Windows Server 2008 R2 upgrade auf 2012 R2 (oder vielleicht sogar höher)

[actionmuc]

Hallo liebe Gemeinde,

ich habe gerade neu in einem Betrieb angefangen und (Ihr kennt das!) es liegt keine Dokumentation vor. Der Sturz ins kalte Wasser sollte aber auch gleich für eine gewisse Neuordnung sorgen. Folgende Herausforderung habe ich. Die bestehenden Blechkisten werden mit 2008 R2 betrieben und es wird nicht virtualisiert, das möchte ich gerne ändern. Meine Wunschlandschaft sollte aus folgenden Technologien/OS/Apps bestehen:

2012 R2 oder höher (lohnt eine höhere Version für meine Ansprüche)

Hyper-V oder vmWare (nicht vorhanden)

Terminalserver (vorhanden)

Fileserver (vorhanden)

Mailserver (nicht vorhanden)

Storage Spaces Direct (nicht vorhanden, soll aber eine SAN "ersetzen" können)

Clients Win 7/10 Pro (vorhanden)

Die Clients greifen per RDP auf den TS auf dem das Haupttool(ist TS-fähig) vorliegt zu, ansonsten sind die Clients "dumm". Alle Clients verfügen über MS Office, allerdings absolut heterogen von 2003 bis 2010. Diese Infrastruktur gibt es jeweils an 2 Standorten mit einer eigenständigen Domäne. Gerne würde ich bei Domänen per Vertrauensstellung vereinen.

Jetzt kommt das "Wichtigste" es soll mal wieder nichts kosten ? Also der Chef hat da eher nen Igel in der Hosentasche und kommt deshalb nicht an seinen Geldbeutel...aber irgendwas wird er schon investieren müssen. Es wäre toll, wenn ich hier Tipps bekommen könnte.

 

Meinen besten Dank schon mal vorab

actionmuc

[Bennox]

Ohne Moos, nichts los...Solltest du wirklich absolut gar nichts an Budget erhalten, dann kannst du das alles vergessen.

Vielmehr würde ich ihm aufzeigen, was für Sinn es macht hier die geplanten Punkte aufzuführen. Du kannst ja auch argumentieren bzgl. VMware/HyperV, dass man die Hardware teils abschaffen könnte. Ersparnis usw.

Ferner würde ich keinen Druck aufbauen wegen Lizenzverstößen die ihr sicherlich habt, denn bei dem Misch-Masch den ihr habt, kann ich mir nicht vorstellen, dass alles sauber durchlizenziert wurde. Alleine schon durch den TS, Server, CALs, usw. Allerdings reine Mutmaßung - kann mich natürlich auch irren, aber das wäre die erste Firma die ich kenne die nicht irgendwo ein Uboot bzgl. Lizenzen hat

Eine bidirektionale Vertrauensstellung kannst du auch schon jetzt bauen, wenn auf beiden Seiten ein DC steht. Ferner wäre auch ein Ersparnis drin, wenn du die Fat-Clients zu ThinClients umstellst und die Software alles auf dem TS legst. Da geht auch Office drauf.  Windows 2012 würde ich jetzt nicht mehr einsetzen, da 2016 bzw das neuere 2019 bereits genutzt werden kann. Lizenztechnisch auch hier wieder, dass du jede Hardwaremaschine neu lizenzieren musst, wenn man keine SA hat. Das gleiche gilt für die CALs.

Eine Standardisierung mit Microsoft kann euch einen Preisvorteil sichern.

Mailserver (gibt es gar keinen ??), Fileserver, usw. kann man ebenfalls mit Windows-Mitteln bauen. SAN ersetzen... naja.. kommt drauf an was ihr machen wollt. Der Storage Space Direct wird erst ab Windows Server 2016 Datacenter und 2019 Datacenter bereitgestellt. Somit auch komplette Lizenzierung vor allem als Datacenter, was du z.B. auch benötigen könntest bei Virtualisierung.

