BlackShadow 12 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Hallo, ich habe eine Frage ob ich mit meiner Idee richtig da stehe oder vielleicht doch eine bessere Lösung gibt. Ist Zustand: Schule hat einen betagten SBS 2011 dieser soll ggf. abgelöst werden Netzwerk der Verwaltung ca. 4PC und Computerraum für Schüler ca 20 PCs Da die Anforderungen der IT ja immer mehr werden, und aktuell die Schüler kein Netzlaufwerk haben und auch die Notebooks selbst alles Einzelplatz Varianten sind ( keine Steuerung mit GPOs und Co ) ist nun die Überlegung das ganze zusammenzufassen und per AD zu Manage bzw. die PCs mit ins AD zu nehmen. Hier nur mein Vorschlag: Den SBS 2011 durch einen 2012R2 abzulösen ( mit allen Diensten - später getrennt soweit möglich (DC,Mail,File)) einen zweiten 2012R2 bereitstellen und den in ein getrenntes Netz für die Schüler in Betrieb nehmen, in der FW, die Ports für AD(alle benötigten) zwischen DC in der Verwaltung und DC/FileServer im Schulnetzwerk einrichten der Schüler DC würde dann ein RDOC werden. So das die Computer und Schüler sich am Schüler "DC" anmelden und die Lehrer an Ihrem eigenen. Lediglich die beiden Server können untereinander und auch nur die benötigten Ports nutzen um zu kommunizieren.(AD Repl. usw.) Wäre so etwas die richtige heran gehens weise oder gibt es etwas einfacheres? Gruß und Danke Frank Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Was sind denn die Anforderungen an die Umgebung? Zitieren Link zu diesem Kommentar
BlackShadow 12 Geschrieben 29. Juni 2015 Autor Melden Teilen Geschrieben 29. Juni 2015 Hallo, Lehrer sollen innerhalb des Verwaltungsnetzwerkes normal auf Drucker, Mail und Daten zugreifen Bei dem Schülernetzwerk, in erster Linie, dass die Notebooks zum Verwalten einfacher sind ( WSUS,GPO, Software Verteilung, Sicherheit) bisher gab es im Schülernetzwerk noch keinen Server, wo Schüler Ihre Daten ablegen konnten. Da es nun diesen Server dann geben würde, wäre es dann auch möglich das die Schüler Daten auf diesen Server ablegen könnten, u.a. dass der Lehrer auch Daten in einem gesamt Laufwerk freigeben kann. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Wo sollen die Schüler zugreifen? Welche Dienste sollen in der Domäne dann noch laufen und wer soll auf welche Dienste zugreifen? Mail, Drucker und File? Wieso willst du das sich die einzelnen Gruppen an unterschiedlichen DCs anmelden? Zitieren Link zu diesem Kommentar
BlackShadow 12 Geschrieben 29. Juni 2015 Autor Melden Teilen Geschrieben 29. Juni 2015 Die schüler sollen auf Ihren eigenen DC zugreifen der u.a. auch dann File Server ist also kein Mail, lediglich File und Drucker Schüler sollen nicht auf die Freigaben oder ähnliches auf den Server im Lehrer Netzwerk kommen Ich dachte mir so , dass ich so lediglich die Firewall Ports zwischen den beiden Servern Beschränken brauche und nicht für alle Clients öffnen das diese sich dann am anderen DC bei den Lehrern anmelden. Schüler Netz hat im Lehrer Netz nix verloren, daher wollte ich das so So hätten die beiden Server lediglich die Möglichkeit ihre benötigten Dienste zu nutzen (fürs AD, usw) Irgend wie müssen die sich ja untereinander kennen so das sich die Schüler an ihrem "DC" anmelden können, Dateien speichern, OHNE das die im Lehrer Netzwerk sind Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Du brauchst zwei Domaincontroller um sicherzustellen, dass kein Schüler unberechtigterweise auf Lehrerdaten zugreift? :suspect: Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 (bearbeitet) Moin Frank, wie sieht es denn mit dem Etat aus für die Hardware zweier Server und für die Lizenzen? Wie wäre es mit einer Hardware und VMs und VLAN? Dazu einen IPCop als Firewall? Es gibt da auch noch eine spezielle FW für Schulen, -den Schulrouter Plus- allerdings jährliche Lizenzkosten? Braucht, will man wirklich zwei Domänen? Neu denken! Schüler sollen nicht auf die Freigaben oder ähnliches auf den Server im Lehrer Netzwerk kommen Falls die Schüler keine Berechtigung auf Freigaben und Ordner haben, dann bekommen sie auch keinen Zugriff. bearbeitet 29. Juni 2015 von lefg 1 Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 So wie ich das verstehe will er zwei DCs, davon der Schüler DC als RODC (schreibgeschützt) für deren Share und zwei physikalisch getrennte Netzwerke Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 (bearbeitet) So wie ich das verstehe will er zwei DCs, davon der Schüler DC als RODC (schreibgeschützt) für deren Share und zwei physikalisch getrennte Netzwerke Falls genügend Geld dafür, bitte schön! Das mit den physikalich getrennten Netzen ist mir sehr wohl bekannt aus meinem Hause, das war eine