|
|
|
|
|
|
|
Danke. Dann vermute ich (wieder) mal unsere Windowsadmins habe das nicht im Griff. Laut Heise, sollte ich maximal 18 Stunden Schonzeit bekommen? Mir graust es schon davor - da hat sich nichts ungebeten neu zu starten. Ich hänge das Teil besser nicht in die Domäne, dann habe ich zumindest reichlich Optionen mein Leid zu wählen 
Nicht so wie hier. Der hat sich selbst wohl auch nicht richtig gekümmert.
|
|
[Dieser Beitrag wurde 4 mal editiert; zum letzten Mal von hoschi am 03.10.2018 23:31]
|
|
|
|
|
|
|
|
|
um eines klarzustellen: MS will, daß nach Installation der Updates der Rechner relativ zeitnah neu gestartet wird. Aber da meckert Linux ja auch ein wenig rum. Klar, Linux-Distributionen starten die Kiste nicht einfach neu, aber der Grund für den Neustart ist dir ja auch klar. Bei MS turnen halt deutlich mehr Pfosten rum, die ihren Rechner 3 Monate lang nicht neu starten sondern immer nur in den Standby versetzen. Da hilft auch ein Autoupdate-Zwang nichts, wenn ein paar der wichtigsten Updates erst nach dem nächsten Neustart irgendwann in 8 Monaten zum Zuge kommen.
Für Unternehmen ist das normalerweise auch gar kein Problem. Wir dürfen eh nur 10 Stunden pro Tag arbeiten, der Rechner sollte die restlichen 14 heruntergefahren sein, Thema durch. Man kann sich über diesen theoretischen Zwang aufregen, aber im praktischen Alltag spielt der eigentlich keine Rolle.
Ohne Domäne/WSUS ist Windows 10 eigentlich deutlich unerträglicher, wenn man auf totale Kontrolle steht. Klar, man kann was einstellen, aber erst mal nur sehr wenig (zumindest über die normale UI) und nichts, was einem diese Probleme mit Neustarts irgendwie lösen würde. Und aus Erfahrung kann ich berichten, daß so 2-3 frische, ungepatchte Windows 10 eine 100 MBit-Internetleitung für mehrere Stunden lahmlegen können. Mit ein Grund, warum wir nur noch per WDS ausrollen und da zum einen gleich das aktuelle kumulative Update und zum anderen sofort die WSUS-Registrierung integrieren.
|
|
|
|
|
|
|
|
|
|
|
Und mal ganz ehrlich: Sollen von mir aus doch alle mimimi machen, wenn es dafür millionen weniger Virenschleudern auf der Welt gibt ists mir das wert, wenn die User zu Linux migrieren. Oder zu Apple von mir aus.
Aber aus sicherheitstechnischer Sicht ist das, was MS macht, da definitiv sinnvoll.
Das sie im Gegensatz zu Apple halt drölfmilliarden Hardwarekombinationen unterstützen müssen und da dann auch bei dem einen oder anderen Update in gewissen Konstellationen was schief gehen kann ist tragisch, ja.
Aber wer erstmal weiss wie komplex das Zusammenspiel von unterschiedlicher Hardware sein kann, der wird sich wundern, wieviel davon unter Win10 out of the box direkt stressfrei läuft.
Unkontrollierte Neustarts gibts jedenfalls höchstens bei Third-Party-Applikationen, die es immer noch schaffen Installer zu schreiben, die in der Installationsroutine nen (oftmals nichtmal notwendigen) Auto-Restart einzubauen.
Bei Windows hingegen bedeutet ein automatischer Restart, dass man vorher x-mal auf entsprechende Einblendungen und Warnungen nicht reagiert hat.
Klar kann man sagen: Mein OS hat mich nicht zu bevormunden.
Dann sag ich: Ok, ich halts wie mit dem Radius-Server auf der Arbeit: Deine Kiste hat hier im Netzwerk nix zu suchen bis Du einen aktuellen Patchlevel hast. Sonst kommst Du mal nirgendwohin, außer zum Update-Server.
|
|
|
|
|
|
|
|
|
|
|
|
Aber zu Hause? Wenn ich weiß, dass das Update vermutlich wieder meinem Sound zerschiesst? Da ist das Selbstschutz.
|
|
|
|
|
|
|
|
|
|
|
Der Kollege hat einen Desktop, dadurch bedingt, dass der Strom für seinen Arbeitsplatz Nachts abgestellt wird, muss er täglich Ein-/Ausschalten. Da hat Windows doch Gelegenheit sein Updates auszuführen, ohne die Arbeit zu unterbrechen?
Ich habe - während ich hier schreibe - den Kollegen extra nochmal begefragt. Die Neustarts mit den Updates kommen für ihn ohne Ankündigung und er kann sich nicht hinauszögern, jetzt schon mehrere Wochen so. Das heißt die IDE, Webbrowser, Editoren bis zum Versionsverwaltung werden beendet. Die Folgen hängen davon ab, ob und wie die Software noch auf ein "SIGTERM" reagieren kann, bei einem SSH-Dateitransfer oder Debugger freilich - nicht. Ich halte das für eine Konfigurationsfehler der Administratoren.
