Sermet 10 Geschrieben 20. Januar 2013 Melden Teilen Geschrieben 20. Januar 2013 Guten Tag, aktuell haben einige Mitarbeiter lokale Administrationsrechte für Ihren Laptop, sodass diese auch selbstständig nötige Programme installieren können, diese Systeme sind jedoch nicht in der Domäne, ich vermute Updates werden auch nicht selbsständig durchgeführt. Antivirussoftware ist vorhanden. Gibt es Gründe warum man Laptops nicht in die Domäne einbinden sollte, wenn ein lokaler Administrator für den Benutzer besteht, denn die Netzlaufwerke und den E-Mail Server erreicht man ja auch ohne Domänenzugehörigkeit. Unser IT-Leiter ist jedoch vollstens von seinem Konzept überzeugt. Adminrechte = keine Domäne... Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 20. Januar 2013 Melden Teilen Geschrieben 20. Januar 2013 Sind Laptops in der Domäne eine Gefahr? Nein, aber lokale Administratoren! Bye Norbert Zitieren Link zu diesem Kommentar
XP-Fan 215 Geschrieben 20. Januar 2013 Melden Teilen Geschrieben 20. Januar 2013 Hallo, Unser IT-Leiter ist jedoch vollstens von seinem Konzept überzeugt. Adminrechte = keine Domäne... welche Gründe führt er denn für seine Aussage / Haltung auf ? Dann müsste er aber konsequent sein und den Laptops den Zugriff auf alle Daten innerhalb der Domain verweigern, ist das so ? Zitieren Link zu diesem Kommentar
Sermet 10 Geschrieben 20. Januar 2013 Autor Melden Teilen Geschrieben 20. Januar 2013 (bearbeitet) Zur zweiten Frage: Nein dem ist nicht so. Der lokale Admin wird nur als Sicherheitsrisiko angesehen, wie Norbert schon geschrieben hat, jedoch können manche Entwickler halt nicht ohne. (PS:// Zukünftig würde ich mir Softwareverteilung per Kiosk wünschen - 2014 :) ) Ansonsten gibt es keine Gründe, die Probleme dadurch sind halt die Verwaltbarkeit der Systeme hinsichtlich Aktualisierungen... es gibt auch manche die dürfen ihr Windows selber installieren und letztendlich muss die EDV eh wieder dran, ich als normalsterblicher kann gegen diese Einstellung leider nichts machen außer hinweisen. Jedoch finde ich im Netz keine konkreten Artikel oder Sachverhalte zu diesem Thema... Es handelt sich um ca. 45 - 60 Laptops, darüber hat niemand eine wirkliche Übersicht, weder auf Papier oder in der Hardwareübersicht. Man sieht nur die Laptops die einen Antivirusclient haben. Diese Situation ist nun leider vorhanden ich wünsche mir etwas mehr Ordnung jedoch weiß ich nicht wie :( bearbeitet 20. Januar 2013 von Sermet Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 20. Januar 2013 Melden Teilen Geschrieben 20. Januar 2013 Wie wäre es mit einer nicht Technischen Lösung? Wenn ein User Admin Rechte braucht muss er einfach eine vereinbarung unterzeichnen, dass er mit den Rechten keinen Unsinn anstellt. Vor was hat der IT Leiter angst? Das User mit Lokalen Admin rechten die Domäne kaputt machen? Das sie Viren einschleppen? Zitieren Link zu diesem Kommentar
Sermet 10 Geschrieben 20. Januar 2013 Autor Melden Teilen Geschrieben 20. Januar 2013 (bearbeitet) Als Hauptgrund wird wohl die Virenthematik angeführt, jedoch sehe ich da keinen Unterschied, weil diese die Netzlaufwerke eh permant eingebunden haben. In der Vergangenheit wurden keine ordentlichen Konzepte bezüglich Vereinbarungen etc. getroffen, teilweise habe ich auch schon Raubkopien bzw. Lizenzüberschreitungen auf den Laptops gesichetet, hingeweisen, aber dafür gab es auch keine Konsquenzen, der Hinweis das die Geschäftsleitung dafür haftet war dann auch nich so interessant. Ich weiß selbst nicht wie diese