[Ungelöst] Server- und Active Directory Abschaltung! - Umstellung auf lokale Benutzerprofile

[RedMoon]

kann mWn z.B, keine Log-In Scripte

wozu braucht man heutzutage noch Login Scripte? Das deckt man alles mit den Gruppenrichtlinien ab. Klar, wenn man sich mit GPO nicht auskennt, dann bleibt man bei den Scripten, aber das ist kein Hexenwerk. Uralt-Spezialfälle kann man ja vereinzelt mit einem Loginscript bedienen, aber die modernen Clients? Never.

 

[passat3233]

Das Thema "Servergespeicherte Profile" ist ja auch nicht so ganz ohne.
Funktioniert prima in homogenen Umgebungen, kritisch wird's bei heterogenen Umgebungen mit unterschiedlichen Clientversionen
- Windows XP und Windows Vista/7 (dürfte mittlerweile eigentlich gar nicht mehr anzutreffen sein)
- Windows Vista/7 und Windows8.x/10 (dürfte nicht mehr allzuhäufig anzutreffen sein - eigentlich...)
Wie sieht das bei Win8.x und Windows 10 aus? (Habe da noch nichts negatives gelesen.)

Die servergespeicherten Profile der verschiedenen Windows-Versionen werden in getrennten Verzeichnissen auf dem Server abgespeichert.
Bei XP heißt der Pfad "username"
Bei Vista, Win 7 und Win 8/8.1 "username.V2"
Bei Win 10 "username.V5"
Probleme kann ich mir also nur bei einem Mix zwischen Vista, Win7 und Win 8.x vorstellen.
Ein Mix zwischen Win 7 und Win 10 ist unproblematisch.

 

[VirtuGuy]

Azure AD und Intune wäre für ein SB Setup wie dem euren eine passende Lösung.

Zwecks Backup würde ich aber einen speraten Plan bei Veeam oder z.B. eine kleine Synology mit Active Backup dazu nehmen.

 

[kaiser]

Hallo zusammen,

in unserer Firma kümmere ich mich nebenbei um die IT. Unsere Branchensoftware und Datenbank hängt mittlerweile beim Anbieter in der Cloud. Es gibt somit keinen Grund mehr, den veralteten Server auf Windows 2011 Basis am Leben zu erhalten und hohe Kosten für einen neuen Server in die Hand zu nehmen. Gemeinsame Netzwerklaufwerke wurden in der Vergangenheit auch nicht genutzt... warum auch immer (bin erst seit 2 Jahren im Unternehmen). Zukünftig möchte ich zwar Netzwerklaufwerke insbesondere in der Verwaltung wieder einrichten, diese können aber ggf. über einen NAS laufen.

So nun an die Experten unter Euch:
Ich möchte den Server noch dieses Jahr abschalten. Vorher muss ich die einzelnen PCs jedoch aus der Domäne nehmen und an jedem PC ein neues lokales Benutzerprofil anlegen. Muss ich dabei Microsoft Office, Treiber wie Drucker etc. alles neu installieren oder bleiben diese Programme weiterhin erhalten? Bei 95 Prozent der Mitarbeiter ist lediglich Office, PDF, ein Starter für die Branchensoftware, Treiber für Drucker, Rezeptdrucker und Scanner etc. installiert. Mehr nicht.

Wie gehe ich hier am besten vor? Und was wird vom Netzwerklaufwerk mit in das lokale Profil übernommen? (die Dokumente am Desktop werden natürlich vorher alle gesichert).

Vielen lieben Dank vorab!

ForensiT Free Downloads

ForensiT is a developer of windows System solutions. Our advanced software technology delivers a range of Windows data migration and management solutions.

www.forensit.com

mit dem Tool kannst bestehende Benutzerprofile in lokale umwandeln. Des Tool schreibt in die registry und das benutzerverzeichnis an alle Stellen um. Programm kostet halt. Aber damit kann man recht einfach und unkompliziert Benutzerprofile umziehen. Auch in etwaige neue AD Strukturen

 

[dirk11]

@dirk11: Dein Beitrag ist so überflüssig wie ein Kropf; während die anderen User es zumindest noch schaffen Anregungen einzubringen, bist du gerade mal in der Lage abwertend zu kommentieren, sehr konstruktiv!

Nun. Ich bin einfach nur kurz auf Dein Niveau herabgestiegen und habe Dir den Spiegel vorgehalten, und jetzt schlägst Du mich auf Deiner Ebene mit Erfahrung. Witzig, dass Du nichtmal in der Lage bist, in einem Forum die Zitat-Funktion korrekt zu benutzen (aber wahrscheinlich liegt das auch nur daran, daß Du "keine Zeit" für solche Kinkerlitzchen hast), aber dafür gaanz fleißig Gebrauch von Fettschrift machst. Bist ein echter Held.

