Eggbrain 10 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 Hallo ihr lieben Leut! Situation Obwohl die meisten Server in einer Domäne sind (damit Richtlinien zentral über die Active Directory eingestellt werden können) gibt es leider auch ein paar Workgroup-Server. Die Richtlinien der Workgroup-Server sind entweder auf dem Stand der Installation oder wurden später manuell angepasst. Problem Da ich da keinen Überblick habe, wer wo was verändert hat und sowieso möchte, dass die lokalen Änderungen regelmäßig durch aktuelle und vor allem richtige Richtlinien überschrieben werden, suche ich momentan nach einer Lösung für dieses Problem. Im Idealfall soll es ähnlich wie mit den Domänen-Servern funktionieren. Die Workgroup-Server in die Domäne ziehen ist keine Option. Was ich mir bisher dazu angeschaut habe Bisher habe ich viel in Büchern gestöbert, „gegooglt“ und Freunde gefragt… Dabei ist herausgekommen, das „Security Templates“ oder der „Security Configuration Wizard“ hilfreich sein könnte. Ich habe allerdings noch nicht ganz verstanden, wie das mein Problem lösen kann. (Vielleicht weiß dazu ja jemand mehr?) Heul Heul Leider hat also bisher noch nichts funktioniert. Das kann aber auch daran liegen, dass ich mich zum ersten Mal mit einem (Gruppen)Richtlinien-Problem auseinandersetze und in dem Bereich noch nicht soviel Erfahrung habe. Bitte Bitte Hat so was schon mal jemand von euch gemacht? Ich würde mich sehr über Erfahrungen, Tipps oder Ideen freuen, da ich momentan absolut nicht weiter komme. Vielen Dank schon mal! Wenn noch was unklar ist, bitte fragen :) Gruß, Fabian Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 Hallo Fabian, willkommen an board, schön das Du zu uns gefunden hast. Was spricht gegen die Aufnahme der Server in die Domäne? Die Anpassung von lokalen Richtlinien auf Windows-Servern ist mit viel Bastelei verbunden und im größeren Maßstab nicht mehr nachzuvollziehen. Das Werkzeug deiner Wahl heitßt auf jedem Workgroup-Server "Lokaler Gruppenrichtlinien-Editor". Das Programm erreichst Du indem Du unter Start\Ausführen -> gpedit.msc eingibst. Zitieren Link zu diesem Kommentar
sschulz80 10 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 warum ist es keine option die Server in die Domäne aufzunehmen ? welche funktion haben die Workgroup Server denn ? Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 Moin, wenn die Server nicht in die Produktionsdomäne sollen, kannst du sie vielleichn einer Zweitdomäne zusammenfassen. Ohne Domäne wirst du jedenfalls keine zentrale Richtlinienverwaltung hinbekommen. Zwar könntest du mit Sicherheitsvorlagen oder Ex- und Importgebastel was hinfrickeln, aber das wäre weit entfernt von einer verwaltbaren Lösung. Und schließlich gibt es einiges in den Policies, was diesen einfachen Methoden nicht zugänglich ist. Schau dir mal das Tutorial in der iX an, das frommi und ich geschrieben haben: .: www.kaczenski.de :. iX 01/2009: Tutorial Gruppenrichtlinien, Teil 1 .: www.kaczenski.de :. iX 2/2009: Tutorial Gruppenrichtlinien, Teil 2 .: www.kaczenski.de :. iX 3/2009: Tutorial Gruppenrichtlinien, Teil 3 Im ersten Teil geht es um Richtlinien ohne AD. Aber Spaß wird das nicht machen. Gruß, Nils Zitieren Link zu diesem Kommentar
Eggbrain 10 Geschrieben 27. April 2009 Autor Melden Teilen Geschrieben 27. April 2009 Hallo djmaker, danke und wow - was für eine schnelle Antwort :) Was spricht gegen die Aufnahme der Server in die Domäne? Von Server zu Server sprechen andere Gründe gegen die Domänenintegration - mal ist es eine spezielle Anwendung (kaum zu glauben, aber so ist es...), mal der Wunsch, dass möglichst wenig Ports offen sind, mal was noch absurderes... wie gesagt: Es ist leider keine Option die Server einfach in die Domäne zu schalten - das wäre auch das was ich bevorzugen würde. Die Anpassung von lokalen Richtlinien auf Windows-Servern ist mit viel Bastelei verbunden und im größeren Maßstab nicht mehr nachzuvollziehen. Genau darüber möchte ich gerne mehr wissen. Klingt so, als ob du da schon mal was gemacht hast. Das Werkzeug deiner Wahl heitßt