wie denke ich viele andere auch, benutze ich, und meine ganze Familie auch, Windows als Haupt Betriebssystem. Daher würde ich gerne gewisse Einstellungen, damit niemand so einfach daran rumspielen kann, und auch alles etwas sicherer wird, zwecks Software etc. mit einem ADDC regulieren wollen.
Da ja auch durchaus bekannt ist das Microsoft gerne mal Updates verkackt würde ich da auch gerne noch nen WSUS dazupacken.
Daher die Frage: wie macht man das am besten?
In meinen Tests benutze ich aktuell 2 Windows Server 2022 VM’s die jeweils einer der ADC und der andere der WSUS ist. Lizensierung ist ja auch noch so eine spannende Sache. Ich würde mir dann bei meinem Dealer des geringsten Mistrauens eine günstige Lizenz erwerben, wenn es final so weit ist.
Aber gibt es da auch noch alternativen?
Ich weiß das es da auch noch AD Controller auf Linux Basis gibt, die man da ja dann nicht teuer lizensieren muss.
Das ist kein Selbstläufer… es bedarf wiederkehrend Wartung und Betreuung. Da gibt es so viele Dinge zu berücksichtigen. Wenn du damit beruflich nichts zu tun hast, würde ich es zu Hause nicht einsetzen wollen. Denn geht ein ADDS nicht, kann sich die Familie nur eingeschränkt bewegen oder gar nicht mehr arbeiten.
Einen WSUS Server würde ich auch nicht mehr einsetzen, da er wie @336522430 schon geschrieben hat., von Microsoft abgekündig ist. Eine alternative kostenlose/kostengünstige Patchmanagement Software fällt mir auf die schnelle auch nicht ein.
Es hört zudem auch nicht nur beim Patchen von Windows auf. Auch die installierte Software muss gepatcht werden.
Mit einer AD bindest dir ziemlich viel Arbeit ans Bein. Nicht um sonst sind in einigen Unternehmen 2 oder mehr Personen nur für die AD angestellt.
Wenn du Einstellungen über Policies bereitstellst, mag das im ersten Schritt ganz cool sein, allerdings musst du auch hier immer hinterher sein und regelmäßig durch deine Policies schauen, da Microsoft hier gerne Einstellungen hinzufügt, entfernt oder umbennent (hatte ich alles schon auf der Arbeit).
Wenn dein DC nicht erreichbar ist, aus welchen Gründen auch immer, bist du ganz schnell an dem Punkt, dass die anderen nicht oder nur sehr eingeschränkt die Clients nutzen können.
Ich habe bei mir ein paar Services am laufen (Nextcloud, Wiki, Immich,…), die alle die Authentifizierung über authentik machen. Wenn der Server mal nicht erreichbar sein soll, ist es nicht so schlimm, da keine kritischen Dienste darüber laufen.
Authentik kann seit dem letzen Update auch Windows Authentifizierung mittels RAC. Ich habe mir das aber noch nicht angesehen, wobei man hier dann auch schnell wieder an dem Punkt ist, dass wenn der Service nicht erreichbar ist, dass die anderen keinen Spaß haben.