 

[WolfJ13]

Nun. Ich bin einfach nur kurz auf Dein Niveau herabgestiegen und habe Dir den Spiegel vorgehalten, und jetzt schlägst Du mich auf Deiner Ebene mit Erfahrung. Witzig, dass Du nichtmal in der Lage bist, in einem Forum die Zitat-Funktion korrekt zu benutzen (aber wahrscheinlich liegt das auch nur daran, daß Du "keine Zeit" für solche Kinkerlitzchen hast), aber dafür gaanz fleißig Gebrauch von Fettschrift machst. Bist ein echter Held.

… du hast eindeutig zu viel Zeit

Thread kann geclosed werden, hatte heute ein Termin mit einem IT Systemhaus.

Danke an diejenigen, die mich durch konstruktive Kritik zum Umdenken angeregt haben 👍🏻

 

[Hummerman]

Vielleicht ist Azure AD auch eine Lösung.

 

[nemix]

Darf man fragen was das Systemhaus euch angeboten hat als Lösung?
Wie von 2-3 Leuten schon geschrieben seit Ihr der klassische Kandidat für eine Cloud Lösung. M365 für Office/Sharepoint, AzureAD/Intune mit MFA/CA für minimale Clientverwaltung. Da muss sich auch jemand mit beschäftigen und regelmäßig nachschauen, aber Ihr erspart euch den ganzen onprem Aufwand der mit dazugehört.

 

[WolfJ13]

Darf man fragen was das Systemhaus euch angeboten hat als Lösung?
Wie von 2-3 Leuten schon geschrieben seit Ihr der klassische Kandidat für eine Cloud Lösung. M365 für Office/Sharepoint, AzureAD/Intune mit MFA/CA für minimale Clientverwaltung. Da muss sich auch jemand mit beschäftigen und regelmäßig nachschauen, aber Ihr erspart euch den ganzen onprem Aufwand der mit dazugehört.

Darfst du gerne fragen, wobei es noch keine endgültige, finale Lösung gibt. Er wollte sich innerhalb seines Kollegenteams beraten.

Gestern fand eine fast dreistündige Bestandsaufnahme statt. Das Anforderungsprofil sei insgesamt gering (viele Programme befinden sich in der Cloud) und er meinte, dass man die Rechte und Netzwerklaufwerke wahrscheinlich mit einem NAS abbilden könne. Heute kam dann aber ein Anruf, dass aufgrund der speziellen Datenbank einer Abteilungssoftware der NAS wohl doch ausscheiden wird. Wie gesagt, gibt noch keine endgültige Lösung; kann euch aber gerne auf dem Laufenden halten.

Das neue Systemhaus macht aber einen sehr kompetenten Eindruck, man nimmt sich Zeit, es wird gezielt gefragt, sympathisch. Der Ersteindruck stimmt, alles gute Voraussetzungen für eine zukünftige Zusammenarbeit. Wir werden sehen Fakt jedoch ist, dass lokale Benutzerkonten ausscheiden werden

Was ich mir zum Schluss nicht verkneifen kann... einige User hier haben wirklich ernsthafte Probleme oder sind mit sich selbst irgendwie unzufrieden. Anstatt mit Argumenten zu überzeugen oder meine Punkte zu entkräften, wird man teils angegriffen oder User wie @dirk11 pöbeln einfach nur mit, um überhaupt was zu sagen.. dass man nicht in der Lage sei, die Zitierfunktion richtig zu verwenden.. Aber sorry, gehts noch? Hitzige Diskussionen machen mir nichts, aber sinnfreie, dümmliche Inhalte kann man sich sparen. Schade eigentlich, denn für die Zukunft überlege ich mir genau, ob ich mich bei Fragen und Problemen überhaupt nochmals an das Forum hier wenden werde.

 

[underclocker2k4]

Ggf. nochmal an Denkansatz für die ggf. angedachte NAS-Lösung.
Auch NAS können VMs hosten und dort könnte man dann die DB hosten. Was ist das denn für nen Unterbau?

Nen fettes Clustering ist dann eher nicht drin, würde aber auch mit einem Server wohl nicht kommen.
Dennoch sollte man dann schauen, dass man sich überlegt, wie man eine Redundanz der DB realisiert, je nach Wichtigkeit der Applikation.

So hätte man eine Möglichkeit das restliche Management zu reduzieren und einen Migrationspfad von der Abteilungssoftware weg offen.
(sofern das geht/Sinn macht)

 

[WolfJ13]

Ggf. nochmal an Denkansatz für die ggf. angedachte NAS-Lösung.
Auch NAS können VMs hosten und dort könnte man dann die DB hosten. Was ist das denn für nen Unterbau?

