Differences

This shows you the differences between two versions of the page.

--- public:impdomain [2010/01/20 16:12] – dreger
+++ public:impdomain [2010/01/27 22:33] (current) – ascott
@@ Line 1: / Line 1: @@
 ====== Betriebskonzept für Windows Arbeitsplatzrechner am Fachbereich Physik ======
-Durch die für die Fachbereiche verbindliche //IT-Sicherheitsrichtlinien der FU Berlin// einerseits und der seit dem 1.12.2009 gültigen  //Vereinbarung zur Errichtung eines gemeinschaftlichen IT-Dienstes des Fachbereichs Mathematik und Informatik und des Fachbereichs Physik der Freien Universität Berlin// andererseits, muss das Betriebskonzept für Windows Arbeitsplatzrechner am Fachbereich Physik neu strukturiert werden.
+Durch die für die Fachbereiche verbindliche //IT-Sicherheitsrichtlinien der FU Berlin//((http://www.physik.fu-berlin.de/intern/data/IT-Sicherheitsrichtlinie_2008.pdf)) einerseits und der seit dem 1.12.2009 gültigen  //Vereinbarung zur Errichtung eines gemeinschaftlichen IT-Dienstes des Fachbereichs Mathematik und Informatik und des Fachbereichs Physik der Freien Universität Berlin//((http://www.physik.fu-berlin.de/intern/data/Vereinbarung_IT-Dienst-final.pdf)) andererseits, muss das Betriebskonzept für Windows Arbeitsplatzrechner am Fachbereich Physik neu strukturiert werden.
 ===== Ausgangssituation =====
@@ Line 55: / Line 55: @@
 Unter Aufgabe der lokalen Administrator-Rechte kann eine Aufnahme selbstadministrierter Rechner in die IMP-Domäne jederzeit erfolgen.
-----
 ===== Weitere Informationen =====
-Als Beispiel kann die Installation von Mathematica dienen: derzeit kommt der Benutzer bei der IT-Abteilung vorbei um eine Installations-CD abzuholen, die er dann auf seinem Rechner als Administrator installiert. Mit dem SCCM kann er Mathematica als normaler Benutzer aus dem Menü //Add or Remove Programs// mit einem Klick installieren:
+==== Warum wurde die Benutzerverwaltung an die ZEDAT abgegeben? ====
-{{:public:screenshot:add_new_software.png|}}
+Die Abgabe der Benutzerverwaltung an die ZEDAT ist vor allem eine Vorgabe des Präsidiums. Ziel ist u.a. dass jeder Mitarbeiter an der FU eine eindeutige Nutzerkennung bekommt, mit der er auf alle notwendigen Dienste zugreifen kann. Die zentrale Benutzerverwaltung ist eine wesentliche Voraussetzung für die effizienten Nutzung zentraler Dienste und damit für die angestrebte Zentralisierung der IT-Strukturen an der Freien Universität.
-==== Probleme ====
+Durch eine zentrale Benutzerverwaltung wird sichergestellt, dass sich alle beteiligten Systeme darüber verständigen können, welche Person sich hinter einer angegebenen Benutzerkennung verbirgt und diese auch anhand eines Passwortes authentisieren kann. Für die gemeinsame Nutzung von IT-Resourcen der Mathematik/Informatik und der Physik ist ebenfalls eine gemeinsame Account-Basis notwendig. Daher wurde im vergangenen Jahr die Benutzerverwaltung an die ZEDAT übertragen. Eine Folge hiervon ist, dass es auf den Systemen der Physik-EDV keine Passwörter mehr gibt, so dass die Authentisierung der Benutzer über die ZEDAT laufen muss.
-Wir haben im letzten Jahr bereits fast alle Windows-Rechner ohne lokale Administrator-Accounts installiert und an Arbeitsgruppen herausgegeben, ohne dass es zu nennenwerten Problemen gekommen wäre (2-3 Anfragen pro Monat). Für Benutzer dieser Rechner wäre die oben skizierte Umstellung auf die IMP Domäne mit SCCM sogar eine Erweiterung ihrer Rechte, da sie bisher überhaupt keine Software selbst installieren können.
