Lokale Adminrechte für User

[crivi 10]

Hallo zusammen

 

Wir betreiben hier ein Netzwerk mit rund 20 Usern und 4 Servern.

Die User sind lediglich Domänen-Benutzer und haben keine lokalen Administratorenrechte.

 

Nun haben wir das Problem, dass 1 User ständig nach lokalen Admin-Rechten schreit. Allerdings benötigt er lediglich Adobe und Office Produkte.

 

Jetzt brauche ich einige Argumente warum er keine lokale Admin-Rechte braucht. Könnt Ihr mir hier weiterhelfen?

 

Ich kann nicht allen anderen die lokalen Admin-Rechte verwehren und dem, der an lautesten schreit, die Admin-Rechte gewähren.

 

Ich wäre Euch sehr dankbar, wenn Ihr mir kurz helfen könnt.

 

Vielen Dank.

Gruss Raffi

[vmorbit 10]

Hallo,

 

es gibt natürlich in jedem Umfeld eigene Gründe warum dies nicht praktikabel ist.

Hier gibt es aber mal eine Übersicht der gängigsten Gründe:

Risks of Providing Local Admin Privileges to Users InfoSecMinds

[crivi 10]

Hallo

 

Vielen Dank für den Link.

Gibt es irgendwelche Performanceprobleme wenn man nicht Admin ist?

Das ist einer der Gründe des Users.

[Dr.Melzer 191]

Na die Sicherheit ist der wichtigste Grung dafür keine lokalen Admin rechte zu vergeben.

 

Der Mitarbeiter soll dir mal genau erklären für was er die Rechte benötigt. In der Regel genügt es dann den verwendeten Applikationen Schreibrechte auf bestimmte Verzeichnisse zu geben. Mir ist kein fall bekannt in dem ein normaler User lokale Admin rechte benötigt, die nicht durch Rechte für die Applikation ersetzt werden konnten.

 

P.S.

Nein, die Performance wird nicht besser wenn jemand Admin ist loooool

[NilsK 3.045]

Moin,

 

• Adminrechte sind für einen normalen Userbetrieb nicht nötig
  
• Selbst einzelne Programme, die ohne Adminrechte nicht wollen, kann man in fast allen Fällen gefügig machen
  
• Adminrechte erzeugen ein hohes Risiko, weil jeder Prozess, der als Admin gestartet wurde, alles im System machen kann (Malware, aber auch versehentliche Änderungen)
  
• Adminrechte erschweren das zentrale Management, weil der Admin immer dazwischenfunken kann
  
• Lokale Adminrechte ermöglichen auch das Auslesen der Anmeldedaten anderer User, die auf dem System angemeldet waren (nicht trivial, aber möglich)
  
• ...
  

 

Darüber hinaus sollte die Boardsuche auch einiges ergeben.

 

Gruß, Nils

[crivi 10]

Hallo zusammen

 

Vielen Dank für Eure Argumente.

Ich war immer der Meinung, dass lokale Adminrechte nicht nötig sind.

Nun habe ich auch einige hieb und stichfeste Argumente.

 

Gruss Raffi

[lefg 276]

Off-Topic:
Abseits von der Diskussion ob Adminrechte oder nicht für User: Ich habe drei Leitenden Angestellten als Domänenbenutzer jeweils in die lokale Administratorengruppe (ihres Rechners) aufgenommen und ihnen damit die Hoheit darüber erteilt. Diese Leute stehen in der Hirachie über mir, sind unmittelbare Vorgesetzte, haben Weisungsrecht; auch das, mich von anderen Arbeiten abzuziehen und stattdessen bei ihnen auszuführen (... bittet um ihr sofortigers Erscheinen, so lautet der Spruch des Vorzimmers).

Es ist geschehen, ich wurde abgerufen und musste die Software für das Mobile aktualisieren oder für ein neues installieren, das zu Zeitpunkten, an denen ich das überhaupt nicht brauchen konnte.

Ein anderer Fall beim obersten Häuptling, ich musste ihn abmelden und mich an, das ging nicht anders, weiss der Henker warum nicht. Er kam plötzlich aus dem angrenzenden Konferenzraum, bat mich hinaus und fand sich an seinem Rechner überhaupt nicht zurecht. Was ich denn damit gemacht habe?

Es war für einfacher, auszuweichen und den Ärger vom Hals zu halten, die drei Obersten sind glücklich mit ihren lokalen Adminrechten und ich habe meine Ruhe, sie installieren ihre Software selbst. Ich habe sie auf mögliche Risiken aufmerksam gemacht, schriftlich, wurde aber gefragt vom Oberhäuptling, ob das Gateway (Internet, Mail)unseres Providers diese nicht ausschlösse.