Wie handhabt ihr denn ein Netzerk mit 50 Windows Rechnern und Benutzern und diversen Severn und Zugriffsrechten?
Ich kann nur sagen wie ich es mache. Die User auf dem FreeBSD-File-Server (lokal) und Mail-Services und Web-Anwendungen (FreeBSD bei AWS-EC2) habe ich angelegt, inklusive Passwörter.
Zur Verwaltung habe ich Scripts und für die Mail-Services und die Web-Anwendungen ein C-Programm geschrieben, mit denen die Berechtigungs-Listen via ssh-pipe auf die Server neu eingespeist und aktiviert werden können. Ich ändere die Liste auf meinem lokalen Rechner und rufe die ssh-pipe-Kommandos auf und in weniger als einer Sekunde sind jeweils die neuen Rechte und ggf. neuen User aktiv.
Die Windows-Clients sind mit Standard-Accounts unterwegs. Die Passwörter dort interessieren mich nicht. Für den Mail-Zugriff mußten wir Outlook einmal konfigurieren, dabei hat mir ein technisch visierter Kollege geholfen - Outlook ist vielleicht ein Mist, aber was soll’s, das müssen wir ja nur einmal anfassen.
Jeder User hat auf dem Server einen Home-Ordner, da kann er seinen privaten Kram abspeichern und es befindet sich darin ein Backup-Verzeichnis, in dem stündlich die inkrementellen Backups des Windows-User-Ordners über den Windows eigenen Dienst (unter Update & Sicherheit) eingespielt werden. Ferner ist im Home-Ordner ein Link zu den Gemeinsamen Daten hinterlegt, von dort aus kann man in die mit diversen Zugriffs-Rechten ausgestattete Verzeichnisstruktur navigieren und alles erreichen, was nötig ist.
Dafür muß man unter Windows nur ein Netzlaufwerk verknüpfen (mit dem sog. anderen Benutzer) und legt davon einen Link auf dem Desktop an, fertig.
Wenn neue Verzeichnisse auf dem Server dazukommen, muß bei den Clients nichts gemacht werden.
Wenn sich ein Client einen Cyrpto-Trojaner einfängt, dann sind auf dem Server allenfalls die Verzeichnisse betroffen in denen der betreffende User Schreibrechte hat. Dafür hat man ja tägliche Backups und ferner wird jede Nacht das von mir entwickelte
clone-Utility im Hard-Link-Modus aufgerufen, d.h. es wird jeweils von der gesamten Verzeichnisstruktur ein Hard-Link-Clone angelegt, selbst wenn also ein nennenswerter Teil cryptografiert würde, sind die Daten immer noch da, und man kann sie infach auch mit clone zurückholen. Zuvor werden mit find die nicht mehr gelinkten Dateien gezählt, wenn das in die tausende geht, dann ist was faul.
Nochmal, ich bin jetzt überzeugt, daß ich ADDC nicht brauche.