+Zusätzlich besteht die Hoffnung, dass es durch die Abgabe der Benutzerverwaltung an die ZEDAT in der Fachbereichs-IT mittelfristig zu einer Arbeitserleichterung kommt. Hierzu sind noch weitere Automatisierungsschritte notwendig.
-Allerdings gibt es vermutlich auch eine große Zahl von Benutzern, die mit der beschriebenen Umstellung und damit verbundenen Einschränkung ihrer Administrator-Rechte nur schwer leben können. Aufgrund der oben beschriebenen Zusammenhänge ist es allerdings sehr schwer, für dieses Problem eine vernünftige Lösung zu finden.
+==== Wie viele Rechner in der PHYSIK oder WIN Domäne haben derzeit lokale Administrator-Rechte gesetzt? ====
-Bezogen auf den SCCM und die zentrale Software-Verteilung beginnen die Probleme mit lokalen Administrator-Rechten in dem Augenblick, wo jemand auf seinem Rechner eine Software installiert, die auch über den SCCM angeboten wird. Dann nämlich ist die Statusinformation im SCCM nicht mehr korrekt und es kann nachfolgend zu Problemen bis hin zur Unbenutzbarkeit des Rechners kommen. Hier könnte der Benutzer einwenden, dass er mit diesem Risiko leben kann. Rechner, die in dieser Form betrieben werden, können aber nicht mehr von der IT-Abteilung unterstützt werden. Im Problemfall müsste sich der Benutzer, der lokale Administrator-Rechte innehat, selbst um die Reparatur kümmern, was in der Realität vermutlich nicht funktioniert.
+^Admin-Rechte: ^ lokal ^ zentral ^
+|PHYSIK        |  121|  44|
+|WIN           |   11|   3|
+|TOTAL         |  132|  47|
-Schwerwiegender ist das Problem, dass die IMP Domäne als Teil der FU-BERLIN Domäne keine Administratorenrechte für Benutzer zuläßt. Die Lösung müßte lauten, dass der entsprechende Rechner nicht in der IMP Domäne aufgenommen wird. Da es aber keine andere Domäne mehr am Fachbereich geben wird (da diese ein beachtliches Maß an Doppelarbeit bedeuten würde und insbesondere keine Möglichkeit besteht, auf die ZEDAT-Passwörter zuzugreifen) wären diese Rechner ganz ohne Domäne. Das würde für den Benutzer zunächst kein allzu großes Problem darstellen, weil er sich mit den meisten Diensten durch Eingabe von ZEDAT Benutzername/Passwort verbinden könnte, auch wenn sein Rechner nicht Teil der IMP Domäne ist. Da es für diese Rechner dann jedoch keine zentrale Verwaltung und Sicherheitsüberwachung gibt, müssten sie nach der IT-Richtlinie als unsicher eingestuft und aus dem normalen Netz ausgeschlossen werden. Dass es derzeit viele Rechner im Netz gibt, die diese Kriterien nicht erfüllen, ist deshalb kein Argument, weil die IMP Domäne genau diesen Misstand beseitigen soll.
+Eine Aufschlüsselung nach Arbeitsgruppen wird nachgeliefert. (Stand: 20.01.2010)
-==== Weitere Schritte ====
+==== Warum können die PHYSIK und WIN Domänen nicht weiterbetrieben werden? ====
-  * Software-Listen zusammenstellen
+//Technische Antwort:// Die Domain Controller der PHYSIK-Domäne laufen mit SAMBA auf Linux-Servern. Die Domäne kann damit nicht in eine Unterdomäne der FU-BERLIN Domäne umgewandelt werden. Neu angelegte Benutzer erhalten keine Accounts mehr in der PHYSIK-Domäne, da diese nicht an die Benutzerdaten in der ZEDAT herankommt. Derzeit gibt es 165 Rechner in der PHYSIK-Domäne (Stand: 20.01.2010).
-  * Auf wie vielen Rechnern der PHYSIK Domäne haben Benutzer lokale Administrator-Rechte?
-  * Welche Rechner der PHYSIK Domäne sollten ins SECNET verschoben werden?
