Jump to content

Richtlinien von Windows 2003 Workgroupserver zentral verwalten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo ihr lieben Leut!

 

Situation

Obwohl die meisten Server in einer Domäne sind (damit Richtlinien zentral über die Active Directory eingestellt werden können) gibt es leider auch ein paar Workgroup-Server. Die Richtlinien der Workgroup-Server sind entweder auf dem Stand der Installation oder wurden später manuell angepasst.

 

Problem

Da ich da keinen Überblick habe, wer wo was verändert hat und sowieso möchte, dass die lokalen Änderungen regelmäßig durch aktuelle und vor allem richtige Richtlinien überschrieben werden, suche ich momentan nach einer Lösung für dieses Problem. Im Idealfall soll es ähnlich wie mit den Domänen-Servern funktionieren. Die Workgroup-Server in die Domäne ziehen ist keine Option.

 

Was ich mir bisher dazu angeschaut habe

Bisher habe ich viel in Büchern gestöbert, „gegooglt“ und Freunde gefragt… Dabei ist herausgekommen, das „Security Templates“ oder der „Security Configuration Wizard“ hilfreich sein könnte. Ich habe allerdings noch nicht ganz verstanden, wie das mein Problem lösen kann. (Vielleicht weiß dazu ja jemand mehr?)

 

Heul Heul

Leider hat also bisher noch nichts funktioniert. Das kann aber auch daran liegen, dass ich mich zum ersten Mal mit einem (Gruppen)Richtlinien-Problem auseinandersetze und in dem Bereich noch nicht soviel Erfahrung habe.

 

Bitte Bitte

Hat so was schon mal jemand von euch gemacht? Ich würde mich sehr über Erfahrungen, Tipps oder Ideen freuen, da ich momentan absolut nicht weiter komme.

 

Vielen Dank schon mal!

 

Wenn noch was unklar ist, bitte fragen :)

 

Gruß,

Fabian

Link zu diesem Kommentar

Hallo Fabian,

 

willkommen an board, schön das Du zu uns gefunden hast.

 

Was spricht gegen die Aufnahme der Server in die Domäne?

 

Die Anpassung von lokalen Richtlinien auf Windows-Servern ist mit viel Bastelei verbunden und im größeren Maßstab nicht mehr nachzuvollziehen.

 

Das Werkzeug deiner Wahl heitßt auf jedem Workgroup-Server "Lokaler Gruppenrichtlinien-Editor".

 

Das Programm erreichst Du indem Du unter Start\Ausführen -> gpedit.msc eingibst.

Link zu diesem Kommentar

Moin,

 

wenn die Server nicht in die Produktionsdomäne sollen, kannst du sie vielleichn einer Zweitdomäne zusammenfassen. Ohne Domäne wirst du jedenfalls keine zentrale Richtlinienverwaltung hinbekommen.

 

Zwar könntest du mit Sicherheitsvorlagen oder Ex- und Importgebastel was hinfrickeln, aber das wäre weit entfernt von einer verwaltbaren Lösung. Und schließlich gibt es einiges in den Policies, was diesen einfachen Methoden nicht zugänglich ist.

 

Schau dir mal das Tutorial in der iX an, das frommi und ich geschrieben haben:

.: www.kaczenski.de :. iX 01/2009: Tutorial Gruppenrichtlinien, Teil 1

.: www.kaczenski.de :. iX 2/2009: Tutorial Gruppenrichtlinien, Teil 2

.: www.kaczenski.de :. iX 3/2009: Tutorial Gruppenrichtlinien, Teil 3

 

Im ersten Teil geht es um Richtlinien ohne AD. Aber Spaß wird das nicht machen.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo djmaker,

 

danke und wow - was für eine schnelle Antwort :)

 

Was spricht gegen die Aufnahme der Server in die Domäne?

Von Server zu Server sprechen andere Gründe gegen die Domänenintegration - mal ist es eine spezielle Anwendung (kaum zu glauben, aber so ist es...), mal der Wunsch, dass möglichst wenig Ports offen sind, mal was noch absurderes... wie gesagt: Es ist leider keine Option die Server einfach in die Domäne zu schalten - das wäre auch das was ich bevorzugen würde.

 

Die Anpassung von lokalen Richtlinien auf Windows-Servern ist mit viel Bastelei verbunden und im größeren Maßstab nicht mehr nachzuvollziehen.

Genau darüber möchte ich gerne mehr wissen. Klingt so, als ob du da schon mal was gemacht hast.

