Entsprechend meine Frage: kann die Rechteverwaltung nur an einem (als Hauptadministrator konfigurierten) Client bzw. Arbeitsplatz erfolgen, an dem alle zu administrierenden Programmmodule selbst auch installiert sind?

Würde ich sagen: ja.

Die Datenanpassung kann ja auch nur auf einem System mit installierten Programmen erfolgen. Also würde ich auch auf dem FS alles installieren. Dann kann man da auch zentral die Datenanpassung starten, während noch alle anderen Arbeitsplätze installieren.

Hallo Herr Schäfer,

hallo Herr Bohle,

dass die Rechteverwaltung nur komplett konfiguriert werden kann, wenn der Admin (Hauptadmin) auch Zugriff auf alle zu konfigurierenden Programme hat, halte ich ebenfalls für nötig und zutreffend.

Dass aber deswegen auf dem Fileserver alle Programme installiert werden müssen/sollten halte ich für unnötig. M.E. reicht es, an einem vollinstallierten Client den Server- bzw. Hauptadmin als User anzulegen und sich zu Konfiguration der Rechte mit diesem Account dort anzumelden.

Der Vorteil, die Vollinstallation am Server auch zu machen, um dort auch die Datenbankanpassung zu starten, ist schnell durch den erhöhten Wartungsaufwand vertan. Ich halte daher eine Vollinstallation am Fileserver nicht für sinnvoll.

M.E. reicht es, an einem vollinstallierten Client den Server- bzw. Hauptadmin als User anzulegen und sich zu Konfiguration der Rechte mit diesem Account dort anzumelden.

Dann muss man aber immer 1 User abmelden und "arbeitslos" machen, wenn man in der BRV etwas konfigurieren möchte. Das könnte man am FS unbemerkt eben schnell umsetzen und durch Anmeldung der User auch gleich testen, ob das so klappt, wie gedacht.

Dann braucht man an den Clients bzgl. der Rechte nicht mehr "fummeln".

Der Vorteil, die Vollinstallation am Server auch zu machen, um dort auch die Datenbankanpassung zu starten, ist schnell durch den erhöhten Wartungsaufwand vertan.

Kommt auf den Server an. Wenn hier CPU und Speicher entsprechend schnell sind, ist die Datenanpassung genau dann durch, wenn auch alle anderen Clients fertig sind. Dann hat man das Optimum erreicht. Wenn man erst die Anpassung starten kann, nachdem 1 Client fertig ist, dauert das ja noch länger.

Hallo Herr Bohle,

da da haben sie schon recht. Neben der Leistung des Servers spielt aber auch der Umfang der Installation und der Datenbanken eine Rolle.

Wie immer - es gibt für jede Variante Vor- und Nachteile - die wollte ich aufzeigen.

Hallo Herr Bohle,

hallo Herr Renz,

ganz herzlichen Dank für Ihre schnellen Antworten! Hier meine Gedanken dazu:

Ich hatte damals bewusst den Fileserver eben nur mit der für seine Funktion (des DB-hostings) notwendigen und minimalen Installation aufgesetzt und explizit keine Vollinstallation (als Client) vorgenommen. Diese "Server-Installation" wird ja auch explizit als Installationsoption angeboten. Mein Betriebskonzept sah also einen minimal-installierten Fileserver nebst vollinstallierten Clients vor, wobei die Konfiguration und Administration des Gesamtsystems vom Fileserver aus erfolgen sollte. Es sei noch erwähnt, dass der Fileserver auf einer virtuelllen Maschine (mit entsprechendem Backup-Konzept) läuft und insofern dem vorteilhafterweise kein physischer Arbeitsplatz zugeordnet ist; mein Zugriff erfolgt als Admin via RDP und damit für mich bequem von einem beliebigen Platz (keine DATEV-Installation notwendig) im Netzwerk. Dies erschien mir das sinnvollste Konzept.

Das nun eine zentrale Administration / Konfiguration nur von einem vollinstallierten Arbeitsplatz erfolgen kann, geht nmE an einem zentralisierten Server/Client-Konzept ein wenig vorbei und sehe ich als "Fehler im System"; dass es aber tatsächlich so zu sein scheint, zeigt sich auch - wie bereits von Ihnen erwähnt - an der Datenanpassung, die offenbar auch nur an einem vollinstallierten System (Einzelarbeitsplatz) vorgenommen werden kann.

Der geringste Aufwand und die geringste Abwandlung meines Konzepts wäre dann wohl tatsächlich (auch wenn mir das eigentlich nicht so recht gefällt), am Fileserver alle Programme / Module eines Clients nachzuinstallieren, um dann schließlich von dort alles administrieren und konfigurieren zu können - neben der Rechteverwaltung dann auch die Datenanpassung. Dies erspart mir die Installation eines zusätzlichen (physischen) Clients bzw. bei Bedarf den Weg zum DATEV-Arbeitsplatz meines Kollegen.

Oder was würden Sie (alternativ) an meiner Stelle tun?

Oder was würden Sie (alternativ) an meiner Stelle tun?

Nichts anderes. Dann können Sie auch am FS ggf. Fehler am Client nachstellen, wenn es Fehler auf DB-Ebene sind und keine Fehler am PC.

Ihr Konzept hatte ich mir auch bei einem Kunden ausgesucht, damit der FS möglichst schlank bleibt. Im Nachhinein habe ich hier dann auch einen kompletten DATEV Arbeitsplatz inkl. aller Programme installiert.

