Zum Inhalt wechseln


Foto

Lokale Adminrrechte - Softwareentwickler etc


  • Bitte melde dich an um zu Antworten
14 Antworten in diesem Thema

#1 surfacing

surfacing

    Junior Member

  • 164 Beiträge

 

Geschrieben 31. August 2017 - 07:24

Hallo,

 

ich bin neu in ein Unternehmen gekommen, in der es leider Gang und Gebe ist/war diversen Mitarbeiter lokale Adminrechte zu geben. Aktuell ist es ziemlicher Kampf gegen Windmühlen, da "Das war schon immer so" ziemlich in den Köpfen der User hängt , speziell bei unseren Programmierer und diversen Abteilungsleiter/innen ist es ein Kampf die lokalen Adminrrechte wegzuenehmen. In meiner letzten Firma, haben die Mitarbeiter wirklich nur in Ausnahmefällen lokale Adminrechte erhalten.

 

Bei unseren Programmierer kann ich es verstehen, dass sie lieber mit Adminrechten arbeiten. Ich habe den Versuch gestartet zumindest, ihren Domänenbenutzer die Adminrechte wegzunehmen, und dafür einen lokalen Admin auf ihrem Rechner einzurichten. Das ging Testweise ganz gut, allerdings kamen die Beschwerden dass vieeeel zu oft das Passwort für den Admin eingegeben werden muss. Geht mir persönlich am allerwertesten vorbei, da ich selbst ca. 100 Mal irgendein Passwort eingeben muss.

 

In einem Videovortrag habe ich gesehen, folgenden Vorschlag gesehen. Der User meldet sich mit seinem Adminuser an seinem Rechner an, hat uneingeschränkte Rechte allerdings kein Zugriff auf das Internet, oder auf das Netzwerk. Wenn er das möchte, muss er eine virtuelle Maschine starten meldet sich mit seinem normalen User an für E-Mails, Internet und für die Netzwerkfreigaben usw.

 

Wie sind eure Erfahrungswerte mit lokalen Adminrechten speziell bei Programmierer?

 

 



#2 zahni

zahni

    Expert Member

  • 16.474 Beiträge

 

Geschrieben 31. August 2017 - 07:28

Hat bei uns auch gedauert (ist schon länger her).

Jetzt haben sie keine mehr und gelten sogar  in gewissen Umfang SRP's.

Und sie können tatsächlich immer noch Software entwickeln.

Es hängt ganz klar auch davon ab. was sie entwickeln. Man muss manchmal kreative Lösungen schaffen.

Bei uns ist es "nur" Java (SE und EE).


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 NilsK

NilsK

    Expert Member

  • 12.401 Beiträge

 

Geschrieben 31. August 2017 - 07:31

Moin,

 

naja, wie sollen die Erfahrungen schon sein - schlecht halt.

 

Für solche Zwecke gibt es virtuelle Maschinen. Dort entwickeln die Developer. Auf ihrem normalen Rechner haben sie keine Adminrechte. Führt auch zu Kämpfen und bedeutet Aufwand, bis man eine passende Konfig hat, dämmt das Risiko aber wenigstens ein.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 Doso

Doso

    Board Veteran

  • 2.490 Beiträge

 

Geschrieben 31. August 2017 - 16:06

Auch wir führen den Kampf, auch bei uns ist es zäh, und auch bei uns haben meiner Meinung nach viel zu viele Leute Admin Rechte. Immerhin haben die meisten User mittlerweile keine Admin Rechte mehr auf ALLE PCs sondern immer nur auf ihren eigenen Arbeitsplatzrechner. Jedes Jahr wird es bisserl besser :D

 

Und wenn die lieben Kollegen in der IT dort zu viel kaputt machen, wird der Rechner halt einfach neu installiert. All die tolle Software die sie vorher brauchten dürfen sie sich dann wieder selber installieren, was sie ja können, da sie ja Admin sind ;)


Bearbeitet von Doso, 31. August 2017 - 16:07.


#5 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 08. September 2017 - 17:43

Ewiger Kampf und Krampf :-)

Wer MSI-Pakete mit InstallShield erstellt, braucht Admin-Rechte. Wer mit VS debuggen will, braucht Admin-Rechte (je nach Programm, ok...).

 

SRP/AppLocker hilft dagegen ein Stück weit, da muß der User schon Energie aufwenden, um die zu umgehen. Und das läßt sich dann per Unternehmensvorgabe so handhaben, daß er sich damit eine Abmahnung einfängt.

 

Zum Thema "wer ist wo genau Admin": http://evilgpo.blogs...s-darf-ich.html (als Idee :-))


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#6 zahni

zahni

    Expert Member

  • 16.474 Beiträge

 

Geschrieben 11. September 2017 - 15:19

Unsere Entwickler stellen ihr Endprodukt als Thinapp-Paket bereit. Den Builder kann man ohne Adminrechte starten :D


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#7 Slavefighter

Slavefighter

    Junior Member

  • 85 Beiträge

 

Geschrieben 15. September 2017 - 07:48

Ein Mitarbeiter installiert ja nicht ständig und jeden Tag irgendwelche Programme.

