Windows 2000/2003 Server ohne DC-Funktionalität in einer Domäne?

[sturmi 10]

Guten Morgen zusammen,

 

ich als absoluter Laie muß dieses Board nun leider mit wahrscheinlich etwas banalen Fragen belasten.;-)

 

Also, ich habe folgende Situation:

Ich arbeite in einem sehr großen Pharma-Unternehmen, und betreue Automatisierungssysteme, die Anlagen zur Herstellung von Medikamenten steuern.

Diese Automatisierungssysteme gehören der neuesten Generation an, arbeiten also mit modernen BSen.

Bei uns gibt es natürlich eine Domäne für das sog. Office-Netz, d.h. alle Bürorechner usw.

Ein Untersegment, welches durch diverse Schutzmechanismen von dem Office-Netz getrennt ist, heißt Automatisierungsnetz. Dieses ist ein Teil unserer Domäne, verfügt jedoch über eigene DCs und DNSen.

 

Wir planen im Augenblick eine neue Anlage, die aller Voraussicht nach das Leitsystem Siemens PCS7 haben wird.

Da wir mehrere Bedienstationen für die Anlage brauchen, ist von Siemens aus eine Server-Client-Konstruktion vorgesehen. Das bedeutet für mich, daß ein Rechner als Server fungiert, und als BS W2K oder W2003 Server benötigt. Der/die anderen Rechner werden mit Windows XP Professional laufen.

 

Jetzt soll unserer Philosophie nach diese neue Anlage auch in die Domäne aufgenommen werden.

Dies hat den praktischen Hintergrund, daß sich Mitarbeiter nicht für jede Anlage ein eigenen Benutzernamen/Passwort merken müssen, sondern mit ihrem normalen Domain-Account Zugriff auf die Systeme erlangen.

Das Leitsystem selbst regelt dann anhand der Benutzerkennung die Berechtigungslevel.

 

Meine Frage ist jetzt folgende:

Gibt es ein Problem, wenn ich einen Rechner mit Server-BS in die Domäne aufnehmen will?

Ich kann ihn ja m.E. auch ohne DC-Fähigkeit einbinden.

Aber, welche Risiken birgt das für die Funktion meiner Domäne?

Diese Domäne ist SEHR groß, und es hängt mehr oder minder die gesamte Produktion in Europa von der Funktion selbiger ab, dementsprechend bekomme ich feuchte Finger bei dem Gedanken daran, daß an dieser Stelle was schief gehen kann.

Welche Möglichkeiten in der Domäne Unsinn anzustellen, habe ich von dem Server-BS im Gegensatz zu einem Client?

 

Für Hilfe bei diesen Fragen, die einem versierten "Schrauber" sicher die Lachtränen in die Augen treiben ;-), wäre ich sehr dankbar.

 

 

Freundlich-Herbstliche Grüße aus Frankfurt am Main,

 

Christian

[lefg 276]

Hallo Sturmi,

 

du kannst einen 2k(3)-Server als Member in eine Domäne einbinden wie eine Workstation. Das ist eine ganz normale bewährte Angelegenheit. Ein Memberserver hat den gleichen Status wie eine Workstation, der Unterschied liegt in der Menge der möglichen Zugriffe darauf.

 

 

Das man mal unsichere Momente hat bei ausserhalb der eigenen Erfahrungen liegenden Sachverhalten, halte ich für verständlich. Dieses Board (wir) ist ja zum Nachfragen da. Bei ernsthaften Angelegenheiten verzichten wir aufs Lachen. :)

 

Gruß

 

Edgar

[dmetzger 10]

Ich sehe das Problem nicht? Man kann sehr wohl Mitgliedsserver ohne DC-Funktionalität in Domänen einbinden. Das ist selbst in kleinen Netzwerken alltäglich.

[Gadget 37]

Moin Sturmi,

 

Welche Möglichkeiten in der Domäne Unsinn anzustellen, habe ich von dem Server-BS im Gegensatz zu einem Client?

 

so ganz versteh ich deine Frage nicht, Windows XP u. W2k3 Server haben im Grunde genommen fast den gleichen Kernel, was sich auch in der Versionierung darstellt.

 

Windows XP = 5.1.XXXX, W2k3 = 5.2.XXXX

 

Es kommt nicht drauf an welches Windows OS du in die Domäne hängst sondern welche Berechtigungen du einem bestimmten Personenkreis zuweist, sprich einen Domänenadmin auf einer XP Workstation ist genauso gefährlich wie ein Domänenadmin auf einem Server OS.

 

Die Verwaltungstools die bei W2k3 von Hause aus dabei ist, in Form von Management Consolen, lassen sich auf einer XP Workstation als Dom-Admin extrem einfach nachinstallieren. (Adminpak.msi vom Internet downloadbar o. von der W2k3 CD o. von nem bestehenden 2k3 Server aus "%windir%\system32\adminpak.msi".

