Maniska

Musst du ja zum Glück auch nicht verstehen Ich plane meinen Urlaub auch immer so, dass ich nach Abzug allem planbaren noch eine Woche Puffer habe. Das hat sich einfach mal so ergeben, da mein Mann beim alten AG nur 27 Tage Urlaub hatte und ich über die Zeit dann halt hier mal einen, da mal einen mit ins neue Jahr genommen habe... Im Regelfall nehme ich die Tage direkt im neuen Jahr oder um meinen Geburtstage herum. Verbreiteter Irrtum, man hat direkt am 1.1. Anspruch auf den vollen Jahresurlaub, wenn man zu diesem Zeitpunkt länger als 6 Monate im Betrieb ist. Quelle Wohl dem der eine Zeiterfassung hat, auch wenn sie Pflicht ist, ich merke davon noch nichts -> Vertrauensarbeitszeit. Ich kann zwar einzelne Stunden abbummeln, aber keine kompletten Tage oder gar mehrere am Stück. Auch bei einer funktionierenden Zeiterfassung muss das nicht gegeben sein, beim alten AG musste Überstundenabbau (ganze Tage) genauso genehmigt werden wie Urlaub. Das Urteil des EUGH sagt ja nur, dass die Stunden erfasst werden müssen, was man damit macht regelt immer noch jeder selbst (Tarifvertrag, AV). Und bis unser Bundesarbeitskanister da ein Gesetzt gebastelt hat vergeht auch noch ein bisschen Zeit.

Ich würde mir erst mal Gedanken machen wie ich die Maschinen konvertieren kann. Dann mal schauen bei welchen es ggf. sinnvoller ist/schneller geht diese auf dem Zielhypervisor neu zu erstellen und ggf die Daten zu migrieren (DC, Printserver, WSUS, Intranet, Fileserver...) Dann eben was geht im Laufenden Betrieb was muss am WE gemacht werden, was ist wie kritisch? Alle natürlich abhängig von den vorhandenen Ressourcen Zeit, Geld und Platz. Das mal so als grober Ansatz, ein bisschen mehr Hirnschmalz werdet ihr schon noch reinstecken müssen.

Schaut es nur so aus, als hätte die Maschinen keine Verbindung, oder hat sie wirklich keine? Ich habe es ab und zu bei Servern dass die das Ausrufezeichen zeigen, aber wenn man genauer "nachfragt" (ping ins Internet) kommt man trotzdem raus. Wenn wirklich keine Internetverbindung da ist, wie weit kommst du denn im lokalen Netz? Kannst du den Hostserver anpingen? Dein Gateway? Kann der Server mit sich selbst reden? Jeweils mit IP und DNS Namen testen. Hast du in dem selben Netz eine DHCP Server? Wenn ja, welche Adressen vergibt der denn? Kannst du zu 100% ausschließen dass die IP mehrfach vergeben ist? Wenn die VM keine Verbindung hat, was sagt der Host?

Die IHKs sind dabei in einem Dilemma: Sie kann nur helfen, wenn sich ein Azubi mit Problemen auch meldet, vor sich hin brüten und jammern wie blöd der Betrieb doch ist bekommt die IHK nicht mit. Es gibt immer 2 Seiten einer Geschichte, wenn sich Azubi und Ausbilder widersprechen muss abgewogen werden wem man mehr glaubt. Wenn ein Betrieb zum ersten Mal ausbildet sollte er das dem Azubi logischerweise klar kommunizieren. Hier ist es aber auch wichtig als Azubi Feedback zu geben wenn man sich Mehr wünscht. Mehr Aufgaben, mehr Zeit, mehr Selbständigkeit, mehr Betreuung, mehr Erklärungen, mehr Zeit für Google... Wenn sich ein Azubi gemeldet hat, wird auch versucht ihm zu helfen, logischerweise versucht man erst einmal das Verhältnis zum Betrieb zu kitten, danach ggf den Ausbildungsplatz zu wechseln und als allerletztes Mittel wird einem Betrieb irgendwann mal die Erlaubnis auszubilden entzogen. Das ist aber der allerletzte Schritt, dafür muss alles andere mehrmals eklatant gescheitert sein und es muss klar erkennbar sein dass es am Betrieb liegt. Sprich wenn der TE die Kröte einfach schluckt wird es dem nächsten und nächsten und nächsten Azubi genauso gehen...

Dem Betrieb klar machen, dass er dazu verpflichtet ist dir ein geeignetes Projekt zu ermöglichen. Und zwar nicht nach dem Motto "such dir selber was", sondern im Idealfall "such dir was aus, du kannst X oder Y machen".