 

Das Werkzeug deiner Wahl heitßt auf jedem Workgroup-Server "Lokaler Gruppenrichtlinien-Editor".

 

gpedit kenne ich bereits. Ich möchte allerdings vermeiden, dass ich mich auf jeden Workgroup-Server schalten muss, um lokal dann Änderungen zu vollziehen. Das wäre sehr zeitintensiv, frustrierend und damit keine Lösung.

 

Ich suche vielmehr nach einer Idee/Methode/Tool, womit es möglich ist, die Richtlinien auf vielen Workgroup-Servern regelmäßig zu aktualisieren.

 

Toll wäre es wenn:

- Die Aktualisierung nicht aufwändig ist,

- die Aktualisierung überprüfbar ist,

- die Quelle für die Aktualisierung zentral liegen kann (File-Server oder so)

 

Ich bin gespannt auf Ideen oder Vorschläge!

 

Gruß,

Fabian

Link zu diesem Kommentar

Hallo Nils

 

wenn die Server nicht in die Produktionsdomäne sollen, kannst du sie vielleichn einer Zweitdomäne zusammenfassen. Ohne Domäne wirst du jedenfalls keine zentrale Richtlinienverwaltung hinbekommen.

Ja. Aber nach wie vor: Domäne ist No-Go :(

 

Zwar könntest du mit Sicherheitsvorlagen oder Ex- und Importgebastel was hinfrickeln, aber das wäre weit entfernt von einer verwaltbaren Lösung. Und schließlich gibt es einiges in den Policies, was diesen einfachen Methoden nicht zugänglich ist.

Gebastel und gefrickel klingt für mich natürlich auch erstmal wie "oh man, viele Stunden Arbeit und nach einer kleinen Änderung am Netz oder sonstwo muss man sich wieder durch Code wühlen".

Wenn alle Workgroup-Server allerdings Zugang zu einer Datei im Netzwerk hätten und diese Datei eine "Sicherheitsvorlage" oder sowas ist, könnte man die in regelmäßigen Abständen auf jedem Server einlesen lassen, so dass sich die lokalen Richtlinien aktualisieren/überschreiben?

 

Schau dir mal das Tutorial in der iX an, das frommi und ich geschrieben haben:

.: http://www.kaczenski.de'>http://www.kaczenski.de'>http://www.kaczenski.de :. iX 01/2009: Tutorial Gruppenrichtlinien, Teil 1

.: http://www.kaczenski.de :. iX 2/2009: Tutorial Gruppenrichtlinien, Teil 2

.: http://www.kaczenski.de :. iX 3/2009: Tutorial Gruppenrichtlinien, Teil 3

 

Im ersten Teil geht es um Richtlinien ohne AD. Aber Spaß wird das nicht machen.

 

Danke für den Hinweis - auf den ersten Blick scheinen besonders Teil 1 und 3 für mein Problem interessant zu sein. Das schaue ich mir mal genauer an.

 

Gruß,

Fabian

Link zu diesem Kommentar
Von Server zu Server sprechen andere Gründe gegen die Domänenintegration

 

Ich suche vielmehr nach einer Idee/Methode/Tool, womit es möglich ist, die Richtlinien auf vielen Workgroup-Servern regelmäßig zu aktualisieren.

 

Wozu? Wie du selbst schreibst sind scheinbar gravierend unterschiedliche Anforderungen an deine Workgroup Server (wobei mir persönlich kaum Gründe bekannt sind. Was ist das denn für eine Anwendung?), so dass dir eine zentrale Möglichkeit ja nicht paßt.

 

- Die Aktualisierung nicht aufwändig ist,

- die Aktualisierung überprüfbar ist,

- die Quelle für die Aktualisierung zentral liegen kann (File-Server oder so)

 

Dir ist schon klar, dass dir bisher alle gesagt haben, dass das Gebastel wird. Gebastel hat es so an sich, dass es "aufwändig" ist, dass es selten "kontrollierbar" ist. Und alle deine Anforderungen oben sind mit Domänenmitgliedschaft gegeben. ;)

 

Ich bin gespannt auf Ideen oder Vorschläge!

 

Ganz ehrlich? Laß es.

 

Bye

Norbert

Link zu diesem Kommentar

 

Toll wäre es wenn:

- Die Aktualisierung nicht aufwändig ist,

- die Aktualisierung überprüfbar ist,

- die Quelle für die Aktualisierung zentral liegen kann (File-Server oder so)

 

Ich bin gespannt auf Ideen oder Vorschläge!

