Jump to content
Sign in to follow this  
Canni

Terminalserver: Mehr Rechte für Chef

Recommended Posts

Hallo zusammen,

 

wir setzen hier derzeit (!) nur einen Server (2003 R2) als DC und TS ein, Clients sind keine angebunden.

 

Ich habe alle User (mich eingeschlossen) in eine OU gepackt, für die Gruppenrichtlinien gelten. Loopbackverarbeitungsmodus brauche ich nicht, wir haben ja nur dieses eine Gerät in der Domäne :-(. Alle User dieser Gruppe sind Domänenbenutzer. Nur der User "Administrator" ist Domänen-Admin und lokaler Administrator.

 

Jetzt möchte mein Chef gerne die Systemsteuerung sehen, die ich via GPO ausgeblendet habe. Ich habe ihm gesagt, er solle sich als Administrator einloggen (es ist seine Firma!) und dort eventuelle Änderungen (mit Info an mich!) vornehmen. Wird er sowieso nicht tun, er will nur "theoretisch" die Möglichkeit dazu haben.

 

Wie würdet ihr vorgehen? Eine neue OU "Chef" erzeugen, in die er gelegt wird, die dann z.B. nur noch gewisse Einschränkungen (kein Internet etc. - Sicherheit auf TS!) hat ... ?

 

Dazu müsste ich den Chef aber der Gruppe Administratoren zufügen, damit er dort auch Änderungen vornehmen kann, korrekt? Da habe ich mich selbst nichtmal eingefügt.

 

Danke!

Canni

Share this post


Link to post
Share on other sites

Ach ne der Canni wieder mit seiner Domäne ohne Clients :p

 

Hast du dir schon mal: Gruppenrichtlinien - Übersicht, FAQ und Tutorials angeguckt?

 

Also generell würde ich dem Chef absolut keine Adminrechte geben.

Schieb ihn am besten in eine neue OU rein, erstell eine neue Gruppenrichtlinie mit den gleichen Einschränkungen die du schon gemacht hast, nur dass er halt die Systemsteuerung sehen darf.

 

Aber macht das wirklich sinn, dass dein Chef da rum fummeln darf? :suspect:

Share this post


Link to post
Share on other sites

Natürlich macht es das nicht. Aber das ist hier leichter geschrieben, als getan. Wie soll ich ihm das sagen? Wie Du in meinen anderen Beiträgen sehen kannst, sieht er es ja nichtmal ein, dass wir einen 2. Server brauchen.

 

 

Oder mal ne andere Frage: wenn der Chef fragt: wie lautet das Admin-Passwort? (er weiss es - muss ja außer mir auch noch jemand wissen!) - was würdest Du antworten? Sag ich Dir nicht?

Share this post


Link to post
Share on other sites
Oder mal ne andere Frage: wenn der Chef fragt: wie lautet das Admin-Passwort? (er weiss es - muss ja außer mir auch noch jemand wissen!) - was würdest Du antworten? Sag ich Dir nicht?

 

Mit verlaub: Fragen Sie den Betriebsrat! (Betriebsvereinbahrung?)

Share this post


Link to post
Share on other sites
Keine Antwort? :-)

 

Doch sorry, ich war nur unterwegs ;-)

 

Ich kann dich schon verstehen und vor allem dein Problem.

Mit dem Chef ist das schon so eine Sache, meiner ist so ungefähr wie

deiner, nur das sich meiner dafür nicht so interessiert und nicht danach

fragt ;-)

Es hat mich auch 4 Jahre arbeit gekostet, bis ich meinen Chef soweit hatte,

das er mal was in die EDV investiert und mittlerweile würde ich sagen sind

wir recht gut ausgestattet.

 

Naja klingt zwar ****e, aber ich würde dem Chef schon versuchen irgendwie zu erklären, dass der Admin dein Job ist und wenn verschiedene Leute dran rum fummeln kann es tierisch zu Problemen kommen.

Sichere ihm auch zu, dass er mit seinem "Benutzer" Account an alle Daten kommt, die er gerne zugänglich hätte (also Dateien etc.)

 

Wünsche dir auf jedenfall viel erfolg.