Fedora macht es angenehm und richtig, gesteuert durch den Nutzer. Updates werden gesucht und im Hintergrund heruntergeladen, der Abschluss wird dem Nutzer per Benachrichtung mitgeteilt. Klickt man auf die Benachrichtung, wird sofort neu gestartet und die Updates installiert, klickt man nicht drauf - passiert nichts. Schick finde ich, dass die Updates bereits da sind. Es geht sofort los, nicht wie bei iOS oder SailfishOS, wo das System erst mit dem Herunterladen beginnt und der Nutzer warten muss.
| | Zitat von GarlandGreene
Bei MS turnen halt deutlich mehr Pfosten rum, die ihren Rechner 3 Monate lang nicht neu starten sondern immer nur in den Standby versetzen. | |
Nicht nur bei MS? Du kennst mich, ich bin ein Pfosten!
Ich halte das in guter Linuxtradition. Ein stabiles System wird nicht neu gestartet. Ich fahre mein ThinkPad am Montag hoch und am Freitag wieder runter, Feierabend wird durch ein Suspend-To-RAM feierlich zelebriert. Strom habe ich durchgehend. Updates in der Regel, einmal pro Woche, wenn ich Zeit habe.
Mein Traum wäre immer noch generelles Kernel-Live-Patching mit Archlinux, dann wäre -unter unrealistisch idealen Voraussetzungen - ein Neustart alle drei Monate erforderlich 
| | Zitat von GarlandGreene
Ohne Domäne/WSUS ist Windows 10 eigentlich deutlich unerträglicher, wenn man auf totale Kontrolle steht. Klar, man kann was einstellen, aber erst mal nur sehr wenig (zumindest über die normale UI) und nichts, was einem diese Probleme mit Neustarts irgendwie lösen würde. Und aus Erfahrung kann ich berichten, daß so 2-3 frische, ungepatchte Windows 10 eine 100 MBit-Internetleitung für mehrere Stunden lahmlegen können. Mit ein Grund, warum wir nur noch per WDS ausrollen und da zum einen gleich das aktuelle kumulative Update und zum anderen sofort die WSUS-Registrierung integrieren.
| |
Richtig. Man bekommt, wofür man zahlt.
|
|
[Dieser Beitrag wurde 5 mal editiert; zum letzten Mal von hoschi am 04.10.2018 15:17]
|
|
|
|
|
|
|
|
|
| | Zitat von DeathCobra
Aber zu Hause? Wenn ich weiß, dass das Update vermutlich wieder meinem Sound zerschiesst? Da ist das Selbstschutz.
| |
Eben. Oder in sicherheitskritischen - welche Ironie! - Bereichen, der Computer in der Klink darf sich nie neu starten. Microsoft verlangt dann mehr Geld für eine Enterprise-Windows, was nicht nur im privaten Umfeld zum Teil außerhalb der Möglichkeiten liegt. Tatsächlich sind es wirklich nur richtig administrierte Firmennetzwerke, in denen man sowas kontrolliert durchsetzen kann.
Das es am Arbeitsplatz auch Aufgaben gibt, die über Nacht durchlaufen müssen, ist nochmal ein Sonderthema. Wirkliches Durcharbeiten kommt sehr selten vor, wie Garland auch schreibt. Das hatte ich jetzt zweimal in sieben Jahren, da wäre meine Toleranzschwelle aber auch nahe Null.
| | | Bei Windows hingegen bedeutet ein automatischer Restart, dass man vorher x-mal auf entsprechende Einblendungen und Warnungen nicht reagiert hat. | |
Siehe Beschreibung oben. Bei entsprechender(?) Konfiguration durch Admins findet das nicht statt 
Erinnert sich noch wer an EDonkye2000 und Emule? Ich habe den Rechner in den Ferien durchlaufen lassen. Nicht mehr denkbar, mit Windows.
Das die Internetleitung belastet wird, hat man heute auch mal auf einer LAN. Wenn es sich unglücklich überschneidet hat ein Teil ein neues Update über Steam bekommen und die andere Hälfte nicht. Downgrade geht nicht, also müssen alle Updates ziehen. Außer die LAN ist eine LAN, ohne Internet 
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von hoschi am 04.10.2018 15:22]
|
|
|
|
|
|
|
|
|
| | Zitat von hoschi
Ich habe - während ich hier schreibe - den Kollegen extra nochmal begefragt. Die Neustarts mit den Updates kommen für ihn ohne Ankündigung und er kann sich nicht hinauszögern, jetzt schon mehrere Wochen so. Das heißt die IDE, Webbrowser, Editoren bis zum Versionsverwaltung werden beendet. Die Folgen hängen davon ab, ob und wie die Software noch auf ein "SIGTERM" reagieren kann, bei einem SSH-Dateitransfer oder Debugger freilich - nicht. Das ist für mein eine Konfigurationsfehler der Admins in der Domäne?
| |
ich beschreibe mal, wie das bei uns läuft: mein Kollege gibt im WSUS Updates für unsere WSUS-Zielgruppe frei, irgendwann bekommt mein Rechner das mit und installiert die Updates im Hintergrund. Normalerweise meldet er sich dann irgendwann in der Infoleiste mit seinem "Ich würd in nächster Zeit gern mal neu starten", das kann ich dann auf Wunsch erst mal nach hinten verschieben. Normalerweise zeigt mir das Shutdown-Menü dann nicht "Herunterfahren", sondern "Updates installieren und herunterfahren". Er rödelt dann 2-3 Minuten vor dem Shutdown und braucht dann am nächsten Morgen auch ne Minute länger, wenn die Installation der Updates abgeschlossen wird. Aber das passiert alles nicht während der normalen Arbeitszeit, sondern wenn ich eh runter- oder hochfahre.
