Jump to content
Sign in to follow this  
stan73

Haupbenutzer oder doch admin

Recommended Posts

Hallo Forum-Freunde,

 

habe hier ein sehr ärgerliches Problem.

In unserer Firma ist es zwingend erforderlich, daß einige Aussendienstmitarbeiter Software und Treiber installieren können. Ich möchte aber die Domänen - Benutzer auf keinen Fall mit lokalen Admin-Rechten ausstatten. Als Hauptbenutzer ist jedoch die Installation von z.B. Adobe PDF (nicht Reader) oder dem Macromedia Studio (und vielen anderen schlecht durchdachten Programmen) nicht möglich. "Sie müssen über Administratorrechte verfügen, wenn Sie diese Software installieren wollen". Dies könnte aber auch daran liegen, das bei der Installation viel am System verändert wird.

 

Das kann doch nicht sein, daß die ganze Welt jetzt admin sein muß, wofür benötigt man denn dann überhaupt unterschiedliche Berechtigungen??

 

Wie kann ich einem Mitarbeiter die Möglichkeit bieten, lokal Software und Treiber zu installieren, ohne ihn zum Admin zu machen?

 

Die Netzwerkeinstellungen gehen ja "GottSeiDank" über die lokale Gruppe "Netzwerkkonfigurations-Operatoren".

 

Ihr werdet euch fragen, warum ich meinen Kollegen nicht gleich den Adminzugang lokal ermögliche:

 

Ich möchte einfach auf nummer sicher gehen, denn jede Schadsoftware bedient sich der Berechtigung, die der "CurrentlyLoggedOnUser" hat. Vielleicht bin ein wenig ängstlich, aber wir sind nur 2 Administratoren, die alles können müssen, bei insgesamt 80 Mitarbeitern. Da wollen wir uns soweit es geht absichern, daß unsere Clients möglichst lange und sauber funktionieren.

 

Über jeden Hinweis bin ich dankbar

 

 

stan73

Share this post


Link to post

Hallo Stan

 

willkommen im Club der Betroffenen.

 

Prinzipiell ist es aber schon so: ein normaler Benutzer soll NICHT in der Lage sein, Software zu installieren. Damit soll der Softwarewildwuchs im Unternehmen verhindert werden. Wie würdest Du kontrollieren wollen, wer welche Software wie lizenziert einsetzt, wenn jeder bei sich installieren könnte, was er wollte?

 

Was nun die Hauptbenutzer betrifft: Welche Rechte Du im Einzelnen tatsächlich brauchst- unabhängig von den Behauptungen der Hersteller - kannst Du Dir nur im Feldversuch Klarheit verschaffen.

 

Einfacher dürfte es sein, entsprechende Bedürfnisabklärungen zu starten und die Software dann über GPO, SMS oder ähnliche Softwareverteilungsanwendungen zuzuweisen

Share this post


Link to post

Hallo deubi,

 

danke für die schnelle Antwort.

 

Ja, natürlich hast du recht. I. d. R. dürfen die Anwender bei uns auch nichts installieren. Es ist halt nur eine Gruppe von Kollegen (unsere Entwicklungsabteilung), die häufig beim Kunden Vorort schnell mal eben einen anderen Treiber installieren muß, weil die Geräte beim Kunden ein älteres Modell als angenommen sind, oder einfach die aktuellste Software sich nicht mit der vorhandenen HW verstehen will. Es handelt sich hierbei um elktronische Messgeräte, die an PCs verbunden werden können, um Simualtionsläufe aufzuzeichnen. Manchmal müssen unsere Kollegen eben so agieren. Ich möchte jedoch, wegen dieser vereinzelt auftretenden Situationen, nichht direkt das große "Scheunentor aufmachen müssen! "

 

Wie sieht es damit aus?

Ich lege ein adminkonto an, welcher aber nur zum installieren verwendet werden soll. Wie verhindere ich alle anderen Privilegien dieses Kontos? z.B. anmelden am Computer verweigern, oder als Dienst anmelden verweigern?

Hat jmd. schon eine solche Konstellation lauffähig im Einsatz.

 

Vielen Dank

 

stan

Share this post


Link to post

bei den Geräten, die Du ansprichst handelt es sich nicht um USB- oder sonst automatisch erkannte Geräte?

Share this post


Link to post

Doch,

 

mitunter sind es solchige :D:

 

Aber bei Adobe wird z.B. ein PDF Druckertreiber mitinstalliert, wobei eigentlich Druckerinstalltionen auch als Hauptbenutzer gehen müssten. Es wird wohl auch daran liegen, dass Adobe sich in Office usw. einnistet. Das ist aber noch nicht mal das Problem, diese Software würden wir zur Not einmal als Image wegsichern.

 

Es sind halt genau diese kleinen Tools, die man installiert und dann ein usb-Gerät anschliesst, damit dieses erkannt wird.

 

 

stan

Share this post


Link to post

Wie wäre eine Lösung mit einer Virtuellen Maschine auf dem Client und diese dann mit Adminrechten zu versehen. Da könnten die User sich dann austoben, aber du könntest trotzdem noch relativ beruhigt schlafen.

Ok, wahrscheinlich nicht die billigste Lösung, aber was anderes würde mir da nicht einfallen

Share this post


Link to post

Die Idee ist mir auch schon gekommen, habe's aber wieder verworfen, weil: die Frage ist, ob das mit den physischen USB-Geräten und den virtuellen Instanzen so auch tatsächlich klappt.

Einen Versuch wäre's jedenfalls wert, wenn er Zeit dafür hat.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...