Alles zum Thema Windows Clients für den Desktop: Windows 95 / 98 / NT / 2000 / XP / Vista / Win 7 — Q & A zu den Windows Client Versionen sowie Windows Media Center / Windows Home Server
ich bin momentan am Anfang der Planungsphase für eine Domäne.
Leider lässt es sich nicht vermeiden, dass einige Anwender Mitglied der lokalen Administratoren sind und bleiben. Diese User müssen Software und Treiber installieren und eine Mitgliedschaft in der Gruppe Hauptbenutzer ist für einige Softwareapplikationen und HW-Geräte nicht ausreichend.
Ich habe bei uns die Geschäftsführung und einige andere verantwortliche Personen über die Sicherheitsproblematik in Kenntniss gesetzt und ihnen einen Auszug aus der c't 15/04 gegeben, in der die ganze Sache ausführlich beschrieben ist.
Auch nach dem Auszug der c't habe ich keinerlei Unterstützung in der Thematik. Vor der Einführung der Domäne will ich mich natürlich schriftlich gegenüber der Geschäftsführung/Vorgesetzten absichern, dass ich auf das Sicherheitsproblem hingewiesen habe. Denn was passiert, wenn ein DC oder mehrere kompromittiert werden und die Domäne ausfällt? Dafür kann und will ich nicht die Verantwortung übernehmen. Dann heißt es ja: "Was der Kollege da aus der IT-Abteilung eingeführt hat ist ja der totale Mist!". Hierzu muß man sagen das ich der einzige in der Firma bin, der an dem Thema dran ist (also auch in meiner IT-Abteilung) und es eine sehr konservative Branche ist. Es hat alleine über 2 Jahre gedauert, das Unternehmen davon zu überzeugen eine Domäne einzuführen....
Was meint ihr? Es gibt sicherlich auch andere Domänen, wo User mit lokalen Administratorenrechten arbeiten.....
wie du dich aus der Affäre ziehen kannst weis ich nicht und wenn, dürfte ich es dir gar nicht sagen. Da musst du sich an einen Rechtsanwalt der auf diesem Gebiet sich auskenne befragen.
Zu dem Problem lokale Admins: Du kannst per GPO User auf den Clients in eine "Eingeschränkte Gruppen" stecken. Dann haben die nur auf ihren Maschienen Adminrechte und könne sonst nix rumpfuschen. Schau mal bei
Hi Kossner,
über die Richtlinien kannst du ziemlich viel beschneiden! Auch die Zugriffe von lokalen Admins.
Die globalen Richtlinien deines ADS haben dann Vorrang vor irgendwelchen lokalen Richtlinien. :-)
Sehr sinnvoll in dem Zusammenhang:
-Laufwerke X aus Explorer ausblenden
-Computerverwaltung sperren
-Laufwerkszugriff auf X sperren
-Registrierung sperren
-Eingabeaufforderung sperren ;-)
...trotz lokaler Admin-Rechte!
Aber davon mal abgesehen, lokale Admins haben NUR Zugriff auf ihren lokalen Rechner. Das hat ja nix mit dem Domain-Admin (also DIR) zu tun.
gebe dem Administrator des lokalen Rechners ein anderes Passwort als das der Domäne. Es ist eigentlich eine Selbstverständlichkeit das so zu handhaben.
Der Vorschlag mit den Eingeschränkte Gruppen ist auch ein sehr schöner und praktikabler zugleich.
Hi Kossner,
über die Richtlinien kannst du ziemlich viel beschneiden! Auch die Zugriffe von lokalen Admins.
Die globalen Richtlinien deines ADS haben dann Vorrang vor irgendwelchen lokalen Richtlinien. :-)
Sehr sinnvoll in dem Zusammenhang:
-Laufwerke X aus Explorer ausblenden
-Computerverwaltung sperren
-Laufwerkszugriff auf X sperren
-Registrierung sperren
-Eingabeaufforderung sperren ;-)
...trotz lokaler Admin-Rechte!
