Projektantrag FISI - Thema: Harmonisierung von GPOs

[derForest]

Hallo Zusammen,

es wäre super wenn ihr mir mal ein Feedback zu meinem Antrag geben würdet. Im vorfeld schon mal ein dickes Danke.

1.Projektbezeichnung

Harmonisierung von Group Policy Objects im Active Directory

Kurzform der Aufgabenstellung

Ausgangslage

Im Rahmen der Netzwerk- und Userverwaltung wird, bei XXX, ein Active Directory (AD) eingesetzt. In der dort angesiedelten Domäne "BLA" werden Berechtigungen und Richtlinien mithilfe von Gruppenrichtlinien vergeben. Dabei gibt es sowohl globale, als auch lokale, den Standorten (OU) zugeordnete, GPOs. In den letzten zwei Jahren wurden die Richtlinien immer wieder verändert, erweitert und an die Bedürfnisse des gesamten Unternehmens, wie auch an die einzelnen Standorte angepasst. Durch diese laufenden Veränderungen haben sich Redundanzen und sich widersprechende Regelungen eingeschlichen. Die Ermittlung und Korrektur bzw. Anpassung der entsprechenden Richtlinien bei Änderungen verursacht erheblichen administrativen Aufwand.

Anforderungen

Ziel ist es, auf Basis der vorhandenen Domänen und GPO- Struktur, die Inhalte der GPOs zu analysieren und zu Optimieren.

Hierzu sollen zunächst die GPOs der verschiedenen Ebenen analysiert und Dopplungen ausfindig gemacht werden. Je nach Ebene soll überlegt werden, ob es Sinn macht, die Regelung auf eine höherer Ebene anzusiedeln (z.B. wenn eine Richtlinie bei allen drei Standorten gesetzt wird). Dopplungen in verschiedenen GPOs sind, auf geeigneter Ebene, zu harmonisieren. Widersprüchliche Angaben zwischen Globalen und Standort bezogenen Richtlinien sollen festgehalten und zur Diskussion an die Verantwortlichen OU- Administratoren der einzelnen Standtorte weitergeleitet werden. Der Optimierungsvorgang darf keine Auswirkungen auf den Betriebsablauf haben, darum sind Änderungen zunächst im vorhandenen Testlabor durchzuführen und zu testen.

Abgrenzung und Schnittstellen

Die Analyseberichte werden den Entsprechenden OU- Administratoren zur Entscheidung vorgelegt und die optimierten GPOs werden für den Einsatz im bestehenden AD bereitgestellt.

Nutzen (für den Kunden)

Reduzierung von administrativem Aufwand im Fachbereich "XXX" durch:

1) Analyse fehlerhafter und Redundanter Gruppenrichtlinien

2) Reorganisation der GPOs

3) Beseitigung fehlerhafter Einstellungen in GPOs

2.Projektumfeld

Einbindung in den bisherigen Geschäftsprozess

Innerhalb von XXX hat der Fachbereich XXX die Verantwortung für die Domäne XX.XXX.XX. An den drei Standorten in Deutschland stehen jeweils zwei Domänen Controller. Das Ergebnis meines Projektes soll an allen der drei Standorten genutzt werden.

Systemumfeld

Windows 2003 SR1 mit Active Directory, Domain Controller (Primärer), DNS, DHCP, Wins, Datei und Druckdienste

Als Umgebung für die Optimierung der GPOs steht eine Testumgebung zu verfügung, die die Struktur der XXX Domäne wiederspiegelt.

3.Projektplanung einschließlich Zeitplanung

Vorbereitung:

- abstimmung der Anforderung ca. 2 h

- Ist- Aufnahme (erstellung Rollenbeschreibungen) ca. 4

- Ist- Analyse ca. 4 h

Realisierung:

- Anpassen der Testumgebung ca. 1 h

- Überarbeiten der GPOs ca. 8 h

- Erstellen der Berichte für OU - Admins ca. 3h

Test:

- überprüfung aus den verschiedenen Rollen ca. 3 h

Übergabe/Abnahme (nicht Prüfungsrelevant)

Erstellung der Projektdokumentation: ca. 10 h

Summe: 35 h

4. geplante Dokumentationen zur Projektarbeit

- Rollenbeschreibungen der OUs (vor und nach Optimierung)

- Berichte für OU Admins

- Projektdokumentation inkl. Anlagen

- Testprotokolle

Gruß

Forest

[DarkMaster]

finde ich etwas dünn.

Ist eher eine Tätigkeit für "Nebenbei", aber für ein Projekt imho zu wenig.

