cj_berlin

Moin, aus Deiner Ausführung ist noch nicht klar, ob die Bedrohungslage ("wie anfällig ist die konkrete Infrastruktur in der konkreten Branche/Umsatzklasse am konkreten Standort für zukünftige Angriffe?") oder der Bereitschaftsgrad ("wie robust sind die IT-Management-Prozesse und die IT-Infrastruktur darunter gegenüber möglichen Sicherheitsvorfällen?") gemessen werden soll. Ob die Kennzahl das eine, das andere oder die Kombination daraus abbilden soll, entscheidet darüber, welche Einzelindikatoren in welcher Gewichtung zu verwenden sind.

Moin, standardmäßig ist es so ("darf", "möglich" usw. sind technisch, nicht organisatorisch zu verstehen!): niemand (mit Ausnahme des Besitzers) darf in den Kalender einer Ressource direkt schreiben Buchung der Ressource ist nur durch eine Buchungsanfrage möglich. Die Anfrage wird von der Ressource abgelehnt, wenn mehr als X% der Termin-Instanzen mit bereits gebuchten Terminen kollidieren. Es kann eingestellt werden, ob die Ressource freie Termine sofort bestätigt oder an den Moderator weitergibt, der sie dann bestätigt oder ablehnt. Es können Benutzergruppen ("In-Policy") die kollidierende Termine überbuchen dürfen. Der ursprüngliche Termin wird dabei von der Ressource aber nicht abgelehnt. Insofern dürfte der von Dir geschilderte Fall mit Standard-Einstellungen nicht vorkommen. Wenn Du Benutzern das Schreibrecht auf den Kalender der Ressource gibst, können sie eben dort schreiben, löschen usw. Nimm ihnen die Rechte weg, und das Problem ist gelöst.

Dann fehlt Dir jetzt eine schließende Klammer am Ende

For the record: es ist tatsächlich möglich, einen User anzulegen, dessen sAMAccountName ^ ist Das werde ich mir jetzt beim Kunden immer wünschen

Was bedeutet ein Hütchen denn in LDAP? Und ja, bei den Klammern muss ja immer die Anzahl der Öffnenden gleich der Anzahl der Schließenden sein...

Das hilft alles nichts. Admin ist Admin. Sobald jemand, der nicht als Admin verpflichtet wurde, die Rechte eines Admins bekommt, ist vorbei. Manche sicherheitsbewusste Organisationen machen Rechner, auf denen sich ein lokaler Admin unterwegs anmelden musste, um etwas zu fixen, wieder platt und betanken sie neu, bevor sie wieder ins LAN dürfen.

Eine schließende Klammer zuviel am Ende. Und das Hütchen ist vermutlich ein Stern, oder?

Die Applikation löscht aber nicht das andere lokale Admin-Account, welches der "gemakete Admin" innerhalb des "befristeten Zeitraum" angelegt hat

Moin, also in dem vom Hersteller vorgesehenen Szenario (mehrere User greifen auf viele bis sehr viele andere Postfächer und Ressourcen zu) hat eine entsprechend großzügige Throttling Policy auf 2019 durchaus gegriffen. Dein Fall (ein User hat 70 Devices) ist so nicht vorgesehen, und ich bezweifle sehr, dass er bei Microsoft so getestet worden ist. Themenwechsel: Die Exchange CALs für alle User oder zumindest für die 70+ Devices habt ihr aber schon gekauft, oder? Technisch hat es zwar keine Auswirkungen, aber rein aus Interesse?

Moin, in meiner Erfahrung (bin aber kein Netzwerker) sind die Hersteller nicht homogen. Bei HP gibt es auch keine "Mischung", sondern es gibt mehrere Baureihen. Für ein Datacenter wäre A-Series (3Com) oder Aruba durchaus eine exzellente Wahl. Auch bei Cisco gibt es ja große Unterschiede zwischen den einzelnen Familien. Ich denke, hier musst Du, wenn Du sinnvolle Empfehlungen hören willst, den Use Case etwas näher beschreiben, Wie viele 100G / 10G / 1 G-Ports brauchst Du, ist nur Campus und Core wichtig oder auch Datacenter, welches NAC kommt zum Einsatz, ist im Campus PoE oder PoE+ oder gar noch mehr notwendig usw.

Moin, kommt darauf an, was gefordert wird. Von "auf dem Server belassen mit Rollover" über "auf dem Server belassen mit Abspeichern" über "auf einen zentralen Server per Event Subscription duplizieren" bis hin zu dedizierten SIEM-Lösungen ist alles möglich und wird praktiziert. Wenn Dein Syslog server genügend Platz und Performance hat, kannst Du diesen z.B. mit rsyslog nutzen.

