Jump to content

RobDust

Members
  • Gesamte Inhalte

    602
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von RobDust

  1. Moin Moin. Wir überlegen in einer neuen IT Umgebung Servergespeicherte Profile einzusetzen. (Ca. 15 User) . Welche Methode kann ich verwenden um bei Ausfall des Servers, auf einen anderen Server „zu zeigen?“ und wie bekomme eine vernünftige „Spiegelung/Replikation“ der Profile auf eine andere Maschine? (Robocopy? Im bestimmten Intervallen?/ oder lieber Dfsr? Was was ist wenn man bei einem totalausfall die/der Server mit den Profilen nicht erreichbar ist? Kann man sich dann überhaupt noch am Client anmelden? Oder sieht man dann halt einen leeren Desktop z.b.?
  2. Moin, hab vorhin mal ein paar Änderungen in der Default Domain policy gemacht. Client meldet an, und übernimmt diese auch! Wunderbar Server 2016 Nun will ich aber nicht in der Default Domain policy rumpfuschen... also habe ich stattdessen auf die OE (in der auch die User sind) gecklickt und hier eine neue GPO erstellt... In dieser mal ganz andere Einstellungen getroffen, um sicher zu sein, dass diese auch übernommen werden. Nun leider erhält der Client diese Eintstellungen nicht :-( was habe ich übersehen?
  3. Moin, wir würden gerne, dass bestimmte Mitarbeiter in Zukunft mit sensiblen Dateien ("z.B. von Netzlaufwerken") arbeiten, welche andere Mitarbeiter nicht zugreifen dürfen. Folgende Konstellation ist gegeben. 2 x DC 2019 für die Anmeldung und Rechte, 1 x Fileserver 2019 mit Freigaben und mehrere W10 Clients. Nun ist es aber so, dass sich ja durch die Domäne mehrere Mitarbeiter am selben Client anmelden können (und auch sollen), für den Fall, dass mal der eigene PC ausfällt oder einfach aus praktischen Gründen weil man auf andere physikalische Dinge in dem Büro zugreifen soll. Folgende Befürchtung wie man trotzdem an die sensiblen Dateien (z.B. von Netzlaufwerken) kommen könnte: (ja wir unterstellen jetzt mal kriminelle Handlungen, und Verstöße gegen Firmenrichtlinien, da tatsächlich schon mal vorgekommen)... -mittels Keylogger als Dienst auslesen vom Anmelde Passwort des anderen Mitarbeiters -robocopyscript in Dauerschleife, welcher im Hintergrund Ort von A nach B kopiert -"z.B. von Netzlaufwerken" kann auch ein anderer Speicherort sein... Das Ganze soll eine Art Brainstorming sein. Ich sehe im Moment noch zu viele "Gefahren", wenn mehrere Mitarbeiter an einem PC arbeiten, wenn jemand auf sensible Dateien zugreifen muss. Wie seht ihr das? Kann man sich schützen? Habt ihr Ideen? Das Ganze ganz anders angehen?
  4. Denkblockade bei Gruppenrichtlinien

    aaah okay ja jetzt dämmerts so langsam ^^ Das heißt ich muss noch ne OE erstellen und alle Pcs reinschubsen? Und dann dort eine GPO definieren, mit den benötigten Einstellungen? Aktuell sind wohl alle Pcs im "Computers" Container :Default container for upgraded computer accounts. So seh ich das in der AD, diese "OE" seh ich aber nicht in der Gruppenrichtlinienverwaltung. Ok- Das wars nun ist die Richtlinie auf den PC angewendet. Danke dir. Seltsam, dass die von mir definierte Firewall-Regel nun 2 mal erscheint?. ... ist aber anscheinend nicht schlimm, es funktioniert wie gewünscht ----------------- Mal aber eine andere Frage: Wenn ich nun Einstellungen in der Default Domain Policy gemacht habe. (z.B. Passwortkomplexität) Aber auf die User OE und Computer OE eine GPOs zugeordnet ist, in der das o.g. "nicht definiert" ist. Wir dann die (z.B. Passwortkomplexität) wieder auf "nicht definiert" gesetzt? In der Vererbung Sieht die Reihenfolge auf der Computer OE so aus: (Beide aktiviert) 1 "Meine neue GPO" 2 "Default Domain Policy" Das Anwenden von "Meine neue GPO" klappt so. / Oder mischen sich dann beide?
  5. Denkblockade bei Gruppenrichtlinien