Klar installiert man 1 Arbeitsplatz mehr mit aber hat die o.g. Vorteile. Und noch eine extra VM zur Administration aufsetzen wäre Quatsch. Dann macht man sich wirklich Mehrarbeit. Der Server muss beim Update sowieso angefasst werden.

geht nmE an einem zentralisierten Server/Client-Konzept ein wenig vorbei und sehe ich als "Fehler im System";

Jein. Bzgl. der Datenanpassung kann ich es verstehen. Wenn dazu wirklich die Programme zur Transformation der SQL-DBs benötigt werden, ist das okay. Die BRV geht aber scheinbar auch nur von instllierten Programmen aus und kennt nicht alle im Installationsmanager lizenzierten Programme. Das wäre auch aus meiner Sicht der schickere Weg.

Oder was würden Sie (alternativ) an meiner Stelle tun?

Nichts anderes. Dann können Sie auch am FS ggf. Fehler am Client nachstellen, wenn es Fehler auf DB-Ebene sind und keine Fehler am PC.

Ihr Konzept hatte ich mir auch bei einem Kunden ausgesucht, damit der FS möglichst schlank bleibt. Im Nachhinein habe ich hier dann auch einen kompletten DATEV Arbeitsplatz inkl. aller Programme installiert.

Klar installiert man 1 Arbeitsplatz mehr mit aber hat die o.g. Vorteile. Und noch eine extra VM zur Administration aufsetzen wäre Quatsch. Dann macht man sich wirklich Mehrarbeit. Der Server muss beim Update sowieso angefasst werden.

geht nmE an einem zentralisierten Server/Client-Konzept ein wenig vorbei und sehe ich als "Fehler im System";

Jein. Bzgl. der Datenanpassung kann ich es verstehen. Wenn dazu wirklich die Programme zur Transformation der SQL-DBs benötigt werden, ist das okay. Die BRV geht aber scheinbar auch nur von instllierten Programmen aus und kennt nicht alle im Installationsmanager lizenzierten Programme. Das wäre auch aus meiner Sicht der schickere Weg.

Und damit haben Sie den größten anzunehmenden Sicherheitsfehler herausposaunt.

Der Fileserver mit dem MS-SQL braucht keinen DATEV Arbeitsplatz! Der MS-SQL bekommt all seine Rechte (die weite über denen des in der Rechteverwaltung liegenden DATEV Hauptadministrators liegen) aus der direkten Installation und dort wird auch ein DATEV Benutzer direkt im MS-SQL geführt (sa ist es nicht).

Für die Administration der DATEV Rechteverwaltung braucht es mindestens einen local Admin der sich gegenüber DATEV als Hauptbenutzer ausweist, DATEV nimmt in der Regel das Adminkonto mit dem die DATEV Installation angestoßen wurde. Hat der DATEV Hauptadministrator keine Windows Adminrechte schaut es schlecht aus. Also neuen User anlegen und für die Administration von DATEV neu anmelden. Jetzt fehlt aber etwas, die Rechte auf die Smartcard des Hauptbenutzers, wenn die auf dem falschen User liegen ist die Verwaltung der RZ Rechte nicht möglich.

DATEV hat mit der Verknüpfung der User ins AD alle Fehler gemacht, die man machen konnte, irgendwo ist immer ein User mit local Adminrechten angemeldet.

Der Fileserver mit dem MS-SQL braucht keinen DATEV Arbeitsplatz!

So habe ich es auch verstanden, und aus dem Grund habe ich auch keinen installiert... aber mit den oben geschilderten Problemen.

Kennen Sie eine alternative Möglichkeit, die Verwaltung von Benutzerrechten aus der Fileserver-Installation auch für Programme vorzunehmen, die dort nicht installiert sind?

Richten Sie doch einfach eine zusätzliche VM ein, die Sie nur zur Verwaltung nutzen. So riskieren Sie nicht, dass eine der Anwendungen den Betrieb des Servers gefährdet, und Sie stören auch keinen Anwender bei der Arbeit, wenn Sie die Verwaltungswerkzeuge nutzen müssen.

Sie brauchen einen Arbeitsplatz auf dem alle von Ihnen lizenzierten und genutzten Programme installiert sind, in der Regel ist das auch der Arbeitsplatz, von dem Sie die Updates/Servicereleases starten. Dieser User muss ohnehin recht umfangreiche Adminrechte im AD haben. Dieser User bekommt dann die DATEV Hauptadministratorrechte, Smartcardrechte für RZ Rechte sind dann natürlich noch ein Problem. Eine sichere Lösung wäre wohl eine Anmeldestrategie das man sich für DATEV Verwaltungsaktionen die Adminrechte temporär holt. So hält man das System sicher und kann aber trotzdem alles gut verwalten.

Richten Sie doch einfach eine zusätzliche VM ein, die Sie nur zur Verwaltung nutzen. So riskieren Sie nicht, dass eine der Anwendungen den Betrieb des Servers gefährdet, und Sie stören auch keinen Anwender bei der Arbeit, wenn Sie die Verwaltungswerkzeuge nutzen müssen.

Wäre tatsächlich eine Überlegung wert, zumal ich dann die bevorzugte Flexibilität wahren könnte...

Als Fazit nehme ich aber mal mit: in der Umsetzung einer sinnvollen zentralisierten Systemadministration, die sich problemlos in ein verteiltes Server/Client-Konzept einfügt, gibt es noch Luft nach oben.

Herzlichen Dank nochmal an alle für die wertvollen Tipps und Anmerkungen!