Mittlerweile gibt es unter Windows 10 auch noch das Konzept "Active Hours", bei dem man seine übliche Arbeitszeit angeben kann, in der Windows dann generell nicht neu startet. Haben wir jetzt nicht konfiguriert, aber könnte man auch noch machen. Und wir haben diese Option "Updates installieren" im Shutdown-Menü nicht deaktiviert. Wenn ich die abschalte, könnte Windows dann irgendwann vielleicht doch auf die Idee kommen, daß es langsam mal Zeit ist, das Zeug zu installieren und neu zu starten.
Frag deinen Kollegen mal, was bei ihm im Windows 10 Update-Menü steht bzw. ob da was von "einige Optionen werden vom Administrator verwaltet" steht. Wenn nicht, haben die Admins da einfach keine Update-Regeln eingestellt. Und die Windows 10-Version ist auch wichtig. Die ersten Versionen, bis hin zu einer der 2016er-Versionen waren recht renitent, das wurde mit der 1610 oder 1703 aber besser. Ich nutze im Büro grad die 1803 und hab da überhaupt keine Probleme mehr. Wenn man nicht das Geld für die LTS-Version hat, muss man halt die ersten paar Versionssprünge (grad von der ersten Version bis zur 1703) relativ zeitnah mitmachen, um die gröbsten Schnitzer wegzubekommen. Das macht Arbeit, grad für die Admins, aber auf Dauer hat man damit weniger Stress. Die ersten 2-3 Win10-Versionen waren definitiv nicht auf den Unternehmenseinsatz optimiert.
|
|
|
|
|
|
|
|
|
|
|
So sollte es aussehen:
ich kann auch noch folgende Seite empfehlen:
https://gpsearch.azurewebsites.net/
unter Windows Components -> Windows Update finden sich alle möglichen Richtlinien zu den Update-Vorgängen 
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von GarlandGreene
ich beschreibe mal, wie das bei uns läuft: mein Kollege gibt im WSUS Updates für unsere WSUS-Zielgruppe frei, irgendwann bekommt mein Rechner das mit und installiert die Updates im Hintergrund. Normalerweise meldet er sich dann irgendwann in der Infoleiste mit seinem "Ich würd in nächster Zeit gern mal neu starten", das kann ich dann auf Wunsch erst mal nach hinten verschieben. Normalerweise zeigt mir das Shutdown-Menü dann nicht "Herunterfahren", sondern "Updates installieren und herunterfahren". Er rödelt dann 2-3 Minuten vor dem Shutdown und braucht dann am nächsten Morgen auch ne Minute länger, wenn die Installation der Updates abgeschlossen wird. Aber das passiert alles nicht während der normalen Arbeitszeit, sondern wenn ich eh runter- oder hochfahre.
| |
Genau so kenne ich das bisher von Windows 7! Nur, dass der Button zum Herunterfahren ohne Neustart, erst nach dem Logout sicht- und erreichbar war.
| | Zitat von GarlandGreene
Mittlerweile gibt es unter Windows 10 auch noch das Konzept "Active Hours", bei dem man seine übliche Arbeitszeit angeben kann, in der Windows dann generell nicht neu startet. Haben wir jetzt nicht konfiguriert, aber könnte man auch noch machen. Und wir haben diese Option "Updates installieren" im Shutdown-Menü nicht deaktiviert. Wenn ich die abschalte, könnte Windows dann irgendwann vielleicht doch auf die Idee kommen, daß es langsam mal Zeit ist, das Zeug zu installieren und neu zu starten.
| |
Das passt zu der Beschreibung im Artikel von Heise. Das nachfolgende mit dem Button "Updates installieren" verstehe ich im Kontext nicht ganz, das ist die Möglichkeit für den Nutzer, das alles sofort zu erledigen? Auch wenn Windows noch gar nicht will?
| | Zitat von GarlandGreene
Frag deinen Kollegen mal, was bei ihm im Windows 10 Update-Menü steht bzw. ob da was von "einige Optionen werden vom Administrator verwaltet" steht. Wenn nicht, haben die Admins da einfach keine Update-Regeln eingestellt.
| |
Das tue ich.
Wobei ich mir inzwischen sicher bin, der Domäne nicht mehr beizutreten. Das Firmennetz interessiert mich nicht, nur Internetzugriff. Es ist zu viel Ärger, der Virenscanner braucht dann wieder Ausnahmen für MSYS2 und den Linker. Das Verständnis dafür, dass Entwickler je nach Aufgabenbereich, durchaus mal Executables erstellen ist nicht immer vorhanden 
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von hoschi am 04.10.2018 15:39]
|
|
|
|
|
|
|
|
|
| | Zitat von hoschi
Eben. Oder in sicherheitskritischen - welche Ironie! - Bereichen, der Computer in der Klink darf sich nie neu starten. | |
Gut, das ist mal völlig losgelöst von der Update-Thematik ein bescheuertes Design und da gehören Leute gefeuert. Gerade wenn das ein normaler Desktop/Server mit Windows ist.
|
|
|
|
|
|
|
|
|
|
|
Ich will eigentlich niemand gefeuert sehen. Die Kultur immer den schnellsten, bequemsten und billigsten Weg zu wählen, die muss sich auf allen Seiten ändern.
