pantrag_fisi Projektantrag: Implementierung eines Verwaltungssystems um die lokalen Administratorkennwörter von Computern in der Domäne zu verwalten

[Vakri]

Hallo liebe Community,

ich hätte gerne konstruktive Kritik zu meinem Projektantrag. Ich habe derzeit 31 Stunden in der Zeitgliederung, ich weiß ehrlich gesagt nicht, was ich noch mit hinzufügen soll..

1. Thema

Implementierung eines Verwaltungssystems um die lokalen Administratorkennwörter von Computern in der Domäne zu verwalten

3. Projektbeschreibung

-Ist-Zustand
Aktuell besitzt jeder Computer in der Domäne, den selben lokalen Admin mit dem selben Passwort. Dies ist problematisch, weil wenn jemand an dieses Passwort kommt, hat er administrativen Zugriff auf alle Geräte im Betrieb.

-Soll-Zustand
Für die IT-Abteilung des XY, soll ein LAPS installiert und konfiguriert werden. Dadurch wird jeder lokale Admin von jedem Computer mit einem sicheren, einzigartigen und zufälligen Passwort geschützt. 
Damit wird die Sicherheitslücke, wie oben beschrieben, gelöst.
Durch die access-control list (ACL) können die Domänenadministratoren die Kennwörter lesen und zurücksetzen.

 

4. Projektumfeld

Das Unternehmen ist ein Mittelständiger Betrieb mit ungefähr 100 Mitarbeitern, die den XY organisieren. Als IT-Mitarbeiter kümmere ich mich, um die gesamte IT-Infrastruktur des Unternehmens.

Mir stehen ein eigener Arbeitsplatz und Zugriff auf VMs als Ressourcen zur Verfügung.

Als Ansprechpartner stehen Herr XY(IT-Abteilungsleiter, Projektbetreuer) und Herr XY(IT-Koordinator) zur Verfügung.

Meine Hauptaufgaben bei diesem Projekt sind folgende:
-Analyse des Ist-Zustands
-Erarbeitung eines Zielkonzepts
-Erstellung eines Projektstrukturplans
-Installation, Konfiguration der Software
-Durchführung vorher geplanter Funktionstests

 

5. Projektphasen

1. Analyse
1.1 Ist-Analyse (1h)
1.2 Soll Konzept (1h)
1.3 Nutzungsanalyse (2h)
1.4 Recherche der geeigneten Server (2h)

2. Realisierungsphase
2.1 Installation der Software (3h)
2.2 Grundkonfiguration der Powershell (3h)
2.3 Group policies erstellen und editieren (2h)
2.4 OU "Laps" erstellen und Rechte vergeben (1h)
2.5 Kennwort Regeln, Komplexität (1h)
2.6 Puffer für Fehlerbehebung (3h)

3. Testphase
3.1 Funktionstest (2h)
3.2 Fehleranalyse und Fehlerbehebung (2h)

4. Dokumentation
4.1 Projektdokumentation (8h)

Gesamt = 31 Std

6. Dokumentation zur Projektarbeit

-Prozessorientierter Projektbericht

 

 

[SR2021]

vor 5 Minuten schrieb Vakri:

-Soll-Zustand
Für die IT-Abteilung des XY, soll ein LAPS installiert und konfiguriert werden. Dadurch wird jeder lokale Admin von jedem Computer mit einem sicheren, einzigartigen und zufälligen Passwort geschützt. 
Damit wird die Sicherheitslücke, wie oben beschrieben, gelöst.
Durch die access-control list (ACL) können die Domänenadministratoren die Kennwörter lesen und zurücksetzen.

Gab es hier mehrere Ansätze um das Problem zu lösen oder stand die Lösung schon vorab fest?
Bei ersterem solltest du die Entscheidungsfindung mit einbeziehen, zweiteres wäre, wenn ich richtig informiert bin, ein K.O. Kriterium.

[Visar]

Mir kam gerade einfach nur der Standardtext von @charmanta in den Sinn:

Zitat

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.
Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust
Ganz grobe und ganz neue Übersetzung meines Lieblingstextes: "Komplex" im Sinne der Prüfungsordnung sind Ansätze, welche in einem Datacenter oder einem Rechenzentrum eingesetzt werden können und nicht mehr in einem kleinen zb Handwerksbetrieb Verwendung finden.
Damit scheiden Ansätze wie "Domaineneinrichung" oder "Ich suche ne Plattform für ein Windows Programm" fast automatisch aus.
Gerne genommen werden:
- Telefonanlagen ( weil Musterprojekt der IHK )
- Monitoring
- Heterogenes Backup
- Softwareverteilung
- Massenbetankung

Mir fehlt hier ein bisschen die Komplexität, die Entscheidungsfindung... du weißt ja schon, was du tust. Und ich habe echt Bedenken, dass das

vor 36 Minuten schrieb Vakri:

2. Realisierungsphase
2.1 Installation der Software (3h)
2.2 Grundkonfiguration der Powershell (3h)
2.3 Group policies erstellen und editieren (2h)
2.4 OU "Laps" erstellen und Rechte vergeben (1h)
2.5 Kennwort Regeln, Komplexität (1h)
2.6 Puffer für Fehlerbehebung (3h)

...einfach zu viel Zeit ist, die du da verplanst.

3 Stunden "Installation der Software"?

1 Stunde lang OU erstellen und Rechte vergeben? Wait, what?

Bearbeitet 19. März 2021 von Visar

[Vakri]

Erstmal danke für das schnelle Feedback.

