Domainsicherheit, Keine Domainsicherheit, Active Directory Autentifizierung oder LDAP Autentifizierung ? Was wählen ?

    Im TS 253A kann man in der Systemsteuerung unter den Privilegieneinstellungen folgendes auswählen:


    # keine Domainsicherheit (nur lokale Nutzer)
    # Active Directory Autentifizierung (Domain-Mitglied)
    # LDAP Autentifizierung


    Stellt sich mir die Frage was ich da wähle da und warum ?


    Mein bisheriger Standpunkt:
    # Keine Domainsicherheit entfällt wohl weil man da weder Systemrichtlinien verteilen kann noch ein auf dem NAS ablegbares Anmeldescript für Domainmitglieder möglich ist.


    Was in der Praxis der Unterschied zwischen der Wahl zwischen Active Directory und LDAP Autentifizierung dar stellt ist mir nicht klar.


    Weitere persönliche Defizite:
    Gelegentlich ist mir der Begriff Radius Server begegnet. Was ist das und wofür brauche ich den. Soweit ich das auf dem Schirm habe wird der irgend wie für die Absicherung des WLAN benötigt. Ist hier für die Wahl einer Activ Directory oder LDAP Autentifizierunbg notwendig oder gar kontraproduktiv ? Ich glaube in der Vergangenheit habe ich mal was in der Fritzbox mit WPA2 personal bzw enterprise gelesen. Das schien mir irgend was mit dem Thema zu tun zu haben. Finde ich aber aktuell nicht mehr in der Fritzbox.

    4 Mal editiert, zuletzt von Theo54547 ()

    Radius Server:
    Remote Authentication Dial-In User Service (RADIUS, deutsch Authentifizierungsdienst für sich einwählende Benutzer) ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und zum Accounting (Triple-A-System) von Benutzern bei Einwahlverbindungen in ein Computernetzwerk dient.


    Hier eine gute Erklärung
    Technet Microsoft


    Wikipedia:
    Wiki Radius Server


    Denke die Links erklären besser als mit eigenen Worten :)


    Active Directory (AD) gibt es nur auf reinen Serverplattformen. (Microsoft Server, Windowsserver 2016 etc.)

    Zitat von Kaffee

    Active Directory (AD) gibt es nur auf reinen Serverplattformen. (Microsoft Server, Windowsserver 2016 etc.)

    Auf der QNAP ist ein Betreiben eines ADDC (Active Directory und Domain Controller) problemlos möglich. Habe ich so selbst im Einsatz.
    >Systemsteuerung >Privilegieneinstellungen >Domain-Controller


    @Theo54547
    Läuft die QNAP in einer Firma oder soll eine firmaähnliche Struktur aufgebaut werden?

    Ja, im TS 253A kann man in der Systemsteuerung unter den Privilegieneinstellungen folgendes auswählen:


    # Active Directory Autentifizierung (Domain-Mitglied)
    # LDAP Autentifizierung


    Stellt sich mir die Frage welche Vor und Nachteile welche die beiden Varianten haben ?


    Die Variante "keine Domainsicherheit (nur lokale Nutzer)" lasse ich schon mal wegen klarer Sicherheitsbedenken weg.


    Ja, es sollen vernünftige Sicherheitsstrukturen etabliert werden die auf einem Level liegen welches in Firmen üblich und sinnvoll ist. Es handelt sich im vorliegenden Fall um eine kleine 20 Mann Firma, mit Fileserver, Mailserver, Intranet, Kameraüberwachung und externen Webserver. Mehrere der Mitarbeiter sind reisende Notebookbenutzer. Das WLAN soll für Gäste mit z.B. täglich wechselnden WLAN Kennwort zugänglich sein und für Firmenangehörige mit über ihre Windowsanmeldung in Verbindung mit WPA2 enterprise zugänglich sein. Datensicherung erfolgt über Raid 1 in Verbindung mit zwei im Zweiwochenrhytmus weggeschlossnen Raid 1 Platten sowie einer täglichen externen Sicherung.

    2 Mal editiert, zuletzt von Theo54547 ()

    Ui, da hast Du was vor.