Wenn Du die Proxy-Anmeldedaten nicht speicherst, würde es reichen, dass der vorherige User den Browser beendet. Und das muss auch das Inaktivitäts-Skript dann leisten. Das An- und Abmelden verstehe ich in diesem Szenario gar nicht - würden die PCs nicht theoretisch als Kiosk laufen, d.h. immer angemeldet? Wenn sich nämlich alle User eh mit dem gleichen Namen und Kennwort (die dann irgendwo an einer Tafel stehen) anmelden, wo ist hier der Sinn?

Du trägst in die Browser-Konfiguration verbindlich einen Proxy ein und sorgst dafür, dass Proxy-Anmeldedaten nicht abgespeichert werden können. Bei jedem Aufruf einer externen Ressource (interne Webdienste schließt Du aus dem Proxy aus) kommt ein Pop-Up mit der Bitte um Anmeldung. Und der Proxy verifiziert diese Anmeldung gegen das vorhandene Kerberos-System.

Man merkt, dass ein Thread entgleist ist, wenn wirklich keiner mehr die vorherigen Posts liest

Ja. Aber hast Du schon versucht, ob es von extern nicht auch so geht (https://rdweb.firma.com/RDWeb)?

Moin, das sind viele Fragen. Apps und Desktop über die gleiche Collection geht offiziell nicht, es gibt einen Registry Hack, musst Du googlen, Stichwort "ShowInPortal". RDWeb durch RD Gateway bereitstellen: Wenn Dein internes DNS den externen FQDN des Gateways zum RDWeb auflösen kann, sollte das funktionieren. Wenn alle Stricke reißen, RDWeb auf dem Gateway mit installieren.

Jetzt aber mal andersherum gedacht: Sind die Dienste, die die Studenten an den öffentlichen PCs nutzen, so personalisiert, dass man das nicht als Kiosk abbilden kann, quasi ohne Anmeldung?

Spear phishing.

Moin, grundsätzlich passiert da gar nichts, dem Trust (ab FFL=2003) ist es egal, was auf den DCs läuft. Allerdings muss die fremde Domain Deine Domain weiterhin finden. Wenn Du also die IP-Adressen Deiner DCs bei der Migration beibehältst, ist alles gut. Ändern sich die IP-Adressen der DCs und somit der DNS-Server, musst Du das den fremden Admins mitteilen, damit sie den Conditional Forwarder anpassen können.

Moin, ja, "jeder Nutzer kriegt eine O365-Lizenz und alle teilen sich einen PC mit OneDrive for Business" würde gehen. Mit "alle Nutzer teilen sich eine O365-Lizenz" würdet ihr den Lizenzvertrag verletzen. Alles andere wäre in diesem Szenario vermutlich ein Overkill.

...doch auch das wird davon abhängen, ob Deine RAID-Controller fähig sind, ihre RAIDigkeit abzulegen und als "dumme" HBAs zu agieren.

Der TO schrieb, dass er Standard-Lizenzierung an den Büchsen hat.

Moin, wenn ich das Datenblatt der JX40 richtig lese, ist es ein JBOD, d.h. jede Platte wird einzeln von den jeweiligen HBAs angesprochen. Du könntest also theoretisch jede einzelne Platte im JBOD als separaten Clusterdatenträger einbinden. Wenn Du aber auf einem der Hosts aus diesen Platten ein RAID-Array machst, dann kann auch nur dieser Host das ganze managen. Ob nun Fujitsu-Händler oder nicht, Du musst darüber mit jemandem sprechen, der sich mit dem Windows Server Failover Clustering auskennt.

Moin, wenn sie schon authentifizierungsfähige IDs haben, dann legt doch im AD vorn vornherein ein gleichlautendes Konto und lasst sie einfach das Kennwort selber zurücksetzen. Das wiederum könnte man relativ gut und sicher mit einem einfachen Webportal umsetzen, indem man die e-Mail (welche die Studenten ja erfolgreich nutzen) als quasi den berechtigenden Faktor nimmt. Das habe ich vor einem Monat für einen Kunden umgesetzt, es gibt aber auch fertige Produkte dafür. Wenn sich solche Anforderungen häufen, solltet ihr euch über geregeltes und zentralisiertes IAM Gedanken machen. Als Bildungseinrichtung seid ihr ja für Open Source prädestiniert, daher z.B. https://www.openiam.com/ Da wären übrigens auch solche Self-Service Portal schon enthalten.

Moin, macht der MR9286CV-8e tatsächlich auch RAID aus den Disks dahinter? Das geht natürlich nicht, wenn zwei Hosts auf den Storage zugreifen sollen. Der HBA muss im SAS-Modus (ohne RAID) laufen, und das externe Gerät muss die Disks selbst zusammenfassen und als einzelne LUNs an das System präsentieren.