Ein "Gateway" ist einfach nur ein "Durchgang". In der Netzwerktechnik ist es die routende Instanz, aber man kann so ziemlich in jeder darüber liegenden Schicht etwas finden, auf das sich der Begriff "Gateway" anwenden lässt. Das ist genauso mehrfach belegt wie der Begriff "Server" (Hardware, OS, Software...)

Hab ich irgendwo was anderes behauptet?

Du hast von "streichen" gesprochen, nicht "von einvernehmlicher Lösung suchen" und "häufiger" , nicht von "einmaligem Sonderfall". Aber warum sollte ich meine Urlaubsplanung über den Haufen werfen, weil mein AG seine Projektplanung nicht im Griff hat? Der Grund warum ich Urlaub nehmen will ist doch egal, das geht den AG auch nichts an. Renovieren tut man selten alleine, da sind dann andere Familienmitglieder, Freunde oder Handwerker m, it beteiligt. Und selbst wenn ich "nur" deswegen Urlaub habe, weil Spiel XY in der Zeit rauskommt dann ist das mein ganz eigener privater Grund.

Streichen eines genehmigten Urlaubes geht nur mit Zustimmung des AN, oder wenn dringende betriebliche Gründe das erfordern. "Firma abgebrannt, wir brauchen jede Hand beim Wideraufbau" ist so ein Grund "zu viel Arbeit" ist keiner. Dass der AG dann auch die Stornokosten und ggf. die Mehrkosten für den selben Urlaub zu anderer Zeit trägt gehört da auch dazu. Und zwar für die gesamte Familie, nicht nur für den AN.

Abschlussprojekt oder nur interne Aufgabe? Bei einem von beiden unterschreibst du nachher dafür, dass dir niemand geholfen hat.

Moment.... Ihr haltet bis zu 20% eurer Arbeitsplätze für Externe bereit? Vor allem, ihr macht euch Gedanken über die Aktualität der Rechner, deaktiviert aber in Abwesenheit der Externen das Benutzerkonto nicht? Warum bringen die Externen nicht ihre eigenen Geräte mit, welche dann entweder in ein separates Netz kommen oder bei welchen die Externen schon bei Vertragsabschluss (auf irgendeiner Grundlage kommen die ja) unterschreiben mit aktuell gepatchem System zu kommen inkl Virenscanner? Würde mir im Traum nicht einfallen derart viele Geräte und Lizenzen für "da brauch ich halt 1x im Monat" vor zuhalten, kostet auch nicht gerade wenig Geld. Oder eben wie gesagt arbeiten via ThinClients, wenn Citrix eh schon im Haus ist. Den Aufwand ein Notebook zu Abholung bereitzustellen vs. sehe ich als überschaubar und geringer an. Zumal das eine eine "Latsch hin und mach mal" Aufgabe der IT ist und das andere eine Hohlschuld der jeweiligen Abteilung. Müssen sie ja nicht sein. Geräte sind z.B. über Outlook buchbar, Buchung min 1 Tag vorher (also auch kein Abends um 18 Uhr noch für morgen um 8 Uhr). Gerät kommt aus dem Schrank, wird ans Quarantänenetz angeschossen, hochgepatcht und kann dann abgeholt werden. Sprich alles was bis 12Uhr reserviert ist kann am selben Tag ab 16 Uhr geholt werden, alles was später reinkommt geht halt erst am nächsten Tag ab 12 Uhr.

Wohlgemerkt, sie kann, sie muss aber nicht! Im Idealfall wird von der IHK zusammen mit Betrieb und Schule geschaut ob eine Zulassung zur Prüfung möglich ist oder nicht. Dabei wird sicher auch geschaut warum ein Azubi auf diese Anzahl Fehltage kommt ("Wochenendgrippe" immer Fr und Mo, oder längerer Ausfall durch Krankheit/Unfall ) und ob die Lücken die dadurch entstanden sind aufgeholt wurden oder nicht. Wenn du schon zugelassen bist, passiert gar nichts mehr.

Diese gehören unter Kontrolle der IT, also dort verwaltet und bei Bedarf auch gepatched. Alles andere was als "Notfallblahfasel" in irgendwelchen Schränken vor sich hin schimmelt ist in meinen Augen Schwarzbestand. Spätesten wenn man dem User die Verantwortung für das Gerät anbietet, dafür dass er es behalten darf, wollen es die meisten nicht mehr. Kollegen die regelmäßig ein Notebook benötigen sollten auch eins als Arbeitsgerät haben, der Rest kann sich doch mit einem Poolgerät begnügen. Schichtbetrieb kann sich einen Arbeitsplatz (= PC) teilen, und wenn ihr eh Citrix einsetzt, können doch auch dumme TCs als Endgeräte her, die wichtigen Updates passieren dann zentral auf den Terminalservern.