Persönlich würde ich mal alles aufnehmen, mir alle Dienste anschauen und gucken was Sinn machen würde. Dann noch was sagen die User ? Ist das alles zu langsam, gibt es Probleme usw. Das alles aufführen und einen oder zwei Vorschläge machen. Auch könnte es interessant werden, wenn du dem Chef mitteilst, dass Hardware auch geleast werden könnte. (Steuerlich evtl. interessant für ihn).

Die Masterlösung gibt es bei deinen Problemen so nicht. Man kann bzw sollte sogar alles insgesamt betrachten. Auch würde hier bei Einsatz neuer Systeme die Netzwerkstruktur angepasst werden ? 10/100 Netzwerk mit kaskadierten Switchen oder habt ihr LWL liegen oder was auch immer. Was helfen dir schnelle Systeme und gute Hardware, wenn du dann anderswo ein Nadelöhr hast.

IT kostet halt Geld, aber wenn man damit auch sein Geld verdient (vor allem der Chef), dann sollte es doch möglich sein etwas zu bekommen. VOr allem sollte man sich immer vor Augen halten was passiert, wenn alles mal ausfallen sollte, weil z.B. ein Brand oder auch die Hardware abraucht, weil man weder Sicherung, noch SPiegelung im zweiten RZ usw. gemacht hat.

Ich sehe hier eine wirklich große Baustelle, aber auch viel Potenzial in die Zukunft. Wichtig sind hier die Anforderungen an das System und ob man auf Dienste verzichten kann oder nicht.

Ich könnte sicherlich noch mehr hier schreiben, aber ich denke das sollte evtl. ein Anstoß sein um doch ein Budget festlegen zu können.

[Maniska]

Die, meiner Meinung nach, einzige(!!!) Möglichkeit an ein halbwegs vernünftiges Budget zu kommen ist übertreiben, dramatisieren und schwarzmalen.

Soll heißen:

• Die Blechserver laufen Softwareseitig außer Wartung, in 6 Monaten gibt es dafür null Sicherheitspatches
• Die Bleche sind garantiert außer Wartung was die Hardware angeht, lass mal ein Netzteil Rauchzeichen geben

vor 1 Stunde schrieb actionmuc:

Terminalserver (vorhanden)

Fileserver (vorhanden)

Wenn die Dinger auf Server 2008R2 laufen... NICHT vorhanden, da in spätestens 6 Monaten klinisch tot. Nix mehr Updates = nix mehr online!

Daher,

Step 1:  Zusammenrechnen wie lange es dauert für die absolut kritischen Komponenten A, B und C Ersatz zu bekommen, wenn falls der überhaupt noch zu bekommen ist.

Step 2: Konzept aufstellen wie wo was in Zukunft angebunden sein soll/könnte. Also warum nicht alle User auf ThinClients "umziehen" und so die Kosten für neue Clients sparen (also die FatClients in dumme TC umwandeln und in Zukunft nur noch TC anschaffen soweit möglich). Sind beide Standorte "gleichberechtigt" oder könnte man Standort 2 mit Minimalausstattung (DC, DHCP, Printserver) betreiben und alle Applikationen über den Hauptstandort bereitstellen?

Was ist mit Backup? Was ist mit der gesetzlichen Pflicht zur Mailarchivierung? Wie gut sind Firewall und Switche?

...

Ich lene mich mal aus dem Fenster und behaupte: Harsware, Storage und Lizenzen werden dich bei Kauf locker 100k kosten. Du brauchst ALLES neu (ok, Monitore,Tastaturen und Mäuse eher nicht, aber den Rest)!

 

[actionmuc]

Hallo Zusammen,

 

zunächst meinen besten Dank an Bennox und Maniska, die hier in rekordverdächtiger Schnelle eine Menge Infos und Lösungsansätze formuliert haben. Ich bin wirklich begeistert.