    ""Vermutung: Du hast im neuen GPO keine Nutzer sondern Computerrichtlinien definiert."""<- ja das ist richtig. Die benötigten Firewalleinstellungen habe ich nur dort gefunden. Aber Änderungen in der Computerrichtlinien, in der Default Domain policy, haben beim User gewirkt. """Du hast die Übernahme auf User eingeschränkt""" <- die OE besteht nur aus Usern, kann das deshalb sein? und vergessen den Computerkonten den Lesezugriff zu gewähren. ? Könnte sein, wo kann ich das prüfen?
  6. Gut gut. Dann werden wir das so machen. Zurück dann zur ausgangsfrage... wie sicher ich das ganze ab, dass bei Ausfall vom Server die Profile zur Verfügung stehen? Das ganze muss nicht real Time sein. Und wenn ich händisch dran muss ist auch okay. Ich stell mir grad jetzt vor das ein „z.b. Robocopy script“ die Ordner von Server A nach B mehrfach am Tag kopiert. Und wenn Server A ausfällt, dann stellen wir händisch um, auf Server b. Also ganz grob gesprochen
  7. Damit die Dateien auf den Clients Geschütz sind. Wenn z.b. Jemand etwas auf dem Desktop hat zum bearbeiten. Und zweitens beim Ausfall eines Clients man sich umsetzen kann an andere Hardware.
  8. alt und bewährt manchmal? . Laut Firmenrichtlinien und App locker sollen gar keine Apps installiert werden... (und mittels GPOs auch keine anderen Programme) gibts noch mehr was dagegen spricht außer Apps?
  9. Oh okay. Welche Art von Problemen? Okay, dass heißt du leitest z.b. Nur eigene Dateien und den Desktop um?
  10. Geht das mittels VLan im Switch? Also aus 2x 1 gigabit dann 2gigabit insgesamt machen?
  11. @lefg ja witziger Weise ging mir das auch durch den Kopf.
  12. Hättest du auch noch im Hinterkopf, in welchen Szenarien sich das positiv auswirkt?
  13. Das wird später ein Server 2019 und w10 da sollte smb3 laufen ...
  14. Okay Okay @NilsK Lässt den normale Dateiübertragung Parallelisierung zu? , im Moment ziehe ich eine große Datei mit ca. 103mb pro Sekunde in unserem Gigabit Netzwerk. Angenommen ein anderer Mitarbeiter zieht nun gleichzeitig eine zweite Datei, dann würde der Speed bei einer NIC auf ca. 50% fallen.... durch das Teaming stell ich mir jetzt aber vor, dass beide Mitarbeiter mit ca. 103mb pro Sekunde ihre Datei gleichzeitig ziehen können.
  15. Angenommen, ich habe an Port1 die 192.168.0.1 und am zweiten Lan Port die 192.168.0.2, bekommt das Team dann eine neue Adresse? Also z.B. 192.168.0.x oder kann ich die vom Lan1 übernehmen? (Port1 die 192.168.0.1)
  16. okay, ja .... hab mir mal das Teaming angeschaut, ist anscheinend im Server 2012 usw. schon eingebaut.
  17. ... die Aktion hat ein Kunde vor.... was genau spricht dagegen? Hab immer wieder was von wegen der Sicherheit gelesen. Aus Sicherheitsgründen und so. Okay aber was genau`? Kann ich die User nicht mittels GOPs einschränken? Wird doch eh gemacht?
  18. Geschäftsgeheimnisse ja. Daten, welche für die Konkurrenz / Mitbewerber auf dem Markt interessant sein könnten...