    Deiner Fragestellung entnehme ich, dass Du mit Active Directory und Domain-Controller etc. noch nichts zu tun hattest?


    Ja, bei 20 Mann ist eine Sicherheitsstruktur zu empfehlen mit AD, DC und GPO/GPP etc.
    Ich kann zwar bei Deiner Auflistung nicht lesen dass es einen Domain-Controller gibt, aber irgendwie kann ich mir das bei 20 Benutzern nicht vorstellen. Was ist den diesbezüglich schon vorhanden?

    Zitat von Mavalok2

    Deiner Fragestellung entnehme ich, dass Du mit Active Directory und Domain-Controller etc. noch nichts zu tun hattest?

    Das was ich bisher damit zu tun hatte liegt lange zurück. Das ist arg verblaßt und mag auch heute durchaus etwas anders sein. Daher frage ich so blöd.
    Das was ich aktuell habe oder nicht habe spielt erst einmal keine Rolle. Das was ich eventuell noch benötige muß ich halt anschaffen.


    Ich kürze hier mal etwas ab. Den DC habe ich auf meinem Testgerät, einem QNAP TS-x53A aktiviert.
    # Wo kommt jetzt die LOGON.BAT hin ? (%SystemRoot%\sysvol\sysvol?)
    # Was muß ich da noch machen außer das die PC`s der Domain bei treten das sie das Logon Script aus führen ?


    # In welches Verzeichnis des NAS kommen die Domainrichtlinien und womit editiert man die heutzutage ? (admin pack ?)
    # Wenn ich z.B. mit einem Win7 pro einer Domain bei trete, wie war das da noch mal bzw. wie macht man das heute das übertragen des lokalen Profils auf das Domain Profil auf einem bestehenden PC ?

    5 Mal editiert, zuletzt von Theo54547 ()

    Ich frage deshalb, denn je nachdem was vorhanden ist wird eine andere Einstellung benötigt.
    Das Thema insgesamt ist nicht ganz ohne.


    Aber gut, zu Deiner Frage. Ich werde sie kurz und allgemein halt. Ich hoffe das ist ok.


    Active Directory Authentifizierung (Domain-Mitglied):
    Hier wird die QNAP in die vorhandene Domain mit eingegliedert. D.h. die QNAP wird zu einem Mitglied der Domain mit allen Vor- und Nachteilen. Für dies ist jedoch ein vorhandener Domain-Controller notwendig. Es werden alle Benutzer und Gruppen übernommen. Gegeben Falls müssen die Richtlinien (GPO/GPP etc) angepasst werden, dass die QNAP sauber funktionieren kann.


    LDAP Authentifizierung:
    Hier wird im Prinzip nur die Authentifizierung übernommen. Oder einfach gesagt: Es werden die Benutzer und Gruppen übernommen, aber in dem Sinn keine Richtlinien. Auch hierfür ist entweder ein Domain-Controller notwendig, oder die abgespeckte Variante davon ein LDAP-Server oder LDAP-Dienst.



    Wenn Du die Möglichkeit hast und es "gründlich" machen willst dann würde ich Active Directory Authentifizierung empfehlen.
    Wenn es schnell, einfach sein soll LDAP Authentifizierung.


    Ansonsten einfach mal in Internet nach den einzelnen Themen suchen. Das ist nichts QNAP spezifisches. Active Directory stammt eigentlich von Microsoft.

    Zitat von Mavalok2

    Ich frage deshalb, denn je nachdem was vorhanden ist wird eine andere Einstellung benötigt.
    ...


    Wenn Du die Möglichkeit hast und es "gründlich" machen willst dann würde ich Active Directory Authentifizierung empfehlen.Wenn es schnell, einfach sein soll LDAP Authentifizierung.

    Ok. Also wenn ein DC eine wie auch immer geartete saubere oder umfassender Nutzerautentifizierung erzeugt werde ich diese wohl erst einmal verwenden.


    Zu der Frage was da an Hardware besteht stelle dir vor das ein leeres Gebäude mit Stromanschlüssen, einer CAT 5e Verkabelung, ein paar Switche, ein oder zwei Fritzboxen, ein paar Laptops mit z.B. Win 7 Pro und ein oder zwei TS-x53A existieren.


