SaschaVolk

Teilweise werde ich das so machen. Einen kleinen Teil werde ich den Zugriff per VPN zulassen müßen. Die werden dann nochmal explizit darauf hingewiesen welche Verantwortung sie haben und müßen das auch Schriftlich bestätigen.

Eigentlich ist das System schon durchdacht. Habe nur das problem mit den Techniker Notebooks. Muß ich die Kollegen wohl etwas mehr sensibilisieren.

Ja das ist schon alles richtig. Nur müßen die auch auf den Terminalserver (Warenwirtschaft) zugreifen können. Ich müßte dann ein untrusted Gerät per VPN ins Firmennetzwerk lassen . Das klingt jetzt auch nicht so toll.

ja das stimmt. Allerdings kann ich dann keine GPOs ausrollen wie Automatischer Bildschirmschoner usw . Ne die sollten schon in der Domäne drin bleiben. Über Intune habe ich auch schon nachgedacht.

So ähnlich wird das auch umgesetzt. Alle Geräte mit lokalen Admins sind in einem eigenen Netz. Die dürfen sich auch nur per VPN einwählen - auch wenn sie in der Firma sind. Per VPN haben sie nur zugriff auf einen Jumpserver (Terminalserver) und auf das NAS system.

Die Geräte sind allerdings Domänen Rechner.

Die Geräte aus der Domäne schmeissen könnte man sich überlegen. Allerdings habe ich dann keinen Einfluß mehr auf die Geräte was Passwortsicherheit angeht.

Danke dir.

Softwareverteilung lohnt bei ca 60 User nicht. Da ich auch alleine bin habe ich keine Zeit mich darum zu kümmern.

Bei den Notebooks handelt es sich um Techniker Notebooks. Die beim Kunden auf Installationen sind und teilweise Steuerprogramme installieren und updaten müßen.(Crestron, LED Software usw).

Hallo zusammen,

manche User bei uns haben zugriff auf einen lokalen Admin wenn sie Programme installieren müssen.

Es gibt jetzt ein paar die sich direkt mit dem Admin User am Laptop anmelden damit sie sich nicht immer authenifizieren müssen.

Das möchte ich natürlich vermeiden. Wenn ich aber zB die Lokale Anmeldung des lokalen Admins verbiete per Gruppenrichtlinie können sich die User aber auch nicht mehr authenifizieren wenn sie etwas installieren müssen.

Hat da jemand eine andere Lösung für das Problem ??

Das ist bei mir auch so . ad.domain.de und Domain.de sind angelegt. Kann ich auswählen welches ich zuweisen möchte.

der UPN ist bei uns username@ad.domain.de - Die Email username@domain.de

Kann mich aber mit beiden anmelden. Mir ging es auch nur um, wenn das passwort abgelaufen ist. Dann hat der OWA nur noch Domain/Username akzeptiert. Wir haben viele Mac User. Die müßen ihr passwort am OWA ändern. Wenn das jetzt auch mit der Email funktioniert bin ich zufrieden.

geht beides

Ah ok Danke. Aber warum kann ich mich mit der Email Adresse anmelden wenn das Passwort nicht abgelaufen ist ?? Im Moment steht es auf Domain\Username

Guten Morgen

seid der Migration auf Exchange 2019 habe ich festgestellt das die User sich mit Domäne\Username am Owa anmelden müßen wenn ihr Passwort abgelaufen ist um es zu ändern und nicht mit der Email Adresse.

Ist das irgendwo eine Einstellungssache ??

Guten Morgen alle zusammen,

bei uns in der Firma kommt von den jüngeren Mitarbeitern immer mehr das arbeiten mit Cloudbasierten Apps. Gerade Teams und OneDrive wird viel benutzt. Ich denke auch das die lokale Ordner Struktur langsam ausgedient hat.

Was ich mir etwas gedanken mache sind die Backups und Verschlüsselung von den Daten. Wie gut sind die Daten in OneDrive geschützt oder sollte man da eine extra Verschlüsselung benutzen wie BoxCrypter.

Teams legt die Daten ja direkt im Sharepoint ab. Wie sicher sind diese dort ??

Hat sich da schon jemand ausgiebig mit dem Thema beschäftigt oder kann mir Quellen mit brauchbaren Informationen nennen ?

