für den IT-Administrator

Redaktion IT-Administrator

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Wenn Benutzer Zugriff auf einen bestimmten Ordner erhalten sollen, vergessen Admins immer wieder, auch die List-Rechte für Überordner zu vergeben, weshalb User nicht zu dem Verzeichnis navigieren können. Wie lassen sich Zugriffsrechte und List-Rechte am besten miteinander verknüpfen?

Für die Vergabe von Berechtigungen auf dem Fileserver empfiehlt Microsoft den Einsatz verschachtelter Gruppen: Benutzer werden in Organisationsgruppen eingeteilt, diese wiederum sind Mitglied in Sicherheitsgruppen, die jeweils genau eine Berechtigung enthalten. Dieses Konzept lässt sich um List-Rechte erweitern, sodass eine automatische Zuweisung erfolgt, wenn ein Benutzer Berechtigungen auf einem Unterverzeichnis erhält. Die Berechtigungsgruppe, die den Zugang zu einem Ordner steuert, wird dazu zu einer Gruppe hinzugefügt, die die Berechtigung "Ordnerinhalt anzeigen" des übergeordneten Verzeichnisses regelt. Diese wiederum ist Mitglied der List-Rechte-Gruppe des darüber liegenden Ordners, bis hinauf zu Ebene eins. So ist sichergestellt, dass ein Benutzer beim Erhalt einer Lese- oder Schreibberechtigung automatisch auch alle notwendigen List-Rechte erhält.

Explizite Berechtigungen sollten bei diesem Vorgehen nur bis zur zweiten oder dritten Ebene vergeben werden, da andernfalls sehr viele List-Gruppen entstehen und die Zahl an Gruppenmitgliedschaften pro User begrenzt ist. Darüber hinaus müssen Sie die Vererbung von Berechtigungen einschränken, da User sonst List-Rechte für alle Ordner der jeweiligen Ebene erhalten. Die Sichtbarkeit von Ordnern lässt sich weiterhin durch die zugriffsbasierte Aufzählung limitieren. Benutzer bekommen so nur jene Verzeichnisse zu sehen, durch die sie tatsächlich navigieren können. Trotz der langfristigen Vorteile sind Aufbau und Pflege der nötigen Organisations- und Berechtigungsgruppen für Admins mit einigem Aufwand verbunden. Software für die automatische Berechtigungsvergabe legen die entsprechenden Strukturen im Hintergrund an und sorgen für eine deutliche Entlastung der IT.

Viele weitere Tipps zum Thema Active Directory finden Sie im IAM-Blog von tenfold unter https://tenfold-security.com/ratgeber/

Cloud

Wir überlegen, im Unternehmen Windows 365 einzusetzen. Können Sie kurz die Art der Lizenzierung erklären und wie sich Lizenzen möglichst einfach erwerben und verwalten lassen?

Windows 365 lässt sich direkt über die Webseite des Diensts buchen. Für den Zugriff sind Anmeldedaten für ein globales Administratorkonto bei Microsoft 365 notwendig. Beim Einsatz von Windows 365 ist in der Regel eine Microsoft-365-Lizenz nützlich, da so auch die verschiedenen anderen Dienste zur Verfügung stehen und die Lizenzierung einfacher ist. Testabonnements sind derzeit nicht verfügbar. Die Subskription ist jederzeit zum Ende des Monats kündbar. Das Buchen von Windows 365 hat Microsoft bewusst einfach gehalten. Im ersten Schritt wählen Sie aus, welche Edition Sie benötigen, also Windows 365 Business oder Enterprise. Mit dem Link "Pläne und Preise vergleichen" und der Schaltfläche "Jetzt kaufen" bei der entsprechenden Variante startet der Assistent zum Kauf und der anschließenden Einrichtung.

Für Business und Enterprise stehen jeweils die Varianten "Basic", "Standard" und "Premium" zur Verfügung. Diese unterscheiden sich im Grunde genommen nicht bei der Ausstattung, sondern hauptsächlich in der Menge des Arbeitsspeichers, der virtuellen CPUs und des Speicherplatzes. Die Basic-Variante bietet virtuelle PCs mit 4 GByte RAM, bei Standard stehen 8 GByte Arbeitsspeicher zur Verfügung und bei der Premium-Edition lassen sich 16 GByte RAM nutzen. Sie können dabei den "Hybrid-Vorteil" beim Kauf nutzen. Das heißt, dass vorhandene Lizenzen für Windows 10 und 11 auch für Windows 365 nutzbar sind und den monatlichen Preis für das Abonnement signifikant senken können.