Ich wollte hier zum Beispiel (gehört jetzt eigentlich in den Hass oder besser, Frust) wir uns beim Thema Loginsicherheit verbessern. Es hat sich herausgestellt, dass wir mehr als drei Tage investieren müssen. Wenn es der Kunde nicht zahlt und keinen unmittelbaren Nutzen sieht, keine Möglichkeit 
Allgemein tut mir kurzsichtiges Denken, maximal bis zum eigenen Ich-Horizont immer weh.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von hoschi am 04.10.2018 16:35]
|
|
|
|
|
|
|
|
|
Sicherheitskritische Systeme laufen doch i.d.R. eh mit irgendwas minimiertem, wenn dann läuft da Windows Server, optimalerweise in der Core-Version. Ein Desktop-OS auf irgendeiner kritischen Hardware wirst Du wohl in dieser Zeit, insbesondere im medizinischen Sektor, nicht mehr finden - da wären die Regressansprüche viel zu hoch bei Problemen.
Das mit dem "Sound zerschiessen" kann ich als jemand, für dessen Soundkarte es keine geeigneten Win10-Treiber mehr gibt ja noch halbwegs nachvollziehen. Am Laptop hab ich dasselbe Problem, da ich eine Graka dort eingebaut habe die außerhalb der Hardwarespecs liegt und sich mit dem Onboardsound kabbelt, hab ich entweder kein Bild oder keinen Sound nach nem Update bis ich wieder gemoddete Treiber installiert hab, wofür die MXM3.0-Karte mindestens einmal ausgebaut werden muss.
Das sind aber Probleme der Hardwarehersteller (keine Treiber da Hardware abgekündigt) oder von mir (Hardware in Kombination betrieben, die vom Hersteller nicht freigegeben ist), keine Probleme von MS.
Wenn die Hersteller sagen: Nö, lohnt sich nicht, supporten wir nicht mehr - dann ist das halt eine Kack-Entscheidung für die Consumer, aber nachvollziehbar. Siehe das große Scanner-Problem, als die veraltete TWAIN-Unsterstützung irgendwann flöten ging.
Ich hatte auch mal nen Drucker der sogar von HP noch neu verkauft wurde als Win 8.1 schon auf dem Markt war, der aber mit vollen Features (und voller Druckauflösung, sowie Papiersortenerkennung) nur bis WinXP funktionierte. Und das war ein 900¤-Gerät aus dem Business-Bereich.
Ich bleib dabei: Was MS da zusammengebastelt hat ist - gemessen an den Umständen - unglaublich gut.
Ansonsten: In einer Domäne liegts echt an den Admins ob das mit den Updates klappt oder nicht. Wenn nicht sollten die ggf. mal nachschulen, ist inzwischen nicht mehr alles so simpel.
Eventuell ist die Grund-Domänenstruktur auch zu veraltet um alle Win10-Optionen überhaupt zu bieten.
|
|
|
|
|
|
|
|
|
|
|
Ich denke, sobald sie die Schulungen haben, kündigen sie und gehen dahin, wo es mehr Geld gibt. Nach München 
Gruselstunde? Hat jetzt nicht mit Windows zu tun, aber wesen Leben direkt von Computer abhängt, sollte das besser nicht lesen:
https://de.wikipedia.org/wiki/Therac-25
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 04.10.2018 17:33]
|
|
|
|
|
|
|
|
|
Wobei Schulungen für Windows-Admins eher unnötige Geldverschwendung sind, wenn die wirklich nur Admins sind. Ich mein, wir sind ne 3 Mann-IT, ein Admin, ein Entwickler und einer der Projekte macht. Und aus Admin/Einrichtungs-Sicht ist es relativ egal, ob man 30 oder 300 Clients administriert. Das Internet läuft vor lauter Howtos für so ziemlich jedes Thema geradezu über. "Keine Ahnung wie das geht" ist nur ne Ausrede, wenn man bei nahezu 100 % Auslastung ist. Ansonsten ist man einfach nur zu faul zum suchen.
Für Entwickler oder in großen Umgebungen generell IT würd ich ne eigene Struktur aufsetzen, entweder als trusted-Domain oder zumindest als eigene Organisationseinheit mit eigenen Richtlinien. Und wenn die Entwicklung in nem größeren Unternehmen groß genug ist, würd ich denen ne mehr oder weniger dedizierte Netzwerkungebung bereitstellen und da nen Admin innerhalb der Entwicklung bestimmen. Audit kann ja ruhig durch die Haupt-Admins erfolgen, aber dann kann der Dev-Admin auf die Anforderungen der Entwickler eingehen.
|
|
|
|
|
|
|
|
|
|
|
Ich kann die Fähigkeitsanforderungen bei Windowsadmins wirklich nicht abschätzen. Bei Linux funktionieren HowTos, wenn man ein fundiertes Grundverständnis erworben hat. Grausame Erfahrung dagegen, mit Windowsleuten die sich an einem Linux vergreifen "weil ich kann ja mit Computern umgehen" ¯\_(ツ)_/¯
Mein alter Chef wollte etwa in die Richtung, Dev-Admin. Der ist aber immer nur torpediert worden und hatte dann die Konsequenzen gezogen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 04.10.2018 18:17]
|
|
|
|
|
|
|
|
|
| | Zitat von GarlandGreene
aber der Grund für den Neustart ist dir ja auch klar. Bei MS turnen halt deutlich mehr Pfosten rum, die ihren Rechner 3 Monate lang nicht neu starten sondern immer nur in den Standby versetzen.
| |
w00t?