Intention zustande gekommen ist, die Entwickler wollen selbstständig sein und denken diese wären erfahrene Nutzer, aber brauchen ständig Hilfe von der EDV. Ich würde gerne ein Konzept ausarbeiten um dies zu ändern, jedoch fehlen mir da noch triftige Punkte, die unseren Leiter dazu überzeugen könnten. Ein anderes Thema ist auch die gute Faulheit etwas zu pflegen, wird wohl auch nicht so eng gesehen, fertig machen weggeben - ok. Dies möchte ich aber zuküntig ändern, jedoch stehe ich nicht in der Position, aber arbeite aktiv drauf hin mehr Eigenverantwortung zu bekommen. Aktuell umgehe ich unseren Leiter und versuche die Problematik mit den Abteilungsleitern zu klären - obwohl dies auch nicht die Endlösung sein kann. bearbeitet 20. Januar 2013 von Sermet Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 20. Januar 2013 Melden Teilen Geschrieben 20. Januar 2013 Wenn du darauf hingewiesen hast (nachweislich) und der Verantwortliche (dein Chef) deiner Empfehlung nicht entsprechen will, wirst du wohl wenig tun können. Sowas fängt vor allem nicht mit technischen Argumenten an, sondern mit dem Willen etwas sicherer machen zu wollen/müssen. Wenn diese Erkenntnis nicht gegeben ist, ist sowieso alles recht nutzlos. Und lokale Admins in der Domain sind genauso ein Problem wie lokale Admins im Netz die auf PCs arbeiten die nicht in der Domain sind. Da ist für mich kein/kaum ein sicherheitstechnischer Unterschied. Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 20. Januar 2013 Melden Teilen Geschrieben 20. Januar 2013 aktuell haben einige Mitarbeiter lokale Administrationsrechte für Ihren Laptop, sodass diese auch selbstständig nötige Programme installieren können, diese Systeme sind jedoch nicht in der Domäne, ich vermute Updates werden auch nicht selbsständig durchgeführt. Antivirussoftware ist vorhanden. Das mit den Updates könntest Du lösen. Es gibt den WSUS. Clients innerhalb der Domain bekommer per GPO die nötigen Einstellungen. Clients außerhalb der Domain kannst Du mit Hilfe von Registry Einstellungen zum WSUS umleiten. Auch wenn eine AV-SW vorhanden ist, muß sie noch lange nicht im Dienst sein. Die nötigen Dienste sind meist recht schnell deaktiviert, fertig ist die Laube. Auch das lässt sich mit Hilfe von GPOs konfigurieren bzw. verbieten. Gibt es Gründe warum man Laptops nicht in die Domäne einbinden sollte, wenn ein lokaler Administrator für den Benutzer besteht, denn die Netzlaufwerke und den E-Mail Server erreicht man ja auch ohne Domänenzugehörigkeit. Unser IT-Leiter ist jedoch vollstens von seinem Konzept überzeugt. Adminrechte = keine Domäne... Für dich wird es schwer werden die Leute zu überzeugen, besser ist es in so einem Fall einen externen Berater zu holen. Der kann die gleiche Argumentation wie Du vorbringen, evtl. sogar noch etwas mehr, wird aber möglicherweise mehr Gehör finden. Bezüglich der Haftung des Geschäftsführers ist es IMHO am besten, Du lässt dir etwas schriftliches von einem Rechtsanwalt dazu geben. Auch mit Fällen aus dem Leben, wenn möglich auch mit Strafzahlungen. Zitieren Link zu diesem Kommentar