Hat schon mal jemand analysiert, warum immerhin 20% der Rechner so lange aus sind? Werden sie nicht benötigt? Dann kann man sie einsammeln und anderweitig einsetzen, oder zumindest durch ThinClients ersetzen? - Wie haltet Ihr Eure Clients aktuell? WSUS, alles was sich länger als 30 Tage nicht gemeldet hat wird genauer unter die Lupe genommen. Also was ist das für ein Rechner, was ist mit dem zugehörigen Kollegen (Krank, Urlaub...), Passt etwas in der Kommunitkation WSUS - Client nicht...? Wenn ich nichts finde (auch den Rechner physikalisch nicht) deaktivier ich das Computerkonto so dass sich niemand anmelden kann und schau mal ob und wer schreit, und wann. - Welche Compliancy Vorgaben müsst ihr erfüllen? Feste Vorgaben gibt es keine, aber natürlich sind wir hinterher alle Rechner möglichst aktuell zu halten, schon aus Egogründen. - Wie geht ihr mit Offline PCs um (die sind spätestens wenn sie eingeschaltet werden, ein Sicherheitsrisiko)? Wie gesagt, einsammeln wenn möglich, ansonsten ersetzen durch ThinClients wo möglich, Computerkonto deaktivieren falls "Schwarzbestand" und bei den restlichen paar Geräten die wirklich so selten aber dann wirklich gebraucht werden die Kröte schlucken. - Gibt es Tools die den Patchstand prüfen, bevor sie ins Netz gehen? Es gibt wohl bei diversen NAC Sytemen die Möglichkeit Complianceregeln festzulegen, damit kommen bekannte aber nicht den Regeln entsprechende Geräte in ein Quarantänenetz in dem sie so lange mit sich selbst spielen dürfen, bis alle Patchstände i.O sind.

Dann ist "selbst kündigen" aber auch eine Spur weniger k*acke. Selbst mit den 3 Monaten Sperre steht er am Ende besser da... Kann aber auch sein, dass der TE schon gekündigt hat (3 Monate Kündigungsfrist), der AG ihn weder Freistellen noch sonst was will und der TE deshalb in den unbezahlten Urlaub "flüchtet". Wobei ich persönlich da zumindest 6 Wochen "gelb" nehmen würde...

Deswegen ja auf jeden Fall kündigen lassen, nicht selbst kündigen. Und ob ein "nicht gegen die Kündigung vorgehen" von der Arge als mitwirken interpretiert werden kann weiß ich nicht, in der Situation war ich noch nie. Deswegen mein Einwand ob das so gehen würde wie ich mir das vorstelle.

Was ist denn der Grund warum du 3 Monate unbezahlten Urlaub nehmen "musst"? Der AG kann dich dazu nicht zwingen, der kann dich nur beschäftigen, in Kurzarbeit schicken oder kündigen. Wenn es private Gründe sind, und du eh wechseln willst, wäre es möglicherweise besser mit dem Chef offen zu reden und ihn zu bitten dich zu kündigen, damit du wenigstens ALG1 beziehen kannst. Allerdings weiß ich nicht genau, wie das mit der Arge ist, ob man in jedem Fall Kündigungsschutzklage einreichen müsste, oder wie die das sehen.

Genau. In Patchschränken ist im seltensten Fall nur ein Feld verbaut, im Normalfall sind es mehrere. Daher ist nicht nur die Nummer der Dose interessant, sondern auch die des Patchfeldes. Relativ oft gibt es die Dose "2" mehrmals (einmal pro Patchfeld).

Wenn ich die Zeichnung richtig verstehe geht die Dose: D5/1 auf X2/1 D5/2 auf X2/2 D5/3 auf X2/3 D5/4 auf X2/4 Jetzt schau noch mal genau was du eingezeichnet hast und überleg noch mal. Du bist auf dem richtigen Weg

In der Projektdoku für den PA erklärst du was du warum wie umgesetzt hast ohne zu sehr ins Detail zu gehen. In der Benutzer-/Admindoku erklärst haarklein wie es konfiguriert wurde (warum so) und wie man damit zu arbeiten hat. Das Teil musst du einem Kollegen in die Hand geben können und derjenige muss damit das System zumindest halbwegs bedienen können. Hier kannst du für den PA interne Angaben wie IP Adressen oder Servernamen auch ggf anpassen (nicht schwärzen!). Wenn ihr intern das Netz 192.168.10.0/24 verwendet dann ersetzt du das z.B. durch 172.16.10.0/24. Es muss für den PA nur logisch nachvollziehbar sein. Prinzipiell unterliegt dieser aber der Geheimhaltung, sprich ein Ändern ist eigentlich nicht nötig, ich kann aber auch verstehen wenn man das machen möchte (oder der Betrieb das will).

