RobDust 11 Geschrieben 28. Mai 2012 Melden Teilen Geschrieben 28. Mai 2012 Hallo, wenn sich ein User an einem anderem PC anmeldet, dann soll er sofort Admin an dem lokalem PC sein. Um z.B. fehlende Programme zu installieren. (Ich weiß man könnte Ihn jetzt zu der lokalen admin Gruppe hinzufügen, ist aber zu kompliziert wenn der Admin mal nicht da ist, also will der Chef eine einfache Lösung) Ist die Lösung nun alle User in die Domänen Admin Gruppe zu stecken? Dann sollten sie auch lokale Administrator Rechte bei der Anmeldung an einem anderem PC bekommen, um zum Beispiel unter W7 sein fehlendes Programm zu installieren?! Denke ich da Richtig? Link zu diesem Kommentar
NorbertFe 1.825 Geschrieben 28. Mai 2012 Melden Teilen Geschrieben 28. Mai 2012 Hallo, wenn sich ein User an einem anderem PC anmeldet, dann soll er sofort Admin an dem lokalem PC sein. Um z.B. fehlende Programme zu installieren. (Ich weiß man könnte Ihn jetzt zu der lokalen admin Gruppe hinzufügen, ist aber zu kompliziert wenn der Admin mal nicht da ist, also will der Chef eine einfache Lösung) Und dem Chef ist auch klar, was er da verlangt? Klingt für mich nicht so. Ist die Lösung nun alle User in die Domänen Admin Gruppe zu stecken? Wenn das eine Lösung wäre, würdest du dann hier fragen? :confused: Dann sollten sie auch lokale Administrator Rechte bei der Anmeldung an einem anderem PC bekommen, um zum Beispiel unter W7 sein fehlendes Programm zu installieren?! Denke ich da Richtig? Und dass lokale Admins an allen PCs lokale Admins sind, ist für deinen Chef kein Sicherheitsrisiko? Schließlich kann damit jeder von jedem PC aus auf die Administrativen Freigaben der anderen PCs zugreifen (und auch auf alles anderr der PCs, sind ja schließlich Admins). Bye Norbert Link zu diesem Kommentar
RobDust 11 Geschrieben 29. Mai 2012 Autor Melden Teilen Geschrieben 29. Mai 2012 Hallo nein es ist kein sicherheitsrisiko. Warum auch, dies sind Firmen PCs und auf den PCs sind keine persönlichen oder sensiblen Sachen.... Wichtig ist das jeder an dem pc an dem er sich anmeldet volle rechte hat. Ich habe Gehofft, das dies durch die Gruppe Domänen admins klappt, meine mich zu erinnern es irgendwann mal gelesen zu haben. Wie wird der Mitarbeiter den sonst sofort lokaler Admin. Ps: es reicht auch einfach zu Antworten, anstatt die frage auseinanderzunehmen nach Beweggründen zu fragen und chefes Entscheidungen zu kritisieren... Danke Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Hallo nein es ist kein sicherheitsrisiko. Warum auch, dies sind Firmen PCs und auf den PCs sind keine persönlichen oder sensiblen Sachen.... Wie? Ihr habt keine sensiblen Daten in eurer Firma? Nein es ist kein Sicherheitsrisiko wenn jeder Mitarbeiter einen Genaralschlüssel für das Firmengebäude bekommt. Wichtig ist das jeder an dem pc an dem er sich anmeldet volle rechte hat. Und wichtig ist auch dass jeder Mitarbeiter den Code für den Tresor im Chefbüro kennt. Ps: es reicht auch einfach zu Antworten, anstatt die frage auseinanderzunehmen nach Beweggründen zu fragen und chefes Entscheidungen zu kritisieren... Danke P.S. Wir sind hier ein IT Pro Forum. Unser Anspruch ist es den Freganden professionell zu helfen. Dazu gehört nach unserem verständnis auch sie auf grobe Designfehler wie du ihn da begehst hinzuweisen und aufzuzeigen wie es besser gemacht wird. Wenn du oder dein Chef so einen Bastelkram machen wollt bitte schön. Erwarte aber von uns nicht dass wir so etwas kommentarlos abnicken und supporten. Was ihr da vor habt ist sicherheitstechnisch ein absolutes NoGo! Wenn ihr nicht in der Lage seid es anders hin zu bekommen sucht euch bitte