auf jedem Workgroup-Server "Lokaler Gruppenrichtlinien-Editor". gpedit kenne ich bereits. Ich möchte allerdings vermeiden, dass ich mich auf jeden Workgroup-Server schalten muss, um lokal dann Änderungen zu vollziehen. Das wäre sehr zeitintensiv, frustrierend und damit keine Lösung. Ich suche vielmehr nach einer Idee/Methode/Tool, womit es möglich ist, die Richtlinien auf vielen Workgroup-Servern regelmäßig zu aktualisieren. Toll wäre es wenn: - Die Aktualisierung nicht aufwändig ist, - die Aktualisierung überprüfbar ist, - die Quelle für die Aktualisierung zentral liegen kann (File-Server oder so) Ich bin gespannt auf Ideen oder Vorschläge! Gruß, Fabian Zitieren Link zu diesem Kommentar
Eggbrain 10 Geschrieben 27. April 2009 Autor Melden Teilen Geschrieben 27. April 2009 Hallo Nils wenn die Server nicht in die Produktionsdomäne sollen, kannst du sie vielleichn einer Zweitdomäne zusammenfassen. Ohne Domäne wirst du jedenfalls keine zentrale Richtlinienverwaltung hinbekommen. Ja. Aber nach wie vor: Domäne ist No-Go :( Zwar könntest du mit Sicherheitsvorlagen oder Ex- und Importgebastel was hinfrickeln, aber das wäre weit entfernt von einer verwaltbaren Lösung. Und schließlich gibt es einiges in den Policies, was diesen einfachen Methoden nicht zugänglich ist. Gebastel und gefrickel klingt für mich natürlich auch erstmal wie "oh man, viele Stunden Arbeit und nach einer kleinen Änderung am Netz oder sonstwo muss man sich wieder durch Code wühlen". Wenn alle Workgroup-Server allerdings Zugang zu einer Datei im Netzwerk hätten und diese Datei eine "Sicherheitsvorlage" oder sowas ist, könnte man die in regelmäßigen Abständen auf jedem Server einlesen lassen, so dass sich die lokalen Richtlinien aktualisieren/überschreiben? Schau dir mal das Tutorial in der iX an, das frommi und ich geschrieben haben:.: http://www.kaczenski.de'>http://www.kaczenski.de'>http://www.kaczenski.de :. iX 01/2009: Tutorial Gruppenrichtlinien, Teil 1 .: http://www.kaczenski.de :. iX 2/2009: Tutorial Gruppenrichtlinien, Teil 2 .: http://www.kaczenski.de :. iX 3/2009: Tutorial Gruppenrichtlinien, Teil 3 Im ersten Teil geht es um Richtlinien ohne AD. Aber Spaß wird das nicht machen. Danke für den Hinweis - auf den ersten Blick scheinen besonders Teil 1 und 3 für mein Problem interessant zu sein. Das schaue ich mir mal genauer an. Gruß, Fabian Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 Von Server zu Server sprechen andere Gründe gegen die Domänenintegration Ich suche vielmehr nach einer Idee/Methode/Tool, womit es möglich ist, die Richtlinien auf vielen Workgroup-Servern regelmäßig zu aktualisieren. Wozu? Wie du selbst schreibst sind scheinbar gravierend unterschiedliche Anforderungen an deine Workgroup Server (wobei mir persönlich kaum Gründe bekannt sind. Was ist das denn für eine Anwendung?), so dass dir eine zentrale Möglichkeit ja nicht paßt. - Die Aktualisierung nicht aufwändig ist,- die Aktualisierung überprüfbar ist, - die Quelle für die Aktualisierung zentral liegen kann (File-Server oder so) Dir ist schon klar, dass dir bisher alle gesagt haben, dass das Gebastel wird. Gebastel hat es so an sich, dass es "aufwändig" ist, dass es selten "kontrollierbar" ist. Und alle deine Anforderungen oben sind mit Domänenmitgliedschaft gegeben. ;) Ich bin gespannt auf Ideen oder Vorschläge! Ganz ehrlich? Laß es. Bye Norbert Zitieren Link zu diesem Kommentar
sschulz80 10 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 Toll wäre es wenn: - Die Aktualisierung nicht aufwändig ist, - die Aktualisierung überprüfbar ist, - die Quelle für die Aktualisierung zentral liegen kann (File-Server oder so) Ich bin gespannt auf Ideen oder Vorschläge! kannst die lokale GPO auf einem Server nach deinen Ansprüchen editieren exportieren und auf den anderen servern wieder importieren über gpedit.msc natürlich aber wie alle anderen schon sagten, ist echt nicht lustig und nun spinn ich mal rum: peer taskplaner und script automatisch importieren ??? (geht das überhaubt ) :confused: Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 kannst die lokale GPO auf einem Server nach deinen Ansprüchen editierenexportieren und auf den anderen servern wieder importieren Und dann dort anpassen. Super. :) peer taskplaner und script automatisch importieren ??? (geht das überhaubt ) :confused: Warum soll es nicht funktionieren? Hängt halt von den Skriptingkünsten des Admins ab. