Jump to content
Sign in to follow this  
haeckle

Terminalsever zum DC hochstufen?

Recommended Posts

Hi,

 

hier unser Netzwerk und mein vorhanben.

 

Zur Zeit haben wir 4 W2K Server im Einsatz

 

Server 1 = Datenserver und gleichzeitg auch einziger DC der Domäne ist

Server 2 = Terminalserver für Hauptanwendung

Server 3 = SQL-Server

Server 4 = Terminalserver für eine Spezialanwendung

 

Da ich in meiner Domäne bisher nur einen DC habe (Server1) möchte ich nun einen weiteren DC zur Ausfallsicherheit in das System einbinden. Dazu würde sich aber nur Server4 anbieten, da dieser von den wenigsten Benutzern gleichzeitig genutzt wird. Zwar dürfen sich theoretisch alle User anmelden, in der Regel sind es aber nicht mehr als 4-6 User gleichzeitig.

Meine Frage ist nun, worauf ich achten muss, wenn ich den Server4 zu einem DC meiner Domäne hochstufen möchte.

Einen Replikationszeitplan werden wir nicht erstllen wollen, da nicht sehr oft etwas genädert wird und nur ein LAN exisitiert.

Was kann man in Punkto Sicherheit aber noch machen?

Z.B. verhindern von Anzeigen der "Verwaltung" und "Systemsteuerung" per GPO ect.

Gibt es evtl. die Möglichkeit bestimmte Ordner für Benutzer per GPO unsichtbar zu machen, ähnlich dem "Ausblenden von Systemdateien"?

Gibt es noch andere Fallen wenn man einer Terminalserver auch als DC nutzen will?

Share this post


Link to post

Hi Frieda,

 

ja, die Frage hatte ich schon gestellt. Der Thread war aber wohl schon ausgelutscht, so dass keine Antwort mehr kam.

 

Dann werde ich mir die Seite mal zur Brust nehmen :-))

 

Gibt es aber trotzdem, neben den Sicherheitsfunktionen, noch was zu beachten?

Share this post


Link to post

hmm, ich hab zwar keinen DC als TerminalServer, aber sehr wichtig ist dass du das System den Benutzern gegenüber seeeeeehr stark einschränkst.

Mit den Gruppenrichtlinien erreichst du schon sehr viel, aber du musst trotzdem auch auf Dateisystemebene, sprich NTFS Berechtigungen ordentlich Hand anlegen.

Hast du an Virenscanner gedacht oder hat dieser Server kein Inet Zugang?

Share this post


Link to post

Hi Frieda,

 

1)

Die TS-Benutzer sollen die lokalen Laufwerke nicht sehen. Weiterhin die Systemsteuerung, Verwaltung nicht. Beim letzteren weis ich wo ich es in der GPO deaktivieren muss. Ich finde nur nichts wie ich die lokalen Laufwerke intransparent mache. Weist Du wo ich das einstellen muss?

 

2)

NTFS-Berechtigungen habe ich so vergeben, dass die User nur auf die Daten zugreifen dürfen die wir vorgeben. Bei den lokalen Laufwerken des TS habe ich aber das Problen, dass die alles sehen. Siehe auch 1).

 

3) Ein Virenscanner ist nicht nötig, da wir über den AVM-Accessserver über unseren Proxy (DATEV) ins Netz gehen.

 

Also am meisten interessiert mich, wie ich den TS so dicht machen kann, dass die User Programme nutzen können aber ansonsten keine Möglichkeit haben das System gewollt oder ungewollt, zu ändern. Ich denke dass sollte mit einer GPO-Strategie, ich hatte schon kurz mal auf http://www.gruppenrichtlinien.de geschaut, funktionieren.

Share this post


Link to post

Hi,

 

zum Laufwerksverstecken gibt es einen Punkt in der Gpo, unter Windows Komponenten - Windows Explorer. Dort werden aber nur die Standardlaufwerke angeboten. Falls du andere Laufwerke hast musst du die system.adm erweitern.

Es gab in den letzten Tagen ein Thread zu diesem Thema....

 

Mit den gpo kannst du das ganze Aussehen der Arbeitsumgebung beeinflussen.

Bei mir z.B. sehen die Benutzer auf dem Desktop nur den Arbeitsplatz und einen Anwendungsordner.

Im Startmenü gibt es auch unter dem Punkt Einstellungen die Windows Sicherheit zum Kennwort ändern, die Taskleiste und die Drucker. Ach ja, den Knopf zum Abmelden.

Das alles hab ich über die gpo gemacht.

Und damit die User im System nich ändern können, bin ich nochmal beigeganen und hab die System Verzeichnisse auf Berechtigungen geprüft und überall wo zuviel Rechte waren hab ich sie weggenommen...

Es ist aber schon so, dass die Gruppe "Benutzer" auf den TS recht eingeschränkt ist.... und diese Rechte reichen auch völlig aus...

 

Ich kann dir echt raten, dich einzulesen zu diesem Thema, den es ist recht umfangreich und man kann es schlecht hier abhandeln. Die Hilfe von dem Betriebssytem ist mittlerweile ziemlich gut, die würde ich nutzen.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...