einen kompetenten Diesntleister vor Ort. Alle Mitarbeiter zu Admins zu machen ist ein nicht vertretbar hohes Sicherheitsrisiko! Dein Argument "Der Chef will es aber so." zieht nicht denn du bist (oder solltest) der Profi sein der deinen Chef in diesen Dingen berät. Dein Chef will dass bestimte Dinge funktionieren. Wie das im technischen detail aussieht wird ihm (wie fast allen Chefs) egal sein. Also ist es deien Verantwortung eine Lösung zu finden die sicher ist und die Wünsche deines Chefs erfüllt. Ich bin mir sicher dass dein Chjef auch nichts von dre Idee hält jedem Mitarbeiter einen Generalschlüssel zu geben nur weil jeder zu jeder Zeit in die Toilette und die Kaffeküche reinkommen muss. Link zu diesem Kommentar
lefg 276 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 (bearbeitet) .....nein es ist kein sicherheitsrisiko. Warum auch, dies sind Firmen PCs und auf den PCs sind keine persönlichen oder sensiblen Sachen........ Hallo, Du kannst die Gruppe der Domänenbenutzer zum Mitglied der lokalen Admionistratoren machen, das per Hand oder Gruppenrichtlinie. In Rahmen der "Admin-Berechtungen" der User könnten sich dann Schadprogramme installaieren, alle Rechner eines LAN Teil eines Bot-Netzes werden, mit denen Straftaten ausgeführt werden. Ein Firmennetz und keine sensiblen Daten? Was wäre, falls alle Rechner infiziert, nicht mehr benutzbar, stände die Firma still? Nun, Du, ihr müsst es selbst wissen oder auch nicht. :) Edgar bearbeitet 29. Mai 2012 von lefg Link zu diesem Kommentar
marka 584 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Technisch gesehen ist der von Edgar (lefg) beschriebene Weg richtig. ABER: Ich möchte mich den Vorrednern anschließen in Bezug auf die Sicherheitsrisiken. Nicht nur, dass jeder dann lokal wirklich alles installieren kann, was nicht bei "drei" auf dem Baum ist, also auch jegliche Form von Malware. Ebenso können "störende" Sachen wie Virenschutz, Firewall & Co. auch "mal eben schnell" deaktiviert oder auch deinstalliert werden, weil es "eh nur behindert, gängelt und bremst". Ihr solltet Euch wirklich gut überlegen, ob Ihr das so durchziehen wollt. Ich empfehle dringend zu versuchen, Deinem Chef diese Risiken ruhig zu erklären. Ein verantwortungsvoller Geschäftsführer wird dieses Engagement sicher zu schätzen wissen... Hallo nein es ist kein sicherheitsrisiko. Warum auch, dies sind Firmen PCs und auf den PCs sind keine persönlichen oder sensiblen Sachen....Wichtig ist das jeder an dem pc an dem er sich anmeldet volle rechte hat. Ich habe Gehofft, das dies durch die Gruppe Domänen admins klappt, meine mich zu erinnern es irgendwann mal gelesen zu haben. Wie wird der Mitarbeiter den sonst sofort lokaler Admin. Ps: es reicht auch einfach zu Antworten, anstatt die frage auseinanderzunehmen nach Beweggründen zu fragen und chefes Entscheidungen zu kritisieren... Danke Dieses Posting von Dir lässt mich jedoch daran zweifeln, dass Du selbst das Risiko überhaupt erkennst... Und eigentlich solltest Du Dich eher darüber freuen, dass wir Dir hier kostenlos Hilfe und Support anbieten und Dich auf mögliche Fallen und Risiken aufmerksam machen. Wir wollen Dich nicht bevormunden, sondern Dich unterstützen, gravierende Fehler zu vermeiden. Wenn Du dies nicht willst, mach' es so, wie Edgar es beschrieben hat, aber dann bitte ich Dich inständig, nachher nicht mit so etwas (oder ähnlichem) anzukommen, "Mein Netzwerk ist verseucht, irgendjemand hat einen Trojaner eingeschleust und unser Provider hat uns von der Mailkommunikation abgeschnitten!" Link zu diesem Kommentar