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Eggbrain 10 Geschrieben 27. April 2009 Autor Melden Teilen Geschrieben 27. April 2009 Hallo Norbert, Wozu? Wie du selbst schreibst sind scheinbar gravierend unterschiedliche Anforderungen an deine Workgroup Server (wobei mir persönlich kaum Gründe bekannt sind. Was ist das denn für eine Anwendung?), so dass dir eine zentrale Möglichkeit ja nicht paßt. Da hast du natürlich recht. Gewisse Dinge, wie Kennwortrichtlinen erhoffe ich mir dadurch jedoch glatt zu kämmen. Dir ist schon klar, dass dir bisher alle gesagt haben, dass das Gebastel wird. Gebastel hat es so an sich, dass es "aufwändig" ist, dass es selten "kontrollierbar" ist.Und alle deine Anforderungen oben sind mit Domänenmitgliedschaft gegeben. Ganz ehrlich? Laß es. Hm... leider kann ich nichts handfestes dagegen halten. Im Grunde stimme ich ja zu. Ich habe mich dazu entschlossen mich noch mal genauer damit zu befassen was gegen die Domänenintegration spricht. Als mir das Problem geschildert wurde, wurde diese Option jedoch immer außen vorgelassen. Gründe waren halt (wie beschrieben) die zusätzlich offenen Ports und die Probleme, die es bei gewissen Anwendungen gibt. Ich bin trotzdem weiterhin für Alternativen zur Domänenintegration offen und für jeden Rat dankbar. Gruß, Fabian Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 Hm... leider kann ich nichts handfestes dagegen halten. Es gibt wohl auch nicht viel, was man dagegen halten könnte. ;) Ich habe mich dazu entschlossen mich noch mal genauer damit zu befassen was gegen die Domänenintegration spricht. Als mir das Problem geschildert wurde, wurde diese Option jedoch immer außen vorgelassen. Gründe waren halt (wie beschrieben) die zusätzlich offenen Ports und die Probleme, die es bei gewissen Anwendungen gibt. Erklär doch mal, welche Ports ein Client offen hat, wenn er innerhalb einer Domäne steht, und gleichzeitig die Firewall aktiviert ist? Bye Norbert Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 Ich tippe einmal auf das Blaue hinaus das zumindest ein Teil der Server im Internet steht. Sofern dem so ist solltest Du ein paar Dteails nennen, vielleicht gibt es für deine Anforderungen bessere lösungen in Bezug auf die Richtlinien. In diesem Fall ist die Idee mit der 2. Domäne (von Nils) nicht schlecht. Zitieren Link zu diesem Kommentar
sschulz80 10 Geschrieben 27. April 2009 Melden Teilen Geschrieben 27. April 2009 also mir fällt keine Anwendung ein die Probleme machen solle alleine dadurch das der server mitglied einer Domäne und nicht mehr einer Workgroup ist sollst die Server ja nicht gleich zum DC machen :) und eine Zentrale verwaltung aller server und einheitliche standarts per gpo sprechen eigentlich für mehr als für weniger sicherheit, (liegt natürlich am admin) weiss ja nicht wer sich da bei euch offene Ports aus den Fingern saugt :) Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 28. April 2009 Melden Teilen Geschrieben 28. April 2009 Moin, unbeschadet der Tatsache, dass du Norberts Fragen noch mal bedenken und ggf. beantworten solltest: Bevor du nun eine Frickellösung suchst, um einzelne Teile der Policies alleinstehender Server zu ex- und importieren, wäre es vielleicht immer noch eine bessere Alternative, jeden dieser Server zum DC eines eigenen Forest zu machen. Dann hättest du über die GPMC wenigstens eine beherrschbare Möglichkeit, die GPOs zu ex- und importieren. Damit wir uns nicht falsch verstehen: Spaß wird das immer noch nicht machen, und wirklich verwaltbar wird es dadurch auch nicht. Die Domänenintegration bleibt die beste Alternative. Und der Verdacht bleibt, dass die, die dagegen sprechen, von der Materie zu wenig verstehen. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.