 

Wenn ich es planen müsste, würde ich eine Auflistung aller bevorzugten Programme etc machen und dann bspw. entsprechend eine WSUS Lösung per MSI erstellen.

Dann könnte man ja per GPO übers AD eine Richtlinie erstellen, die ausschließlich die von mir geforderten Pakete zulässt.

 

Wahlweise könnten Mitarbeiter auch Nachhaltig wünsche zukommen lassen, die man dort mit einpflegen könnte.


Bearbeitet von Slavefighter, 15. September 2017 - 07:49.


#8 lefg

lefg

    Expert Member

  • 20.495 Beiträge

 

Geschrieben 15. September 2017 - 09:06

Ein Mitarbeiter installiert ja nicht ständig und jeden Tag irgendwelche Programme.

 

Doch, die Softwareentwickler schon, wahrscheinlich sogar mehrfach am Tage. Man könnte natürlich ....., wollen die aber nicht. Und die werden die GF hinter sich haben.


Bearbeitet von lefg, 15. September 2017 - 09:08.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#9 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 15. September 2017 - 09:09

Unsere Entwickler benutzen Linux


Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#10 zahni

zahni

    Expert Member

  • 16.474 Beiträge

 

Geschrieben 15. September 2017 - 09:37

Als "root" ? ;)


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#11 Slavefighter

Slavefighter

    Junior Member

  • 85 Beiträge

 

Geschrieben 15. September 2017 - 10:17

Doch, die Softwareentwickler schon, wahrscheinlich sogar mehrfach am Tage. Man könnte natürlich ....., wollen die aber nicht. Und die werden die GF hinter sich haben.

Nun dann könnte man denen eine Autarke Umgebung bereitstellen, welche nur über Diverse Sicherheitsmerkmale eine Verbindung zum Intranet bekommen.

Oder ähnliche Verfahren wie bspw bei einer Buchhaltung.


Bearbeitet von Slavefighter, 15. September 2017 - 10:18.


#12 lefg

lefg

    Expert Member

  • 20.495 Beiträge

 

Geschrieben 15. September 2017 - 11:46

Nun dann könnte man denen eine Autarke Umgebung bereitstellen, .....

 

Ja, natürlich. Ich denke mal, der TO steht vor dem Problem, der Aufgabe, als Neuer alte Strukturen, eingefahrene Verfahren abzuändern, möglichst in Übereinstimmung mit dem Kollegium, ohne einen tiefgreifenden Konflikt vom Zaun zu brechen. Ein Admin ist nicht der Chef vom Haus, er ist ein Mitarbeiter wie andere auch, er kann nicht einfach machen was er will, was er meint machen zu müssen. Er muss wohl Überzeugungsarbeit leisten, die Entwickler überzeugen und die Geschäftsleitung.


Bearbeitet von lefg, 15. September 2017 - 11:47.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#13 Esta

Esta

    Board Veteranin

  • 1.274 Beiträge

 

Geschrieben 15. September 2017 - 16:12

Als "root" ? ;)

Die installieren sich ihre PCs sogar selbst, da wir keinen Linux-Admin haben. :wacko:


Gruß Esta

:D Ich liebe Herausforderungen. :D

Was wäre das Leben, hätten wir nicht den Mut, etwas zu riskieren.
Vincent van Gogh

#14 zahni

zahni

    Expert Member

  • 16.474 Beiträge

 

Geschrieben 18. September 2017 - 07:12

Die installieren sich ihre PCs sogar selbst, da wir keinen Linux-Admin haben. :wacko:

Und das ist dann sicherer? Die Meiste Malware wird  von Linux-Servern verteilt. Warum? Weil die meisten Webserver im Internet eben selbiges verwenden.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#15 Slavefighter

Slavefighter

    Junior Member

  • 85 Beiträge

 

Geschrieben 18. September 2017 - 19:09

Ja, natürlich. Ich denke mal, der TO steht vor dem Problem, der Aufgabe, als Neuer alte Strukturen, eingefahrene Verfahren abzuändern, möglichst in Übereinstimmung mit dem Kollegium, ohne einen tiefgreifenden Konflikt vom Zaun zu brechen. Ein Admin ist nicht der Chef vom Haus, er ist ein Mitarbeiter wie andere auch, er kann nicht einfach machen was er will, was er meint machen zu müssen. Er muss wohl Überzeugungsarbeit leisten, die Entwickler überzeugen und die Geschäftsleitung.

Ich würde dem TO raten, setz eine Testumgebung auf und Simuliere den Härte-Fall, so wäre zumindest mein Vorgehen. Wenn man es mal ganz Böse nimmt, ist es der Kopf des TO, der rollt, wenn die Infrastruktur zusammenbricht.

 

Bilder ( VMs) sagen in dem Fall m ehr als 1000 Worte.