Widersprüchliche Angaben zwischen Globalen und Standort bezogenen Richtlinien sollen festgehalten und zur Diskussion an die Verantwortlichen OU- Administratoren der einzelnen Standtorte weitergeleitet werden.

--> eine zeitliche Planung wird hier vermutlich schwierig, da du ja eigentlich erst weitermachen kannst, wenn die Verantwortlichen sich darüber einig sind. Und das kann in der Regel länger dauern....

[derForest]

echt zu dünn??

mmh, ich fand das Thema aufgrund der Mächtigkeit von GPOs eigentlich recht ansprechend. Es müssen GPOs auf allen Ebenen (bis zu 5) betrachtet werden, wobei eine Ebene bis zu 6 GPOs mit X Richtlinien haben kann.

--> eine zeitliche Planung wird hier vermutlich schwierig, da du ja eigentlich erst weitermachen kannst, wenn die Verantwortlichen sich darüber einig sind. Und das kann in der Regel länger dauern....

Da muss ich dir natürlich Recht geben.

Ich soll aber, unabhängig von der Diskussion, Vorschläge erarbeiten die zu einer Reduzierung von GPOs führen. Da bleibt natürlich die Frage ob es das "dicker" macht?

[DarkMaster]

Es müssen GPOs auf allen Ebenen (bis zu 5) betrachtet werden, wobei eine Ebene bis zu 6 GPOs mit X Richtlinien haben kann.

wo steht das in deinem Antrag?

Ich soll aber, unabhängig von der Diskussion, Vorschläge erarbeiten die zu einer Reduzierung von GPOs führen

also quasi eine "Entscheidungsvorlage". Mir nicht bekannt, ob das für einen FiSi ausreichend ist. Eher vllt. für einen ITSK, da du ja KEINE Entscheidungen triffst. Und deshalb macht es das Ganze schwierig. Du arbeitest eigentlich nur in Abstimmung mit dem OU-Verantwortlichen die Arbeiten ab.

Bitte mal noch um weitere Meinungen

Bearbeitet 23. Februar 2010 von DarkMaster

[derForest]

wo steht das in deinem Antrag?

ääh, guter einwand.

hier also die überarbeiteten Anforderungen

Anforderungen

Ziel ist es, auf Basis der vorhandenen Domänen und GPO- Struktur, die Inhalte der GPOs zu analysieren und zu Optimieren.

Hierzu sollen zunächst die GPOs der verschiedenen Ebenen (bis zu 5) analysiert und Dopplungen ausfindig gemacht werden. Eine Ebene kann bis zu 6 GPOs mit X Richtlinien zugewiesen bekommen. Je nach Ebene soll überlegt werden, ob es möglich ist, Regelungen auf einer höheren Ebene anzusiedeln (z.B. wenn eine Richtlinie bei allen drei Standorten gesetzt wird). Dopplungen in verschiedenen GPOs sind, auf geeigneter Ebene, zu harmonisieren. Die Reduzierung der anzahl an GPOs ist erstrebenswert. Widersprüchliche Angaben zwischen Standort bezogenen Richtlinien sollen festgehalten und zur späteren Diskussion an die Verantwortlichen OU- Administratoren, der einzelnen Standtorte, weitergeleitet werden. Die OU-Struktur soll beibehalten werden. Ausserdem darf der Optimierungsvorgang keine Auswirkungen auf den Betriebsablauf haben, darum sind Änderungen zunächst im vorhandenen Testlabor durchzuführen und zu testen.

Du arbeitest eigentlich nur in Abstimmung mit dem OU-Verantwortlichen die Arbeiten ab.

mmh, ja da hast du recht. Aber ich bin halt nicht berechtigt für die Standorte zu entscheiden.

Weitere Meinungen sind gerne gesehen

[Thanks-and-Goodbye]

Nein, das ist kein Projektthema für einen Fachinformatiker.

Ein Fachinformatiker soll mit technischem und kaufmännischen Kenntnissen Lösungen für Probleme entwickeln können, Lösungsstrategien entwerfen können, miteinander vergleichen, bewerten.

Schau dir bitte die Projekte an, die hier im Forum diskutiert werden und überleg dir ein anderes Thema.

[derForest]

Nein, das ist kein Projektthema für einen Fachinformatiker.

Irgendwie hatte ich das befürchtet. Na dann werde ich meinen Abteilungsleiter noch mal nach was anderem ausfragen müssen.

könntet ihr mir noch was zur Form des Antrags sagen, also war das gut beschrieben oder zu laff. Fehlte irgendwas??