Die von Microsoft empfohlene AGDLP-Regel – kurz für "Accounts / Global / Domain Local / Permission" – zählt als Best Practice für den Aufbau sicherer und transparenter Berechtigungsgruppen im Active Directory. Um von den Vorteilen von AGDLP zu profitieren, muss die IT-Abteilung das Prinzip jedoch konsequent und einheitlich anwenden. Doch das sorgt im IT-Alltag immer wieder für Schwierigkeiten. Wichtig für die spätere Übersicht ist es etwa, von Anfang an klare Namenskonventionen zu etablieren. Selbst wenn Sie die Struktur von AGDLP erfolgreich umsetzen, gerät die Auswertung von Gruppen chaotisch, wenn etwa der eine Admin Leseberechtigungen über "Read-Fileserver-Sales" zuweist und ein anderer nach dem Muster "Fileserver-Sales-Read" vorgeht.

Für den Erfolg von AGDLP ist es zudem entscheidend, Berechtigungsgruppen nicht zweckzuentfremden oder wiederzuverwenden. Die Verlockung ist hier zum Teil groß, denn oft finden sich in solchen Gruppe exakt die User, die auch die neu zugewiesene Berechtigung erhalten sollen. Problematisch wird es aber, wenn Sie weitere User zu der Gruppe hinzufügen. Denn anhand eines Namens wie "Kundendienst-Leserechte" ist nicht erkennbar, dass Mitglieder darüber hinaus Zugriff auf einen sensiblen Projektordner erhalten. Der einfachste Weg, die strikte Einhaltung von Best Practices in der Verwaltung von AD-Gruppen zu garantieren, ist es, die Berechtigungsvergabe über eine entsprechende Software zu automatisieren. Admininistratoren ersparen sich dadurch das Anlegen neuer Gruppen, die dank der passenden Software stets nach dem AGDLP-Prinzip aufgebaut werden.

Weitere Tipps zum Thema Active Directory finden Sie im IAM-Blog von tenfold unter hhttps://tenfold-security.com/ratgeber/

Glücklicherweise kam die Ankündigung zur Abschaltung der Basic Authentication durch Microsoft schon sehr früh. So blieb den Softwareherstellern genügend Zeit, die moderne Authentifizierung zu integrieren. Das ist auch bei PRTG der Fall. Für die Überwachung von Microsoft-365-Mailboxen steht dafür der Sensor "Microsoft 365 Mailbox" in allen PRTG-Versionen zur Verfügung. Er zeigt die Anzahl der E-Mails im Postfach, das Alter der neuesten und ältesten E-Mails an und bietet verschiedene Filteroptionen. Wenn Sie den Sensor hinzufügen, können Sie verschiedene Ordner im Postfach auswählen oder sogar ein Postfachkonto eines anderen Benutzers hinzufügen. Im Blog von Paessler finden Sie alle notwendigen Informationen zum Umstieg auf die moderne Authentifizierung inklusive einer Schritt-für-Schritt-Anleitung zur Einrichtung des neuen Sensors. [Link-Code: https://blog.paessler.com/exchange-online-and-paessler-prtg-from-basic-to-modern-authentication/].

Für viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps/] auch einen Youtube-Kanal mit Tutorials an.

Das IPMI (Intelligent Platform Management Interface) ist eine Managementoberfläche, die das Remoteverwalten des Servers ermöglicht. Sie stellt verschiedene Möglichkeiten zu Administration und Konfiguration zur Verfügung. In einem Artikel zu den IPMI-Grundlagen im Thomas-Krenn-Wiki [Link-Code: https://www.thomas-krenn.com/de/wiki/IPMI_Grundlagen/] finden Sie weitere Informationen zu den Komponenten, zum Aufbau und den Kommunikationsschnittstellen eines IPMI-Interfaces. Im Folgenden beschreiben wir die Erstinbetriebnahme eines IPMI-Remote-Management-Interfaces anhand des Advantech-ASMB-587-Mainboards mit IPMI-2000-Modul.