Share this post


Link to post
Share on other sites

Mit seinem Benutzeraccount kommt er sowieso an alle Daten, einschl. eMailkonten der anderen User. Betriebsrat gibt es bei uns nicht. Und ich bin mir sicher, dass es das bei uns auch niemals geben wird.

 

Soll er doch seine Admin-Rechte haben, wie früher. Mir inzwischen alles egal, sorry, is so.

Jeder Mitarbeiter musste auch seine Passwörter nennen, also, wie er will.

Share this post


Link to post
Share on other sites

Soll er doch seine Admin-Rechte haben, wie früher. Mir inzwischen alles egal, sorry, is so.

Jeder Mitarbeiter musste auch seine Passwörter nennen, also, wie er will.

 

War hier früher auch, das gibt es nicht mehr!!!

Jeder ist für seinen Login selbst verantwortlich!

 

Ich habe noch ein paar andere Beiträge von dir verfolgt, du hast es echt nicht leicht,

dazu kann ich deinen Frust verstehen. Aber nicht entmutigen lassen, lieber auf die

Kernsachen konzentrieren (die dich persönlich angehen). :cool:

Share this post


Link to post
Share on other sites

Hallo Owen und die anderen Antworter,

 

erstmal vielen Dank an Euch alle. Ich weiß, dass Euch das ganze ggf. hier nervt, weil "handeln" angesagt wäre. Das ist aber in meiner Position, als Auszubildender eines ganz anderen Bereiches, nicht ganz einfach.

 

Trage ich meinem Chef Vorschläge vor, die Geld kosten (=Investition), dann bin ich immer persönlich der "Buh-Mann". Eine "gewisse" Sicherheit habe ich ja schon reingebracht: ^^ früher hatten wir einen Uralt-Telekom-Router, ohne jeglichen Schutz. Hat uns ein "EDV-Spezialist" hier angeschlossen. Daher ausgetauscht gegen den Netgear FVG318. Mit ca. 500 Euro-Geräten muss ich da garnicht ankommen, auch wenn es mir selbst von der persönlichen Einstellung her "weh" tut. Oder eine Absicherung des Servers mit Gruppenrichtlinien. Oder Anpassung der Berechtigungen auf die Datenbanken etc., Abbilden der Unternehmensstrukturen auf das AD ... aber AD auf dem TS ... da könnt ich wieder heulen.

 

Leute, mir macht die EDV-Administration extrem viel Spaß, ich engagiere mich sehr, das bestreitet auch hier im Betrieb niemand. Viele - fachkundige - Bekannte und mir bekannte Systemadministratoren bezeugen meine Kentnisse in der Serververwaltung, v.a. im Bereich der Terminaldienste. Aber ich habe hier mit einem Chef zu kämpfen (mit dem ich mich eigentlich gut verstehe und den auch auch mag!), der es als Optimallösung ansieht, ausgeleierte Privat-Notebooks seiner Familie hier im Produktivbetrieb einzusetzen. Argumentieren hilft da nichts.

 

Deshalb lege ich den Fokus so auf die Serverabsicherung, die Anschaffung eines neuen Servers als DC, Auslagerung der Daten und Datenbanken etc. - und weniger auf die Notebooks. Denn da wird es keine Änderung geben, da bin ich mir sehr sicher.

Share this post


Link to post
Share on other sites
Mit seinem Benutzeraccount kommt er sowieso an alle Daten, einschl. eMailkonten der anderen User. Betriebsrat gibt es bei uns nicht. Und ich bin mir sicher, dass es das bei uns auch niemals geben wird.

 

Soll er doch seine Admin-Rechte haben, wie früher. Mir inzwischen alles egal, sorry, is so.

Jeder Mitarbeiter musste auch seine Passwörter nennen, also, wie er will.

 

Falls er sich nicht entsprechend abgesichert hat, bewegt er sich imho rechtlich damit auf sehr dünnem Eis.

Share this post


Link to post
Share on other sites

Also ich denke auch mal, was die Rechsebene angeht, hat er wirklich schlechte Karten, manchmal müssen auch Chefs umdenken. Aber aber als "kleiner" Mitarbeiter sowas einem Chef bei zu bringen ist echt sch....

