Jump to content
surfacing

Lokale Adminrrechte - Softwareentwickler etc

Empfohlene Beiträge

Hallo,

 

ich bin neu in ein Unternehmen gekommen, in der es leider Gang und Gebe ist/war diversen Mitarbeiter lokale Adminrechte zu geben. Aktuell ist es ziemlicher Kampf gegen Windmühlen, da "Das war schon immer so" ziemlich in den Köpfen der User hängt , speziell bei unseren Programmierer und diversen Abteilungsleiter/innen ist es ein Kampf die lokalen Adminrrechte wegzuenehmen. In meiner letzten Firma, haben die Mitarbeiter wirklich nur in Ausnahmefällen lokale Adminrechte erhalten.

 

Bei unseren Programmierer kann ich es verstehen, dass sie lieber mit Adminrechten arbeiten. Ich habe den Versuch gestartet zumindest, ihren Domänenbenutzer die Adminrechte wegzunehmen, und dafür einen lokalen Admin auf ihrem Rechner einzurichten. Das ging Testweise ganz gut, allerdings kamen die Beschwerden dass vieeeel zu oft das Passwort für den Admin eingegeben werden muss. Geht mir persönlich am allerwertesten vorbei, da ich selbst ca. 100 Mal irgendein Passwort eingeben muss.

 

In einem Videovortrag habe ich gesehen, folgenden Vorschlag gesehen. Der User meldet sich mit seinem Adminuser an seinem Rechner an, hat uneingeschränkte Rechte allerdings kein Zugriff auf das Internet, oder auf das Netzwerk. Wenn er das möchte, muss er eine virtuelle Maschine starten meldet sich mit seinem normalen User an für E-Mails, Internet und für die Netzwerkfreigaben usw.

 

Wie sind eure Erfahrungswerte mit lokalen Adminrechten speziell bei Programmierer?

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hat bei uns auch gedauert (ist schon länger her).

Jetzt haben sie keine mehr und gelten sogar  in gewissen Umfang SRP's.

Und sie können tatsächlich immer noch Software entwickeln.

Es hängt ganz klar auch davon ab. was sie entwickeln. Man muss manchmal kreative Lösungen schaffen.

Bei uns ist es "nur" Java (SE und EE).

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

naja, wie sollen die Erfahrungen schon sein - schlecht halt.

 

Für solche Zwecke gibt es virtuelle Maschinen. Dort entwickeln die Developer. Auf ihrem normalen Rechner haben sie keine Adminrechte. Führt auch zu Kämpfen und bedeutet Aufwand, bis man eine passende Konfig hat, dämmt das Risiko aber wenigstens ein.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Auch wir führen den Kampf, auch bei uns ist es zäh, und auch bei uns haben meiner Meinung nach viel zu viele Leute Admin Rechte. Immerhin haben die meisten User mittlerweile keine Admin Rechte mehr auf ALLE PCs sondern immer nur auf ihren eigenen Arbeitsplatzrechner. Jedes Jahr wird es bisserl besser :D

 

Und wenn die lieben Kollegen in der IT dort zu viel kaputt machen, wird der Rechner halt einfach neu installiert. All die tolle Software die sie vorher brauchten dürfen sie sich dann wieder selber installieren, was sie ja können, da sie ja Admin sind ;)

bearbeitet von Doso

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ewiger Kampf und Krampf :-)

Wer MSI-Pakete mit InstallShield erstellt, braucht Admin-Rechte. Wer mit VS debuggen will, braucht Admin-Rechte (je nach Programm, ok...).

 

SRP/AppLocker hilft dagegen ein Stück weit, da muß der User schon Energie aufwenden, um die zu umgehen. Und das läßt sich dann per Unternehmensvorgabe so handhaben, daß er sich damit eine Abmahnung einfängt.

 

Zum Thema "wer ist wo genau Admin": http://evilgpo.blogspot.de/2015/04/wer-bin-ich-und-was-darf-ich.html (als Idee :-))

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ein Mitarbeiter installiert ja nicht ständig und jeden Tag irgendwelche Programme.

 

Wenn ich es planen müsste, würde ich eine Auflistung aller bevorzugten Programme etc machen und dann bspw. entsprechend eine WSUS Lösung per MSI erstellen.

Dann könnte man ja per GPO übers AD eine Richtlinie erstellen, die ausschließlich die von mir geforderten Pakete zulässt.

 

Wahlweise könnten Mitarbeiter auch Nachhaltig wünsche zukommen lassen, die man dort mit einpflegen könnte.

bearbeitet von Slavefighter

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ein Mitarbeiter installiert ja nicht ständig und jeden Tag irgendwelche Programme.

 

Doch, die Softwareentwickler schon, wahrscheinlich sogar mehrfach am Tage. Man könnte natürlich ....., wollen die aber nicht. Und die werden die GF hinter sich haben.

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Doch, die Softwareentwickler schon, wahrscheinlich sogar mehrfach am Tage. Man könnte natürlich ....., wollen die aber nicht. Und die werden die GF hinter sich haben.

Nun dann könnte man denen eine Autarke Umgebung bereitstellen, welche nur über Diverse Sicherheitsmerkmale eine Verbindung zum Intranet bekommen.

Oder ähnliche Verfahren wie bspw bei einer Buchhaltung.

bearbeitet von Slavefighter

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nun dann könnte man denen eine Autarke Umgebung bereitstellen, .....

 

Ja, natürlich. Ich denke mal, der TO steht vor dem Problem, der Aufgabe, als Neuer alte Strukturen, eingefahrene Verfahren abzuändern, möglichst in Übereinstimmung mit dem Kollegium, ohne einen tiefgreifenden Konflikt vom Zaun zu brechen. Ein Admin ist nicht der Chef vom Haus, er ist ein Mitarbeiter wie andere auch, er kann nicht einfach machen was er will, was er meint machen zu müssen. Er muss wohl Überzeugungsarbeit leisten, die Entwickler überzeugen und die Geschäftsleitung.

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die installieren sich ihre PCs sogar selbst, da wir keinen Linux-Admin haben. :wacko:

Und das ist dann sicherer? Die Meiste Malware wird  von Linux-Servern verteilt. Warum? Weil die meisten Webserver im Internet eben selbiges verwenden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ja, natürlich. Ich denke mal, der TO steht vor dem Problem, der Aufgabe, als Neuer alte Strukturen, eingefahrene Verfahren abzuändern, möglichst in Übereinstimmung mit dem Kollegium, ohne einen tiefgreifenden Konflikt vom Zaun zu brechen. Ein Admin ist nicht der Chef vom Haus, er ist ein Mitarbeiter wie andere auch, er kann nicht einfach machen was er will, was er meint machen zu müssen. Er muss wohl Überzeugungsarbeit leisten, die Entwickler überzeugen und die Geschäftsleitung.

Ich würde dem TO raten, setz eine Testumgebung auf und Simuliere den Härte-Fall, so wäre zumindest mein Vorgehen. Wenn man es mal ganz Böse nimmt, ist es der Kopf des TO, der rollt, wenn die Infrastruktur zusammenbricht.

 

Bilder ( VMs) sagen in dem Fall m ehr als 1000 Worte.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×