 

Nun zum Thema: Ich habe die Problematik mit dem EOL von Office 2010/Server 2012 R2/Win 7 bereits angesprochen und auf die Aussagen von MS verwiesen. Das Thema wird aktuell aber nicht ernst genommen, da es einen Kollegen gibt der vorgibt Informationen von MS zu haben dass die o.a. Produkte noch bis 2024 supported werden. Einen Beweis dafür bleibt er schuldig. *OMG*

 

Serverlandschaft

Ich habe vor 2 performante Server (2016/2019) aufzubauen mit folgenden Diensten :

 

VM1      DC/DHCP/DNS

VM2      internes Tool

VM3      DATEV

VM4      Mailserver (bisher nicht vorhanden)

VM5      Printserver (alternativ auch auf der VM1)

VM6      Backupserver

VM7      Diktiersoftware (bisher nicht vorhanden)

 

Die beiden Server sollen dann redundant aufgebaut werden und evtl. einen zentralen Speicher (NAS) verwenden. Wir haben aktuell keine Dienste die eine hohe Speichergeschwindigkeit benötigen.

 

Netzwerk

HP ProCurve Switche mit 1 GBit sollten vollkommen ausreichen, die sind auch schon an Bord. Als Firewall ist die Windowsfirewall im Einsatz, ich denke das sollte auch reichen.

 

Clients

Die aktuellen Clients mit Win 10 Pro sollten weiterhin verwendet werden und „verdummt“ werden, damit Sie nur als TC dienen.  Zukünftig kann ich mir auch eine Landschaft mit „richtigen“ TC vorstellen, da geht es ja schon sehr preiswert los.

 

Habe ich was vergessen?

 

Nochmals meinen besten Dank an die Netzgemeinschaft hier!

 

actionmuc

 

 

[Maniska]

vor 26 Minuten schrieb actionmuc:

Nun zum Thema: Ich habe die Problematik mit dem EOL von Office 2010/Server 2012 R2/Win 7 bereits angesprochen und auf die Aussagen von MS verwiesen. Das Thema wird aktuell aber nicht ernst genommen, da es einen Kollegen gibt der vorgibt Informationen von MS zu haben dass die o.a. Produkte noch bis 2024 supported werden. Einen Beweis dafür bleibt er schuldig. *OMG*

Ich würde bei so was stur nach dieser Seite gehen. Was dort an Terminen steht ist offiziell. Offizieller geht's nicht.

• Windows Server 2008 R2 Service Pack 1:
• Enddatum für grundlegenden Support: 13.01.2015
• Enddatum für erweiterten Support:  14.01.2020

Ich würde die Seite mal zeigen, die Entscheider noch mal darauf hinweisen, dass das die offizielle MS-Seite ist und wenn der Kollege was anderes weiß möge er es bitte belegen. Ich persönlich(!) würde mich dann auch weigern, die Verantwortung für diese Systeme zu übernehmen (zumindest was OS-Sicherheit angeht). Wenn der Kollege sooo sicher ist, wird er ja bestimmt auch seine Patschepfötchen dafür ins Feuer legen. :)

Zitat

Serverlandschaft

Ich habe vor 2 performante Server (2016/2019) aufzubauen mit folgenden Diensten :

VM1      DC/DHCP/DNS

VM2      internes Tool

VM3      DATEV

VM4      Mailserver (bisher nicht vorhanden)

VM5      Printserver (alternativ auch auf der VM1)

VM6      Backupserver

VM7      Diktiersoftware (bisher nicht vorhanden)

Die beiden Server sollen dann redundant aufgebaut werden und evtl. einen zentralen Speicher (NAS) verwenden. Wir haben aktuell keine Dienste die eine hohe Speichergeschwindigkeit benötigen.
 

Welche Virtualisierungssoftware? Wenn du 2 Hosts hast, solltest du darüber nachdenken ein Cluster zu bauen, dann brauchst du aber auch ein SAN, bzw musst deine VMs in einen Speicher legen auf den beide Hosts zugreifen können.

Nachteil bei 2 Standalone Hosts, du kannst deine Maschinen nicht schnell von Host1 auf Host2 verschieben falls Host1 ein Problem haben sollte. Damit nimmst du dir den Vorteil der Virtualisierung.