RobDust 11 Geschrieben 29. Mai 2012 Autor Melden Teilen Geschrieben 29. Mai 2012 Danke für die Hilfe. Mit dem Domänen Admin klappt es bestens. Jeder kann nun überall Installieren was er will. Ich hoffe die Mitarbeiter schleppen die Viren nicht per Diskette ein, den die PCs haben weder USB noch Internet. Keine Ahnung warum ohne zu Fragen sofort rumgehackt wird. (besonders der erste Post, enthält nichtmals ein sinvolle Antwort, nichtmals einen Lösungsansatz!) PS wenn es interessiert die Workstations steuern Schlüsselfertigungsanlagen und Messanlagen, hoffe der hobel dreht sich nicht plötzlich verkehrt rum, weil irgendwo ein "möchtegern admin" Moorhun auf dem PC von seinem Mitarbeiter installiert hat. Link zu diesem Kommentar
NorbertFe 1.825 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Cool, jeder kann jetzt jeden Account zurücksetzen sich am DC anmelden den DC runterfahren und auch sonst jegliches Schindluder betreiben, was man natürlich alles in Kauf nimmt. Und die Erste Antwort war erstmal dazu da, um abzuklopfen, ob dir die Konsequenzen deines Tuns klar sind. Wenn du das natürlich alles gar kein Problem ist, warum fragst du dann überhaupt hier nach? Bye Norbert Link zu diesem Kommentar
RobDust 11 Geschrieben 29. Mai 2012 Autor Melden Teilen Geschrieben 29. Mai 2012 ....weil ich wissen wollte wie ich die Leute zum lokalem Admin mache?! Und mir gestern abend nicht sicher war. heute morgen es getestet habe und es klappt. Danke kann geclosed werden, macht mich müde hierrüber zu debattieren. Boar ich hol nochmal aus?! Wie am DC anmelden`? Da kommen die pysikalisch mit Ihrem griffeln gar nicht hin... remotdesktop ist nicht möglich... noch irgendwelche Crack ideen für normal unsterbliche nicht mögliche dinge? Erklär mal, das würde mich jetzt interessieren, dann mach ich das Schlupploch gerne dicht. PPS: Die können auch den Laden in Brand setzten. Frag lieber vorher ob die Datensicherung gut läuft. "Cool, jeder kann jetzt jeden Account zurücksetzen sich am DC anmelden den DC runterfahren und auch sonst jegliches Schindluder betreiben" Demnächst auch feuerzeuge und Schraubendrehen wegnehmen, die könnten ja den DC anzünden oder die Workstation aufschrauben und die Grafikkarte klauen. Ich weiß nicht Zwangsneurose? Oder Keine Arbeit? Oder was ist da los? Link zu diesem Kommentar
Piranha 18 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 DomänenAdmin? OUCH! Hast Du zumindest deinen Chef darüber informiert was die User nun alles anstellen können? Da würde ich mir zumindest einen "Revers" unterschreiben lassen. Link zu diesem Kommentar
NorbertFe 1.825 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Boar ich hol nochmal aus?! Wie am DC anmelden`? Da kommen die pysikalisch mit Ihrem griffeln gar nicht hin... remotdesktop ist nicht möglich... noch irgendwelche Crack ideen für normal unsterbliche nicht mögliche dinge? Erklär mal, das würde mich jetzt interessieren, dann mach ich das Schlupploch gerne dicht. Du kannst einem Admin keine Rechte/schlupflöcher zumachen. Wäre ziemlich sinnfrei. Aber da du ja müde wirst vom Diskutieren, erspare ich mir das. Demnächst auch feuerzeuge und Schraubendrehen wegnehmen, die könnten ja den DC anzünden oder die Workstation aufschrauben und die Grafikkarte klauen. Ja, aber dann wäre nur aus einer Workstation die Grafikkarte weg. Ich weiß nicht Zwangsneurose? Oder Keine Arbeit? Oder was ist da los? Jaja. Ist schon ok, du hast Recht und wir sind hier alle bl... Viel Erfolg noch Bye Norbert Link zu diesem Kommentar
