Canni

Hab ihn mal "entrechtet" - mal schauen, bis es Ärger gibt. Gerade hatten wir ein Gespräch, weil er mich mehr oder weniger gedrängt hat, ein Lexware-Programm zu installieren. Wir hätten kein Geld für Firewall, Server etc. .. mal warten, bis sein Bekannter kommt. Da geht schon was.

Danke für die flotten Antworten! Für Fachinformatiker hatten meine Noten in Mathematik leider nicht gereicht. Leider macht sich kein Unternehmen anscheinend die Mühe, die praktischen Kenntnisse zu prüfen. Und da hätte ich alle Mitbewerber sicher haushoch geschlagen. Ich kenne die rechtlichen Bedingungen. Zu dem Chaoten, der das damals hier eingerichtet hatte hat er gesagt, dass er Zugriff auf alle eMailkonten möchte. Denkst Du, jetzt kann ich hergehen und ihm diesen Zugriff einfach wieder nehmen? Leider sind wir kein Unternehmen, in dem man einen Datenschutzbeauftragten vor Ort hat. Das wird hier wohl auch nie kommen. Noch einmal: mein Chef ist geschäftsführender Gesellschafter. Wir sind kein Unternehmen, in dem man schon fast von einer "Gewaltenteilung" sprechen kann.

http://www.mcseboard.de/windows-forum-ms-backoffice-31/terminalserver-mehr-rechte-chef-117974.html#post729951 Vielleicht hier auch noch lesen, da habe ich auch noch was dazu geschrieben. Nächste Woche kommt ein Bekannter des Chefs, weil er mir nicht glaubt, dass wir einen neuen Server benötigen. Soll nur kommen! Am liebsten würde ich die ganze EDV-Sache abgeben, wenn`s mir nicht so viel Spaß machen würde und ich nicht so viel Arbeit investiert hätte (inkl. Tk-Anlage).

Hallo Owen und die anderen Antworter, erstmal vielen Dank an Euch alle. Ich weiß, dass Euch das ganze ggf. hier nervt, weil "handeln" angesagt wäre. Das ist aber in meiner Position, als Auszubildender eines ganz anderen Bereiches, nicht ganz einfach. Trage ich meinem Chef Vorschläge vor, die Geld kosten (=Investition), dann bin ich immer persönlich der "Buh-Mann". Eine "gewisse" Sicherheit habe ich ja schon reingebracht: ^^ früher hatten wir einen Uralt-Telekom-Router, ohne jeglichen Schutz. Hat uns ein "EDV-Spezialist" hier angeschlossen. Daher ausgetauscht gegen den Netgear FVG318. Mit ca. 500 Euro-Geräten muss ich da garnicht ankommen, auch wenn es mir selbst von der persönlichen Einstellung her "weh" tut. Oder eine Absicherung des Servers mit Gruppenrichtlinien. Oder Anpassung der Berechtigungen auf die Datenbanken etc., Abbilden der Unternehmensstrukturen auf das AD ... aber AD auf dem TS ... da könnt ich wieder heulen. Leute, mir macht die EDV-Administration extrem viel Spaß, ich engagiere mich sehr, das bestreitet auch hier im Betrieb niemand. Viele - fachkundige - Bekannte und mir bekannte Systemadministratoren bezeugen meine Kentnisse in der Serververwaltung, v.a. im Bereich der Terminaldienste. Aber ich habe hier mit einem Chef zu kämpfen (mit dem ich mich eigentlich gut verstehe und den auch auch mag!), der es als Optimallösung ansieht, ausgeleierte Privat-Notebooks seiner Familie hier im Produktivbetrieb einzusetzen. Argumentieren hilft da nichts. Deshalb lege ich den Fokus so auf die Serverabsicherung, die Anschaffung eines neuen Servers als DC, Auslagerung der Daten und Datenbanken etc. - und weniger auf die Notebooks. Denn da wird es keine Änderung geben, da bin ich mir sehr sicher.

