monstermania

@Dirk-HH-83 Hallo Namensvetter, ich hatte vor einigen Jahren mal hier ein entsprechendes Tool vorgestellt (Freeware): Wir nutzen das Tool immer noch. Funktioniert auch problemlos auf Windows 2019 Server. Gruß Dirk

Tja, diese Frage kannst wohl nur Du beantworten, da keiner von uns Eure Anforderungen kennt. Das ist grundsätzlich immer eine Entscheidung zwischen 'Einfacher' und 'Sicherer'. Wenn Du das jeweilige WLAN direkt in das Netz schaltest ist es halt einfacher zu konfigurieren. Aber, wenn dann Jemand das WLAN hackt, hängt er dann auch komplett im jeweiligen Netz und alle alles Zugriffsmöglichkeiten. Wenn Du die WLAN über die FW in die jewiligen Netze hängst hast Du halt über die FW noch Möglichkeiten die Zugriffe auf bestimmte Ressourcen zu beschränken. Mehr Aufwand, aber eben auch mehr Sicherheit. Gruß Dirk

Menno, was Citrix in letzter Zeit abliefert ist echt nur noch Grotte... Seit 1911LTSB haben wir massive Probleme mit USB-Sticks und Druckern. Die werden teilweise erst nach einem Neustart mit gestecktem USB-Device erkannt. 1912 läuft jetzt seit einigen Tagen bei uns im Test. Aber das USB-Problem scheint immer noch nicht vollständig gefixt zu sein.

Wir haben > 100 Standorte. Jeder davon hat einen eigenen Server (Distribution Point). Der WSUS läuft auf dem CM-Server. Die jeweiligen Windows-Updates werden monatlich auf unserem CM-Server paketiert und als Paket an die verschieden Update-Gruppen in Wellen mit einigen Tagen Versatz ausgerollt (Admin-PC, Zentrale, Pilot-Standort, Alle). Auf den DP Standortservern ist kein WSUS installiert. Windows 10-Funktionsupdates werden bei uns nicht per Updatefunktion bereit gestellt, sondern per Upgrade-Taskseqeunz. (z.B. https://www.anoopcnair.com/windows-10-1909-upgrade-sccm-task-sequence/). Vorteil ist u.E., dass man viel mehr Möglichkeiten hat in den Upgrade-Prozess einzugreifen (z.B. Bereitstellung der aktuellen HW-Treiber, Applikationsmanagement, CI-Anpassungen, usw.). Dazu kommt dass wir eine angepasste image.wim verteilen (ohne diverse Apps.) und nicht das Windows-Standard-Image. Läuft dann so, dass wir die TS für das Wochenende zuweisen und die Rechner per WOL aufwecken und dann die Upgrade-TS durchläuft. Auch die Upgrade-TS rollen wir in Wellen aus, so dass wir im Problemfall noch Anpassungen an der TS vornehmen könn(t)en. Ist aber bisher nicht vorgekommen, da wir die Upgrade-TS vor dem ausrollen intensiv testen.

Hmm, dafür braucht man gar keine Skriptsprache, wenn man eine Softwareverteilung im Unternehmen nutzt!

Immer die leidige Diskussion... Kauft Ihr Eure Hardware auch bei Vitali von der Rampe!? Ist ja schließlich auch Neuware "mit lebenslange Garantie". Mal im Ernst, wenn Jemand Euch einen neuen PC für 30% vom Listenpreis anbietet würdet ihr natürlich sofort stutzen. Bei Software-Lizenzen mit (häufig schwammigen Lizenzbedingungen) bricht hingegen sofort das "Geizfieber" aus. Im Firmenumfeld, wäre mir die Unsicherheit schlicht zu groß. Und was Lizenzgo verspricht mag ja toll klingen, ist aber ungefähr genau soviel Wert, wie der Gutschein, den uns unser Reiseveranstalter jetzt für den geplatzten Urlaub anbietet. Im Zweifel meldet das Unternehmen mal eben Insolvenz an, und Du kannst sehen wo Du bleibst! Bei einer SB-Lzenz hast Du nicht nur einen dubiosen Lizenzcode, sondern etwas handfestes.

