Zum Inhalt springen

Projektantrag: Implementierung einer Lösung für die Verwaltung lokaler Administratorkonten in einer Microsoft Active Directory Umgebung


Empfohlene Beiträge

Geschrieben

Hallo zusammen,

ich würde gerne mal Meinungen zu meinem Projektantrag sammeln, den ich spätestens am 1 Februar abgeben muss. Details zum Antrag bekomme ich erst Mitte Januar.

 

Projektantrag

1.    Thema der Projektarbeit
Implementierung einer Lösung für die Verwaltung lokaler Administratorkonten in einer Microsoft Active Directory Umgebung

2.    Projektbeschreibung
Aktuell wird der Kunde XY von der XX GmbH größtenteils remote betreut, da eine weitere externe Firma für Reparaturen und Bestellungen verantwortlich ist. Daher besteht keine Übersicht lokaler Administratorkonten. Die Mitarbeiter des Kunden sind standardmäßig keine lokalen Administratoren. Somit entstehen Probleme. Bei Netzwerk Schwierigkeiten am Rechner kann keine lokale Anmeldung mehr stattfinden, falls die zwischengespeicherten Anmeldeinformationen von Benutzern nicht mehr bekannt sind. Ein weiterer Punkt besteht darin, dass ein Rechner aus der Domäne herausgenommen werden kann, ohne vorher festzustellen, ob ein lokaler Administrator existiert. Daneben taucht das Problem des Öfteren auf, dass der PC die Vertrauensstellung der Domäne verliert. In allen Fällen muss der PC neu installiert werden, was einen erheblichen Aufwand erzeugt. 
Das Ziel dieses Projektes ist es, eine Lösung zu finden, indem jeder Rechner in der Domäne, sowie alle neuen Rechner die in die Domäne aufgenommen werden, automatisch ein individuelles Passwort für das lokale Administratorkonto zugewiesen bekommen. Dieses Passwort soll von der Komplexität ausreichend, einmalig für jedes Computerobjekt und nur temporär verfügbar sein. Hier kommt nun die Installation und Konfiguration einer passenden Software in Frage, die die Möglichkeit bietet, alle lokalen Administratorkonten zu verwalten. Der Kunde besitzt keine zentrale Softwareverteilung, dementsprechend muss hier eine andere Möglichkeit bereitgestellt werden, um die Software zu implementieren und konfigurieren.

3.    Geplanter Bearbeitungszeitraum
Beginn: 
Ende:

4.    Projektumfeld
Die Umsetzung des Projektes und die Projektdokumentation werden in den Büroräumen der XX GmbH, einem IT-Dienstleistungsunternehmen, in xx durchgeführt, da bei dem Kunden XY die Möglichkeit der Fernwartung vorhanden ist und das Projekt keinen Vorort Service benötigt. 

5.    Projektphasen mit Zeitplanung
Projektplanung    4 h
    IST-Zustand    1 h
    SOLL-Zustand    1 h
    Erstellung Projektplan    2 h
Vorbereitung & Installation    11,5 h
    Erstellung Lösungskonzept anhand Nutzwertanalyse    3 h
    Skript Erstellung    4 h
    Installation Management    0,5 h
    Installation Clients    4 h
Konfiguration    8 h
    Active Directory Konfiguration    4 h
    Rechtevergabe    3 h
    Verwaltung    1 h
Test    1 h
    Kontrolle    1 h
Abnahme    2,5 h
    Soll-Ist-Vergleich    2 h
    Ausblick / Abnahme    0,5 h
Dokumentation    8 h
    Projektdokumentation    7 h
    Interne Dokumentation    1 h
Gesamtzeit    35 h
 

Danke schon mal im Voraus!

Geschrieben
vor 8 Minuten schrieb mapr:

Ist mir zu dünn was die fachliche Tiefe angeht.
Du installierst "nur" und erstellst ein Skript ...?
Wo ist die Wirtschaftlichkeit?

Ich wollte im Antrag nicht zu technische Details schreiben. Ich installiere die Software per GPO inklusive Skript an die Clients, wobei das Skript die Anpassung aufs OS und das Software ausrollen an sich beinhaltet und ein Error Log schreibt. Danach muss ich per ADSI Edit und PowerShell Berechtigungen setzen, da die Attribute in den Computerobjekten sind...

Ih beschreibe also in meiner Doku genau was ich im AD an Attributen ändere und an Berechtigungen und GPOs.

Ich habe mir auch andere Projekte angeschaut und manche installieren auch nur einen Server inklusive DHCP, DNS etc und die Projekte gehen auch immer durch.

Die Wirtschaftlichkeit wäre bei der Nutzwertanalyse da ich da nach der passenden Software suche :wacko:

 

Danke für die schnelle Antwort!