Nein, lustig ist es nicht. Also der derzeitige Server ist zwar komplett unterdimensioniert (FSC Primergy Econel 100), hat aber Raid. Der neue muss das natürlich auch haben, das ist wohl standard. Dann wird das AD auf den neuen Server gepackt, ebenfalls die Dateien, der eMailserver etc. Der TS soll also keine wichtigen Daten enthalten. Ich mache die Administration teilweise während der Arbeit, teilweise in der Freizeit. Zum Thema Hauptfach: es gab wahrscheinlich noch fast kein Problem, zu dem ich keine Lösung wusste (sei das jetzt der 2003 R2-Server, eMail etc...) bzw. nicht gewusst hätte, wo ich mich informieren kann (z.B. hier) :-) VPN: Der Netgear-Router stellt lediglich die VPN-Verbindung zum kleinen Außenstandort her, sprich zu einem Netgear-Router dort. PPTP-VPN routet er an den Server durch (pass-through). Backuplösung - habe ich weiter oben geschrieben - haben wir auch hier. Liest Du überhaupt alles, was ich schreibe? Is viel, ich weiss :-) Und: Thema "EDV-Abteilung", sorry, aber dazu sind wir dann wirklich noch zu klein mit der Anzahl an Benutzern. DAS wäre nicht wirtschaftlich. Dokumentation? Eine sauberste Dokumentation habe ich erstellt, diese ist an einem Ort in der Firma verwahrt (und wird dort regelmässig durch mich aktualisiert), der dem Chef bekannt ist.

Mit seinem Benutzeraccount kommt er sowieso an alle Daten, einschl. eMailkonten der anderen User. Betriebsrat gibt es bei uns nicht. Und ich bin mir sicher, dass es das bei uns auch niemals geben wird. Soll er doch seine Admin-Rechte haben, wie früher. Mir inzwischen alles egal, sorry, is so. Jeder Mitarbeiter musste auch seine Passwörter nennen, also, wie er will.

Ich wollte damit eher zum Ausdruck bringen, dass ich das "nebenher" mache, vor allem in meiner Freizeit. Ich denke nicht, dass es viele in meinem Alter gibt, die sich so mit Servern, Terminaldiensten etc. auskennen ... aber wo kein Budget zur Verfügung steht ...

Keine Antwort? :-)

Danke für die fotte Antwort. Ich kann nicht in Regress genommen werden, ich bin Auszubildender in einem ganz anderen Fachbereich. Mein Chef möchte aber kein Geld mehr ausgeben. Basta. (nicht böse gemeint!). Wir zanken uns hier ständig wegen dem 2. Server UND: immer wenn ich damit anfange, nervt es ihn und das Verhältnis zwischen ihm und mir hat sich seither ziemlich verschlechtert. Virenschutz ist auf dem Server und auf den Clients, ALLE Virenscanner sind per RA verwaltet und unterliegen recht restriktiven Policys. Mir geht es schon lange nicht mehr um die Clients. So lange der Chef da nur XP Home drauf haben will, komme ich nicht weiter. Mir geht es darum, den Server abzusichern. Und das kann ich erst, wenn ich einen 2. Server habe, als DC. Die Appliance bekomme ich hier nie im Leben! Was hast Du gesagt? 1000 Euro? Zusätzlich? Niemals! Was spricht gegen die VPN-Verbindung, verwaltet durch den VPN-Server von MS?

Hallo! Danke für die ausführliche Antwort! Erste Frage vorweg: was soll an diesem Virenschutzkonzept, das wir hier haben, nicht "vernünftig" sein? Zweite Frage: welche Firewall (Produkt) empfiehlst Du? Geht`s Dir nur um die VPN-Anbindung? Dritte Frage: wie soll ich XP Home Notebooks in eine Domäne bekommen :-) Außerdem haben wir ca. 7 dauerhafte Nutzer, die anderen arbeiten nur hin und wieder am System. Was kritisierst Du denn hauptsächlich an der Sicherheit? Die VPN-User oder die "Firewallfunktion" des FVG318 gegen "normale" Angriffe von außen? Kennst Du das Gerät überhaupt?

Sorry - bezüglich Rechten sind alle User "Benutzer" und dazu noch in verschiedene Gruppen aufgeteilt. Gruppenrichtlinien gibt es auch, auch der Netgear-Router ist sehr restriktiv eingestellt. Ich habe weniger vor Viren Angst, sondern eher vor "normalen" Systemschäden (System setzt aus, was weiss ich - trotz RAID gibt´s da ja ne Menge Möglichkeiten). Weshalb soll das System bitte verpfuscht sein? Das System ist - für das, dass wir nur EIN Gerät haben, sicher ordentlich eingerichtet. Wir führen ein Onlinebackup mit einem rennomierten Anbieter durch. Jede Datenbank/Datenbereich (eMail etc.) 2 mal täglich (unterschiedliche Backupaufträge) + 1 mal wöchentlich. Klappt bestens. Datenrücksicherung habe ich auch getestet, hat einwandfrei funktioniert.