Windows stabiler als Linux, you heard it here first bois!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Preisfrage zu Windows 10 und diesem Windows Store und so.
Wir haben 2+ PCs mit 2 Windows-Live Accounts. Wie können wir Videospiele aus dem Microsoft Store auf beiden Rechnern spielen mit unterschiedlichen Accounts, ohne sie 2mal zu kaufen? Ich habe gelesen, dass man dafür nur eine "Microsoft Family" einrichten muss, das scheint aber nicht zu reichen. Dazu muss gesagt werden, dass ich Forza Horizon 4 nicht direkt gekauft habe, sondern gerade die Testperiode des Xbox Game Pass nutze.
Es geht also um… Game Pass Sharing über Microsoft Family, glaub ich. Ich hab auch kein Problem, Forza direkt zu kaufen, ich will es nur nicht 2 mal kaufen. Es soll einfach nur funktionieren wie bei Steam 
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von GarlandGreene
Wobei Schulungen für Windows-Admins eher unnötige Geldverschwendung sind, wenn die wirklich nur Admins sind. Ich mein, wir sind ne 3 Mann-IT, ein Admin, ein Entwickler und einer der Projekte macht. Und aus Admin/Einrichtungs-Sicht ist es relativ egal, ob man 30 oder 300 Clients administriert. Das Internet läuft vor lauter Howtos für so ziemlich jedes Thema geradezu über. "Keine Ahnung wie das geht" ist nur ne Ausrede, wenn man bei nahezu 100 % Auslastung ist. Ansonsten ist man einfach nur zu faul zum suchen.
| |
Sorry Garland, aber das ist einfach nur großer Bullshit.
Solche Aussagen sorgen dafür, dass sich jeder, der mal ne Domäne aufgesetzt und ein paar Server integriert hat, für nen Admin hält und dass Firmen, die wirklich fähige Leute suchen, diese kaum aus dem ganzen Rest rausfiltern können.
Eine vernünftige Struktur mit einem System Center aufzusetzen ist alles, aber nicht trivial, und nicht mit ein paar Tutorials abzufrühstücken. Zu einer vernünftigen Domänenstruktur gehört für mich eine redundante Auslegung aller kritischen Infrastrukturpunkte und -dienste, inklusive Backup in der Cloud wenn rechtlich machbar (man kann einen Notfall-AD-Server in der Azure-Cloud an das lokale AD anbinden und auch die Hosts entsprechend so umbiegen dass sie bei einer Nichtverfügbarkeit des lokalen AD dann das in der Cloud nutzen so dass z.B. eine Authentifizierung an Office365-Diensten oder anderen ans AD angebundenen Tools (Jira, Confluence, Adobe Cloud) weiterhin gegeben ist.
Ein vernünftig konfiguriertes System Center bietet mir auch Installationsdienste für Clients, bei denen bei einer Neuinstallation übers Netz automatisch die aktuellen Patches und Treiber für die Firmenhardware mit eingepflegt werden und der Rechner direkt ins AD eingebunden und für den künftigen User vorbereitet wird - alles was der noch machen muss ist sich einmal anzumelden, und dann ist alles bereit - auch alle Office-Programme und sonstige Tools dank konfiguriertem Single-Sign-on.
Wenn noch ein Exchange-Server on Premise zu dem ganzen gehört wirds noch um eine Dimension komplexer, alleine eine Email-Archivierung, die allen notwendigen rechtlichen Standards genügt ist eine Ansammlung von Fallstricken für jeden Admin - mit einem Bein steht man fast immer im Knast.
Von der Lizenzpolitik hab ich jetzt noch gar nicht angefangen, aber ein guter Admin muss auch diese immer im Blick haben wenn er etwas deployed. Alle Maschinen müssen auf dem aktuell erlaubten OS-Stand sein, gegebenenfalls müssen Unterabteilungen aus der Entwicklung mit Nachdruck dazu getrieben werden ihre Produkte weiterzuentwickeln, damit sie auch auf aktuellen OS-Versionen, die z.B. über einen Gold-Partner oder Enterprise-Vertrag lizensiert sind, lauffähig sind.
(immerhin müssen die so mal was machen - hab grad den Alptraum von Linux-Maschinen hier die "immer so ohne Probleme liefen" und jetzt wegen der Aktualisierung einer Komponenten quasi neu aufgesetzt werden können, da die Abhängigkeiten bereits so deprecated sind, dass sie in keinem normalen Repo mehr drin sind. Kurz: Die Kisten sind zu alt zum normalen upgraden, müsste man alles Stück für Stück händisch machen, und mit jedem Teilupgrade einer Komponente hört irgendwas anderes auf zu funktionieren)
In fast jeder MS-Schulung lernt man noch was sinnvolles dazu. Manchmal sinds Kleinigkeiten, manchmal aber auch wichtige Punkte.