Damit ein Anwender im Microsoft-365-Abonnement auf seinen Windows-365-PC zugreifen darf, muss ein Administrator dem Benutzer eine entsprechende Lizenz zuweisen. Die Einstellungen dazu sind im Microsoft 365 Admin Center über die Adresse "admin.microsoft.com" zu finden. In der Konfiguration der Benutzerkonten sind die Lizenzen für Microsoft 365 zu sehen. An dieser Stelle können Administratoren Einstellungen für die Lizenzen vornehmen und solche auch für Windows 365 vergeben. Setzen Sie bei den Benutzern den Haken bei "Windows 365", verfügen diese über Zugriffsmöglichkeiten auf den PC. Haben Sie mehrere Abonnements abgeschlossen, ist hier die Anzahl der noch verfügbaren Lizenzen zu sehen.

Nach der Zuweisung eines Abonnements darf sich der entsprechende Benutzer dann über die Adresse "windows365.microsoft.com" an seinem Cloud-PC anmelden. Das funktioniert jedoch nur bei der Business-Variante. Bei der Enterprise-Variante ist die Konfiguration nach Abschluss der Lizenzierung eines Cloud-PCs noch nicht abgeschlossen. Hier müssen Sie zunächst im Microsoft Endpoint Manager Bereitstellungsrichtlinien definieren. Meldet sich ein Benutzer mit seinem AAD-Konto an, überprüft MEM, ob der Benutzer für den Zugriff auf Windows 365 überhaupt berechtigt ist und stellt den Cloud-PC dann für diesen Benutzer bereit.

Monitoring

Wir verwenden bei uns im Unternehmen mehrere Firewalls der Marke FortiGate. Als Monitoringsoftware haben wir PRTG der Firma Paessler im Einsatz. Dort setzen wir bisher die Standardsensoren ein, aber der ausfallsichere Betrieb der Firewalls ist für unser Unternehmen sehr wichtig. Deshalb möchten wir eine zusätzliche Überwachung, damit wir alarmiert werden, sobald etwas an den Firewalls nicht normal läuft. Welche Möglichkeiten gibt es hier?

In Paessler PRTG stehen Ihnen dafür eigens entwickelte Sensortypen zur Verfügung, mit denen Sie eine Vielzahl an Details Ihrer FortiGate-Geräte monitoren können. Zur Überwachung des allgemeinen Systemzustands empfehlen wir den Einsatz des Sensors "FortiGate System Statistics". Dieser kontrolliert den Systemzustand Ihrer Firewall über die REST-API. Außerdem lassen sich auch VPN-Tunnel mit einem eigenen Sensor überwachen. PRTG bietet dafür den Sensor "FortiGate VPN Overview". Er zeigt genau an, was für ein VPN relevant ist, von der Anzahl der verbundenen SSL-Clients bis zur Anzahl der UP- und DOWN-IPsec-Tunnel. Wenn ein Tunnel ausfällt, bekommen Sie also Bescheid.

Beide Sensoren benötigen ein API-Token, um das Gerät monitoren zu können. Dazu müssen Sie einmalig einen API-Benutzer an der Firewall einrichten, worauf anschließend der Token generiert wird. Diesen API-Token hinterlegen Sie dann in PRTG, um damit eine erfolgreiche Authentifizierung zu gewährleisten. Eine bebilderte Schritt-für-Schritt Anleitung zur Inbetriebnahme der Sensoren finden Sie im Blog von Paessler [Link-Code: https://blog.paessler.com/monitoring-fortigate-firewalls-with-paessler-prtg/].

Für weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps] auch einen Youtube-Kanal mit Tutorials an.

Hardware

Speicherfehler sind eine der häufigsten Ursachen für Abstürze, Einfrieren und Instabilitäten. Memtest86+ ist ein eigenständiger Arbeitsspeicher-Test und bietet eine gründlichere Speicherprüfung als die BIOS-Speichertests. Der Test lässt sich ja direkt von einem PC-BIOS (Legacy oder UEFI) ausführen und verwendet verschiedene Algorithmen zur Erkennung von Fehlern. Auch wenn das Tool eigentlich selbsterklärend ist – können Sie trotzdem kurz die Installation und Nutzung beschreiben?

Laden Sie zunächst unter [Link-Code: https://memtest.org] die aktuelle Version von Memtest86+ herunter. Das Tool steht dort in verschiedenen Versionen für Windows und Linux bereit. Nach dem Download und dem Ausführen des Installers wählen Sie einen USB-Stick als Zielmedium aus und installieren das Werkzeug darauf. Dabei ist es empfehlenswert, das Häkchen für das Formatieren des Stick zu setzten. Am Ende des Vorgangs erscheint eine Übersicht zu den auf den Stick geschriebenen Dateien.

