Hi,
ich wollte mal fragen wie das bei euch so läuft mit "Karteileichen".
Es passiert ja hin und wieder das ein Rechner entsorgt wird, einen neuen platz inkl. neuem namen bekommt oder gar ein schonmal vergebener Name wiederverwendet wird....
Ich stör mich aktuell da ein wenig dran das ich mittlerweile in mehreren Systemen das ganze pflegen muss....
AD
Hardwaredatenbank
DHCP
OPSI
Wie macht ihr das? Denn wenn man nicht löscht, hat man ja irgendwann massenweise Karteileichen in der OPSI Datenbank....
Gruß
Tobias
Erfahrungen mit Karteileichen in OPSI
Re: Erfahrungen mit Karteileichen in OPSI
Im AD filtern wir nach Last LogOn, Disabled und NeverLoggedOn und löschen die Accounts entsprechend. Bei OPSI handhaben wir es ähnlich indem wir nach "zuletzt gesehen" filtern und entsprechende Clients löschen.
Re: Erfahrungen mit Karteileichen in OPSI
Machen das ähnlich ...Pepe hat geschrieben:Im AD filtern wir nach Last LogOn, Disabled und NeverLoggedOn und löschen die Accounts entsprechend. Bei OPSI handhaben wir es ähnlich indem wir nach "zuletzt gesehen" filtern und entsprechende Clients löschen.
Was sich als recht praktikabel im AD erwiesen hat, wenn man nicht ganz sicher ist: Erstmal den Account deaktivieren Datum in kommentar reinschreiben, dann nach z.B. 1 Monat wenn keiner bei der Hotline angerufen hat daß er sich nicht an dem Rechner anmelden kann, endgültig löschen
.hth
Schön wäre es natürlich wenn es eine Prozedur/Skript gäbe die den Rechner im AD, beim Antivir-Server, im Opsi und in der Doku auf einmal löscht
.Re: Erfahrungen mit Karteileichen in OPSI
Oh weh das würde bei uns mächtig probleme geben. Rechner im Labor werden gut und gerne auch mal nen halbes Jahr nicht benötigt.mhaegele hat geschrieben:Machen das ähnlich ...Pepe hat geschrieben:Im AD filtern wir nach Last LogOn, Disabled und NeverLoggedOn und löschen die Accounts entsprechend. Bei OPSI handhaben wir es ähnlich indem wir nach "zuletzt gesehen" filtern und entsprechende Clients löschen.
Was sich als recht praktikabel im AD erwiesen hat, wenn man nicht ganz sicher ist: Erstmal den Account deaktivieren Datum in kommentar reinschreiben, dann nach z.B. 1 Monat wenn keiner bei der Hotline angerufen hat daß er sich nicht an dem Rechner anmelden kann, endgültig löschen
hth
Das wär eigtl. gar nicht so das Problem. Bei uns werden User z.B. mit dem Zentralen Directory abgeglichen.Schön wäre es natürlich wenn es eine Prozedur/Skript gäbe die den Rechner im AD, beim Antivir-Server, im Opsi und in der Doku auf einmal löscht
Vertrag ausgelaufen => keine Anmeldung mehr möglich.
Es gibt also schon Schnittstellen um das zu erreichen in dem fall sinds einfach LDAP abfragen
Ich träume davon das ich einen Rechner in unserer Hardwaredatenbank eintrage er automatisch im OPSI erzeugt wird und wenn ich ihn dort lösche bzw. entsorge er auch aus OPSI gelöscht wird.... hatte mich schonmal versucht mit JSON-RPC auseinanderzusetzen aber kläglich gescheitert
Das AD ist mir persönlich eigtl. egal ob da Leichen drin sind
Re: Erfahrungen mit Karteileichen in OPSI
ich konnte es mal wieder nicht lassen und habs mir grad nochmal probiert und bisschen Code auf dem Ohhjaa OPSI projekt geklaut und jez hab ichs echt geschafft nen Client anzulegen via PHP im OPSI.
Ich weis nicht was man da aus dem code alles braucht... bin kein programmierer habs nur aus codeschnippseln zusammen kopiert aber es funktioniert 
EDIT: Und schon ist das Problem eigentlich erledigt
und bisschen Code auf dem Ohhjaa OPSI projekt geklaut und jez hab ichs echt geschafft nen Client anzulegen via PHP im OPSI.Code: Alles auswählen
<?php
require_once ('jsonRPCClient.php');
$check = @fopen('https://administrator:passwort@opsiserver.de:4447/rpc', "r");
$rpc = @new jsonRPCClient('https://administrator:passwort@opsiserver.de:4447/rpc', false, true);
if($rpc) {
try {
$check = $rpc->authenticated();
if(!$check) {
$loginerror=true;
}
else{
$info = $rpc->getOpsiInformation_hash();
$newclient = $rpc->createClient('PCname', 'Domain','Beschreibung','Notiz','IP', 'MAC');
}
} catch (Exception $e) {
$loginerror = true;
}
}
EDIT: Und schon ist das Problem eigentlich erledigt
Re: Erfahrungen mit Karteileichen in OPSI
Rechner die sich so lange nicht angemeldet haben, stellen allgemein ein zu großes Sicherheitsrisiko dar, daher ist Computerkonto deaktivieren/löschen schon imo der beste Weg. Wenn ein Rechner über ein halbes Jahr unmanaged war, hätte man bei dann die Möglichkeit entsprechend den Rechner zu überprüfen.tobias hat geschrieben: Oh weh das würde bei uns mächtig probleme geben. Rechner im Labor werden gut und gerne auch mal nen halbes Jahr nicht benötigt.