 

Wenn du die MMC auf ner einfachen Workstation öffnest kannst du dir erstmal ein Bild machen wie Modular die Verwaltung einer Windows-Domäne aufgebaut ist:

 

Start / Ausführen / mmc 

in diese lassen sich sogenannte Snap-In´s einbauen ... Windows XP hat von hause aus weniger, aber nach der Installation wie oben Beschrieben vom Adminpak genauso viele wie W2k3.

 

Deswegen ist das A u. O eine korrekt durchdachte Berechtigungsstruktur:

Wer darf Was?

Warum muss er das können?

Schriftlich festgehalten?

.....

 

1. Grundsätzlich gilt, kein "normaler" (meistens alle Nicht-IT´ler) dürfen Admin-Berechtigungen erhalten, geschweige denn Domänen-Administrator. Dann bist du erstmal auf der sicheren Seite, da die verschiedenen MMC-Funktionen ohne Berechtigungen nix bringen.

 

2. Bei Bedarf kann der Aufruf der MMC für eine bestimmte Benutzergruppe mittels Gruppenrichtlinien eingeschränkt werden. => Server Hardening

 

Ich liefer dir nachher noch ein paar Links zum Thema nach...

 

LG Gadget

[sturmi 10]

Hallo, und erstmal vielen Dank für die vielen Antworten.

Wie ich schon eingangs erwähnte, bin ich was diese Dinge angeht, ein absoluter Laie.

 

Dementsprechend frage ich lieber, bevor wir in die Detailplanung gehen.;-)

 

Wenn ich das also richtig verstanden habe, kann das Leitsystem (in Form der Clients) also die Server-Funktionalitäten inklusive der Domain-Accounts nutzen, ohne daß von dem Server-BS eine Gefahr für meine Domäne ausgeht?

 

Ich kann dem Server-BS die gleichen Restriktionen auferlegen, wie einem normalen Client?

 

Und die Domain-Policys gelten für ein Server-BS genauso, wie für einen normalen Client?

 

Und, wenn auf Domain-Ebene ein User nur User-Berechtigungen hat, ändert sich das auf einem Server-BS auch nicht?

 

Wenn das so ist, werde ich die Schweißproduktion etwas einstellen, und meine Planung mit einer gewissen Gelassenheit voran treiben.

 

Ich hatte vielleicht vergessen zu erwähnen, daß ich nicht zum IT-Support gehöre, sondern mich eigentlich um die anlagenseitige Automatisierung kümmere.

 

Aber ich bin gerne wenigstens halbwegs vorbereitet, wenn ich in die Planungsrunde mit der IT-Abteilung gehe. ;-)

 

Also nochmal vielen Dank an alle Leser und Poster, ihr habt mir schon sehr weiter geholfen.

 

Die Links, die da kommen werden, werde ich mir genau anschauen. Ich bin lernfähig, und willig. ;-)

 

Gruß aus dem sich inzwischen aufhellenden Frankfurt.

 

Christian

[lefg 276]

Wenn ich das also richtig verstanden habe, kann das Leitsystem (in Form der Clients) also die Server-Funktionalitäten inklusive der Domain-Accounts nutzen, ohne daß von dem Server-BS eine Gefahr für meine Domäne ausgeht?

Richtig

Ich kann dem Server-BS die gleichen Restriktionen auferlegen, wie einem normalen Client?

Genau

Und die Domain-Policys gelten für ein Server-BS genauso, wie für einen normalen Client?

Stimmt

Und, wenn auf Domain-Ebene ein User nur User-Berechtigungen hat, ändert sich das auf einem Server-BS auch nicht?

So Berechtigungen der Domäne vergeben werden, richtig. Das wäre ja auch der Normalfall.

Wenn das so ist, werde ich die Schweißproduktion etwas einstellen, und meine Planung mit einer gewissen Gelassenheit voran treiben.

Kannst du beruhigt. :)

Ich hatte vielleicht vergessen zu erwähnen, daß ich nicht zum IT-Support gehöre, sondern mich eigentlich um die anlagenseitige Automatisierung kümmere.

Hab ich mir dächt, ich war mal bei der SPS.

Aber ich bin gerne wenigstens halbwegs vorbereitet, wenn ich in die Planungsrunde mit der IT-Abteilung gehe. ;-)

Das kann ich verstehen.

Also nochmal vielen Dank an alle Leser und Poster, ihr habt mir schon sehr weiter geholfen.

Gern geschehen

Gruß aus dem sich inzwischen aufhellenden Frankfurt.

Auch in Lübeck ist es inzwischen heller geworden, aber keine Sonne.

 

Edgar