Für den Start des Programms müssen Sie nun den vorbereiteten USB-Stick als Boot-Medium auswählen. Der Test startet dann automatisch. Nach einem erfolgreichen Durchlauf erscheint die Meldung "PASS", wenn alles in Ordnung ist. Brechen Sie den Test nicht ab, beginnt automatisch immer der nächste Durchlauf. Für eine Feinjustierung bietet Memtest einige Optionen. So können Sie beispielsweise nur bestimmte Tests ausführen oder die CPU-Anzahl einstellen. Mit der Taste "F1" kommen Sie ins entsprechende Menü. Neben den bereits erwähnten Möglichkeiten legen Sie hier bei Bedarf die untere und obere Grenze des zu testenden Adressspeicherbereichs fest. In den erweiterten CPU-Einstellungen können Sie ferner zwischen Einzel-, Parallel-, Round-Robin- und sequentiellen Modi wählen. Nicht zuletzt steht auch ein Error Reporting Mode zur Verfügung.

Viele weitere Tipps und Tricks zu Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter https://www.thomas-krenn.com/de/wiki/Hauptseite

Tools

Auf Linux-Desktops bringen Anwendungsstarter die jeweils gewünschten Applikationen und Daten auf den Schirm des Nutzers. Einige dieser im englischen App Launcher genannten Tools durchsuchen dabei nicht nur den lokalen Speicher nach den Wunschdaten, sondern sind auch in der Lage, sich dazu im Internet umzuschauen. Und teilweise gehen die Fähigkeiten derartiger Werkzeuge noch weiter und sie können Texte übersetzen oder Shell-Befehle ausführen. Doch nicht jede Distribution kommt mit einem so leistungsfähigen Anwendungsstarter daher. Das besonders schnelle Ulauncher steht für alle Linux-Varianten zur Verfügung und bringt zudem eine umfangreiche Sammlung an Erweiterungen mit.

Dabei ist Ulauncher mit den spezifischen Installationsbefehlen der jeweiligen Distro zügig auf den Rechner gebracht und steht den Anwender dann mit einigen bemerkenswerten Features zur Seite. Als Erstes ist hier die Fuzzy-Suche zu nennen, die Apps oder Dateien selbst dann findet, wenn sich in der Eingabe ein Rechtschreibfehler eingeschlichen hat. Auch merkt sich Ulauncher die zuletzt aufgerufenen Apps und Daten und ermöglicht so einen noch schnelleren Zugriff. Optional ist dies ebenso über mehrere Sessions hinweg möglich.

Noch mehr Geschwindigkeit bringt der Nutzer mit dem Anwendungsstarter in seine Arbeit, indem es ihm möglich ist, auch dessen Start über einen Shortcut zu erledigen. Oder er hinterlegt einfach die Option, dass das Tool automatisch mit dem Booten des Systems seine Arbeit aufnimmt und so dem Nutzer immer zur Verfügung steht. In Sachen Optik stehen verschiedene Themes bereit – oder der Nutzer entwirft sein eigenes Farbschema.

Reichen all diese Funktionen nicht aus, steht eine umfangreiche Bibliothek an Erweiterungen zur Verfügung – von Zusatzfunktionen wie einem Taschenrechner oder der automatischen Information zur aktuellen Wetterlage bis hin zu SSH-Verbindungen und Geschwindigkeit- und Performancetests. Zudem liefern die Ulauncher-Entwickler eine Anleitung, wie Anwender ihre eigenen Erweiterungen aufsetzen.

Link-Code: https://ulauncher.io/

Automatisierung ist nicht erst seit gestern das Gebot der Stunde in der IT. So sparen die IT wie auch die Kollegen in den Fachabteilungen Zeit, erledigen wiederkehrende Aufgaben automatisch und können diese so nicht vergessen. Das gilt mittlerweile nicht nur im Bereich von Workflows, sondern auch in Prozessen wie beispielsweise der Abwicklung von Subskriptionen oder wiederkehrenden Zahlungen. Die Crux der Automatisierung solcher Bereiche liegt dann aber oft in der Notwendigkeit, die jeweiligen Vorgänge in Software zu beschreiben. Eine Aufgabe, bei der sowohl Admins wie auch Fachabteilung meist das notwendige Know-how fehlt. Das Open-Source-Tool n8n liefert für solche Herausforderungen einen No-Code-Ansatz. Mithilfe eines grafischen Userinterfaces definiert der Anwender die einzelnen Arbeitsschritte und Einstellungen und verbindet die Elemente miteinander für den gewünschten Datenfluss.

