Zum Inhalt springen

Gelöschter Domain Server: Gruppenrichtlinien sichern


Empfohlene Beiträge

Geschrieben

Frohe Weihnachten miteinander,

durch unglückliche Umstände hat sich der Domain Server eines kleinen Netzwerkes verabschiedet, es gibt auch kein Backup (Gruß an den aktuellen Netzwerkbetreuer).

 

- Kann ich irgendwie die aktuellen Einstellungen der Gruppenrichtlinien sichern und auf lokale User übertragen? Es soll kein neuer Domain Server eingerichtet werden, es gibt nur drei Arbeitsplätze.

- Gibt es ein Risiko, welches ich gerade nicht überschaue, wenn die drei Arbeitsplätze einfach ohne den Domain Server weiterbetrieben werden? Die Gruppenrichtlinien sind ja auch lokal gespeichert, oder? Wollen die Clients regelmäßig Kontakt zum Domain Server haben, um Aktualisierungen durchzuführen? Nicht das irgendwann das Login nicht mehr funktioniert.

 

Liebe Grüße

K4288

Geschrieben
Am 25.12.2022 um 09:11 schrieb K4288:

Wollen die Clients regelmäßig Kontakt zum Domain Server haben, um Aktualisierungen durchzuführen?

Bei jedem Start wird quasi ein gpupdate durchgeführt.

 

Am 25.12.2022 um 09:11 schrieb K4288:

Nicht das irgendwann das Login nicht mehr funktioniert.

Das wird passieren, die lokal gespeicherten credentials verlieren nach einigen Anmeldungen ihre Gültigkeit und müssen erneuert werden.

Geschrieben

Man könnte versuchen über rsop.msc herauszufinden welche Werte per GPO verändert werden und das dann (nachdem man es pro Rechner und User ausgelesen und verglichen hat) als lokale Richtlinien nachbauen, natürlich auf jedem Rechner und für jeden einzelnen (noch auf den Geräten anzulegenden lokalen) User einzeln. Zusätzlich kann man nicht mehr erfolgreich verhindern dass User an "ihren" Usereinstellungen (Current User) rumfummeln.

Oh, und man muss natürlich damit leben das jeder User auf jedem Rechner andere Einstellungen haben wird, der administrative Aufwand recht hoch ist...

Mit Domainkonten dauerhaft ohne Kontakt zu einem DC zu arbeiten kann funktionieren, muss aber nicht. Wenn es nur den DC und die 3 Arbeitsplätze gab könnte man das auf lokale Konten zurückbauen. Sobald auch nur ein Server, NAS, MuFu Gerät... mit in AD integriert war, wird das noch mal mehr Aufwand. Einfach so laufen lassen ohne DC ist riskant, irgendwann laufen die Passwörter der User und Computerkonten aus, spätestens dann wird es lustig.

Warum möchte man denn auf die zentrale Verwaltungsmöglichkeit eines AD verzichten?

Geschrieben
vor 1 Stunde schrieb charmanta:

weil es drei Client sind ? ;)

Schon klar, aber da man vorher schon einen DC hatte (für dessen Implementierung es hoffentlich auch Gründe gab), sollte es für die Abschaffung ggf auch "bessere" Gründe geben als "is halt kaputt...". Zumal es ja vorher wohl keinerlei Bestrebungen gab den DC geplant abzuschaffen.

Geschrieben

Sorry aber bei drei Clients setzt man einen neuen DC auf, wenn man gut drauf ist noch einen DC2 als Backup und setzt erstmal grundlegende GPOs völlig neu auf. Das ist eine Sache von 1-2 Stunden, die drei Benutzer bekommen neue Passwörter, man mappt evtl irgendwelche Netzlaufwerke rein und dann würde ich schauen was noch fehlt. 

Geschrieben
vor 2 Stunden schrieb 127.1.root:

Sorry aber bei drei Clients setzt man einen neuen DC auf

Und warum? Ich glaube der Fragenstellende ist hier besser damit beraten zu schauen wo die Nutzdaten liegen und ob außer der DC-Rolle noch andere Dienste auf dem Server laufen/liefen. Danach würde ich entscheiden.