Ja, es gab eine Entscheidungsfindung. Hier ist nochmal die Beschreibung editiert:

-Ist-Zustand
Aktuell besitzt jeder Computer in der Domäne, den selben lokalen Admin mit dem selben Passwort. Dies ist problematisch, weil wenn jemand an dieses Passwort kommt, hat er administrativen Zugriff auf alle Geräte im Betrieb. Mein Ziel ist es nun dieses Problem zu lösen und die Sicherheitslücke zu schließen. Dazu habe ich bereits einige Lösungen recherchiert, zusammengetragen und verglichen. Ich habe mich letztendlich für die Lösung "Local Administrator Passwort Solution" (LAPS) entschieden.

-Soll-Zustand
Für die IT-Abteilung des XY, soll LAPS installiert und konfiguriert werden. Dadurch wird jeder lokale Admin von jedem Computer mit einem sicheren, einzigartigen und zufälligen Passwort geschützt. 
Damit wird die Sicherheitslücke, wie oben beschrieben, gelöst.
Durch die access-control list (ACL) können die Domänenadministratoren die Kennwörter lesen und zurücksetzen.
 

Zu der Planung der Stunden muss ich mir noch Gedanken machen. Stimmt schon, dass paar Sachen etwas übertrieben sind, aber ich muss ja irgendwo meine Stunden hinpacken 😕

 

[Visar]

vor 1 Stunde schrieb Vakri:

Ist-Zustand:
[...] Dazu habe ich bereits einige Lösungen recherchiert, zusammengetragen und verglichen. Ich habe mich letztendlich für die Lösung "Local Administrator Passwort Solution" (LAPS) entschieden.

Hättest du damit nicht vor Genehmigung mit dem Projekt angefangen?

Potentielles K.O.-Kriterium.

Bearbeitet 20. März 2021 von Visar

[Listener]

vor 1 Stunde schrieb Vakri:

Ja, es gab eine Entscheidungsfindung.

 

vor 1 Stunde schrieb Vakri:

Dazu habe ich bereits einige Lösungen recherchiert, zusammengetragen und verglichen. Ich habe mich letztendlich für die Lösung "Local Administrator Passwort Solution" (LAPS) entschieden.

Das soll im Projekt gemacht werden, nicht davor.

[Vakri]

Okay.. danke!!

Passt es jetzt? Weiter unten noch meine aktualisierte Zeitplanung.

-Ist-Zustand
Aktuell besitzt jeder Computer in der Domäne, den selben lokalen Admin mit dem selben Passwort. Dies ist problematisch, weil wenn jemand an dieses Passwort kommt, hat er administrativen Zugriff auf alle Geräte im Betrieb. Mein Ziel ist es nun dieses Problem zu lösen und die Sicherheitslücke zu schließen.

-Soll-Zustand
Das Ziel ist, unter Berücksichtigung der Wirtschaftlichkeit eine geeignete Lösung zu finden. Dazu soll unter der zu Hilfenahme einer Entscheidungsmatrixgängige Lösungen verglichen werden und eine Lösung, welche den Anforderungen entspricht, ausgewählt werden.
Über ein zentrales Verwaltungstool soll die einfache und benutzerfreundliche Verwaltung der Passwörter möglich sein.
Zusätzlich ist eine Kosten-Nutzen-Analyse zu erstellen, welche Aufzeigt ob der zusätzliche Aufwand Vorteile in sich birgt. Weiter soll die ausgewählte Software installiert, konfiguriert und erste Teile des Netzwerks eingepflegt werden.

 

1. Analyse (10h)
1.1 Ist-Analyse (1h)
1.2 Soll Konzept (2h)
1.3 Vergleich von diverser Lösungsmöglichkeiten (3,5h)
1.4 Auswahl der besten Lösung (1,5h)
1.5 Kosten-Nutzen-Analyse (2h)

2. Realisierungsphase (11h)
2.1 Installation der Software (1h)
2.2 Konfiguration der Software (4h)
2.3 Kennwort Regeln, Komplexität (1h)
2.4 Einbindung der zu verwaltenden Computer (2h)
2.5 Puffer für Fehlerbehebung (3h)

3. Testphase (4h)
3.1 Funktionstest (2h)
3.2 Fehleranalyse und Fehlerbehebung (2h)

4. Dokumentation (10h)
4.1 Erstellung einer Dokumentation für IT-Mitarbeiter (2h)
4.2 Erstellung der Projektdokumentation (8h)

Gesamt = 35 Std

[charmanta]

wieso kommt 1.5 nach 1.4 ???

Der PA wird das bestenfalls zulassen, wenn Du genauer signalisierst, dass Du Dir echte Alternativen ansiehst.

Also beispielsweise RH Directory Manager ? IBM Lösungen ? Das ist hier nicht rauszulesen ...

[Vakri]

vor 9 Minuten schrieb charmanta:

wieso kommt 1.5 nach 1.4 ???

 

ohja, mein Fehler, ist korrigiert danke

vor 10 Minuten schrieb charmanta:

Der PA wird das bestenfalls zulassen, wenn Du genauer signalisierst, dass Du Dir echte Alternativen ansiehst.

Also beispielsweise RH Directory Manager ? IBM Lösungen ? Das ist hier nicht rauszulesen ...

Wie signalisiere ich das? Sonst heißt es wieder, dass ich schon etwas für das Projekt recherchiert habe..

[charmanta]

vor 7 Minuten schrieb Vakri:

Sonst heißt es wieder, dass ich schon etwas für das Projekt recherchiert habe..

dagegen ist nichts zu sagen. Schreib einfach dass Du planst unter anderem LDAP, Schnippschnapp und Tüdelüh zu beleuchten und im Rahmen der Ausarbeitung nochmal schaust, ob es noch ein, zwei weitere Ansätze gibt

[Vakri]

Habe es hinzugefügt.

Vielen Dank!

[Vakri]

Antrag wurde genehmigt, danke an Alle!