Die freie Software ermöglicht es Nutzern, Webanwendungen auch ohne Programmierkenntnisse via API zu verbinden und über Trigger Workflows auszulösen. Daten lassen sich aktuell zwischen mehr als 90 Anwendungen synchronisieren, Workflows aufsetzen und benutzerdefinierte Integrationen (Nodes) erstellen. Das Tool kann selbst gehostet werden und ist leicht zu erweitern. Mit n8n realisieren Anwender nicht nur einfache Integrationen, sondern sind in der Lage, mehrstufige Workflows zu erstellen, die sowohl APIs von Drittanbietern als auch interne Tools kombinieren. Auf diese Art stehen dem User einfach zu bedienende Automatisierungen zur Verfügung, die alle Teile von ansonsten sehr komplexen, nicht miteinander verbundenen Systemen zusammenfügen. So lässt sich zum Beispiel ein CRM mit Slack oder E-Mail verbinden. Für komplexere Lösungen wäre ein Beispiel das Erstellen von Datenmodellen mit Echtzeit-Dateneingaben.

Nach der Installation und dem Start meldet sich eine eventuell aktive Firewall. Hier muss der Admin den Zugriff des Tools auf das Internet freigeben, damit die Software auf die unterstützten Services zugreifen kann. Im Startscreen zeigt n8n eine Übersicht mit Beispielen an und über die Werkzeugleiste ist schnell ein erstes Automatisierungsprojekt angelegt. Dessen Ausbau erfolgt über das rote Plus-Icon, das weitere Elemente einsetzt. Dabei stellt n8n Hauptkomponenten und Services von Drittanbietern wie Google, Dropbox oder Amazon bereit.

Link-Code: https://n8n.io/

Die Informationsflut von Internet und besonders Social-Media-Kanälen ist heutzutage kaum noch manuell zu bewältigen. Die Notwendigkeit, diesen breiten Strom an Nachrichten sinnvoll zu organisieren, hat zum Erfolg von Webseiten wie etwa Reddit beigetragen, die sich selbst als Link- oder auch Social-News-Aggregatoren bezeichnen. Diese sammeln Links zu Nachrichten und Informationen definierter Bereiche und stellen sie dem Nutzer – wie der Name schon sagt – aggregiert bereit. Der Anwender gewinnt so viel Zeit und Übersicht und kann viel besser mit den Informationen arbeiten. Das klingt äußerst nützlich, dachten sich die Entwickler des Open-Source-Tools Lemmy und stellen entsprechende Funktionalitäten für Unternehmen bereit.

Bevor wir auf Lemmy als selbstgehosteten Server eingehen, sei angemerkt, dass die Anwendung in einer zweiten Ausprägung daherkommt – einer Art Community zum Teilen von Links. In diesem Fall meldet sich ein Anwender bei Lemmy an und ist dann Teil einer dezentralen Plattform, die Nachrichten verteilt und User in Kontakt bringt. Doch unser Augenmerk soll der Variante gelten, die IT-Verantwortliche auf einem lokalen Server einspielen und so für die Mitarbeiter eine zentrale Informationsplattform auf Basis externer Links etablieren. Eine solche Installation bietet dem User einen großen Nutzen, denn nachdem er sich die für seine Arbeit relevanten Quellen in Lemmy eingerichtet hat, muss er zukünftig nur noch auf eine Plattform zugreifen.

Aus Sicht des IT-Verantwortlichen ist der erste große Vorteil, dass Lemmy im eigenen RZ schnell und unkompliziert in Betrieb genommen ist. Dabei unterstützen Docker und Ansible, Kosten entstehen dank AGPL-Lizenz keine. Die zentrale Serverkomponente ist dabei in Rust verfasst. Der beim Anwender notwendige Client ist gerade einmal 80 KByte groß, kommt vollständig ohne JavaScript aus und läuft auch problemlos auf mobilen Endgeräten (und sogar auf dem Raspberry Pi). Steht die Umgebung, profitieren die Mitarbeiter von einer ganzen Palette hilfreicher Funktionen beim Verwalten und Verarbeiten ihrer Nachrichten und Feeds. Alle hier aufzuzählen, würde den Rahmen sprengen, doch Features wie das Bewerten der Inhalte, umfangreiche Optionen der Moderation oder beim Echtzeitupdate der Kommentare sollen nicht unerwähnt bleiben.