• VM1: Mindestens 2 DCs, sonst hast du ein Problem wenn der einen nicht will, DHCP würde ich nicht mehr auf einem DC lassen (musste ich auf die harte Tour lernen).
• VM2 internes Tool kannst du ggf. mit VM7 für die Diktiersoftware kombinieren
• VM5 Printserver eigenständig, ein DC ist ein DC ist ein DC, und nichts weiter.
• VM6 Backupserver sollte kein Domainmember sein um Cryptolockern nicht auch noch gleich die Backupfiles zu servieren

Hohe Speichergeschwindigkeit ist immer relativ, der Speicher in dem die VMs liegen sollte schon performant sein, muss aber kein Flashspeicher sein (macht aber mehr Spaß :) ).

Zitat

HP ProCurve Switche mit 1 GBit sollten vollkommen ausreichen, die sind auch schon an Bord. Als Firewall ist die Windowsfirewall im Einsatz, ich denke das sollte auch reichen.
 

Wenn ich diese Seite richtig deute, sind die ProCurve Modelle schon lange (2010) End of Sale und wahrscheinlich auch schon länger End of Life. Solange sie noch laufen, KANN man sie im Einsatz lassen, ob das immer noch klug ist... Ersatzteile wirst du zumindest dann weniger bekommen. Also brauchst du einen Plan B falls mal einer aussteigt, Neuanschaffung ist immer zeitaufwändig.

Zur Windowsfirewall sag ich mal lieber nichts, aber hast du eine Domäne? Ist die überhaupt an? Es gibt sehr viele Domänennetzwerke in denen die Windowsfirewall ausgeschalten ist weil sich die Admins den Konfigurationsaufwand sparen wollen.

Ansonsten ist da Ding eh offen wie ein Scheunentor. Ohne anständige (Hardware)firewall würde ich kein Firmennetz ans Internet lassen.

 

 

 

[actionmuc]

Hallo Zusammen,

hallo Maniska,

 

ich kann Dich bezüglich der OS-Problematik „beruhigen“, denn ich habe diese Seite schon als zuverlässige Quelle vom Hersteller angegeben, aber wenn der andere IT’ler immer „Geheiminformationen“ von MS bekommt, weil er regelmäßig im MS HQ in „UNTERSCHLEISSHEIM“ zu Meetings etc. eingeladen wird… vielleicht sollte ich mal mit kommen . . . ich sag nur Unterschleißheim ?

 

Als Virtualisierungssoftware möchte ich Hyper-V verwenden, da die weniger Lizenzkosten verursacht als vmWare, so zumindest meine aktuelle Berechnung. Habe ich da einen Denkfehler, wenn ich 2 performante Maschinen z. B. lease und jeweils in einem Standort aufsetze? Die Replikation sollte dann immer in der Nacht stattfinden, da wir nur zu gewöhnlichen Bürozeiten arbeiten. Pro Standort dann ein NAS, welches ebenfalls repliziert wird. Sollte ein Host ausfallen, dann können die Mitarbeiter lokal auf ihren Clients weiterarbeiten, das wird auch jetzt so gehandhabt. Von daher sehe ich jetzt nicht den „Need“ für eine „Turbolösung“.

 

Ach ja, auf einer VM soll DATEV betrieben werden, gibt es da besondere Anforderungen an die VM?

 

Zu den Switches sage ich jetzt mal nichts weiter, da ich aktuell laufen wir hier wirklich eine überschaubare Infrastruktur haben und die Anforderungen wirklich im unteren Drittel liegen.

 

Als Hardwarefirewall ist wohl aktuell ein LANCOM-Router 1784VA und LANCOM R883+ im Einsatz, dort ist wohl auch IDS aktiviert. Bisher hat das wohl immer gereicht . . .  Ja wir haben hier eine Domäne und die Windows-Firewall ist eingeschaltet das wurde so alles von meinem Kollegen eingerichtet und für richtig befunden. Die Geschäftsführung kann das wahrscheinlich gar nicht einschätze und glaubt dem „Guru“ ?

 

Beste Grüße

actionmuc

Bearbeitet 13. August 2019 von actionmuc

[allesweg]

vor 12 Minuten schrieb actionmuc:

ich sag nur Unterschleißheim ?

ich sag nur DeLorean ?

vor 13 Minuten schrieb actionmuc:

Ach ja, auf einer VM soll DATEV betrieben werden, gibt es da besondere Anforderungen an die VM?

Ja.

[actionmuc]

@allesweg

Danke für den DeLorean . . .