LG Danni

Geschrieben

Gerne.

Ok, jetzt wird das Ganze klarer.
Mal schauen, was die Anderen dazu sagen.

Noch was: Bitte keine Vollzitate. Wenn ich nicht mehr wüsste, was ich geschrieben habe, würde ich mir Gedanken machen.

Geschrieben

Ja alles klar :) ich wollte auch erst nur eine Zeile aber habs iwie dann doch falsch gemacht.

Allerdings denke ich nun, dass ich doch mehr in die technischen Details gehen sollte, da ich sonst wie du schon sagtest, vlt eine Rückmeldung bekomme, das es anscheinend zu dünn sei...

 

Geschrieben (bearbeitet)

Insgesamt klingt das nach dem, was man mit einem klassischen Konfigurationsmanagement realisiert (Puppet, Ansible, Chef, Powershell DSC, ...). Man könnte in der Doku zu dem Schluss kommen, dass ein klassisches Konfigurationsmangement zu teuer (Lizenzen/Wartung) ist und man daher das ganze in einem Skript realisiert. Hier hätte man den wirtschaftlichen Aspekt. Ansonsten wäre die Selbstimplementation nicht meine erste Wahl und es wäre als Prüfer auch meine erste Frage an dich warum du dich dafür entschieden hast, da es dafür eben professionelle Lösungen gibt mit der man auch noch diverse Andere Dinge realisieren könnte bzgl. Automation.

Das man übrigens bei Verlust des lokalen Administrator Kontos den PC neu aufsetzen muss, ist zumindest fachlich etwas dünn bis falsch. Solange man physischen Zugang zum Gerät hat hinter der Bitlocker-Verschlüsselung, kann man das lokale standardmäßig deaktivierte Administrator Konto einfach aktivieren und ein Passwort vergeben.

https://www.windowspro.de/michael-pietroforte/eingebautes-administratorkonto-windows-10-offline-aktivieren

Das geht mit jeder Windows Version und das wissen sicherlich auch die Prüfer.

Bearbeitet von Arvi
Geschrieben

Also das mit mit Konfigurationsmanagement würde ich bei den Punkt mit der Nutzwertanalyse packen, da ich da auswerte, dass wir bei dem Kunden aus Kosten Gründen etc keine der großen Software Pakete nehmen und daher ein sehr einfaches was halt manuell dann konfiguriert werden muss. Der Kunde ist auch nicht sehr groß und es lohnt sich nicht eine solche produktive, Arbeitszeit und Kosten raubende Software zu installieren. Daher auch keine Softwareverteilung.

Das mit dem lokalen Admin stimmt, dass man es nicht zwingend neu installieren muss, das werde ich ändern. Allerdings meine ich damit, dass es einfach ein großer Aufwand ist, wenn diese Fehler passieren und der Kunde mit mehreren Standorten (auch weiter weg) ist und wir nicht einfach mal so Hardware seitig an die PC ran können.

Geschrieben
vor 14 Stunden schrieb Chief Wiggum:

Und was ist die Ursache? Dein Passwort-Tool ist für diese Frage keine Lösung.

Wenn der PC die Vertrauensstellung verliert, kann dies natürlich mehrere Gründe haben. Aber durch das dann bestehende lokale Administratorkonto (auch wenn der PC irgendwo offline ist), kann der PC wieder benutzt werden mit einem temporärem Admin Passwort . Sobald der PC wieder im Firmen Netz ist, bekommt er ein neues Admin Kennwort, damit der Benutzer kein unnötiges Handeln mehr mit dem Account machen kann und der PC kann dann einfach wieder in die Domäne geholt werden. Daher sehe ich mein Software Tool auch als eine Lösung für dieses Problem. 

Geschrieben

Was Chief damit wohl meinte ist, dass die erneute Aufnahme in die Domäne eher ein Workaround ist. Das eigentliche Problem ist aus Sicht eines IT'lers nicht gelöst. Die Frage die man sich hier stellen könnte wäre, warum Zeit für eine ganze Projektarbeit investiert wird statt in eine ordentliche Fehleranalyse und Behebung des eigentlichen Problems. Du sagst ja selbst, dass es mehrere Gründe geben kann warum ein PC die Vertrauensstellung verliert und vielleicht kann man auch nicht jedes Problem lösen - damit wäre dein Projekt ja plausibel. Nur du musst eben mit solchen Fragen rechnen und dein Projekt entsprechend verkaufen.

Geschrieben

Ja das stimmt, danke für die hilfreiche Kritik!

Ich werde das beachten und nochmal überarbeiten. Sobald ich dann auch meine Projektdokumentation fertiggestellt habe, werde ich Sie hier einmal hochladen.

LG DanniBunny :)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...