Wenn der DC nur DC/DNS + Dateifreigaben gemacht hat reicht tatsächlich eine NAS künftig und diese sollte entsprechend gesichert werden. Wird ein Server für Datenbank/Fachanwendung xyz benötigt würde ich das aufsetzen und dann auch die DC-Rolle installieren - schadet ja nicht - man betreibt die Kiste ja sowieso.

Geschrieben
vor 3 Stunden schrieb 127.1.root:

Sorry aber bei drei Clients setzt man einen neuen DC auf, wenn man gut drauf ist noch einen DC2 als Backup und setzt erstmal grundlegende GPOs völlig neu auf.

wir üben nochmal wirtschaftliche Betrachtung. Wenn ich das meinem Angelverein erzähle schmeissen die mich raus ;)

Ganz ehrlich, völlig übertrieben und denk mal an die Lizenzkosten für einen KMU im Vergleich zum Nutzen

Geschrieben
vor einer Stunde schrieb charmanta:

die Lizenzkosten für einen KMU im Vergleich zum Nutzen

Nichtmals die. Die reinen Betriebskosten: Strom, Wartung, (Ab-)Sicherung (!!).

Kannst das Ganze, wenn es nur um GPOs, Accounts und Dateifreigaben geht ja schließlich auch mit Samba4 machen...

Geschrieben (bearbeitet)

Hallo zusammen,

vielen Dank für die zahlreichen Antworten!

Wie man aus der Fragestellung schon erkennen kann, bin ich kein Experte beim Thema Gruppenrichtlinien. Ich möchte als Freundschaftsdienst ein bestehendes System so weit wie möglich vereinfachen, da dem betreuenden Systemhaus nach einem Vorfall nicht mehr vertraut wird. Warum man für drei Clients, die sich nur Drucker und Netzlaufwerk teilen und nicht untereinander kommunizieren, einen Domän-Server und einen Drucker-Server installiert? Geldgier?? Leider leben wir auf dem Land, da sind Alternativen rar.

Wenn ich euch richtig verstehe, habe ich da eine tickende Zeitbombe. Also heißt es, lokale Admin und Nutzer einrichten, anschließend Domän verlassen. Wäre halt schön gewesen, wenn ich die Richtlinien kopieren könnte. Gibt es für soetwas keine Software?

Bearbeitet von K4288
Korrektur
Geschrieben
vor 2 Stunden schrieb K4288:

Wäre halt schön gewesen, wenn ich die Richtlinien kopieren könnte. Gibt es für soetwas keine Software?

Es gibt sogar Boardmittel, hatte ich ihn meinem ersten Beitrag auch erwähnt:

Am 27.12.2022 um 14:52 schrieb Maniska:

Man könnte versuchen über rsop.msc herauszufinden welche Werte per GPO verändert werden[...]

Bist du dir sicher, dass es überhaupt nennenswerte GPOs abseits der DefaultDomainPolicy gibt?

Das wichtigste wäre eh die Passwort Policy und ggf die Einstellungen zum Bildschirm sperren. Mein Bauchgefühl sagt mir, dass du da nicht viel Verwertbares finden wirst, wer sollte ich die Mühe gemacht haben großartig GPOs zu erstellen?

  • 4 Wochen später...
Geschrieben

Ich mache es auch so, erstelle eine neue Domäne wenn die alte hinüber ist und lasse es default....

Ab da gilt es zu warten, ob die User was merken, was nicht geht, die melden sich schon: das war mal anders und das ging früher so.....

Das renkt sich wieder ein.

 

  • 2 Wochen später...
Geschrieben

Das wird nicht viel gewesen sein bei 3 Clients... aber wie gesagt, ist ne Sache von maximal 1-2 Stunden. Würde ich sogar kostenlos und aus Spaß an der Freude machen, weils so einfach ist. 

Sowas wie Samba an jemanden, der keine Ahnung von Domänen hat, empfehlen zu wollen ist schon ziemlich schräg. 

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...