Das das immer wieder von "Armchair-Admins" dann kleingeredet wird, dann aber Bastellösungen installiert werden, die spätestens beim nächsten großen Update einem um die Ohren fliegen, geht mir als jemand, der solchen Kram schon mehrfach bereinigen durfte, wirklich auf den Zeiger.
Liegt aber auch an den Firmen die nicht einsehen wollen dass gewisse Dinge einfach mal Geld kosten, und die günstigere Lösung eben nicht immer ausreicht.
Wenn man dann aber erstmal eine vernünftige Umgebung mit Lizenzservern, System Center und kompletter Integration sowie Radius-Auth für Kabel und Wlan hat, dann ists schon 1nicelife 
Direkt ne Warnung bekommen wenn ein User Software von einer Blacklist installieren will, fürs Audit einfach auf einen Klick eine Übersicht generieren wieviele Installs von welchem Produkt gerade aktiv vorhanden sind, automatische Skripte die auf den Clientmaschinen das Wlan deaktivieren sobald diese in die Dokckingstation gepöppelt werden usw... da geht soooo viel was einem die Arbeit erleichtert, das ist einfach nur schön wenns erstmal läuft. Bis dahin sinds in einer typischen Wald- und Wiesen-Umgebung aber Jahre an Blut, Schweiß und Tränen.
Und wenn man fertig ist kommt jedesmal direkt ein neues Thema was umgesetzt werden will 
So, Rant vorbei.
@Audax: Ich mein Du kannst damit es nur erlauben dass überhaupt ein anderer Account das Spiel auf der Kiste spielt, genau wie jemand ein Game mit seinem Account auf der Xbox zocken kann wenn das Deine Haupt-Heimkonsole ist und die Spiele darauf installiert sind.
Das zwei unterschiedliche Accounts einen Kauf gleichzeitig nutzen geht afaik nicht. Das geht bei Steam aber ja auch nicht, das Family Sharing bedeutet ja nur dass jemand anderes meine Bibliothek nutzen kann wenn ich grad nicht zocke.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von [WHE]MadMax
| | Zitat von GarlandGreene
Wobei Schulungen für Windows-Admins eher unnötige Geldverschwendung sind, wenn die wirklich nur Admins sind. Ich mein, wir sind ne 3 Mann-IT, ein Admin, ein Entwickler und einer der Projekte macht. Und aus Admin/Einrichtungs-Sicht ist es relativ egal, ob man 30 oder 300 Clients administriert. Das Internet läuft vor lauter Howtos für so ziemlich jedes Thema geradezu über. "Keine Ahnung wie das geht" ist nur ne Ausrede, wenn man bei nahezu 100 % Auslastung ist. Ansonsten ist man einfach nur zu faul zum suchen.
| |
Sorry Garland, aber das ist einfach nur großer Bullshit.
| |
nein, ist es nicht. Aber man könnte meine Aussage einschränken: man kann den ganzen Kram sauber, nach Best Practice und stabil, ohne irgendwelche Schulungen aufsetzen. Die Infos sind alle da. Man muss sich halt hinsetzen, planen, lesen, testen. Einfach CD rein und installieren endet meist in Tränen, ja. Aber nur weil man auf ner Schulung war hat man auch nicht automatisch den Masterplan in der Tasche. Wenn man das Engagement und die Zeit hat, den Kram zu planen und umzusetzen, geht das auch ohne MCSE oder wochenlange Schulungen. Im Windows-Umfeld ist "wir bekommen ja keine Schulungen" halt einfach keine Ausrede. Wenn ich das wissen will, muss ich die Infos halt zusammensuchen. Mach ich als Entwickler tagtäglich. Klar ist das mal nervig, kostet Zeit und manchmal läuft man auch mal in die falsche Richtung. Deswegen hab ich das aber auch auf "reine Admins" eingeschränkt, weil da die Komplexität sich auf eben diese Themen einschränkt und da nicht noch andere Themenbereiche reinschiessen. Nur haben manche Admins, mein Kollege leider auch, die Einstellung, daß das Suchen nach Informationen zu aufwändig ist. Vor 10-15 Jahren war das halt so, daß man da 7 Schulungen besucht hatte und danach "X" konnte. Heute ist es meiner Meinung nach wichtiger, dass ein Admin die nötigen Informationen suchen, finden und die Qualität von Anleitungen auch einordnen kann.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von GarlandGreene am 05.10.2018 13:55]
|
|
|
|
|
|
|
|
|
| | Zitat von Abtei*
| | Zitat von GarlandGreene
aber der Grund für den Neustart ist dir ja auch klar. Bei MS turnen halt deutlich mehr Pfosten rum, die ihren Rechner 3 Monate lang nicht neu starten sondern immer nur in den Standby versetzen.
| |
w00t?
Windows stabiler als Linux, you heard it here first bois!
| |
les nochmal, von Stabilität red ich überhaupt nicht. Wobei sich da unter Linux wie auch Windows die Spreu schnell vom Weizen trennt, wenn die Hardware nicht ganz passt. Das Betriebssystem spielt da kaum noch ne Rolle, beide Systeme laufen monatelang ohne Probleme durch.
|
|
|
|
|
|
|
|
|
|
|
Ah, ja, so klingt das anders. Ja, ohne Knowledge Base wäre man oft aufgeschmissen, eben weil sich auch so oft was ändert. Gutes Google-Fu kann Dinge um Stunden verkürzen, da geb ich Dir Recht.
