AD oder nicht

Ich bin ebenfalls im Gymnasium in der gleichen Position tätig wie du, in BW. Ich mache, genauso wie du, weit aus mehr, als offiziell solch eine Stelle an der Schule machen soll und auch bezahlte Zeit dafür zugestanden wird. Das ist leider nicht vermeidbar, das ist mir auch klar.

Ihr setzt Systeme ein, deren Nutzen darin besteht, sich gerade nicht mit LDAP und der AD auseinandersetzen zu müssen. Ihr habt einen Dienstleister der die Systeme bei euch eingerichtet hat und dafür verantwortlich sein muss. Das sollte deiner Schulleitung (Servicekosten) und dem Dienstleister (Verantwortung) klar sein.

Daher würde ich an deiner Stelle deine Energie in die Rechtfertigung und Delegierung dieser Aufgaben legen anstatt sie still und heimlich selbst zu erledigen, was gar nie deine Aufgabe war.

Das funktioniert natürlich nicht immer, das weiß ich selbst und man ist am besten dran, wenn man selbst Ahnung davon hat und den Dienstleistern genau auf die Finger schaut, wie bei allem, leider.

Auch ich habe bisher keine Ahnung von LDAP und AD, es wäre aber auch für mich sicherlich hilfreich Ahnung zu haben. Ich selbst werde aber nie im Leben bei mir zu Hause das umsetzen, da ich keinen zusätzlichen Nutzen privat davon habe, es mir privat dadurch eher verkompliziere und mir die Zeit, es in Eigenregie beizubringen, zu schade ist. Eher würde ich eben den Dienstleister her holen, dass er mir das einrichtet, was ich will, gegen Bezahlung und ich eben ihm über die Schulter schaue. Wenn euer System einen manuellen Zugriff auf die AD regelmäßig benötigt, dann wäre es eher hilfreich eine Fortbildung dahingehend bei der Schulleitung zu motivieren.

Ebenso würde ich eher die Schule dahingehend umgestalten, dass man gefahrlos im produktiven Betrieb ausprobieren und experimentieren kann und alles wieder zurückspielen kann, das ist zumindest was ich bei meiner Schule mache, d.h. Server virtualisieren und ordentliche automatische Backuplösung. Das gebe ich aber in Auftrag, das macht unser Dienstleister, aber auch hier wieder unter meinem teilweise Beisein, natürlich um auch selbst das System im Detail besser zu verstehen, also auch schon wieder mehr als ich für bezahlt werde.

Mit Domaincontroller (DC), Active Directory (AD), Gruppenrichtlinien (GPO) und Gruppenpreferenzen (GPP) ist es so eine Sache. Im privaten Umfeld ist es tatsächlich eher hinderlich. Das Ganze ist ja eigentlich dazu da, die Rechte des Benutzers einzuschränken. Wenn Du eine große Familien mit vielen Kindern hast sieht es wieder etwas anders aus. Aber für ein oder zwei Geräte mit ein oder zwei Personen, hmm. Klar geht trotzdem. Mit diesen Mitteln hast Du mehr Kontrolle über einen PC als ein lokaler Admin es hat.

Grundvoraussetzung: Du benötigst min. Windows Pro, also Pro, Ultima, Enterprise oder Edu. Mit den zu hause verwendeten Home oder Home Premium ist da nichts mit ADDC etc.

Das Ganze ist zwar keine Hexerei, aber ich weiß jetzt nicht wie Deine Grundkenntnisse aussehen. Für mich war es jetzt nicht so ein Problem, auch wenn ich über das ein oder andere Problem beim Installieren gestolpert bin, QTS ist eben kein Windows Server.

Umsetzen kann man dies letzten Endes mit einer QNAP ohne Probleme. Hab dies in unsere Filiale mit einer TS-231+ umgesetzt. Habe hier das volle Programm mit QTS umgesetzt, DC, AD, GPO, GPP, DHCP, NTP, DNS, etc. Geht mit QTS alles. Das geht zwar bei weitem nicht alles über die WebGUI, dafür ist sie zu eingeschränkt, aber mit den Windows Remoteverwaltungstools geht dies trotzdem mit graphischen Tools.

Zitat von rednag

Von GPP habe ich z. B. noch nie was gehört.

Vielleicht mein Fehler: GPP heisst Group Policy Preferences also Gruppenrichtlinien Preferenzen und GPO Group Policy Objects also Gruppenrichtlinien Objekte. Kleiner Übersetzungsfehler meinerseits. Salopp gesagt unterm Strich das Selbe.

Zitat von rednag

aber werden da jetzt auch 2 verschiedene Profile angelegt?

Nein, das ist das selbe Profil. Der Client zieht sich beim Anmelden eine lokale Kopie, im Normalfall und wenn er darf. Beim Abmelden wird dann das Profil wieder auf den Server synchronisiert.

Zitat von rednag

Was mir jetzt auch noch Sorgen bereitet: Wie kann ich das umsetzen, Freigaben auf der Syno und dem QNAP dem User zuweisen.

Das ist kein Problem. Bei der Ordnerfreigabe bei der QNAP gibt es jetzt nicht nur lokale Benutzer und Gruppen, sondern auch Domänenbenutzer und Gruppen. Diese kannst Du ganz normal den Freigaben zuordnen. Neue Gruppen und Benutzer musst Du jetzt natürlich im AD einrichten. Dafür sind dann die Remote-Verwaltungstools vom MS gut. Zumindest funktioniert dies so bei der QNAP. Ob dies bei Syno gleich funktioniert weiß ich nicht. Aber ich nehme mal an, dass Syno auch mit Samba arbeitet.

Zitat von rednag

Darf ich mich sobald mir möglich ist (1-2 Wochen) wieder melden?

Ich schätze wir sind auch noch in 3 Wochen da.

Zitat von rednag

Erste kurze Versuche mit RSAT waren nicht erfolgreich, da er sich augenscheinlich nicht an der Domäne anmelden konnte...

Das könnte am Anmelden liegen. Dies erfolgt in der Domäne mit: Domänenname\Benutzername also z.B. Test\admin

Jetzt muss ich doch mal nachfragen. Wo läuft denn der Domänencontroller jetzt genau? Auf der Syno selbst oder auf einem virtuellen Windows auf der Syno?

.local würde ich nicht mehr empfehlen (mDNS, Bonjour, macOS...) Lieber .lan, .lokal

Wie AD und DC unter vDMS funktioniert weiss ich leider nicht. Ich nehme zwar an ähnlich zu QTS und Samba aber wo welche Einstellungen sind, was funktioniert und was nicht kann ich nur raten. Vielleicht funktionieren die MS-Tools hier nicht. Da wendest Du Dich besser an ein Syno Forum.

Local wird vielfach von Diensten und Servern auf dem lokalen Gerät verwendet. Die Verwendung im Domänennamen kann Probleme verursachen.