Mir persönlich ist es wichtiger das die Rechner im AD gepflegt sind. Vielleicht wird ja mal eine AD-Integration für OPSI entwickelt, über die Computerkonten automatisch in OPSI eingepflegt und mit dem ClientAgent bestückt werden.
Re: Erfahrungen mit Karteileichen in OPSI
Das wäre natürlich klasse. Hab ich auch in der OPSI Umfrage entsprechend hoch bewertet.Pepe hat geschrieben:Rechner die sich so lange nicht angemeldet haben, stellen allgemein ein zu großes Sicherheitsrisiko dar, daher ist Computerkonto deaktivieren/löschen schon imo der beste Weg. Wenn ein Rechner über ein halbes Jahr unmanaged war, hätte man bei dann die Möglichkeit entsprechend den Rechner zu überprüfen.tobias hat geschrieben: Oh weh das würde bei uns mächtig probleme geben. Rechner im Labor werden gut und gerne auch mal nen halbes Jahr nicht benötigt.Solange die Rechner dann keinen Internetzugriff haben (und das haben sie nicht) ist das unkritisch.
Und die Zeit jeden Tag solche Rechner zu überprüfen habe ich auch nicht
Mir persönlich ist es wichtiger das die Rechner im AD gepflegt sind. Vielleicht wird ja mal eine AD-Integration für OPSI entwickelt, über die Computerkonten automatisch in OPSI eingepflegt und mit dem ClientAgent bestückt werden.
Aber Frage: Was verursacht ne Leiche im AD? Mir fällt da nix ein.
Im OPSI wird es dann schnell unübersichtlich wenns um Softwarerollouts und den entsprechenden Status geht hab da ungerne massen an PCs die ewig lange auf Setup stehen.
Re: Erfahrungen mit Karteileichen in OPSI
Mir persönlich ist es wichtiger das die Rechner im AD gepflegt sind. Vielleicht wird ja mal eine AD-Integration für OPSI entwickelt, über die Computerkonten automatisch in OPSI eingepflegt und mit dem ClientAgent bestückt werden.
Das wäre natürlich klasse. Hab ich auch in der OPSI Umfrage entsprechend hoch bewertet.
Z. B. verschiedene Administratoren die unterschiedliche "Pflegeansätze" haben, einfaches vergessen usw. wenn z.B. ein PC ausgetauscht wird werden die Dokumente, Mails usw. aus dem Profil auf den neuen Client kopiert, zur Sicherheit (obwohl ja alle angewiesen sind alles auf den Netzlaufwerken der Server zu speichern was sie natürlich teilweise nicht tunAber Frage: Was verursacht ne Leiche im AD? Mir fällt da nix ein.
Im OPSI wird es dann schnell unübersichtlich wenns um Softwarerollouts und den entsprechenden Status geht hab da ungerne massen an PCs die ewig lange auf Setup stehen.
) werden die alten PCs noch eine Zeit lang nach dem sie abgebaut sind vorgehalten, falls der User doch das eine odere andere "wichtige Programm" oder Daten lokal irgendwo nicht standardkonform über die Jahre abgelegt hatte ... Solange der PC nicht endgültig entsorgt wurde gibt es somit u. U. eine "Karteileiche" im AD ...Re: Erfahrungen mit Karteileichen in OPSI
Ok wir heben allgemein bei Neuinstallation die Festplatte 6 Monate auf. Der Rechner wird direkt weiter verwendet oder entsorgt. IP Adresse wird freigegeben und da unsere Clients keinen leben lang eindeutigen Namen haben sondern je nach IP benannt werden überschreiben sich die Computerkonten im AD dann irgendwann automatisch.mhaegele hat geschrieben:Mir persönlich ist es wichtiger das die Rechner im AD gepflegt sind. Vielleicht wird ja mal eine AD-Integration für OPSI entwickelt, über die Computerkonten automatisch in OPSI eingepflegt und mit dem ClientAgent bestückt werden.
Das wäre natürlich klasse. Hab ich auch in der OPSI Umfrage entsprechend hoch bewertet.Z. B. verschiedene Administratoren die unterschiedliche "Pflegeansätze" haben, einfaches vergessen usw. wenn z.B. ein PC ausgetauscht wird werden die Dokumente, Mails usw. aus dem Profil auf den neuen Client kopiert, zur Sicherheit (obwohl ja alle angewiesen sind alles auf den Netzlaufwerken der Server zu speichern was sie natürlich teilweise nicht tunAber Frage: Was verursacht ne Leiche im AD? Mir fällt da nix ein.
Im OPSI wird es dann schnell unübersichtlich wenns um Softwarerollouts und den entsprechenden Status geht hab da ungerne massen an PCs die ewig lange auf Setup stehen.
Nur im OPSI ist das nen Problem da hier davon ausgegangen wird das der Rechner seinen Namen auf ewig behält.
Hab das nun mit nem Kollegen zusammen so gelöst das wir in unserer Zentralen Geräteverwaltung die Möglichkeit haben Clients in OPSI Anzulegen und zu löschen. Dazu noch ein paar Arbeitserleichterungen wie automatisches setzen eines Lokalen Admin Passworts, automatische Generierung von Netzlaufwerkscripten für VPN Connections, es werden DefaultProducts direkt auf setup gesetzt....
Diese JSON-RPCAPI is richtig cool.
Gruß
Tobias