Dukel

Willst du dass die Clients ins Internet dürfen? Im ersten entwurf müsste das über den Server gehen und das will man nicht. Im Zweiten Entwurf kannst du auch noch einen Switch daszwischen hängen. Bei mehr Rechnern gehen irgendwann die Ports des Routers aus. [Internet]---[Router]---[Switch]===PC's, Server,...

Wenn man es komplett durchzieht gibt es Admin Maschinen (PC's, Terminalsserver/Jump Server) die für eine Zone zuständig sind. Diese werden speziell abgesichert (TPM, Credential Guard). https://www.heise.de/select/ix/2016/12/1480756032454180 https://www.heise.de/select/ix/2016/12/1480768282398094 EDIT: Es gehören noch mehr Komponenten dazu. Netzwerktechnisch sollten die Zonen auch getrennt werden (VLans).

Fun Fact: The swimming pool on the Titanic is still full.

When I wrote this code, only god and I understood what it does.... Now, only god knows.

Machen die Administratoren alles (Clients, Server und AD)? Dann gibt es vier Accounts für jeden Admin (mit Unterschiedlichen Passwörtern!). Einen normalen User, einen AD Admin, einen Server Admin und einen Client Admin. Was für Programme waren denn auf den Servern offen? Die Verwaltungstools der Dienste?

Entweder zwei Raids oder die SSD's als Cache für die HDD's (z.B. mit Storage Spaces). Für letzteres hätte man aber nicht so große SSD's benötigt. Raid 0 möchtest du nicht, außer du hast Temporäre Daten, auf die du ggf. verzichten kannst.

Oder unwissenheit.

Wie wäre es mit einem Beispiel (das kannst du am einfachsten auch mal nachstellen). Du hast eine GPO mit den Default Sicherheitseinstellungen (Auth. User darf lesen/übernehmen). Wenn du diese GPO irgendwohin verlinkst dann greift das für alle User bzw. Computer in der OU und untergeordneten OUs. Wenn du in dieser GPO drei Laufwerks Mappings erstellst und das Mapping 1 mittels Zielgruppenadressierung der Gruppe1 (niemals User berechtigen! Immer nur Gruppen!) Rechte vergibst und Mapping 2 der Gruppe2 und Mapping 3 ohne Zielgruppenadressierung, dann bekommt ein User, der in Gruppe1 ist, das erste Mapping zu gewiesen, ein User in Gruppe2 das zweite Mapping und alle Benutzer (egal ob in Gruppe 1 oder 2 oder in keiner) das dritte Mapping.

Ja sollte so sein. EDIT: Ausführlich. Siehe Norbert

Wenn man die Zielgruppenadressierung nutzt sollte man die Sicherheitsfilterung auf Default lassen, dass die GPO von allem gelesen werden kann.

Du kannst in einer GPO mehrere Elemente verwalten (z.B. mehrere Shares oder mehrere Drucker) und mit der Zielgruppenaddressierung kannst du jedes einzelne Element berechtigen und mit der Sicherheitsfilterung nur das komplett ganze. D.h. bei 20 Shares, die für unterschiedliche Gruppen gelten bräuchtest du 20 GPOs mit der Sicherheitsfilterung oder eine GPO mit 20 Einträgen und jede ist anders berechtigt.

Jedes potentielle Ziel ist Wertvoll. Nicht unbedingt wegen der Daten aber z.B. als Ablage für Illegale Daten, als Bot für ein Botnetz,... Solange man einen Dienst (RDP) anbietet muss man ein Loch in die Firewall machen (sonst funktioniert der Dienst ja nicht) und es ist dann nicht mehr nur ein Thema für die Firewall. Es kommt auf die Anwendung an. Testweise kannst du die vorhandene DB einschränken, dass nur eine CPU und 1 GB Ram genutzt werden und prüfen ob es dann langsamer wird bzw. wie viel langsamer. Gerade die Cores nutzen nur etwas, wenn die Queries paralellisierbar sind und bei einem Benutzer gehe ich nicht davon aus, dass die DB langsam wird. EDIT: Es sind vier Cores die genutzt werden können (außer der Server hat 4 CPUs mit je zwei Kernen):

Evtl. das ganze auch auf dem eigenen Laptop laufen lassen, dann benötigt man kein Remote Desktop.

Bei allen Bandlaufwerken, die ich kenne, braucht man etwas phyischen Druck damit das Band eingezogen wird. Wie soll das mit Software gehen? Bei den Umngebungen, die Bänder nutzen, sind meist so groß, dass sich eine Library lohnt. Dort hat man viele Probleme nicht, die mit Single Tape Laufwerken bestehen. Dort gibt es auch diesen Pysischen Schubs.

Wie soll Software physikalischen Druck von außen geben? Wie wäre es mit einer kleinen Library?

Nein! Die CALs sind für dich und nicht für den Server. Eine Windows CAL (Client Access Lizenz) damit du auf den Windows Server zugreifen darfst, eine RDS CAL damit du auf die RDS Funktion zugreifen darfst und eine SQL CAL, damit du auf den SQL Server zugreifen darfst.

Wenn du ein User hast aber mehrere Geräte (oder ist das der selbe Laptop, dann wäre es egal, bei weiteren Geräten kämen dann aber weitere CALs hinzu) lohnen sich User Cals. D.h. neben der Windows Server und SQL Server Lizenz brauchst du eine Windows User CAL, einen RDS User CAL und einen SQL Server User CAL.

Wieviel Benutzer greifen denn über wieviele Geräte auf das CRM zu? Hast du auch Windows CALs schon? Technische Frage: Wieso SQL2014 und Windows Server 2012? Wieso nichts aktuelleres?

Wenn deine Applikation so funktioniert, dann ist alles richtig.

Ich würde eine Umleitung erstellen. Damit alles von / nach /Anwendung umgeleitet wird.

Wieso gehst du dann nicht gleich noch einen Schritt weiter und schiebst die Komplette Umgebung in der Cloud? Dann sparst du noch mehr Geld für eigene Hardware.

Jeder hat andere Erfahrungen und zum Schluss gibt es keinen Hersteller, der keine Probleme hat. Das hilft dem TO auch nicht weiter. Ich würde schauen, bei welchem Hersteller ich Erfahrung habe und ich evtl. irgendwelche Tools schon im Einsatz sind.

Wieso einen 2012 hineinholen?

Dafür gibt es (Zwei-)Mehr-faktor Authentifizierung. D.h. neben dem Fingerabdruck kommt noch ein zweiter (evtl. nicht so komplexer) Faktor wie z.B. eine vier-stellige Pin dazu. Hier reicht dann der Fingerabdruck auf dem Glass nicht und ein Pin ist evtl. einfacher zu merken als ein 16 Stelliges Passwort.

Du meinst RDS Cals? Solange alle Nutzer (oder Geräte) Lizenziert sind werden keine weiteren Cals nutwendig sein.