Ich komme eher aus der Mac-Welt und habe kaum noch Berührungspunkte mit Win. Jetzt stehe ich gerade vor der Frage, wie sich die Windowseinrichtung heutzutage gestaltet. Früher hieß es, dass man möglichst einen Benutzer anlegen soll und nicht mit Adminrechten arbeitet. Ist das immer noch so? Wie funktioniert das im Büro, wenn jemand ein Programm installieren (oder sogar nur updaten) will? Braucht er dazu dann das Adminkennwort?
Wie installiert man Win10 für den professionellen Einsatz? (Admin/Benutzerrechte)
- Ersteller Worker151
- Erstellt am
Janz
Fleet Admiral
- Registriert
- Juni 2004
- Beiträge
- 13.698
wenns richtig gemacht wird läuft genau so wie seit Jahrzehnten, die Dinger hängen in Domänen und haben keine Rechte außerhalb ihrer Benutzer welche übers AD gemanaget werden. Updates von Windows werden per WSUS vom Admin freigeschaltet und installieren sich automatisch, das gilt dann auch für Office. Falls andere Programme verwendet werden müssen die auf jedem Arbeitsplatz manuell installiert und ggf. geupdatet werden (und zwar manuell vom Systemadministrator der dafür nen lokales Adminkonto nutzt was bei der Einrichtung automatisch angelegt wird und dessen Passwort maximal ne handvoll Leute kennt und niemals irgendein normaler Mitarbeiter)
Da gibt es unterschiedliche Ansätze von "der Benutzer darf gar nichts" nicht mal das was man normal mit Benutzerrechten einstellen könnte bis zu "jeder Nutzer ist lokaler Administrator". Das ist davon abhängig wie gut die Nutzer mit PCs umgehen können, wie gut der Admin die PCs im Griff hat und ob Lösungen für Rechtemanagement oder eine Softwareverteilung im Einsatz sind.
Eine pauschal gültige Richtlinie gibt es hier nicht.
Nenn uns doch mal ein paar Eckdaten: Anzahl der Clients, Know-How der Benutzer und der IT und welche Software so zum Einsatz kommt.
Eine pauschal gültige Richtlinie gibt es hier nicht.
Nenn uns doch mal ein paar Eckdaten: Anzahl der Clients, Know-How der Benutzer und der IT und welche Software so zum Einsatz kommt.
Ost-Ösi
Commodore
- Registriert
- März 2012
- Beiträge
- 4.792
Ich denke man muß sich vorab einmal klar sein, was man will. Soll es jedem Mitarbeiter erlaubt sein auf dem System nach herzenslust herum zu fuhrwerken (oder eher seiner Arbeit nachkommen) oder soll es einen Administrator geben, der dann eben einheitlich für ein funktionierendes System sorgt und jedem Mitarbeiter das zukommen läßt, was jender für ein produktives Arbeiten so halt braucht. Auf den ersten Blick kostet zweites Vorgehen halt Geld für einen zusätzlichen Mitarbeiter, aber auf den zweiten Blick lohnt sich dieses Vorgehen ab einer bestimmten Firmengröße wegen efizienterem Einsatz und wenigen technischen Troubles. Aber diese Binsenweisheiten haben so gut wie nichts mit dem verwendeten Betreibssystem etwas zu tun.
Es ist mittlerweile ähnlich wie bei einem Mac.
Du kannst einen Benutzer mit vollen Administratorberechtigungen anlegen. Dieser bekommt dann beim Zugriff auf Systemfunktionen einen Dialog zum Bestätigen (UAC). Du kannst konfigurieren ob bei diesem Dialog das Kennwort erneut eingegeben werden muss (wie beim Mac) oder nicht.
Alternativ arbeitest du mit einem Benutzer ohne Administratorberechtigung und brauchst ein zweites Konto auf diesem PC (oder in der Domäne) um Programme zu installieren oder Systemeinstellungen vorzunehmen.
Du kannst einen Benutzer mit vollen Administratorberechtigungen anlegen. Dieser bekommt dann beim Zugriff auf Systemfunktionen einen Dialog zum Bestätigen (UAC). Du kannst konfigurieren ob bei diesem Dialog das Kennwort erneut eingegeben werden muss (wie beim Mac) oder nicht.
Alternativ arbeitest du mit einem Benutzer ohne Administratorberechtigung und brauchst ein zweites Konto auf diesem PC (oder in der Domäne) um Programme zu installieren oder Systemeinstellungen vorzunehmen.
Es geht nur um 5 Arbeitsplätze, ohne Windows Server und somit ohne Domäne, einen reinen IT-Admin gibt es aufgrund der geringen Größe deswegen auch nicht. Know-How der Benutzer erstreckt sich über das gesamte Spektrum, neben Office kommen noch 3-5 weitere (nicht Microsoft) Anwendungen zum Einsatz.