Als Erstes müssen Sie dem IPMI-Modul eine IP-Adresse geben. Wechseln Sie dazu im BIOS auf "Server Mgmt / BMC Network configuration". Hier können Sie eine statische IP zuweisen oder auf DHCP schalten. Ist DHCP aktiviert, wird hier die aktuelle IP-Adresse angezeigt. Anschließend tippen Sie die Adresse in der Suchzeile des Browsers ein und melden sich anschließend mit dem Benutzernamen "admin" und Passwort "admin" an. Nach dem ersten Login müssen Sie ein neues Passwort vergeben. In einigen Fällen (zum Beispiel einem Update vor der Auslieferung) kommt der Server Hersteller-seitig schon mit einem neuen Passwort, bei Thomas-Krenn zum Beispiel lautet es dann "Relation123". Nach erfolgreicher Eingabe des Kennwortes gelangen Sie zum Dashboard.

Hier finden Sie in der Kategorie "Sensor den Punkt "Sensor Readings". Dort finden Sie alle Sensorwerte mit Statusausgabe und Temperaturanzeigen. Kritische Sensoren werden besonders gut sichtbar dargestellt. Unter "Sensor Enable" können Sie nicht verwendete Sensoren abschalten, etwa nicht verwendete Lüfteranschlüsse. Unter dem Punkt "System Inventory" stoßen Sie auf einen Überblick der verbauten Hardware, "Logs & Reports" zeichnet alle Events auf, beispielsweise einen Reboot des Servers oder Probleme mit Hardwarekomponenten. Unter "Settings" stehen weitere Konfigurationsmöglichkeiten zur Verfügung und über "Remote KVM Power Control" können Sie den Server ein- und ausschalten beziehungsweise resetten. Unter "Mainte-nance"pflegen und verwalten Sie die IPMI-Konsole. So führen Sie hier zum Beispiel ein Firmware-Update durch oder überprüfen die System-Event-Logs. Im Menüpunkt "Bios" oben rechts lassen sich alle aktuellen BIOS-Einstellungen anzeigen und teilweise auch ändern.

Viele weitere Tipps und Tricks zum Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter https://www.thomas-krenn.com/de/wiki/Hauptseite/.

Viele Unternehmen haben in der Vergangenheit für das Aufspielen ihrer Patches den SCCM (System Center Configuration Manager) von Microsoft verwendet. In der AWS-Cloud lässt sich hierzu beispielsweise der AWS Patch Manager nutzen. Mit dem Tool können IT-Administratoren Updates nach einem von ihnen gewählten Zeitplan bereitstellen und sich den Status der Aktualisierung anzeigen lassen. So optimieren Sie ihre Patchprozesse und beugen Skalierungsprobleme vor. Mit dem Patch Manager lassen sich die bereitgestellten Patches automatisch installieren. Dafür verwendet das Tool seine integrierten Patching-Mechanismen für das Client-Betriebssystem. Außerdem unterstützt es eine nutzerfreundliche Aktualisierung der Systeme – sowohl auf Amazon EC2 als auch auf lokalen Systemen in hybriden Umgebungen. Firmen können damit ihre Updateprozesse vereinfachen und es bleiben ihnen mehr Kapazitäten für andere Aufgaben. Der Aufwand einer herkömmlichen Software zur Patchkonfiguration entfällt.