-==== FAQ ====
+Die WIN-Domäne ist eine Windows-basierte Domäne und könnte damit theoretisch eine Vertrauensstellung zun den Domain Controllern der ZEDAT aufbauen. Allerdings gibt es derzeit nur noch ca. 15 Rechner in der WIN-Domäne und die Domain Controller laufen auf veralteter Serverhardware, die möglichst bald ausser Betrieb genommen werden soll. Die WIN-Domäne spielt aufgrund der geringen Nutzerzahl nur eine untergeordnete Rolle.
-=== Warum können die PHYSIK und WIN Domänen nicht weiterbetrieben werden? ===
+==== Warum können lokale Administrator-Rechte Probleme im Zusammenhang mit einem SCCM hervorrufen? ====
-=== Warum wurde die Benutzerverwaltung an die ZEDAT abgegeben? ===
+Bezogen auf den SCCM und die zentrale Software-Verteilung beginnen die Probleme mit lokalen Administrator-Rechten in dem Augenblick, wo jemand auf seinem Rechner eine Software installiert, die auch über den SCCM angeboten wird. Dann nämlich ist die Statusinformation im SCCM nicht mehr korrekt und es kann nachfolgend zu Problemen bis hin zur Unbenutzbarkeit des Rechners kommen. Hier könnte der Benutzer einwenden, dass er mit diesem Risiko leben kann. Im Problemfall müsste sich der Benutzer, der lokale Administrator-Rechte innehat, selbst um die Reparatur kümmern, was in der Realität vermutlich nicht immer funktioniert.
-Die Abgabe der Benutzerverwaltung an die ZEDAT ist vor allem eine Vorgabe des Präsidiums. Ziel ist u.a. dass jeder Mitarbeiter an der FU eine eindeutige Nuzterkennung bekommt, mit der er auf alle notwendigen Dienste zugreifen kann.
-Zur effizienten Nutzung zentraler Dienste ist eine zentrale Benutzerverwaltung notwendig. Sie stellt sicher, dass sich alle beteiligten Systeme darüber verständigen können, welche Person sich hinter einer angegebenen Benutzerkennung verbirgt und diese auch anhand eine Passwortes authentisieren kann. Für die gemeinsame Nutzung von EDV-Resourcen der Mathematik/Informatik und der Physik ist ebenfalls eine gemeinsame Account-Basis notwendig. Daher wurde im vergangenen Jahr die Benutzerverwaltung an die ZEDAT übertragen. Eine Folge hiervon ist, dass es auf den Systemen der Physik-EDV keine Passwörter mehr gibt, so dass die Authentisierung der Benutzer über die ZEDAT laufen muss.
-Zusätzlich besteht die Hoffnung, dass es durch die Abgabe der Benutzerverwaltung an die ZEDAT in der Fachbereichs-IT mittelfristig zu einer Arbeitserleichterung kommt. Hierzu sind noch weitere Automatisierungsschritte notwendig.
-=== Können Arbeitsgruppen sowohl an der IMP-Domäne teilnehmen als auch selbstadministrierte Rechner betreiben? ===
+==== Können Arbeitsgruppen sowohl an der IMP-Domäne teilnehmen als auch selbstadministrierte Rechner betreiben? ====
-Ja.
+Sofern eine Arbeitsgruppe einen Mitarbeiter benennt, der die Verantwortung für den ordnungsgemässen Betrieb entsprechend der IT-Sicherheitsrichtlinie übernimmt, ist gegen den Mischbetrieb von zentral verwalteten und selbstadministrierten Rechnern innerhalb einer Arbeitsgruppe nichts einzuwenden.
-=== Wie läuft die Installation einer Software über den SCCM ab ? ===
+==== Wie läuft die Installation einer Software über den SCCM ab ? ====
 Als Beispiel kann die Installation von Mathematica dienen: derzeit kommt der Benutzer bei der IT-Abteilung vorbei um eine Installations-CD abzuholen, die er dann auf seinem Rechner als Administrator installiert. Mit dem SCCM kann er Mathematica als normaler Benutzer aus dem Menü //Add or Remove Programs// mit einem Klick installieren: