Vorbereitende Schritte zur Installation von DBLAN – IT-Operator
Der DBLAN – IT-Operator stellt die Verbindung zu verschiedenen Systemen und Datenbanken her.
Die Schnittstellen müssen dafür entsprechend vorbereitet werden. Dieses Dokument dient als Leitfaden und ist nicht als starre Vorgabe zu verstehen.
Bitte passen Sie die beschriebenen Schritte an Ihre spezifischen Anforderungen an, damit sie Ihren Sicherheits- und Umgebungsstandards entsprechen.
Auch die Benennung der Ressourcen ist als Vorschlag zu betrachten und nicht verpflichtend.
1. Schritt-für-Schritt-Anleitung
1.1. Active Directory
Bitte richten Sie eine Gruppe mit dem Namen „ADG-IT-Operator“ ein. Alle Benutzer, die mit dem DBLAN – IT-Operator arbeiten, sollten Mitglied dieser Gruppe sein.
Diese Benutzer werden als IT-Operatoren bezeichnet und umfassen IT-Fachkräfte wie Service-Desk-Mitarbeiter oder Systemingenieure.
1.2. Netzwerkfreigabe
Bitte richten Sie auf einem Dateiserver im Netzwerk eine Freigabe mit dem Namen „DBLAN-Services“ ein (\\<ServerName>\DBLAN-Services).
Gewähren Sie der zuvor erstellten Gruppe die Berechtigung zum Ändern (ADG-IT-Operator => Lesen und Schreiben).
In dieser Freigabe werden während der Installation des DBLAN – IT-Operators verschiedene Verzeichnisse erstellt, um unterschiedliche Dateien für die IT-Operatoren bereitzustellen.
Dazu gehören Unterverzeichnisse, in denen kundenspezifische Berichte abgelegt werden.
Zudem wird der DBLAN Lizenzmanager in einem Unterverzeichnis veröffentlicht.
1.3. System Lösung
Bitte gewähren Sie der zuvor erstellten Active Directory-Gruppe (ADG-IT-Operator) auf dem Datenbankserver des Microsoft Endpoint Configuration Managers (MECM) nur Lesezugriff (Read-Only) auf die MECM-Datenbank.
1.4. Zugriff auf Zielsysteme
Um auf ein Zielsystem (Clientsystemen) zugreifen zu können, wird neben dem Standardbenutzer „Damian Brausch“ zusätzlich ein Benutzer namens „Admin-Client Damian Brausch“ benötigt.
Dieser Benutzer hat auf allen Zielsystemen (Clientsystemen) lokale Administratorrechte.
Diese Einstellung kann über die Gruppenrichtlinien konfiguriert werden.
Wir empfehlen, eine Active Directory-Gruppe mit dem Namen „ADB-Client-Admin“ zu erstellen, falls diese noch nicht vorhanden ist.
Diese Gruppe sollte die Benutzerkonten umfassen, die lokale Administratorrechte auf einem Client-System benötigen.
Die Gruppe wird dann über die Gruppenrichtlinien in die Administratorengruppe der Clients aufgenommen.
Eine Übersicht aller Konfigurationen, die in den folgenden Abschnitten behandelt werden, kann direkt in der Online-Dokumentation eingesehen werden: Die Konfiguration der Systemvoraussetzungen für den DBLAN - IT-Operator
1.4.1. Ping erlauben
Ein grundlegender Dienst ist das Ping. Mit diesem Dienst wird überprüft, ob ein Zielsystem (Client-System) erreichbar ist.
Wenn das Pingen nicht funktioniert, können Sie die Konfiguration wie im Beispiel beschrieben anpassen: Ping erlauben - Firewall Regel erstellen
Sollten Sie eine Firewall eines anderen Herstellers verwenden, wenden Sie sich bitte an den entsprechenden Anbieter, um herauszufinden, wie Sie das Ping erlauben können.eite:
1.4.2. Windows Remoteverwaltung
1.4.2.1. Dienst zulassen
Über die Active Directory-Gruppenrichtlinien muss die Option „Remoteserververwaltung über WinRM zulassen“ konfiguriert werden.
Dabei sollten sowohl der „IPv4-Filter“ als auch der „IPv6-Filter“ mit dem Platzhalter * eingestellt werden.
Eine detaillierte Beschreibung finden Sie unter dem folgenden Link: Windows Remoteverwaltung - Dienst zulassen
1.4.2.2. Dienst konfigurieren.
Der Dienst „Windows-Remoteverwaltung (WS-Verwaltung)“ muss so konfiguriert werden, dass er automatisch gestartet wird, wenn das System hochgefahren wird.
Diese Aufgabe kann über eine Gruppenrichtlinie eingerichtet werden.
Der Vorgang ist unter folgendem Link beschrieben: Windows Remoteverwaltung - Dienst konfigurieren
1.4.2.3. Firewall Regel erstellen
Die entsprechenden Ports für die „Windows-Remoteverwaltung“ müssen in der Client-Firewall konfiguriert werden.
er folgende Link zeigt, wie die Konfiguration der Windows-Firewall erfolgt, die über die Gruppenrichtlinie eingerichtet wird: Windows Remoteverwaltung - Firewall Regel erstellen
Sollten Sie eine Client-Firewall eines anderen Herstellers verwenden, wenden Sie sich bitte an den entsprechenden Anbieter, um die nötigen Konfigurationsschritte durchzuführen.
1.4.3. Windows-Verwaltungsinstrumentation (WMI)
Ein zentrales Verwaltungstool ist WMI, das entsprechend konfiguriert werden muss, um darauf zugreifen zu können.
In den meisten Fällen besteht die Konfiguration darin, die entsprechenden Netzwerkports in der Client-Firewall freizugeben.
Ein weiterer wichtiger Aspekt sind die Ports, die für WMI benötigt werden. Diese können eingeschränkt werden.
Weitere Informationen dazu finden Sie unter: Einrichten eines festen Ports für WMI
2.4.3.1. WMI - Firewall Regel erstellen
Die WMI-Firewall-Ports können über Gruppenrichtlinien konfiguriert werden.
Der Vorgang wird unter folgendem Link beschrieben: WMI - Firewall Regel erstellen
Sollten Sie eine Client-Firewall eines anderen Herstellers verwenden, setzen Sie sich bitte mit dem entsprechenden Anbieter in Verbindung, um die Konfiguration vorzunehmen.
1.4.4. Remote-Registrierung
Der IT-Operator kann auch auf die Windows-Registry eines Zielsystems (Clientsystems) zugreifen.
Standardmäßig erfolgt dies über WMI. Es besteht jedoch auch die Möglichkeit, remote auf die Registry des Zielsystems zuzugreifen.
Der Vorgang ist unter folgendem Link beschrieben: Remote Registry - Dienst konfigurieren
Hinweis: Wir raten von der Verwendung dieser Einstellung ab, da sie potenzielle Probleme und Sicherheitsrisiken mit sich bringen kann.
Unsere Empfehlung basiert auf bewährten Praktiken und der Gewährleistung eines reibungslosen und sicheren Betriebs.
Bitte prüfen Sie sorgfältig, ob die Nutzung dieser Einstellung unbedingt erforderlich ist, und konsultieren Sie bei Fragen oder Bedenken unser Support-Team, um die besten Lösungen für Ihre Anforderungen zu ermitteln. Wir legen höchsten Wert auf Ihre Sicherheit und Zufriedenheit.