magheinz

Óhm. ISCSI-Initiatoren und FC-switch? Hab ich was verpasst?

Ich bin da ganz bei kaineahnung. Um eine Struktur so umzusetzen bräuchte man erst mal ein vernünftiges Berechtigungskonzept. In vielen Firmen ist aber die Dateiablage ein gewachsenen System was man nicht so einfach ändern kann. Wir versuchen seit mehr als 3 Jahren alle auf ein zentrale Laufwerk umzustellen. Es gibt aber immer noch einen Fachbereich der sich da schlicht verweigert. Unsere OUs bilden auch die Firmenstruktur ab. Das war der kleinste gemeinsame Nenner aller Strukturen. Die Berechtigungen liegen dann eh in Gruppen. Denen sind die OUs egal. Unser Laufwerkskonstrukt ist dementsprechend kompliziert. Zu den Ordnern: mit jeder Ebene addieren sich die Rechte. Der mit den meisten Rechten muss also tiefer im Verzeichnisbaum sein. Da ist NTFS einfach rückschrittlich. Ich hätte es nie gedacht dass ich mal etwas an Novell Netwate gut finden würde, aber das Rechtesystem war im Vergleich echt genial.

Wenn 4mal klicken stört würde ich einfach flachere Ordnerstrukturen nutzen. ansonsten ja: genau so ist es. Funktioniert bei uns wunderbar bis auf einzelne User die sich aber gegen jegliche Änderung sträuben.

Dann sag deM Dienstleister das er ab heute nicht mehr zuständig ist und auch nichts mehr garantieren muss. Dann hast du dne gleichen Zustand wie mit neu beschaffter Hardware. Um so etwas organisatorisches zu ändern muß man doch keine neue Hardware kaufen... Wie gesagt, das finanzielle kann ein Grund sein, dass du dich mit HP auskennst kann ein Grund sei. Aber das da oben ist vorgeschoben. HP-Enterpriseswitche nehmen sich finanziell nicht viel gegen Cisco Enterprise. Gleiches gilt für HP SMB gegen Cisco SMB

Was ändert sich denn durch den Hersteller an den SLAs? Musst du dich bei anderen Herstellern nicht einarbeiten? Ich hab ja nix gegen einen Herstellerwechsel und Geld ist auch ein guter Grund. Deine Begründung erscheint mir aber vorgeschoben.

Wieso sollte sich das aber bei einem anderen Hersteller ändern? Wieso kannst du HP-Switche selber administrieren, Cisco-switch aber nicht? Das ist doch eher ein organisatorische Problem als ein Problem mit ein bestimmten Hersteller.

Na dann schaltet doch einfach alles ab. Mehr Sicherheit geht ja wohl kaum.

Wieso nicht die Verfügbarkeit?

Wie wäre es das ganze per split-DNS zu lösen? Vorausgestezt es sind 4 baugleiche Drucker. Das gibt bestimmt auch irgendwelche kleinen Probleme, scheint auf den ersten Blick aber möglich zu sein.

Das hätte dann ja seinen Sinn. Ist es der selbe der auch nur Cisco verkaufen möchte, weiss ich jetzt schon was der beim nächsten Fall sagen wird wenn einer auf die SLA verweisst.

Das kann ich gut nachvollziehen. Die Cisco-Preise sind manchmal echt heftig. Da sind dann aber keine technischen Gründe!

Das muss ins Marketing und "Wie drehe ich einem Kunden etwas an"-Forum. mit cisco hat das nix zu tun.

Das kann wirklich zu Problemen führen! Wenn der Händler ausschließlich Cisco verkauft, dann kann der Cashflow gestört werden. Das Verhältnis von Input zu Output am Bankkonto gerät dann aus dem Gleichgewicht. Außerdem werden Geldströme zum falschen Händler und Hersteller geroutet. Was am nervigsten ist: da man bei so einem Händler nicht mehr kaufen möchte, muß man sich auch für ciscokomponenten einen anderen suchen. Das kann man auch wunderbar in reinen Cisco Netzen hinbekommen...

Für ein Notebook musst du ja nur die entsprechenden Gefährdungen und Maßnahmen aus den Grundschutz Katalogen nehmen. Ein Sicherheitskonzept nach BSI ist ja deutlich mehr als das, was du hier brauchst.

Pitti beschreibt da übrigens wunderbar das Vorgehen nach BSI Grundschutz...

Das geforderte Sicherheitsniveau kann wohl kaum der Auftragnehmer festlegen.

Da sollte die Firma aber ein paar Vorgaben machen. Die müssen doch erst mal das geforderte Sicherheitsniveau vorgeben. Das geht dann bei der Hardware los: redundantes Netzteil, RAID, abschließbares Gehäuse, USV, etc und hört bei so sachen wie Passwörtern etc auf. Zwischendrinn ist dann sowas wie unnötige Dienste beenden, Verschlüsselung etc.

Ich würde das homelaufwerk beim anlegen des Users anlegen. alles andere dürfte vom NAS abhängen.

der zentrale Adminserver hat vor allem einen Bequemlichkeitsvorteil. Ich muss nichts mehr lokal installieren und habe immer alles bereit. Egal ob ich am Arbeitsplatz sitze, ein notebook nutze oder im schlimmsten Fall mit dem Smartphone unterwegs bin. In den meisten admin-tools muss man sich ja eh noch mal anmelden und man kann die Administration auf den Zielgeräten auf die eine IP einschränken, so diese das können.

Und er möchte ein eigenes GPS betreiben? So mit eigenen Satelliten etc?

Wie sieht denn das derzeitige Setup genau aus?

Jap, ich wollte es nur als Info ergänzen. Die meisten Konzepte von MS sind halt für riesige Umgebungen gedacht. Wenn man die dann auf KMUs runterbricht muss man halt schauen ob man etwas anpassen will.

richtig, das ist pro User. Wird der token zu groß scheitert die Anmeldung. Im eventlog steht dann glaube ich sowas wie: "zu viele Gruppenmitgliedschaften". Man kann das einfach ausrechnen. In der KB ist irgendwo eine Formel. Oder auch hier: https://www.msxfaq.de/windows/kerberos/kerberosticketsize.htm#groesse_berechnen Im übrigen ist das ein Grund warum man AGDLP macht. Im Forst sind nur die Gruppen der lokalen Domäne im Token. Würde man die Permission über globale Gruppen verwalten wären immer alle im token.

Muss es revisionsicher sein? Falls nein gibt es benno auch als openbenno!

Man kann die Token-max-size vergrößern. Und ja, mit jeder Gruppemitgliedschaft wird der token größer und erreicht irgendwann das maximum. Das hat mit der Anzahl der Mitarbeiter nichts zu tun.