Aber davon mal abgesehen, lokale Admins haben NUR Zugriff auf ihren lokalen Rechner. Das hat ja nix mit dem Domain-Admin (also DIR) zu tun.
Einen lokalen Admin kann man nicht sinnvoll, meine dauerhaft, in seinen lokalen Rechten beschneiden. Nicht wenn er ein wenig Ahnung hat.
Wie schon angesprochen, Kennwörter trennen, wenn der Zugriff auf nur DIESEN Rechner sein soll, dann auch die einzelnen lokalen Kenwörter unterschiedlich vergeben, mehr ist da nicht an Sicherheit zu machen.
ich bin ebenfalls der alleinige admin in der firma. bei uns haben die meisten user lokale adminrechte. auch wenn schlaue PC zeitschriften immer wieder etwas anderes behaupten, es ist unmöglich ohne adminrechte zuarbeiten, besonders wenn man spezielle software verwendet. da es tausende von softwareprodukten gibt können die schlauen ratschläge die in den zeitschriften gegeben werden,wie man ohne admin rechte arbeiten kann, witzlos.
vollkommen realitätsfremd......aber da werden jetzt einige hier im forum sturmlaufen
naja was soll's.
viel wichtiger für mich sind bestimmte sicherheitslücken zu schliessen.
internet explorer --> Sicherheitszonen richtig konfigurieren, bzw.am besten einen anderen browser verwenden. virenscanner, etc.
und nur weil ein user auf seiner kiste adminrechte hat,heißt das noch lange nicht, das er auf einem server etwas machen kann. und das der lokale admin ein anderes passwort als der dom-admin hat, muss man wohl nicht erwähnen.
ich weiß ja nicht wie groß dein unternehmen ist bzw. für wieviele user du dann zuständig bist. aber alles halbso dramatisch.
Ich kann nur bestätigen, dass ein DomäneAccount, solange er nur in der Administratorengruppe des Rechners aufgenommen ist, keinen Unfug auf anderen Rechnern und den Domänecontrollern anstellen kann. Das schlimmste was er anstellen könnte, wäre den eigenen Rechner zu schrotten.
Zum Thema:
Meine User arbeiten fast alle als NICHT-Admins.
Dennoch muß ich Kossner recht geben, das viele Anwendungen nur mit ausreichend
Rechte verwendet werden können. Wenn allerdings, so wie hier schon erwähnt, div.
User lokale Admins sind, können sie nbichts in deiner Domäne anstellen. Vorausgesetzt
die Domäne ist nicht offen wie ein Scheunentor.
Um dich evt. ein bischen besser abzusichern gegenüber der GF, würde ich Vereinbarungen
mit den Usern treffen, die als lokale Admins arbeiten, um im Fall der Fälle klar die
"Schuldigen" bestimmen zu können. Desweiteren werden "größere" Änderungen,
die an der Domäne vorgenommen werden sowieso über das EreignisLog protokolliert,
wo die Aktionen auch wieder den Benutzern zugeordnet werden können.
Hierzu muß man sagen das ich der einzige in der Firma bin, der an dem Thema dran ist (also auch in meiner IT-Abteilung) und es eine sehr konservative Branche ist. Es hat alleine über 2 Jahre gedauert, das Unternehmen davon zu überzeugen eine Domäne einzuführen....
Hallo Kossner,
welche Position bekleidest Du in dem Unternehmen? Bist Du der IT-Verantwortliche oder stehst Du innerhalb der IT in untergeordneter Position?
Um dich evt. ein bischen besser abzusichern gegenüber der GF, würde ich Vereinbarungen mit den Usern treffen, die als lokale Admins arbeiten, um im Fall der Fälle klar die "Schuldigen" bestimmen zu können.
Hallo,
in einem Unternehmen werden Vereinbarungen zwischen Arbeitnehmervertretung und Unternehmensleitung im gesetzlichen Rahmen getroffen.
Private Vereinbarungen zwischen einem IT-Mitarbeiter/Leiter und Benutzern, die den gesetzlichen Bereich tangieren, sind da wohl nicht zulässig.