    Nun wollen wir da mal ein wenig basteln und sehen was wir noch so brauchen.


    # Als erstes sollen die Win 7 Pro Laptops in die Domain und Zugriff auf Netzlaufwerke erhalten.
    # Dann geht es an die Verteilung der Domainrichtlinien
    # Softwareverteilung
    # Softwareaktualisierung
    ...



    Die nächsten konkreten und offenen Fragen sind die folgenden:


    Ich kürze hier mal etwas ab. Den DC habe ich auf meinem Testgerät, einem QNAP TS-x53A aktiviert.
    # Wo kommt jetzt die LOGON.BAT hin ? (%SystemRoot%\sysvol\sysvol ?)
    # Was muß ich da noch machen außer das die PC`s der Domain bei treten das sie das Logon Script aus führen ?


    # In welches Verzeichnis des NAS kommen die Domainrichtlinien und womit editiert man die heutzutage ? (admin pack ?)
    # Wenn ich z.B. mit einem Win7 pro einer Domain bei trete, wie war das
    da noch mal bzw. wie macht man das heute das übertragen des lokalen
    Profils auf das Domain Profil auf einem bestehenden PC ?

    Nichts für ungut, aber sicher, dass Du dich nicht übernimmst? Ein vollwertiges Windows AD ist auch noch was anderes als die QNAP-Variante.

    Die aktuellen konkreten offenen Fragen sind die folgenden:


    Ich kürze hier mal etwas ab. Den DC habe ich auf meinem Testgerät, einem QNAP TS-x53A aktiviert.
    # Wo kommt jetzt die LOGON.BAT hin ? (%SystemRoot%\sysvol\sysvol ?)
    # Was muß ich da noch machen außer das die PC`s der Domain bei treten das sie das Logon Script aus führen ?


    # In welches Verzeichnis des NAS kommen die Domainrichtlinien und womit editiert man die heutzutage ? (admin pack ?)
    # Wenn ich z.B. mit einem Win7 pro einer Domain bei trete, wie war das
    da noch mal bzw. wie macht man das heute das übertragen des lokalen
    Profils auf das Domain Profil auf einem bestehenden PC ?

    Ich fürchte einen Domain-Controller mit Active Directory, Gruppenrichtlinien etc., sprich eine komplette Infrastruktur per Forum aufzubauen übersteigt bei weitem die Möglichkeiten eines Forums.


    Meine Empfehlung: Wende Dich an die IT-Firma Deines Vertrauens. Die kann Dich bei allen Belangen in Tat und Rat unterstützen. Es ist üblich bei Aufbauarbeiten eine externe Firmen mit ins Boot zu holen - wie ich es auch mache. Die haben beim Aufbauen mehr Erfahrung und Manpower als die interne Abteilung.

    Nun ja, wenn er unbedingt will.


    Für Microsoft gibt es die kostenlose Microsoft Virtual Academy:


    https://mva.microsoft.com


    mit der passenden Eingrenzung finden sich da nicht nur Grundkurse für Anfänger.


    Ich schliesse mich den Zweifeln andere hier an.
    Mit so wenig Grund und Hintergrundwissen und wenn ich die Fragen aus dem Eingangspost so lese
    sehe ich wenig Aussichten auf Erfolg.


    .

    Zitat von Kaffee

    ...
    Ich schliesse mich den Zweifeln andere hier an.
    Mit so wenig Grund und Hintergrundwissen und wenn ich die Fragen aus dem Eingangspost so lese
    sehe ich wenig Aussichten auf Erfolg.


    .

    Hat sich erledigt Leute. Besten Dank für eure in eurem Vermögen liegenden Antworten.
    Ich hab die Qnap Spieleumgebung zurück gesandt und uns was aus bewährtem kommerziellen Umfeld geholt.
    Die dortige gewohnte Community passt besser zu meinen Ansprüchen.

    Einmal editiert, zuletzt von Theo54547 ()

    Reisende soll man nicht aufhalten...


    Tschüüüüsssssss




    P.S.: Manche Firmen tun mir echt leid