Natürlich macht es das nicht. Aber das ist hier leichter geschrieben, als getan. Wie soll ich ihm das sagen? Wie Du in meinen anderen Beiträgen sehen kannst, sieht er es ja nichtmal ein, dass wir einen 2. Server brauchen. Oder mal ne andere Frage: wenn der Chef fragt: wie lautet das Admin-Passwort? (er weiss es - muss ja außer mir auch noch jemand wissen!) - was würdest Du antworten? Sag ich Dir nicht?

Hallo auch, vielen Dank für Deine Antwort. Sorry, dass ich erst jetzt antworte. Mit IP-COP habe ich mich beschäftigt, ist ja ne spannende Sache Vor allem preislich :-) Wir sind eine Firma, in der ca. 15 User in AD angelegt sind. Ca. 7 davon nutzen das Terminal-System täglich. Andere nur sporadisch, das ist z.B. der Steuerberater. Der sollte - von meinem Chef aus! - auch einen Zugang zum System erhalten. Oder die Support-Firma eines Herstellers eines Programmes, das wir verwenden (die haben sogar Adminrechte, weil die Dienste starten und stoppen können müssen). Melden sich aber nur nach Absprache und sehr selten an. Ich weiss, dass es soetwas in den meisten anderen Firmen nicht gibt. Das rührt aber auch daher, dass wir Mitarbeiter haben, die Zugriff auf die Anwendungen des TS benötigen, aber kein eigenes Notebook bekommen sollen (Kosten!). Die melden sich dann sporadisch mit ihrem privat-PC an, den ich natürlich nicht "kontrollieren" kann (Virenschutz, Patches etc). Auf den Firmen-Notebooks setzen wir NOD32 ein, mit Remote Administration. Auch auf dem TS. Super Sache! Netzwerkübersicht: Internetzugang: SDSL, führt auf einen Netgear FVG318. Hinter dem Router befindet sich ein Switch, der den Server und die Rechner, die sich hier im Büro befinden, verbinden. Prinzipiell haben wir hier nur ca. 3 Desktops, alles andere sind Notebooks, die nur sehr selten hier im LAN angeschlossen sind. Alle Rechner sind Arbeitsgruppen. Der Netgear-Router stellt eine Verbindung per VPN zu einem "Außenstandort" her, bei dem ca. 3 User mit ihren Notebooks arbeiten. Und zwar auf unserem Terminalserver. Dieser fungiert leider als eMailserver, Datenbankserver, DHCP, DNS, VPN etc. Daher leitet der Netgear FVG318 natürlich DHPC-Anfragen an den Server weiter. So, zu diesem Server verbinden sich die User via VPN, von den unterschiedlichsten Orten aus (UMTS-Karte, von zu Hause aus etc.). Nach Aufbau der PPTP-Verbindung wird die Remotedesktop-Sitzung gestartet. Die Gruppenrichtlinien sind sehr fein konfiguriert, eben weil auf dem Server so viele Dienste laufen. Daher ist mein Appell an den Chef schon länger der, dass man einen neuen Server anschafft, auf den man Dienste auslagern kann. Der Server ist deshalb ein DC, weil mir dies die Verwaltung der Gruppenrichtlinien erleichtert und vom DAVID-eMailserver gefordert ist. Hier ist jetzt die Frage, was mir der IP-COP bringt. Eine Firewall habe ich auch im Netgear-Router, jedoch ist hier sicher die LOG-Möglichkeit begrenzter. Es ist alles eine Frage des Geldes. Ich brauche meinem Chef keine 1000-Euro-Firewall anzubieten, der Schuss geht nach hinten los. Und zwar gegen mich! Was für einen neuen Server (Leistung) würdet ihr denn für diese Aufgabe bevorzuen? Soll die Datenbanken drauf haben, DHPC, DNS, DC und VPN. Hab nichts vergessen, hoffe ich :-) Der derzeitige "Allround-Server" soll nur noch die Terminalservices und die Anwendungen beinhalten. So, jetzt legt los :-) Danke!

Hallo zusammen, wir setzen hier derzeit (!) nur einen Server (2003 R2) als DC und TS ein, Clients sind keine angebunden. Ich habe alle User (mich eingeschlossen) in eine OU gepackt, für die Gruppenrichtlinien gelten. Loopbackverarbeitungsmodus brauche ich nicht, wir haben ja nur dieses eine Gerät in der Domäne :-(. Alle User dieser Gruppe sind Domänenbenutzer. Nur der User "Administrator" ist Domänen-Admin und lokaler Administrator. Jetzt möchte mein Chef gerne die Systemsteuerung sehen, die ich via GPO ausgeblendet habe. Ich habe ihm gesagt, er solle sich als Administrator einloggen (es ist seine Firma!) und dort eventuelle Änderungen (mit Info an mich!) vornehmen. Wird er sowieso nicht tun, er will nur "theoretisch" die Möglichkeit dazu haben. Wie würdet ihr vorgehen? Eine neue OU "Chef" erzeugen, in die er gelegt wird, die dann z.B. nur noch gewisse Einschränkungen (kein Internet etc. - Sicherheit auf TS!) hat ... ? Dazu müsste ich den Chef aber der Gruppe Administratoren zufügen, damit er dort auch Änderungen vornehmen kann, korrekt? Da habe ich mich selbst nichtmal eingefügt. Danke! Canni

Okay, einleuchtend. Wie viele Mitarbeiter habt ihr denn?