Sorry, aber ich bin seit 2013 nicht mehr als DL unterwegs und supporte daher nur noch Intern für meinen Arbeitgeber! Grundsätzlich sollte es aber auch kein Problem sein, hier im Forum einen kompetenten Ansprechpartner bzw. DL zu finden. Und nein, nicht jedes Systemhaus ist schlecht! Ich habe z.B. immer sehr gute Erfahrungen mit Bechtle gemacht. Ich sehe das Problem eher darin, dass man als DL 'mal eben' was machen soll, ohne die Kundenumgebung überhaupt zu kennen. Und wenn es dann schief geht, ist natürlich der DL schuld! Das war einer der Gründe, warum ich seid 2013 wieder als fester Admin arbeite. Da weiß ich wenigstens, wer im Zweifel die Schuld hat, wenn es nicht funktioniert!

Ja, wenn Alles sauber konfiguriert wurde (DNS, MX-Einträge, Autodiscover) und der Exchange auch sauber konfiguriert und gepatcht ist, ist das installieren des Zertifikats eine Kleinigkeit. Wer so etwas macht? Jedes Systemhaus, dass auch Exchange-Support anbietet, sollte das im Schlaf beherrschen. Was das kostet!? Gute Frage. Ich habe schon so dermaßen verbastelte Umgebungen vorgefunden, dass ich für nix, was ich nicht selbst gemacht habe die Hand ins Feuer lege! Wenn Alles sauber ist, läuft das Ganze in wenigen Minuten erledigt. So schwer ist das auch gar nicht.

Hmm, viel Text, aber wenig Aussage. Entweder ein Zertifikat kaufen oder kostenloses Zertifikat von Let's Encrypt nutzen. Mit dem Certificate Assistant klappt das super mit Let's Encrypt: https://www.frankysweb.de/certificate-assistant-neue-version/ Gruß Dirk

Es stand da was von "Privat Surfen wird bei uns geduldet solange man es nicht übertreibt". So wird es wohl bei vielen Unternehmen sein (auch bei uns). Rein rechtlich haben wir natürlich eine entsprechende Betriebsvereinbarung im Unternehmen, die eine private Nutzung des Internets/Telefons/Mailsystems verbietet! Nur, wen man das wirklich strickt überwachen bzw. handhaben würde, hätten wohl fast alle Kollegen schon eine Abmahnung erhalten müssen.

Ja, aber warum muss man dafür einen Fred im Forum eröffnen, wenn ein simples suchen nach "gpo bildschirmsperre" bei google ungefähr 100 Treffer liefert! justmy2cents

Ach so, zukünftig muss man alle Mitarbeiter vorab darüber informieren, dass die Sicherheit im Unternehmen erhöht wird!? Ich glaube, dass es für die Mitarbeiter nach wie vor sicherer ist, wenn Sie Ihre Bankgeschäfte in der Firma machen. Bei uns jedenfalls sind zumindest alle PC gepatcht und der Internetzugriff ist reglementiert. Und hier habe ich kein schlechtes Gefühl, obwohl auch der SSL-Traffic überwacht wird! Wenn ich mal bei Bekannten privat zu Besuch bin, wird mir größtenteils schlecht, wie mit Sicherheit umgegangen wird! Da bekommt jeder Besucher mal fix den WLAN-Schlüssel (GastWLAN was ist das denn!?). Von den Kiddies mal ganz zu schweigen...

Moin, ich würde es mal mit rsync bzw. cwRsync (Windows) versuchen. https://www.itefix.net/cwrsync Gruß Dirk

Wie so häufig bei Lizenzen handelt es sich um eine reine "Papiersache". Technisch aktiviert wird da nix. Du bzw. das Unternehmen muss halt bei einem Lizenzaudit nachweisen, dass Du ordnungsgemäß lizenziert bist bzw. Ihr die Software gemäß der Lizenzierung genutzt habt (z.B. durch Log-Dateien). Und dabei immer auch an die User/Device-CAL denken!

Eine einfache/günstige Lösung wäre z.B. die Anschaffung eines Mikrotik Routerboards (z.b. https://www.omg.de/mikrotik/routerboard/router/mikrotik-routerboard-hex-rb750gr3/a-14232/). Den schaltest Du dann hinter Deinen Kabelrouter und trennst damit die Netzwerke. Allerdings ist die Lernkurve bei Mikrotik RouterOS nicht ohne. Es gibt aber recht gute Tutorials dafür. Vorteil wäre, dass Du vom Kabelrouter komplett die Finger lassen kannst. Handelt sich wahrscheinlich eh um ein Providergerät, über das Du nicht komplett die Kontrolle hast.