Windows Updates lassen sich doch weitestgehend automatisieren (mit dem Nachteil, dass ein Update auch mal den Rechner lahmlegen könnte) und bei so wenigen Clients wäre es wohl ok die getrennt runterzuladen.
Sinnvollste Lösung - wenn man keine Domäne mit Windows Server einrichtet - ist dann also wohl einen Benutzer zusätzlich zum Admin zu machen, der sich um die Updates für alle kümmert?
Windows Updates lassen sich doch weitestgehend automatisieren (mit dem Nachteil, dass ein Update auch mal den Rechner lahmlegen könnte) und bei so wenigen Clients wäre es wohl ok die getrennt runterzuladen.
Sinnvollste Lösung - wenn man keine Domäne mit Windows Server einrichtet - ist dann also wohl einen Benutzer zusätzlich zum Admin zu machen, der sich um die Updates für alle kümmert?
- Registriert
- Feb. 2010
- Beiträge
- 22.560
du schreibst in deinem anderen Threat zur PC Suche, dass die Daten auf einem Server liegen... Was ist es für ein Server wenns kein Windows Server ist?
Auch in der Linux Welt kann man Active Directory nachbauen.
bzw. auch auf NASen geht das inzwischen
https://www.synology.com/de-de/dsm/feature/active_directory
darüber Hinaus bieten viele AV Lösungen auch die Verwaltung von Windows Updates bzw. Updates für andere Anwendungsprogramme an. Bei einer Business AV Lösung hast du dann auch ne zentrale Verwaltung dafür.
Auch in der Linux Welt kann man Active Directory nachbauen.
bzw. auch auf NASen geht das inzwischen
https://www.synology.com/de-de/dsm/feature/active_directory
darüber Hinaus bieten viele AV Lösungen auch die Verwaltung von Windows Updates bzw. Updates für andere Anwendungsprogramme an. Bei einer Business AV Lösung hast du dann auch ne zentrale Verwaltung dafür.
Worker151 schrieb:
Die Updates werden herunterladen und installiert, egal ob sich ein Benutzer oder ein Admin an dem PC angemeldet hat. Bei 5PCs würde ich gar nicht erst einen Hickhack mit Domäne oder gar WSUS machen.
Am Ende kümmert sich dann lange Zeit niemand darum und statt einen vermeintlichen Vorteil hat man nur Nachteile. WSUS macht nur Sinn wenn man auch eine IT Abteilung hat, die Updates mit den installierten Anwendungen vorab testet und diese dann einzeln freigibt. Sonst ist es eine reine Augenwischerei.
EDIT:
Wenn du Office 365 einsetzt, kannst du die Geräte ins Azure AD einfügen und darüber verwalten. Für kleinere Umgebungen, die keine Angst vor der Cloud haben die beste Lösung und wenn auf den Geräten keine Windows 10 Pro oder Enterprise Version läuft, auch die einzige.
Zuletzt bearbeitet:
Stimmt species, es ist wirklich kein Server mehr, sondern eine Synology NAS. AD (ist ja dann auf Basis von Samba 4) habe ich mir auch schon einmal überlegt gehabt. Bietet es denn in dem Szenario einen wirklichen Vorteil? Der Administrationsaufwand bei 5 PCs hält sich noch in Grenzen, Samba unterstützt (gerade in der Synology Implementierung) anscheinend GPOs nur eingeschränkt und ein Backup DC ist soweit ich weiß mit einer zweiten Synology (noch?) nicht möglich?
Wobei wir früher auch einen Windows SBS als DC und ohne Backup DC hatten, in kleinen Büros wohl nicht unüblich, trotzdem habe ich da rückblickend Bauchschmerzen. (Und wie im anderen Thread schon geschrieben läuft auch alles flüssiger, seitdem ich den entsorgt und auf Synology umgestellt habe.)
Mein Eindruck entsprach bisher auch dem von xexex, Domäne bietet keinen wirklichen Vorteil. Oder übersehe ich da etwas?
Gerade im Ernstfall dürfte die Rettung auch leichter sein - die Daten sind alle mehrfach gesichert und selbst wenn jetzt ein Rechner oder auch die Synology ausfallen, kann ich mit anderen Rechnern leicht auf die Daten zugreifen und weiterarbeiten anstatt mich um eine kaputte Domäne kümmern zu müssen.
Ich habe aber auch kaum Wissen, wenn es um Windows Domänen geht und lasse mich da gerne eines besseren belehren. Das ist dann auch der Punkt, wo ich stark dazu tendiere das einem IT-Dienstleister zu übertragen.
Edit: nein, Office 365 wird nicht eingesetzt
Wobei wir früher auch einen Windows SBS als DC und ohne Backup DC hatten, in kleinen Büros wohl nicht unüblich, trotzdem habe ich da rückblickend Bauchschmerzen. (Und wie im anderen Thread schon geschrieben läuft auch alles flüssiger, seitdem ich den entsorgt und auf Synology umgestellt habe.)