SLA = Service-Level-Agreement, sprich was garantiert ihr euren Kunden an maximaler Ausfallzeit (ohne geplante Downtimes) und wie schnell müsst ihr Daten wiederherstellen können wenn was futsch ist. Bei Backup sind dann noch RTO und RPO wichtig. Daraus ergibt sich dann auch deine benötigte Storagekapazität und Bandbreite. Wie viel Sicherungsdelta fällt den aktuell an? Mal so als Hausnummer: Wir replizieren alle 12h kritische Server an unseren anderen Standort (veeam mit WAN Accelerator etc.). Die Server sind hier 1,2 TB groß, Mailserver ist mit dabei. Das dauert bei einer synchronen 100MBit Leitung hüben wie drüben ~1:20h. Wir können mit einem Maximalausfall von 12h (+~1:20) im allerschlimmsten Fall (Backup im Haus ist auch weg und primäre Infrastruktur ist komplett zerstört) leben, können das eure Kunden auch? Altenative Frage: Wenn ihr eh "nur" TS zur Verfügung stellt, wie viel passiert denn da drauf? Gibt es ggf eine Art Golden Image von dem mit 3 Klicks eine neue Maschine hingestellt werden kann? Muss man so einen TS dann überhaupt sichern? Wenn ja, warum? Aktuell liest sich dein Antrag als würdest du "nur" einen günstigen Storageanbieter suchen um dein Zeug mit Veeam da hinzuschaufeln, das riecht nicht als Abschlussprojekt.

U no say? Prüfen muss ich immer, schon klar, ABER: eine GPO bleibt immer aktiv, daher muss ich zumindest diese Einstellung nicht noch einmal überprüfen, bzw ich überprüfe an genau einem Rechner ob das noch so ausschaut wich ich es gerne hätte und kann mir sehr sicher sein, dass es bei allen anderen genauso ausschaut. Hingegen hat MS schon da ein oder andere Mal nach einem Update einen datenschutzrechtlich relevanten Schalter wieder aktiviert, der davor deaktiviert war. Zumal neue GPOs max. 2x im Jahr mit den Featureupdates kommen. Updates die die Einstellungen zurück setzen könnten kommen monatlich. Featureupdates kann man aussetzen, die anderen sollten zeitnah eingespielt werden... Natürlich muss ich schauen ob es neue Einstellungen gibt diese muss ich aber per GPO nur genau einmal setzen und nach spätestens 2h ist Ruhe im Karton. Ohne GPO muss ich das entweder pro Rechner oder noch schlimmer pro User pro Rechner händisch machen. Solange es kein neueres Gutachten gibt, ist das aktuelle das, nach dem man sich richten sollte. Solange BSI und Bundesdatenschutzbeauftragter ihre Meinung nicht geändert haben, dann gilt das weiterhin. Müssen sie auch nicht, im Zweifelsfall gilt das was für mein Bundesland gilt, oder das was der Bundesdatenschutzbeauftragte sagt. Wenn die sich widersprechen fährt man besser sich an das "Nein" zu halten. "Kein Betriebsrat" bedeutet zwar, dass es keine zentrale Mitarbeitervertretung gibt, bedeutet aber auch, dass der AG ggf alles mit jedem einzelnen MA aushandeln muss (Kurzarbeit zu Coronazeiten z.B. wenn es keinen Passus im AV gibt). Es bedeutet aber nicht, dass der AG machen kann was er will, an geltende Gesetze und Vorschriften muss er sich trotzdem halten. Benötige ich dafür dann nicht entweder eine lokale Domäne oder Azure AD? Mail benötigt doch zusätzlich Exchange Online, Sharepoint bekomme ich auch "nur" die User CALs nicht die Serverlizenz und ich habe das ganze Zeug zwangsläufig in der Cloud, bzw auf einem Server der, wenn ich Glück habe, in Irland steht, wenn ich Pech habe irgendwo in der Welt. "Privacy Shield"ist ein zahnloser Tiger, da die meisten Cloudanbieter in den USA sitzen. Bevor der CEO eines dieser Unternehmen einfährt, rückten die die Daten raus... Kauflizenzen und Clients schreibt man ab, entweder direkt als GWG oder auf 3 Jahre und hat auch einen realen Gegenwert. Die Nutzungsdauer ist i.d.R. auch länger als der BreakEven beim Mieten. Wer nicht immer das Neuste, Schnellste, Tollste benötigt, kauft und nutzt so lange bis es ersetzt werden muss, oder verkauft/verschenkt es nach dem Ende seiner Nutzungsdauer wieder. Mietlizenzen oder -Hardware bezahlt man solange man sie nutzen möchte/muss.