Grundsatzentscheidung des 1.Leiters der IT vor Jahrzehnten. Heute gibt es mit VLAN kostengünstigere Möglcihkeit. Und es gibt Firewalls wie IPCop oder Schulrouter Plus. Vor Jahren hat mich die Hardware des Schulrouter Plus allerdings enttäuscht, alle Geräte eines Typs ausgefallen, Temperaturproblem. Ob es heute welche mit besserer Hardware gibt? Ich habe jedenfalls damals dann IPCop auf Rechnern mit 4.Port-Interfaces(dem Schulrouter entnommem) installiert, Auf dem IPCop gibt es auch ein Filter ähnlich dem Schulfilter auf dem Schulrouter. Aber der Schulrouter mit Schulfilter bietet für die Zugriffssteuerung vielfältige Möglichkeiten dem Lehrer. bearbeitet 29. Juni 2015 von lefg Zitieren Link zu diesem Kommentar
BlackShadow 12 Geschrieben 29. Juni 2015 Autor Melden Teilen Geschrieben 29. Juni 2015 @ *Cat* Jain - So meinte ich das nicht. die Lehrer haben Ihren DC für anmelden und Co. u.a. sind auf dem DC der im Lehrer Netzwerk steht eine OU für die Schüler(Benutzer) und Computer so muss ich keine 2 ADs managen sondern habe nur ein AD, das sich die Schüler am Netzwerk anmelden können brauch ich ja einen DC die Schüler melden sich daher an dem DC an der im Schülernetzwerk steht dieser DC wäre ein RODC @lefg Hallo :) hatte schon lange nicht mehr das vergnügen Etat wird aufgestockt, da wurde Jahrelang nix gemacht und nun ist es leider an der zeit VM kommt so wie so zum Zuge, wenn alles fertig ist sind das 3 Netze 1. Lehrer interne Verwaltung (DC,MAIL und File ) 2. Schüler mit RODC welcher sich von Netz 1 das AD holt 3. WLAN für Lehrer selbst ihne Zugriff auf Lerher Netz Router/Firewall kommt eine Sophos ins Spiel Liegt später auf einem Switch via VLAN getrennt Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 (bearbeitet) So schauts aus. Um das zu reglementieren und zu lenken brauchst du keine zwei Server, Frank. edit: und die Netze lassen sich auch anders managen Falls die Schüler keine Berechtigung auf Freigaben und Ordner haben, dann bekommen sie auch keinen Zugriff. bearbeitet 29. Juni 2015 von *Cat* Zitieren Link zu diesem Kommentar
BlackShadow 12 Geschrieben 29. Juni 2015 Autor Melden Teilen Geschrieben 29. Juni 2015 (bearbeitet) wie würde die Alternative aussehen *Cat* ? alles auf einem Server laufen lassen ? Hätte da nur meine Bedenken, wenn vor Ort "Admin" (Lehrer) neuen Schüler anlegt, Gruppe falsch setzt, ACLs falsch einrichtet, dann Zugriff auf Daten sind die von Lehrern verwendet werden die Absolut nicht in die Finger von den Schülern gehört. U.a.denke ich mir was ist wen USB Stick von Schüler oder Lehrer verwendet wird der was auch immer drauf hat wo der Virenscanner meint, "ja alles ok" und dann sein unwesen treibt? So wäre der erstmal nur im Netz der Schüler und würde nicht großartig weiter kommen. bearbeitet 29. Juni 2015 von BlackShadow Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Was passiert wenn der Lehrer DC ausfällt? Wo melden sich die Lehrer an? Was passiert wenn der Schüler DC ausfällt? Wo melden sich die Schüler an? Das trennen der Shares hat nichts mit unterschiedlichen DCs zu tun. Das solltest du als zwei unterschiedliche Probleme ansehen. Wenn du Bedenken hast, dass die Lehrer vor Ort etwas falsch konfigurieren, dann gib diesen nicht die Rechte etwas falsch zu konfigurieren. Was erwartest du dir vom RODC? Wieso keinen normalen DC? Zitieren Link zu diesem Kommentar
BlackShadow 12 Geschrieben 29. Juni 2015 Autor Melden Teilen Geschrieben 29. Juni 2015 Das Problem wird es immer geben wen ein DC ausfällt, ich kann aufgrund dessen das es keinen Unbegrenzten Etat gibt mehrere DCs einrichten und betreiben. Klar habe ich bedenken, aber die Lehrer möchten gern einige dinge selber machen. RODC eigentlich nur das wenn irgend was oder wer im Schülernetz am Server rumspiel, sich der Lehrer mal am Server anmeldet .. im AD rumklickt .. "oh brauchen wir ja nicht "klick lösch" sich dieses dann auf den anderen DC auswirkt. ( abgesehen vom Schützen vor versehentlichem löschen, AD papierkorb usw) Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Dagegen hilft kein RODC. Entweder die Lehrer bekommen keine Rechte und können nichts verdrehen oder die Lehrer brauchen entsprechendes Know-How / Schulungen / Dokumentationen und du musst ihnen vertrauen und ein gutes Backup halben. Für ersteres kannst auch auch eine Zwischenapplikation (eine Art Provisioning System oder Admin GUI) einsetzen oder schreiben, dass die Lehrere bestimmte Aktionen machen dürfen, wie z.B. Benutzer anlegen oder Shares anlegen. Die Applikation hat dann entsprechende Rechte und die Lehrer nur Rechte auf der Applikation. Mach die Umgebung nicht zu kompliziert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.