Die Spezifikation von DATEV waren mir bereits bekannt, ich dachte bei meiner Frage eher an Besonderheiten der Hardwarekiste. Ich muss mir sowieso Gedanken machen wie viel RAM/HDD/CPU/KERNE ...

[Maniska]

vor 39 Minuten schrieb actionmuc:

aber wenn der andere IT’ler immer „Geheiminformationen“ von MS bekommt

Dann sollte er ja auch keine Probleme damit haben, seinen Ar*ch für diese Maschinen hinzuhalten. Das ist aber weniger dein Problem (sofern du belegen kannst deine Aussagen getätigt zu haben), sondern das der GF. Ich persönlich würde mir als GF diese "ach was, das geht noch länger" Garantie schriftlich geben lassen und den MA darauf hinweisen, dass er  damit voll finanziell verantwortlich gemacht wird wenn was passiert (wird zwar kein Gericht der Welt durchwinken, aber ggf. den Kollegen doch mal dazu veranlassen nachzudenken). 

Zitat

Als Virtualisierungssoftware möchte ich Hyper-V verwenden, da die weniger Lizenzkosten verursacht als vmWare, so zumindest meine aktuelle Berechnung. Habe ich da einen Denkfehler, wenn ich 2 performante Maschinen z. B. lease und jeweils in einem Standort aufsetze? Die Replikation sollte dann immer in der Nacht stattfinden, da wir nur zu gewöhnlichen Bürozeiten arbeiten. Pro Standort dann ein NAS, welches ebenfalls repliziert wird. Sollte ein Host ausfallen, dann können die Mitarbeiter lokal auf ihren Clients weiterarbeiten, das wird auch jetzt so gehandhabt. Von daher sehe ich jetzt nicht den „Need“ für eine „Turbolösung“.

Zu den Lizenzkosten von Hyper-V kann ich nicht viel sagen, da wir mit vmWare virtualisieren, aber ich sag mal so: wenn HyperV so deutlich günstiger/besser wäre, warum laufen vmWare dann nicht reihenweise die Kunden weg?

Welchen Vorteil errechnest du dir mit einem Host pro Standort vs. ein Cluster (2 Hosts) am einen, und einer "Minimalaustattung" am Zweiten? Ohne Cluster hast du immer einen gewaltigen Aufriss wenn es ums Patchen der Hosts geht, die VMs sind nicht verfügbar, und wenn dein Host Probleme macht darfst im Zweifelsfall hinfahren.

Was willst du replizieren? Komplette Maschinen? Quizfrage: Was passiert wenn eine Maschine doppelt im Netz ist? Also Selbe SID, selber DNS Name, selbe IP? Antwort: Nix Gutes!

Wenn deine User mit TCs arbeiten sollen ist nix mehr mit Lokal, dann gibts kein lokal mehr, nur noch Terminalserver.

Zitat

Ach ja, auf einer VM soll DATEV betrieben werden, gibt es da besondere Anforderungen an die VM?

Systemvoraussetzungen und alles was dazu gehört kann dir mit Sicherheit DATEV sagen, nen SQL Server brauchst du auf jeden Fall  (Lizenzierung beachten!).

Zitat

Zu den Switches sage ich jetzt mal nichts weiter, da ich aktuell laufen wir hier wirklich eine überschaubare Infrastruktur haben und die Anforderungen wirklich im unteren Drittel liegen.

Stimmt, ist ja auch nur das zentrale Nervensystem, braucht man nicht zwingend unter Wartung oder zumindest noch mit der Möglichkeit Ersatzteile zu beschaffen...

Zitat

Als Hardwarefirewall ist wohl aktuell ein LANCOM-Router 1784VA und LANCOM R883+ im Einsatz, dort ist wohl auch IDS aktiviert. Bisher hat das wohl immer gereicht . . .  

Zumindest ist es keinem aufgefallen ob schon jemand drin war...

Nur so aus Neugierde, wie viele Angriffsversuche hat das Ding denn schon mal gemeldet?

[actionmuc]

Hallo Zusammen,

zurück aus dem Urlaub, will ich das Thema nun konkret in ein Konzept packen um der GF auch Fakten an die Hand zu geben.