Wo genau kann ich komplett PCs mit Win10 Enterprise kaufen? Letzte Info vom DSB war, dass Pro und Home nicht DSGVO Konform eingesetzt werden können, zumindest nicht ohne erheblichen(!) Mehraufwand nach jedem Update. Bei der Enterprise kann man die ganzen "nach Hause telefonier" Einstellungen via GPO zentral abstellen, bei den Versionen "darunter" eher nicht. Also nach JEDEM Update auf JEDEM Gerät kontrollieren ob die Einstellungen nicht doch zurück gesetzt wurden. Ja, das ist natürlich sehr viel günstiger. "Pro Gerät" geht schon mal gar nicht, O365 ist eine reine "per User" Lizenzierung. Bedeutet ich muss jeden User mit Zugriff auf einen PC Arbeitsplatz lizenzieren, auch in einem 3 Schickt Modell in dem sich 3 MA einen PC teilen. Zudem hält eine Firma "ihr" Office im Regelfall länger wie 2 Jahre (Extended Support bei 2019 endet 2015, also in 5 Jahren). Bei monatlichen Kosten von 10€ und einem OnPrem Preis von ~220€ würde ich nicht "aus Kostengründen" auf 365 gehen. GERADE als kleine Firma will man seine Fixkosten möglichst gering halten, ein Abo bewirkt das Gegenteil und muss auch gezahlt werden wenn es sich die Firma eigentlich nicht leisten könnte.

Gib mal spaßeshalber bei einem Windowsrechner certlm.msc ein und schau mal was sich da alles unter "vertrauenswürdige Stammzertifizierungsstellen" tummelt. Vor allem schau mal was für eine lange Laufzeit diese Zertifikate haben. Prinzipiell kann sich jeder eine Root-CA basteln, nur wird dieser "in der Welt" niemand vertrauen. Vergleiche es mal mit Bargeld, den Spruch "das Papier nicht wert auf dem es gedruckt ist" kennst du sicher. Eine öffentliche CA ist wie der Euro, der Dollar, das Pfund oder auch Gold, man vertraut dieser Währung. Deine eigene Root-CA ist hingegen wie Monopolygeld oder Muscheln: Wenn man sich im sozialen Umfeld einig ist dass man intern damit bezahlen kann, dann ist das zwar toll, beim Bäcker bekommt man aber doch eher eine Schelle, statt einer Stulle für die bunten Scheine Da "richtige" Zertifikate von öffentlichen Stellen Geld kosten (und max. 3 Jahre gültig sind) gehen viele Firmen her und nutzen intern sogenannte "self signed" Zertifikate, also Zertifikate die sie sich selbst signiert haben. Damit spart man Geld und kann trotzdem gewisse Sicherheitsstandards einhalten oder durchsetzen. Sei es https für das Urlaubstool im Intranet oder das Clientzertifikat für die Anmeldung im internen WLAN. Auch VMware kann nur über https erreicht werden, es wird aber im Default das Zertifikat als "nicht vertrauenswürdig" angemeckert, da es von keiner RootCA ausgestellt wurde, der man vertraut.

"Im Internet" sind sie Wahrscheinlich am Hauptstandort der Firmen, es kann aber auch sein, dass nur die firmeninterne Root-CA dort steht und diverese Sub-CAs auf den unterscheidlichen Kontinenten verteilt sind. Das halte ich sogar für wahrscheinlich, alles auf ein Pferd (eine Maschine) zu setzen wäre in dem Bereich grob Fahrlässig. Jemand, der sich im Breicht Zertifikate weiterbilden möchte, sollte in der Lage sein das selbst herauszufinden . Kurze Antwort: Kommt darauf an. Lange Antwort: Kommt darauf an für was ein Zertifikat verwendet werden soll, wie angesehen es sein soll, welche Laufzeit, managed PKI...