Grenzwerteinstellungen hinterlegt.

 

Was mir auffällt alle User die keine Meldungen erhalten wurden im Nachgang verändert, so dass sie durch Heirat einen anderen Nachnamen haben. Das kann ein blöder Zufall sein, vielleicht aber auch der Grund des Problems.

 

Hatte jemand schonmal ähnliche Probleme und kann helfen oder hat Tipps? 

 

 

 

 

 

 

Das mit dem WSUS per SSL klingt sehr gut, mach ich.

 

Vielen Dank euch für die Infos, dann lag ich ja doch nicht so falsch.

Ich wollte mal nach euren Erfahrungen fragen wie ihr mit Servern in der DMZ umgeht? 

 

Bisher haben wir die Server in der DMZ weder in der Domäne drin, noch am WSUS hängen, aber ist das so korrekt?

 

Klar hat unsere Variante den Vorteil, dass ich keine Ports zwischen DMZ und LAN öffnen muss, aber ist das korrekt wenn ich an solche Dinge denke wie GPOs, WSUS, AV...?

 

Habe viel gegoogelt aber widersprüchliche Aussagen gefunden, habe auch ein Whitepaper von MS gefunden, in welchem empfohlen wird die Server in der DMZ in die Domäne aufzunehmen.

 

Wie geht ihr hier um bzgl. dem Thema?

Hallo zusammen,

 

wir haben Exchange 2010 im Einsatz mit Outlook 2010 bei den Clients.

 

Seit kurzem haben wir unsere Besprechungszimmer im Exchange korrekt angelegt und auch eine Raumgruppe erstellt.

 

Wenn ich nun beim Client eine neue Besprechung erstelle und bei der Raumliste meine Raumgruppe anlege, bleibt die Liste "Verfügbaren Raum auswählen" bei vielen leer.

 

Wenn ich bei dem Client den Cached-Modus bei dem Exchangekonto deaktiviere funktioniert dies immer korrekt.

 

Kann mir jemand helfen wie ich dieses Problem gelöst bekomme?

 

Vielen Dank im voraus.

 

 

OK, dann danke ich euch mal für eure Hinweise.