cj_berlin

Das hilft alles nichts. Admin ist Admin. Sobald jemand, der nicht als Admin verpflichtet wurde, die Rechte eines Admins bekommt, ist vorbei. Manche sicherheitsbewusste Organisationen machen Rechner, auf denen sich ein lokaler Admin unterwegs anmelden musste, um etwas zu fixen, wieder platt und betanken sie neu, bevor sie wieder ins LAN dürfen.

Eine schließende Klammer zuviel am Ende. Und das Hütchen ist vermutlich ein Stern, oder?

Die Applikation löscht aber nicht das andere lokale Admin-Account, welches der "gemakete Admin" innerhalb des "befristeten Zeitraum" angelegt hat

Moin, also in dem vom Hersteller vorgesehenen Szenario (mehrere User greifen auf viele bis sehr viele andere Postfächer und Ressourcen zu) hat eine entsprechend großzügige Throttling Policy auf 2019 durchaus gegriffen. Dein Fall (ein User hat 70 Devices) ist so nicht vorgesehen, und ich bezweifle sehr, dass er bei Microsoft so getestet worden ist. Themenwechsel: Die Exchange CALs für alle User oder zumindest für die 70+ Devices habt ihr aber schon gekauft, oder? Technisch hat es zwar keine Auswirkungen, aber rein aus Interesse?

Moin, in meiner Erfahrung (bin aber kein Netzwerker) sind die Hersteller nicht homogen. Bei HP gibt es auch keine "Mischung", sondern es gibt mehrere Baureihen. Für ein Datacenter wäre A-Series (3Com) oder Aruba durchaus eine exzellente Wahl. Auch bei Cisco gibt es ja große Unterschiede zwischen den einzelnen Familien. Ich denke, hier musst Du, wenn Du sinnvolle Empfehlungen hören willst, den Use Case etwas näher beschreiben, Wie viele 100G / 10G / 1 G-Ports brauchst Du, ist nur Campus und Core wichtig oder auch Datacenter, welches NAC kommt zum Einsatz, ist im Campus PoE oder PoE+ oder gar noch mehr notwendig usw.

Moin, kommt darauf an, was gefordert wird. Von "auf dem Server belassen mit Rollover" über "auf dem Server belassen mit Abspeichern" über "auf einen zentralen Server per Event Subscription duplizieren" bis hin zu dedizierten SIEM-Lösungen ist alles möglich und wird praktiziert. Wenn Dein Syslog server genügend Platz und Performance hat, kannst Du diesen z.B. mit rsyslog nutzen.

Wenn Du die Proxy-Anmeldedaten nicht speicherst, würde es reichen, dass der vorherige User den Browser beendet. Und das muss auch das Inaktivitäts-Skript dann leisten. Das An- und Abmelden verstehe ich in diesem Szenario gar nicht - würden die PCs nicht theoretisch als Kiosk laufen, d.h. immer angemeldet? Wenn sich nämlich alle User eh mit dem gleichen Namen und Kennwort (die dann irgendwo an einer Tafel stehen) anmelden, wo ist hier der Sinn?

Du trägst in die Browser-Konfiguration verbindlich einen Proxy ein und sorgst dafür, dass Proxy-Anmeldedaten nicht abgespeichert werden können. Bei jedem Aufruf einer externen Ressource (interne Webdienste schließt Du aus dem Proxy aus) kommt ein Pop-Up mit der Bitte um Anmeldung. Und der Proxy verifiziert diese Anmeldung gegen das vorhandene Kerberos-System.

Man merkt, dass ein Thread entgleist ist, wenn wirklich keiner mehr die vorherigen Posts liest

Ja. Aber hast Du schon versucht, ob es von extern nicht auch so geht (https://rdweb.firma.com/RDWeb)?

Moin, das sind viele Fragen. Apps und Desktop über die gleiche Collection geht offiziell nicht, es gibt einen Registry Hack, musst Du googlen, Stichwort "ShowInPortal". RDWeb durch RD Gateway bereitstellen: Wenn Dein internes DNS den externen FQDN des Gateways zum RDWeb auflösen kann, sollte das funktionieren. Wenn alle Stricke reißen, RDWeb auf dem Gateway mit installieren.

Jetzt aber mal andersherum gedacht: Sind die Dienste, die die Studenten an den öffentlichen PCs nutzen, so personalisiert, dass man das nicht als Kiosk abbilden kann, quasi ohne Anmeldung?

Spear phishing.