Server

Welche Hardwaremaschinen würdet Ihr mir für das Vorhaben empfehlen und warum?

Wo kann ich mich über die korrekte Lizensierung informieren, also vm und HyperV?

Leasing/Kauf ?

MS Server 2016 sollte vollkommen ausreichen für die nächsten 5 Jahre, oder?

Cluster mit 2 Maschinen an der Zentrale und 1 Maschine an den Niederlassungen?

 

Netzwerk

Neue HP ProCurve Switche

 

Firewall

Welche Firewall könnt Ihr einem KMU empfehlen? Der Datenverkehr nach außen ist sehr gering.

 

Danke

 

[Maniska]

Meine Empfehlungen:

Mal ehrlich und nicht böse gemeint: lass dir das Sizing von einem Dienstleiter machen, der weiß worauf man achten muss, welche Stolpersteine es gibt und wie Hardware XY mit SAN ABC zusammenpasst. Der kann dir auch gleich die benötigten Lizenzen mit verkaufen und installieren/migrieren kannst du dann wieder selbst.

Machen wir auch so, im Zweifelsfall ist es intelligenter sich das KnowHow einzukaufen, und spätestens bei der Inbetriebnahme einer Storage ist es ganz gut jemanden zu haben der darauf zertifiziert ist. Man bekommt das zwar vielleicht auch selbst hin, aber ob das dann auch BestPractice oder BestPerformance ist...?

Ansonsten sehe ich da oben noch einen Fragenkatalog von mir unbeantwortet...

[actionmuc]

Servus Zusammen,

nochmals meinen besten Dank für Eure Mithilfe und Anregungen. Ich habe jetzt ein ordentliches Set Up ausgewählt und implementiere diese gerade. Pro Standort 1 neuer DL380 und einen „alten“ DL380 denn ich noch bis Anschlag aufgerüstet habe. QNAP als Backuplösung in Verbindung mit Veeam und Hyper-V für die Virtualisierung. Bei 5-6 VM rechnet sich VMware einfach nicht. Firewalls von LANCOM sind nun auch im Einsatz . . .  peu a peu geht es nun Richtung 2020 ;-)

Hat jemand eine Idee/Konzept für Fileserverberechtigung und deren Darstellung als Grafik?

Beste Grüße

actionmuc

[Maniska]

vor 16 Minuten schrieb actionmuc:

Hat jemand eine Idee/Konzept für Fileserverberechtigung und deren Darstellung als Grafik?

Jap :D

Ist bei mir allerdings dann ein ziemliches Konstrukt geworden. ABER, es funktioniert, lässt sich sogar wunderbar in Excel dokumentieren und ist sogar nach der ersten Lernkurve verständlich :p

[actionmuc]

Gerade eben schrieb Maniska:

Jap

Ist bei mir allerdings dann ein ziemliches Konstrukt geworden. ABER, es funktioniert, lässt sich sogar wunderbar in Excel dokumentieren und ist sogar nach der ersten Lernkurve verständlich 😛

Lässt Du mich daran teilhaben?

[Maniska]

Ich such gerade die Doku, kein Bock alles zu tippen.

[actionmuc]

Gerade eben schrieb Maniska:

Ich such gerade die Doku, kein Bock alles zu tippen.

Super, das wäre echt klasse. Wenn Du in München oder Umgebung wohnst, dann gebe ich Dir gerne mal ein Bier aus 😉

[Maniska]

vor 1 Minute schrieb actionmuc:

Super, das wäre echt klasse. Wenn Du in München oder Umgebung wohnst, dann gebe ich Dir gerne mal ein Bier aus 😉

Sagst du jetzt, warte bis du das Ding gesehen hast 😛

[Maniska]

So schaut das bei mir aus (Auszug aus der Doku für den Auditor):

Spoiler

Gruppenarten

Basisgruppen (global):

In Basisgruppen werden alle Mitarbeiter eines Prozesses mit derselben Funktion (also eigene Gruppen für Abteilungsleitung, Mitarbeiter, Azubi) zusammengefasst.