 

By the way, eine super interessante Seite (hier im Forum gefunden) und auf jedenfall

einen Blick wert (auch für den Chef):

 

https://www.sicher-im-netz.de/default.aspx?sicherheit/ihre/mittelstand/geschaeftsfuehrer/default

und

https://www.sicher-im-netz.de/default.aspx?sicherheit/ihre/mittelstand/itverantwortliche/default

 

Ich weiß ja nicht, als was du deine Ausbildung machst, aber hast du schon mal überlegt auf Fachinformatiker oder verglb. umzusteigen?

Share this post


Link to post
Share on other sites
Mit seinem Benutzeraccount kommt er sowieso an alle Daten, einschl. eMailkonten der anderen User. Betriebsrat gibt es bei uns nicht. Und ich bin mir sicher, dass es das bei uns auch niemals geben wird.

 

Soll er doch seine Admin-Rechte haben, wie früher. Mir inzwischen alles egal, sorry, is so.

Jeder Mitarbeiter musste auch seine Passwörter nennen, also, wie er will.

 

 

Gleiches Thema habe ich bei uns auch durch. NUR habe ich, bzw. der Datenchutz, gewonnen.

Ein Abteilungsleiter wollte ALLES! - egal was - von seinen "Untertahnen" wissen. Emails, Daten, Internetverkehr, ... einfach alles. Seine Berechtigungen wollte er für ALLES haben.

 

Als erstes habe ich den Datenschützer von beauftragt. Als zweites ist der Betriebsrat informiert wurden. Der Leiter wurde mit so vielen Auflagen belegt, das er es bis heute (ein halbes Jahr später) noch nicht geschafft hat, alle Auflagen zu erfüllen, welche Ihm diese "Sonderrechte" zubilligen.

 

Ein gutes Argument was bei uns auch immer zieht:

Ich bin für die Verfügbarkeit im Netz zuständig, wenn was nicht funktioniert werde ich auch als erstes gerufen. Die Sicherheit kann nicht mehr gewährleistet werden, sobald ein unerfahrener über die Berechtigung ernannter "Administrator" im Netz sein Unwesen treibt. Wer etwas wissen will, kann über mich direkt an die Informationen rankommen - unter Bedingung des Datenschutzes!

 

Hinweis noch von meinem Datenschützer:

Schau Dir mal das Betriebsverfassungsgesetzt an. Dieses gilt auch, wenn es keinen Betriebsrat gibt.

Share this post


Link to post
Share on other sites

Danke für die flotten Antworten! Für Fachinformatiker hatten meine Noten in Mathematik leider nicht gereicht. Leider macht sich kein Unternehmen anscheinend die Mühe, die praktischen Kenntnisse zu prüfen. Und da hätte ich alle Mitbewerber sicher haushoch geschlagen.

 

Ich kenne die rechtlichen Bedingungen. Zu dem Chaoten, der das damals hier eingerichtet hatte hat er gesagt, dass er Zugriff auf alle eMailkonten möchte.

 

Denkst Du, jetzt kann ich hergehen und ihm diesen Zugriff einfach wieder nehmen?

 

Leider sind wir kein Unternehmen, in dem man einen Datenschutzbeauftragten vor Ort hat. Das wird hier wohl auch nie kommen.

 

 

Noch einmal: mein Chef ist geschäftsführender Gesellschafter. Wir sind kein Unternehmen, in dem man schon fast von einer "Gewaltenteilung" sprechen kann.

Share this post


Link to post
Share on other sites

Noch einmal: mein Chef ist geschäftsführender Gesellschafter. Wir sind kein Unternehmen, in dem man schon fast von einer "Gewaltenteilung" sprechen kann.

 

Hi, echt mal interessant zu sehen, wie es auch so anderen Leuten ergeht ;-)

 

Es brauch nur mal ein Mitarbeiter zu klagen, den er raus geschmissen hat oder ein Angestellter fühlt sich in seinen Rechten verletzt, dann kann dein Chef sich warm anziehen.

 

Meine Noten waren auch keine glanz Leistung nach der Schule, aber in der Ausbildung habe ich mich richtig ins Zeug gelegt :-)

 

Tipp, wenn die Noten nicht soooo gut sind, IT-System-Elektroniker hat nicht so "hohe" Anforderungen in den Unternehmen und man kann mitten drin noch den Ausbildungszweig switchen :D

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...