Sermet 10 Geschrieben 20. Januar 2013 Autor Melden Teilen Geschrieben 20. Januar 2013 (bearbeitet) Ich bedanke mich für die kleine Diskussionsrunde! Die Aussagen die Ihr mir aufgeführt habt decken sich mit meinen Überlegungen und Vorstellungen. Ich habe bereits Ende 2012 eine Übersicht mit Defiziten und Problematiken aufgestellt, jedoch bisher keine Rückmeldung dazu bekommen, wird wohl bewusst ignoriert - sieht nach viel "Arbeit" aus. Andere Projekte haben derzeit Vorrang, jedoch macht es keinen Sinn die neusten Sachen zu haben, wenn die Basis nichtmals steht. Ich hoffe zukünftig auf Besserung, da dies einfach nur die Arbeit behindert. Wenn es dann mal kracht wird wohl erst gehandelt. bearbeitet 20. Januar 2013 von Sermet Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Januar 2013 Melden Teilen Geschrieben 20. Januar 2013 (bearbeitet) Hallo Du möchtest dich profilieren? Ich verstehe das schon. Mache das mit gebotener Vorsicht, Zurückhaltung, nerve nicht, sonst kann das nach hinten losgehen. Es hört dir wohl jetzt schon niemand mehr zu. Kümmere dich also um deine Aufgaben, Aufträge! bearbeitet 20. Januar 2013 von lefg Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 21. Januar 2013 Melden Teilen Geschrieben 21. Januar 2013 Vorteil der Domänenmitgliedschaft ist das Du z.B. lokale Dienste (Antivirus) besser absichern kannst. Zitieren Link zu diesem Kommentar
Bimmelbahnfan 0 Geschrieben 22. Januar 2013 Melden Teilen Geschrieben 22. Januar 2013 Wir haben derzeit rund 2000 Notebooks nebst derzeit noch 8000 Desktop-PC in der Windows-Domäne, davon rund 1500 Notebooks via UMTS und VPN. Natürlich sind die Notebooks voll verschlüsselt und kein User hat Adminrechte. Auch die USB-Rechte sind stark eingeschränkt, wie auch die Zugriffsrechte auf das DVD-Laufwerk. Das alles funktioniert bisher ohne Probleme seit 2005. Und die Ablösung von 80% alles Desktop-PC durch Notebooks ist beschlossen. Nur ist bisher der wesentliche höhere Servicebedarf bei Notebooks als bei Desktop-PC und der daraus folgende höhere Personalbedarf im IT-Service personell und finanziell nicht abgesichert. Zitieren Link zu diesem Kommentar
Sermet 10 Geschrieben 22. Januar 2013 Autor Melden Teilen Geschrieben 22. Januar 2013 Hallo, mit Profilieren hat das wohl weniger zu tun, niemand der 5! Mitarbeiter will sich seit Jahren um dieses Thema kümmern, Strukturierung und Sicherheit als gutes Beispiel habe ich heute mal wieder eine unbekannte Vmware gefunden, mit ftp, kon-boot als Raubkopie von "§=$)$"*"$*$".com, minecraft, von dieser VMware gibt es keinerlei Informationen, wo sie herkommt oder was sie macht, jedenfalls ist kein Virenscanner drauf hat keine Firewall, einen offenen tftp und eine komplette C$ Freigabe und ist mit einem Firefox-Portable 1.x unterwegs, wozu 90% absichern wenn 10% machen was sie wollen... es muss wohl erst was unschönes passieren bis sich drum gekümmert wird. Zum Glück ist die HW-Firewall sauber konfiguriert. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 22. Januar 2013 Melden Teilen Geschrieben 22. Januar 2013 Dann schreibe Deinem Chef eine Risiko-Meldung, wenn vorhanden in Kopie an die interne Revision. Vor der Revision habe immer alle Angst... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 22. Januar 2013 Melden Teilen Geschrieben 22. Januar 2013 (bearbeitet) mit Profilieren hat das wohl weniger zu tun, niemand der 5! Mitarbeiter will sich seit Jahren um dieses Thema kümmern, Strukturierung und Sicherheit als gutes Hallo Du schriebst, es gäbe einen Leiter der IT, habe ich das richtig verstanden? Es ist doch wohl dessen primäre Aufgabe, eine Arbeitseinteilung, Aufgabenzuweisung vorzunehmen. Oder? Falls ich heute auf ein Gerät mit seltsamer Konfiguration stosse, in den meisten Fällen bekommt es das Standardimage verpasst und fertig ist die Laube. Ich verschwende nur selten Zeit mit sinnlosen Dingen. bearbeitet 22. Januar 2013 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.