Die Aussage, dass NAS Systeme auch VMs hosten können, meinte er beiläufig am Telefon auch. Der Einsatz eines NAS ist auch noch nicht ganz vom Tisch. Mal abwarten

 

[underclocker2k4]

Man sollte sich das überlegen sowohl pos. als neg.

Weil VMs auf NAS machen nur so richtig Sinn, wenn man gleich mit dem großen Hammer kommt.
VMs @Nas sollte man eher unter dem Gesichtspunkt sehen, ist (Virtualisierer) eh schon da und kann man mitbenutzen.

Wenn das so ne Bastelanwendung ist mit ein klein wenig DB, dann kann man sich das überlegen.
Wenn das eher so nen ausgewachsenen Sharepoint ist, dann sollte man sich das überlegen ob da nicht nen dedizierter Host sinnvoller ist.
EntryServer bekommt man ja schon sehr schmales Geld.

In jeden Fall auf den lifecycle achten. Also alle 5 Jahre mal durchwischen. Sprich also, die Systeme sollten schon passend gesized sein.
Also nicht bei 20TB Storage direkt 200TB besorgen und dann sagen, haben wir 10 Jahre Ruhe. So funktioniert das leider nicht richtig, aber manchmal eben zu gut, als dass es gesund wäre.

 

[Digi-Quick]

wozu braucht man heutzutage noch Login Scripte? Das deckt man alles mit den Gruppenrichtlinien ab. Klar, wenn man sich mit GPO nicht auskennt, dann bleibt man bei den Scripten, aber das ist kein Hexenwerk. Uralt-Spezialfälle kann man ja vereinzelt mit einem Loginscript bedienen, aber die modernen Clients? Never.

GPO kann die SAMBA-AD vermutlich noch weniger

 

[Beinfreiheit]

Ein paar Artikel zu Samba-AD
GPO -> https://dev.tranquil.it/samba/en/samba_fundamentals/about_gpo.html
Roaming User Profile -> https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles
und SSO kann der Samba-AD auch.

Aber nun zum Eingemachten aus meiner Erfahrung: eine Umstellung vom AD-Server von einem Windows Server 2011 (SBS) ist mehr oder weniger nicht möglich oder bedarf eines Auwandes, welcher gegen das neue Einrichten mit Datenübernahme, vor allem unter 25 Nutzern, nicht gerechtfertigt ist. Somit bleibt als wirtschaftliche Alternative nur einen neuen AD-Umgebung zu erstellen oder sich von AD zu verabschieden.

Mit dem Azure-AD sind in Kombination mit einem NAS durchaus auch servergestützte Profile möglich. Überlegen würde ich vor allem, ob es nicht eher zu beobachten gilt, dass die Datenverzeichnisse nur als Hyperlink eingerichtet werden und damit das Laden der Daten beim Start des Computers massiv vereinfacht wird.
Wenn für bestimmte Einsatzzwecke, bspw. Maschinensteuerungen, noch alte Systeme zum Einsatz kommen müssen, sollte geprüft werden, ob diese hinter einer DMZ verschwinden können und damit die Angreifbarkeit der Firma minimiert werden kann.

Ansonsten würde ich, wie auch schon einige Andere, MS365 mit Azure-AD empfehlen. Vielleicht sogar die virtuelle Version von MS365 verwenden, welche ohne Einschränkungen direkt auch aus dem HomeOffice oder Ähnlichem verwendet werden kann.

 

[Digi-Quick]

Ein paar Artikel zu Samba-AD
GPO -> https://dev.tranquil.it/samba/en/samba_fundamentals/about_gpo.html
Roaming User Profile -> https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles
und SSO kann der Samba-AD auch.

Hui, ich habe mich da wohl etwas länger nicht mehr damit beschäftigt...... da hat sich ja mächtig was getan.
Man denken nur mal an einen ZFS-Filer (aka NAS) der auch als AD-Controller arbeitet.
Würde zumindest die Lizenzkosten für einen Windows Server und die CALs einsparen.

(https://www.truenas.com/community/threads/setup-freenas-as-primary-domain-controller.41530/)
Werde mich mal reinlesen, was der alles kann

EDIT: Scheint beim aktuellen TrueNAS nicht mehr möglich zu sein - oder ist gut versteckt.

 

[Beinfreiheit]

Die Version 4 war schon mit einigen interessanten Änderungen versehen

Nativ auf einem NAS oder Ähnlichem würde ich auch keinen AD laufen lassen, aber ein TrueNAS oder Vergleichbares hat eine einfache Virtualisierungsumgebung, auf welcher ein Debian/Ubuntu als Samba-Server gut aufgesetzt werden kann. Danach kann auch bei einem HW-Defekt oder Update weiterhin auch auf den AD zugegriffen oder der Server auf ein anderes System migriert werden.