Gulp 227 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 .... snip Boar ich hol nochmal aus?! Wie am DC anmelden`? Da kommen die pysikalisch mit Ihrem griffeln gar nicht hin... remotdesktop ist nicht möglich... noch irgendwelche Crack ideen für normal unsterbliche nicht mögliche dinge? Erklär mal, das würde mich jetzt interessieren, dann mach ich das Schlupploch gerne dicht. Mit Domänenadminrechten schmeiss ich (oder auch ein unbedarfter User) Dir in 1 Minuten Deine Domäne weg ohne jemals pyhsikalisch oder per RDP auf oder am DC gewesen zu sein, das ist ja gerade der Witz. Jeder Domänenadmin kommt auf die administrativen Freigaben des DC und kann Dir mal eben so diverse wichtige Dateien einfach löschen. Das will natürlich niemand Deinen User unterstellen, es besteht aber die Möglichkeit. Das Hinzufügen der Domänen Benutzer per GPO zur lokalen Administratorgruppe der PC's hat für Deine Aufgabenstellung den gleichen Effekt, ist aber für den DC weit weniger kritisch, wenn auch nicht unbedingt ein Sicherheitsgewinn. PPS: Die können auch den Laden in Brand setzten. Frag lieber vorher ob die Datensicherung gut läuft. "Cool, jeder kann jetzt jeden Account zurücksetzen sich am DC anmelden den DC runterfahren und auch sonst jegliches Schindluder betreiben" Demnächst auch feuerzeuge und Schraubendrehen wegnehmen, die könnten ja den DC anzünden oder die Workstation aufschrauben und die Grafikkarte klauen. Ich weiß nicht Zwangsneurose? Oder Keine Arbeit? Oder was ist da los? Hätte Dich niemand auf die möglichen Risiken hingewiesen und morgen stünde Dein Netzwerk, weil der DC eben mal versehentlich ausser Funktion gesetzt wurde, dann wette ich jetzt mal, wärst Du auch der Erste gewesen, der gefragt hätte warum das niemand erwähnt hat, oder? Ganz ehrlich selbst wenn der Chef mit seinem Dienstwagen gegen den Baum brettert, muss man das ja nicht unterstützen ..... Wenn Du das wirklich so umsetzen willst und Dir aller Gefahren die damit verbunden sind bewusst bist (was ich so ein klein wenig bezweifle), dann kannst Du das ja auch gerne tun, nur lesen hier eine Reihe anderer Leute mit die solche Konstrukte dann womöglich auch noch gut finden und das ist nicht der Sinn hinter diesem Forum hier. Grüsse Gulp Link zu diesem Kommentar
RobDust 11 Geschrieben 29. Mai 2012 Autor Melden Teilen Geschrieben 29. Mai 2012 Danke Gulp, das klingt doch mal nach einer Antwort... nicht dieses sofortige Auseinandernehmen ohne jegliche Lösungsanstätze... Das Hinzufügen der Domänen Benutzer per GPO zur lokalen Administratorgruppe der PC's hat für Deine Aufgabenstellung den gleichen Effekt, ist aber für den DC weit weniger kritisch, wenn auch nicht unbedingt ein Sicherheitsgewinn. Das Interessiert mich, vielleicht können wir das mal weiter erarbeiten. Ich denke es geht um die Eingeschränkten Gruppen in den GPO? Irgendwie hab ich das nur nicht ganz verstanden?! Ich kann dort eine Gruppe Hinzufügen. Ist das nun die lokale Gruppe? Oder einfach nur eine Gruppe, die später in die Lokale eingefügt wird? Link zu diesem Kommentar
lefg 276 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Off-Topic:,,,,,,Da würde ich mir zumindest einen "Revers" unterschreiben lassen. Bitte,hast Du deinem Chef schon mal aufgefordert, dir etwas zu unterschreiben? Link zu diesem Kommentar
NorbertFe 1.825 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Das Interessiert mich, vielleicht können wir das mal weiter erarbeiten. Ich denke es geht um die Eingeschränkten Gruppen in den GPO? Irgendwie hab ich das nur nicht ganz verstanden?! Ich kann dort eine Gruppe Hinzufügen. Ist das nun die lokale Gruppe? Oder einfach nur eine Gruppe, die später in die Lokale eingefügt wird? Eingeschränkte Gruppen da sind alle Möglichkeiten "weiter erarbeitet" worden. Bye Norbert Link zu diesem Kommentar
Empfohlene Beiträge