Was die Bereitstellung von Updates betrifft, verwendet der AWS Patch Manager die "Run Command"-Funktion des AWS Systems Managers. Mithilfe von selbst konfigurierten Wartungsfenstern lassen sich Patch-Aktivitäten planen und Updates an die Systeme ausliefern. Für automatisierte Updates befolgen Sie diese Schritte: Wählen Sie zunächst im AWS Systems Manager in der AWS Management Console den Patch Manager und dann "Configure Patching". Klicken Sie auf den Button "Configure patching". Wählen Sie unter "Instances to patch" das Feld "Select a patch group". Klicken Sie dann im Dropdown-Menü auf "Test". Als Nächstes konfigurieren Sie Ihren Patch-Zeitplan. Wählen Sie dafür "Schedule in a new Maintenance Window" und danach "Use a CRON schedule builder". Konfigurieren Sie die Häufigkeit und Dauer des Wartungsfensters nach Bedarf und beachten Sie dabei, die Zeit im UTC-Format einzugeben. Diese Einstellungen lassen sich auch nachträglich ändern. Zu Übungszwecken nennen Sie das Wartungsfenster "Patching-Test". Stellen Sie sicher, dass "Patching operation" auf "Scan and install" eingestellt ist. Klicken Sie anschließend auf "Configure patching". Nun haben Sie den ersten Patchprozess für Ihre Systeme konfiguriert und die Häufigkeit sowie Dauer des Wartungsfensters festgelegt. Um die Settings anzupassen, klicken Sie auf "Maintenance Window" in der AWS Systems Manager Console.

Generell ist es wie bei lokalen Rechnern auch mit Windows 365 sinnvoll, vor der Installation von Software einen Systemwiederherstellungspunkt zu erstellen, um so Windows auf den Ausgangszustand bringen zu können. Dazu öffnen Sie die Systemsteuerung und klicken auf "System und Sicherheit / System" und dann auf den Link "Computerschutz" am linken Rand. Auf der gleichnamigen Registerkarte stehen Ihnen die drei Schaltflächen "Systemwiederherstellung", "Konfigurieren" und "Erstellen" zur Verfügung. Mit der Schaltfläche "Erstellen" erzeugen Sie einen Systemwiederherstellungspunkt. Zunächst geben Sie einen Namen für den Wiederherstellungspunkt ein und klicken auf "Erstellen". Ist der Vorgang erfolgreich, erhalten Sie eine entsprechende Rückmeldung von Windows. Standardmäßig erfasst Windows mit den Systemwiederherstellungspunkten nur die Systempartition.

Wollen Sie weitere Festplatten mit dieser Funktion absichern, klicken Sie auf die Schaltfläche "Konfigurieren". Im neuen Fenster aktivieren Sie die Systemwiederherstellungspunkte für die entsprechende Festplatte und legen über einen Schieberegler fest, wieviel Speicherplatz Windows dafür zur Verfügung stellen soll. Über die dritte Schaltfläche starten Sie die Systemwiederherstellung. Dabei löscht oder überschreibt Windows keine Benutzerdaten, sondern lediglich Systemdateien. Klicken Sie auf die Schaltfläche, startet ein Assistent, der Sie durch den Vorgang führt. Den Assistenten starten Sie direkt über Rstrui.exe im Suchfeld des Startmenüs oder in einer Befehlszeile. Auf der nächsten Seite sehen Sie alle Systemwiederherstellungspunkte, die Windows erstellt hat. Um die Systemdateien von einem bestimmten Zeitpunkt zurückzuholen, wählen Sie den entsprechenden Systemwiederherstellungspunkt aus und klicken auf "Weiter".

Das kostenlose AutoMouse folgt im Rahmen einer Aufzeichnung den Bewegungen des Mauszeigers und registriert Links- und Rechtsklicks. Dies erlaubt dem IT-Verantwortlichen, eine bestimmte Aufgabe einmal mit dem Werkzeug durchzuführen, die erfolgten Mausbewegungen und Klicks in einer Datei abzulegen und dann bei Bedarf einfach aufzurufen, um die entsprechende Tätigkeit erneut durchzuführen. Hier rühmt sich die Software einer besonders großen Präzision in der zeitlichen Abfolge dieser Wiederholungen – sie soll im Millisekundenbereich liegen.