Dennoch gibt es im Gesamtbild beim Aufbau einer Unternehmensstruktur Dinge, dir man meiner Meinung nach ohne Schulung nur wesentlich komplizierter oder nicht so zukunftssicher hinbekommt. Einfach weil man bei einigen Lösungen auch ggf "falsch" denkt.
Und ja, die "das haben wir immer schon so gemacht"-Admins sind echt Krieg.
Ich kämpf hier grad noch gegen Windmühlen was gewisse Netzwerkrestriktionen angeht...
|
|
|
|
|
|
|
|
|
|
|
|
kenn ich. Als ich hier vor nunmehr 13 Jahren anfing, gabs nicht mal nen WSUS, der Kollege hat tatsächlich alles per Hand gepatcht (dementsprechend auch der Softwarestand der Clients und Server). Mittlerweile haben wir ne saubere Softwareverteilung, WDS, demnächst auch O365 mit SSO. Und seit wir virtualisieren, halt auch hochwertige Backups mit automatischen Tests derselben. Aber der größte Teil davon kam, weil ich mir da die Mühe gemacht hab rauszufinden, wie das geht. Ansonsten würde der wohl immer noch zu Fuß Updates auf Rechnern installieren.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von GarlandGreene
kenn ich. Als ich hier vor nunmehr 13 Jahren anfing, gabs nicht mal nen WSUS, der Kollege hat tatsächlich alles per Hand gepatcht (dementsprechend auch der Softwarestand der Clients und Server). Mittlerweile haben wir ne saubere Softwareverteilung, WDS, demnächst auch O365 mit SSO. Und seit wir virtualisieren, halt auch hochwertige Backups mit automatischen Tests derselben. Aber der größte Teil davon kam, weil ich mir da die Mühe gemacht hab rauszufinden, wie das geht. Ansonsten würde der wohl immer noch zu Fuß Updates auf Rechnern installieren.
| |
Kannst du vielleicht sagen, wie und wo man sowas als Laie und Nicht-Admin lernen kann, also die automatische Verteilung von Software und Updates. Habe hier ein kleines Netzwerk von 18 Rechnern und das manuelle Aufspielen kostet immer nervig viel Zeit. Auch weil niemand dafür eingestellt werden soll.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von papa.bear
| | Zitat von GarlandGreene
kenn ich. Als ich hier vor nunmehr 13 Jahren anfing, gabs nicht mal nen WSUS, der Kollege hat tatsächlich alles per Hand gepatcht (dementsprechend auch der Softwarestand der Clients und Server). Mittlerweile haben wir ne saubere Softwareverteilung, WDS, demnächst auch O365 mit SSO. Und seit wir virtualisieren, halt auch hochwertige Backups mit automatischen Tests derselben. Aber der größte Teil davon kam, weil ich mir da die Mühe gemacht hab rauszufinden, wie das geht. Ansonsten würde der wohl immer noch zu Fuß Updates auf Rechnern installieren.
| |
Kannst du vielleicht sagen, wie und wo man sowas als Laie und Nicht-Admin lernen kann, also die automatische Verteilung von Software und Updates. Habe hier ein kleines Netzwerk von 18 Rechnern und das manuelle Aufspielen kostet immer nervig viel Zeit. Auch weil niemand dafür eingestellt werden soll.
| |
Hast Du eine Domäne zur Verfügung?
Einen Windows-Server in dieser Domäne, den Du für weitere Dienste nutzen kannst? (oder kannst Du noch einen als VM hochziehen), der auch über genügend Plattenplatz verfügt? (paar hundert GB wären im schlimmsten Fall schon notwendig, je nachdem wie viele Systeme und Produkte unterstützt werden sollen)?
Dann hast Du alles an der Hand um einen WSUS zu installieren.
Die Rechner bringst Du dann per Gruppenrichtlinie dazu erst auf der Kiste nach Updates im lokalen Netz zu gucken, und nur auf andere Quellen auszuweichen, wenn der lokale Server nicht zur Verfügung steht.
Den WSUS richtig zu konfigurieren ist dann halt noch ne Sache, um nicht unnötig Speicherplatz zu verpulvern.
Ggf. ist es auch nicht toll alle Updates sofort freizugeben - MS hat manchmal so tolle Ideen wie defekte Updates rauszuhauen und sie später zurückzuziehen, wenn Dein Wsus dass dann zwischenspeichert und weiterverteilt haste die A.Karte.
Zu fast allem sollte man aber was im Microsoft Technet finden, die meisten Artikel sind aber auf Englisch. Auf die automatische Übersetzung ins Deutsche würd ich mich nicht verlassen, die zerhaut den Sinn teilweise so extrem, dass sie einen dazu auffordert das exakte Gegenteil von dem zu tun, was im Englischen gefordert wird.
Also grob: Domäne haben, WSUS installieren, GPO anpassen und an die Clients ausrollen.
Dann sollten sie lokal updaten.
