Dukel

Schriebe die Daten regelmäßig weg (Datei, Datenbank, ...) und greife mit dem nicht-Admin-User auf diese Daten zu.

Alles User werden per AD Connect Synchronisiert. Bei denen, die extra MFA nutzen sollen weist du die P1 Lizenz zu, bei dem Rest nicht.

Es gibt keinen Kostenfreien und kostenlosen Sync. Der Sync und die Lizenz sind zwei verschiedene Dinge.

Ich kenne jetzt den Azure AD Premium Plan nicht so genau.

Aber dieser Synchronisiert doch die Benutzer nicht. Du synchronisierst alle Benutzer mit AD Connect und weist denen einen Lizenz zu, die Azure AD Premium nutzen sollen.

vor 3 Stunden schrieb bluelight:

Aber warum sollte die denn Dicht machen? Dann könnte ja niemand dort ein AD Hosten. Ich weiß aber, dass es dort welche tun. Über ein VPN würde sich das ja realisieren lassen - ich weiß nur nicht wie.

Es macht es nicht besser, wenn andere es auch tun.

Azure AD ist etwas anderes, das ist darauf angelegt aus dem Internet erreichbar zu sein. Ein OnPrem AD gehört ins eigene Netz. Wenn man dies via VPN auf einen Provider erweitert ist ok, aber nicht ungesichert ins Internet.

vor 20 Minuten schrieb da4id:

Fachmännische Einschätzungen zum Sicherheitsstatus der Firmendomain würden mich natürlich weiterhin interessieren.

Das kann dir nur deine Firma geben. Wir können die Policy deiner Firma nicht nennen.

Es gibt noch die Möglichkeit des neu-packens.

Hier wird der Diff zwischen vor und nach der Installation gemessen. Da kommt dann heraus, welche Dateien und welche Registry Einträge gesetzt werden.

Würde die anderen Möglichkeiten davor aber präferieren.

Kann man sich evtl. irgendwo einen Server leihen / mieten? Gibt es einen Performanten PC, den man als Interims Server nutzen kann?

Dann würde ich das mit einem Interims Server machen. Sprich die neue Umgebung auf dieser Maschine aufsetzen. Daten migrieren. Den eigentlichen Server neu installieren und dann die VM's umziehen (kopieren) oder eine weitere Migration durchführen.

vor 33 Minuten schrieb ed_22:

• 
• 
• 

ich habe mich ein wenig in Powershell versucht.

Jetzt kannst du dich im Debugging versuchen.

Geh dein Script Zeilenweise durch und schaue, was in jeder Variable steht.

vor 14 Stunden schrieb Greytastic:

Jetzt habe ich das nächste Problem. Mein Domaincontroller in der cloud ist der einzige mit einer öffentliche IP. Mein 2. DC, sowie der RDS sind im privaten Netz mit ihm verbunden. Wie können die beiden nun eine Internetverbindung bekommen?

Ich hoffe auf dem Strato Server läuft kein DC und als VM's die anderen Server? Wieso muss die Schulungsumgebung bei Strato laufen und nicht on Prem?

vor 2 Stunden schrieb da4id:

In diesem speziellen Fall ist BYOD die zentrale Randbedingung aufgrund des speziell konfigurierten PCs.

Jemand konfiguriert private PC's ganze speziell, damit diese in der Firma genutzt werden?

V2P (Sprich das OS der VM auf den Pysikalischen Rechner) oder V2V (Sprich VMWare auf Server nach VMWare auf PC)?

Ich bin kein Freund davon sondern würde eher sauber neu installieren. Was ist denn der Aufwand der Installation und Konfiuration der Software? Kann man die Konfiguration sichern und wiederherstellen?

Ein Ticketsystem.

Wenn du Authentifiziert senden magst, dein Connector aber nur Anonym zu lässt, kann das nicht gehen.

Man muss immer unterscheiden:

Empfänger intern -> Kein Problem (wenn nichts verstellt wurde)

Empfänger extern -> Hier gibt es noch eine unterscheidung:

   Per Authentifizierung senden -> Kein Problem (wenn nichts verstellt wurde)

   Kann nur Anonym senden -> Hier benötigt man einen Relaying Receive Connector und grenzt das auf die Systeme ein, die Mails verschicken müssen

Hier gibt es einen Anhaltspunkt vom Bundesamt für Informationstechnologie:

https://www.yumpu.com/de/document/view/20554818/gestaltung-von-energieeffizienten-serverraumen-bit-bundde

Auf Seite 15 Klasse B:

Zitat

Raumgröße: 14-18 qm

Anzahl Racks: 4-8

EDIT: Auf Seite 18 gibt es eine Beschreibung der Größe -> pro Rack 2,4 qm

Oder wie am Anfang gesagt. Ein IDM.

EDIT:

Hier das ganze als Demo:

C:\Temp\test.txt:

user;gruppen
user1;gruppe1,gruppe2,gruppe3
user2;gruppe2,gruppe3
user3;gruppe1,gruppe4

Und das passende Script dazu:

$users = Get-Content C:\Temp\test.txt|ConvertFrom-Csv -Delimiter ';'
foreach($user in $users){
   foreach($group in $user.gruppen -split ','){
      "Add $($user.user) in $group"
   }
}

Wenn man das wirklich mit einem Script umsetzen möchte, dann würde ich die Gruppen in einem Array verwursteln:

user;gruppen

user;gruppe1,gruppe2,gruppe3

vor 2 Minuten schrieb BlacksGood:

• 
• 

Ich finde das Ganze jedoch äußerst unelegand und frage mich, ob es da eine schönere Lösung gibt?

Ein IDM (Identity Management) System.

"Gescheite" Installer erstellen die Firewall Freischaltungen bei dem Setup.

Außerdem, nochmal: Wenn du das Programm immer im gleichen Pfad (Ohne Version) installierst, hast du das Problem ja nicht.

Wie wäre es mit der Freischaltung des Ports und nicht des Programms?

Wie wäre es "manuell" das Programm immer im selben Ordner installieren?

Hier gibt's nur eines zu sagen: Hä?

Kannst du das einmal aufmalen?

Wenn du unterschiedliche Netze hast und diese sich "sehen" sollen, dann brauchst du einen Router (nein, kein Internet-Nat-Gateway).

Ich stelle mir ein System wie folgt vor:

Kiosk PC (es ist immer ein Kiosk User angemeldet)

Internet über einen Proxy, welcher sich via Kerberos Authentifiziert (sprich die Benutzer geben Ihre ID und Passwort ein).

Dieser sollte aber ein Timeout haben (wie bei WLan Vouchern, die eine gewisse Zeit gültig sind) und beim beenden des Browsers soll auch die Authentifizirung ungültig werden.

Eine Möglichkeit wäre ein Kiosk Modus und beim Internet Zugriff wird über das vohandene System Authentifiziert.

Es kommt darauf an, was dieser Kerberos Server ist. Ist das ein Samba (4)? Ist das nur Kerberos?

Kerberos ist für sich nur ein Auth. Dienst. Dahinter braucht es eine (zentrale) Benutzerdatenbank.