Hallo zusammen, ich habe bei uns hier auch einen G-Schlüssel. Ist ein Büro mit etwa 10 Räumen. Serverraum habt ihr ja sicher alle uneingeschränkt Zugang, oder? Und zu den Verteilern? Klar, seid Ihr Administratoren einer großen Bank oder Zentrale einer Firma, habt ihr eventuell nicht mal Zugang zu den Verteilern ... Das mag sein, dass manche Chefs da Amok laufen würden, wenn der EDVler am PC sitzt. Die interessiert es nicht, dass der Administrator an der Workstation selbst auch fast nicht mehr Möglichkeiten hat, an Daten zu kommen (und darum geht es ja), als von remote aus. Ich denke da nur daran, dass man z.B. einen Rechner abends oder am Wochenende neu aufsetzen muss. Und weshalb soll ein Hausmeister einen Schlüssel haben, ein EDV-Mitarbeiter aber nicht.

Hallo zusammen, wie sieht das bei Euch in der Firma aus (ist natürlich auch von der Größe des Unternehmens abhängig): Habt ihr physikalisch immer Zugang zu den durch Euch verwalteten Rechnern, sprich habt ihr Schlüssel, die die Büros der Mitarbeiter schließen? Wie sieht es mit Server- und Verteilerräumen aus? Grüße Canni

?????

Danke, welche dieser Produkte würden denn einen 3. Server erforderlich machen?

Gestern erneutes Beispiel: der Chef wollte, dass ich einer Beraterin VPN- und RDC-Zugang einrichte. Auch auf einem - für uns -wildfremden PC. Langfristig möchte ich wirklich auf den zusätzlichen Server (Datenbanken, DC etc.) zugehen! Welche Alternativen gibt es noch zum ISA (nur in Hinblick auf die Sicherheit bez. des VPNs)? Danke!

Es soll ja noch starten, aber warum startet es in jeder Usersession rechts unten im Infobereich (hab ich inzwischen ausgeblendet, das löst aber ja das Problem nicht) ...

Ja habe ich, erscheint auch in der Übersicht, der Druckertreiber. Wird aber nicht erkannt, obwohl der lokale Treiber bei Client identisch lautet mit dem des Servers. Das mit ITENOS müsst ich ja bei jedem User rausnehmen, oder? Das kanns doch nicht sein, oder? :-) Danke

Stimmt, ich muss die Bombe warten :-) Habe am Wochenende den Server neu aufgesetzt. Hat eigentlich sehr gut geklappt, habe aber Freitagabend, Samstag + Sonntag bis 15 Uhr gebraucht (inkl. "feintuning) ... Das heisst, ich würde den derzeitigen Server als TS beibehalten und so viel wie möglich Dienste auf einen neuen Server auslagern? Der neue is dann DC, das is klar, aber was wird dann aus dem jetzigen Server? Bitte um eine kleine Erklärung. TS-Lizenzserver bleibt auf dem jetzigen, korrekt? Kannst Du mir ein konkretes Servermodell vorschlagen? Von Dell z.B.? Danke :-) !!

Hallo, bin mitten im "Neuaufsetzen" des Terminalservers. Läuft eigentlich alles recht gut, aber 2 Fragen hätte ich: - bekomme einen HP Laserjet 1010 nicht auf die Session. Wird auch nicht im Ereignisprotokoll angezeigt, dass der Treiber nicht gefunden wurde. Wird einfach ignoriert. Habe das jetzt mal via Freigabe versucht, funktioniert. Ist aber nicht sehr elegant. - was tut ihr bei Anwendungen (Prozessen, TrayIcons), die sich in jeder TS-Session öffnen, es aber nicht sollen? Beispiel: ITENOS OnlineBackup, geht in jeder Session unten erneut auf und sorgt so für unnötige Auslastung des Servers. Danke! Canni

In wenigen Minuten geht es los. Reiner TS is gut, wir haben nunmal nur diesen Server :-( Ca. 7 User gleichzeitig, maximal.