Ja das stimmt. Gute Idee werde ich mal machen. Danke dir

Ok trotzdem danke

Das ist nicht möglich. Die Medienserver sind ohne Virenscanner und Firewall ausgestattet. (Das dürfen sie auch nicht haben wegen der Leistung). Deshalb muß ich ja die Netze trennen voneinander. Die Rechner und Laptops (haben natürlich Virenscanner) die dort benutzt werden haben auch keinen Zugang zum Firmennetzwerk.

Die Server werden nach jedem einsatz auch von einem Image wieder zurück gespielt.

Die Gefahr besteht natürlich. Die habe ich aber auch wenn sie die Daten dann per Festplatte dann rein bringen. Auf dem NAS kann ich ja auch einen Virenscanner mitlaufen lassen.

Aber ich höre mir auch gerne andere Lösungen an.

Die Internen Nutzer wollen auf die Daten auch zugreifen. Auserdem werden die dort auch archiviert

Das Synology hat auch eine Firewall. Ich kann ja auch alle ports dicht machen bis auf den rsync port.

Der gedanke war das NAS im Mediennetzwerk macht Nacht eine Inkrementelle Datensicherung auf dem Internen NAS mit Hyperbackup (Backup Tool von Synology)

Hyperbackup kann auch eine Versionierung durchführen. Das heißt es bleiben mehrere Version der Files erhalten.

Das NAS im internen Netzwerk ist ja das Backup. Verfügbarkeit (HA)wird nicht benötigt.

Wenn die Projekte abgeschloßen sind werden sie auf ein LTO geschrieben. Die Daten selbst verbleiben noch ca 2 Jahre auf dem NAS.

Budget ca 10.000-15.000 Euro

rsync wird von dem Hyperbackup benutzt.

Das mit dem Synology ist kein muß. War nur eine Überlegung von mir

Das Ziel ist es der Medienabteilung Speicherplatz zur Verfügung zu stellen in Ihrem eigenen Netzwerk aber auch die Daten im Firmennetzwerk zur Verfügung zu stellen. Dort werden die dann auch Archiviert nach zwei Jahren.

Das habe ich mir auch überlegt. Andere Lösungsvorschläge ??

Sorry - Internes Netzwerk - Firmennetzwerk

Externes Netzwerk - Eigenes Netzwerk für Medienabteilung mit eigenen Router und Internetzugang. Keine Direkte Verbindung zum Firmennetzwerk.

Hallo zusammen,

wir haben bei uns mehrere Abteilung die viel mit Medien und Medienservern machen. Ich wollte die jetzt in ein eigenes Netzwerk packen da die eh kaum auf Firmen Daten zugreifen müßen.

Was sie aber brauchen ist einen schnellen Fileserver. Da teilweise die Mitarbeiter aus dem Firmennetzwerk auch auf diese Daten zugreifen wollen habe ich mir folgendes ausgedacht.

EIn NAS kommt ins externe Netzwerk. Das andere NAS kommt in das Firmennetzwerk und wird an die AD angeschloßen. Ich werde zwei NAS mit jeweils zwei Netzwerkkarten nehmen. Mit einer Netzwerkkarte hängen sie im Jeweiligen Netz. Mit der anderen werden die NAS Systeme untereinander verbunden. Das NAS im externen Netzwerk gleicht sich Nachts mit dem NAS im Internen Netzwerk ab. Es soll eine inkrementelle Datensicherung mit einer Versionierung stattfinden

Als Datenmenge werden ca 30TB pro Jahr gebraucht. Angeschloßen sollen die NAS mit 10GB/s.

Es werden ca 4 Teams damit arbeiten mit jeweils 2-3  Mitarbeitern.

Ich dachte da an ein Synology mit Hyperbackup.

Als Gerät vielleicht eine RackStation RS3618xs

Was haltet ihr von der Lösung vorallem auch auf wegen der Sicherheit ?

Danke für die Rückmeldungen. Dann hört sich doch das ganze ok an. Was man sagen muß VPN funktioniert sehr gut . Auch mit den Clients gibt es keine Probleme.

Das einzige Problem was ich habe ist MS Teams. Da haben wir immer Ruckler im Bild . Das kommt wohl von der UDP Flood Protection. Da habe ich bisher keine Einstellung gefunden die paßt.

@Squire - Für die Full Guard zahle ich 3636 für 12 Monate.

Hi alle zusammen,

in dem Netzwerk was ich übernommen habe sind zwei Sophos UTM9 SG310 verbaut. Soweit funktionieren die ganz gut. Was mich etwas erschrickt sind die Subscriptions . Das sind jedes Jahr fast 3500 Euro.

Was haltet ihr davon und was benutzt ihr in euerem Netzwerk.