 

kannst die lokale GPO auf einem Server nach deinen Ansprüchen editieren

exportieren und auf den anderen servern wieder importieren

 

über gpedit.msc natürlich

 

aber wie alle anderen schon sagten, ist echt nicht lustig

 

und nun spinn ich mal rum:

peer taskplaner und script automatisch importieren ??? (geht das überhaubt ) :confused:

Link zu diesem Kommentar
kannst die lokale GPO auf einem Server nach deinen Ansprüchen editieren

exportieren und auf den anderen servern wieder importieren

 

Und dann dort anpassen. Super. :)

 

peer taskplaner und script automatisch importieren ??? (geht das überhaubt ) :confused:

 

Warum soll es nicht funktionieren? Hängt halt von den Skriptingkünsten des Admins ab. ;)

 

Bye

Norbert

Link zu diesem Kommentar

Hallo Norbert,

 

Wozu? Wie du selbst schreibst sind scheinbar gravierend unterschiedliche Anforderungen an deine Workgroup Server (wobei mir persönlich kaum Gründe bekannt sind. Was ist das denn für eine Anwendung?), so dass dir eine zentrale Möglichkeit ja nicht paßt.

 

Da hast du natürlich recht. Gewisse Dinge, wie Kennwortrichtlinen erhoffe ich mir dadurch jedoch glatt zu kämmen.

 

Dir ist schon klar, dass dir bisher alle gesagt haben, dass das Gebastel wird. Gebastel hat es so an sich, dass es "aufwändig" ist, dass es selten "kontrollierbar" ist.

Und alle deine Anforderungen oben sind mit Domänenmitgliedschaft gegeben.

Ganz ehrlich? Laß es.

 

Hm... leider kann ich nichts handfestes dagegen halten. Im Grunde stimme ich ja zu.

 

Ich habe mich dazu entschlossen mich noch mal genauer damit zu befassen was gegen die Domänenintegration spricht. Als mir das Problem geschildert wurde, wurde diese Option jedoch immer außen vorgelassen. Gründe waren halt (wie beschrieben) die zusätzlich offenen Ports und die Probleme, die es bei gewissen Anwendungen gibt.

 

Ich bin trotzdem weiterhin für Alternativen zur Domänenintegration offen und für jeden Rat dankbar.

 

Gruß,

Fabian

Link zu diesem Kommentar
Hm... leider kann ich nichts handfestes dagegen halten.

 

Es gibt wohl auch nicht viel, was man dagegen halten könnte. ;)

 

Ich habe mich dazu entschlossen mich noch mal genauer damit zu befassen was gegen die Domänenintegration spricht. Als mir das Problem geschildert wurde, wurde diese Option jedoch immer außen vorgelassen. Gründe waren halt (wie beschrieben) die zusätzlich offenen Ports und die Probleme, die es bei gewissen Anwendungen gibt.

 

Erklär doch mal, welche Ports ein Client offen hat, wenn er innerhalb einer Domäne steht, und gleichzeitig die Firewall aktiviert ist?

 

 

Bye

Norbert

Link zu diesem Kommentar

also mir fällt keine Anwendung ein die Probleme machen solle alleine dadurch das der server mitglied einer Domäne und nicht mehr einer Workgroup ist

sollst die Server ja nicht gleich zum DC machen :)

 

und eine Zentrale verwaltung aller server und einheitliche standarts per gpo sprechen eigentlich für mehr als für weniger sicherheit, (liegt natürlich am admin) weiss ja nicht wer sich da bei euch offene Ports aus den Fingern saugt :)

Link zu diesem Kommentar

Moin,

 

unbeschadet der Tatsache, dass du Norberts Fragen noch mal bedenken und ggf. beantworten solltest: Bevor du nun eine Frickellösung suchst, um einzelne Teile der Policies alleinstehender Server zu ex- und importieren, wäre es vielleicht immer noch eine bessere Alternative, jeden dieser Server zum DC eines eigenen Forest zu machen. Dann hättest du über die GPMC wenigstens eine beherrschbare Möglichkeit, die GPOs zu ex- und importieren.

 

Damit wir uns nicht falsch verstehen: Spaß wird das immer noch nicht machen, und wirklich verwaltbar wird es dadurch auch nicht. Die Domänenintegration bleibt die beste Alternative. Und der Verdacht bleibt, dass die, die dagegen sprechen, von der Materie zu wenig verstehen.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...