Moin, grundsätzlich passiert da gar nichts, dem Trust (ab FFL=2003) ist es egal, was auf den DCs läuft. Allerdings muss die fremde Domain Deine Domain weiterhin finden. Wenn Du also die IP-Adressen Deiner DCs bei der Migration beibehältst, ist alles gut. Ändern sich die IP-Adressen der DCs und somit der DNS-Server, musst Du das den fremden Admins mitteilen, damit sie den Conditional Forwarder anpassen können.

Moin, ja, "jeder Nutzer kriegt eine O365-Lizenz und alle teilen sich einen PC mit OneDrive for Business" würde gehen. Mit "alle Nutzer teilen sich eine O365-Lizenz" würdet ihr den Lizenzvertrag verletzen. Alles andere wäre in diesem Szenario vermutlich ein Overkill.

...doch auch das wird davon abhängen, ob Deine RAID-Controller fähig sind, ihre RAIDigkeit abzulegen und als "dumme" HBAs zu agieren.

Der TO schrieb, dass er Standard-Lizenzierung an den Büchsen hat.

Moin, wenn ich das Datenblatt der JX40 richtig lese, ist es ein JBOD, d.h. jede Platte wird einzeln von den jeweiligen HBAs angesprochen. Du könntest also theoretisch jede einzelne Platte im JBOD als separaten Clusterdatenträger einbinden. Wenn Du aber auf einem der Hosts aus diesen Platten ein RAID-Array machst, dann kann auch nur dieser Host das ganze managen. Ob nun Fujitsu-Händler oder nicht, Du musst darüber mit jemandem sprechen, der sich mit dem Windows Server Failover Clustering auskennt.

Moin, wenn sie schon authentifizierungsfähige IDs haben, dann legt doch im AD vorn vornherein ein gleichlautendes Konto und lasst sie einfach das Kennwort selber zurücksetzen. Das wiederum könnte man relativ gut und sicher mit einem einfachen Webportal umsetzen, indem man die e-Mail (welche die Studenten ja erfolgreich nutzen) als quasi den berechtigenden Faktor nimmt. Das habe ich vor einem Monat für einen Kunden umgesetzt, es gibt aber auch fertige Produkte dafür. Wenn sich solche Anforderungen häufen, solltet ihr euch über geregeltes und zentralisiertes IAM Gedanken machen. Als Bildungseinrichtung seid ihr ja für Open Source prädestiniert, daher z.B. https://www.openiam.com/ Da wären übrigens auch solche Self-Service Portal schon enthalten.

Moin, macht der MR9286CV-8e tatsächlich auch RAID aus den Disks dahinter? Das geht natürlich nicht, wenn zwei Hosts auf den Storage zugreifen sollen. Der HBA muss im SAS-Modus (ohne RAID) laufen, und das externe Gerät muss die Disks selbst zusammenfassen und als einzelne LUNs an das System präsentieren.

Klar. Eine Pro Lizenz kaufen, Key ändern, fertig. Wenn Dir so etwas wie ein Upgrade der alten Win7 Pro-Lizenz vorschwebt... nun, Win 7 ist nicht mehr unter Support, existiert kaufmännisch gesehen also gar nicht mehr.

Moin, was genau ist die Frage? PST und Outlook sind zwei Beispiele von "Bordmitteln" und vermutlich auch die einzigen, die Dir zur Verfügung stehen. Eine Migration wie von on-prem Exchange zu O365 setzt eine Hybridstellung voraus, was Dir ein Shared Hoster nicht anbieten wird.

Deswegen war es kein Vorschlag einer Lösung (denn es gab ja auch keine Aufgabe), sondern nur eine kleine Illustration, wie PowerShell mit Typen und Werten umgeht

Moin, Du *kannst* in PowerShell Typen (und somit implizite Konversion) in vielen Fällen auch erzwingen: [int]$Eingabe = Read-Host -Prompt "Bitte Integer Zahl eingeben" ($Eingabe -is [Int]) Das bewegt Read-Host zwar nicht dazu, ein Int auszugeben, aber PowerShell dazu, das bei der Zuweisung zu wandeln. Der Typ der Variablen wird auch respektiert, wenn er ihr vorher implizit zugewiesen wurde: $Eingabe = 2 $Eingabe = Read-Host -Prompt "Bitte Integer Zahl eingeben" ($Eingabe -is [Int])

Du wolltest ja eine bestehende bearbeiten, Das wäre dann Set-*