Doch AutoMouse bietet noch einiges mehr als diese durchaus aus anderen Anwendungen bekannte Funktionalität. So erlaubt das Tool beispielsweise die zeitgesteuerte Wiederholung der Mausaufzeichnung. Damit ist der Nutzer in der Lage, den Vorgang automatisch mehrfach durchlaufen zu lassen. Hier lässt sich eine bestimmte Anzahl von Durchläufen vorgeben oder bis zu dem Zeitpunkt timen, an dem der Admin einen Hotkey drückt. Die Hotkeys stehen im Übrigen auch für viele weitere Funktionen zur Verfügung, etwa um einen aufgezeichneten Vorgang schnell zu starten.

Link-Code: https://autoclose.net/automouse.html/

Die voll funktionsfähige Community-Version des plattformunabhängigen Hybrid-Backup- und Disaster-Recovery-Werkzeugs für Windows und Linux lässt sich nach einer Registrierung beim Hersteller herunterladen und für eine limitierte Anzahl von IT-Systemen nutzen. Die Community Edition beinhaltet einen 3 TByte Storage-Pool und 1 TByte Si3-Deduplizierung. Es lassen sich damit bis zu fünf Backupclients über drei Streams sichern. SEP bietet für die kostenlose Version keinen Herstellersupport. Doch in der Wiki-Dokumentation [Link-Code mbpe0] gibt es Hilfestellung bei Installation und Konfiguration.

Wie die meisten Tools im Backupumfeld fußt SEP Sesam auf einer Client-Server-Architektur. Zunächst rollt der Admin also den SEP-Sesam-Server aus, der als zentrale Steuerstelle und Hirn der Software fungiert. Hier konzentriert sich praktisch die gesamte Intelligenz: Wann und von welchen Daten wo ein Backup angelegt wird, das bestimmt einzig der sesam-Server. Das Gegenstück zur Serverseite ist der sesam-Client. Der läuft auf den für Backups auserkorenen Systemen und sammelt dort die Daten ein, die zu sichern sind. Die Ablage erfolgt in einem Zielspeicher, wofür die Software eine ganze Latte verschiedener Geräte und Möglichkeiten unterstützt.

Link-Code: https://www.sep.de/de/download-support/download-community-version/

AirDroid Remote Support ist eine App, die den Zugriff auf ein Smartphone aus der Ferne ermöglicht. Das Ganze geht ohne Registrierung vonstatten, ähnlich wie bei anderen Diensten wird ein Code ausgetauscht und so die Verbindung hergestellt. Dabei überträgt die Software nicht nur den Inhalt des Bildschirms, sondern erlaubt auch, Textnachrichten zu senden oder Anrufe zu tätigen. Zur Eingabe sensibler Informationen lässt sich die Übertragung des Bildschirminhalts außerdem pausieren. Das Ganze kommt allerdings – anders als in dieser Rubrik üblich – nur teilweise kostenlos daher. Derjenige, der Hilfe empfängt, kann die App kostenlos für Android herunterladen. Der Supporter, der aus der Ferne auf das andere Gerät zugreift, benötigt ein Abo. Dies ist jedoch mit rund 20 Euro pro Jahr durchaus günstig zu beziehen.

Für diesen sehr kleinen Obolus kann der Admin dann die Bildschirmfreigabe in Echtzeit und den Sprachchat beim Support zum Einsatz bringen. Er sieht somit den Bildschirm eines Mitarbeiters und kommuniziert direkt mit diesem, während er Instruktionen zur Problemlösung erteilt. Erweitern lässt sich die Hilfestellung durch die Aktivierung von Gesten während der Bildschirmfreigabe. So sieht der Endbenutzer die auf dem Bildschirm durchgeführten Streich- und Klickbewegungen. So lässt sich beispielsweise ein Screenshot mit Text oder Markierungen kommentieren, um die Anleitung zu unterstützen. Stimmt der Hilfesuchende zu, ist es darüber hinaus möglich eine Remote-Steuerung des Android-Devices zu starten. So hat der IT-Verantwortliche vollen Zugriff auf das Smartphone. Auch ist er mit AirDroid Remote Support in der Lage, Nachrichten, Anleitungen oder Screenshots zu senden, wenn keine Sprachkommunikation möglich ist.

Link-Code:https://www.airdroid.com/de/remote-support-software/