jf2000 10 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 Hallo zusammen, ich wollte man aus aktuellem Anlass eine kleine Diskussion anstossen. Zuerst zum Anlass: Wir betreiben eine größere gemischte Novell/Microsoft Umgebung, die wir nach und nach sanft rein in Richtung MS verlagern wollen. Angefangen haben wir damit bereits vor rund 2 Jahren mit XP auf Clientseite. User werden in ADS und NDS vorgehalten (über übergeordnetes edirectory synchronisiert). Profiles waren zwar MS Profiles aber über ZEN zugeteilt, User bekommen Rechte auf WS über ADS, Software kommt per ZEN/NDS, Roaming Profile liegt auf Novell-Home-Laufwerk. User meldet sich in beiden Welten an. Also schön so das man sich das beste von beiden Seiten nehmen kann/konnte. Nun wollen wir, während wir SP2 flächendeckend einführen folgende weitere Schritte unternehmen: - Policies über ADS (kein Problem, das haben wir schon soweit portiert) - Roaming Profile auf MS Servern Dabei haben sich mir ein paar Fragen aufgeworfen und mich würde mal interessieren wie das in anderen Landschaften gelöst wurde bzw. wie dort die Konstellation so ausschaut. Da wäre z.B. - Sind eure Benutzer auf den Workstations "admin", "hauptbenutzer" oder "benutzer" - Wenn Hauptbenutzer - wie handhabt ihr die Druckerzuweisung Hintergrund: unsere User sind derzeit alle Admins auf den WS, da mit Hauptbenutzerrechten die Drucker nicht nutzbar sind (bzw. der User kaum bis keinerlei Einstellungen an den Druckern vornehmen kann). Info: Jeder User darf bei uns jeden Drucker auswählen und darauf drucken. Wenn wir Hauptbenutzer nehmn, dann kommt bei den meisten Druckern ein Hinweis auf nichtbestandenen Logotest - als Admin kommt dies komischerweise nicht. Ein weiterer großer Punkt ist das Roaming Profile. a) verwendet ihr es b) habt ihr als Admin die Möglichkeit in das Profil reinzuschauen - zu b) derzeit ist das bei uns einem kleinen Adminkreis erlaubt, wenn ich das auf MS umziehe, ddann hab ich das Problem, dass ich über GPO die Admingruppe dem Roaming Profile zugeben muß - was mich vor das Problem stellt, dass dann auch alle lokalen Admins (siehe oben, also alle unsere User) in das jeweilige lokale Profil eines vorher mal auf diesem PC angemeldeten Benutzer schauen kann, was nicht so dolle ist. Wie ist dass denn so gelöst bei euch? Desweiteren, da wir es bisher noch gar nicht einsetzen: Wie baut ihr die Logon-Skripte auf. Verteilt auf GPOs oder direkt dem User zugeordnet? Wäre mal interessant so eure Varianten zu erfahren. Zum Hintergrund: wir haben eine Größenordnung von rund 2500 Clients. Danke schonmal und _________________ Greetz, jf2000 MCSA/MCSE 2000/2003, CCSA, TMCSE, CSMA (Zertifizierter Spülmaschinenausräumer) usw. Zitieren Link zu diesem Kommentar
Bitsqueezer 10 Geschrieben 19. Februar 2007 Melden Teilen Geschrieben 19. Februar 2007 Hallo, also aus Sicherheitsgründen: User bekommen generell keine Admin- oder Hauptbenutzerrechte. Wozu auch? User sollen arbeiten und nicht an den Einstellungen herumfummeln... :D Entsprechend weist man den Usern alle benötigten Drucker zu, auf diese Weise müssen die Benutzer auch nichts mehr daran einstellen (außer den üblichen Druckfunktionen). Zum Auswählen des Druckers braucht der User auch nur Benutzerrechte. Der Druckertreiber muß natürlich installierst worden sein. Übrigens habe ich gerade letztes Jahr eine größere Umstellung von ehemaligen lokalen Admins auf Domänen-Benutzer hinter mir. Klar gibt das erst einmal Probleme mit den Benutzern, weil diese nun nicht mehr soviel herumspielen können. Aber die Anzahl der Probleme ist mit jeder Umstellung drastisch zurückgegangen. Roaming Profile: Ist ja in der Theorie eine witzige Idee, für meine Begriffe aber Lötzinn (außer in gleichen