Software, also Programme, bereitzustellen - das ist dann nochmal ne andere Geschichte
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von GarlandGreene
...monatelang ohne Probleme durch.
| |
Monate sind relativ kleine gewählte Maßeinheit
Davon kann man die Stabilität der erbrachten Leistung aber nicht ableiten.
|
|
|
|
|
|
|
|
|
|
|
Eine hohe Uptime wird heutzutage auch eher als Alarm gewertet, denn als Qualitätskriterium.
Heisst nämlich auch dass niemand sich um die Kiste gekümmert hat um kritische Systemkomponenten auf einem aktuellen Stand zu halten, und gegen Angriffe zu härten.
|
|
|
|
|
|
|
|
|
|
|
Das seelige Uptime-Project 
Generell Ja und dann Nein. Sobald externe Netzverbindung besteht, muss man ständig Updates einspielen und eventuell neu starten. Ein internes System unterliegt anderen Bedingungen. Und die sind wieder anders für Embedded. Wer in den selten Genuß von Kernel-Live-Patching kommt, darf damit sogar (wieder) seelenruhig angeben 
Aus Spaß sollte ich es mal zu Hause testen. Bis zu drei Rechner darf man so versorgen, ohne kostenpflichtigen Support. Bei so massiven Änderungen wie bei SPECTRE und MELTDOWN kommt man aber trotzdem nicht ohne Neustart davon, das sind halt keine kleinen Patches mehr sondern neue Features. Ich find es toll, weil man sich eben nicht damit abgefunden hat das "Neustarts sein müssen", mit genug Initative kann man sowas schaffen. Damit habe ich mich aber aus dem Windowsfeld endgültig heraus bewegt, ich verkrümmel mich erstmal.
|
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von hoschi am 05.10.2018 17:06]
|
|
|
|
|
|
|
|
|
| | Zitat von papa.bear
| | Zitat von GarlandGreene
kenn ich. Als ich hier vor nunmehr 13 Jahren anfing, gabs nicht mal nen WSUS, der Kollege hat tatsächlich alles per Hand gepatcht (dementsprechend auch der Softwarestand der Clients und Server). Mittlerweile haben wir ne saubere Softwareverteilung, WDS, demnächst auch O365 mit SSO. Und seit wir virtualisieren, halt auch hochwertige Backups mit automatischen Tests derselben. Aber der größte Teil davon kam, weil ich mir da die Mühe gemacht hab rauszufinden, wie das geht. Ansonsten würde der wohl immer noch zu Fuß Updates auf Rechnern installieren.
| |
Kannst du vielleicht sagen, wie und wo man sowas als Laie und Nicht-Admin lernen kann, also die automatische Verteilung von Software und Updates. Habe hier ein kleines Netzwerk von 18 Rechnern und das manuelle Aufspielen kostet immer nervig viel Zeit. Auch weil niemand dafür eingestellt werden soll.
| |
bezüglich WSUS hab ich nicht viel zu dem, was MadMax geschrieben hat, hinzuzufügen. WSUS macht halt erst Sinn, wenn man a) ne Domäne und b) ein wenig Speicherplatz hat. Wenn WSUS nicht geht, z. B. weil kein Server zur Verfügung stünde, könnte man immer noch die automatische Update-Installation über Gruppenrichtlinien einstellen. Dazu braucht man immer noch eine Domäne, aber immerhin kann man mit ner einfachen Richtlinie ein paar Dinge einstellen, die das ganze etwas erträglicher machen. Zum Beispiel 2-3 Rechner mit einer Richtlinie, die die Updates sofort installieren und dann eine, die die Updates für ein paar Tage verzögert. Wenn man dann noch die Delivery Optimization so einstellt, dass die Rechner sich die Updates von anderen lokalen Rechnern ziehen dürfen, belastet das die Internetleitung auch nicht so sehr.
Softwareverteilung ist so ein Thema für sich. Die große Variante ist da der Microsoft System Center Configuration Manager, aber das ist selbst für uns mit knapp 80 Clients noch zu viel Aufwand. Ich nutze aktuell eine Kombination aus WPKG und PDQ Deploy. Dazu noch die Windows Distribution Services mit nem MDT-Image zum Ausrollen neuer Rechner. WPKG ist im Prinzip nur ein Javascript, das lokal auf dem Zielrechner per cscript.exe ausgeführt wird. Das lädt dann ein paar XML-Dateien vom Fileserver, wertet den Inhalt aus und installiert dann nach, was auf dem Rechner so fehlt. Etwas unbequem zu konfigurieren, wenn man nur grafische Oberflächen gewohnt ist, da halt alles nur XML. Aber ich hab damit bisher alles installiert bekommen, was ich installiert haben wollte. Deinstallation / Upgrade geht damit auch sehr gut. Ich nutze zum Starten von WPKG noch die Erweiterung Wpkg-Gp, die das ganze beim Rechner-Start als Gruppenrichtlinienerweiterung ausführt.
PDQ Deploy ist ne kostenpflichtige Software mit optionalem Paket-Repository. Sehr nett, um einfach Standardsoftware auf Rechner zu installieren, ohne sich vom Schreibtisch wegzubewegen.
All das setzt aber immer ne Domäne voraus, damit man remote überhaupt was auf den Kisten einstellen oder ausführen kann.
|
|
|
|
|
|
|
|
| Thema: Windows 10 ( .. na, zufrieden? ) |
|