Mein Eindruck entsprach bisher auch dem von xexex, Domäne bietet keinen wirklichen Vorteil. Oder übersehe ich da etwas?
Gerade im Ernstfall dürfte die Rettung auch leichter sein - die Daten sind alle mehrfach gesichert und selbst wenn jetzt ein Rechner oder auch die Synology ausfallen, kann ich mit anderen Rechnern leicht auf die Daten zugreifen und weiterarbeiten anstatt mich um eine kaputte Domäne kümmern zu müssen.
Ich habe aber auch kaum Wissen, wenn es um Windows Domänen geht und lasse mich da gerne eines besseren belehren. Das ist dann auch der Punkt, wo ich stark dazu tendiere das einem IT-Dienstleister zu übertragen.
Edit: nein, Office 365 wird nicht eingesetzt
Domäne bietet dir Vorteile wenn du Gruppenrichtlinien willst, servergespeicherte Profile einsetzen willst oder allgemein um die Anmeldung zu zentralisieren.
Wie bereits gesagt sehe ich bei fünf Benutzern hier keine Vorteile. Die Berechtigungen kannst du auf einem NAS auch so vergeben und das Laufwerk auch "von Hand" an den PCs verbinden.
Wenn du die PCs auch ab und an sicherst, sehe ich da auch kein Problem.
Der SBS ist schon lange tot, es gibt für kleinere Umgebungen eine "Essentials" Lösung ohne Exchange und sonstigen Kram. Einen DC zu haben ist soweit kein Problem, wenn man den regelmäßig sichert. Auf einem NAS System IST sowas aber ein Problem.
Stell dir vor das NAS geht kaputt oder du willst es mal eben schnell durch ein anderes ersetzen. In einer Arbeitsgruppe ist sowas kein Problem, aber viel Spaß dabei diesen Linuxbasierten DC auf ein anderes System zu verschieben.
In kleineren Umgebungen würde ich es so lassen wie von dir geplant und bei Bedarf eher zu Azure AD greifen. Das könntest du zwar auch einzeln mieten, wenn ihr irgendwann auf Office 365 umsteigen solltet ist es sowieso dabei.
Wie bereits gesagt sehe ich bei fünf Benutzern hier keine Vorteile. Die Berechtigungen kannst du auf einem NAS auch so vergeben und das Laufwerk auch "von Hand" an den PCs verbinden.
Wenn du die PCs auch ab und an sicherst, sehe ich da auch kein Problem.
Worker151 schrieb:
Der SBS ist schon lange tot, es gibt für kleinere Umgebungen eine "Essentials" Lösung ohne Exchange und sonstigen Kram. Einen DC zu haben ist soweit kein Problem, wenn man den regelmäßig sichert. Auf einem NAS System IST sowas aber ein Problem.
Stell dir vor das NAS geht kaputt oder du willst es mal eben schnell durch ein anderes ersetzen. In einer Arbeitsgruppe ist sowas kein Problem, aber viel Spaß dabei diesen Linuxbasierten DC auf ein anderes System zu verschieben.
In kleineren Umgebungen würde ich es so lassen wie von dir geplant und bei Bedarf eher zu Azure AD greifen. Das könntest du zwar auch einzeln mieten, wenn ihr irgendwann auf Office 365 umsteigen solltet ist es sowieso dabei.
Zuletzt bearbeitet:
Danke dir, azure schau ich mir an.
"Die Berechtigungen kannst du auf einem NAS auch so vergeben und das Laufwerk auch "von Hand" an den PCs verbinden."
Genau so machen wir das bisher.
Klar, SBS gibt es nicht mehr, damals gab es den halt noch. Für mich noch ein Grund gegen die Domäne, denn Exchange bekomme ich jetzt für kleine Umgebungen nicht mehr so einfach.
"Die Berechtigungen kannst du auf einem NAS auch so vergeben und das Laufwerk auch "von Hand" an den PCs verbinden."
Genau so machen wir das bisher.
Klar, SBS gibt es nicht mehr, damals gab es den halt noch. Für mich noch ein Grund gegen die Domäne, denn Exchange bekomme ich jetzt für kleine Umgebungen nicht mehr so einfach.
Worker151 schrieb:
Microsoft hat den Exchange Server leider zu einem verkorksten Produkt für Enterprise Umgebungen verschlimmbessert. Ohne Fachwissen, PowerShell und einiges an Ressourcen ist dieses Produkt nicht mehr sinnvoll in kleineren Umgebungen einsetzbar. Wenn man die Einrichtungskosten, Wartung, Lizenzkosten, Datensicherung und Virenschutz im ersten Jahr auf 10 Benutzer runterrechnet, dafür kannst du dir mindestens für 10 Jahre Exchange Online mieten.