  19. Wurde wurde. Und wenn man diese abschließen (Restriktion auf USB) würde und vernünftige app restrictionen und so weiter einrichten würde, könnte es klappen. Aber Terminalserver nicht vorhanden, Clients auch nicht. Daher ist der Aufwand (Kosten) geringer dem Mitarbeiter nur einen kleinen günstigen Lapi für sensible Arbeiten hinzustellen, an dem andere Mitarbeiter nichts zu suchen haben und dieser im Anschluss in den Tresor oder an einen anderen sicheren Ort wandert. Bei einer Neuplanung einer IT Umgebung könnte deine Idee durchaus in Erwähnung gezogen werden. Danke Danke für eure Ideen!
  20. Doch doch bekommt er auch und der Raum wird abgeschlossen. Nach den ganzen Möglichkeit die wir hier im Brainstorming erarbeitet haben, is mir das auch viel zu gefährlich 2 Leute an einer Hardware arbeiten zu lassen (wenn einer sensible Daten hat) zumindest ist es weniger aufwendig beide physikalisch zu trennen. Pcs können hier in dem Fall nicht in irgendwelche Kästen gesperrt werden. USB wird für diverse Hardware lese und Programmiergeräte benötigt... Grundsätzlich könnte aber eine sensible Trennung evt. mit viel Aufwand erreicht werden.
  21. @NorbertFe Bin ich absolut bei dir. und wenn der Aufwand zu groß oder doch zu unsicher ist, bekommt halt jeder seine eigene Hardware (sei es Thin client oder PC) im abschließbaren Büro. Und ja natürlich kann auch ein Türschloß geknackt werden. Das fällt aber unserer Einschätzung nach mehr auf, als wenn ein klitzekleiner schwarzer Kasten mal ebend an dem PC gesteckt wird, während man alle Zeit der Welt hat.... ... Wobei physikalischen Zugriff auf USB verhindern (Abschließen des PCs) - kommt man mit Hardwarekeyloggern nicht weiter + Verschlüsselung TPM (kommt man mit hinzufügen von lokalen Konten nicht weiter) Applocker und Software Restriction Policies, damit keine Softwarekeylloger gestartet werden dürfen... könnte in Kombination funktionieren.
  22. Bei Thin Clients wäre die Gefahr, dass jemand nen Hardwarekeylogger zwischen Tastatur und USB Port packt. Die Teile laufen unsichtbar auf Hardware Ebene ohne Software / Treiber haben nen Akku und Zeichnen alles mit Datum auf. Hab mir grad paar Modelle angesehen -> wie du dann mit den Infos aus dem Teil weiterkommst sollte klar sein. Versorge dich gerne via PM mit nem Link. Will nicht gegen die Forenrichtlinen verstoßen, sondern ernsthaft der Frage nachgehen ob 2 Personen sicher getrennt voneinander an ein und dem selben "Arbeitsplatz mit der selben Hardware" arbeiten können. Sehe im Moment noch zu viele Gefahren. Nochmal: (ja wir unterstellen jetzt mal kriminelle Handlungen, und Verstöße gegen Firmenrichtlinien, da tatsächlich schon mal vorgekommen)... Und ja " Dann müssen natürlich alle Personen, die das Haus betreten, durchsucht, durchleuchtet und hochnotpeinlich befragt werden..." gibt es in gewissen Bereichen. Musste selber schon mal durch so ne "Schleuse" und meine Taschen leeren. Rechenzentren wo ich die Namen jetzt aus Datenschutzgründen nicht nennen werde. -ergänze zu deiner Aufzählung noch nen Metalldetektor.
  23. Ne Ne "Tja wie du siehst, kann man nicht "einfach mal machen"" ... habe ich schon gemerkt Hatten schon in der Firma großes Brainstorming. Wollte mir hier noch andere Ideen holen.
×