Namensschema:

Gruppe Basis Abteilung Funktion

Gr B Einkauf Mitarbeiter

Gr B FiBU Azubi

Funktionelle Gruppen (domänenlokal):

In Funktionelle Gruppen werden zum einen Basisgruppen zusammengefasst, zum anderen Mitarbeiter die zwar nicht aufgrund der Abteilung, aber aufgrund der Funktion zusammengehören (z.B. Betriebsrat), zusammengefasst

Namensschema:

Gruppe Funktionell Funktion

Gr F Einkauf

Gr F Betriebsrat

Gr F Ausbilder

ESL Gruppen (global)

ESL steht für „Erweiterte Standard Lösung“ und bezeichnet eine Gruppe, in der Mitarbeiter zusammengefasst werden die sich weder aufgrund ihrer Abteilung noch aufgrund einer Funktion zusammenfassen lassen. Über solche Gruppen werden auch Einzelberechtigungen vergeben. Diese Gruppen sollten Aufgrund der Übersichtlichkeit nach Möglichkeit vermeiden werden.

Namensschema:

Gruppe Verwendung Speicherort/Server/Service Speicherort Berechtigung

ESL FS Namespace PfadzumOrdner rwe (ESL Fileserver Namespace Ordner Ausführen)

ESL APP ggf. Server Programmname r-- (ESL Applicationsserver Programm lesen)

Berechtigungsgruppen

Diese Gruppen nehmen einerseits die Basis- und Funktionellen Gruppen auf, und werden andererseits für die jeweiligen Dienste und Services berechtigt.

Namensschema:

Verwendung* Speicherort/Server/Service Speicherort Berechtigung

FS Namespace PfadzumOrdner r--

FS Namespace PfadzumOrdner rwe

APP Programmname Einkauf (rwe)

Durch den Zusatz „r-- „ (read (lesen)= Leseberechtigung) bzw „rwe“ (read, write, execute = (lesen, schreiben ausführen) = Lesen, Schreiben und Ändern bestehender Dateien) sieht man schon beim Gruppennamen welche Berechtigung die jeweilige Gruppe hat, ohne auf dem System nachsehen zu müssen.

 

Vorteile:

• Angelehnt an Best Practice Empfehlung von Microsoft (A-G-DL-P-Prinzip https://en.wikipedia.org/wiki/AGDLP, https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ )

• Berechtigungen anhand der Gruppennamen und der Verschachtelung schnell und einfach im AD ab prüfbar

• Gruppenmitgliedschaft der Mitarbeiter übersichtlicher dargestellt, da nur indirekt in den Berechtigungsgruppen

• Hohe Flexibilität durch den Einsatz von ESL Gruppen

• Sprechende Gruppennamen, Unterscheidung nach Funktion und Abteilung gegeben

• Berechtigung nach Funktion der Mitarbeiter

• Änderung/Erweiterung von Berechtigungen sehr einfach möglich

Nachteil

• Durch die Verschachtelung komplex

• In extrem großen Umgebungen kann es durch die Mitgliedschaft in vielen Gruppen zu Problemen bei der Anmeldung kommen. Allerdings ist damit eine Größenordnung von Millionen Gruppenmitgliedschaften pro User gemeint

Dokumentiert ist das Ganze in Excel für den Fall dass jemand eine komplette Übersicht möchte.

Erste Seite: MA in welchen Gruppen,

Zweite Seite: Gruppen welche Berechtigungen

Geht wahrscheinlich schöner und einfacher, ich fahr damit sehr gut, meine Kollegen verstehen es, neue Berechtigungen sind schnell gesetzt und ich hab schon in der AD den Überblick welche Berechtigugnen sich hinter welchen Gruppen verstecken.

[actionmuc]

Servus Zusammen,

allen nochmals meinen besten Dank für Hilfe und Anregungen. Mittlerweile habe ich 2 neue HP Server verbaut und "ältere" HP-Server als Redundanz in Planung.

Ich habe nun ein anderes Problem, welches ich in einem neuen Beitrag mitteilen werde . . . 

 

Das Thema hier ist aus meiner Sicht erledigt.

 

Beste Grüße 

actionmuc