Arbeitsumgebungen): Schön, wenn ich mich mit meinem Profil an jedem Rechner im Netzwerk anmelden kann. Nur was hilft mir das, wenn ich auf einem anderen Rechner nicht die Software habe, die ich auf meinem Rechner hatte und für meine Arbeit brauche? Ich habe auch schon eine Systemumgebung betreut, in der man das so gemacht hat. Und weil es da das gleiche Problem gab, hat man eine Software installiert, die die benötigte Software des Benutzers auf einem neuen Rechner bei der ersten Anmeldung automatisch dort installiert... das Lizenzchaos war entsprechend groß, weil nach x kreuzweisen Anmeldungen die Software auf allen möglichen Rechnern installiert war. Und auch, wenn ein anderer Benutzer diese Software in SEINEM Startmenü nicht fand, brauchte er auch nur den Explorer zu öffnen und die Software von Hand zu starten, dann konnte er sie auch benutzen. Lizenztechnisch wäre es also nur in Ordnung, wenn bei Anmeldung eines anderen Benutzers die zuvor installierte Software wieder deinstalliert würde. Nur bis eine An- und Abmeldung dann erledigt ist... Fazit: Ein Roaming Profile ist eigentlich nur in Umgebungen interessant, in der überall die gleichen Rechner mit der gleichen Software installiert sind, oder wenn eine Anmeldung auf einem anderen Rechner dazu benutzt werden soll, zum Beispiel mal eben nach Mails zu sehen oder eine Reparatursituation des eigenen Rechners zu überstehen. Sinnvoller sind da Terminalserver, da hier wirklich jeder Benutzer exakt seine Umgebung auf jedem Rechner findet - da der Rechner eben nur noch ein dummer Client ist. Diese Lösung ist dafür halt auch langsamer und benötigt große Netzwerk- und Serverressourcen. Das "Reinschauen in die Profile" ist zwar abschaltbar über die Rechtevergabe auf ein Verzeichnis mit den Profilen, man kann auch einzelne Admins über eine eigene Gruppe ausschließen, jedoch sind Admins nun mal Admins und sie können sich über "Besitz übernehmen" auch jederzeit wieder Zugriff verschaffen zu jedem Verzeichnis (außer vielleicht über eine Verschlüsselung, wäre aber für einen Profilordner wieder etwas wenig performant). Zitieren Link zu diesem Kommentar
Bitsqueezer 10 Geschrieben 19. Februar 2007 Melden Teilen Geschrieben 19. Februar 2007 Meine Meinung: Generell sollten Admins die Vertrauensstellung im Unternehmen genießen, auf jede Datei zugreifen zu dürfen und sie vertraulich zu behandeln, ansonsten sollte man sich einen anderen Admin suchen. Wenn besonders wichtige Dateien existieren (etwa Gehaltslisten etc.), sollte der betreffende Sachbearbeiter solche Dateien lokal vorhalten und vor Zugriff mit eigenen Verschlüsselungsmethoden schützen, etwa über einen USB-Stick und einen Datentresor oder ähnliches. Der Admin sollte nämlich auch das Recht haben, die Benutzer darauf hinzuweisen, den Fileserverplatz nicht für Privatfotos, MP3-Dateien etc. zu benutzen, da das je nach Unternehmen auch zu rechtlichen Problemen führen kann. Logon-Skripte: Generell am besten über GPOs. Zum einen kann man hier bestimmen, daß zuerst die Skripte ablaufen sollen, bevor der Desktop beim Benutzer angezeigt wird, zum anderen kann man schnell und flexibel Logonskripte auf Benutzergruppen verteilen. Zur Änderung muß man dann nicht in jedes Benutzerprofil klettern, sondern verschiebt die entsprechenden Benutzer in entsprechende Gruppen oder OUs etc. Gerade bei großer Benutzeranzahl ist es besonders wichtig, sich an strenge Regeln für den Netzwerk- und Serveraufbau zu halten, da sonst in allerkürzester Zeit der Überblick futsch ist. Nur mit genauer Planung und strikter Umsetzung ist die Sicherheit und die Übersicht gewährleistet. Nichts ist da tödlicher als Benutzer mit Adminrechten... Viele Grüße Christian Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.